اخبار بخش هک و نفوذ

اخبار بخش امنیت

آمار سایت

  • افراد آنلاین :
    1
  • بازدید روز :
    0
  • تعداد بازدید ها :
    0
  • تعداد پست ها :
    91
  • IP شما :
    3.230.76.196
  • net1
  • net3
1 2 3
image carousel by WOWSlider.com v6.7
احراز هویت OTP (رمز پویا) آن طور که فکر می کنید ایمن نیست
سه شنبه ۱ بهمن ۱۳۹۸
۹:۵۹:۲۲
نظر
(
0
)

امروزه معاملات آنلاین برای امنیت بالاتر نیاز به احراز هویت دو مرحله ای دارند و رمز عبور یک بار مصرف (OTP) که از طریق پیام کوتاه ارسال می شود اغلب یکی از این دو مرحله است. هدف OTP جلوگیری از کلاهبرداری با تأیید اینکه شخص معامله گر و صاحب کارت اعتباری هردو یکی هستند صورت میگیرد.

امروزه معاملات آنلاین برای امنیت بالاتر نیاز به احراز هویت دو مرحله ای دارند و رمز عبور یک بار مصرف (OTP) که از طریق پیام کوتاه ارسال می شود اغلب یکی از این دو مرحله است. هدف OTP جلوگیری از کلاهبرداری با تأیید اینکه شخص معامله گر و صاحب کارت اعتباری هردو یکی هستند صورت میگیرد. برای انجام این کار یک کد موقتی بطور خودکار از طریق پیامک به شماره تلفن همراه با حساب بانکی مورد استفاده ارسال می شود.

پس از دریافت اس ام اس “OTP” کاربر کد ارسالی را در رابط تراکنش تایپ می کند و تنها پس از آن قادر به خرید نهایی خود است. اما آیا دستگاه تلفن همراه (تبلت یا تلفن هوشمند) برای ارسال و دریافت پیام کوتاه بدون مخاطره است؟ متاسفانه باید بگویم خیر.

گذرواژه‌های یک بار مصرف (OTP) برای بانک ها و سازمانهایی که به دنبال تقویت امنیت خود با احراز هویت دو عاملی هستند (2FA) یک انتخاب رایج است. این رمزهای عبور تولید شده به طور تصادفی فقط برای یک جلسه ورود معتبر هستند و بر بسیاری از آسیب پذیریهای رمزهای عبور سنتی غلبه می کنند.

چندین روش تحویل برای OTP وجود دارد که هرکدام مزایای خاص خود را دارند. بانک ها و سازمانهایی که به گزینه های تأیید هویت OTP روی می آورند، باید این مسئله را هم در نظر بگیرند که کدام روش تحویل می تواند به بهترین وجه نیازهای آنها را برآورده کند.

نحوه کار توکن های درخواستی یا تقاضا دهنده

این فرآیند از  جایی شروع می شود که کاربر برای خرید های آنلاین از کارت اعتباری خود استفاده می کند. بر خلاف OTP های سخت افزاری و نرم افزاری، OTP های درخواستی غالباً مبتنی بر زمان هستند و نه مبتنی بر رویداد، به این معنی که حساس به زمان هستند با این حال مانند سایر روش های تحویلی، OTP ها در صورت استفاده مجدد قابل استفاده نیستند و پس از استفاده منقضی می شوند.

مزایای تحویل OTP On-Demand

راحتی در استفاده
روش های تحویل OTP در صورت تقاضا بسیار ساده و راحت است زیرا کاربران مجبور نیستند یک برنامه جداگانه را دانلود و پیکربندی کنند.

در صورت تقاضا، OTP ها در زمان واقعی ارسال می شوند و کاربر به طور معمول فقط در انتظار چند لحظه برای دریافت آنها است. امروزه بسیاری از کاربران ایمیل خود را به راحتی در رایانه یا دستگاه های تلفن همراه خود باز نگه می دارند بنابراین دسترسی به ایمیل و پیام های OTP به پیام کوتاه بسیار راحت است. علاوه بر این، پیام های پیامکی برخلاف سایر روش های احراز اعتبار مبتنی بر تلفن همراه می توانند بر روی دستگاههای تلفن همراه که تلفن هوشمند نیستند، ارسال شود.

کم هزینه
روشهای تحویل OTP با استفاده از تلفن همراه یا حساب ایمیل کاربری، صرفه جویی قابل توجهی در هزینه ها خواهد داشت.

از دیگر مزایای این فناوری می تواند به سهولت مدیریت، امن تر از رمزهای عبور سنتی و موارد دیگر اشاره کرد.

در ادامه مطالب به معایب این فناوری می پردازیم

در ژوئیه سال 2016 ، مؤسسه ملی استاندارد و فناوری ایالات متحده (NIST) اعلام کرد که OTP ها دیگر نباید از طریق پیام کوتاه به تلفن های همراه ارسال شوند زیرا OTP ها خیلی راحت توسط هکرها به سرقت می روند. بنابراین نباید از آنها به عنوان روش های احراز هویت خارج از باند “out-of-band ” استفاده شود. در عوض NIST توصیه می کند که سازمانها از روشهای تأیید اعتبار بهتری مانند such as push notifications ، soft OTPs و FIDO U2F tokens می توانند استفاده کنند.

سطح حملات بر روی OTP رو به افزایش است

با اینکه در کشور ما به تازگی اقدامات این فناوری صورت گرفته است با این حال سطح حملات OTP در کشورهای دیگر که مدت زیادی است از این فناوری استفاده می کنند رو به افزایش است
سیستم های زیادی در تحویل پیام کوتاه یا ایمیل دخیل هستند و هرکدام آسیب پذیری های خاص خود را دارند. ابتدا پروتکل های اینترنتی، شبکه های بی سیم و ارائه دهندگان خدمات مخابراتی OTP ها را تحویل می دهند و سپس اشخاص ثالث مختلفی وجود دارند که از طریق آنها می توان پیام ها ارسال کرد (واسطه پیامکی ، شرکتهای تلفنی ، شرکتهای سیستم عامل تلفن همراه ، شرکتهای VOIP ، ارائه دهندگان سرویس اینترنت ، نویسندگان برنامه و موارد دیگر).

در نهایت OTP ها به چندین دستگاه (تلفن ، رایانه ، ساعت هوشمند ، تبلت و غیره) تحویل داده می شوند و همین شرایط باعث می شود چندین برنامه مختلف در هر دستگاه به این پیام ها دسترسی داشته باشند. هرچه پیوندهای زنجیره ای ارسال و تحویل پیام ها بیشتر باشد، نقاط ضعف بیشتری برای بهره برداری وجود دارد.

علاوه بر این، اگرچه ممکن است OTP های درخواستی از نوع 2FA یا احراز هویت دو مرحله ایی باشند، با این حال مشتریان نمی توانند به این اطمینان برسند که فقط شخص خودشان این پیام ها را مشاهده خواهند کرد
امروزه بسیاری از گوشی های همراه دارای برنامه های نصبی زیادی مانند Google Messenger ، Hangouts ، شبکه های اجتماعی و … هستند که به صندوق پیامک یک تلفن دسترسی دارند. اگر هکرها به این برنامه ها دسترسی پیدا کنند یا برنامه ایی را ساخته و برای کار بر ارسال کنند، می توانند از راه دور کدهای 2FA یک کاربر را نیز سرقت کرده و از آن استفاده کنند. علاوه بر این ، شماره تلفنی که کاربر برای ثبت نام استفاده کرده است ممکن است متعلق به شخص دیگری باشد یا حتی ممکن است توسط یک هکر ربوده شود.

سناریوهای احراز هویت زیر که در اینجا مورد بحث قرار می گیرد مربوط به یک ارتباط ساده بین مشتری و وب سایت بانکی آنلاین وی است. پس از بررسی خطرناک ترین تکنیک های هک کردن، خواهیم دید که چه راه حل هایی را می توان اجرا کرد.

حمله (Man-in-the-middle (MITM 

حمله MITM یک استراق سمع فعال است که در آن مهاجم چندین تکنیک را با هم ترکیب می کند تا به دو شخص که در یک ارتباط امن در حال تعامل هستند مستقیما حمله کند. با این کار در اصل هکر فرایند sniffing را انجام خواهد داد.

هکرها غالبا از Sniffing برای “دیدن” بسته های داده ای که توسط بانک به کاربر نهایی ارسال شده استفاده می کنند.

حمله (Man-in-the-browser (MITB

MITB یکی از پیشرفته ترین حملات مورد استفاده هکرها است. بدافزارها (اغلب کرم ها) در مکانهای معمولی (هارد ذخیره سازی و غیره) ذخیره نمی شوند بلکه خود را درون برنامه هایی مانند مرورگر نصب می کنند، به همین دلیل تشخیص و حذف آنها بسیار سخت است. بیشتر MITB ها مخصوص یک مرورگر و وب سایت بانک ها بودند و نسخه های جدید آن بر روی مرورگرهای مختلف و وب سایتهای مختلف بانک ها گسترش می یابند.

به زبان ساده، معمولاً یک مرورگر از یک رابط کاربری گرافیکی (Graphic User Interface) و یک موتور (در بین سایر مؤلفه ها) تشکیل شده است. MITB شامل کنترل تبادل داده ها بین GUI و موتور است

چرا رمزهای یک بار (OTP) نسبت به این حملات حساس هستند؟

همه روش های احراز هویت یک طرفه (یا بدون OTP) به MITM و MITB حساس هستند.

برای روشن شدن این مسئله می توان گفت که نشان دادن OTP (یا بیومتریک ، کارتهای هوشمند …) در هنگام احراز هویت ساده یک طرفه با حضور MITM یا MITB، مانند نشان دادن شناسه شما (گذرنامه، اثر انگشت و…) به یک افسر پلیس جعلی است.

هکر می تواند آدرس IP کاربر  را برای فریب بانک، جعل کند و یا ترافیک کاربر را به سایت های جعلی که او کنترل می کند (از طریق پرونده میزبان یا هک DNS) تغییر مسیر دهد.

تکنیک نهایی هک کردن با تنظیم حمله Man-in-the-browser انجام می شود، جایی که بدافزار در داخل مرورگر کاربر  مستقر می شود. این نوع تکنیک ها اکثر اوقات توسط آنتی ویروس ها ، IPS یا سایر نرم افزارهای امنیتی تشخیص داده نمی شوند.

چگونه می توان از اتصال بین دو موجودیت در حمله MITM محافظت کرد؟

تنها راه تحقق یک ارتباط امن بین 2 موجودیت، مشارکت یک موجودیت سوم است. هدف از این کار اقدام متقابل و ایجاد یک احراز هویت قوی است که باید از همان رویکرد هکرها با تفاوت تأثیرات مثبت امنیتی استفاده شود.

در این مدل، شخص ثالث مانند “یک مرد خوب در وسط” عمل می کند. هدف شخص ثالث اعتبارسنجی هویت قانونی دو طرف می باشد که می خواهند در یک ارتباط امن با یکدیگر مراودات مالی انجام دهند بنابراین طرف اول پس از تأیید شخص ثالث می تواند وارد پروسه OTP شود.

یک مدل 3 طرفه قابل اعتماد ، کار را برای مجرمان سایبری سخت تر می کند.

تولید کننده های OTP در صورت اجرای ضعیف، مستعد حملات کلاهبرداران سایبری خواهند شد بنابراین تضمین تولید OTP نیاز به فناوریهای پیشرفته برای کاهش تهدیدات اصلی دارد.

منبع
irancyber

دیدگاه ها

.هیچ دیدگاهی یافت نشد
شما هم می توانید درمورد این پست نظر دهید.

Security & privacy

Security Monitoring

Application Security

Database Security

Top