امروز و در عصر دیجیتال، امنیت سایبری بیش ازهر زمان دیگری اهمیت دارد. با رشد تعداد کاربرانی که از خدمات آنلاینی مثل خرید، بانکداری و شبکههای اجتماعی استفاده میکنند، خطر دسترسی غیر مجاز به حسابهای کاربری افراد نیز افزایش داشته است.
«احراز هویت دومرحلهای»، راه حلی ساده و موثر برای مواجه با این مشکل است که با اضافه کردن یک لایه امنیتی، از ترکیب «نام کاربری و رمز عبور» که پایهایترین شکل امنیت هستند، فراتر میرود.
در این یادداشت کوتاه، نقاط ضعف و قوت «احراز هویت دومرحلهای» را با هم مرور میکنیم. همچنین ملاحظات و خطرهای استفاده از چنین ابزاری در کشوری مانند ایران را مورد بررسی قرار میدهیم؛ کشوری که در آن دولت به پیامکهای کاربران دسترسی دارد. در انتها طرز کار برنامهی محبوب «احراز هویت دومرحلهای گوگل» را توضیح خواهیم داد.
«احراز هویت دومرحلهای» چیست؟
«احراز هویت دومرحلهای»، یک اقدام امنیتی است که برای دسترسی به یک حساب کاربری یا دستگاه، نیاز به دو فرم شناسایی دارد. این شناسایی معمولا شامل چیزی است که کاربر «میداند» و همیشه ثابت است؛ مانند یک رمز عبور به علاوه چیزی که کاربر«دارد» و عامل دوم و متغیر را از طریق آن دریافت میکند، مانند یک تلفن همراه یا توکن سختافزاری. با درخواست دو فرم شناسایی، این ابزار به حفاظت در برابر دسترسی غیرمجاز به اطلاعات یا منابع حساس کمک میکند.
«احراز هویت دومرحلهای» چه مزایایی دارد؟
افزایش امنیت: «احراز هویت دومرحلهای» یک لایه امنیتی بیشتر به ترکیب سنتی نام کاربری و رمز عبور اضافه میکند.این بدان معنا است که اگرحتی شخصی – و از جمله یک هکر- بتواند به رمز عبور شما دسترسی پیدا کند، همچنان از ورود به حساب کاربری شما ناتوان است چون برای این کار باید به فاکتور دوم نیز دسترسی داشته باشد.
محافظت در برابر فیشینگ: حملات فیشینگ روش رایجی است که هکرها برای سرقت نام کاربری و رمز عبور استفاده میکنند. با وجود اینکه کلمات عبور قوی و پیچیده ترکیبی از حروف بزرگ و کوچک، اعداد و نشانههای خاص هستند، هکرها همچنان میتوانند این کلمات عبور را پیدا کرده و از آنها برای ورود به حساب کاربری شما استفاده کنند.
با استفاده از دو عاملی سازی، کاربر باید یک کد را همراه با کلمه عبور وارد کند، که میتواند امنیت حساب کاربری را به طور چشمگیری افزایش دهد. حتی اگر کاربر قربانی یک حمله فیشینگ شود و رمز عبور خود را در صفحه ورود جعلی وارد کند، مهاجم بدون فاکتور دوم، باز هم نمیتواند به حساب کاربری دسترسی پیدا کند.
استفادهی آسان: احراز هویت دو مرحلهای برای پیادهسازی و استفاده آسان است. بسیاری از خدمات آنلاین، از جمله ارایهدهندگان ایمیل، پلتفرمهای رسانههای اجتماعی و برنامههای بانکی، این امکان را به عنوان یک گزینه ارایه میدهند. کاربران میتوانند به سرعت و به راحتی آن را راهاندازی کنند و برای این کار نیازی به مهارت فنی خاصی ندارند.
در دسترس بودن برنامههای افزودنی: بسیاری از سرویسهای آنلاین از احراز هویت دو مرحلهای با استفاده از برنامههای افزودنی مانند Google Authenticator پشتیبانی میکنند. این برنامهها رمزهای عبور یکبار مصرف تاریخ انقضا دار(TOTP)، تولید میکنند که میتواند به عنوان عامل دوم – به جای پیامک – استفاده شود. این یک لایه امنیتی اضافی را فراهم میکند، زیرا هکرها برای دریافت TOTP نیاز به دسترسی فیزیکی به دستگاه کاربر دارند.
ایجاد یک لایه امنیتی بیشتر با کدهای پشتیبان: کدهای پشتیبان یا(Backup Codes)، کدهای یکبار مصرفی هستند که توسط سرویس ۲ عاملی (Two-factor Authentication) تولید میشوند و در صورتی که کاربر دستگاه یا رمز عبور خود را از دست داده باشد، میتواند با استفاده از این کدها وارد حساب کاربری خود شود. کدهای پشتیبانی اهمیت زیادی دارند، چرا که با ایجاد یک لایه امنیتی بیشتر و در صورت از دست دادن دستگاه یا رمز عبور، به کاربر کمک میکنند تا حساب کاربری خود را بازیابی کند. برای دریافت کاربران معمولاً میتوانند این کدهای پشتیبان را در تنظیمات حساب خود پیدا یا از سرویس دهنده ۲ عاملی خود درخواست کنند. از کدهای پشتیبانی باید در یک محل امن، مانند برنامه مدیریت رمزها(Password Manager) محافظت کرد و به هیچ عنوان نباید آن را با دیگران به اشتراک گذاشت.
نقاط ضعف «احراز هویت دومرحلهای» چیست؟
احراز هویت دو مرحلهای میتواند برای برخی از کاربران ناخوشایند باشد. کاربران برای دریافت فاکتور دوم باید همیشه تلفن خود را همراه داشته باشند و ممکن است لازم باشد هر بار که وارد سیستم میشوند این روند را تکرار کنند. این ممکن است برای برخی از کاربران وقتگیر و خستهکننده باشد.
همچنین احتمال خیلی ضعیفی وجود دارد که شرکت ارایه دهنده خدمات پیامکی برای اپلیکیشن مورد نظر هدف حملهی هکرها قرار بگیرد. این امر نادر یکبار برای پیامرسانِ امنِ سیگنال اتفاق افتاده است. در مرداد ۱۴۰۱ بود که روابط عمومی این پیامرسان اعلام کرد که توییلو، شرکتی که خدمات تایید پیامک را برای آنها انجام میدهد، مورد حمله هکری قرار گرفته است.
در صورت بروز چنین اتفاقی میتوانید با ثبتنام دوباره و فعال کردن قفل ثبتنام، نفس راحتی کشیده و امنیت را به اپلیکیشن مورد نظر برگردانید.
همانطور که پیشتر گفته شد، اگر کسی به تلفن شما دسترسی فیزیکی داشته باشد، دستکم به طور نظری امکان دسترسی به عامل دوم را خواهد داشت. شاید به نظر برسد که این اتفاق تنها در صورت گم یا دزدیده شدن گوشی محتمل باشد اما در کشوری مانند ایران، دسترسی فیزیکی نیروهای امنیتی به گوشی تلفن همراه معترضان و فعالان سیاسی و اجتماعی، خطری بالقوه به حساب میآید که همواره باید احتمال آن را در نظر گرفت.
امکان نظارت و کنترل پیامکها: اما مهمتر از همه باید بدانید که در کشورهایی مثل ایران که دولت، کنترل تمامعیاری بر زیرساختهای ارتباطی همچون اینترنت و تلفن همراه دارد، احراز هویت دو مرحلهای با پیامک از امنیت کمتری برخوردار است. اگر کسی قصد نظارت بر حساب کاربری شما را داشته باشد میتواند با رهگیری پیامکهای شما به فاکتور دوم و در ادامه به حساب کاربری شما دسترسی پیدا کند. علاوه بر این دولت میتواند با فیلتر کردن کلماتی همچون Code در سیستم پیامکی، از فعال شدن پیامرسان، شبکه اجتماعی یا هر اپلیکیشن دیگری بر روی گوشی تلفنهمراه شما جلوگیری کند.
پس از آغاز اعتراضات سراسری در ایران در شهریور و مهر۱۴۰۱، کاربران زیادی در ایران با مشکل دریافت نکردن پیامک کد ورود به اپلیکیشنهای فیلترشده مواجه شدند و از دسترسی به این برنامهها بازماندند. بیشترین اختلال از این دست در پیامرسانهایی چون سیگنال، واتساپ و تلگرام و شبکههای اجتماعی نظیر اینستاگرام رخ داد.
در چنین شرایطی، برنامههای افزودنی مانند Google Authenticator امنترین گزینه هستند زیرا TOTP ها یا همان کدهای تاریخ مصرفداری را تولید میکنند که فقط در دستگاه کاربر قابل مشاهده است.
با دنبال کردن مراحل زیر میتوانید Google Authenticator را فعال و از حسابهای کاربری خود محافظت کنید:
1. نصب و باز کردن اپلیکیشن Google Authenticator بر روی گوشی خودتان.
2. کلیک روی «شروع» یا “Get Started”.
3. انتخاب «اسکن کد QR» یا “Scan QR code”.
4. در کادر مربوطه، دکمه «اسکن کد QR» را فشار دهید و دوربین گوشی خود را به سمت کد QR مربوط به حساب کاربری خود بگیرید.
5. پس از اسکن کد، یک کد 6 رقمی را در اپلیکیشن مشاهده میکنید. این کد را در سایت یا اپلیکیشنی که دارای احراز هویت دو مرحلهای است، وارد کنید.
6. با وارد کردن کد 6 رقمی، احراز هویت دو مرحلهای برای حساب کاربری شما فعال خواهد شد.
به یاد داشته باشید که هر بار که وارد سایت یا اپلیکیشن باشید، باید کد 6 رقمی جدید را از اپلیکیشن Google Authenticator دریافت کرده و وارد کنید.
این مراحل به طور کلی مراحلی هستند که باید برای فعالسازی Google Authenticator در حساب کاربری خود دنبال کنید. مراحل ممکن است برای برخی سایتها و اپلیکیشنها متفاوت باشد، اما در اغلب برنامهها این مراحل به همین شکل هستند.
در صورتی که بخواهید از Google Authenticator در گوشی جدیدی استفاده کنید، ابتدا باید گوشی قبلی خود را از حساب کاربری خود حذف کنید، سپس با اجرای مراحل فوق، دوباره Google Authenticator را در گوشی جدیدتان فعال کنید.
در نهایت، برای افزایش امنیت حساب کاربری، دو عاملی سازی همچنان یکی از بهترین و امنترین روشهاست. با این حال، برای استفاده بهینه از این روش، باید ابزارهایی را که بیشترین امنیت را برای هر فرد فراهم میکند، انتخاب کرد. همچنین، برای اطمینان از امنیت حساب کاربری خود، باید همیشه مراقب باشید که از سایتها و اپلیکیشنهای امن استفاده کنید و هرگز اطلاعات ورودی خود را با دیگران به اشتراک نگذارید.
برای نوشتن این مطلب ازآرشیو وبسایت فیلتربان و منابع زیر استفاده شده است:
What is Two-Factor Authentication? The benefits and drawbacks of this security feature By Jack Wallen, Lifewire.
What Is Two-Factor Authentication? Here’s Why You Should Be Using It By Ben Stegner, Make Use Of.
Set Up Two-Factor Authentication for Your Accounts Using Authy & Other 2FA Apps BY Jon Knight, Gadget Hacks.