فناوری احراز هویت openID
یکی از این فناوری هایی که برای راحتی کاربران ابداع شده است OpenID میباشد . این فناوری برای احراز هویت کاربران در وبسایت های مختلف استفاده میشود . OpenID در واقع از سرویس های آنلاین ، معتبر و مشهور اینترنت برای احزار هویت کاربر استفاده خواهد کرد . این روش در ابتدا توسط فردی به نام ” برد فیتزپاتریک ” در وبسایت LiveJournal ابداع شد و بعدها غول های دنیای اینترنت نیز به جمع حامیان آن پیوستند .
اگر میخواهید بیشتر با فناوری OpenID آشنا شوید ، پیشنهاد میکنیم که این سناریو را بخوانید :
فرض کنید که به وبسایتی میروید و قصد استفاده از خدمات آن را دارید . از شما درخواست میشود که برای دسترسی به تمامی امکانات آن وبسایت ، ثبت نام کنید . حتما خودتان هم میدانید که روند ثبت نام در یک وبسایت چقدر وقت گیر است . از قسمت پر کردن فرم ثبت نام گرفته تا
قسمت تایید ثبت نام که بیشتر به صورت ایمیلی انجام میشود .
اما اگر بشود در عرض یک دقیقه ( و شاید کمتر ) و بدون نیاز به ثبت نام به تمامی امکانات وبسایت مذکور دسترسی پیدا کرد ، چه خواهد شد ؟ مسلما بر کسی که چنین امکانی را در اختیار شما قرار بدهد درود خواهید فرستاد . البته این مورد منوط به آن است که وبسایت مورد نظر از فناوری OpenID پشتیبانی کند که این روزها بیشتر وبسایت ها ( مخصوصا وبسایت های خارجی ) از این فناوری پشتیبانی میکنند .
برای داشتن درک بهتر از این موضوع به سراغ یکی از این وبسایت ها میرویم . وبسایت مشهور StackOverFlow.com که یک وبسایت پرسش و پاسخ است و در زمینه برنامه نویسی فعالیت میکند . کافیست ابتدا به این وبسایت مراجعه کرده و در قسمت بالا روی لینک login کلیک کنید . در صفحه جدید چند گزینه به منظور وارد کردن اطلاعات کاربری وجود خواهد داشت . در اولین قسمت به لوگوی وبسایت های معروفی مانند گوگل ، فیسبوک و یاهو برخورد خواهید کرد . این روزها همه کاربران حداقل در یکی از این سه وبسایت معروف اکانت دارند . اگر اکانت گوگل دارید کافیست روی لوگوی گوگل کلیک کنید ( یا مثلا یاهو و فیسبوک ) .
بلافاصله به قسمت وارد کردن اطلاعات کاربری گوگل خواهید رفت . به نوار آدرس مرورگر خود توجه کنید .
در تصویر بالا مشاهده میکنید که آدرس accounts.google.com تایپ شده است و این بدان معناست که شما در حال وارد کردن اطلاعات خود در سایت اصلی گوگل هستید و هیچ حمله فیشینگی در کار نیست . همچنین به نماد قفل و عبارت https که نشان دهنده امن بودن ارتباط بین شما و سرورهای گوگل نیز میباشد ، توجه کنید .
پس از وارد کردن اطلاعات کاربری خود در گوگل و کلیک بروی دکمه Sign in کار تمام است و به تمامی امکانات وبسایت مورد نظر دسترسی خواهید داشت . گویی که کاربر ثبت نام شده ی سایت باشید .
در سناریوی بالا ملاحظه کردید که استفاده از فناوری OpenID چقدر کار شما را راحت تر خواهد کرد . همچنین دیگر نیازی به ثبت نام در وبسایت ها و به خاطر سپاری نام کاربری و کلمه عبور هر سایت نخواهید داشت .
اما هکرها از OpenID هم برای رسیدن به خواسته های خود استفاده میکنند . البته نه اینکه فکر کنید که حفره ای در OpenID یافت شده است که باعث بروز این مشکل میشود . نه ، این مشکل را کاربران حواس پرت برای خود به وجود خواهند آورد . در واقع این هم یکی نمونه از حملات فیشینگ است .
طی چند روز گذشته ایمیل هایی برای کاربران ارسال شده است که در آنها به کاربران پیشنهاد داده میشود تا اجناس زیبا و ارزان قیمتی را خریداری کنند . پس از آن یک لینک به وبسایت مخرب داده شده است . پس از ورود به وبسایت مذکور ، هیچ گزینه ای برای وارد کردن اطلاعات وجود ندارد و به کاربر پیشنهاد داده خواهد شد که از OpenID برای احراز هویت خود استفاده کند . در همین حال لوگوی وبسایت های مشهوری مثل گوگل ، AOL ، یاهو ، ویندوز لایو و … به چشم میخورد . پس از کلیک بر روی هر کدام از این لوگوها یک پنجره Pop-up ظاهر خواهد شد و از شما درخواست میکند تا اطلاعات کاربری مربوط به آن سرویس ( مثلا گوگل ) را وارد کنید . اگر این کار را انجام دهید ، دو دستی اطلاعات خود را تقدیم هکرها کرده اید . همانطور که قبلا توضیح دادیم ، برای استفاده از OpenID حتما باید اطلاعات خود را در وبسایت اصلی وارد کنید .
مراقب اینگونه حملات باشید . ممکن است برای شما نیز چنین مشکلاتی پیش بیاید .
هکر ها مجرم نیستند بلکه افرادی باهوش اند که غم حقوق بشر دارند. هک یک حرفه است و به یاد داشته باشیم که اگر در ان بزرگ شدیم , خود را کوچیک نکنیم. گناه ما علم است