واتس‌اپ قفل تازه می‌زند؛ پسورد حساب در راه است

گاهی یک شماره تلفن، مثل کلید خانه است؛ اگر دست آدم اشتباه بیفتد، همه‌چیز به‌هم می‌ریزد. واتس‌اپ سال‌ها با رمزنگاری سرتاسری، بکاپ‌های رمزنگاری‌شده، پیام‌های ناپدیدشونده، محدودیت‌های سخت‌گیرانه برای مشاهده محتوا و تأیید دومرحله‌ای، خودش را جزو امن‌ترین پیام‌رسان‌ها جا انداخته. اما حالا ظاهراً تصمیم گرفته «درِ ورودی» را هم محکم‌تر کند؛ همان جایی که معمولاً مهاجم‌ها اول سراغش می‌روند.

واتس‌اپ تا امروز برای ورود روی دستگاه جدید به PIN شش‌رقمیِ تأیید دومرحله‌ای تکیه می‌کرد. ساده، سریع، و برای خیلی‌ها کافی. ولی نشانه‌ها می‌گویند این داستان دارد عوض می‌شود: از یک PIN عددی به یک پسورد کاملِ حروفی-عددی برای حساب کاربری. تفاوتش کم نیست؛ بازی از «حدس‌زدنی» به «عملاً زمان‌بر و پرهزینه» می‌رسد.

رد این تغییر را WABetaInfo در نسخه بتای واتس‌اپ برای اندروید (v2.26.7.8) پیدا کرده؛ جایی که گزینه‌ای برای ساخت رمز عبور ۶ تا ۲۰ کاراکتری دیده می‌شود. طبق اطلاعات فعلی، این پسورد از داخل تنظیمات اپ قابل تنظیم است و باید دست‌کم یک حرف و یک عدد داشته باشد. نکته مهم‌تر؟ اجباری نیست. یعنی اگر حوصله‌اش را ندارید یا سبک استفاده‌تان طوری است که ترجیح می‌دهید همان روال فعلی را نگه دارید، فعلاً کسی شما را مجبور نمی‌کند.

اما چرا همین «اختیاری» بودن هم برای امنیت مهم است؟ چون وقتی پای حمله‌های رایج مثل SIM swap وسط باشد، داستان پیچیده می‌شود. در حمله تعویض سیم‌کارت، مهاجم با ترفندهای اجتماعی یا ضعف‌های فرایندی اپراتور، کنترل شماره شما را به‌دست می‌گیرد تا کدها و پیامک‌ها را دریافت کند و سدهای اولیه را دور بزند. اگر به هر دلیل تأیید مبتنی بر شماره تلفن ضربه بخورد، داشتن یک پسورد حروفی-عددیِ مستقل می‌تواند لایه‌ی دیگری بسازد که عبور از آن دیگر شوخی نیست.

در عمل، اضافه شدن پسورد باعث می‌شود حمله‌های بروت‌فورس (حدس‌زدن پی‌درپی) سخت‌تر شوند؛ چون فضای ترکیبی حروف و اعداد، با طول ۶ تا ۲۰ کاراکتر، خیلی بزرگ‌تر از یک PIN شش‌رقمی است. همین اختلافِ ساده روی کاغذ، در دنیای واقعی می‌تواند تفاوت بین «چند دقیقه» و «تقریباً ناممکن» باشد، مخصوصاً وقتی مکانیزم‌های محدودسازی تلاش‌ها هم کنار آن فعال شوند.

البته فعلاً نباید انتظار داشته باشید همین امروز آن را روی گوشی‌تان ببینید. این قابلیت هنوز عمومی نشده و طبق گزارش‌ها در مرحله توسعه قرار دارد. معمولاً واتس‌اپ ابتدا آن را برای تسترهای بتا فعال می‌کند و بعد، اگر همه‌چیز طبق برنامه پیش برود، به انتشار گسترده‌تر می‌رسد. اگر امنیت حساب برایتان جدی است، بد نیست از همین حالا تنظیمات امنیتی فعلی مثل تأیید دومرحله‌ای و کنترل دستگاه‌های متصل را مرور کنید؛ چون در نهایت، محکم‌ترین قفل هم وقتی در را نیمه‌باز بگذاریم کار زیادی از پیش نمی‌برد.