احراز هویت دو مرحله‌ای چیست و چرا همین حالا باید آن را فعال کرد؟

احراز هویت دو مرحله‌ای یکی از روش‌های بهبود امنیت در دنیای آنلاین است. این روش توسط شرکت‌های فناوری با ابزارها و فنون متنوعی پیاده‌سازی می‌شود. هر کدام از روش‌های احراز هویت مزایا و معایب خودش را دارند که در این مقاله از فراست قرار در مورد صفر تا صد احراز هویت دو مرحله‌ای و تفاوت آن با احراز هویت دو عاملی برای شما بگوییم پس تا انتهای این مقاله ما را همراهی کنید.

two factor authentication چیست؟

احراز هویت دو مرحله‌ای یا 2FA به‌عنوان تکمیل‌کننده پسوردهای دیجیتال شناخته می‌شود. احراز هویت دو مرحله‌ای اگر به‌درستی اجرا شود، دسترسی غیرمجاز به حساب‌های کاربری را به‌شدت مشکل می‌کند. این روش احراز هویت از ترکیب چندین عامل مختلف تشکیل شده است.

پسورد دیجیتال حساب کاربری مرحله اول است که همیشه در فرایند 2FA به کار می‌رود. بعد از واردکردن رمز عبور، نیاز به مرحله دوم برای ورود به‌حساب خود خواهید داشت. در احراز هویت دو مرحله‌ای ارسال پیام متنی از جمله فاکتورهای متداول است، البته این روش نقاط ضعف امنیتی خاصی خودش را دارد، به‌ویژه وقتی که پیام متنی به SIM کارت کاربر ارسال می‌شود. این تأیید هویت ممکن است از طریق اپلیکیشن‌های تأیید هویت یا واردکردن کد امنیتی ارسال شده از طریق ایمیل و حتی کلید فیزیکی انجام شود.

احراز هویت چیست؟

توسط احراز هویت شما می‌توانید ثابت کنید که شما فرد حقیقی در یک سیستم، سازمان و دستگاه‌های مربوطه هستید. احراز اهمیت نقش کلیدی در امنیت شما و جلوگیری از کلاهبرداری‌ها دارد و در معاملات، تعاملات مختلف شما می‌توانید با خیال راحت ارتباط برقرار کنید. احراز هویت توسط اطلاعات شخصی شما صورت می‌گیرد مانند: رمز عبور، تلفن تماس، کارت اعتباری، اثر انگشت و…

با استفاده از انواع روش‌ های احراز هویت، برای دسترسی به حساب‌های آنلاین خود، به اقدامی بیشتر از یک گذرواژه ساده نیاز دارید. استفاده از احراز هویت دو مرحله‌ای باعث می‌شود که دسترسی به اطلاعات دیجیتالی کاربران برای اشخاص غیرمجاز دشوارتر شود.

اهمیت فعال‌ کردن احراز هویت دو مرحله ای

اهمیت فعال کردن یکی از روش‌های احراز هویت دو مرحله‌ای بسیار بالاست. هر حساب آنلاین به‌عنوان یک هدف بالقوه برای هکرها محسوب می‌شود و یک پسورد ساده فقط برای مدت محدودی می‌تواند از دسترسی غیرمجاز به این حساب‌ها جلوگیری کند.

پسوردها به خودی خود آنقدر که باید مستحکم و شکست‌ناپذیر نیستند. مهاجمین سایبری می‌توانند در یک ثانیه چندین میلیارد ترکیب مختلف را برای کرک کردن پسورد تست کنند. بدتر این که 65 درصد از افراد برای حساب‌های مختلف خودشان از یک پسورد استفاده می‌کنند. این کار شبیه این است که برای منزل و ماشین خودتان از یک کلید مشابه استفاده کنید.

اینجاست که احراز هویت دو مرحله‌ای، مفید واقع می‌شود. این مکانیزم یک لایه امنیتی مضاعف را در کنار رمزعبور ارائه می‌دهد. عبور از این لایه دوم برای مجرمین سایبری کار سختی است و برای شکستن آن باید خیلی به شما نزدیک‌تر باشند و به همین دلیل شانس موفقیت‌شان به‌شدت کاهش پیدا می‌کند.

صاحبان حساب‌های آنلاین از جمله کاربران عادی و کسب‌وکارها با فعال کردن احراز هویت دو مرحله‌ای خود دیگر نگرانی درباره لورفتن پسوردهایشان نخواهند داشت، حتی اگر هکری به رمز عبور شما دسترسی پیدا کند در مرحله تأیید هویت دوم به بن‌بست برمی‌خورد. سازمان‌ها با اعمال احراز هویت بر روی سیستم‌های اداری، از داده‌های مالی و اداری خود در برابر حملات سایبری حفاظت می‌کنند.

چه خدمات و سایت هایی از احراز هویت دو مرحله‌ای استفاده می کنند؟

امروزه سرویس ها و سایت های مختلفی از احراز هویت دو مرحله‌ای استفاده می کنند از جمله:

• بانکداری آنلاین
• خرید آنلاین (آمازون، پی پال – البته این گزینه فقط برای بعضی کشورها موجود است)
• ایمیل (Gmail ،Yahoo ،Outlook)
• اکانت‌های مربوط به سرویس‌های ذخیره‌سازی مبتنی بر فناوری ابر (Dropbox ،Box ،Sync)
• اکانت‌های شبکه‌های اجتماعی (Facebook ،Twitter ،Linkedin ،Tumblr)
• اپلیکیشن‌های کاربردی (Evernote ،Trello)
• ابزارهای مدیریت رمزعبور (LastPass)
• اپلیکیشن‌های ارتباطی (Slack ،Skype ،MailChimp)

احراز هویت Authenticator چقدر مطمئن است؟

هرچقدر از اهمیت زیاد احراز هویت دو مرحله‌ای بگوییم کم است و حتماً باید از آن بهره‌مند بشوید، اما یکی از مسائلی که امنیت احراز هویت دو مرحله‌ای را تهدید می‌کند، مهندسی اجتماعی است. هکرها ممکن است تماس با پشتیبانی سرویس‌های آنلاین برقرار کنند و تلاش کنند تا اطلاعات کاربری را تغییر دهند. اگر به سیم‌کارت کاربر دسترسی پیدا کنند، می‌توانند به‌آسانی به فاکتور دوم برای ورود به‌حساب کاربری دست پیدا کنند.

چند سناریو یا تکنیکی که به مهاجمین امکان شکستن یا عبور از مرحله دوم تائید هویت را می‌دهند، عبارتند از:

• دسترسی به فاکتور دوم: ممکن است تلفن موبایل، کارت یا توکن شما به سرقت برود یا سارقین به هر طریقی بتوانند پیام‌های ارسال شده به موبایلتان را تشخیص بدهند.
• از طریق حمله مرد میانی: ممکن است سارقین از اسب تروجان (Trojan horse) برای دست‌کاری ارتباط بین شما و مرورگر وب استفاده کرده و حمله‌ای علیه این مکانیزم ترتیب بدهند.
• از طریق فیشینگ بلادرنگ: در این روش، مهاجم پسورد یک بار مصرف را درخواست کرده و بلافاصله از آن استفاده می‌کند.

با این‌وجود، این روش می‌تواند امنیت حساب‌های کاربری را تا حد زیادی افزایش دهد. شکستن انواع پروتکل‌های احراز هویت کاری زمان‌بر و پیچیده است و به‌ندرت رخ می‌دهد؛ بنابراین، توصیه می‌شود که شما هم از احراز هویت دو مرحله‌ای استفاده کنید تا حساب کاربری‌تان را به‌خوبی محافظت کنید.

تفاوت احراز هویت دوعاملی با احراز هویت دومرحله ای چیست؟

احراز هویت دوعاملی و احراز هویت دو مرحله ای از خیلی از موارد شبیه به هم هستند به همین خاطر خیلی از افراد فکر می کنند که این دو عملکرد یکی هستند. تنها وجه تمایز احراز هویت دو عاملی با احراز هویت دو مرحله ای در نحوه عملکرد آن ها است. در احراز هویت دو مرحله ای بعد وارد کردن رمز دوم در مرحله بعد یک کد یک بار مصرف امنیتی برای شما پیامک می‌شود ولی در احراز هویت دو عاملی از فاکتورهایی که از وجود شخص خودتان مثل اثرانگشت مورد استفاده قرار می‌گیرد. در کل هدف اصلی این دو روش تقویت امنیت احراز هویت و جلوگیری از دسترسی غیر مجاز به حساب ها و اطلاعات حساس است.

4 روش برای دریافت احراز هویت دو مرحله ای یا دو عاملی

• مکانیزم احراز هویت تلفن همراه از طریق اطلاعات شخصی شما است، این اطلاعات می‌توانند یک پسورد، پین کد یا پاسخ به یک سؤال امنیتی باشند.
• در اختیار داشتن یک شی یا دستگاه فیزیکی مثل یک توکن، تلفن موبایل، حافظه USB، کلید fob و یا یک کارت شناسایی (ID card).

1. توکن امنیتی توسط بانک‌ها صادر می‌شود و در یک زمان به‌خصوص یک کد خاص برای شما تولید می‌کند که در مرحله دوم باید این کد ورود اختصاصی را وارد کنید.
2. رمز عبور یک بار مصرفی که از طریق موبایل دریافت می‌کنید و برای ورود به حساب کاربری گوگل، فیس‌بوک یا توییتر از آن استفاده می‌کنید.
3. رمز عبور تصادفی که توسط یک اپلیکیشن مثل Google Authenticator یا Facebook Code Generator ایجاد می‌شود و می‌توانید از آن برای ورود به حساب شبکه‌های اجتماعی یا ایمیل خودتان استفاده کنید.

• فاکتورهای زیستی از وجود خود شما مثل تشخیص هویت از طریق صدا یا چهره، اثرانگشت، DNA، دست خط یا اسکن شبکیه است، متاسفانع بعضی از این مکانیزم‌ها به‌شدت گران و پر‌هزینه هستند.
• می‌توان از فاکتورهای زمان و موقعیت جغرافیایی هم استفاده کرد، مثلاً اگر وارد حساب کاربری خودتان شدید و فردی 10 دقیقه بعد سعی کند از یک کشور متفاوت وارد حساب شما شود، سیستم به صورت اتوماتیک مانع دسترسی وی به حساب شما خواهد شد.

احراز هویت دو مرحله ای با سؤالات امنیتی

یکی از روش‌های منحصربه‌فرد احراز هویت، زمانی که یک حساب کاربری جدید ایجاد می‌کنید، انتخاب دو یا چند پرسش امنیتی و تعیین پاسخ‌های مخصوص به آن‌ها است. در آینده، وقتی به‌حساب خود وارد می‌شوید، باید پاسخ‌های صحیح سؤالات امنیتی را وارد کنید تا سیستم هویت شما را تأیید کند.

مزایای احراز هویت با سؤالات امنیتی

این روش پیاده‌سازی آسانی دارد و اغلب ارائه‌دهندگان خدمات لیستی از سؤالات را در اختیار شما قرار می‌دهند که شما تنها باید پرسش‌ها را انتخاب و پاسخ‌های خود را وارد کنید.

معایب احراز هویت با سؤالات امنیتی

• پیداکردن پاسخ به بسیاری از این پرسش‌ها نسبتاً آسان است و هکرها می‌توانند این اطلاعات را از رسانه‌های اجتماعی یا روش‌های دیگر به دست آورند.
• گاهی اوقات هکرها ممکن است از طریق فیشینگ یا تماس‌های تلفنی به این اطلاعات دست یابند. به‌منظور جلوگیری از هک حساب کاربری، توصیه می‌شود پاسخ‌هایی نامعمول برای این پرسش‌ها تعیین کنید، اما باید اطمینان حاصل کنید که این پاسخ‌ها را فراموش نمی‌کنید.

احراز هویت دو مرحله‌ای با استفاده از پیامک، ایمیل یا تماس صوتی

یکی از فاکتورهای احراز هویت، استفاده از پیامک، ایمیل یا تماس صوتی است. در این روش، کاربر در هنگام ایجاد حساب کاربری، شماره‌تلفن خود را وارد می‌کند. وقتی کاربر به‌حساب خود وارد می‌شود، سرویس موردنظر یک پیامک یا ایمیل ارسال می‌کند یا با کاربر تماس صوتی برقرار می‌کند. این پیامک یا ایمیل شامل یک کد ارسالی با تاریخ انقضای کوتاه است که کاربر باید آن کد را وارد کند تا به‌حساب خود وارد شود.

مزایای این روش احراز هویت

• پیامک و ایمیل به‌عنوان انواع پروتکل‌های احراز هویت، دارای کاربری آسان هستند و تقریباً همه افراد به آن‌ها دسترسی دارند.
• معمولاً پیامک‌ها در لحظه یا در عرض چند دقیقه دریافت می‌شوند.
• اگر گوشی موبایل گم شود، می‌توانید شماره‌تلفن خود را جابه‌جا کنید و به‌حساب خود دسترسی داشته باشید.

معایب این روش احراز هویت

• در این روش، سرویس موردنظر باید قابل‌اطمینان و امن باشد تا شما بتوانید اطلاعات خود از قبیل شماره‌تلفن یا آدرس ایمیل را در اختیار آن‌ها قرار بدهید.
•  برخی از سرویس‌ها از اطلاعات وارد شده برای مقاصد تبلیغاتی استفاده می‌کنند.
• اگر خدمات سیم‌کارت شما در لحظه ارسال کد قطع شود، نمی‌توانید گذرواژه موردنظر را دریافت کنید.

استفاده از رمزهای موقت و یک‌بارمصرف برای تأیید هویت دو مرحله‌ای

یکی از روش‌های متمایز برای احراز هویت دو مرحله‌ای ، استفاده از یک اپلیکیشن تأیید هویت و اسکن کد QR در هنگام ایجاد حساب کاربری است. این اقدام به ایجاد یک کلید مخفی در اپلیکیشن تأیید هویت منجر می‌شود که سپس بر اساس آن یک گذرواژه موقت ایجاد می‌شود. این گذرواژه به‌صورت دوره‌ای تغییر پیدا می‌کند. همچنین، کاربر باید بعد از واردکردن گذرواژه اصلی، کد نمایش‌داده‌شده در اپلیکیشن احراز هویت دو مرحله‌ای را وارد کند. برای بهره‌بردن از بهترین روش احراز هویت، بهترین اپلیکیشن تأیید هویت را از فروشگاه اپل یا گوگل دانلود کنید.

مزایای احراز هویت دو مرحله‌ای با رمز یک‌بارمصرف

• با اضافه‌کردن حساب‌های خود به اپلیکیشن تأیید هویت، نیازی به خدمات پیامکی برای دسترسی به حساب‌های خود ندارید.
• به دلیل ذخیره‌شدن کلید مخفی در دستگاه شما، از دسترسی هکرها به پیامک‌ها جلوگیری می‌شود.
• اگر از اپلیکیشن‌های تأیید هویت خاصی مثل Authy استفاده کنید، می‌توانید کدهای خود را بین چندین دستگاه همگام‌سازی کرده و دسترسی بهتری داشته باشید.

معایب احراز هویت دو مرحله‌ای با رمز یک‌بارمصرف

• اگر گوشی شما خاموش شود، دسترسی به کدهای خود را از دست می‌دهید.
• اگر زمان دستگاه شما و سرویس موردنظر هماهنگ نباشد، کدهای تولیدشده قابل‌قبول نخواهند بود.
• اگر هکرها به کلید مخفی شما دسترسی پیدا کنند، ممکن است قادر به ایجاد کدهای دسترسی شوند و با داشتن رمز عبور وارد حساب کاربری شما شوند.

احراز هویت دوعاملی با کلیدهای سخت‌افزاری (U2F)

کلیدهای سخت‌افزاری یا U2F به‌عنوان یک استاندارد جدید برای احراز هویت شناخته می‌شوند و با استفاده از دستگاه‌های USB، NFC و کارت‌های هوشمند در تأیید هویت به کار می‌روند. برای راه‌اندازی این روش احراز هویت دو مرحله‌ای، ابتدا باید یک کلید امنیتی فیزیکی تهیه کرده و سپس در تنظیمات احراز هویت دو مرحله‌ای حساب کاربری خود، گزینه “security key” را فعال کنید. در هنگام ورود به‌حساب کاربری، پس از واردکردن رمز عبور، کلید امنیتی را به دستگاه خود متصل کرده و دکمه آن را فشار دهید تا تأیید هویت انجام شود.

مزایای احراز هویت دو عاملی با کلیدهای سخت‌افزاری (U2F)

• کلیدهای U2F از عامل فیزیکی واقعی برای احراز هویت استفاده می‌کنند، تا زمانی که این دستگاه‌ها فیزیکی و امن باقی بمانند، از نظر دیجیتالی آن‌ها را تهدید نمی‌کند.
• این کلیدها در برابر حملات فیشینگ مقاوم هستند، زیرا تنها زمان استفاده از آن‌ها در وب‌سایت‌های ثبت‌نام شده موردنیاز است.
• از نظر امنیتی، کلیدهای U2F به‌عنوان یکی از بهترین روش‌های احراز هویت چندعاملی شناخته می‌شوند.

معایب احراز هویت دو عاملی با کلیدهای سخت‌افزاری (U2F)

• کلیدهای U2F نسبت به سایر روش‌ها به‌عنوان یک تکنولوژی نسبتاً جدید محسوب می‌شوند و همچنان توسط تمامی سرویس‌ها پشتیبانی نمی‌شوند.
• یکی از مشکلات این کلیدها ارتباط با دستگاه‌های مختلف با درگاه‌های USB مختلف است. برای مثال، اگر یک کلید U2F با کانکتور USB-A داشته باشید، برای استفاده در دستگاه‌های اندرویدی، آیفون‌ها و مک‌بوک‌های جدیدتر نیاز به یک مبدل دارید.
• کلیدهای U2F از فناوری NFC نیز پشتیبانی می‌کنند، اما این مدل‌ها معمولاً هزینه بیشتری دارند.

احراز هویت دو مرحله‌ای توسط اعلان‌ها

برخی از پروتکل‌های احراز هویت، گزینه‌ای جایگزین نیز ارائه می‌دهند. برای انجام بهترین روش احراز هویت، بعد از واردکردن گذرواژه، یک اعلان دریافت می‌کنید که اطلاعات مرتبط با تلاش برای ورود به‌حساب کاربری را نشان می‌دهد. با لمس‌کردن گزینه “تأیید” یا “رد”، به این درخواست پاسخ می‌دهید. این فرایند تأیید دو مرحله‌ای را به طور مستقیم بین برنامه یا وب‌سایت، سیستم احراز هویت دوعاملی، کاربر و دستگاه او ارتباط می‌دهد.

مزایای احراز هویت توسط اعلان‌ها

• کار با اعلان‌ها بسیار ساده‌تر از مراجعه به برنامه‌های تأیید اعتبار و واردکردن کد تأیید است. اطلاعاتی همچون نوع دستگاه، آدرس IP و مکان جغرافیایی نیز در اعلان‌ها نمایش داده می‌شود که در مواجهه با تهدیدهای امنیتی به کاربر اطلاع می‌دهد.
• خطر کپی‌کردن کد مخفی یا رهگیری پیامک در این روش وجود ندارد. برای ورود به‌حساب کاربری، حتماً باید دستگاه خود را نیز در دست داشته باشید.

معایب احراز هویت توسط اعلان‌ها

• استفاده از این روش نیازمند اتصال گوشی به اینترنت است؛ بنابراین، اگر به اینترنت دسترسی نداشته باشید، نمی‌توانید وارد حساب کاربری خود شوید.
• امکان عدم توجه به محتوای اعلان دریافتی و تأیید سریع آن وجود دارد که باعث شود افراد غیرمجاز به‌حساب شما دسترسی پیدا کنند.

روش‌های احراز هویت بیومتریک

احراز هویت بیومتریک شامل تشخیص چهره، تشخیص صدا و اسکن اثر انگشت می‌شوند. این روش‌ها از ویژگی‌های بیولوژیکی یک فرد برای احراز هویت استفاده می‌کنند و در محیط‌هایی که نیاز به امنیت بالا و احراز هویت دقیق دارند، معمولاً مورداستفاده قرار می‌گیرند.

اپلیکیشن های احراز هویت دو مرحله‌ای

این اپلیکیشن‌ها از الگوریتم پسورد یک بار مصرف مبتنی بر زمان (TOTP) استفاده می‌کنند و یک کد شش رقمی‌ منحصر بفرد حساس به زمان تولید می‌کنند که می‌توانید از آن برای ورود به حساب خودتان استفاده کنید. معمولاً این کدها فقط برای 30 ثانیه کار می‌کنند؛ بعد از گذشت این بازه زمانی، اپلیکیشن یک کد جدید برای شما تولید می‌کند. بعد از تنظیمات اولیه می‌توانید از این اپلیکیشن حتی در صورت عدم وجود اتصال به شبکه استفاده کنید.

• Google Authenticator ( اندروید، iOS و بلک بری )
• Authy (اندروید، iOS، ویندوز و افزونه مرورگر
• Microsoft Authenticator (ویندوز فون 7)

اصول امنیت پسورد

به یاد داشته باشید که احراز هویت دو مرحله‌ای تنها در صورتی ارزش صرف زمان و تلاش را خواهد داشت که هم‌زمان با این مکانیزم از پسوردهایی قوی استفاده کنید.

•  استفاده از پسوردهایی قوی.
•  استفاده از پسوردهایی منحصر بفرد.
• تغییر پسورد در فواصلی منظم

داستانی جالب از احراز هویت دو مرحله‌ای

حتماً شما هم این ماجرا را شنیده‌اید که دو دوست با هم به بیرون از شهر رفته بودند که ناگهان صدای غرش خرس را شنیدند. یکی از این دو شروع کرد به پوشیدن کفش‌های ورزشی خودش و دوست دیگرش به او گفت: این کار بی‌فایده است چون تو نمی‌توانی از خرس سبقت بگیری. اما دوستش پاسخ داد: نیازی نیست که من از خرس جلوتر باشم فقط باید تو را پشت سر بگذارم.

داستان احراز هویت دو مرحله‌ای هم به همین صورت است.

با توجه به افزایش تعداد رخنه‌های اطلاعاتی، سازمان‌ها باید لایه‌های امنیتی بیشتری را مستقر و پیاده‌سازی کنند و کاربران نیز باید از این لایه‌های امنیتی استفاده کنند. به نظر من باید استفاده از احراز هویت دو مرحله‌ای اجباری باشد و در حالت پیش‌فرض و درست از لحظه‌ای که کاربری قصد ثبت‌نام در یک سیستم را دارد، فعال شده باشد.

داشتن پسورد و یک لایه تائید هویت اضافه، اکانت شما را صد در صد ایمن نمی‌کند. این روش هم چوب جادو نیست و نمی‌تواند اکانتتان را غیر قابل هک کند اما باعث می‌شود که رخنه و نفوذ به آن، بشدت سخت‌تر شود. با استفاده از این روش امید می‌رود که مهاجم به سمت یک هدف دیگر حرکت کند که کمتر محافظت شده باشد و وقت و انرژی خودش را برای شکستن فاکتور دوم احراز هویت صرف نکند.
اما با توجه به این که روزبه‌روز بر میزان محبوبیت و استفاده از روش‌های احراز هویت دو مرحله‌ای اضافه می‌شود، ممکن است مهاجمین روش‌های جدیدی برای شکستن آن ابداع کنند و این قاعده همیشگی در بازی امنیت بوده و هست.