تایید هویت دو عاملی (Two-factor authentication) که به اختصار 2FA گفته می‌شود، روشی برای ورود به یک حساب کاربری است که در آن سیستم برای این‌که مطمئن شود کسی که قصد ورود دارد خودِ کاربر است (و مثلا یک هکر نیست)، از کاربر دو عامل مختلف برای تایید هویت طلب می‌کند.

این دو عامل این‌ها هستند:

  1. چیزی که سیستم می‌داند (مانند کلمه عبور شما)
  2. چیزی که اثبات کند خودِ شما آن کلمه عبور را وارد کرده‌اید نه شخص دیگری. عامل دوم می‌تواند یک رمز یکبار مصرف که از کلمه عبور جدا است یا تایید ایمیل و یا تایید پیامکی باشد.

در متون فارسی از نام احراز هویت دو مرحله‌ای/دو عاملی هم برای این روش استفاده می‌شود.

به عبارت دیگر، با استفاده از این روش، در ابتدا، کاربر، نام کاربری و کلمه عبور خود را وارد کرده، سپس به جای دسترسی فوری به حساب، از او خواسته می‌شود تا برای اینکه ثابت کند واقعا صاحب آن حساب است، اطلاعات اضافی دیگری را نیز وارد کند.

به عنوان مثال اگر در ایمیل خود (مثل حساب جیمیل) احراز هویت دو مرحله‌ ای را فعال کنید، در هنگام درخواست برای ورود به حساب، علاوه بر کلمه عبور از شما خواسته می‌شود تا از طریق تلفن همراهتان (یا هر راه دیگری) هویتتان را تایید کنید.

 

عامل دوم می‌تواند انواع مختلفی داشته باشد که مهمترینشان عبارتند از:

اطلاعاتی که فقط خود کاربر می‌داند

این نوع از احراز هویت دو مرحله‌ای، اطلاعاتی است که مربوط به خود کاربر می‌شود و کاربر حتما آنها را می‌داند. برای مثال، پاسخ به یک سری سوالات خصوصی، و یا الگوی ضربه زدن به یک کلید خاص و .. می‌تواند به عنوان یکی از روش‌های تایید هویت مورد استفاده قرار گیرد.

امکاناتی که کاربر دارد

به طور معمول، یک کاربر می‌تواند با استفاده از یکی از تجهیزات الکترونیکی که در اختیار دارد، مانند یک کارت اعتباری، تلفن هوشمند یا یک دستگاه سخت‌افزاری کوچک که به آن توکن سخت‌افزاری نیز می‌گویند، این احراز هویت را انجام دهد.

اطلاعات فیزیکی‌ای که کاربر دارد

این نوع تایید هویت کمی پیشرفته‌تر و همچنین امن‌تر است و شامل الگوهای بیومتریکی مانند اثر انگشت، اسکن عنبیه چشم و سایر احراز هویت‌های این چنینی می‌شود.

 

چرا باید از تایید هویت دو عاملی استفاده کنیم؟

گسترش استفاده از اینترنت و افزایش تلاش‌ها برای هک کردن حساب‌های کاربران نشان داده است که رمز عبور به تنهایی نمی‌تواند امنیت یک حساب اینترنتی را تامین کند.

در ادامه به چند مورد از دلایلی که نشان می‌دهد چرا استفاده از رمز عبور نمی‌تواند امنیت ۱۰۰ درصدی را برای کاربران فراهم کند، اشاره می‌شود.

رمزعبورهای ساده و قابل حدس

بر اساس تحقیقاتی که اخیرا انجام شده، ۱.۴ میلیارد از پسوردهای هک شده، عبارت‌های بسیار ساده‌‍‌ای بودند که امکان حدس زدن آنها توسط هر شخصی فراهم بود.

در میان این عبارت‌های ساده به عنوان پسورد، استفاده از عبارت‌هایی مانند «۱۱۱۱۱۱»، «۱۲۳۴۵۶»، «۱۲۳۴۵۶۷۸۹» بسیار احمقانه و قابل حدس بودند.

کرک کردن (Cracking) یکی از راه‌های رایج برای بدست آوردن کلمه عبور حساب‌های مختلف است. در این روش کرکرها با استفاده از نرم‌افزارهای مخصوص و تست کردن تعداد زیادی کلمه عبور، به حساب‌های مختلف دسترسی پیدا می‌کنند.

بدافزارها و مهندسی اجتماعی

حتی اگر از ترکیبات پیچیده و غیرقابل حدس برای رمزعبور حساب‌های خود استفاده کنید که کرکرها نتوانند آن‌ها را تست کنند، باز هم خطر دست‌یابی به کلمه عبورتان از دست نمی‌رود.

بدافزارهایی مثل رت، تروجان و کی‌لاگر پس از آلوده کردن سیستم قربانی، به راحتی می‌توانند از کلمات عبوری که قربانی هنگام ورود به حسابش وارد کرده است، نسخه برداری کنند. فرقی نمی‌کند از چه کلمه عبوری استفاده کنید، یک بدافزار آن را به طور کامل کپی می‌کند و به هکر می‌دهد.

همچنین ممکن است از طریق مهندسی اجتماعی (مثل فیشینگ) گول بخورید و خودتان با دستان خودتان کلمه عبور را در اختیار یک هکر یا کلاهبردار قرار دهید.

با احراز هویت دو عاملی حتی اگر یک نفر کلمه عبور شما را هم بداند، نمی‌تواند به حسابتان وارد شود.

انواع روش‌های متداول احراز هویت دو مرحله‌ای (2FA)

امروزه چندین روش متفاوت برای احراز هویت دو مرحله‌ای، مورد استفاده قرار می‌گیرد؛ برخی از آنها امنیت بالاتری دارند و قوی‌ترند و استفاده از برخی از آنها پیچیده‌تر است. اما تمام آنها امنیت بیشتری را نسبت به اینکه فقط از رمز عبور استفاده کنیم، ارائه می‌دهند.

در ادامه برخی از متداول‌ترین انواع تایید دو مرحله‌ای را با هم بررسی می‌کنیم.

با استفاده از تجهیزات سخت‌افزاری

قدیمی‌ترین شکل احراز هویت دو مرحله‌ ای، تجهیزات الکترونیکی‌ای هستند که ابعاد آن بسیار کوچک بوده و هر چند ثانیه یک کد عددی جدید تولید می‌کنند. وقتی کاربر بخواهد به حساب خود دسترسی پیدا کند، به این دستگاه الکترونیکی خود نگاه کرده و کد 2FA نمایش داده شده در آن را در سایت یا اپلیکیشن وارد می‌کند تا وارد حساب کاربری خود شود. این دستگاه‌ها انواع مختلفی دارند که نام بردنشان در این مقاله نمی‌گنجد.

بسیاری از بانک‌های ایرانی، از سالها پیش این توکن‌های سخت‌افزاری را به مشتریانی که می‌خواستند امنیت حساب آنها بالا باشد، ارائه می‌دادند.

امروزه با گسترش تلفن‌های همراه و راه‌‌حل‌های آسان‌تر، ارزان‌تر و ایمن‌تر، این روش کاربرد زیادی ندارد.

با استفاده از پیام متنی و صوتی

استفاده از روش پیام کوتاه برای احراز هویت دو مرحله‌ای ارتباط مستقیم با تلفن همراه کاربر دارد. پس از دریافت نام‌کاربری و رمز عبور، یک رمز عبور یکبار مصرف منحصر به فرد، از طریق پیامک به تلفن همراه کاربر ارسال می‌شود.

مشابه روندی که در هنگام استفاده از روش تجهیزات سخت‌افزاری برای تایید، اتفاق می‌افتاد، یعنی کاربر پس از دریافت کد در تلفن همراه خود، برای وارد شدن به حساب کاربری خود باید آن را در سایت یا اپلیکیشن وارد کند تا بتواند به حساب کاربری خود دسترسی پیدا کند، در اینجا هم همین اتفاق می‌افتد.

به صورت مشابه، در روش 2FA با استفاده از پیام صوتی، یک شماره با تلفن همراه کاربر تماس گرفته و کد 2FA به صورت صوتی به او گفته می‌شود. هرچند استفاده از این روش چندان متداول نیست، اما هنوز هم در کشورهایی که تلفن‌های همراه هوشمند گران هستند و یا خدمات تلفن همراه ضعیف است، مورد استفاده قرار می‌گیرد.

برای فعالیت‌های آنلاین که از حساسیت بالایی برخوردار نیستند، احراز هویت از طریق پیام متنی یا صوتی می‌تواند نیاز امنیتی شما را برآورده کند. اما در مورد وبسایت‌هایی که اطلاعات شخصی شما را ذخیره می‌کنند، مانند بسیاری از شرکت‌ها، بانک‌ها یا حساب‌های ایمیل، این سطح از احراز هویت دو مرحله‌ای (2FA) ممکن است به اندازه کافی امن و قابل اتکا نباشد.

در واقع، استفاده از پیامک (SMS) یا پیام صوتی برای احراز هویت دو مرحله‌ای، پایین‌ترین سطح امنیت را در بین روش‌های تایید هویت برای کاربران ارائه می‌دهد. به همین دلیل، بسیاری از شرکت‌ها، پا فراتر گذاشته و روش‌های امن‌تری را برای ورود دو مرحله‌ای ارائه داده‌اند.

با استفاده از نرم‌افزارها

محبوب‌ترین شکل از تایید دو مرحله‌ ای که به عنوان جایگزینی برای احراز هویت با استفاده از پیام‌های متنی و صوتی مورد استفاده قرار می‌گیرد، استفاده از نرم‌افزارهایی است که کد یکبار مصرف تولید می‌کنند.

برای استفاده از این روش، ابتدا کاربر باید یکی از اپلیکیشن‌های 2FA (مثل google authenticator) را دانلود کرده و بر روی تلفن همراه یا لپ‌تاپ خود نصب کند. سپس می‌تواند از این اپلیکیشن در هر وبسایتی که از این نوع احراز هویت دو مرحله‌ای پشتیبانی می‌کند، استفاده کند.

هنگام ورود به سایت، کاربر در ابتدا نام‌کاربری و رمز عبور خود را وارد می‌کند، و سپس کدی که در اپلیکیشن 2FA نمایش داده شده را وارد می‌کند تا به حساب کاربری خود دسترسی پیدا کند.

مشابه تجهیزات سخت‌افزاری که هر کدی که تولید می‌کرد، فقط یک مدت کوتاه (معمولا ۳۰ یا ۶۰ ثانیه) اعتبار داشت، در مورد اپلیکیشن‌های احراز هویت دو مرحله‌ای هم همین امر صادق است. یعنی هر کدی که در اپلیکیشن نمایش داده می‌شود فقط به اندازه ۱ دقیقه اعتبار دارد و در نتیجه کاربر فقط ۱ دقیقه فرصت دارد تا آن را وارد کند.

از آنجایی که در این روش کد در تلفن همراه خود کاربر ایجاد شده و نمایش داده می‌شود، دیگر نگرانی بزرگی که در رابطه با روش احراز هویت دو مرحله‌ای با استفاده از پیام متنی یا پیام صوتی داشتیم، وجود ندارد و شانس هکرها برای پیگیری کد 2FA در این روش از بین می‌رود.

مهم‌تر از همه، از آنجایی که اپلیکیشن‌های 2FA، هم برای موبایل و هم دسکتاپ در دسترس‌اند و حتی بدون نیاز به اتصال به اینترنت هم کار می‌کنند، احراز هویت کاربران با این روش تقریبا در همه جا و هر شرایطی در دسترس است.

اگر بخواهیم به صورت مختصر به مزایای استفاده از اپلیکیشن‌ها برای احراز هویت دو مرحله‌ ای، اشاره کنیم:

  1. امنیت بالاتری نسبت به سایر روش‌های 2FA دارند.
  2. هم نسخه موبایل دارند و هم دسکتاپ.
  3. به صورت آفلاین و بدون نیاز به اینترنت هم کار می‌کنند.

با گسترش فیشینگ حساب‌های بانکی در ایران، بانک‌های ایرانی هم به دنبال طرحی برای ایجاد رمز دوم یکبار مصرف هستند که در آن به کاربر هنگام خرید اینترنتی یک رمز دوم یکبار مصرف داده می‌شود تا در صورت لو رفتن رمز دوم، پس از چند ثانیه رمز قبلی نامعتبر شود و امکان سوءاستفاده نباشد.

 

 

Admin

آموزشعمومی

آموزش

فیسبوکتوئیترپینترسترددیتواتس اپتلگرامایمیللینک کوتاه

مطالب مرتبط ...

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *