چرا نباید از تلفن همراه برای بازیابی رمزهای فراموش شده استفاده کرد؟

cyber-security

احتمالا برای همه شما پیش آمده است که رمز عبور بعضی از حسابهای کاربری مهم خود از قبیل ایمیل، شبکه‌های اجتماعی و … را فراموش کنید و بخواهید از گزینه فراموشی رمز عبور برای بازیابی رمزتان بهره ببرید. به طور سنتی این گزینه در اکثر سایتها و سرویسها از آدرس ایمیل شما برای ارسال لینک بازیابی حساب کاربریتان استفاده می‌کند. اما در سالهای اخیر این رویکرد در بسیاری از سایتها تغییر کرده است و بسیاری از سایتها استفاده از شماره تلفن همراه را جایگزین ایمیل برای ارسال اطلاعات مربوط به بازیابی رمز عبور کرده‌اند. این روش به خودی خود چندان خطرناک به نظر نمی‌رسد اما واقعیت غیر از این است! مشکل اینجاست که مدیران سایتهای اینترنتی برای استفاده از این روش فرض را بر این گرفته‌اند که پیامک‌های شما را به جز خود شما کسی نمی‌تواند بخواند. در حالی که این فرض در بسیاری از کشورها درست نیست. واقعیت این است که اگر سیستم نظارتی درست و شریفی وجود نداشته باشد، غیر از خود شما بسیاری دیگر از جمله بخشی از کارکنان اپراتور ارائه دهنده سرویس تلفن همراه شما و همینطور کسانی که به آنها دستور می‌دهند چه کاری انجام دهند، می‌توانند به پیامکهای شما دسترسی داشته باشد. بدتر از آن اینکه این دسترسی لزوما موازی با دسترسی خود شما نیست. آنها اگر بخواهند حتی این قابلیت را دارند که به پیامکهای ارسالی به شما دسترسی داشته باشند بدون اینکه خود شما به آنها دسترسی داشته باشید! بنابراین (حداقل در تئوری) این قابلیت وجود دارد که تمام کسانی که می‌توانند به پیامکهای شما دسترسی داشته باشند، مثل آب خوردن به حسابهای کاربری شما هم دسترسی داشته باشند. مگر در حالتی که شما خودتان قید استفاده از تلفن همراه برای بازیابی رمز عبور را بزنید. در واقع انگیزه من برای نوشتن این مطلب و این توصیه اتفاق ناگواری بود که اخیرا برای یکی از دوستان روزنامه‌نگار افتاد و از این طریق دسترسی به ایمیل ۱۲ ساله‌اش را از دست داد.

اشتباه نکنید، ورود دو مرحله‌ای هنوز هم چیز خوبی است.

دقت کنید که در هیچ کجای این نوشته توصیه نشده است که شما از سیستم ورود دو مرحله‌ای مبتنی بر پیامک یا اپلیکیشن‌های آفلاین تولید کدهای چند رقمی موقت برای ورود به سیستم، استفاده نکنید. برعکس! بسیار خوب است که شما حتما از ورود دو مرحله‌ای در تمام سرویسهایی که این قابلیت را ارائه می‌دهند استفاده کنید. بازیابی رمز عبور با استفاده از تلفن همراه یک ویژگی کاملا مجزا از ورود دو مرحله‌ای است و این دو ویژگی ربطی به هم ندارد.

من آدم مهمی نیستم! کار حساسی نمی‌کنم که کسی بخواهد اطلاعات مرا بدزدد و اگر هم کسی این کار را بکند برایم مهم نیست!

یکی از اشتباه‌ترین تصورات که متاسفانه بین بسیاری از کاربران هم شایع است این است که می‌گویند ما آدمهای مهمی نیستیم و نیازی نداریم که این همه احتیاط امنیتی را رعایت کنیم! از روسای جمهور و دانشمندان هسته‌ای گرفته تا کارتن خوابهای کنار خیابان همه انسانها «حریم خصوصی» دارند و چیزی در زندگی‌شان دارند که نخواهند آن را به نمایش عمومی در بیاورند (فقط میزانش متفاوت است). ساده‌ترین دلیل این واقعیت این است که شما (احتمالا!) حاضر نیستید لخت وارد محیط عمومی شوید! حتی اگر فرض کنیم لخت وارد محیط عمومی شدن هم برای شما استرسی ایجاد نمی‌کند، واقعیت این است که در بسیاری از سرویسها مخصوصا ایمیل و شبکه‌های اجتماعی، شما به غیر از خودتان مسئول حفاظت از حریم خصوصی کسانی که با شما ارتباط انفرادی داشته‌اند، (فرستندگان پیامهای خصوصی و ایمیلهای شخصی) هم هستید حتی اگر برای شخص شما اهمیتی نداشته باشد،. آنها احتمالا دوست ندارند پیامی را که انحصارا برای شما فرستاده‌اند در اختیار دیگران قرار بگیرد.

پس چه کار کنیم؟رمزهای فراموش شده را چگونه بازیابی کنیم؟

واقعیت این است که با وجود آنکه استفاده از سیستم سنتی ارسال اطلاعات بازیابی به آدرس پست الکترونیکی هم نقاط ضعف امنیتی خود را دارد اما با توجه به همه موارد ذکر شده من ترجیح می‌دهم همچنان از همان آدرس پست الکترونیکی برای این موارد استفاده کنم. انجام این تنظیمات در سرویسهای مختلف تفاوت کمی دارد اما در صفحه تنظیمات تقریبا همه آنها این امکان وجود دارد که استفاده از شماره موبایل برای بازیابی رمزهای عبور را لغو نمایید و به جای آن از ایمیل جایگزین استفاده کنید.

بخش جایزه: شما اصلا نیازی ندارید که رمزهای خود را حفظ کنید

این بخش ربط چندانی به عنوان این مطلب ندارد اما فکر کنم بد نیست اشاره کنم که شما اصلا نیازی ندارید رمزهای خود را حفظ کنید که بعدا آنها را فراموش کنید! برای نگهداری رمزهای عبور خود می‌توانید از سرویس‌هایی مثل Lastpass استفاده کنید. این سرویسها دو مزیت مهم دارند: ۱- شما را از حفظ کردن رمزها و خطر فراموشی آنها رها می‌کنند ۲- چون نیازی ندارید رمزی را حفظ کنید می‌توانید از رمزهای طولانی‌تر و پیچیده‌تر (چیزی مثل: dsf34fcxd_f@dsuweD4f) استفاده کنید.

شما ممکن است این را هم بپسندید

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *