داشتن یک عامل اضافی برای تصدیق هویت، یعنی چیزی که کاربر باید به صورت فیزیکی داشته باشد علاوه بر آنچه که می داند، می تواند یک هویت آنلاین را در برابر حمله محافظت کند. این کار قابل مقایسه با چگونگی تأیید هویت کاربران در ماشین های خودپرداز بانک است. کاربران هم کارت بانکی دارند و هم pin را می دانند. با تصدیق هویت قوی، اگر کلیدخوان هم نصب شده باشد، می تواند تنها کلمه عبور را بگیرد و نه عامل فیزیکی استفاده شده در پروسه تصدیق هویت را. کلمه عبور به تنهایی و بدون فاکتور فیزیکی نمی تواند توسط نفوذگر برای دسترسی به حساب کاربر مورد استفاده قرار گیرد. توانایی مهم دوم رمزنگاری مداوم است. امروزه، (ssl) secure socket layer از اطلاعات ارسال شده توسط کاربران بگونه ای محافظت می کند که انگار تنها به سرور هدف ارسال می شوند. برای مثال، اگر یک کاربر کلمه عبور خود را وارد کند، به راحتی تا زمان رسیدن به و ب سرور در طرف دیگر، قابل مشاهده است. در مورد یک حمله هدایت کننده، ارتباط امن در سایت نفوذگر پایان می پذیرد و قبل از اینکه به سازمان آنلاین قانونی ارسال شود، دیتای کاربر در معرض افشا قرار می گیرد. رمزنگاری مستمر می تواند از دیتا،بدون در نظر گرفتن امنیت ارتباط محافظت کند. ورودی های کاربر قبل از ترک کامپیوتر کاربر رمز می شوند و می توانند تنها توسط سازمان قانونی که به سرورهای طرف دیگر دسترسی دارد، رمزگشایی شوند. حتی اگر دیتا به این سرور نرسد، رمزشده باقی خواهد ماند و برای یک نفوذگر قابل استفاده نیست. این دو قابلیت به همراه هم، می توانند نقش محافظ شخصی را برای محافظت از هویت و اطلاعات کاربر در دنیای خصمانه! اینترنت ایفا کنند. بررسی دنیای واقعی چند انتخاب وجود دارند که می توانند امنیت محافظ شخصی را فراهم کنند اما باید با استفاده از نیازهای دنیای واقعی اینترنت ارزیابی شوند. چنانچه کاربر با یک تکنولوژی احساس راحتی نکند، آن را نخواهد پذیرفت. اگر تکنولوژی خیلی گران باشد، نه برای کاربر انتهایی قابل تهیه خواهد بود و نه برای سازمان مربوطه. چندین عامل وجود دارد که باید به هنگام تشویق کاربران به پذیرش تکنولوژی مورد نظر مورد توجه قرار گیرند: نرم افزار کلاینت هر نیازی به دانلود و نصب نرم افزار به عنوان یک مانع است... واسط نرم افزار خطرات و پیچیدگی که کاربر برای پیاده سازی تجربه می کند... سهولت کار با واسط کاربر نیز مورد توجه جدی است مشخصا زمانی که از این نوع فناوری با مقیاس بالا بکارگرفته شود، هزینه این رویکرد می تواند در امکانپذیری آن موثر باشد. اگر هزینه کل سیستم خیلی بالا باشد، سازمان ها برای برقراری این امنیت اضافی برای یک مورد تجاری مورد قبول، نیاز به مطالبات مالی از کاربران دارند. در این موارد کاربران به راحتی راضی به پرداخت های اضافی برای برقراری این امنیت بیشتر نمی شوند. به این منظور تکنولوژی های محافظ شخصی باید سطح بالایی از امنیت را در حالی که هزینه کمی در بردارند و برای استفاده آسان هستند، فراهم کنند.
microrayaneh.com
چگونگی سرقت هویت در اینترنت
... هموطن سلام _ احسان موحدیان- سرقت هویت در اینترنت و انجام انواع کلاهبرداری ها در فضای مجازی (اعم از phishing و pharming) یکی از بزرگترین مشکلاتی است که کاربران رایانه و اینترنت در سراسر جهان با آن مواجه هستند ... کارشناسان معتقدند که متداول ترین نوع حملات اینترنتی و سرقت هویت در فضای مجازی phishing است که تعداد و پیچیدگی آنها هم روز به روز در حال افزایش است ... آنان می گویند که به علت وجود نقص های امنیتی در بسیاری از پروتکل های email، امکان طرح ریزی این حملات به سادگی امکانپذیر است ... بد نیست بدانید که در این نوع حملات، شخص کلاهبردار با ارسال نامه هایی با سربرگ و ظاهری مشابه با موسسات مالی و اعتباری مشهور از مشترکان خدمات آنها می خواهد تا با کلیک کردن روی لینکی که در نامه موجود است، اطلاعات مربوط به حساب های بانکی خود را در بخش های مختلف آن وارد کنند ... یکی از موسسات مالی اعتباری مشهور به تازگی اعلام کرده که تنها در ژوئن سال 2004 بیش از 1400 بار با انواع حملات phishing مواجه شده است ... به گزارش هموطن آنلاین ؛ تداوم چنین حملات خطرناکی موجب شده که تاکید بر توجه به الزامات امنیتی روز به روز افزایش یابد ... صاحبنظران معتقدند که انجام حملات phishing مبتنی بر اشکال بسیار پیشرفته مهندسی اجتماعی است ... در اکثر این حملات از قالب های مشابه با قالب های شرکت های واقعی و خوش نام تجاری استفاده می شود و حتی آدرس فرستنده email دقیقا مشابه با آدرس همان شرکت است ...
آشنایی با حملات pharming
... امروزه، حملات phishing ساده تر و کم خطرتر از تهدیدهای آنلاینی که در حال تجربه شدن هستند، به نظر می رسند ... حملات phishing به آسانی شناخته می شوند و می توان به سرعت آنها را از کار انداخت ... گونه ای جدید از حملهاین گونه جدید حمله بعنوان pharming شناخته می شود ... این حملات از اسب های تروا (تروجان) برای نصب برنامه های کلیدخوان و برنامه های هدایت کننده استفاده می کنند تا به یک نفوذگر اجازه دهند کلمات عبور و شماره کارت های اعتباری را بدست آورد، بدون اینکه کاربر مجبور به انجام کاری غیرعادی باشد ... حملات پیچیده تر می توانند ارتباط را با بانک کاربر برقرار کنند و هنگامی که پروسه در حال انجام است، ترافیک عبوری بین کاربر و بانک (شامل کلمات عبور و اطلاعات شخصی) را مشاهده کنند ... چه می توان کرد؟از نظر تاریخی، رویکرد امنیتی که برای این نوع از حملات بکار گرفته شده است، مشابه مفهوم گارد مرزی (Boarder Guard) بوده است ... به هرحال، همچنانکه حملات به رشد خود ادامه می دهند و پیچیده تر می شوند، نمی توان از احتمال نصب شدن موفقیت آمیز یک کلیدخوان یا هدایت کننده علیرغم این گاردهای مرزی، غافل ماند ...
از pfishingتا pfarming : 5 تله هرزنامه ای
... NCETA گفت: 5 فریب هرزنامه ای شناسائی شده عبارتند از :1- حملات pharming فارمینگ آدرس دهی جدید وب های اختصاصی و شخصی به یک مکان دیگر است ...
|
صفحه 1
|
|
