نگرانی‌های موجود درباره عبارت‌های یادآور

گروه مربوطه : ارزهای دیجیتال
زیر گروه مربوطه : متفرقه
نگرانی‌های موجود درباره عبارت‌های یادآور

پاول پوئی (Paul Puey) مدیرعامل و مؤسس Edge، معتقد است که نشان دادن کلیدها بر صفحه‌نمایش تلفن همراه یا تایپ کردن آن در موبایل، نشان دهنده مشکل امنیتی بزرگی است که دلیل آن را در ادامه توضیح می‌دهیم.

ظاهراً پاول با جان مک آفی (John McAfee)، هکر با تجربه و بنیان‌گذار نرم‌افزار ضدویروس معروف مک آفی، جلسه‌ای برگزار کرده و درباره امنیت بیت کوین گفتگو کردند. جان که مدت‌هاست در جامعه هکرهاست، دو مورد را به‌عنوان بزرگ‌ترین تهدید برای دستگاه‌های ما بیان می‌کند، و پاول نیز با او موافق است:

  • کی‌لاگرها (Keyloggers)
  • بدافزار تصویربرداری از صفحه‌نمایش (screen capture malware)

امروزه هم سیستم‌عامل اندروید و هم iOS امکان شخصی‌سازی صفحه‌کلید (custom keyboard) دارند و احتمال زیادی وجود دارد که یکی از آنها در مورد کلیدهای شما تجسس کرده و آن را برای گروهی خراب‌کار بفرستد. با یک پشتیبان سید ۱۲ الی ۲۴ واژه‌ای، تضمین می‌کنیم که کلید خصوصی خود را در ظرفی نقره پیشکش مهاجمان کرده‌اید. واژه‌ها را بر روی صفحه‌نمایش نشان دهید و تمام، یک ویروس تصویربرداری از صفحه‌نمایش آن را به‌دست خواهد آورد. و اگر از کاربر خواسته شود که واژه‌ها را برای تأیید بکاپ (پشتیبان) وارد کند (بسیاری از کیف پول‌ها این کار را انجام می‌دهند)، یک کی لاگر شما را شکست می‌دهد (به تمام آن اطلاعات دست پیدا می‌کند).


برخی از کیف پول‌ها ادعا می‌کنند امنیت بسیار بالایی دارند زیرا از تراشه عنصر امن (Secure Element) برای ذخیره کلیدها در سخت‌افزار تلفن استفاده می‌کنند. اما اگر کلیدها بر روی صفحه‌نمایش نشان داده شوند و یا بر روی گوشی همراه تایپ شوند تمام آن امنیت سخت‌افزاری زیر سؤال خواهد رفت.

پس راه‌حل چیست؟

پاول معتقد است که ما به روشی آشناتر و در عین حال امن برای حفاظت در مقابل آن دو فرم بدافزاری که به آن‌ها اشاره شد نیازمندیم. راه‌حل آن این است که هرگز نباید به کاربرها کلیدهایشان را نشان داد. هرگز نباید آن را بر روی صفحه‌نمایش آورد. و هرگز نباید از کاربرها خواست که آن را در موبایل خود تایپ کنند. ولی در عوض می‌توان آن را با یک مجموعه مجزای اعتبار بخش مانند یک رمز عبور قوی رمزگذاری کرد، و سپس در پشت‌صحنه با استفاده از روش تأیید هویت دو مرحله‌ای (۲FA) برای محافظت از آن، آن را پشتیبانی کرد. اگر یک کی لاگر یا تصویربردار صفحه‌نمایش (screen grabber) پسورد رمزگذاری شما را ببیند، با این حال اطلاعات رمزگذاری شده را ندارد تا آن را رمزگشایی کند. برای رمزگشایی آن یک بردار حمله (attack vector) کاملاً جدید موردنیاز است فقط برای اینکه بتوان به خود داده‌ها دست پیدا کرد.