امکان اتصال Authenticator به حساب کاربری گوگل فراهم شد؛ تهدید امنیتی برای معاملهگران ارز دیجیتال؟
اگر معاملهگر یا کاربر فضای ارزهای دیجیتال باشید، احتمالاً از اپلیکیشن موبایلی گوگل[1] آتنتیکیتور (Google Authenticator) برای ساختن و مدیریت کدهای تأیید دوعاملی (2FA) در پلتفرمهای مختلفی مثل صرافیهای[2] متمرکز، استفاده میکنید.
گوگل بهتازگی نسخه ۴.۰ این اپلیکیشن پرطرفدار را برای اندروید و iOS عرضه کرده است و در آن این امکان برای کاربران فراهم شده است تا کدهای تأیید دوعاملی خود را با حساب کاربریشان در گوگل (جیمیل) سینک کنند. تا پیش از این اگر دستگاهی گم میشد یا از بین میرفت و کاربر کدهای بکاپ آتنتیکیتور خود را جایی ذخیره نکرده بود، تمام کدهای تأیید دوعاملی او نیز عملاً غیرقابل بازیابی میشدند.
حالا اما، با این ویژگی دیگر نیازی به کدهای بکاپ آتنتیکیتور که پیش از ساخت هر کد تأیید دوعاملی ارائه میشوند، نیست و کاربر در صورتی که اپلیکیشن خود را با حساب کاربریاش سینک کرده باشد، میتواند صرفاً با واردکردن جیمیل و رمز عبور، کدهای تأیید دوعاملی خود را بهراحتی بازیابی کند. به عبارت دیگر، کدهای دو عاملی بهجای دستگاه، میتوانند به حساب کاربری گوگل شما وابسته باشند.
گوگل در اطلاعیه[3] خود درباره اضافهشدن این امکان گفته است:
یکی از بازخوردهای اصلی که طی سالهای گذشته از کاربران دریافت کردهایم، پیچیدگی برخورد با دستگاههای گمشده یا دزدیدهشدهای است که گوگل آتنتیکیتور روی آنها نصب شده بود. حالا این تغییر به این معنی است که کاربران کمتر از قبل با مشکلاتی مثل ازدستدادن دسترسی خود به کدهایشان مواجه خواهند شد و سرویسهای مختلف نیز میتوانند بیش از پیش روی حفظ دسترسی کاربرانشان حساب کنند که در مجموع بهمعنی راحتی و امنیت بیشتر است.
با اینکه گوگل معتقد است این تغییر از نظر امنیتی به نفع کاربران است، شرکت امنیتی اِسلو میست (SlowMist) که در زمینه بلاک چین فعالیت میکند، میگوید این راحتیِ بیشتر در نهایت ریسکهای امنیتی بیشتری هم با خود بهدنبال دارد.
کارشناسان این مجموعه در توییتی[4] نوشتهاند:
اگر از این روش برای بازیابی کدهای تأیید دوعاملی خود استفاده کنید، میلباکس شما در معرض خطر قرار خواهد گرفت. اگر جیمیل شما هک شود، ممکن است دسترسی کدهای دوعاملیتان هم به سرقت برود که خطر بزرگی با خود به همراه دارد. به این ریسکها توجه داشته باشد.
در مجموع بهتر است قبل از تصمیمگیری درباره استفاده از این امکان جدید یا ادامهدادن با روش قدیمی (یادداشت کدهای بکاپ)، به ریسکهای امنیتی آن توجه کنید.