Güvenli olmayan SMS doğrulama kodu konusunda endişeli, bir sonraki çok faktörlü kimlik doğrulama devralabilir
Günümüzde, İnternet günlük yaşamlarımızda gittikçe daha derin bir şekilde kökleştiğinden ve şimdi bile sadece İnternete güvenerek, "ev hayatına" ulaşabildik ve birçok insanın İnternetsiz bir hayatı hayal bile edemeyeceğine inanılıyor. Çeşitli ağ hizmetlerini kullanabilmek için, çeşitli uygulamalarda hesaplar kaydetmemiz ve onların kullanıcısı olmamız gerekir.
Kimlik doğrulama, dijital dünyayı açmanın anahtarıdırİnternet çağında, kullanıcı kimlik doğrulaması şüphesiz güvenliğe giden ilk kapı ve kullanıcıların çeşitli uygulamalara erişmesi için gerekli bir süreçtir.Bu nedenle, kullanıcı kimlik güvenliğinin sağlanması İnternet iş güvenliğinin temel taşıdır ve çeşitli kaynaklara erişimi de belirler. İzinlerin makul tahsisi ve kimlik doğrulamasının doğruluğu, çeşitli izinlerin tahsisinin yasallığını veya rasyonelliğini de doğrudan etkiler.
Hepimizin bildiği gibi İnternet, ikili sistemlerden inşa edilmiş bir dünyadır Cep telefonları veya PC'ler ile kullanıcılar arasındaki iletişim, genellikle "hesap + şifre" dediğimiz dijital kimlik gerektirir. Elbette, en geleneksel "hesap + şifre" yalnızca temel statik şifre doğrulamadır. Şifre ayarlandıktan sonra, kullanıcı aktif olarak değiştirmedikçe, değişmeden kalacaktır, bu da doğal olarak bariz problemleri beraberinde getirmektedir. Parola bilgisayar korsanları tarafından Truva atları, veritabanı isabetleri vb. Yoluyla çalınırsa ne yapmalıyım?
Sonuç olarak, daha gelişmiş bir dinamik doğrulama modu da türetilir. Temsilcilerden biri olan SMS doğrulama kodu, ancak maalesef iç polis, "GSM kaçırma + SMS koklama teknolojisi" suç yönteminin haberini bir kez vermiş ve GMS teknolojisine dayalı SMS doğrulama kodlarının artık kırılmaz olmadığını da göstermiştir.
Yaygın olarak kullanılan SMS doğrulama kodlarına ek olarak, dinamik şifreler en yaygın olanlardır. Birçok oyun oyuncusunun çeşitli "Genel Emirler" ve "Linglong Gizli Güvenlik Kilitlerine" aşina olduğuna inanıyorum. Bu tür "Tek Kullanımlık Şifre", özel bir algoritma tarafından verilen bir sayı dizisidir ve yalnızca kullanılan zamanla ilgilidir. Ancak bu tür bir dinamik doğrulama yazılımının çözmesi gereken sorun, istemci ile sunucu arasındaki zamanı iyi bir senkronizasyon durumunda tutmaktır, bu da nispeten iyi bir ağ ortamının gerekli olduğu anlamına gelir.
Daha güvenli çok faktörlü kimlik doğrulama buradaKimlik doğrulama teknolojisinin gelişimi, yazılım kimlik doğrulamasından donanım kimlik doğrulamasına, statik kimlik doğrulamadan dinamik kimlik doğrulamaya kadar bir süreçten geçmiştir ve bu kimlik doğrulama modlarının kendi eksiklikleri olduğu açıktır.
Bu nedenle sahtekarlık amaçlı kimlik kullanımının nasıl engelleneceği tüketicilerin endişesi haline geldi. Birkaç gün önce yabancı basında çıkan haberlere göre, ABD'nin dört büyük telekomünikasyon operatörü Verizon, Sprint, Mobile ve ATT ortaklaşa, amacı evrensel tek oturum açma platformu Project Verify oluşturmak olan Mobile Authentication Taskforce adlı bir şirket kurdu.
Sözde tek oturum açma, birden çok farklı uygulama sisteminde, kullanıcının karşılıklı olarak güvenilen tüm uygulama sistemlerine erişmek için yalnızca bir kez oturum açması gerektiğine işaret eder. Project Verify aracılığıyla hem Verizon hem de ATT kullanıcıları, aygıtları aracılığıyla hangi bilgilerin paylaşıldığını ve hangi uygulamaların bu bilgilere erişmesine izin verildiğini anlayabilir. Kullanıcı, cep telefonu ile uygulama hizmeti arasındaki ilk el sıkışma mekanizmasını kurduğunda, tüm platformdaki tüm uygulamalar arasında otomatik oturum açma gerçeğe dönüşür.
Önceki SMS doğrulama kodu fırtınasında, bir kez iki faktörlü kimlik doğrulama (2FA) teknolojisinden bahsetmiştik ve bu sefer Project Verify, buna, kullanıcının telefon numarasına, SIM kart bilgilerine ve IP adresine dayalı olarak çok faktörlü kimlik doğrulamayı kullanıyor. Bunlar, bu yeni sertifikasyon sisteminin temel taşlarıdır. Kullanıcının sisteme giriş yapmak için bir ID'ye sahip olması gerekir, ancak telefon, SIM kart, güvenlik sorunları ve diğer ilgili bilgiler ilk doğrulama sırasında sırayla karşılaştırılmalıdır.
Proje Doğrulaması, izole bir vaka olabilirAncak, cep telefonu kullanıcıları için aslında burada çok önemli bir sorun var: Bir doğrulama hizmeti olarak, Proje Doğrulama, uygulamanın kendisi tarafından desteklenmeli ve onu kullanmak için açık bir izne sahip olmalıdır. APP'ler arasındaki karşılıklı güven meselesi aslında Google zaten bir çözüme sahip. İlk defa Android P'de ağ bağlantısı durumuna kısıtlamalar getirdi, bu da APP'lerin kendisiyle ilgili olmayan, yani belirli bir paket iletişim paketlerini yakalamasını yasaklayacak. APP yalnızca kendisiyle ilgili bilgileri görebilir. Bu yepyeni ayar, kullanıcılar için nispeten saf bir izolatör oluşturmaya eşdeğerdir.Kötü amaçlı programlar içeren bir APP indirseniz bile, Proje Doğrulama projesinin üyelerini tehdit etmek zordur.
Dört büyük ABD operatörünün hakimiyetindeki yeni platform, tek oturum açma ve çok faktörlü kimlik doğrulama, bizim için yepyeni bir gelecek ortaya çıkardı. Bununla birlikte, bu projenin mükemmel bir vizyona sahip olmasına rağmen, sadece operatörlerin desteğini gerektirdiği için değil, aynı zamanda APP geliştiricilerinin çıkarlarının da geçici olarak uzlaştırılması zor olduğu için süreçte uygulanmasının da zor olduğu öngörülebilir.
Sonuçta, farklı sistemlerin engellerini aşmak için bu tür bir yaklaşım şu an için kolay değil. Örnek olarak en son iPhone Xs \ XR'yi alın. Apple bile, denizaşırı ülkelerde sağlanan fiziksel kart + eSIM kart kombinasyonu yerine yalnızca Çin için özel bir çift fiziksel SIM kart sürümü sağlayabilir. Bunun nedeni, Çin'in Mobil operatörler kendi kullanıcı grupları için küçük bir "hazine" gibi görünüyor. Project Verify gibi "Tek oturum açma" platformları aslında operatörler tarafından pek popüler değil. Sonuçta, bu platformda aktif olan kullanıcılar kime ait olmalıdır Ayrıca cevaplanması zor bir sorudur.
