برچسب: احراز هویت دو مرحله ای

دسته‌ها
راهنمای-گام‌به‌گام مفاهیم امنیت دیجیتال

ارتباط دیجیتال امن: راهنمای انتخاب پیام‌رسان و نکات امنیتی مربوط به آن

 

به گمان من هیچ چیز به اندازه‌ی صدای اعلان (نوتیفیکیش) برنامه پیام‌رسان، یادآور حضور ما در عصر دیجیتال نیست، جایی که ارتباطات ما با ظهور این برنامه‌‌ها از اساس دچار دگرگونی شد.

این برنامه‌ها در ابعاد زیادی از زندگی روزمره ما تنیده هستند؛ به لطف این برنامه‌‌ها حالا می‌شود بی‌درنگ با دوستانمان گپ بزنیم، همکارانمان را از پیشرفت کار مطلع کنیم و با اعضای خانواده‌‌ بدون توجه به مرزهای جغرافیایی خوش و بش کنیم.

با این حال و هم عرض گسترش ارتباطات ما، اطمینان از امنیت و حفظ حریم خصوصی مکالمات نیز اهمیت پیدا کرده است. در این پست وبلاگ، ما به دنیای برنامه های پیام‌رسان می پردازیم، گزینه‌های مختلف موجود را بررسی می‌کنیم و شما را در مورد ایمن‌ترین راه‌های استفاده از آنها راهنمایی می‌کنیم.

پیام‌رسان‌های معتبر

پیام‌رسان‌های معتبر، به آن‌هایی گفته می‌شود که از رمزگذاری سرتاسری (End-to-End Encryption) استفاده می‌کنند. رمزگذاری سرتاسری  یک روش رمزنگاری است که در آن پیام ها فقط توسط فرستنده و گیرنده قابل خواندن هستند و هیچ نفر سومی، حتی ارایه‌دهنده خدمات پیام‌رسان، امکان دسترسی به ‍ آن‌ها را ندارد.

در رمزگذاری سرتاسری، پیام‌ها با کلیدی رمزگذاری می شوند که فقط فرستنده و گیرنده آن را دارند. در پیام‌رسان‌های امن این کلید به هیچ وجه با ارایه‌دهنده خدمات پیام‌رسان به اشتراک گذاشته نمی‌شود. رمزگذاری سرتاسری یک روش موثر برای محافظت از حریم خصوصی و امنیت ارتباطات دیجیتال است.

برخی از پیام‌رسان‌های معتبر عبارتند از:

سیگنال (Signal): سیگنال یکی از امن ترین پیام رسان های موجود است که از رمزگذاری پیش فرض استفاده می کند. ما در ایران درخاموشی پیشتر و به طور مفصل به معرفی این پیام‌رسان امن پرداخته‌ایم. در تعریف این پیام‌رسان همواره گفته شده که پیام‌رسان مورد اطمینان ادوارد اسنودن است.

تلگرام (Telegram): تلگرام نیز از رمزگذاری سرتاسری استفاده می کند، البته برای فعال کردن این امکان، باید گزنه چت مخفی(سکرت چت) را فعال کنید.

واتساپ (WhatsApp): واتساپ نیز از رمزگذاری سرتاسری استفاده می کند، اما فقط برای مکالمات انفرادی.

 iMessage (iOS): iMessage  پیام‌رسان پیش فرض سیستم عامل iOS است که از رمزگذاری سرتاسری استفاده می‌کند.

سشن :(Session)  پیام‌رسان «سشن» یکی از امن‌ترین اپلیکیشن‌ها و پیام‌رسان‌‌هاس. این برنامه نه تنها به داده‌های شما دسترسی ندارد بلکه ادعا می‌کند که هیچ ابرداده‌ای نیز از کاربران جمع‌آوری نمی‌کند.

داده‌ها و ابر‌داده‌هایی که پیام‌رسان‌ها جمع‌آوری می‌کنند:

علاوه بر پیام‌ها، پیام‌رسان‌ها ممکن است اطلاعات دیگری مانند شماره تلفن، آدرس ایمیل، تاریخ و زمان ارسال پیام، و موقعیت مکانی کاربر را نیز جمع آوری کنند. از آنجا که برنامه‌ها برای برقراری موفقیت آمیز ارتباط شما، معمولا به ابرداده‌ها احتیاج دارند، به زحمت بتوان از جمع‌آوری این اطلاعات ممانعت کرد.

همانطور که یک پستچی برای تحویل نامه‌ی شما باید بتواند روی پاکت را بخواند، ارتباطات دیجیتال نیز اغلب با دسترسی به منبع و مقصد مشخص می‌شوبا این وجود، تا زمانی که قوانین مناسب‌تری در راستای حفاظت از ابرداده‌ها جایگزین قوانین فعلی شوند و تا توسعه‌‎ی ابزارهای و اپلیکیشن‌هایی که به حفاظت از ابرداده‌ها، اهمیت بیشتری می‌دهند، بهترین کاری که می‌توان انجام داد این است که هنگام برقراری یک ارتباط دیجیتال، حواستان به ابرداده‌هایی که رد و بدل می‌شوند، باشد؛ به اینکه چه کسانی به این داده‌ها دسترسی دارند و اینکه چه کسانی از آن‌ها استفاده می‌کنند.

 

امن تر نگه داشتن پیام‌رسان‌ها

علاوه بر استفاده از پیام‌رسان‌های معتبر، می‌توانید اقدامات دیگری نیز برای امن تر نگه داشتن پیام‌رسان‌ها انجام دهید. بعضی از این اقدامات را باهم مرور می‌کنیم:

استفاده از رمزعبور قوی: برای ورود به پیام‌رسان‌ خود از یک رمزعبور قوی استفاده کنید.

فعال کردن تایید دو مرحله‌ای:  تایید دو مرحله‌ای یک لایه امنیتی اضافی است که به شما کمک می‌کند از حساب خود محافظت کنید.

استفاده از گزینه حذف خودکار:  این گزینه‌ای است که در برخی پیام‌رسان‌ها وجود دارد و با فعال کردن آن پیام‌ها فقط برای مدت زمان محدودی قابل مشاهده هستند.

خارج شدن از دیگر دستگاه‌ها: این گزینه‌ای است که برخی پیام‌رسان‌ها به آن مجهزند. اگر شما تصور می‌کنید که ممکن است کسی با روی یک دستگاه دیگر و با نام کاربری شما وارد حسابتان شده است می‌توانید با فعال کردن این گزینه از تمام دستگاه‌ها غیر از دستگاه خودتان بیرون بیایید.(LogOut). طریقه انجام این کار در سه پیام‌رسان محبوب و پرکاربرد در ایران را با هم مرور می‌کنیم:

در تلگرام: تلگرام: تنظیمات >  حریم خصوصی و امنیت >  جلسات فعال >  پایان دادن به همه جلسات دیگر

Telegram: Settings > Privacy & Security > Active Sessions > Terminate All Other Sessions

در واتساپ: گزینه‌های بیشتر>  دستگاه‌های مرتبط > خروج از همه دستگاه‌ها

WhatsApp: More options > Linked devices > Log out from all devices

درسیگنال: تنظیمات > حریم خصوصی > جلسات فعال > پایان دادن به همه جلسات دیگر

Signal: Settings > Privacy > Active sessions > Terminate all other sessions

به طور کلی برای اینکه مطمین شوید که تنها خودتان از حساب‌کاری پیام‌رسان‌تان استفاده می‌کنید، توصیه ‌می‌شود که هر از چند گاهی این گزینه را استفاده کنید.

 

استفاده از VPN‍: به کارگیری VPN می‌تواند در روند جمع‌آوری ابر داده اختلال ایجاد کند و یک لایه اضافی برای مقابله با نظارت احتمالی به وجود بیاورد.

نکات تکمیلی

در اینجا به چند نکته تکمیلی برای برقراری ارتباط امن با دیگران اشاره می‌کنیم:

  • از پیام‌رسان‌های ناشناخته یا مشکوک استفاده نکنید.
  • قبل از دانلود و نصب یک پیام‌رسان، سیاست‌‌های حریم خصوصی آن‌را مطالعه کنید و بعد تصمیم بگیرید که می‌خواهید اطلاعات و داده‌‌های خود را از طریق آن منتقل کنید.
  • از پیام‌رسان‌ داخلی استفاده نکنید: پیام‌رسان‌های داخلی معمولا از رمزگذاری سرتاسری استفاده نمی‌کنند. این بدان معناست که ارائه دهنده خدمات پیام‌رسان‌ها می تواند پیام‌های شما را بخواند و آنها را با دیگران به اشتراک بگذارد.
  • علاوه بر این، پیام رسان های داخلی معمولا از سیاست های حریم خصوصی شفاف برخوردار نیستند. یعنی ممکن است ارایه‌دهنده خدمات پیام رسان اطلاعات دیگری را نیز در مورد شما جمع آوری کند، مانند موقعیت مکانی، شماره تلفن و سابقه فعالیت شما. همچنین شواهد زیادی از نظارت و سانسور در این پیام‌رسان‌ها و به اشتراک گذاشتن داده‌‌های کاربران با نیروهای امنیتی توسط آن‌ها منتشر شده است.

بنابراین، اگر به حریم خصوصی و امنیت خود اهمیت می دهید، بهتر است از پیام رسان های داخلی استفاده نکنید.

حرف آخر

با توجه به افزایش تهدیدات سایبری، حفظ امنیت اطلاعات و حریم خصوصی در ارتباطات دیجیتال اهمیت زیادی پیدا کرده است. استفاده از پیام‌رسان‌های معتبر و رعایت نکات امنیتی می تواند به شما کمک کند تا ارتباط امن تری با دیگران برقرار کنید.

اما همواره به یاد داشته باشید که هیچ امنیت قطعی در دنیای اینترنت وجود ندارد. این نکته را باید هنگام رد و بدل کردن محتوایی که برای شما ممکن است خطرات امنیتی به همراه داشته باشد در نظر بگیرید. به خصوص اگر در کشوری مثل ایران زندگی می‌کنید که نیروهای امنیتی به ابزارهای پیشرفته‌ای برای رصد کاربران مجهز هستند.

 

 

دسته‌ها
راهنمای-گام‌به‌گام مفاهیم امنیت دیجیتال

مدیریت رمزهای عبور، کلید زندگی آنلاین امن

در روزگاری که بیشتر اقدامات روزمره ما در فضای مجازی رقم می‌خورد، گذرواژه‌ها کلید دسترسی و ورود ما به جای جای دنیای آنلاین هستند؛ از حساب کاربری ما در شبکه‌های اجتماعی گرفته تا اطلاعات حساسی مثل حساب‌های بانکی و کیف پول دیجیتال. با گسترش روزافزون سکوهای آنلاینی که استفاده می‌کنیم، مدیریت موثر رمزهای عبور برای در امان نگه داشتن داده‌های شخصی، به بخشی حیاتی از زندگی آنلاین ما تبدیل شده است. در این یادداشت کوتاه، روش‌ها و توصیه‌هایی برای ایمن نگه‌داشتن گذرواژه‌ها ارایه شده است. با به کاربستن این ده فرمان امنیت دیجیتال، می‌توانید تا حد قابل توجهی حساب‌های کاربری خود را در مقابل حملات خراب‌کارانه و هکری ایمن کنید.

 ۱.از رمزهای عبور قوی و پیچیده استفاده کنید. یک رمز عبور قوی معمولا از ترکیب حروف بزرگ و کوچک، اعداد و علامت‌های خاص تشکیل شده است. سعی کنید که رمز عبور شما بیشتر از ۱۲ کارکتر باشد و از نام، تاریخ تولد یا کلمات رایج(موجود در لغت‌نامه) و اطلاعاتی که به راحتی قابل حدس زدن هستند خودداری کنید.

۲.رمزهای عبور منحصر به فرد برای هر حساب استفاده کنید. استفاده از رمز عبور یکسان برای چندین حساب خطرناک است زیرا اگر یک حساب در معرض خطر قرار گیرد، همه حساب های دیگر شما آسیب‌پذیر می‌شوند. تنبلی نکنید و برای هر حساب کاربری خود، رمز عبور اختصاصی استفاده کنید.

۳.احراز هویت دو مرحله‌ای (2FA) را فعال کنید.  احراز هویت دو مرحله‌ای که پیشتر درباره آن به تفصیل توضیح داده بودیم، یک لایه امنیتی اضافی ایجاد می‌کند. پس از وارد کردن رمز عبور، یک کد تایید در تلفن یا ایمیل دریافت خواهید کرد. برای کاربران در ایران-  به دلیل دسترسی حکومت به پیامک و خط تلفن شما – بهتر است از ایمیل استفاده کنید. این‌ کار تضمین می‌کند که حتی اگر شخصی رمز عبور شما را بداند، نتواند بدون کد اضافی به حساب شما دسترسی پیدا کند.

۴.به طور منظم رمزهای عبور را به روز کنید. تغییر دوره‌ای رمز عبور خطر دسترسی غیرمجاز به آن‌را کاهش می‌دهد. برای به‌روز رسانی رمزهای عبور در هر چند ماه یکبار، یک یادآوری در تقویم خود تنظیم کنید. اگر یادآوری آن برایتان دشوار است، یک برنامه مدیریت رمز عبور می‌تواند به شما در پیگیری تغییرات کمک کند.

 ۵.از یک مدیر رمز عبور استفاده کنید.  ابزارهای مدیریت رمز عبور مانند  LastPass ، Dashlane ، KeePassXC یا 1Password  می‌توانند فرآیند ایجاد، ذخیره و تکمیل خودکار رمزهای عبور پیچیده را ساده کنند. آنها رمزهای عبور شما را رمزگذاری می‌کنند و یک انبار امن ارایه می‌دهند که با یک رمز عبور اصلی قابل دسترسی است. بدین ترتیب شما به جای نگهداری از چندین و چند  گذرواژه، تنها باید رمزعبور برنامه «مدیریت رمزعبور» را در جای امن نگهدارید و ساخت، به روزرسانی و نگهداری از باقی رمزهای عبورتان را به این برنامه بسپارید. داشتن یک برنامه مدیریت رمزعبور، از نخستین توصیه‌های هر کارشناس امنیت دیجیتال است.

۶.دستگاه‌های خود را ایمن کنید. اطمینان حاصل کنید که دستگاه‌های شما – تلفن‌های هوشمند، لپ‌تاپ‌ها و تبلت‌ها – با گذرواژه‌ها یا پین‌های قوی محافظت می‌شوند. در صورت گم شدن یا دزدیده شدن دستگاه، داشتن رمز عبور از دسترسی غیرمجاز به حساب‌های شما جلوگیری می‌کند.

۷.در مورد سوالات امنیتی محتاط باشید. بسیاری از حساب‌ها سوالات امنیتی را به عنوان یک لایه حفاظتی اضافی ارایه می‌دهند. از به کار بردن پاسخ‌هایی که به راحتی قابل کشف هستند خودداری کنید. در عوض، سوالات و پاسخ‌های مبهم را انتخاب کنید که فقط شما از آن اطلاع دارید.

۸.به طور منظم بر حساب‌های خود نظارت داشته باشید. به طور منظم فعالیت‌های حساب خود را برای هرگونه ورود یا تراکنش مشکوک بررسی کنید. اگر متوجه چیز غیرعادی شدید، فورا برای تغییر رمز عبور و ایمن‌سازی حساب خود اقدام کنید.


 ۹.مراقب حملات فیشینگ باشید. فیشینگ روش رایجی است که توسط هکرها برای فریب کاربران استفاده می‌شود تا رمزهای عبور خود را افشا کنند. مراقب ایمیل‌های مشکوک یا لینک‌هایی باشید که از شما می‌خواهند رمزهای ورود خود را وارد کنید. همیشه قبل از کلیک بر روی هر پیوندی، مشروعیت فرستنده را بررسی کنید.


۱۰. رمزعبور خود را روی مرورگر ذخیره نکنید. ذخیره کردن گذرواژه روی مرورگر آسیب‌پذیری آن را در مقابل حملات خرابکارانه و هکری بالا می‌برد؛ اگر کامپیوتر شما هک شود، هکرها می‌توانند به همه رمزهای عبور ذخیره شده در مرورگر شما دسترسی پیدا کنند. این شامل پسوردهای حساب های ایمیل، حساب‌های بانکی و سایر حساب‌های مهم شما می‌شود. به همین خاطر بهتر است به جای اطمینان به مرورگرها از یک برنامه  مدیریت رمز عبور استفاده کنید.

 

۱۱. از آخرین تهدیدات امنیت سایبری مطلع باشید. تهدیدات امنیت سایبری به طور مداوم در حال تغییر هستند. در مورد آخرین تکنیک‌های فیشینگ، نقض داده‌ها و روندهای امنیتی مطلع باشید. این دانش به شما امکان می‌دهد که در مورد مدیریت رمز عبور و حساب‌های آنلاین خود آگاهانه تصمیم بگیرید.

 

فراموش نکنید که در دنیای امروز، مدیریت رمز عبور و انتخاب و نگه‌داری درست از آن دیگر نه فقط یک توصیه بلکه یک ضرورت است. با اجرای این توصیه‌ها، می‌توانید امنیت حضور خود در فضای مجازی را به میزان قابل توجهی افزایش دهید. به یاد داشته باشید که همین اقدامات پایه‌ای و ساده که برای محافظت از رمز عبور خود انجام می‌دهید، مستقیما بر ایمنی اطلاعات شخصی و هویت دیجیتال شما تاثیر می‌گذارد.

درنهایت برای بهره‌مندی از مزایای زندگی دیجیتال بدون نگرانی مداوم از دسترسی غیرمجاز دیگران به داده‌ها و دارایی‌های دیجیتال خود، امنیت سایبری را جدی بگیرید و در اولویت اقدامات دیجیتال خود قرار دهید.

دسته‌ها
دسته‌بندی نشده

رمزنگاری داده چیست و چرا اهمیت دارد

روزگاری اصلی‌ترین راه ارتباطی تلفن ثابت بود. دوره‌ قرار گذاشتن پای تلفن سر ساعت مشخص، صف‌های طولانی باجه‌‌های تلفن همگانی و به دنبال سکه گشتن برای چند دقیقه برقراری ارتباط. این خاطرات حالا خیلی دور و غیرواقعی به نظر می‌رسند چرا که امروزه برقراری ارتباط از هر زمانی آسان‌تر شده است. حتی در کشوری مثل ایران که تقریبا تمام پیام‌رسان‌های پرکاربرد جهان در آن مسدود هستند، گوشی‌های ما پر  از برنامه‌هایی برای برقراری ارتباط با یکدیگر است.

ما برای ارتباط با دوستان، خانواده و همکاران و اشتراک‌گذاری سریع و آسان اطلاعات به برنامه‌های پیام‌رسان متکی هستیم. هر چه ما بیشتر برای تبادل اطلاعات حساسی مثل تراکنش‌های مالی، مکالمات تجاری محرمانه و به اشتراک‌گذاری عکس‌های خصوصی و خانوادگی به این برنامه‌ها تکیه می‌کنیم، نیاز به رعایت امنیت و حفظ حریم خصوصی در آن‌‌ها بیشتر و بیشتر می‌شود. اینجاست که رمزگذاری یا  Encryption اهمیت خود را نشان می‌دهد. در این مطلب، شایع‌ترین انواع پروتکل‌های رمزگذاری و نحوه استفاده برنامه‌های پیام‌رسان از آن‌ها برای ایمن نگه داشتن مکالمات را بررسی خواهیم کرد.

 

رمزنگاری چیست؟

به طور خلاصه، «رمزگذاری» یا  Encryption، فرآیندی است که در آن اطلاعات به محتوای ناخوانا و غیرقابل درک برای انسان تبدیل می‌شود و تا زمانی که کسی کلید باز کردن قفل آن را نداشته باشد، امکان دسترسی به اطلاعات را هم نخواهد داشت. این، رمزگذاری را به ابزاری ضروری برای حفظ امنیت اطلاعات حساس تبدیل می‌کند.

روش‌ها و الگوریتم‌های رمزنگاری مختلفی وجود دارد. در یکی از این روش‌ها ابتدا اطلاعات با استفاده از یک کلید، درهم و ناخوانا می‌شوند، سپس در مقصد با استفاده از همان کلید یا یک کلید دیگر  به شکل اولیه برمی‌گردند و خوانا و قابل استفاده می‌شوند. از این روش می‌توان برای محافظت از انواع داده‌ها استفاده کرد؛ از رمزهای عبور و شماره کارت اعتباری گرفته تا ایمیل‌ها و پیام‌ها.

 

رمزگذاری چگونه کار می‌کند؟

رمزگذاری با تبدیل متن ساده (یعنی اطلاعات قابل خواندن) به متن رمزی (یعنی اطلاعات ناخوانا) کار می‌کند. دو نوع اصلی رمزگذاری وجود دارد: متقارن و نامتقارن.

 

رمزنگاری متقارن

رمزگذاری متقارن از یک کلید برای رمزگذاری و رمزگشایی داده‌ها استفاده می‌کند. این بدان معناست که هم فرستنده و هم گیرنده باید کلید یکسانی برای دسترسی به داده‌ها داشته باشند.

 

در حالی که رمزگذاری متقارن سریع و کارآمد است، اما می‌تواند امنیت کمتری نسبت به رمزنگاری نامتقارن داشته باشد، زیرا کلید باید از طریقی بین طرفین به اشتراک گذاشته شود. همچنین  برخلاف رمزنگاری نامتقارن، امکان جاسازی ابرداده‌ در کلید‌ها وجود ندارد و بنابراین در این شکل رمزنگاری کلیدها فاقد فهرست کنترل دسترسی و تاریخ انقضا هستند.

 رمزنگاری نامتقارن

رمزنگاری نامتقارن  که به عنوان رمزنگاری کلید عمومی شناخته می‌شود، از دو کلید -یکی عمومی و دیگری خصوصی- برای رمزگذاری و رمزگشایی داده‌ها استفاده می‌کند. کلید عمومی با هر کسی که نیاز به ارسال پیام‌های رمزگذاری شده به  شما دارد به اشتراک گذاشته می‌شود، در حالی که کلید خصوصی مخفی نگه داشته می‌شود و فقط توسط شما برای رمزگشایی پیام ها استفاده می‌شود.

رمزنگاری نامتقارن کندتر از رمزنگاری متقارن اما امن‌تر از آن است، زیرا هرگز لازم نیست کلید خصوصی با کسی به اشتراک گذاشته شود.

همچنین در این روش اگر فرد یا سیستمی به هر دلیلی و از هر طریقی کلید خصوصی را گم کند، امکان رمزگشایی پیام‌ها به کل از بین می‌رود.

رمزگذاری همتا به همتا (P2P)

رمزگذاری همتا به همتا (P2P) یک پروتکل ارتباطی امن است که امکان تبادل مستقیم و خصوصی داده بین دو یا چند دستگاه را بدون نیاز به واسطه یا سرور مرکزی فراهم می کند. با رمزگذاری P2P، برای اطمینان از محرمانه ماندن اطلاعات و پیشگیری از هرگونه دسترسی غیر مجاز، داده‌ها بر روی دستگاه فرستنده رمزگذاری می‌شوند و فقط توسط گیرنده مورد نظر می‌توانند رمزگشایی شوند. این رویکرد غیرمتمرکز یک لایه امنیتی اضافی را فراهم می‌کند، زیرا هیچ نقطه‌ای از شکست یا آسیب پذیری وجود ندارد که بتوان از آن سواستفاده کرد.

تکنولوژی P2P  یا Peer-to-Peer با حذف نیاز به اتصال به سرور مرکزی، مزیت‌هایی را به ارمغان می‌آورد. این شبکه پیشرفته قادر است فایل‌ها را با سرعت بالا در فواصل زیاد به اشتراک بگذارد و دسترسی به فایل‌ها را در هر زمان فراهم کند. در عین حال و در کشورهایی مثل ایران که دولت امکان دسترسی به میزبان و سرور مرکزی را برای نظارت بر داده‌های کاربران در اختیار دارد، شبکه P2P با حذف سرور مرکزی، امکان دور زدن محدودیت‌ها و نظارت‌های احتمالی در این شکل شبکه را فراهم می‌کند.

رمزگذاری P2P معمولاً در برنامه‌های کاربردی مختلف، از جمله اشتراک‌گذاری فایل، پلتفرم‌های پیام‌رسان و ارتباطات صوتی یا تصویری استفاده می‌شود، جایی که حفظ حریم خصوصی و امنیت داده‌ها نگرانی‌های اصلی است.

رمزنگاری سرتاسری (End-to-End Encryption)

رمزنگاری سرتاسری (End-to-End Encryption) یک فناوری رمزنگاری است که امنیت و حریم خصوصی ارتباطات را در طول مسیر ارسال و دریافت اطلاعات از یک ارسال کننده به یک گیرنده فراهم می‌کند. در این نوع رمزنگاری، اطلاعات در دستگاه ارسال کننده رمزگذاری می‌شوند و تنها در دستگاه گیرنده با استفاده از کلیدهای خصوصی مربوطه قابل رمزگشایی هستند. این به این معناست که حتی سرویس ارائه دهنده پیام‌رسان یا سرورهای مرکزی نیز قادر به دسترسی به محتوای پیام‌ها نیستند. با استفاده از رمزنگاری سرتاسری، فقط فرستنده و گیرنده نهایی قادر به مشاهده و خواندن محتوای ارسالی هستند، که این امر حفاظت بیشتری را برای اطلاعات حساس و خصوصی فراهم می‌کند. این فناوری در بسیاری از پیام‌رسان‌ها و برنامه‌های ارتباطی استفاده می‌شود تا ارتباطات کاربران را امن نگه دارد.

 

بهترین پیام‌رسانها با قابلیت رمزنگاری پیام کدامند؟

پیام‌رسان‌های متعددی از پروتکل رمزگذاری برای محافظت از حریم خصوصی و امنیت کاربران استفاده می‌کنند. برخی از محبوب‌ترین و امن‌ترین‌های آنها عبارتند از Telegram، WhatsApp و Signal.

تلگرام یک برنامه پیام‌رسانی مبتنی بر فضای ابری است که تماس‌های صوتی و چت‌های مخفیانه خود را با امکان رمزگذاری سرتاسری ارایه می‌دهد. این برنامه همچنین به کاربران اجازه می‌دهد پیام هایی با قابلیت پاک شوندگی خودکار ارسال کنند.

واتس‌اپ که از پرکاربردترین پیام‌رسان‌های جهان محسوب می‌شود، پس از فیلتر شدن تلگرام در ایران نیز به پیام‌رسانی محبوب بدل شد. این برنامه رمزگذاری سرتاسری را برای همه پیام‌ها، تماس‌ها، عکس‌ها و ویدیوها فراهم می‌کند. همچنین کاربران می‌توانند در این برنامه پیام‌هایی با قابلیت پاک شوندگی خودکار ارسال کنند.

Signal یک برنامه پیام‌رسان متمرکز بر حریم خصوصی است که از رمزگذاری سرتاسری برای محافظت از همه ارتباطات، از جمله پیام‌ها، تماس‌های صوتی و تماس‌های ویدیویی استفاده می‌کند. همچنین ویژگی‌هایی مانند ناپدید شدن خودکار مکالمات، چت‌های گروهی و پشتیبانی از اشتراک‌گذاری فایل‌های رمزگذاری شده نیز در این برنامه پیش‌بینی شده است.

این برنامه‌ها در سال‌های اخیر و به ویژه میان کسانی که نگران حریم خصوصی و امنیت آنلاین هستند به طور فزاینده‌ای محبوب شده‌اند.

این برنامه‌ها با استفاده از پروتکل رمزنگاری یک لایه حفاظتی اضافی را در اختیار کاربران قرار ‌می‌دهند تا رهگیری یا دسترسی به پیام‌ها و تماس‌های آنها برای اشخاص ثالث دشوارتر باشد. شاید به همین خاطر باشد که هر سه این برنامه‌ها در ایران مسدود هستند و امکان دسترسی به آن‌ها بدون فیلترشکن میسر نیست.

رمزنگاری شرط لازم اما ناکافی امنیت

شما نباید هرگز از پیام‌رسان یا برنامه‌ای که از پروتکل‌های رمزنگاری بهره نمی‌برد، استفاده کنید اما به یاد داشته باشید که صرف رمزنگاری به محافظت از امنیت شما منجر نمی‌شود. در صورت دسترسی افراد غیرمجاز به پیام‌های رمزنگاری شده هرچند محتوای این پیام‌ها برای آن‌ها پوشیده می‌ماند اما ممکن است با دسترسی به ابرداده‌های پیام شما، به اطلاعاتی حیاتی دست پیدا کنند که امنیت دیجیتال شما را به خطر بی‌اندازد. بنابراین تا حد امکان از برنامه‌هایی استفاده کنید که نه تنها محتوا را رمزنگاری میکنند بلکه ابرداده‌ها را نیز جمع‌آوری نمی‌کنند.

کلام آخر 

رمزگذاری برای محافظت از اطلاعات حساس در عصر دیجیتال بسیار مهم است. با رمزگذاری داده‌ها می‌توانید اطمینان حاصل کنید که اطلاعات شما برای افراد غیرمجاز به راحتی قابل رهگیری یا دسترسی نیستند. . این موضوع به ویژه برای اطلاعات حساس مانند داده‌های مالی، اطلاعات شخصی، داده‌های تجاری محرمانه و در کشوری مثل ایران برای انتقال پیام بین فعالین سیاسی و اجتماعی بسیار حائز اهمیت است.

رمزگذاری همچنین نقش مهمی در حفظ حریم خصوصی و امنیت آنلاین دارد. با رمزگذاری پیام‌ها و سایر اشکال ارتباطی، می‌توانید هویت آنلاین خود را در امان نگه دارید و از اطلاعات حساس خود در برابر هکرها، مجرمان سایبری و رصد نیروهای امنیتی محافظت کنید.

 

برای نوشتن این مطلب از منابع زیر استفاده شده است:

وبسایت The Cryptography Stack Exchange 

مطلب: The Electronic Frontier Foundation (EFF)-What Should I Know About Encryption

 وبسایت National Institute of Standards and Technology 

 

 

 
دسته‌ها
دسته‌بندی نشده

احراز هویت دو عاملی چیست؟

احراز هویت دو عاملی چیست

 

امروز و در عصر دیجیتال، امنیت سایبری بیش ازهر زمان دیگری اهمیت دارد. با رشد تعداد کاربرانی که از خدمات آنلاینی مثل خرید، بانکداری و شبکه‌های اجتماعی استفاده می‌کنند، خطر دسترسی غیر مجاز به حساب‌های کاربری افراد نیز افزایش داشته است. 

«احراز هویت دومرحله‌ای»، راه‌ حلی ساده و موثر برای مواجه با این مشکل است که با اضافه کردن یک لایه‌ امنیتی، از ترکیب «نام کاربری و رمز عبور» که پایه‌ای‌ترین شکل امنیت هستند، فراتر می‌رود.

در این یادداشت کوتاه، نقاط ضعف و قوت «احراز هویت دومرحله‌ای» را با هم مرور می‌کنیم. همچنین ملاحظات و خطرهای استفاده از چنین ابزاری در کشوری مانند ایران  را مورد بررسی قرار می‌دهیم؛  کشوری که در آن دولت  به پیامک‌های کاربران دسترسی دارد. در انتها طرز کار برنامه‌ی محبوب «احراز هویت دومرحله‌ای گوگل» را توضیح خواهیم داد.

«احراز هویت دومرحله‌ای» چیست؟

 

«احراز هویت دومرحله‌ای»، یک اقدام امنیتی است که برای دسترسی به یک حساب کاربری یا دستگاه، نیاز به دو فرم شناسایی دارد. این شناسایی معمولا شامل چیزی است که کاربر «می‌داند» و همیشه ثابت است؛ مانند یک رمز عبور به علاوه چیزی  که کاربر«دارد» و عامل دوم و متغیر را از طریق آن دریافت می‌کند، مانند یک تلفن همراه یا توکن سخت‌افزاری. با درخواست دو فرم شناسایی، این ابزار به حفاظت در برابر دسترسی غیرمجاز به اطلاعات یا منابع حساس کمک می‌کند.

 

«احراز هویت دومرحله‌ای» چه مزایایی دارد؟

افزایش امنیت: «احراز هویت دومرحله‌ای»  یک لایه امنیتی بیشتر به ترکیب سنتی نام کاربری و رمز عبور اضافه می‌کند.این بدان معنا است که اگرحتی شخصی – و از جمله یک هکر- بتواند  به رمز عبور شما دسترسی پیدا کند، همچنان از ورود به حساب کاربری شما ناتوان  است چون  برای این کار باید به فاکتور دوم نیز دسترسی داشته باشد.

محافظت در برابر فیشینگ: حملات فیشینگ روش  رایجی است که هکرها برای سرقت نام کاربری و رمز عبور استفاده می‌کنند. با وجود اینکه کلمات عبور قوی و پیچیده ترکیبی از حروف بزرگ و کوچک، اعداد و نشانه‌های خاص هستند، هکرها همچنان می‌توانند این کلمات عبور را پیدا کرده  و از آنها برای ورود به حساب کاربری شما استفاده کنند.

با استفاده از دو عاملی سازی، کاربر باید یک کد را همراه با کلمه عبور وارد کند، که می‌تواند امنیت حساب کاربری را به طور چشمگیری افزایش دهد. حتی اگر کاربر قربانی یک حمله فیشینگ شود و رمز عبور خود را در صفحه ورود جعلی وارد کند، مهاجم بدون فاکتور دوم، باز هم نمی‌تواند به حساب کاربری دسترسی پیدا کند.

استفاده‌ی آسان: احراز هویت دو مرحله‌ای برای پیاده‌سازی و استفاده آسان است. بسیاری از خدمات آنلاین، از جمله ارایه‌دهندگان ایمیل، پلتفرم‌های رسانه‌های اجتماعی و برنامه‌های بانکی، این امکان  را به عنوان یک گزینه ارایه می‌دهند. کاربران می‌توانند به سرعت و به راحتی آن‌ را راه‌اندازی کنند و برای این کار نیازی به مهارت فنی خاصی ندارند.

در دسترس بودن برنامه‌های افزودنی: بسیاری از سرویس‌های آنلاین از احراز هویت دو مرحله‌ای با استفاده از برنامه‌های افزودنی مانند Google Authenticator پشتیبانی می‌کنند. این برنامه‌ها رمزهای عبور یکبار مصرف تاریخ انقضا دار(TOTP)، تولید می‌کنند که می‌تواند به عنوان عامل دوم – به جای پیامک – استفاده شود. این یک لایه امنیتی اضافی را فراهم می‌کند، زیرا هکرها برای دریافت TOTP نیاز به دسترسی فیزیکی به دستگاه کاربر دارند.

ایجاد یک لایه امنیتی بیشتر با کدهای پشتیبان: کدهای پشتیبان یا(Backup Codes)، کدهای یک‌بار مصرفی هستند که توسط سرویس ۲ عاملی (Two-factor Authentication) تولید می‌شوند و در صورتی که کاربر دستگاه یا رمز عبور خود را از دست داده باشد، می‌تواند با استفاده از این کدها وارد حساب کاربری خود شود. کدهای پشتیبانی اهمیت زیادی دارند، چرا که با ایجاد یک لایه امنیتی بیشتر و در صورت از دست دادن دستگاه یا رمز عبور، به کاربر کمک می‌کنند تا حساب کاربری خود را بازیابی کند. برای دریافت کاربران معمولاً می‌توانند این کدهای پشتیبان را در تنظیمات حساب خود پیدا یا از سرویس دهنده ۲ عاملی خود درخواست کنند. از کدهای پشتیبانی باید در یک محل امن، مانند برنامه مدیریت رمزها(Password Manager) محافظت کرد و به هیچ عنوان نباید آن را با دیگران به اشتراک گذاشت.

 

نقاط ضعف «احراز هویت دومرحله‌ای» چیست؟

 

احراز هویت دو مرحله‌ای می‌تواند برای برخی از کاربران ناخوشایند باشد. کاربران برای دریافت فاکتور دوم باید همیشه تلفن خود را همراه داشته باشند و ممکن است لازم باشد هر بار که وارد سیستم می‌شوند این روند را تکرار کنند. این ممکن است برای برخی از کاربران وقت‌گیر و خسته‌کننده باشد.

همچنین احتمال خیلی ضعیفی وجود دارد که شرکت ارایه دهنده خدمات پیامکی برای اپلیکیشن مورد نظر هدف حمله‌ی هکرها قرار بگیرد. این امر نادر یکبار برای پیام‌رسانِ امنِ سیگنال اتفاق افتاده است. در مرداد ۱۴۰۱ بود که روابط عمومی این پیام‌رسان اعلام کرد که توییلو، شرکتی که خدمات تایید پیامک را برای آنها انجام می‌دهد، مورد حمله‌ هکری قرار گرفته است.

در صورت بروز چنین اتفاقی می‌توانید با ثبت‌نام دوباره و فعال کردن قفل ثبت‌نام، نفس راحتی کشیده و امنیت را به اپلیکیشن مورد نظر برگردانید.

همانطور که پیشتر گفته شد، اگر کسی به تلفن شما دسترسی فیزیکی داشته باشد، دست‌کم به طور نظری امکان دسترسی به عامل دوم را خواهد داشت. شاید به نظر برسد که این اتفاق تنها در صورت گم  یا دزدیده شدن گوشی محتمل باشد اما در کشوری مانند ایران، دسترسی فیزیکی نیروهای امنیتی به گوشی تلفن همراه معترضان و فعالان سیاسی و اجتماعی، خطری بالقوه به حساب می‌آید که همواره باید احتمال آن را در نظر گرفت.

امکان نظارت و کنترل پیامک‌ها: اما مهمتر از همه باید بدانید که در کشورهایی مثل ایران که دولت، کنترل تمام‌عیاری بر زیرساخت‌های ارتباطی همچون اینترنت و تلفن همراه دارد، احراز هویت دو مرحله‌ای با پیامک از امنیت کمتری برخوردار است. اگر کسی قصد نظارت بر حساب کاربری شما را داشته باشد می‌تواند با رهگیری پیامک‌های شما به فاکتور دوم و در ادامه به حساب کاربری شما دسترسی پیدا کند.  علاوه بر این دولت می‌تواند با فیلتر کردن کلماتی همچون Code  در سیستم پیامکی، از فعال شدن پیام‌رسان، شبکه اجتماعی  یا هر اپلیکیشن دیگری بر روی گوشی تلفن‌همراه شما جلوگیری کند.

 پس از آغاز اعتراضات سراسری در ایران در شهریور و مهر۱۴۰۱، کاربران زیادی در ایران با مشکل دریافت نکردن پیامک کد ورود به اپلیکیشن‌های فیلترشده مواجه شدند و از دسترسی به این برنامه‌ها بازماندند. بیشترین اختلال از این دست در پیام‌رسان‌هایی چون سیگنال، واتساپ و تلگرام و شبکه‌های اجتماعی نظیر اینستاگرام رخ داد.

 در چنین شرایطی، برنامه‌های افزودنی مانند Google Authenticator امن‌ترین گزینه هستند زیرا TOTP ها یا همان کدهای تاریخ مصرف‌داری را تولید می‌کنند که فقط در دستگاه کاربر قابل مشاهده است.

با دنبال کردن مراحل زیر می‌توانید Google Authenticator را فعال و از حساب‌های کاربری خود محافظت کنید:

 

1. نصب و باز کردن اپلیکیشن Google Authenticator بر روی گوشی خودتان.

 

2.  کلیک روی «شروع» یا “Get Started”.

 

3.   انتخاب «اسکن کد QR» یا “Scan QR code”.

 

4. در کادر مربوطه، دکمه «اسکن کد QR» را فشار دهید و دوربین گوشی خود را به سمت کد QR مربوط به حساب کاربری خود بگیرید.

 

5.  پس از اسکن کد، یک کد 6 رقمی را در اپلیکیشن مشاهده می‌کنید. این کد را در سایت یا اپلیکیشنی که دارای احراز هویت دو مرحله‌ای است، وارد کنید.

6. با وارد کردن کد 6 رقمی، احراز هویت دو مرحله‌ای برای حساب کاربری شما فعال خواهد شد.

به یاد داشته باشید که هر بار که وارد سایت یا اپلیکیشن باشید، باید کد 6 رقمی جدید را از اپلیکیشن Google Authenticator دریافت کرده و وارد کنید.

این مراحل به طور کلی مراحلی هستند که باید برای فعال‌سازی Google Authenticator در حساب کاربری خود دنبال کنید. مراحل ممکن است برای برخی سایت‌ها و اپلیکیشن‌ها متفاوت باشد، اما در اغلب برنامه‌ها این مراحل به همین شکل هستند.

در صورتی که بخواهید از Google Authenticator در گوشی جدیدی استفاده کنید، ابتدا باید گوشی قبلی خود را از حساب کاربری خود حذف کنید، سپس با اجرای  مراحل فوق، دوباره Google Authenticator را در گوشی جدیدتان فعال کنید.

در نهایت، برای افزایش امنیت حساب کاربری، دو عاملی سازی همچنان یکی از بهترین و امن‌ترین روش‌هاست. با این حال، برای استفاده بهینه از این روش، باید ابزارهایی را که بیشترین امنیت را برای هر فرد فراهم می‌کند، انتخاب کرد. همچنین، برای اطمینان از امنیت حساب کاربری خود، باید همیشه مراقب باشید که از سایت‌ها و اپلیکیشن‌های امن استفاده کنید و هرگز اطلاعات ورودی خود را با دیگران به اشتراک نگذارید.

برای نوشتن این مطلب ازآرشیو وبسایت فیلتربان و منابع زیر استفاده شده است: