- two factor authentication چیست؟
- احراز هویت چیست؟
- اهمیت فعال کردن احراز هویت دو مرحله ای
- چه خدمات و سایت هایی از احراز هویت دو مرحلهای استفاده می کنند؟
- احراز هویت Authenticator چقدر مطمئن است؟
- تفاوت احراز هویت دوعاملی با احراز هویت دومرحله ای چیست؟
- 4 روش برای دریافت احراز هویت دو مرحله ای یا دو عاملی
- احراز هویت دو مرحله ای با سؤالات امنیتی
- احراز هویت دو مرحلهای با استفاده از پیامک، ایمیل یا تماس صوتی
- استفاده از رمزهای موقت و یکبارمصرف برای تأیید هویت دو مرحلهای
- احراز هویت دوعاملی با کلیدهای سختافزاری (U2F)
- احراز هویت دو مرحلهای توسط اعلانها
- روشهای احراز هویت بیومتریک
- اپلیکیشن های احراز هویت دو مرحلهای
- اصول امنیت پسورد
- داستانی جالب از احراز هویت دو مرحلهای
احراز هویت دو مرحلهای یکی از روشهای بهبود امنیت در دنیای آنلاین است. این روش توسط شرکتهای فناوری با ابزارها و فنون متنوعی پیادهسازی میشود. هر کدام از روشهای احراز هویت مزایا و معایب خودش را دارند که در این مقاله از فراست قرار در مورد صفر تا صد احراز هویت دو مرحلهای و تفاوت آن با احراز هویت دو عاملی برای شما بگوییم پس تا انتهای این مقاله ما را همراهی کنید.
two factor authentication چیست؟
احراز هویت دو مرحلهای یا 2FA بهعنوان تکمیلکننده پسوردهای دیجیتال شناخته میشود. احراز هویت دو مرحلهای اگر بهدرستی اجرا شود، دسترسی غیرمجاز به حسابهای کاربری را بهشدت مشکل میکند. این روش احراز هویت از ترکیب چندین عامل مختلف تشکیل شده است.
پسورد دیجیتال حساب کاربری مرحله اول است که همیشه در فرایند 2FA به کار میرود. بعد از واردکردن رمز عبور، نیاز به مرحله دوم برای ورود بهحساب خود خواهید داشت. در احراز هویت دو مرحلهای ارسال پیام متنی از جمله فاکتورهای متداول است، البته این روش نقاط ضعف امنیتی خاصی خودش را دارد، بهویژه وقتی که پیام متنی به SIM کارت کاربر ارسال میشود. این تأیید هویت ممکن است از طریق اپلیکیشنهای تأیید هویت یا واردکردن کد امنیتی ارسال شده از طریق ایمیل و حتی کلید فیزیکی انجام شود.
احراز هویت چیست؟
توسط احراز هویت شما میتوانید ثابت کنید که شما فرد حقیقی در یک سیستم، سازمان و دستگاههای مربوطه هستید. احراز اهمیت نقش کلیدی در امنیت شما و جلوگیری از کلاهبرداریها دارد و در معاملات، تعاملات مختلف شما میتوانید با خیال راحت ارتباط برقرار کنید. احراز هویت توسط اطلاعات شخصی شما صورت میگیرد مانند: رمز عبور، تلفن تماس، کارت اعتباری، اثر انگشت و…
با استفاده از انواع روش های احراز هویت، برای دسترسی به حسابهای آنلاین خود، به اقدامی بیشتر از یک گذرواژه ساده نیاز دارید. استفاده از احراز هویت دو مرحلهای باعث میشود که دسترسی به اطلاعات دیجیتالی کاربران برای اشخاص غیرمجاز دشوارتر شود.
اهمیت فعال کردن احراز هویت دو مرحله ای
اهمیت فعال کردن یکی از روشهای احراز هویت دو مرحلهای بسیار بالاست. هر حساب آنلاین بهعنوان یک هدف بالقوه برای هکرها محسوب میشود و یک پسورد ساده فقط برای مدت محدودی میتواند از دسترسی غیرمجاز به این حسابها جلوگیری کند.
پسوردها به خودی خود آنقدر که باید مستحکم و شکستناپذیر نیستند. مهاجمین سایبری میتوانند در یک ثانیه چندین میلیارد ترکیب مختلف را برای کرک کردن پسورد تست کنند. بدتر این که 65 درصد از افراد برای حسابهای مختلف خودشان از یک پسورد استفاده میکنند. این کار شبیه این است که برای منزل و ماشین خودتان از یک کلید مشابه استفاده کنید.
اینجاست که احراز هویت دو مرحلهای، مفید واقع میشود. این مکانیزم یک لایه امنیتی مضاعف را در کنار رمزعبور ارائه میدهد. عبور از این لایه دوم برای مجرمین سایبری کار سختی است و برای شکستن آن باید خیلی به شما نزدیکتر باشند و به همین دلیل شانس موفقیتشان بهشدت کاهش پیدا میکند.
صاحبان حسابهای آنلاین از جمله کاربران عادی و کسبوکارها با فعال کردن احراز هویت دو مرحلهای خود دیگر نگرانی درباره لورفتن پسوردهایشان نخواهند داشت، حتی اگر هکری به رمز عبور شما دسترسی پیدا کند در مرحله تأیید هویت دوم به بنبست برمیخورد. سازمانها با اعمال احراز هویت بر روی سیستمهای اداری، از دادههای مالی و اداری خود در برابر حملات سایبری حفاظت میکنند.
چه خدمات و سایت هایی از احراز هویت دو مرحلهای استفاده می کنند؟
امروزه سرویس ها و سایت های مختلفی از احراز هویت دو مرحلهای استفاده می کنند از جمله:
• بانکداری آنلاین
• خرید آنلاین (آمازون، پی پال – البته این گزینه فقط برای بعضی کشورها موجود است)
• ایمیل (Gmail ،Yahoo ،Outlook)
• اکانتهای مربوط به سرویسهای ذخیرهسازی مبتنی بر فناوری ابر (Dropbox ،Box ،Sync)
• اکانتهای شبکههای اجتماعی (Facebook ،Twitter ،Linkedin ،Tumblr)
• اپلیکیشنهای کاربردی (Evernote ،Trello)
• ابزارهای مدیریت رمزعبور (LastPass)
• اپلیکیشنهای ارتباطی (Slack ،Skype ،MailChimp)
احراز هویت Authenticator چقدر مطمئن است؟
هرچقدر از اهمیت زیاد احراز هویت دو مرحلهای بگوییم کم است و حتماً باید از آن بهرهمند بشوید، اما یکی از مسائلی که امنیت احراز هویت دو مرحلهای را تهدید میکند، مهندسی اجتماعی است. هکرها ممکن است تماس با پشتیبانی سرویسهای آنلاین برقرار کنند و تلاش کنند تا اطلاعات کاربری را تغییر دهند. اگر به سیمکارت کاربر دسترسی پیدا کنند، میتوانند بهآسانی به فاکتور دوم برای ورود بهحساب کاربری دست پیدا کنند.
چند سناریو یا تکنیکی که به مهاجمین امکان شکستن یا عبور از مرحله دوم تائید هویت را میدهند، عبارتند از:
- دسترسی به فاکتور دوم: ممکن است تلفن موبایل، کارت یا توکن شما به سرقت برود یا سارقین به هر طریقی بتوانند پیامهای ارسال شده به موبایلتان را تشخیص بدهند.
- از طریق حمله مرد میانی: ممکن است سارقین از اسب تروجان (Trojan horse) برای دستکاری ارتباط بین شما و مرورگر وب استفاده کرده و حملهای علیه این مکانیزم ترتیب بدهند.
- از طریق فیشینگ بلادرنگ: در این روش، مهاجم پسورد یک بار مصرف را درخواست کرده و بلافاصله از آن استفاده میکند.
با اینوجود، این روش میتواند امنیت حسابهای کاربری را تا حد زیادی افزایش دهد. شکستن انواع پروتکلهای احراز هویت کاری زمانبر و پیچیده است و بهندرت رخ میدهد؛ بنابراین، توصیه میشود که شما هم از احراز هویت دو مرحلهای استفاده کنید تا حساب کاربریتان را بهخوبی محافظت کنید.
تفاوت احراز هویت دوعاملی با احراز هویت دومرحله ای چیست؟
احراز هویت دوعاملی و احراز هویت دو مرحله ای از خیلی از موارد شبیه به هم هستند به همین خاطر خیلی از افراد فکر می کنند که این دو عملکرد یکی هستند. تنها وجه تمایز احراز هویت دو عاملی با احراز هویت دو مرحله ای در نحوه عملکرد آن ها است. در احراز هویت دو مرحله ای بعد وارد کردن رمز دوم در مرحله بعد یک کد یک بار مصرف امنیتی برای شما پیامک میشود ولی در احراز هویت دو عاملی از فاکتورهایی که از وجود شخص خودتان مثل اثرانگشت مورد استفاده قرار میگیرد. در کل هدف اصلی این دو روش تقویت امنیت احراز هویت و جلوگیری از دسترسی غیر مجاز به حساب ها و اطلاعات حساس است.
4 روش برای دریافت احراز هویت دو مرحله ای یا دو عاملی
- مکانیزم احراز هویت تلفن همراه از طریق اطلاعات شخصی شما است، این اطلاعات میتوانند یک پسورد، پین کد یا پاسخ به یک سؤال امنیتی باشند.
- در اختیار داشتن یک شی یا دستگاه فیزیکی مثل یک توکن، تلفن موبایل، حافظه USB، کلید fob و یا یک کارت شناسایی (ID card).
- توکن امنیتی توسط بانکها صادر میشود و در یک زمان بهخصوص یک کد خاص برای شما تولید میکند که در مرحله دوم باید این کد ورود اختصاصی را وارد کنید.
- رمز عبور یک بار مصرفی که از طریق موبایل دریافت میکنید و برای ورود به حساب کاربری گوگل، فیسبوک یا توییتر از آن استفاده میکنید.
- رمز عبور تصادفی که توسط یک اپلیکیشن مثل Google Authenticator یا Facebook Code Generator ایجاد میشود و میتوانید از آن برای ورود به حساب شبکههای اجتماعی یا ایمیل خودتان استفاده کنید.
- فاکتورهای زیستی از وجود خود شما مثل تشخیص هویت از طریق صدا یا چهره، اثرانگشت، DNA، دست خط یا اسکن شبکیه است، متاسفانع بعضی از این مکانیزمها بهشدت گران و پرهزینه هستند.
- میتوان از فاکتورهای زمان و موقعیت جغرافیایی هم استفاده کرد، مثلاً اگر وارد حساب کاربری خودتان شدید و فردی 10 دقیقه بعد سعی کند از یک کشور متفاوت وارد حساب شما شود، سیستم به صورت اتوماتیک مانع دسترسی وی به حساب شما خواهد شد.
احراز هویت دو مرحله ای با سؤالات امنیتی
یکی از روشهای منحصربهفرد احراز هویت، زمانی که یک حساب کاربری جدید ایجاد میکنید، انتخاب دو یا چند پرسش امنیتی و تعیین پاسخهای مخصوص به آنها است. در آینده، وقتی بهحساب خود وارد میشوید، باید پاسخهای صحیح سؤالات امنیتی را وارد کنید تا سیستم هویت شما را تأیید کند.
مزایای احراز هویت با سؤالات امنیتی
این روش پیادهسازی آسانی دارد و اغلب ارائهدهندگان خدمات لیستی از سؤالات را در اختیار شما قرار میدهند که شما تنها باید پرسشها را انتخاب و پاسخهای خود را وارد کنید.
معایب احراز هویت با سؤالات امنیتی
- پیداکردن پاسخ به بسیاری از این پرسشها نسبتاً آسان است و هکرها میتوانند این اطلاعات را از رسانههای اجتماعی یا روشهای دیگر به دست آورند.
- گاهی اوقات هکرها ممکن است از طریق فیشینگ یا تماسهای تلفنی به این اطلاعات دست یابند. بهمنظور جلوگیری از هک حساب کاربری، توصیه میشود پاسخهایی نامعمول برای این پرسشها تعیین کنید، اما باید اطمینان حاصل کنید که این پاسخها را فراموش نمیکنید.
احراز هویت دو مرحلهای با استفاده از پیامک، ایمیل یا تماس صوتی
یکی از فاکتورهای احراز هویت، استفاده از پیامک، ایمیل یا تماس صوتی است. در این روش، کاربر در هنگام ایجاد حساب کاربری، شمارهتلفن خود را وارد میکند. وقتی کاربر بهحساب خود وارد میشود، سرویس موردنظر یک پیامک یا ایمیل ارسال میکند یا با کاربر تماس صوتی برقرار میکند. این پیامک یا ایمیل شامل یک کد ارسالی با تاریخ انقضای کوتاه است که کاربر باید آن کد را وارد کند تا بهحساب خود وارد شود.
مزایای این روش احراز هویت
- پیامک و ایمیل بهعنوان انواع پروتکلهای احراز هویت، دارای کاربری آسان هستند و تقریباً همه افراد به آنها دسترسی دارند.
- معمولاً پیامکها در لحظه یا در عرض چند دقیقه دریافت میشوند.
- اگر گوشی موبایل گم شود، میتوانید شمارهتلفن خود را جابهجا کنید و بهحساب خود دسترسی داشته باشید.
معایب این روش احراز هویت
- در این روش، سرویس موردنظر باید قابلاطمینان و امن باشد تا شما بتوانید اطلاعات خود از قبیل شمارهتلفن یا آدرس ایمیل را در اختیار آنها قرار بدهید.
- برخی از سرویسها از اطلاعات وارد شده برای مقاصد تبلیغاتی استفاده میکنند.
- اگر خدمات سیمکارت شما در لحظه ارسال کد قطع شود، نمیتوانید گذرواژه موردنظر را دریافت کنید.
استفاده از رمزهای موقت و یکبارمصرف برای تأیید هویت دو مرحلهای
یکی از روشهای متمایز برای احراز هویت دو مرحلهای ، استفاده از یک اپلیکیشن تأیید هویت و اسکن کد QR در هنگام ایجاد حساب کاربری است. این اقدام به ایجاد یک کلید مخفی در اپلیکیشن تأیید هویت منجر میشود که سپس بر اساس آن یک گذرواژه موقت ایجاد میشود. این گذرواژه بهصورت دورهای تغییر پیدا میکند. همچنین، کاربر باید بعد از واردکردن گذرواژه اصلی، کد نمایشدادهشده در اپلیکیشن احراز هویت دو مرحلهای را وارد کند. برای بهرهبردن از بهترین روش احراز هویت، بهترین اپلیکیشن تأیید هویت را از فروشگاه اپل یا گوگل دانلود کنید.
مزایای احراز هویت دو مرحلهای با رمز یکبارمصرف
- با اضافهکردن حسابهای خود به اپلیکیشن تأیید هویت، نیازی به خدمات پیامکی برای دسترسی به حسابهای خود ندارید.
- به دلیل ذخیرهشدن کلید مخفی در دستگاه شما، از دسترسی هکرها به پیامکها جلوگیری میشود.
- اگر از اپلیکیشنهای تأیید هویت خاصی مثل Authy استفاده کنید، میتوانید کدهای خود را بین چندین دستگاه همگامسازی کرده و دسترسی بهتری داشته باشید.
معایب احراز هویت دو مرحلهای با رمز یکبارمصرف
- اگر گوشی شما خاموش شود، دسترسی به کدهای خود را از دست میدهید.
- اگر زمان دستگاه شما و سرویس موردنظر هماهنگ نباشد، کدهای تولیدشده قابلقبول نخواهند بود.
- اگر هکرها به کلید مخفی شما دسترسی پیدا کنند، ممکن است قادر به ایجاد کدهای دسترسی شوند و با داشتن رمز عبور وارد حساب کاربری شما شوند.
احراز هویت دوعاملی با کلیدهای سختافزاری (U2F)
کلیدهای سختافزاری یا U2F بهعنوان یک استاندارد جدید برای احراز هویت شناخته میشوند و با استفاده از دستگاههای USB، NFC و کارتهای هوشمند در تأیید هویت به کار میروند. برای راهاندازی این روش احراز هویت دو مرحلهای، ابتدا باید یک کلید امنیتی فیزیکی تهیه کرده و سپس در تنظیمات احراز هویت دو مرحلهای حساب کاربری خود، گزینه “security key” را فعال کنید. در هنگام ورود بهحساب کاربری، پس از واردکردن رمز عبور، کلید امنیتی را به دستگاه خود متصل کرده و دکمه آن را فشار دهید تا تأیید هویت انجام شود.
مزایای احراز هویت دو عاملی با کلیدهای سختافزاری (U2F)
- کلیدهای U2F از عامل فیزیکی واقعی برای احراز هویت استفاده میکنند، تا زمانی که این دستگاهها فیزیکی و امن باقی بمانند، از نظر دیجیتالی آنها را تهدید نمیکند.
- این کلیدها در برابر حملات فیشینگ مقاوم هستند، زیرا تنها زمان استفاده از آنها در وبسایتهای ثبتنام شده موردنیاز است.
- از نظر امنیتی، کلیدهای U2F بهعنوان یکی از بهترین روشهای احراز هویت چندعاملی شناخته میشوند.
معایب احراز هویت دو عاملی با کلیدهای سختافزاری (U2F)
- کلیدهای U2F نسبت به سایر روشها بهعنوان یک تکنولوژی نسبتاً جدید محسوب میشوند و همچنان توسط تمامی سرویسها پشتیبانی نمیشوند.
- یکی از مشکلات این کلیدها ارتباط با دستگاههای مختلف با درگاههای USB مختلف است. برای مثال، اگر یک کلید U2F با کانکتور USB-A داشته باشید، برای استفاده در دستگاههای اندرویدی، آیفونها و مکبوکهای جدیدتر نیاز به یک مبدل دارید.
- کلیدهای U2F از فناوری NFC نیز پشتیبانی میکنند، اما این مدلها معمولاً هزینه بیشتری دارند.
احراز هویت دو مرحلهای توسط اعلانها
برخی از پروتکلهای احراز هویت، گزینهای جایگزین نیز ارائه میدهند. برای انجام بهترین روش احراز هویت، بعد از واردکردن گذرواژه، یک اعلان دریافت میکنید که اطلاعات مرتبط با تلاش برای ورود بهحساب کاربری را نشان میدهد. با لمسکردن گزینه “تأیید” یا “رد”، به این درخواست پاسخ میدهید. این فرایند تأیید دو مرحلهای را به طور مستقیم بین برنامه یا وبسایت، سیستم احراز هویت دوعاملی، کاربر و دستگاه او ارتباط میدهد.
مزایای احراز هویت توسط اعلانها
- کار با اعلانها بسیار سادهتر از مراجعه به برنامههای تأیید اعتبار و واردکردن کد تأیید است. اطلاعاتی همچون نوع دستگاه، آدرس IP و مکان جغرافیایی نیز در اعلانها نمایش داده میشود که در مواجهه با تهدیدهای امنیتی به کاربر اطلاع میدهد.
- خطر کپیکردن کد مخفی یا رهگیری پیامک در این روش وجود ندارد. برای ورود بهحساب کاربری، حتماً باید دستگاه خود را نیز در دست داشته باشید.
معایب احراز هویت توسط اعلانها
- استفاده از این روش نیازمند اتصال گوشی به اینترنت است؛ بنابراین، اگر به اینترنت دسترسی نداشته باشید، نمیتوانید وارد حساب کاربری خود شوید.
- امکان عدم توجه به محتوای اعلان دریافتی و تأیید سریع آن وجود دارد که باعث شود افراد غیرمجاز بهحساب شما دسترسی پیدا کنند.
روشهای احراز هویت بیومتریک
احراز هویت بیومتریک شامل تشخیص چهره، تشخیص صدا و اسکن اثر انگشت میشوند. این روشها از ویژگیهای بیولوژیکی یک فرد برای احراز هویت استفاده میکنند و در محیطهایی که نیاز به امنیت بالا و احراز هویت دقیق دارند، معمولاً مورداستفاده قرار میگیرند.
حتما این مقاله را بخوانید: بیومتریک گوشی چیست؟ ویژگیها و انواع بیومتریکاپلیکیشن های احراز هویت دو مرحلهای
این اپلیکیشنها از الگوریتم پسورد یک بار مصرف مبتنی بر زمان (TOTP) استفاده میکنند و یک کد شش رقمی منحصر بفرد حساس به زمان تولید میکنند که میتوانید از آن برای ورود به حساب خودتان استفاده کنید. معمولاً این کدها فقط برای 30 ثانیه کار میکنند؛ بعد از گذشت این بازه زمانی، اپلیکیشن یک کد جدید برای شما تولید میکند. بعد از تنظیمات اولیه میتوانید از این اپلیکیشن حتی در صورت عدم وجود اتصال به شبکه استفاده کنید.
• Google Authenticator ( اندروید، iOS و بلک بری )
• Authy (اندروید، iOS، ویندوز و افزونه مرورگر
• Microsoft Authenticator (ویندوز فون 7)
اصول امنیت پسورد
به یاد داشته باشید که احراز هویت دو مرحلهای تنها در صورتی ارزش صرف زمان و تلاش را خواهد داشت که همزمان با این مکانیزم از پسوردهایی قوی استفاده کنید.
- استفاده از پسوردهایی قوی.
- استفاده از پسوردهایی منحصر بفرد.
- تغییر پسورد در فواصلی منظم
داستانی جالب از احراز هویت دو مرحلهای
حتماً شما هم این ماجرا را شنیدهاید که دو دوست با هم به بیرون از شهر رفته بودند که ناگهان صدای غرش خرس را شنیدند. یکی از این دو شروع کرد به پوشیدن کفشهای ورزشی خودش و دوست دیگرش به او گفت: این کار بیفایده است چون تو نمیتوانی از خرس سبقت بگیری. اما دوستش پاسخ داد: نیازی نیست که من از خرس جلوتر باشم فقط باید تو را پشت سر بگذارم.
داستان احراز هویت دو مرحلهای هم به همین صورت است.
با توجه به افزایش تعداد رخنههای اطلاعاتی، سازمانها باید لایههای امنیتی بیشتری را مستقر و پیادهسازی کنند و کاربران نیز باید از این لایههای امنیتی استفاده کنند. به نظر من باید استفاده از احراز هویت دو مرحلهای اجباری باشد و در حالت پیشفرض و درست از لحظهای که کاربری قصد ثبتنام در یک سیستم را دارد، فعال شده باشد.
داشتن پسورد و یک لایه تائید هویت اضافه، اکانت شما را صد در صد ایمن نمیکند. این روش هم چوب جادو نیست و نمیتواند اکانتتان را غیر قابل هک کند اما باعث میشود که رخنه و نفوذ به آن، بشدت سختتر شود. با استفاده از این روش امید میرود که مهاجم به سمت یک هدف دیگر حرکت کند که کمتر محافظت شده باشد و وقت و انرژی خودش را برای شکستن فاکتور دوم احراز هویت صرف نکند.
اما با توجه به این که روزبهروز بر میزان محبوبیت و استفاده از روشهای احراز هویت دو مرحلهای اضافه میشود، ممکن است مهاجمین روشهای جدیدی برای شکستن آن ابداع کنند و این قاعده همیشگی در بازی امنیت بوده و هست.