IPIment ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

2FA

شرکت تاکیان - توسعه امن کیان - تاکیان

احراز هویت دو مرحله ای، دیگر قابل اعتماد نیست

به گزارش سایت هک رید؛ تاکنون به کرات در اخبار، به واکاوی و بررسی وضعیت امنیت احراز هویت 2 مرحله ‌ای پرداخته شده و در برخی مواقع، غیرقابل نفوذ بودن این احراز هویت‌ها در بعضی سرویس‌ها مطرح شده است. البته در همه‌ی موارد، با فرض این مسئله که کاربران از دستگاه تلفن همراه خود، به خوبی مراقبت می‌کنند، امنیت احراز هویت 2 مرحله‌ای تأیید شده است.

Takian.ir hacker demonstrates how to bypass two factor authentication

بیشتر برنامه های رایانه ای، برای افزایش امنیت خود، از تأیید 2 مرحله ای را پیشنهاد می کنند و باور دارند که امکان دور زدن آن وجود ندارد. اما هم اکنون هکرها به روشی دست یافتند که به آسانی از این شیوه حفاظتی از طریق حملات فیشینگ عبور می کنند.

در این زمینه، هکرها به کمک حملات فیشینگ و جانمایی بدافزار «KnowBe4» می توانند اطلاعات مربوط به تأیید 2 مرحله ای را سرقت کرده، فرآیند تشخیص هویت را دور بزنند.

شرکت «Mitnick» -که در زمینه هک و نفوذ فعالیت می نماید- طی یادداشتی اعلام کرد: بدافزار «KnowBe4»، بیش از 17 هزار سازمان و نهاد را تحت تأثیر قرار داده است. این بدافزار، به یاری حملات فیشینگ، وارد دستگاه های رایانه ای می شود.

روش پیشین -که برای دور زدن تشخیص هویت 2 مرحله ای ارائه شد- به این ترتیب بود که اطلاعات با بهره گیری از روش ‌های مهندسی اجتماعی و سایر یورش های سنتی، علیه گذرواژه ‌ها انجام می گرفت و داشتنی های زیر، مورد نیاز بودند:

•    شناسه و گذرواژه‌ی حساب کاربری قربانی
•    شماره‌ تلفن همراه قربانی که سرویس احراز هویت 2 مرحله‌ای روی آن تعریف شده است
•    سرویس جعل شماره‌ی همراه
•    شماره‌ی رایانامه صوتی به منظور دسترسی از راه دور

اما در روشی نوین، هکرها با فرستادن رایانامه های فیشینگ، بدافزار بالا را به سامانه کاربران وارد می کنند و مقدمات سرقت اطلاعات مربوط به تأیید هویت 2 مرحله ای را فراهم می نمایند.

فروش کلید امنیتی تایتان به مبلغ 50 دلار توسط گوگل

به گزارش سایت دهک نیوز، گوگل کلیدامنیتی خود را با نام تایتان (Titan) در فروشگاه گوگل به قیمت 50 دلار عرضه کرده است. این وسیله در ابتدا ماه گذشته در کنفرانس گوگل‌کلود نکس 18 معرفی شد.Takian.ir google titan key

کلید‌امنیتی تایتان یک دستگاه کوچک یو‌اس‌بی و مشابه یوبی‌کی است و دارای احراز هویت دو عاملی (2FA) مبتنی بر سخت‌افزار برای حساب‌های آنلاین با بالاترین سطح حفاظت در برابر حملات فیشینگ می‌باشد.کلید‌امنیتی تایتان در حال حاضر به طور گسترده‌ای در ایالات‌متحده‌آمریکا موجود است و یک بسته کامل 50 دلاری آن شامل موارد زیر می‌شود:

- کلید‌امنیتی یو‌اس‌بی
- کلید‌امنیتی بلوتوث
- تبدیل USB-C به USB-A
- کابل اتصال USB-C به USB-A

کلید‌امنیتی تایتان چیست؟

کلید‌امنیتی تایتان بر اساس پروتکل بر اساس پروتکل FIDO (Fast Identity Online) و U2F(Universal 2nd Factor) بوده و شامل یک وسیله امن و یک سیستم عامل پیشرفته توسط گوگل است که یکپارچگی کلید‌های امنیتی را در سطح سخت‌افزاری تایید می‌کند.

این وسیله یک لایه اضافی احراز هویت در بالای رمزعبور حساب کاربری اضافه می‌کند و کاربران می‌توانند با وارد کردن کلید‌امنیتی  یو‌اس‌بی و فشار دادن یک دکمه به سرعت به حساب‌های خود وارد شوند.

کلیدامنیتی تایتان با مرورگرها از جمله گوگل‌کروم و تعدادی از خدمات آنلاین محبوب مانند جی‌میل، فیس‌بوک، توییتر و دراپ‌باکس سازگار است.

این کلیدهای امنیتی همچنین با برنامه حفاظت پیشرفته، قوی‌ترین امنیت گوگل را برای کاربرانی که خطر قرار دارند به وجود می‌آورد.

مدیران گوگل‌کلود می‌توانند اجرای کلید‌امنیتی را در G Suite، Cloud Identity و پلتفرم گوگل‌کلود فعال کنند تا اطمینان حاصل شود که کاربران از کلیدهای امنیتی برای حساب‌هایشان استفاده می‌کنند.

کلیدی امنیتی تیتان چگونه امنیت آنلاین را تأمین می کند؟

به گفته گوگل، کلید‌های امنیتی مبتنی بر سخت افزار FIDO با امنیت بیشتر و ایمن‌تر در جلوگیری از فیشینگ، حملات مرد میانی (MITM) و سایر انواع حملات به حساب‌کاربری از جمله حملات مبتنی بر روش های 2FA که نیاز به ارسال پیام کوتاه(SMS) دارند، ایجاد می کند.Takian.ir google titan key usb

این کار به این دلیل است که حتی اگر یک مهاجم موفق به ایجاد هویت جعلی برای ورود به حساب‌کاربری آنلاین شود، ورود بدون کلید فیزیکی امکان‌پذیر نیست.

در ماه گذشته، گوگل اعلام کرده است که 85000  نفر از کارمند این شرکت  در ماه‌های سال گذشته از این کلیدهای امنیتی استفاده کرده و از آن زمان هیچکدام از آنها قربانی حمله فیشینگ نشده‌اند.

گوگل قبلا در اوایل ماه جولای هنگامی که این شرکت برای اولین بار این پروژه را اعلام کرد، کلید‌امنیتی تایتان را در اختیار مشتریان کلود‌سکوریتی خود قرار داد.