تغییر سیاست فیسبوک برای احراز هویت کاربران

فیسبوک به تازگی تصمیم گرفته است که برای احراز هویت کاربرانش در زمانی که آن‌ها رمز عبور خود را فراموش می‌کنند، به جای ارسال SMS که روش چندان امنی نیست، از اپلیکیشن‌های احراز هویت استفاده کند.

اگر رمز عبور خود را در فیسبوک فراموش کنید می‌توانید از فیسبوک درخواست کد شناسایی نمایید که از طریق SMS ارسال می‌شود. این روش با نام احراز هویت دو عاملی یا 2FA شناخته شده است. معمولا ازاحراز هویت 2FA، اغلب به عنوان گزینه‌ای امن و سازگار با ناتوانی کاربران در به خاطر سپاری رمز ورود یاد می‌شود. اما این دست از روش‌ها از نظر امنیت چندان روش‌های موثقی نیستند، به طور خاص خود SMS که بیش از اینکه مزیت باشد، نقص به نظر می آید. خصوصا از زمانی که به دست فیسبوک افتاد. حالا  این غول شبکه مجازی سرانجام اجازه داده تا کاربران در صورت فراموشی رمز عبور از روش دیگری یعنی با استفاده از اپلیکیشن های احراز هویتی که گفته می شود امن تر هستند برای ورود به حساب کاربری خود در فیسبوک استفاده کنند.

نام احراز هویت 2FA، برای مبنای این واقعیت است که شما برای اینکه هویت تان برای یک سرویس احراز شود، به دو عنصر نیاز دارید. اولین، همان چیزی است که می دانید و در خاطرتان دارید، یعنی یک رمز ورود یا PIN. دومین عنصر چیزی است که شما آن را در اختیار دارید مثل شماره تلفن، ایمیل یا حتی بخشی از بدن تان. عامل دوم اغلب شامل فرستادن یک PIN یا کد می شود که شما باید آن را علاوه بر رمز ورود یا نام کاربری وارد می کنید. حداقل در شرایطی که اثر انگشت، آیریس (iris) یا صورت تان استفاده نشود.

همین روند نشان می‌دهد که چرا SMS در چرخه 2FA غیرقابل اعتماد است. چرا که SMS می‌تواند نزد شخص ثالثی لو برود، این ایرادی است که مزیت‌های 2FA را بی اثر می کند. و اگر گوشی تلفن تان به دست شخص دیگری بیفتد، آن وقت راهی وجود ندارد که بتوانید آن SMS محتوی رمز ورود را لغو کنید.

از قضا، فیسبوک مسئله احراز هویت 2FA مبتنی بر SMS را پر ماجراتر هم کرد. فوریه گذشته، معلوم شد که به خاطر یک نقص فنی در سیستم فیسبوک، استتوس ها و مطالب به روز شده فیسبوک به شماره تماس هایی که کاربران برای انجام روش 2FA  اختصاص داده بودند، ارسال می شود و پاسخ هایی که به آن شماره ارسال می شد هم در عوض روی تایم لاین کاربر قرار می گرفت. این اتفاق خلاف چندین قانون حاکم بر شبکه های اجتماعی بود، جای خوشبختی برای فیسبوک آن بود که سرویس جدید کمبریج آنالتیکا (Cambridge Analytica) در آن زمان توانست آثار این اتفاق را پاک کند.

بنابراین حالا، فیسبوک برای احراز هویت ورود به حساب کاربری نیاز به شماره تلفن ندارد، هرچند که کابران هم چنان می‌توانند از گزینه SMS استفاده کنند (گزارش شده که نقص فنی هم اکنون برطرف شده است). کاربران فیسبوک حالا می‌توانند از اپلیکیشن هایی مثل Google Authenticator به جای SMS زمانی که رمز عبور خود را فرموش می‌کنند بهره ببرند. این دست از برنامه‌ها درواقع رمزگذاری می‌شوند و عموما از SMS امن‌تر هستند. البته بعید هم نیست که این اپلیکیشن ها  ایراداتی داشته باشند؛ اما هر چه باشد نسبت به روش SMS  امن‌تر خواهند بود.