احراز هویت دو مرحله‌ای چیست و چرا باید آن را فعال کنیم؟

عاطفه اسدزاده
ارسال شده توسط ۱۳۹۸/۰۹/۰۶
احراز هویت دو مرحله‌ای

دیگر نمی‌توان برای حفظ امنیت حساب‌های کاربری به پسورد اکتفا کرد. راه‌های دستکاری و شکستن پسوردهای دیجیتال بی‌شمار است؛ از انتشار داده‌های شخصی بگیرید تا دزدیده شدن گجت‌ها و بدافزارها. اگر شما هم اطلاعات مهمی دارید که فقط با یک پسورد از آنها محافظت می‌کنید، وقتش رسیده که احراز هویت دو مرحله‌ای را فعال کنید. یکی از بهترین روش‌های ایمن‌سازی حساب‌های‌ کاربری که تمام سرویس‌های جهانی معتبر از آن استفاده می‌کنند.

محافظت از حساب‌های کاربری با احراز هویت دو مرحله‌ای به روش‌های مختلفی انجام می‌شود: بیومتریک‌، پسورد یکبار مصرف، کدهای تایید، کدهای QR، توکن‌های سخت‌افزاری و روش‌های دیگری یک لایه جدید به امنیت اکانت‌هایمان اضافه می‌کنند.

فرقی نمی‌کند از کدامیک از این روش‌ها استفاده کنید. احراز هویت دو مرحله‌ای برای هر کسی که از سرویس‌های اینترنتی استفاده می‌کند، ضروری است. اینجا می‌تواند اولین گام شما برای استفاده از این روش احراز هویت باشد. هر چیزی که باید درباره ۲AF بدانید را اینجا گردآوری کردیم. از طرز کار و اهمیت آن گرفته تا نحوه فعالسازی آن در سرویس‌های مختلف. با آرادمگ همراه باشید.

احراز هویت دو مرحله‌ای چیست؟

احراز هویت دو مرحله‌ای یا ۲AF مکمل پسوردهای دیجیتال است که اگر درست استفاده بشود، دسترسی غیرمجاز به حساب‌های کاربری را دشوار می‌کند. این روش احراز هویت که نام‌های مختلفی دارد، از ترکیب دوتا از فاکتورهای زیر تشکیل می‌شود:

  • چیزی که می‌دانید
  • چیزی که در اختیار دارید
  • چیزی که هستید

چیزی که می‌دانید همان پسورد دیجیتال اکانت است. پس ۲AF با همیشه با پسورد اصلی شروع می‌شود. اما بعد از وارد کردن پسورد به فاکتور دوم یا سوم هم برای ورود به حساب کاربری نیاز خواهید داشت. چیزی که در اختیار دارید در واقع وسایل شخصی شما مثل گوشی موبایل است. چیزی که هستید هم داده‌های بیومتریک شما مثل چهره، عنبیه چشم، اثر انگشت و … است.

ترکیب فاکتور اول یعنی پسورد با یکی از این دو فاکتور چیزی است که احراز هویت دو عاملی را می‌سازد. در حال حاضر رایج‌ترین فاکتور دوم پیام متنی است. این در حالی است که پیام متنی که به سیم‌ کارت کاربران ارسال می‌شود، شکاف‌های امنیتی زیادی دارد (در ادامه به این موضوع بیشتر می‌پردازیم).

احراز هویت دو عاملی را نباید با احراز هویت چندعاملی (MFA) اشتباه کرد. MFA به سیستم‌های احراز هویتی گفته می‎شود که برای تایید هویت کاربر به بیش از دو روش شناسایی نیاز داشته باشند (و احراز هویت دو عاملی یکی از زیرمجموعه‌های آن است). برای مثال اگر برای ورود به سیستمی از یک پسورد، کد یکبار مصرف و اثر انگشت استفاده کنید یعنی احراز هویت چندعاملی را به کار برده‌اید. اینجا برخلاف سیستم دو عامل از سه عامل احراز هویت استفاده می‌شود.

چرا احراز هویت دو عاملی مهم است؟

احراز هویت دو مرحله‌ای برای هر کسی که از اینترنت استفاده می‌کند، ضروری است

این روش احراز هویت باید برای هر کسی که از پسورد دیجیتال استفاده می‌کند‌، مهم باشد. هر اکانتی که در اینترنت ایجاد می‌شود، یک هدف بالقوه برای هکرهاست و پسورد فقط تا چند دقیقه می‌تواند از داده‎های آن اکانت محافظت کند.

این را اضافه کنید به اخباری که درباره انتشار داده‌های شخصی افراد در شبکه‌های اجتماعی و سرویس‌های آنلاین منتشر شده است. داده‌هایی که شامل نام، پسورد و حتی ایمیل اکانت‌های مختلف است و امکان دسترسی هر کسی که اینترنت داشته باشد را به حساب‌های این افراد می‌دهد. در چنین وضعیتی فقط احراز هویت دوعاملی می‌تواند از حساب‌های کاربری دفاع کند.

اگر صاحبان این اکانت‌ها احراز هویت دو مرحله‎ای را فعال کرده باشند، هیچ نگرانی درباره لو رفتن پسوردهایشان نخواهند داشت. چون فقط پسورد برای ورود به حساب کاربری آنها کافی نیست.

احراز هویت دو عاملی هم برای افراد و هم برای کسب و کارها خیلی مهم است. این روش امنیتی به کاربران کمک می‌کند از داده‌های شخصی مثل ایمیل و فعالیت‌هایشان در شبکه‎های اجتماهی به خوبی محافظت کنند. کسب و کارها هم می‌توانند با فعال کردن این روش احراز هویت روی سیستم‌های اداری از داده‌های مالی و اداری در برابر حملات سایبری جلوگیری کنند.

امنیت احراز هویت دو مرحله‌ای چقدر است؟

همه چیزهایی که درباره اهمیت و ایمنی این روش احراز هویت گفتیم، سر جای خودش اما این سیستم غیرقابل نفوذ نیست. درست است که سیستم ۲AF اکانت‌ها را در برابر حملات سایبری و نفوذ هکرها ایمن‌تر می‌کند ما خودش هم در معرض حملات سایبری قرار دارد.

در سال ۲۰۱۱ شرکت امنیت سایبری RSA اعلام کرد توکن‌های احراز هویت SecurID این شرکت هک شده است. این توکن‌ها بخشی از سیستم احراز هویت دوعاملی این شرکت بودند که هکرها به آنها دست یافتند. این پرونده هنوز هم یکی از مهمترین نفوذها در سیستم‌های امنیتی دو عاملی محسوب می‌شود.

یکی از بزرگترین حفره‌های امنیتی احراز هویت دو مرحله‌ای که بیش از همه مورد استفاده هکرها قرار می‌گیرد، مهندسی اجتماعی است. وقتی یک هکر می‌تواند با پشتیبانی سرویس‌های آنلاین تماس بگیرد، خودش را به جای شما جا بزند و پسورد را عوض کند دیگر نیازی به هک کردن سیستم دوعاملی ندارد. هکرها معمولا از این روش برای هک کردن سیستم دوعاملی استفاده می‌کنند. به سیم کارت کاربر دسترسی پیدا می‌کنند و به این ترتیب خیلی راحت فاکتور دوم برای ورود به حساب کاربری را به دست می‌آورند.

آیا این چیزی از اهمیت احراز هویت دوعاملی کم می‌کند؟ به هیچ وجه. آیا این سیستم ایمن است؟ به اندازه خودش بله و قطعا می‌تواند امنیت حساب‌های کاربری را بیشتر کند. شکستن روش‌های شناسایی دو عاملی کار ساده‌ای نیست و به ندرت رخ می‌دهد. به همین خاطر توصیه می‌کنیم حتما شما هم از احراز هویت دو مرحله‌ای استفاده کنید.

احراز هویت دو مرحله‌ای چطور کار می‌کند؟

احراز هویت دو عاملی در کنار پسورد به شکل دیگری از تایید هویت هم نیاز دارد. بعد از اینکه با پسورد وارد حساب‌ کاربری‌تان شدید، باید هویت‎تان را با استفاده از اپلیکیشن‌های تایید هویت یا وارد کردن کد امنیتی ارسال شده در قالب ایمیل، پیام متنی و حتی کلید فیزیکی تایید کنید.

دسترسی به این عامل دوم نسبت به پسورد سخت‌تر است. دسترسی به این کد مستلزم دسترسی به چیزی است که در اختیار کاربر قرار دارد. مثل سیم کارت مرتبط با اکانت، اپلیکیشن نصب شده روی گوشی یا کلید فیزیکی که دسترسی هکر به آن به مراتب سخت‌تر از شکستن یک پسورد است. به این ترتیب حتی اگر کسی پسورد حساب‌های شما را هم داشته باشد، برای ورود به حساب به فاکتور دوم (که فقط در اختیار شماست) هم نیاز خواهد داشت.

سرویس‌های آنلاین بزرگ مثل گوگل، مایکروسافت، اپل، توئیتر، اینستاگرام و بانک‌ها و وب‌سایت‌های خرید و فروش آنلاین از این این روش احراز هویت استفاده می‌کنند. کار با آن هم بسیار ساده است.

کسب و کارها برای استفاده از این نوع احراز هویت از سرویس‌های ارائه دهنده ۲AF کمک می‌گیرند. بعد از انتخاب ارائه دهنده هم باید داده‌های بیومتریک (مثل FaceID)، اپلیکیشن تایید هویت، دریافت پیامک‌های تایید هویت، دریافت ایمیل‌های تایید هویت یا کلید امنیتی فیزیکی برای ورود به حساب‌های کاربری استفاده کنند.

هر کدام از این عوامل احراز هویت مزایای و معایب خودشان را دارند. به همین خاطر نباید امنیت حساب کاربری را به یکی از آنها محدود کرد. قبلا هم گفتیم که احراز هویت دو مرحله‌ای غیرقابل نفوذ نیست و تغییر مرتب فاکتور دوم احراز هویت می‌تواند امنیتش را افزایش بدهد.

تایید از طریق ایمیل و پیامک که بیش از همه استفاده می‌شود نسبت به سایر روش‌ها ضعیف‌تر هستند. پیامک‌های متنی خیلی ایمن نیستند و به راحتی می‌توان آنها را رهگیری کرد و هک کردن ایمیل هم کار دشواری نیست. روش‌های بیومتریک را می‌شود گول زد، کلیدهای فیزیکی گم می‌شوند. به همین خاطر وقتی احراز هویت دوعاملی را فعال می‌کنید، معمولا یک کد بک آپ در اختیارتان قرار می‌گیرد که در صورت لزوم می‌توانید از آن برای غیرفعال کردن ۲AF استفاده کنید.

با تمام این موارد باز هم می‌توان گفت احراز هویت دوعاملی یکی از ساده‌ترین روش‌ها برای رسیدن به امنیت بیشتر در اینترنت است.

اشکال مختلف احراز هویت دوعاملی

عامل دوم احراز هویت دوعاملی اشکال مختلفی دارد. از پیامک بگیرید تا اثر انگشت‌تان. در این قسمت پرکاربردترین اشکالی که برای تایید هویت کاربرد دارند را معرفی خواهیم کرد.

پیامک

پرکاربردترین عامل تایید هویت ارسال پیامک متنی از سوی ارائه‌دهنده سرویس به سیم کارت کاربر است. شما باید کدی که برایتان ارسال می‌شود را در فیلد مربوطه وارد کنید تا ورود به حساب کاربری تکمیل بشود. برای دریافت کدهای تایید هویت فقط باید ۲AF را در سرویس مربوطه فعال کنید. البته بسیاری از سرویس‌های معتبر استفاده از این عامل را برای الزامی کرده‌اند.

امنیت این شکل از احراز هویت از سایر موارد کمتر است. دزدیده شدن گوشی، رمزگذاری ضعیف برنامه‌های پیام‌رسان و امکان رهگیری سیم‌کارت همه از مواردی هستند که دسترسی هکرها به کد پیامک شده را ساده‌تر می‌کنند. با این وجود همین عامل نسبتا ضعیف هم از پسورد قوی‌تر است. مهمترین مزیت این شکل از ۲AF دسترسی همیشگی و دائمی به آن است.

اپلیکیشن تایید هویت

در این روش هم مثل دریافت پیامک یک کد تصادفی تولید می‌شود که برای ورود به حساب کاربری ضروری است. اما اینجا کد نه توسط ارائه‌دهنده سرویس بلکه توسط یک اپلیکیشن ساخته می‌شود و در اختیارتان قرار می‌گیرد. برای استفاده از این روش تایید هویت باید اپلیکیشن‌ مورد نیاز را از اپل استور یا گوگل استور دانلود کنید. Google Authenticator که برای شرکت گوگل یکی از محبوب‌ترین اپ‌های تایید هویت است که علاوه بر حساب گوگل برای سایر حساب‌های کاربری هم قابل استفاده است. اپلیکیشن‌های دیگری مثل Authy، LastPass و … هم وجود دارند که هر کدام مزایا و معایبی دارند.

برای استفاده از این روش احراز هویت دو مرحله‌ای کافیست اپلیکیشن را باز کنید و کد QR نمایش داده شده در صفحه ورود به حساب کاربری را اسکن کنید. با اینکار یک کد ۶ رقمی تایید هویت ساخته می‌شود که با آن می‌توانید اپلیکیشن را به حساب کاربری متصل کردید و از این به بعد برای هر بار ورود به حساب کاربری، اپلیکیشن یک کد تایید هویت جدید برایتان خواهد ساخت.

امنیت این روش نسبت به دریافت پیام متنی یا ایمیل بیشتر است؛ مگر اینکه گوشی‌تان را گم کنید. البته برخی از اپلیکیشن‌ها امکان تعریف پسورد را هم دارند تا کسی به جز خودتان نتواند وارد اپلیکیشن بشود. با این وجود استفاده از اپلیکیشن تایید هویت زمان بیشتری نسبت به دریافت کد از طریق پیامک می‌برد و این برای کاربران چندان خوشایند نیست.

کلید امنیتی همه‌کاره

کلید امنیتی فیزیکی چیزی است که شما در اختیار دارید و می‌توانید از آن به عنوان عامل دوم برای ورود به تمام حساب‌هایتان استفاده کنید. این کلید فیزیکی از طریق اتصال USB، NFC یا بلوتوث به گوشی، لپ‌تاپ و … وصل می‌شود و کار همان کدهای شش رقمی را انجام می‌دهد.

برای استفاده از این روش ابتدا باید یک کلید امنیتی فیزیکی بخرید. سپس در تنظیمات احراز هویت دو مرحله‌ای حساب کاربری‌تان گزینه security key را فعال کنید. حالا وقتی بخواهید وارد حساب‌تان بشوید، بعد از وارد کردن پسورد باید کلید امنیتی را به گوشی یا لپ‌تاپ وصل کنید و دکمه روی کلید را بزنید تا احراز هویت انجام بشود.

این شکل احراز هویت دوعاملی بسیار ایمن است و شکستن آن مستلزم دسترسی به کلید فیزیکی است. با این وجود سهولت استفاده از آن نسبت به سایر روش‌ها به مراتب کمتر است.

برنامه Advanced Protection گوگل

یکی از سرویس‌های امنیتی مهم گوگل، برنامه Advanced Protection است که همه روش‌های ورود به حساب به جز کلیدهای امنیتی ۲AF را غیرفعال می‌کند. برای استفاده از این برنامه باید دو کلید امنیتی فیزیکی بخرید: یکی به عنوان کلید ورود به حساب و دیگری به عنوان کلید پشتیبان. بعد از فعال کردن این سرویس دیگر نمی‌توانید از سایر روش‌های احراز هویت استفاده کنید و برای هربار ورود به حساب کاربری باید از کلید امنیتی استفاده کنید.

برنامه Advanced Protection گوگل تقریبا غیرقابل نفوذ است. اگر کسی بخواهد وارد حساب کاربری شما بشود باید همزمان به هر دو کلید فیزیکی شما دسترسی داشته باشد. البته این امنیت بالا در کنار هزینه زیاد کمی هم دردسر دارد و به همین خاطر انتخاب کاربران عادی نیست.

بیومتریک

احتمالا شما هم تجربه استفاده از اثر انگشت یا چهره‌تان به عنوان پسورد را دارید. همین داده‌های بیومتریک می‌توانند عامل دوم سیستم‌های احراز هویت دو مرحله‌ای باشند. در این شکل از ۲AF به جای کد یا کلید امنیتی باید از ویژگی‌های منحصربه‌فرد بدنتان برای تایید هویت استفاده کنید.

سهولت استفاده از این روش احراز هویت دو عاملی درست به اندازه دریافت پیام حاوی کد است اما امنیت بسیار بیشتری دارد. هک کردن یا شبیه‎سازی داده‌های بیومتریک بسیار دشوار است و این می‌تواند امنیت حساب‌های شما را چند برابر کند.

iCloud

اپل روش تایید هویت دو مرحله‌ای مخصوص خودش را دارد که از آن برای حساب‎های آی‌تونز و آی‌کلود استفاده می‌کند. در این روش کاربر باید یک دستگاه اپل مطمئن را به سیستم معرفی کند تا کد تایید هویت به آن ارسال بشود. البته به جایش می‌توانید از شماره تلفن همراه‌ یا اپلیکیشن تایید هویت برای دریافت کد استفاده کنید.

برای استفاده از این سرویس ابتدا باید شماره سیم‎کارت یا دستگاه اپل مطمئن را به سیستم معرفی کنید. بعد از آن برای ورود به حساب‌های کاربری اپل علاوه بر پسورد به کدی نیاز دارید که به سیم‌کارت پیامک می‌شود، به دستگاه مطمئن ارسال می‌شود یا توسط اپلیکیشن تایید هویت ساخته می‌شود.

میزان امنیت این روش به تعداد دستگاه‌های اپل شما بستگی دارد. اگر فقط یک دستگاه اپل داشته باشید، سیستم ناچار به ارسال پیامک خواهد بود که امنیت بالایی ندارد. اما اگر چند دستگاه داشته باشید، دیگر از بستر SMS استفاده نخواهد شد و کد مستقیما برای دستگاه اصلی شما ارسال می‌شود یا توسط اپلیکیشن تایید هویت ساخته می‌شود که هر دو نسبت به پیام متنی ایمن‌تر هستند.

تگ ها