Banyak laman web telah beralih daripada kata laluan tradisional, sebaliknya meminta pengguna memasukkan alamat e-mel mereka dan kemudian menyediakan kod 6 digit yang dihantar melalui e-mel atau SMS untuk log masuk. Walaupun pendekatan ini menghapuskan keperluan untuk mengingati kata laluan, pakar keselamatan membangkitkan kebimbangan mengenai jenis serangan pancingan data baharu yang berbahaya yang dimungkinkan oleh kaedah ini.
Corak Serangan Pancingan Data
Kelemahan terletak pada betapa mudahnya penyerang memperdaya pengguna untuk memberikan kod log masuk yang sah. Begini cara serangan itu berfungsi: laman web berniat jahat menggesa pengguna untuk mendaftar atau log masuk menggunakan alamat e-mel mereka. Laman palsu itu kemudian memberitahu pengguna bahawa mereka akan menerima kod pengesahan daripada perkhidmatan yang dipercayai, mendakwa ia adalah rakan kongsi log masuk. Di sebalik tabir, sistem penyerang secara automatik mencetuskan percubaan log masuk sebenar pada perkhidmatan yang sah menggunakan alamat e-mel mangsa.
Apabila perkhidmatan yang dipercayai menghantar kod log masuk tulen ke e-mel pengguna, mangsa melihat mesej asli daripada syarikat yang mereka kenali dan percayai. Mereka kemudian memasukkan kod sebenar ini ke dalam laman web palsu, tanpa sedar memberikan penyerang akses kepada akaun sebenar mereka pada perkhidmatan yang sah. Serangan ini telah digunakan dengan jayanya terhadap sistem log masuk Microsoft Minecraft , mengakibatkan akaun dicuri.
Inilah sebabnya 'e-melkan saya kod sekali guna' adalah salah satu aliran pengesahan terburuk untuk pancingan data. Sangat sukar untuk menghalang pengguna daripada membuat kesilapan ini.
Langkah-langkah Serangan Pancingan Kod E-mel:
- Pengguna melawat laman web berniat jahat dan memasukkan alamat e-mel
- Laman palsu mendakwa menggunakan perkhidmatan dipercayai sebagai "rakan kongsi log masuk"
- Sistem penyerang mencetuskan percubaan log masuk sebenar pada perkhidmatan yang sah
- Perkhidmatan yang sah menghantar kod tulen kepada e-mel pengguna
- Pengguna memasukkan kod sebenar ke dalam laman web palsu
- Penyerang memperoleh akses kepada akaun sah pengguna
Mengapa Pertahanan Tradisional Gagal
Pengurus kata laluan, yang telah menjadi pertahanan utama terhadap serangan pancingan data, tidak menawarkan perlindungan dalam senario ini. Alat ini berfungsi dengan mengenali laman web yang sah dan hanya mengisi kelayakan pada domain yang betul. Walau bagaimanapun, dengan kod berasaskan e-mel, tiada kelayakan tersimpan untuk dilindungi - pengguna menaip kod secara manual yang kelihatan datang daripada sumber yang dipercayai.
Masalah asas ialah pengguna menerima kod tulen daripada perkhidmatan yang sah, menjadikannya hampir mustahil untuk membezakan antara percubaan log masuk sebenar dan berniat jahat. Malah pengguna yang mementingkan keselamatan yang biasanya bergantung pada pengurus kata laluan boleh menjadi mangsa jenis serangan ini.
Kebimbangan Pengesahan Faktor Tunggal
Perbincangan komuniti teknologi mendedahkan isu kritikal lain: banyak perkhidmatan yang menggunakan kod e-mel atau SMS pada dasarnya melaksanakan pengesahan faktor tunggal, bukan keselamatan pelbagai faktor yang mereka dakwa sediakan. Memandangkan kedua-dua akses e-mel dan penerimaan SMS termasuk dalam kategori keselamatan yang sama - sesuatu yang anda miliki - menggunakan salah satu sahaja tidak memberikan perlindungan berlapis yang ditawarkan oleh pengesahan pelbagai faktor sebenar.
Pendekatan ini amat bermasalah kerana ia menghilangkan faedah keselamatan kata laluan tradisional sambil memperkenalkan kelemahan baharu. Pengguna kehilangan perlindungan yang disediakan pengurus kata laluan terhadap pancingan data, sementara memperoleh sedikit keselamatan tambahan sebagai balasan.
Kategori Faktor Pengesahan:
- Sesuatu yang anda miliki: Objek fizikal seperti telefon, token keselamatan, akses emel
- Sesuatu yang anda tahu: Kata laluan, PIN, maklumat peribadi
- Sesuatu yang anda ada: Biometrik seperti cap jari, corak suara
Nota: Kod emel dan SMS kedua-duanya termasuk dalam kategori "sesuatu yang anda miliki," menjadikannya pengesahan faktor tunggal walaupun kelihatan lebih selamat
Bergerak Ke Arah Penyelesaian Yang Lebih Baik
Pakar keselamatan dalam komuniti menyokong passkey sebagai alternatif yang lebih selamat. Tidak seperti kod e-mel, passkey menggunakan pengesahan kriptografi yang tidak boleh dipintas atau digunakan semula oleh penyerang. Walau bagaimanapun, teknologi ini masih menghadapi cabaran penggunaan, terutamanya sekitar proses sandaran dan pemulihan.
Sesetengah pembangun telah bereksperimen dengan pendekatan yang diubah suai, seperti menghantar pautan bukannya kod, yang mengarahkan pengguna ke perkhidmatan yang sah dan bukannya membenarkan kemasukan kod pada laman yang berpotensi berniat jahat. Walaupun ini memberikan sedikit perlindungan tambahan, ia tidak menyelesaikan sepenuhnya isu keselamatan yang mendasari.
Perdebatan ini menyerlahkan cabaran yang lebih luas dalam keselamatan dalam talian: mengimbangi kemudahan pengguna dengan perlindungan terhadap serangan yang semakin canggih. Memandangkan perkhidmatan terus beralih daripada kata laluan tradisional, mencari kaedah pengesahan yang mesra pengguna dan selamat kekal sebagai cabaran berterusan.