هریم، مشکل فیشینگ را حل نمیکند
علی رزازی|
کیفقاپهای با معرفت، پول و موبایل را بر میداشتند و کارتهای بانکی اگر رمز را در کنارش نگهداری نکرده بودید و اگر کمی با معرفتتر بودند، گواهینامه و سایر مدارک هویتی را در گوشهای رها میکردند که مالباخته، بابت دریافت المثنی مدارک خود بهزحمت نیفتد.
به عبارت دیگه، اگر دچار حادثهای میشدید، موجودی نقد شما، موبایل شما و سایر اشیا قیمتی خود را از دست میدادید ولی موجودی حساب خود را از دست نمیدادید چون کارت بیرمز برای سارق ارزشی نداشت مجددا تاکید میکنم اگر رمز کارت خود را مثلا بر روی یک کاغذ در کیف خود نگهداری نکرده بودید.
توضیح زیر، تهدید ایجاد شده توسط هریم را مشخص میکند. روشهای احراز هویت، معمولا در سه گروه تقسیمبندی میشوند: گروه اول: آنچه شما دارید. مثال: کلید خانه شما، روشی برای احراز هویت شماست. به عبارت دیگر، هر کس که کلید خانه شما را داشته باشد، امکان ورود به خانه شما را دارد. گروه دوم: آنچه شما میدانید. مثال: رمز عبور ایمیل، معروفترین مثال در این دسته محسوب میشود.
گروه سوم: آنچه شما هستید. مثال: اثر انگشت منحصر به فرد هر انسان.
البته این دستهبندی کلاسیک هست و امروزه شاهد روشهایی دیگری نیز هستیم، مثلا روشهایی که مبتنی بر «آنچه آنگونه که شما فکر میکنید» است.
به منظور احراز هویت در سامانهها و اماکن، حسب اهمیت و ارزش از یک یا چند روش عامل احراز هویت استفاده میشود. مثلا ممکن است شما دو قفل برای خانه خود در نظر بگیرید دو عامل از گروه اول: آنچه شما دارید یا مثلا گاوصندوق محل کار شما دارای یک کلید و یک رمز است یک عامل از گروه اول و یک عامل نیز از گروه دوم. به عنوان مثال دیگر، در پرداختهای با کارت روی دستگاه کارتخوان، شما کارت آنچه شما دارید را کشیده و سپس رمز آنچه شما میدانید را ارایه میدهید و در صورت صحت دو عامل، امکان تراکنش دارید.
اما در پرداختهای اینترنتی مجازی، شما اطلاعات کارت خود را الزاما آنچه دارید نیست چرا که میتوانید اطلاعات کارت خود را به خاطر بسپارید همراه رمز دوم خود آنچه شما میدانید وارد کرده و در صورت صحت، امکان تراکنش دارید.
نکته مهمی که وجود دارد این است که در صورت انتخاب بیش از یک عامل، هر یک از عاملها باید از گروههای مختلفی باشد. به عبارت دیگر، دو عامل نباید از یک گروه انتخاب شوند. مثلا دو قفل برای خانه خود در نظر بگیرید. دوستی داشتم که نگران بود موتور سیکلتش را دزد ببرد، تصمیم گرفت به جای یک قفل، دو قفل به موتور خود بزند. یک روز، دسته کلیدش را فردی برداشت و دو قفل را باز کرد و موتور را برد. البته توجه دارم که باز کردن دو قفل برای کسی که کلید ندارد سختتر از یک قفل هست.
فیشینگ، نشر ناخودآگاه رمز و… عموما به عنوان خاستگاه دلیل استفاده از رمز دوم پویا رمز دوم یک بار مصرف مطرح میشود. افزایش تعداد جرمهای ناشی از وبسایتهای شبیهسازی شده و… و افزایش مال باختگانی که آخرین فعالیت خود را ورود اطلاعات خود در وبسایتی نامشخص پس از دریافت پیامکی با متن اقناعکننده اعلام کرده بودند؛ لزوم استفاده از عامل دیگری در احراز هویت را بیشتر کرد.
اما اتفاقی که افتاده این است که رمز دوم پویا که عموما از طریق هریم درخواست داده میشود با توجه به ارسال در قالب پیامک به موبایل دارنده کارت، به عنوان یک عامل از گروه «آنچه شما دارید» محسوب میشود. به عبارت دیگر، اگر من به موبایل شما دسترسی داشته باشم میتوانم درخواست رمز دوم پویا کرده، پیامک دریافتی را خوانده و با دانستن سایر اطلاعات روی کارت شما، تراکنش انجام دهم.
خلاصه آنکه، اگر کیف شما توسط کیف قاپ دزدیده شد و موبایلتان درون کیفتان بود، دو عامل احراز هویت شما یعنی اطلاعات کارت آنچه شما دارید و رمز دوم پویا آنچه شما دارید که به موبایل شما ارسال میشود در اختیار سارق قرار دارد و میتوانید انتظار داشته باشید که نه تنها اشیا قیمتی خود را دیگر نبینید بلکه موجودی حساب بانکی خود را نیز از دست بدهید.
رمز دوم پویا قصد داشت ابرویی سوءاستفاده در قالب فیشینگ و… را درست کند ولی چشمی احراز هویت دو عاملی در پرداختهای غیر حضوری را کور کرد. به عبارت دیگر، دو عامل اطلاعات کارت و رمز کارت که از دو گروه مختلف بودند را به اطلاعات کارت و رمز دوم پویا که متعلق به یک گروه هستند تبدیل کرده است. اما راهکار چیست؟
به نظر میرسد، رمز دوم پویا، باید به عنوان عامل جدیدی به سایر عوامل قبلی افزوده میشد نه اینکه جای آن را بگیرد. به عبارت دیگر، در پرداختهای بدون نیاز به حضور کارت، کاربر موظف به وارد کردن اطلاعات کارت آنچه دارد و رمز دوم آنچه میداند و رمز سوم پویا آنچه دارد باشد تا در صورت آنکه دچار فیشینگ و… شد، عامل سوم رمز سوم پویا از سوءاستفاده و زیان کاربر جلوگیری کند.