در برنامه‌ی مدیریت گذرواژه‌ی LastPass احراز هویت دوعاملی به‌طور کامل زیر سؤال رفته است

برنامه‌ی مدیریت گذرواژه‌ی LastPass یک ویژگی را به نرم‌افزار خود اضافه کرده است. در حال حاضر می‌توان در این برنامه کدهای احراز هویت دوعاملی را اضافه کرد. این خبر بسیار خوبی برای نفوذگران است.

به‌طور فزاینده‌ای مردم مطلع شده‌اند که باید از احراز هویت دوعاملی استفاده کنند تا امکان نفوذ مهاجمان سایبری به حساب‌های آن‌ها کاهش یابد و اگر هم فردی می‌خواست این کار انجام دهد، کاربران سریع از این مسئله مطلع شوند. در این شرایط برای نفوذ به حساب‌های قربانی تنها به نام کاربری و گذرواژه‌ی او نیاز نیست و مهاجم برای ورود به حساب‌ها باید کدهای احراز هویت دوعاملی را نیز در اختیار داشته باشد.

به‌طور معمول، وقتی می‌خواهید وارد حساب کاربری خود بشوید، پس از ورود نام کاربری و گذرواژه، یک کد احراز هویت به سمت دستگاهی که متعلق به شما است، ارسال می‌شود که شما باید در ادامه آن کد را وارد کنید تا بتوانید به حساب کاربری خود وارد شوید. شرکت‌هایی مانند گوگل، فیس‌بوک و دراپ‌باکس این قابلیت را ارائه داده‌اند که کاربر می‌تواند توسط تلفن همراه یک کد QR را پویش کرده و به کد مورد نظر دست یاید و پس از وارد کردن آن، وارد مرحله‌ی وارد کردن نام کاربری و گذرواژه شده و به حساب خود وارد شود.

نهاد احراز هویت در برنامه‌ی LastPass از هر نوع الگوریتم برای گذرواژه‌های یک‌بار مصرف و مبتنی بر زمان پشتیبانی می‌کند و می‌تواند مقدار اولیه در این گذرواژه را در داخل حساب برخطِ LastPass ذخیره کند. در این شرایط اگر فردی وارد حساب LastPass شود، فعال بودن احراز هویت دوعاملی یک مزیت محسوب می‌شود چرا که مرحله‌ی دوم احراز هویت بر روی یک دستگاه ثانویه انجام خواهد شد.

استفاده از یک برنامه‌ی مدیریت گذرواژه از نظر هزینه بسیار به صرفه است چرا که در این شرایط از یک گذرواژه بر روی چندین سرویس استفاده نمی‌کنید و برای هر سرویس یک گذرواژه‌ی قوی و منحصربفرد خواهید داشت. ولی به هرحال استفاده از یک برنامه برای مدیریت گذرواژه‌ها، یک تک نقطه‌ی شکست محسوب می‌شود چرا که همه چیز داخل آن قرار گرفته است.

حال اگر بخواهیم کدهای مربوط به احراز هویت دوعاملی را در داخل همین برنامه ذخیره کنیم، این تک نقطه‌ی شکست برای نفوذگران بیش از پیش ارزشمندتر می‌شود. انگار می‌خواهید در داخل یک سبد پر از تخم مرغ، تخم مرغ جدیدی را قرار دهید. هرچند در دنیای واقعی این اشکال چیزی بیش از یک تئوری نیست. تا زمانی‌که بر روی حساب LastPass خود از یک گذرواژه‌ی قوی استفاده می‌کنید هیچ جای نگرانی وجود ندارد.

منبع: asis

درباره نماد امنیت وب

کانال اخبار فناوری اطلاعات نماد امن

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.