عنوان ترجمه شده مقاله: استفاده از کلمه عبور یکبار مصرف برای جلوگیری از حملات فیشینگ کلمه عبور

امروزه فیشینگ یک تهدید جدی برای امنیت اطلاعات محرمانه کاربران اینترنتی است. اساساً، یک حمله کننده(فیشر)، با ارسال پیغام جعلی به تعداد زیادی از کاربران به صورت تصادفی، افراد را به افشای اطلاعات حساس فریب می دهد. کاربران از همه جا بی خبر که دستورالعمل های پیام ها را دنبال می کنند، به صفحات وب جعلی که به خوبی ساخته شده اند و درخواست فراهم نمودن اطلاعات حساس را می نمایند، هدایت می شوند که پس از آن فیشر اطلاعات را به سرقت می برد. بر اساس مشاهدات ما، بیش از 70% فعالیت های فیشینگ برای سرقت حساب کاربری کاربران طراحی شده است. با چنین اطلاعاتی، یک حمله کننده می تواند اطلاعات ارزشمند بیشتری را از حساب های کاربری در معرض خطر اکتشاف بازیابی نماید. آمارهای منتشر شده توسط گروه های کاری ضدفیشینگ(APWG) نشان می دهند که در پایان Q2 در 2008، تعداد صفحات وب مخرب طراحی شده برای سرقت کلمه های عبور کاربران تا 258% در همان دوره در سال 2007 افزایش یافته است. بنابراین، حفظ کاربران از حملات فیشینگ بسیار مهم است. یک روش ساده برای جلوگیری از سرقت کلمه های عبور، اجتناب از استفاده از کلمه ی عبور است. این کار این سوال را ایجاد می کند: تایید اعتبار یک کاربر بدون تنظیم کلمه ی عبور چگونه ممکن است؟

در این مقاله، ما یک سرویس تایید اعتبار ارائه می کنیم که نیاز به تنظیم کلمه ی عبور کاربر در خلال فرایند تایید اعتبار را حذف می کند. با افزایش قدرت زیرساخت های موجود روی اینترنت، مانند سرویس پیام رسانی ثابت، تنها لازم است که از طرح پیشنهادی در قسمت سرور استفاده نماییم. همچنین ما نشان داده ایم که راه حل پیشنهادی می تواند به طور تدریجی مورد استفاده قرار گیرد و نیاز به اسکریپت ها، پلاگین ها و دستگاه های خارجی سمت کلاینت ندارد. ما معتقدیم که اگر کاربران هنگام دسترسی به صفحات وب، نیاز به فراهم آوردن کلمات عبور نداشته باشند، تعداد حملات فیشینگ باید اساساً کاهش یابد.

-1مقدمه

فیشینگ یک فعالیت مخرب است که به موجب آن یک حمله کننده(فیشر) سعی در فریب دادن کاربران اینترنتی برای فراهم آوردن اطلاعات محرمانه می نماید(Dhamija  و همکارانش، 2006). این یک مسئله ی مهم است، زیرا فیشرها می توانند اطلاعات حساس، مانند جزئیات حساب کاربری کاربران، کدهای امنیتی اجتماعی و شماره های حساب اعتباری  را سرقت نمایند. برای دستیابی به این هدف، ابتدا یک فیشر یک وب سایت جعلی می سازد که تقریباً مشابه وب سایت قانونی هدف حمله است…