لماذا يعد الملء التلقائي لرمز أمان iOS 12 محفوفًا بالمخاطر + كيفية حماية نفسك

ايفونDec 19, 2021
click fraud protection

أحد الإضافات الأصغر في تحديث iOS 12 القادم من Apple هو القليل الذكي الذي يُدعى Security Code AutoFill.

في الأساس ، هو نظام يجعل إدخال رموز المصادقة الثنائية عند تسجيل الدخول أسهل كثيرًا.

ولكن بقدر ما هو جيد ، يرى أحد الباحثين الأمنيين أن التدوين الآلي لرمز الأمان يمثل ثغرة أمنية محتملة يمكن أن يستغلها المهاجمون الضارون.

إليك سبب حاجتك إلى المعرفة.

محتويات

  • الملء التلقائي لرمز الأمان iOS 12
  • ما هي المخاطر
    • ما هو TAN؟
    • مخاطر الملء التلقائي لرمز الأمان
    • هل يمكن لأبل أن تفعل أي شيء حيال ذلك؟
  • كيف تحمي نفسك
    • المنشورات ذات الصلة:

الملء التلقائي لرمز الأمان iOS 12

الملء التلقائي لرمز الأمان

عادةً ما يتضمن تسجيل الدخول إلى حساب باستخدام المصادقة ذات العاملين خطوتين منفصلتين - ومن هنا جاء الاسم.

ستدخل اسم المستخدم وكلمة المرور ، ثم تتلقى رسالة نصية قصيرة SMS تحتوي على رمز يُستخدم لمرة واحدة. بمجرد كتابة هذا الرمز ، يمكنك تسجيل الدخول بحرية.

لكن iOS 12 يتعامل مع هذا بشكل مختلف قليلاً. يمكن أن يكتشف تلقائيًا عندما تتلقى رمز مصادقة ثنائية (يُعرف أيضًا باسم رمز المرور لمرة واحدة أو OTP).

ذات صلة:

  • ميزات أمان iOS 12
  • ما هي كلمة المرور القوية؟ لماذا يختار iPhone الخاص بي كلمات المرور بالنسبة لي؟
  • أفضل 25 ميزة في iOS 12 تستحق وقتك

سيقوم النظام بعد ذلك بتسجيل هذا الاسم ويمنحك خيار إدخاله بنقرة واحدة. في نظام التشغيل iOS 12 ، سيظهر كخيار أعلى لوحة المفاتيح مع ملاحظة تفيد بأنه "من الرسائل".

بالطبع ، يمكن أن يوفر هذا القليل من الوقت لأنه يمنعك من الاضطرار إلى التنقل بين التطبيقات أو حفظ كلمة المرور لمرة واحدة في لمح البصر.

لكن سهولة الاستخدام هي أيضًا السبب في أنه قد يمثل خطرًا أمنيًا في ظروف معينة.

ما هي المخاطر

الملء التلقائي لرمز الأمان

في المقام الأول ، تكمن المخاطر في المؤسسات المالية. على الرغم من وجود حالات أخرى يُحتمل أن يكون فيها الملء التلقائي لرمز الأمان محفوفًا بالمخاطر ، إلا أن هذا هو السيناريو الأكثر إثارة للقلق.

أندرياس جوتمان ، باحث أمني في مركز كامبريدج للابتكار التابع لشركة OneSpan ، يقول أن المشكلة الأكثر إلحاحًا يركز على شيء يسمى رقم مصادقة المعاملة (TAN).

ما هو TAN؟

مثل المصادقة ذات العاملين ، TAN هو رمز لمرة واحدة يتم إرساله إلى هاتفك. لكن TAN ليس لتسجيل الدخول - بدلاً من ذلك ، إنها طريقة لإضافة حماية 2FA إلى المعاملات المالية.

بشكل أساسي ، عندما تقوم بتحويل الأموال أو إجراء الدفع ، سيرسل البنك رقم TAN إلى هاتفك كخطوة تحقق إضافية لضمان عدم استمرار التلاعب.

تقوم بإدخال TAN هذا في حقل مناسب وتتم الموافقة على المعاملة من جانبك. إذا تلقيت TAN ولكنك لم تُجرِ أي معاملات حديثة ، فمن المفترض أن تتصل بالمصرف الذي تتعامل معه على الفور.

على الرغم من أن المعاملات المحمية بـ TAN ليست منتشرة في الولايات المتحدة حتى الآن ، فهي شائعة إلى حد ما في جميع أنحاء أوروبا ومناطق أخرى.

مخاطر الملء التلقائي لرمز الأمان

نظرًا لأن الملء التلقائي لرمز الأمان يسحب تلقائيًا رمز مرور لمرة واحدة من الرسائل ، فإنه يترك كل السياق ذي الصلة.

بالنسبة للبنوك ، يعد هذا السياق - مثل المبلغ المالي أو وجهة الدفع - أمرًا بالغ الأهمية لمعرفة ما إذا كانت المعاملة مشروعة.

كتب جوتمان في إحدى المدونات: "حقيقة أن المستخدم يتحقق من هذه المعلومات البارزة هو بالضبط ما يوفر ميزة الأمان". "إزالة ذلك من العملية يجعلها غير فعالة."

بعبارة أخرى ، من المحتمل أن تجعل الميزة الجديدة الموفرة للوقت من Apple المستخدمين أكثر عرضة للاحتيال المالي أو هجمات الرجل الوسيط.

يمكن للمستخدم نظريًا إدخال كلمة مرور لمرة واحدة تلقائيًا للموافقة على معاملة مالية احتيالية. من المحتمل أن ينتحل المهاجم من الملء التلقائي لرمز الأمان باستخدام موقع ويب أو تطبيق ضار.

هل يمكن لأبل أن تفعل أي شيء حيال ذلك؟

الشيء الرئيسي الذي يمكن أن تفعله Apple هو تنفيذ نوع من الإجراءات في التدوين الآلي لرمز الأمان الذي يمكنه معرفة الفرق بين طلب 2FA و TAN.

ليس من الواضح حاليًا ما إذا كان الملء التلقائي لرمز الأمان يمكنه التمييز بين 2FA و TAN. إذا كان ذلك ممكنًا ، فستصبح هذه المشكلة أقل بكثير.

بالطبع ، إذا أعرب عدد كافٍ من الأشخاص عن قلقهم من أن الملء التلقائي لرمز الأمان يمثل ثغرة أمنية ، فيمكن لشركة Apple تحديثها للتخفيف من المشكلة.

كيف تحمي نفسك

الملء التلقائي لرمز الأمان

بادئ ذي بدء ، يجب عليك ليس تعطيل المصادقة الثنائية على أي من حساباتك.

في حين أن المصادقة الثنائية المستندة إلى الرسائل القصيرة هي نظام معيب نسبيًا وعرضة للاعتراض أو الهجمات ، فهي أفضل بكثير من مجرد الاعتماد على كلمة مرور.

إذا كنت في أوروبا ، فإن أفضل ما يمكنك فعله هو التحقق مرة أخرى من كل كلمة مرور لمرة واحدة أو 2FA تتلقاها. يستغرق الأمر بضع ثوانٍ فقط للقلب إلى الرسائل والتحقق من المعلومات السياقية.

هذا صحيح بشكل خاص إذا كنت لا تستطيع التمييز بسهولة بين رمز المرور TAN و 2FA دون التحقق من الرسالة النصية SMS الأصلية.

إذا لم تكن في بلد يستخدم TAN ، فربما لا يزال من الذكاء التحقق من كلمة المرور لمرة واحدة (OTPs) المشبوهة التي يتم إرسالها إلى جهازك. إذا لم تكن تسجّل الدخول بشكل نشط وتلقيت رسالة نصية لمرة واحدة ، فمن المحتمل أن يكون هناك خطأ ما.

علاوة على ذلك ، كن على اطلاع على أنظمة TAN ليتم تنفيذها على نطاق أوسع في البنوك الأمريكية. قادت أوروبا ، في الآونة الأخيرة ، زمام الأمور عندما يتعلق الأمر بمعايير الخصوصية والأمان. من المحتمل أن يتم اعتماد TAN من قبل البنوك والمؤسسات المالية الأمريكية في المستقبل القريب.

يجب عليك أيضًا استخدام أفضل ممارسات الأمان بشكل عام عند التعامل مع البيانات المالية أو معلومات تسجيل الدخول. حتى أفضل كلمة مرور وأمن 2FA لا يمكنها حمايتك من الهندسة الاجتماعية.

مايك - التفاح
مايك بيترسون(كاتب أول)

مايك صحفي مستقل من سان دييغو ، كاليفورنيا.

بينما يغطي في المقام الأول شركة Apple وتكنولوجيا المستهلك ، لديه خبرة سابقة في الكتابة عن السلامة العامة والحكومة المحلية والتعليم لمجموعة متنوعة من المنشورات.

يرتدي عددًا غير قليل من القبعات في مجال الصحافة ، بما في ذلك الكاتب والمحرر ومصمم الأخبار.