در ۱ مهر ۱۳۹۷
  • امنیت
  • امنیت نرم افزارهای اینترنتی
  • اینستاگرام

امکانات امنیتی اینستاگرامکاربران اینستاگرام به‌زودی به امکاناتی دست پیدا می‌کنند تا با استفاده از آن‌ها از خود در برابر افراد شرور اینترنت محافظت کنند. این شبکه‌ی اجتماعی که متعلق به فیس‌بوک است، اعلام کرد که در آینده از اپلیکیشن‌هایی که احراز هویت شخص ثالث دارند پشتیبانی می‌کند. متأسفانه این امکان امنیتی جدید اینستاگرام هیچ کاری در برابر حساب افرادی نمی‌کند که حساب اینستاگرامی را با استفاده یک شماره‌ی تلفن می‌ربایند – و این جرم رایج در حال گسترش یافتن است.

زیرنویس عکس: بنابر گفته‌ی اینستاگرام، احراز هویت دوعاملی را در چند هفته‌ی آینده در اختیار کاربران قرار خواهد داد.

سال‌ها بود که متخصصین امنیتی اخطار می‌دادند هکرها در اینستاگرام با سیستم امنیتی ضعیفی برای ورود به حساب دیگران مواجه هستند. اینستاگرام یک امکان امنیتی تعریف کرد که بنابر آن یک کد امنیتی را فقط یک‌بار برای کاربران ارسال می‌کند. این کد که از طریق پیامک برای کاربران ارسال می‌شود می‌تواند از راه‌های مختلفی توسط هکرها دریافت و خوانده شود. (اگر کمی صبر کنید بیشتر دراین‌باره توضیح می‌دهیم.)

احراز هویت جدید به این صورت خواهد بود که کاربر باید یک اپلیکیشن شخص ثالث مانند Authy، Duo یا Google Authenticator را دانلود کند که یک کد یک‌بارمصرف تولید می‌کند. کاربر باید پس از این‌که رمزی را تهیه کرد این کد را هم وارد کند.

در پستی که اخیرا روی بلاگ اینستاگرام قرار گرفت اعلام شد که پشتیبانی از اپلیکیشن‌های احراز هویت شخص ثالث در حال گسترش است و در هفته‌های آینده در دسترس کاربران جهانی قرار خواهد گرفت.

اینستاگرام حساب من را در فهرست سفید حساب‌های خود قرار داده است تا بتوانم از این امکان امنیتی جدید سریع‌تر استفاده کنم؛ پس به نظر می‌رسد این امکانات همچنان در دسترس عموم قرار نگرفته‌اند. اما اسکرین شاتی را در ادامه آورده‌ام که احراز هویتی دوعاملی را به شما نشان می‌دهد که در اپلیکیشن موبایل قابل ‌مشاهده است. وقتی این امکانات در دسترس عموم قرار بگیرند و شناخته‌تر شوند، اینستاگرام می‌گوید مردم می‌توانند از یک اپلیکیشن شخص ثالث هم استفاده کنند تا کد احراز هویت را دریافت نمایند. باید این مسیر را طی کنید:

  1. به بخش تنظیمات بروید.
  2. پایین بیایید و روی Two-Factor Authentication بزنید.
  3. اگر تا به حال این ویژگی را فعال نکرده‌اید روی Get Started بزنید.
  4. روی Authentication App بزنید و دستورالعمل روی صفحه را انجام دهید.
  5. کدی را وارد نمایید که از اپلیکیشن احراز هویت شخص ثالث دریافت می‌کنید تا این پروسه کامل شود.

به یاد داشته باشید که اگر از قبل احراز هویت پیامکی یا SMS-based authentication را فعال کرده باشید احتمالاً هنوز هم فعال است و باید خودتان آن را دوباره غیرفعال نمایید. اپلیکیشن اینستاگرام همچنین کاربران را تشویق می‌کند تا یک سری کد را ذخیره کنند که باید در جای امنی نگه‌داری شوند تا اگر گوشی هوشمند کاربر گم شد آن کدها از دست نروند.

چه مشکلی همچنان پابرجاست؟

اینستاگرام اخیراً نقدهایی منفی از مطبوعات دریافت کرده است که افرادی که احراز هویت پیامکی را هم فعال کرده بودند بازهم هکرها به حساب آن‌ها دسترسی پیدا کرده‌اند. ماجرا این است که بسیاری از این افراد حساب خود را از دست داده‌اند چراکه هکرها توانسته‌اند شماره‌ی آن‌ها را هم به دست آورند.

در این موارد هکرها توانسته‌اند کنترل حساب را به دست آورند چون اینستاگرام به کاربران اجازه می‌دهد تا با یک تأیید اولیه رمز خود را تغییر دهند. این تأیید به‌صورت یک پیامک است که به شماره‌ی دارنده‌ی حساب فرستاده می‌شود. و امکانات امنیتی جدید اینستاگرام هیچ تغییری برای این افراد ایجاد نمی‌کند که شماره‌ی خود را با اینستاگرام به اشتراک گذاشته‌اند.

هکرها هم می‌توانند از این رمز پیامکی استفاده کنند تا کنترل حساب فرد دیگری را به دست آورند. آن‌ها از روش‌هایی استفاده می‌کنند تا شماره‌ی دارنده‌ی حساب را به دست آورند و از این طریق آن پیامک را دریافت ‌می‌کنند. وقتی شماره را به دست آوردند و پیامک را هم دریافت کردند می‌توانند رمز اینستاگرام را به‌دلخواه خود تغییر دهند.

از اینستاگرام پرسیدم آیا راهی برای افرادی وجود دارد که شماره‌ی خود را با این شرکت به اشتراک گذاشته‌اند تا رمزِ بر اساس پیامک را غیرفعال کنند؟ این جواب را از یکی از کارکنان روابط عمومی آن‌ها دریافت کردم:

این سخنگو از طریق ایمیل به من گفت: «می‌توانم تأیید کنم که غیرفعال کردن پیامک دوعاملی نمی‌تواند تغییر رمز از طریق پیامک را غیرفعال کند. پیشنهاد می‌کنیم مردم به‌جای احراز هویت پیامکی از یک اپلیکیشن احراز هویت شخص ثالث استفاده کنند. به بهبود و ایمن کردن این اپلیکیشن ادامه می‌دهیم تا مردم در فضای امنی حضور داشته باشند.»

وقتی امکانات امنیتی بیشتری فراهم شوند همه ارزش کنار گذاشتن احراز هویت پیامکی را بهتر می‌فهمند. این امکانات احتمال این امر را کاهش می‌دهند که حساب کسی از طریق شماره‌ی تلفن او هک شود که خود این کار معمولاً توسط هکرها و مهاجمین حرفه‌ای انجام می‌شود.

حقیقت تلخ این است که اگر هکری به‌شدت به کنترل شماره‌ی شما نیاز داشته باشد این کنترل را به دست خواهد آورد. و اگر این کنترل را به دست آورد خیلی بیشتر از کنترل حساب اینستاگرام شما را به دست خواهد آورد: کسی که شماره‌ی تلفن شما را هک کند می‌تواند هرگونه حسابی را ایجاد نماید و هر رمزی را با هر پیامکی دریافت کند و تغییر دهد.

در ماه می KrebsOnSecurity گزارشی از یک مرد بوستونی ارائه کرد که حساب اینستاگرامش هک شده بود؛ به این صورت که کارمند دست‌وپا چلفتی شرکت T-Mobile بدون اجازه شماره‌ی تلفن او را به دستگاه دیگری انتقال داده بود. علاوه بر این در ایالات کالیفرنیا و فلوریدا چندین فرد به خاطر انجام چنین اعمالی دستگیر شده‌اند و چند نفر از آن‌ها به تهاجم اینترنتی متهم شده‌اند. بر اساس گزارش‌ها این افراد با کارمندانی در شرکت‌های مخابراتی در ارتباط بوده‌اند تا این امکان را برای آن‌ها فراهم کنند.

اگر دیده باشید می‌دانید که KrebsOnSecurity این ماه یک برنامه درباره‌ی توصیه‌های ایمنی داشت. در این برنامه به مردم توصیه شد که به‌جای استفاده از سیم‌کارت‌های مخابراتی از خدمات تلفن‌های اینترنتی مثل Google Voice استفاده کنند و روی سیم‌کارت‌های خود حساب باز نکنند چون آن‌ها بسیار شکننده ظاهر شده‌اند و احراز هویت ضعیفی دارند.

سلب مسئولیت استاندارد: اگر احراز هویت پیامکی قوی‌ترین ویژگی امنیتی است که وب‌سایت‌ها دارند، این ویژگی هنوز هم از صرفاً واردکردن رمز بهتر است. اگر امکانات امنیتی با کمک اپلیکیشن دیگری ایجاد شده‌اند از آن‌ها هم استفاده کنید. اگر سایتی از کلیدهای امنیتی سخت‌افزاری هم استفاده می‌کند که چه‌بهتر! در Twofactorauth.org می‌توانید فهرستی را پیدا کنید که در آن صدها سایت با احراز هویت دوعاملی ذکر شده‌اند. در این فهرست احتمالاً تعدادی سایت وجود خواهد داشت که به‌صورت روزانه از آن‌ها استفاده می‌کنید. این هفته چند دقیقه وقت بگذارید و حساب‌های مختلف خود را ایمن کنید.