چرا همین حالا باید احراز هویت دو مرحلهای را فعال کنید
احراز هویت دو مرحلهای چیست؟ چرا باید آن را فعال کنید و چطور از آن استفاده کنید

احراز هویت دو مرحلهای: تصور کنید که یک صبح زیبای بهاری از خواب برمیخیزید، لپ تاپتان را باز میکنید و متوجه میشوید که دیگر به حساب آنلاین بانکتان دسترسی ندارید. اطلاعات ایمیل، وبسایت، کارهای مهم و ارزشمند گذشتهتان همه از دست رفته و از کارت اعتباری شما برای تراکنشهای مشکوک استفاده شده است.
من چنین اتفاقی را 6 سال پیش تجربه کردم.
تمام این اتفاقات به دست یکی از کارمندان سابق من انجام شد که اخیراً او را اخراج کرده بودم و ظاهراً این کار را برای انتقام گرفتن از من انجام داده بود.
خوشبختانه، او نتوانسته بود هیچ آسیب غیرقابل اصلاحی ایجاد کند اما باعث شد در من ترس و وحشتی راجع به امنیت در فضای آنلاین ایجاد شود. از آن زمان به بعد همیشه سعی کردم که تمام خط مشیهای امنیتی موجود را اتخاذ کنم تا از هکهای مشابه در آینده پیشگیری کنم.
این مقاله مربوط به مکانیزمی است که اگر در آن زمان وجود داشت، احتمالاً هیچکدام از این اتفاقات پیش نمیآمد؛ یعنی احراز هویت دو مرحلهای.
احراز هویت دو مرحلهای چیست؟
احراز هویت دو مرحلهای که به آن تائید هویت چند فاکتوری یا چند گامی هم گفته میشود، یک مکانیزم برای بررسی و تائید اعتبار شما است که در دو مرحله بررسی میکند آیا هویت شما معتبر است یا خیر.
احراز هویت دو مرحلهای چطور کار میکند؟
وقتی قصد ورود به حساب کاربری خودتان را دارید، از شما درخواست میشود که نام کاربری و رمزعبور خودتان را وارد کنید – که این اولین مرحله یا لایه تائید هویت است.
احراز هویت دو مرحلهای به عنوان یک گام اضافه در این فرایند عمل میکند، یعنی یک لایه امنیتی مضاعف که هویت شما را برای بار دوم تائید میکند.
انواع فاکتورهای احراز هویت
فاکتورهای احراز هویت، 3 دسته کلی هستند:
1. هر نوع اطلاعاتی که در اختیار دارید: این اطلاعات میتوانند یک پسورد، پین کد یا پاسخ به یک سؤال امنیتی باشند.
2. هر نوع شئ که در اختیار دارید: این مورد همیشه با یک شی یا دستگاه فیزیکی انجام میشود مثل یک توکن، تلفن موبایل، حافظه USB، کلید fob و یا یک کارت شناسایی (ID card).
3. فاکتورهایی از وجود خود شما: این مورد بیشتر مربوط به فاکتورهای زیستی است مثل تشخیص هویت از طریق صدا یا چهره، اثرانگشت، DNA، دست خط یا اسکن شبکیه. اما بعضی از این مکانیزمها بهشدت گران و پرهزینه هستند و به همین دلیل تنها در صورتی که در تشکیلاتی فوق سری( مثل آنچه در فیلمهای ماموریت غیر ممکن میبینیم )کار کنید، ممکن است به چنین مکانیزمهایی دسترسی داشته باشید.
میتوان از فاکتورهای زمان و موقعیت جغرافیایی هم استفاده کرد. مثلاً اگر شما وارد حساب کاربری خودتان شوید و فردی 10 دقیقه بعد سعی کند از یک کشور متفاوت وارد حساب شما شود، سیستم به صورت اتوماتیک مانع دسترسی وی به حساب شما خواهد شد.
چرا باید احراز هویت دو مرحلهای را فعال کنیم؟
پسوردها به خودی خود آنقدر که باید مستحکم و شکستناپذیر نیستند. مهاجمین سایبری میتوانند در یک ثانیه چندین میلیارد ترکیب مختلف را برای کرک کردن پسورد تست کنند.
بدتر این که 65 درصد از افراد برای حسابهای مختلف خودشان از یک پسورد استفاده میکنند. این کار شبیه این است که برای منزل و ماشین خودتان از یک کلید مشابه استفاده کنید.
پیدا کردن پاسخ سؤالات امنیتی هم کار سادهای است، بخصوص در دنیای امروز که همه مردم مدام اطلاعات زندگی خصوصیشان را در شبکههای اجتماعی و وبلاگها منتشر میکنند. هر کسی که به صورت روزمره با ما در ارتباط باشد میتواند به راحتی پاسخ ما به سؤالات امنیتی مثل سال فارغ التحصیلی، شهری که در آن بزرگ شدیم یا نام حیوان خانگی ما را پیدا کند.
حتی در صورتی که این اطلاعات را در فیسبوک یا سایر شبکههای اجتماعی منتشر نکنید باز هم امکان پیدا کردن آنها از طریق رکوردهایی که در دسترس عموم قرار دارد ممکن بوده و میتوان با وارد کردن نام، به آسانی به این اطلاعات دست پیدا کرد.
اینجاست که احراز هویت دو مرحلهای، مفید واقع میشود. این مکانیزم یک لایه امنیتی مضاعف را در کنار رمزعبور ارائه میدهد. عبور از این لایه دوم برای مجرمین سایبری کار سختی است و برای شکستن آن باید خیلی به شما نزدیکتر باشند و به همین دلیل شانس موفقیتشان بهشدت کاهش پیدا میکند.
چند نمونه از روشهای احراز هویت دو مرحلهای که احتمالاً در حال حاضر از آنها استفاده میکنید:
• توکن امنیتی که بعضی بانکها صادر میکنند و در یک زمان بهخصوص یک کد خاص برای شما تولید میکند – که از آن همراه با نام کاربری و رمزعبور خودتان جهت بانکداری اینترنتی استفاده میکنید.
• رمز عبور یک بار مصرفی که از طریق موبایل دریافت میکنید و برای ورود به حساب کاربری گوگل، فیسبوک یا توییتر از آن استفاده میکنید.
• مشابه مورد قبل: رمز عبور تصادفی که توسط یک اپلیکیشن مثل Google Authenticator یا Facebook Code Generator ایجاد میشود و میتوانید از آن برای ورود به حساب شبکههای اجتماعی یا ایمیل خودتان استفاده کنید.
استفاده از مکانیزم احراز هویت دو مرحلهای برای موارد زیر ضروری است:
• بانکداری آنلاین
• خرید آنلاین (آمازون، پی پال – البته این گزینه فقط برای بعضی کشورها موجود است)
• ایمیل (Gmail ،Yahoo ،Outlook)
• اکانتهای مربوط به سرویسهای ذخیرهسازی مبتنی بر فناوری ابر (Dropbox ،Box ،Sync)
• اکانتهای شبکههای اجتماعی (Facebook ،Twitter ،Linkedin ،Tumblr)
• اپلیکیشنهای کاربردی (Evernote ،Trello)
• ابزارهای مدیریت رمزعبور (LastPass)
• اپلیکیشنهای ارتباطی (Slack ،Skype ،MailChimp)
چگونگی فعالسازی این مکانیزم:
احراز هویت دو مرحلهای با استفاده از گوشی موبایل:
ازآنجا که امروزه همه مردم موبایل دارند و این گوشیها را با خودشان به همه جا میبرند، این روش یکی از محبوبترین روشهای احراز هویت دو مرحلهای شده است.
برای تائید هویت خودتان میتوانید از یک کد یک بار مصرف که با تلفن موبایل خودتان از طریق پیامک دریافت میکنید، استفاده کنید یا این که آن را با استفاده از یک اپلیکیشن موبایلی خاص تولید کنید.
ارسال از طریق پیامک مزایا و معایبی دارد. از یک طرف تنظیم و پیکربندی آن آسان است و برای دریافت کد از طریق پیامک نیازی نیست که حتماً گوشی هوشمند داشته باشید. اما اگر مرتباً در سفر هستید، ممکن است ارسال پیامک برای شما با تاخیراتی همراه باشد و در صورتی که خارج از محدوده شبکه باشید این روش اصلاً کار نخواهد کرد.
همچنین این روش به امنیت موبایل شما بستگی دارد. ممکن است مهاجم بتواند سیمکارت شما را کپیبرداری کند یا این که ترافیک موبایل شما را به یک شماره جدید هدایت کند.
در صورتیکه چندین اکانت مختلف دارید که مکانیزم احراز هویت دو مرحلهای را برای آنها فعال کردهاید، میتوانید از دریافت کد از طریق پیامک صرفنظر کرده و از یک اپلیکیشن موبایلی برای ایجاد کدهای احراز هویت دو مرحلهای استفاده کنید.
چند نمونه از اپلیکیشنهای موبایل که میتوانید برای احراز هویت دو مرحلهای استفاده کنید، عبارتند از:
• Google Authenticator (که برای اندروید، iOS و بلک بری موجود است)
• Authy (برای اندروید و iOS و همچنین به صورت اپلیکیشن دسک تاپ و افزونه مرورگر هم موجود است)
• Microsoft Authenticator (ویندوز فون 7)
این اپلیکیشنها از الگوریتم پسورد یک بار مصرف مبتنی بر زمان (TOTP) استفاده میکنند و یک کد شش رقمی منحصر بفرد حساس به زمان تولید میکنند که میتوانید از آن برای ورود به حساب خودتان استفاده کنید. معمولاً این کدها فقط برای 30 ثانیه کار میکنند؛ بعد از گذشت این بازه زمانی، اپلیکیشن یک کد جدید برای شما تولید میکند.
بعد از تنظیمات اولیه میتوانید از این اپلیکیشن حتی در صورت عدم وجود اتصال به شبکه استفاده کنید.
بعضی از اکانتهایی که اکیداً توصیه میکنیم احراز هویت دو مرحلهای را برای آنها فعال کنید به همراه توضیح چگونگی انجام تنظیمات:
1. گوگل / Gmail
این مورد احتمالاً یکی از مهمترین اکانتهای شماست و معمولاً به حسابهای مختلف – از شبکههای اجتماعی گرفته تا خرید آنلاین، اسناد کاری، اطلاعات شخصی، حسابهای مالی، مالیات و غیره – لینک شده است. پس گوگل باید اولین اکانتی باشد که احراز هویت دو مرحلهای را برای آن فعال میکنید و همچنین باید از تمام مواردی که موجب افزایش سطح امنیت میشوند، استفاده کنید.
بعد از این که احراز هویت دو مرحلهای را فعال کردید، یک کد شش رقمی از طریق پیام کوتاه با موبایلی که شماره آن را ثبت کردهاید، دریافت میکنید. همچنین گوگل اخطار میدهد که هر بار با یک دستگاه جدید قصد ورود به این حساب را داشته باشید، باید کد را وارد کنید. میتوانید هر دستگاه جدید را برای 30 روز ذخیره کنید و در طی این بازه زمانی نیازی نیست که برای آن دستگاه هر بار هویتتان تائید شود.
حتماً تلفن و ایمیل پشتیبان را هم تنظیم کنید تا در صورتیکه به هر علتی به شماره تلفن و ایمیل اصلی دسترسی نداشتید از آنها استفاده کنید.
میتوانید کد پشتیبانی هم ایجاد کنید که یک کد 8 رقمی است که میتوانید آن را ذخیره کرده و در صورتی که زیاد سفر میکنید، اگر برای شبکه موبایلتان مشکلی ایجاد شود یا نتوانستید از اپلیکیشن Google Authenticator استفاده کنید، آن را استفاده کنید.
یا این که میتوانید کدها را از طریق اپلیکیشن موبایلی Google Authenticator حتی در مواقعی که تلفن شما به دیتا دسترسی نداشته باشد یا تحت پوشش شبکه نباشد دریافت کنید که این مورد بر روی گوشیهای اندروید، آیفون و بلک بری کار میکند.
2. فیسبوک / توییتر / لینکداین
در شبکههای اجتماعی بزرگ و مهم نیز امکان احراز هویت دو مرحلهای وجود دارد.
فیسبوک در سال 2011 مکانیزم Login Approvals را عرضه کرد. در این روش لازم است هر بار که از طریق یک دستگاه جدید قصد ورود به اکانت فیسبوک خودتان را دارید، یک کد شش رقمی را وارد کنید. این کد از طریق پیامک به موبایل شما ارسال میشود.
یا این که میتوانید Code Generator را که از امکانات اپلیکیشن فیسبوک است فعال کنید و کدهای امنیتی را از این طریق دریافت کنید.
توییتر چند سال پیش امکان بررسی و تائید لاگین را عرضه کرد. در این مکانیزم بعد از لاگین یک پیامک به شما ارسال میشود که برای دسترسی به اکانتتان باید کد داخل آن را وارد کنید.
در صورتیکه به هر علتی به موبایلتان دسترسی نداشته باشید، میتوانید یک بار از کد پشتیبان برای تائید هویت خودتان استفاده کنید.
لینکداین هم مکانیزم احراز هویت دو مرحلهای را اضافه کرده که میتوانید (و باید) آن را فعال کنید. در این مکانیزم هر بار که قصد ورود به اکانت
لینکداین خودتان را از یک دستگاه جدید داشته باشید، باید کد اعتبارسنجی که از طریق پیامک به موبایلتان ارسال میشود را وارد کنید.
Dropbox .3
اگر از سرویسهای ابری یا کلاودی استفاده میکنید باید احراز هویت دو مرحلهای را برای آنها فعال کنید؛ چون به احتمال زیاد اطلاعات حساس و مهم خودتان را در ابرها ذخیره میکنید.
بعد از این که احراز هویت دو مرحلهای را برای Dropbox فعال کردید، هر بار که قصد ورود به حسابتان یا اضافه کردن یک دستگاه جدید را داشته باشید، باید کد امنیتی شش رقمی و یا کلید امنیتی را وارد کنید.
همچنین Dropbox 10 کد پشتیبان 8 رقمی برای شما ارسال میکند که باید آن را در یک محل امن ذخیره کنید – میتوانید در مواقع اورژانسی که به تلفن شما دسترسی ندارید، از این کدها استفاده کنید.
همچنین باید یک شماره تلفن پشتیبان هم اضافه کنید.
ابزار مفید: در وبسایتhttps://twofactorauth.org لیستی جامع از تمام سرویسهایی که احراز هویت دو مرحلهای را عرضه میکنند، تهیه شده است.
آیا امکان کرک شدن این مکانیزم وجود دارد؟
روشهای تائید هویت چند فاکتوری هم مثل هر سیاست امنیتی دیگری در برابر حمله، آسیبپذیر هستند.
کارآمد بودن این متدها به عوامل مختلفی بستگی دارد مثل متد احراز هویت انتخابی، امنیت کانالی که برای تحویل یا تائید فاکتور احراز هویت دوم استفاده میشود و غیره.
چند سناریو یا تکنیکی که به مهاجمین امکان شکستن یا عبور از مرحله دوم تائید هویت را میدهند، عبارتند از:
• دسترسی به فاکتور دوم: ممکن است تلفن موبایل، کارت یا توکن شما به سرقت برود یا سارقین به هر طریقی بتوانند پیامهای ارسال شده به موبایلتان را تشخیص بدهند.
• از طریق حمله مرد میانی: ممکن است سارقین از اسب تروجان (Trojan horse) برای دستکاری ارتباط بین شما و مرورگر وب استفاده کرده و حملهای علیه این مکانیزم ترتیب بدهند. بازیکنان بازی دنیای وارکرفت هم در سال 2014 به همین روش مورد حمله قرار گرفتند.
• از طریق فیشینگ بلادرنگ: در این روش، مهاجم پسورد یک بار مصرف را درخواست کرده و بلافاصله از آن استفاده میکند. کاربران LastPass اخیراً هدف یک حمله فیشینگ بزرگ قرار گرفتند که حتی احراز هویت دو مرحلهای هم نتوانست مانع آن شود.
اصول امنیت پسورد
به یاد داشته باشید که احراز هویت دو مرحلهای تنها در صورتی ارزش صرف زمان و تلاش را خواهد داشت که همزمان با این مکانیزم از پسوردهایی قوی استفاده کنید.
1. استفاده از پسوردهایی قوی.
حداقل طول پسورد باید 12 کاراکتر و حاوی حروف بزرگ و کوچک، اعداد و سمبلها باشد.
پسوردهای ضعیف، پسوردهایی هستند که:
• حاوی کلماتی مثل password، admin، حروف qwerty، نام شما به صورت کامل یا با یکسری تغییرات باشند.
• ترکیبی از اعدادی که حدس زدنشان آسان است (مثل “1234”، “1234567890”، “2016”، “0000”، “11111”) باشد.
• حاوی نام همسر، فرزندان یا حیوان خانگی شما یا تاریخ تولد آنها باشد.
• رمز پیشفرضی که ارائهدهنده سرویس عرضه میکند.
• هر چیزی که در لیست محبوب ترین و بدترین پسوردهای 2015 قرار داشته باشد.
2. استفاده از پسوردهایی منحصر بفرد.
برای هر اکانت باید از یک پسورد منحصربهفرد استفاده کنید. هرگز بیشتر از یک بار از یک پسورد استفاده نکنید.
با این کار اگر مهاجمی به یکی از اکانتهای شما دسترسی پیدا کند، میتواند تمام اکانتهای شما را هک کند. این کار مثل این است که برای منزل و ماشین خودتان از یک کلید یکسان استفاده کنید. مسلماً اگر یکی از این کلیدها را گم کنید، سارقین میتوانند به هر دوی اینها دسترسی پیدا کنند.
3. تغییر پسورد در فواصلی منظم
پسوردها را در فواصلی منظم تغییر بدهید و هرگز آنها را درجایی یادداشت نکنید؛ نه در داکیومنتهایی که در سرویسهای ذخیرهسازی ابر دارید نه روی کامپیوتر خودتان یا در پیشنویسهای ایمیل و یا در یادداشتی که روی میز کارتان قرار میدهید.
میتوانید از Password Manager هم استفاده کنید. Password Manager یا مدیر پسورد، سرویسی است که پسوردهای ذخیره شده شما را رمزنگاری میکنند. به این ترتیب فقط کافی است یک رمز را به خاطر بسپارید، یعنی رمز اکانتتان در سرویس مدیریت پسورد.
اگر از توصیههای ذکر شده همراه با اصول امنیت کامپیوتر پیروی کنید، میتوانید تا حد بسیار زیادی احتمال حمله را کم کنید.
سایر چالشها
هر چند مکانیزم احراز هویت دو مرحلهای 28 سال پیش ابداع شد، اما پیادهسازی آن اخیراً شروع شده و (هنوز) در همه جای دنیا در دسترس نیست.
یکی از چالشهای عمده این مکانیزم این است که پیادهسازی آن برای شرکتها هزینهبر است و برای انجام این کار باید تمام سناریوهای ممکن – از جمله انواع دستگاهها، عادات مختلف استفاده از دستگاهها، انواع موقعیتهای جغرافیایی – را پوشش بدهند. تخمین حجم تراکنشها کار سختی است و هزینه ارسال رمز عبور از طریق پیامک بستگی به موقعیت جغرافیایی فرد دارد.
همچنین بعضی از شرکتها این توجیه را ارایه میدهند که احراز هویت دو مرحلهای از نظر کاربران سخت و اسباب زحمت آنهاست.
به جز افراد آگاه در زمینه امنیت سایبری یا کسانی که تجربه ناخوشایندی در این باره دارند، سایرین علاقه چندانی به استفاده از مکانیزم احراز هویت دو مرحلهای ندارند. این افراد از اهمیت این مکانیزم اطلاع ندارند و تصور میکنند که فعال کردن این لایه دوم امنیتی، کار راحتی نیست.
با توجه به افزایش تعداد رخنههای اطلاعاتی، سازمانها باید لایههای امنیتی بیشتری را مستقر و پیادهسازی کنند و کاربران نیز باید از این لایههای امنیتی استفاده کنند. حتی باید استفاده از احراز هویت دو مرحلهای اجباری باشد و در حالت پیشفرض و درست از لحظهای که کاربری قصد ثبتنام در یک سیستم را دارد، فعال شده باشد.
نتیجهگیری
حتماً شما هم این ماجرا را شنیدهاید که دو دوست با هم به بیرون از شهر رفته بودند که ناگهان صدای غرش خرس را شنیدند. یکی از این دو شروع کرد به پوشیدن کفشهای ورزشی خودش و دوست دیگرش به او گفت: این کار بیفایده است چون تو نمیتوانی از خرس سبقت بگیری. اما دوستش پاسخ داد: نیازی نیست که من از خرس جلوتر باشم فقط باید تو را پشت سر بگذارم.
داستان احراز هویت دو مرحلهای هم به همین صورت است.
داشتن پسورد و یک لایه تائید هویت اضافه، اکانت شما را صد در صد ایمن نمیکند. این روش هم چوب جادو نیست و نمیتواند اکانتتان را غیر قابل هک کند اما باعث میشود که رخنه و نفوذ به آن، بشدت سختتر شود. با استفاده از این روش امید میرود که مهاجم به سمت یک هدف دیگر حرکت کند که کمتر محافظت شده باشد و وقت و انرژی خودش را برای شکستن فاکتور دوم احراز هویت صرف نکند.
اما با توجه به این که روزبهروز بر میزان محبوبیت و استفاده از روشهای احراز هویت دو مرحلهای اضافه میشود، ممکن است مهاجمین روشهای جدیدی برای شکستن آن ابداع کنند و این قاعده همیشگی در بازی امنیت بوده و هست.