چرا همین حالا باید احراز هویت دو مرحله‌ای را فعال کنید

احراز هویت دو مرحله‌ای: تصور کنید که یک صبح زیبای بهاری از خواب برمی‌خیزید، لپ تاپ‌تان را باز می‌کنید و متوجه می‌شوید که دیگر به حساب آنلاین بانک‌تان دسترسی ندارید. اطلاعات‌ ایمیل‌، وب‌سایت، کارهای مهم و ارزشمند گذشته‌تان همه از دست رفته و از کارت اعتباری شما برای تراکنش‌های مشکوک استفاده شده است.

من چنین اتفاقی را 6 سال پیش تجربه کردم.

تمام این اتفاقات به دست یکی از کارمندان سابق من انجام شد که اخیراً او را اخراج کرده بودم و ظاهراً این کار را برای انتقام گرفتن از من انجام داده بود.

خوشبختانه، او نتوانسته بود هیچ آسیب غیرقابل اصلاحی ‌ایجاد کند اما باعث شد در من ترس و وحشتی راجع به امنیت در فضای آنلاین ایجاد شود. از آن زمان به بعد همیشه سعی کردم که تمام خط مشی‌های امنیتی موجود را اتخاذ کنم تا از هک‌های مشابه در آینده پیشگیری کنم.

این مقاله مربوط به مکانیزمی ‌است که اگر در آن زمان وجود داشت، احتمالاً هیچ‌کدام از این اتفاقات پیش نمی‌آمد؛ یعنی احراز هویت دو مرحله‌ای.

احراز هویت دو مرحله‌ای چیست؟

احراز هویت دو مرحله‌ای که به آن تائید هویت چند فاکتوری یا چند گامی ‌هم گفته می‌شود، یک مکانیزم برای بررسی و تائید اعتبار شما است که در دو مرحله بررسی می‌کند ‌آیا هویت شما معتبر است یا خیر.

احراز هویت دو مرحله‌ای چطور کار می‌کند؟

وقتی قصد ورود به حساب کاربری خودتان را دارید، از شما درخواست می‌شود که نام کاربری و رمزعبور خودتان را وارد کنید – که این اولین مرحله یا لایه تائید هویت است.

احراز هویت دو مرحله‌ای به عنوان یک گام اضافه در این فرایند عمل می‌کند، یعنی یک لایه امنیتی مضاعف که هویت شما را برای بار دوم تائید می‌کند.

انواع فاکتورهای احراز هویت

فاکتورهای احراز هویت، 3 دسته کلی هستند:

1. هر نوع اطلاعاتی که در اختیار دارید: این اطلاعات می‌توانند یک پسورد، پین کد یا پاسخ به یک سؤال امنیتی باشند.

2. هر نوع شئ که در اختیار دارید: این مورد همیشه با یک شی یا دستگاه فیزیکی انجام می‌شود مثل یک توکن، تلفن موبایل، حافظه USB، کلید fob و یا یک کارت شناسایی (ID card).

3. فاکتورهایی از وجود خود شما: این مورد بیشتر مربوط به فاکتورهای زیستی است مثل تشخیص هویت از طریق صدا یا چهره، اثرانگشت، DNA، دست خط یا اسکن شبکیه. اما بعضی از این مکانیزم‌ها به‌شدت گران و پر‌هزینه هستند و به همین دلیل تنها در صورتی که در تشکیلاتی فوق سری( مثل آنچه در فیلم‌های ماموریت غیر ممکن می‌بینیم )کار کنید، ممکن است به چنین مکانیزم‌هایی دسترسی داشته باشید.

می‌توان از فاکتورهای زمان و موقعیت جغرافیایی هم استفاده کرد. مثلاً اگر شما وارد حساب کاربری خودتان شوید و فردی 10 دقیقه بعد سعی کند از یک کشور متفاوت وارد حساب شما شود، سیستم به صورت اتوماتیک مانع دسترسی وی به حساب شما خواهد شد.

چرا باید احراز هویت دو مرحله‌ای را فعال کنیم؟

پسوردها به خودی خود آنقدر که باید مستحکم و شکست‌ناپذیر نیستند. مهاجمین سایبری می‌توانند در یک ثانیه چندین میلیارد ترکیب مختلف را برای کرک کردن پسورد تست کنند.

بدتر این که 65 درصد از افراد برای حساب‌های مختلف خودشان از یک پسورد استفاده می‌کنند. این کار شبیه این است که برای منزل و ماشین خودتان از یک کلید مشابه استفاده کنید.

پیدا کردن پاسخ سؤالات امنیتی هم کار ساده‌ای است، بخصوص در دنیای امروز که همه مردم مدام اطلاعات زندگی خصوصیشان را در شبکه‌های اجتماعی و وبلاگ‌ها منتشر می‌کنند. هر کسی که به صورت روزمره با ما در ارتباط باشد می‌تواند به راحتی پاسخ ما به سؤالات امنیتی مثل سال فارغ التحصیلی، شهری که در آن بزرگ شدیم یا نام حیوان خانگی ما را پیدا کند.

حتی در صورتی که این اطلاعات را در فیس‌بوک یا سایر شبکه‌های اجتماعی منتشر نکنید باز هم امکان پیدا کردن آن‌ها از طریق رکوردهایی که در دسترس عموم قرار دارد ممکن بوده و می‌توان با وارد کردن نام، به آسانی به این اطلاعات دست پیدا کرد.

اینجاست که احراز هویت دو مرحله‌ای، مفید واقع می‌شود. این مکانیزم یک لایه امنیتی مضاعف را در کنار رمزعبور ارائه می‌دهد. عبور از این لایه دوم برای مجرمین سایبری کار سختی است و برای شکستن آن باید خیلی به شما نزدیک‌تر باشند و به همین دلیل شانس موفقیت‌شان به‌شدت کاهش پیدا می‌کند.

چند نمونه از روش‌های احراز هویت دو مرحله‌ای که احتمالاً در حال حاضر از آن‌ها استفاده می‌کنید:

• توکن امنیتی که بعضی بانک‌ها صادر می‌کنند و در یک زمان به‌خصوص یک کد خاص برای شما تولید می‌کند – که از آن همراه با نام کاربری و رمزعبور خودتان جهت بانکداری اینترنتی استفاده می‌کنید.

• رمز عبور یک بار مصرفی که از طریق موبایل دریافت می‌کنید و برای ورود به حساب کاربری گوگل، فیس‌بوک یا توییتر از آن استفاده می‌کنید.

• مشابه مورد قبل: رمز عبور تصادفی که توسط یک اپلیکیشن مثل Google Authenticator یا Facebook Code Generator ایجاد می‌شود و می‌توانید از آن برای ورود به حساب شبکه‌های اجتماعی یا ایمیل خودتان استفاده کنید.

استفاده از مکانیزم احراز هویت دو مرحله‌ای برای موارد زیر ضروری است:

• بانکداری آنلاین
• خرید آنلاین (آمازون، پی پال – البته این گزینه فقط برای بعضی کشورها موجود است)
• ایمیل (Gmail ،Yahoo ،Outlook)
• اکانت‌های مربوط به سرویس‌های ذخیره‌سازی مبتنی بر فناوری ابر (Dropbox ،Box ،Sync)
• اکانت‌های شبکه‌های اجتماعی (Facebook ،Twitter ،Linkedin ،Tumblr)
• اپلیکیشن‌های کاربردی (Evernote ،Trello)
• ابزارهای مدیریت رمزعبور (LastPass)
• اپلیکیشن‌های ارتباطی (Slack ،Skype ،MailChimp)

چگونگی فعال‌سازی این مکانیزم:

احراز هویت دو مرحله‌ای با استفاده از گوشی موبایل:

ازآنجا که امروزه همه مردم موبایل دارند و این گوشی‌ها را با خودشان به همه جا می‌برند، این روش یکی از محبوبترین روش‌های احراز هویت دو مرحله‌ای شده است.

برای تائید هویت خودتان می‌توانید از یک کد یک بار مصرف که با تلفن موبایل خودتان از طریق پیامک دریافت می‌کنید، استفاده کنید یا این که آن را با استفاده از یک اپلیکیشن موبایلی خاص تولید کنید.

ارسال از طریق پیامک مزایا و معایبی دارد. از یک طرف تنظیم و پیکربندی آن آسان است و برای دریافت کد از طریق پیامک نیازی نیست که حتماً گوشی هوشمند داشته باشید. اما اگر مرتباً در سفر هستید، ممکن است ارسال پیامک برای شما با تاخیراتی همراه باشد و در صورتی که خارج از محدوده شبکه باشید این روش اصلاً کار نخواهد کرد.

همچنین این روش به امنیت موبایل شما بستگی دارد. ممکن است مهاجم بتواند سیم‌کارت شما را کپی‌برداری کند یا این که ترافیک موبایل شما را به یک شماره جدید هدایت کند.

در صورتیکه چندین اکانت مختلف دارید که مکانیزم احراز هویت دو مرحله‌ای را برای آن‌ها فعال کرده‌اید، می‌توانید از دریافت کد از طریق پیامک صرف‌نظر کرده و از یک اپلیکیشن موبایلی برای ‌ایجاد کدهای احراز هویت دو مرحله‌ای استفاده کنید.

چند نمونه از اپلیکیشن‌های موبایل که می‌توانید برای احراز هویت دو مرحله‌ای استفاده کنید، عبارتند از:

• Google Authenticator (که برای اندروید، iOS و بلک بری موجود است)
• Authy (برای اندروید و iOS و همچنین به صورت اپلیکیشن دسک تاپ و افزونه مرورگر هم موجود است)
• Microsoft Authenticator (ویندوز فون 7)

این اپلیکیشن‌ها از الگوریتم پسورد یک بار مصرف مبتنی بر زمان (TOTP) استفاده می‌کنند و یک کد شش رقمی‌ منحصر بفرد حساس به زمان تولید می‌کنند که می‌توانید از آن برای ورود به حساب خودتان استفاده کنید. معمولاً این کدها فقط برای 30 ثانیه کار می‌کنند؛ بعد از گذشت این بازه زمانی، اپلیکیشن یک کد جدید برای شما تولید می‌کند.
بعد از تنظیمات اولیه می‌توانید از این اپلیکیشن حتی در صورت عدم وجود اتصال به شبکه استفاده کنید.

بعضی از اکانت‌هایی که اکیداً توصیه می‌کنیم احراز هویت دو مرحله‌ای را برای آن‌ها فعال کنید به همراه توضیح چگونگی انجام تنظیمات:

1. گوگل / Gmail

این مورد احتمالاً یکی از مهم‌ترین اکانت‌های شماست و معمولاً به حساب‌های مختلف – از شبکه‌های اجتماعی گرفته تا خرید آنلاین، اسناد کاری، اطلاعات شخصی، حساب‌های مالی، مالیات و غیره – لینک شده است. پس گوگل باید اولین اکانتی باشد که احراز هویت دو مرحله‌ای را برای آن فعال می‌کنید و همچنین باید از تمام مواردی که موجب افزایش سطح امنیت می‌شوند، استفاده کنید.

بعد از این که احراز هویت دو مرحله‌ای را فعال کردید، یک کد شش رقمی‌ از طریق پیام کوتاه با موبایلی که شماره آن را ثبت کرده‌اید، دریافت می‌کنید. همچنین گوگل اخطار می‌دهد که هر بار با یک دستگاه جدید قصد ورود به این حساب را داشته باشید، باید کد را وارد کنید. می‌توانید هر دستگاه جدید را برای 30 روز ذخیره کنید و در طی این بازه زمانی نیازی نیست که برای آن دستگاه هر بار هویتتان تائید شود.

حتماً تلفن و ایمیل پشتیبان را هم تنظیم کنید تا در صورتیکه به هر علتی به شماره تلفن و ‌ایمیل اصلی دسترسی نداشتید از آن‌ها استفاده کنید.
می‌توانید کد پشتیبانی هم ایجاد کنید که یک کد 8 رقمی است که می‌توانید آن را ذخیره کرده و در صورتی که زیاد سفر می‌کنید، اگر برای شبکه موبایلتان مشکلی ‌ایجاد شود یا نتوانستید از اپلیکیشن Google Authenticator استفاده کنید، آن را استفاده کنید.

یا این که می‌توانید کدها را از طریق اپلیکیشن موبایلی Google Authenticator حتی در مواقعی که تلفن شما به دیتا دسترسی نداشته باشد یا تحت پوشش شبکه نباشد دریافت کنید که این مورد بر روی گوشی‌های اندروید، آیفون و بلک بری کار می‌کند.

2. فیس‌بوک / توییتر / لینکداین

در شبکه‌های اجتماعی بزرگ و مهم نیز امکان احراز هویت دو مرحله‌ای وجود دارد.
فیس‌بوک در سال 2011 مکانیزم Login Approvals را عرضه کرد. در این روش لازم است هر بار که از طریق یک دستگاه جدید قصد ورود به اکانت فیس‌بوک خودتان را دارید، یک کد شش رقمی را وارد کنید. این کد از طریق پیامک به موبایل شما ارسال می‌شود.
یا این که می‌توانید Code Generator را که از امکانات اپلیکیشن فیس‌بوک است فعال کنید و کدهای امنیتی را از این طریق دریافت کنید.

توییتر چند سال پیش امکان بررسی و تائید لاگین را عرضه کرد. در این مکانیزم بعد از لاگین یک پیامک به شما ارسال می‌شود که برای دسترسی به اکانتتان باید کد داخل آن را وارد کنید.
در صورتیکه به هر علتی به موبایلتان دسترسی نداشته باشید، می‌توانید یک بار از کد پشتیبان برای تائید هویت خودتان استفاده کنید.

لینکداین هم مکانیزم احراز هویت دو مرحله‌ای را اضافه کرده که می‌توانید (و باید) آن را فعال کنید. در این مکانیزم هر بار که قصد ورود به اکانت
لینکداین خودتان را از یک دستگاه جدید داشته باشید، باید کد اعتبارسنجی که از طریق پیامک به موبایلتان ارسال می‌شود را وارد کنید.

Dropbox .3

اگر از سرویس‌های ابری یا کلاودی استفاده می‌کنید باید احراز هویت دو مرحله‌ای را برای آن‌ها فعال کنید؛ چون به احتمال زیاد اطلاعات حساس و مهم خودتان را در ابرها ذخیره می‌کنید.

بعد از این که احراز هویت دو مرحله‌ای را برای Dropbox فعال کردید، هر بار که قصد ورود به حسابتان یا اضافه کردن یک دستگاه جدید را داشته باشید، باید کد امنیتی شش رقمی و یا کلید امنیتی را وارد کنید.

همچنین Dropbox 10 کد پشتیبان 8 رقمی برای شما ارسال می‌کند که باید آن را در یک محل امن ذخیره کنید – می‌توانید در مواقع اورژانسی که به تلفن شما دسترسی ندارید، از این کدها استفاده کنید.

همچنین باید یک شماره تلفن پشتیبان هم اضافه کنید.
ابزار مفید: در وب‌سایتhttps://twofactorauth.org لیستی جامع از تمام سرویس‌هایی که احراز هویت دو مرحله‌ای را عرضه می‌کنند، تهیه شده است.

آیا امکان کرک شدن این مکانیزم وجود دارد؟

روش‌های تائید هویت چند فاکتوری هم مثل هر سیاست امنیتی دیگری در برابر حمله، آسیب‌پذیر هستند.
کارآمد بودن این متدها به عوامل مختلفی بستگی دارد مثل متد احراز هویت انتخابی، امنیت کانالی که برای تحویل یا تائید فاکتور احراز هویت دوم استفاده می‌شود و غیره.

چند سناریو یا تکنیکی که به مهاجمین امکان شکستن یا عبور از مرحله دوم تائید هویت را می‌دهند، عبارتند از:

• دسترسی به فاکتور دوم: ممکن است تلفن موبایل، کارت یا توکن شما به سرقت برود یا سارقین به هر طریقی بتوانند پیام‌های ارسال شده به موبایلتان را تشخیص بدهند.

• از طریق حمله مرد میانی: ممکن است سارقین از اسب تروجان (Trojan horse) برای دست‌کاری ارتباط بین شما و مرورگر وب استفاده کرده و حمله‌ای علیه این مکانیزم ترتیب بدهند. بازیکنان بازی دنیای وارکرفت هم در سال 2014 به همین روش مورد حمله قرار گرفتند.

• از طریق فیشینگ بلادرنگ: در این روش، مهاجم پسورد یک بار مصرف را درخواست کرده و بلافاصله از آن استفاده می‌کند. کاربران LastPass اخیراً هدف یک حمله فیشینگ بزرگ قرار گرفتند که حتی احراز هویت دو مرحله‌ای هم نتوانست مانع آن شود.

اصول امنیت پسورد

به یاد داشته باشید که احراز هویت دو مرحله‌ای تنها در صورتی ارزش صرف زمان و تلاش را خواهد داشت که هم‌زمان با این مکانیزم از پسوردهایی قوی استفاده کنید.

1. استفاده از پسوردهایی قوی.

حداقل طول پسورد باید 12 کاراکتر و حاوی حروف بزرگ و کوچک، اعداد و سمبل‌ها باشد.
پسوردهای ضعیف، پسوردهایی هستند که:

• حاوی کلماتی مثل password، admin، حروف qwerty، نام شما به صورت کامل یا با یکسری تغییرات باشند.

• ترکیبی از اعدادی که حدس زدنشان آسان است (مثل “1234”، “1234567890”، “2016”، “0000”، “11111”) باشد.

• حاوی نام همسر، فرزندان یا حیوان خانگی شما یا تاریخ تولد آن‌ها باشد.

• رمز پیش‌فرضی که ارائه‌دهنده سرویس عرضه می‌کند.

• هر چیزی که در لیست محبوب ترین و بدترین پسوردهای 2015 قرار داشته باشد.

2. استفاده از پسوردهایی منحصر بفرد.

برای هر اکانت باید از یک پسورد منحصربه‌فرد استفاده کنید. هرگز بیشتر از یک بار از یک پسورد استفاده نکنید.
با این کار اگر مهاجمی به یکی از اکانت‌های شما دسترسی پیدا کند، می‌تواند تمام اکانت‌های شما را هک کند. این کار مثل این است که برای منزل و ماشین خودتان از یک کلید یکسان استفاده کنید. مسلماً اگر یکی از این کلیدها را گم کنید، سارقین می‌توانند به هر دوی این‌ها دسترسی پیدا کنند.

3. تغییر پسورد در فواصلی منظم

پسوردها را در فواصلی منظم تغییر بدهید و هرگز آن‌ها را درجایی یادداشت نکنید؛ نه در داکیومنت‌هایی که در سرویس‌های ذخیره‌سازی ابر دارید نه روی کامپیوتر خودتان یا در پیشنویس‌های ‌ایمیل و یا در یادداشتی که روی میز کارتان قرار می‌دهید.
می‌توانید از Password Manager هم استفاده کنید. Password Manager یا مدیر پسورد، سرویسی است که پسوردهای ذخیره شده شما را رمزنگاری می‌کنند. به این ترتیب فقط کافی است یک رمز را به خاطر بسپارید، یعنی رمز اکانتتان در سرویس مدیریت پسورد.

اگر از توصیه‌های ذکر شده همراه با اصول امنیت کامپیوتر پیروی کنید، می‌توانید تا حد بسیار زیادی احتمال حمله را کم کنید.

سایر چالش‌ها

هر چند مکانیزم احراز هویت دو مرحله‌ای 28 سال پیش ابداع شد، اما پیاده‌سازی آن اخیراً شروع شده و (هنوز) در همه جای دنیا در دسترس نیست.
یکی از چالش‌های عمده این مکانیزم این است که پیاده‌سازی آن برای شرکت‌ها هزینه‌بر است و برای انجام این کار باید تمام سناریوهای ممکن – از جمله انواع دستگاه‌ها، عادات مختلف استفاده از دستگاه‌ها، انواع موقعیت‌های جغرافیایی – را پوشش بدهند. تخمین حجم تراکنش‌ها کار سختی است و هزینه ارسال رمز عبور از طریق پیامک بستگی به موقعیت جغرافیایی فرد دارد.

همچنین بعضی از شرکت‌ها این توجیه را ارایه می‌دهند که احراز هویت دو مرحله‌ای از نظر کاربران سخت و اسباب زحمت آن‌هاست.
به جز افراد آگاه در زمینه امنیت سایبری یا کسانی که تجربه ناخوشایندی در این باره دارند، سایرین علاقه چندانی به استفاده از مکانیزم احراز هویت دو مرحله‌ای ندارند. این افراد از اهمیت این مکانیزم اطلاع ندارند و تصور می‌کنند که فعال کردن این لایه دوم امنیتی، کار راحتی نیست.

با توجه به افزایش تعداد رخنه‌های اطلاعاتی، سازمان‌ها باید لایه‌های امنیتی بیشتری را مستقر و پیاده‌سازی کنند و کاربران نیز باید از این لایه‌های امنیتی استفاده کنند. حتی باید استفاده از احراز هویت دو مرحله‌ای اجباری باشد و در حالت پیش‌فرض و درست از لحظه‌ای که کاربری قصد ثبت‌نام در یک سیستم را دارد، فعال شده باشد.

نتیجه‌گیری

حتماً شما هم این ماجرا را شنیده‌اید که دو دوست با هم به بیرون از شهر رفته بودند که ناگهان صدای غرش خرس را شنیدند. یکی از این دو شروع کرد به پوشیدن کفش‌های ورزشی خودش و دوست دیگرش به او گفت: این کار بی‌فایده است چون تو نمی‌توانی از خرس سبقت بگیری. اما دوستش پاسخ داد: نیازی نیست که من از خرس جلوتر باشم فقط باید تو را پشت سر بگذارم.

داستان احراز هویت دو مرحله‌ای هم به همین صورت است.

داشتن پسورد و یک لایه تائید هویت اضافه، اکانت شما را صد در صد ایمن نمی‌کند. این روش هم چوب جادو نیست و نمی‌تواند اکانتتان را غیر قابل هک کند اما باعث می‌شود که رخنه و نفوذ به آن، بشدت سخت‌تر شود. با استفاده از این روش امید می‌رود که مهاجم به سمت یک هدف دیگر حرکت کند که کمتر محافظت شده باشد و وقت و انرژی خودش را برای شکستن فاکتور دوم احراز هویت صرف نکند.
اما با توجه به این که روزبه‌روز بر میزان محبوبیت و استفاده از روش‌های احراز هویت دو مرحله‌ای اضافه می‌شود، ممکن است مهاجمین روش‌های جدیدی برای شکستن آن ابداع کنند و این قاعده همیشگی در بازی امنیت بوده و هست.