چقدر میتوان به تایید دو مرحله ای ایمیل ها اعنماد کرد؟؟؟

[B]با سلام خدمت همه دوستان و مدیران عزیز
همونطوری که میدونید چند وقتی هست که بیشتر سرویس دهنده های ایمیل یا سرویس های اینترنتی ، برای ورود به حساب کاربری تایید دو مرحله ای رو ابداع کردند
که کاربر هنگام ورود علاوه بر رمز عبور خود باید یک کدی که توسط اس ام اس یا توسط اپلیکیشن های شخص ثالث روی دستگاه های دیگه تولید میشه رو وارد کنند
مثلا گوگل اپلیکیشن Google Athenticator داره
مایکروسافت هم همینطور
و جدیدا فیسبوک هم ، هم از اپلیکیشن گوگل میتونه استفاده کنه و هم از داخل خود برنامه یه کد تولید کنه
یا مثلا یاهو برای هر بار ورد به حساب کاربری یک کد رو به شماره تلفنتون اس ام اس میکنه

به هر حال
سوالی که الان برام پیش اومده این هست که امنیت این ها در چه حدی هست؟؟؟
یعنی میشه دیگه با خیال راحت گفت کسی دیگه هیچ جوره به حساب کاربری من دسترسی نداره؟؟؟؟

الان این روش ها یه چند تا نکته داره که به نظر ضعف محسوب میشه

اول اینکه :
پسورد های سنتی گوگل و یاهو و مایکرسافت و شرکت های معتبر دیگه به صورت پیش فرض اینکریپشن شده هستند
یعنی به این راحتی نمیشه اون پسور ها رو به دست آورد
مخصوصا پسورد های گوگل و مایکروسافت رو
برای نفوذ به این حساب ها خب باید کلی زحمت کشید
اما خیلی راحت میشه تلفن صاحب حساب رو به دست آورد (حال یا از طریق دزدیدن گوشی ش یا از طریق مقامات سطح بالا و دسترسی به دیتابیس سرویس های مخابراتی) و به راحتی درخواست فراموشی رمز زد
و این شرکت ها برای این مرحله چند راه حل پیشنهاد میدن
که اولین راه حل ش ارسال کد به شماره ثبت شده هست
البته راه های دیگه هم هست مثلا استفاده از کامپیوتر اعتماد سازی شده
یا از طریق کد های ده گانه
یا از طریق اپلیکیشن های تولید کد

یعنی به عبارتی با به دست آوردن تلفن صاحب حساب به راحتی میشه به همه چیز دست پیدا کرد
این یه ضعف بزرگه

اما به غیر از این روش
آیا باز هم راه نفوذی به حساب کاربری که تایید دو مرحله ای براش فعال شده هست؟؟؟
دوستانی که اطلاع دارند خوشحال میشم راهنمایی کنند
با تشکر[/B]

تأیید 2 مرحله‌ای بسیار مفید و کاربردی هست، شما وقتی ورودت رو 2 مرحله‌ای می‌کنی دیگه اگر هکری رمز ایمیلت هم پیدا کرد نمی‌تونه وارد حساب کاربری‌ت بشه.
در مورد دزدیده شدن گوشی هم باید عرض کنم که فکر نکنم دزدیدن گوشی به همین راحتی‌ها باشه و اگر کسی واقعاً گوشی شما رو به خاطر تأیید 2 مرحله‌ای بدزده، قاعدتاً نتیجه می‌گیریم شما ایمیل‌های خیلی مهمی دارید که جناب دزد این ریسک رو قبول کرده!
البته برای جلوگیری از این مورد شما به جای استفاده از شماره موبایل، می‌تونی شماره تلفن ثابت منزل رو برای ورود اضافه کنید.
که در این حالت کار دزد سخت تر می‌شه چون باید بیاد خونه‌تون.
راه دوم این‌که یک خط تلفن مجازی خارج از کشور بخر. فرضاً سرویس Google Voice یا Skype Number که بهت یه شماره از امریکا می‌دن.

در مورد قضیه مقامات سطح بالا و اپراتورها هم که خوب دیگه این موارد دست شما نیست، همه جای دنیا مقامات سطح بالا دارن و اگه کارت خیلی امنیته که خوب نباید اصلاً از خط موبایل و ایمیل‌های یاهو و گوگل استفاده کنی.
در این حالت شما میای از خطوط ماهواره‌ای و سرورهای ایمیل شخصی استفاده می‌کنی.:)

راهی برای ورود به این اکانت‌ها هست؟
بله، این شرکت‌ها می‌دونن ممکنه مشکلی برای خطوط کاربران ایجاد بشه واسه همین راه‌های دیگه ورود مثل پاسخ به سوالات امنیتی و کدهای بک‌آپ یا حتی ارسال مدارک رو هم در نظر گرفتن.
راه نفوذ غیر مجاز چطور؟
بله، بعضی سایت‌ها قابلیتی دارن که شما به جای عضویت توی اون سایت می‌تونید از طریق حساب کاربری یاهو یا گوگل‌تون وارد اون سایت بشین. وقتی شما این کار رو می‌کنین، اون سایت یک‌سری دسترسی‌های محدود یا Full به حساب کاربری شما پیدا می‌کنه و اگر مدیر سایت بخواد می‌تونه با APIهای گوگل از این دسترسی‌ها استفاده غیر مجاز بکنه.

در نهایت کنار قضیه ورود 2 مرحله‌ای، استفاده از Backup Codes هم می‌تونه خیلی مفید باشه! فقط 10 تا کدت رو باید جای امنی ذخیره کنی.

یکی از مشکلات ورود 2 مرحله‌ای با خط تلفن اینه که گاهی اوقات تماس ورودی از کشورهای خارجی به ایران بسته می‌شه و دیگه این شرکت‌ها نمی‌تونن بهت پیامک یا زنگ بزنن!!
فرضاً برای فیس‌بوکم پارسال این مشکل رخ داد، پیامکش به دستم نمی‌رسید، با ارسال مدارک (مثل پاسپورت، گواهی‌نامه رانندگی، کارت شناسایی) تونستم ثابت کنم صاحب اکانت هستم و بعد از 3 هفته بهم اجازه دسترسی دادن.
اما جدیداً این سرویس‌ها وقتی ببینن نمی‌تونن به کاربر پیامک یا زنگ بزنن با شماره‌های کشورهای مختلف تلاش می‌کنن.


[CENTER]
[IMG]http://www.google.com/landing/2step/images/how-works-img-1.png[/IMG][/CENTER]

در ضمن گوگل قابلیتی رو اضافه کرده که شما می‌تونین به جای ورود 2 مرحله‌ای با شماره موبایل و کد امنیتی، یه دستگاه USB که از پروتکل امنیتی U2F پشتیبانی کنه بخری و وارد حساب کاربری‌ت بشی و که البته اینم می‌تونن بدزدن خوب:)
فرق استفاده از این USB با ورود 2 مرحله‌ای اینه که اولاً جلوی حملات فیشینگ رو می‌گیره و در ضمن به جای دریافت کد امنیتی از رمزنگاری استفاده می‌کنه ولی بدیش اینه که نمی‌شه توی موبایل و تبلت ازش استفاده کرد.

[URL]https://www.google.com/intl/en/landing/2step/index.html#tab=how-it-works[/URL]
[URL]https://support.google.com/accounts/answer/6103523?hl=en[/URL]

[QUOTE=amirreza22;454280]تأیید 2 مرحله‌ای بسیار مفید و کاربردی هست، شما وقتی ورودت رو 2 مرحله‌ای می‌کنی دیگه اگر هکری رمز ایمیلت هم پیدا کرد نمی‌تونه وارد حساب کاربری‌ت بشه.
در مورد دزدیده شدن گوشی هم باید عرض کنم که فکر نکنم دزدیدن گوشی به همین راحتی‌ها باشه و اگر کسی واقعاً گوشی شما رو به خاطر تأیید 2 مرحله‌ای بدزده، قاعدتاً نتیجه می‌گیریم شما ایمیل‌های خیلی مهمی دارید که جناب دزد این ریسک رو قبول کرده!
البته برای جلوگیری از این مورد شما به جای استفاده از شماره موبایل، می‌تونی شماره تلفن ثابت منزل رو برای ورود اضافه کنید.
که در این حالت کار دزد سخت تر می‌شه چون باید بیاد خونه‌تون.
راه دوم این‌که یک خط تلفن مجازی خارج از کشور بخر. فرضاً سرویس Google Voice یا Skype Number که بهت یه شماره از امریکا می‌دن.

در مورد قضیه مقامات سطح بالا و اپراتورها هم که خوب دیگه این موارد دست شما نیست، همه جای دنیا مقامات سطح بالا دارن و اگه کارت خیلی امنیته که خوب نباید اصلاً از خط موبایل و ایمیل‌های یاهو و گوگل استفاده کنی.
در این حالت شما میای از خطوط ماهواره‌ای و سرورهای ایمیل شخصی استفاده می‌کنی.:)

راهی برای ورود به این اکانت‌ها هست؟
بله، این شرکت‌ها می‌دونن ممکنه مشکلی برای خطوط کاربران ایجاد بشه واسه همین راه‌های دیگه ورود مثل پاسخ به سوالات امنیتی و کدهای بک‌آپ یا حتی ارسال مدارک رو هم در نظر گرفتن.
راه نفوذ غیر مجاز چطور؟
بله، بعضی سایت‌ها قابلیتی دارن که شما به جای عضویت توی اون سایت می‌تونید از طریق حساب کاربری یاهو یا گوگل‌تون وارد اون سایت بشین. وقتی شما این کار رو می‌کنین، اون سایت یک‌سری دسترسی‌های محدود یا Full به حساب کاربری شما پیدا می‌کنه و اگر مدیر سایت بخواد می‌تونه با APIهای گوگل از این دسترسی‌ها استفاده غیر مجاز بکنه.

در نهایت کنار قضیه ورود 2 مرحله‌ای، استفاده از Backup Codes هم می‌تونه خیلی مفید باشه! فقط 10 تا کدت رو باید جای امنی ذخیره کنی.

یکی از مشکلات ورود 2 مرحله‌ای با خط تلفن اینه که گاهی اوقات تماس ورودی از کشورهای خارجی به ایران بسته می‌شه و دیگه این شرکت‌ها نمی‌تونن بهت پیامک یا زنگ بزنن!!
فرضاً برای فیس‌بوکم پارسال این مشکل رخ داد، پیامکش به دستم نمی‌رسید، با ارسال مدارک (مثل پاسپورت، گواهی‌نامه رانندگی، کارت شناسایی) تونستم ثابت کنم صاحب اکانت هستم و بعد از 3 هفته بهم اجازه دسترسی دادن.
اما جدیداً این سرویس‌ها وقتی ببینن نمی‌تونن به کاربر پیامک یا زنگ بزنن با شماره‌های کشورهای مختلف تلاش می‌کنن.


[CENTER]
[IMG]http://www.google.com/landing/2step/images/how-works-img-1.png[/IMG][/CENTER]

در ضمن گوگل قابلیتی رو اضافه کرده که شما می‌تونین به جای ورود 2 مرحله‌ای با شماره موبایل و کد امنیتی، یه دستگاه USB که از پروتکل امنیتی U2F پشتیبانی کنه بخری و وارد حساب کاربری‌ت بشی و که البته اینم می‌تونن بدزدن خوب:)
فرق استفاده از این USB با ورود 2 مرحله‌ای اینه که اولاً جلوی حملات فیشینگ رو می‌گیره و در ضمن به جای دریافت کد امنیتی از رمزنگاری استفاده می‌کنه ولی بدیش اینه که نمی‌شه توی موبایل و تبلت ازش استفاده کرد.

[URL]https://www.google.com/intl/en/landing/2step/index.html#tab=how-it-works[/URL]
[URL]https://support.google.com/accounts/answer/6103523?hl=en[/URL][/QUOTE]


آقا ممنون بابت توضیح خیلی خوب شما

دیشب من تست کردم حساب گوگلم رو
گوگل با داشتن شماره تلفن هم اجازه ریست کردن پسورد با ارسال کد از طریق اس ام اس رو نمیده
یعنی وقتی که میری برای ریکاوری پسورد ازت اون ده تا کدی که به عنوان بکاپ گرفته بودم رو میخواد
یا کامپیوتری که به عنوان تراست بهش معرفی کردم
یا ایمیل بکاپ که مثلا من هات میلم رو بهش دادم
یعنی توی حساب گوگل ، این اس ام اس فقط جنبه تایید کردن داره و بس
اس ام اس برای ریکاوری یا ریست کردن پسورد کاربردی نداره که خب خیالم راحت شد

اما مایکروسافت بدبخت ، خیلی راحت یه کد به شماره موبایلم ارسال کرد
و وقتی اون کد رو وارد کردم صفحه ای برام باز کرد گفت رمز جدید وارد کن :blink:
این هم از مایکروسافت با این همه امنیتش
یعنی به عبارتی من اون برنامه تایید دو مرحله ای رو تو گوشی م دارم
ولی با وجود اون با ارسال یک اس ام اس خیلی راحت پسوردم رو ریست میکنه
رو همین حساب دیشب رفتم داخل تنظیماتش و شماره موبایلم رو از توش حذف کردم و به جاش جیمیلم رو به عنوان ریکاوری دادم
الان هر باری که مثلا بخوام پسورد رو ریست کنم اون کد تایدیه رو به جیمیلم میفرسته
تا حدودی خیالم راحت شد

اما یاهو و فیسبوک اینطوری نیستند



خب پس طبق حرف شما میشه تا حدود زیادی روی این امنیت ش حساب کرد
دیگه این مقامات هم به حساب کاربری دسترسی ندارند دیگه درسته؟؟؟
آخه من از استاد سیسکو مون شنیده بودم که تو اون سال 88 اینها اومدن و به شرکتی که سرتیفیکیت های گوگل یا یاهو رو تولید میکردند رشوه دادن
البته یه رشوه خیلی خیلی کلان
تا بتونن به حساب کاربری بعضی ها دست پیدا کنند که این قضیه حتی میگه تو صفحه اول یاهو هم تا چند وقتی پر سر و صدا بود

حال درسته من یه آدم خرابکار یا سیاسی به هیچ وجه نیستم
ولی میخوام بگم که اگر اینطوری باشه که استادمون گفته پس امنیت این حساب های گوگل یا مثلا مایکروسافت خیلی بالاست
به این راحتی نمیشه بهشون نفوذ کرد

و اما اون دستگاه یو اس بی :hmm:
یادم اومد که امروز صبح دست کردم تو جیبم که کیف پولم رو دربیارم کرایه تاکسی بدم دیدم که یو اس بی نازنینم گم شده :hmm:
حال حساب کنید اگر اون یو اس بی به عنوان یک کلید ریکاوری برای ورود به حسابم باشه :hmm:

[QUOTE=FreeMan;454288]

خب پس طبق حرف شما میشه تا حدود زیادی روی این امنیت ش حساب کرد
دیگه این مقامات هم به حساب کاربری دسترسی ندارند دیگه درسته؟؟؟
آخه من از استاد سیسکو مون شنیده بودم که تو اون سال 88 اینها اومدن و به شرکتی که سرتیفیکیت های گوگل یا یاهو رو تولید میکردند رشوه دادن
البته یه رشوه خیلی خیلی کلان
تا بتونن به حساب کاربری بعضی ها دست پیدا کنند که این قضیه حتی میگه تو صفحه اول یاهو هم تا چند وقتی پر سر و صدا بود

حال درسته من یه آدم خرابکار یا سیاسی به هیچ وجه نیستم
ولی میخوام بگم که اگر اینطوری باشه که استادمون گفته پس امنیت این حساب های گوگل یا مثلا مایکروسافت خیلی بالاست
به این راحتی نمیشه بهشون نفوذ کرد
[/QUOTE]

ما امنیت 100% نداریم، نظر شخصی من اینه که امنیت این سرویس‌ها بسیار بالا هست در این حد که امکان نفوذ به این سیستم‌ها توسط افراد مختصص و حرفه‌ای هم تقریباً وجود نداره.
اما بحث دولت‌ها فرق می‌کنه، یه دولت با کلی افراد متخصص و منابع مالی که در اختیارش هست قاعدتاً احتمال نفوذش به این سرویس‌ها بالاست.
در نهایت بنظر من شما اگر می‌خواهید از این سرویس‌ها استفاده کنید باید درنظر بگیرید در نهایت اطلاعات شما در اختیار افرادی قرار می‌گیره، اگر از گوگل و یاهو استفاده کنید دولت امریکا دسترسی داره، اگر از سرورهای ایمیل داخل کشور استفاده کنید شرکت‌ها و دولت خودمون.
در مورد هک شدن برخی گواهی‌نامه‌های امنیتی گوگل هم این لینک‌ها بیشتر توضیح داده:
[url=http://www.pcworld.com/article/239112/google_says_gmail_attack_focused_on_iranian_targets.html]Google Says Gmail Attack Focused on Iranian Targets | PCWorld[/url]
[url]https://www.f-secure.com/weblog/archives/00002228.html[/url]
[url]http://googleonlinesecurity.blogspot.com/2011/08/update-on-attempted-man-in-middle.html[/url]