چقدر میتوان به تایید دو مرحله ای ایمیل ها اعنماد کرد؟؟؟
با سلام خدمت همه دوستان و مدیران عزیز
همونطوری که میدونید چند وقتی هست که بیشتر سرویس دهنده های ایمیل یا سرویس های اینترنتی ، برای ورود به حساب کاربری تایید دو مرحله ای رو ابداع کردند
که کاربر هنگام ورود علاوه بر رمز عبور خود باید یک کدی که توسط اس ام اس یا توسط اپلیکیشن های شخص ثالث روی دستگاه های دیگه تولید میشه رو وارد کنند
مثلا گوگل اپلیکیشن Google Athenticator داره
مایکروسافت هم همینطور
و جدیدا فیسبوک هم ، هم از اپلیکیشن گوگل میتونه استفاده کنه و هم از داخل خود برنامه یه کد تولید کنه
یا مثلا یاهو برای هر بار ورد به حساب کاربری یک کد رو به شماره تلفنتون اس ام اس میکنه
به هر حال
سوالی که الان برام پیش اومده این هست که امنیت این ها در چه حدی هست؟؟؟
یعنی میشه دیگه با خیال راحت گفت کسی دیگه هیچ جوره به حساب کاربری من دسترسی نداره؟؟؟؟
الان این روش ها یه چند تا نکته داره که به نظر ضعف محسوب میشه
اول اینکه :
پسورد های سنتی گوگل و یاهو و مایکرسافت و شرکت های معتبر دیگه به صورت پیش فرض اینکریپشن شده هستند
یعنی به این راحتی نمیشه اون پسور ها رو به دست آورد
مخصوصا پسورد های گوگل و مایکروسافت رو
برای نفوذ به این حساب ها خب باید کلی زحمت کشید
اما خیلی راحت میشه تلفن صاحب حساب رو به دست آورد (حال یا از طریق دزدیدن گوشی ش یا از طریق مقامات سطح بالا و دسترسی به دیتابیس سرویس های مخابراتی) و به راحتی درخواست فراموشی رمز زد
و این شرکت ها برای این مرحله چند راه حل پیشنهاد میدن
که اولین راه حل ش ارسال کد به شماره ثبت شده هست
البته راه های دیگه هم هست مثلا استفاده از کامپیوتر اعتماد سازی شده
یا از طریق کد های ده گانه
یا از طریق اپلیکیشن های تولید کد
یعنی به عبارتی با به دست آوردن تلفن صاحب حساب به راحتی میشه به همه چیز دست پیدا کرد
این یه ضعف بزرگه
اما به غیر از این روش
آیا باز هم راه نفوذی به حساب کاربری که تایید دو مرحله ای براش فعال شده هست؟؟؟
دوستانی که اطلاع دارند خوشحال میشم راهنمایی کنند
با تشکر
جواب بصورت نقل قول