احراز هویت دو عاملی چیست؟

احراز هویت دو عاملی (Two-factor authentication) که به اختصار (2FA)گفته می‌شود، روشی برای ورود به یک حساب کاربری و یا کیف پول است که در آن سیستم برای این‌که مطمئن شود کسی که قصد ورود دارد خودِ کاربر است (و مثلا یک هکر نیست)، از کاربر دو عامل مختلف برای تایید هویت طلب می‌کند.

این دو عامل شامل:

1. چیزی که سیستم می‌داند (مانند کلمه عبور شما)
2. چیزی که اثبات کند خودِ شما آن کلمه عبور را وارد کرده‌اید نه شخص دیگری. عامل دوم می‌تواند یک رمز یکبار مصرف که از کلمه عبور جدا است یا تایید ایمیل و یا تایید پیامکی باشد.

در متون فارسی از نام احراز هویت دو مرحله‌ای/دو عاملی هم برای این روش استفاده می‌شود.

به عبارت دیگر، با استفاده از این روش، در ابتدا، کاربر، نام کاربری و کلمه عبور خود را وارد کرده، سپس به جای دسترسی فوری به حساب، از او خواسته می‌شود تا برای اینکه ثابت کند واقعا صاحب آن حساب است، اطلاعات اضافی دیگری را نیز وارد کند.

به عنوان مثال اگر در ایمیل خود (مثل حساب جیمیل) احراز هویت دو مرحله‌ ای را فعال کنید، در هنگام درخواست برای ورود به حساب، علاوه بر کلمه عبور از شما خواسته می‌شود تا از طریق تلفن همراهتان (یا هر راه دیگری) هویتتان را تایید کنید.

عامل دوم می‌تواند انواع مختلفی داشته باشد که مهمترینشان عبارتند از:

اطلاعاتی که فقط خود کاربر می‌داند

این نوع از احراز هویت دو مرحله‌ای، اطلاعاتی است که مربوط به خود کاربر می‌شود و کاربر حتما آنها را می‌داند. برای مثال، پاسخ به یک سری سوالات خصوصی، و یا الگوی ضربه زدن به یک کلید خاص و .. می‌تواند به عنوان یکی از روش‌های تایید هویت مورد استفاده قرار گیرد.

امکاناتی که کاربر دارد

به طور معمول، یک کاربر می‌تواند با استفاده از یکی از تجهیزات الکترونیکی که در اختیار دارد، مانند یک کارت اعتباری، تلفن هوشمند یا یک دستگاه سخت‌افزاری کوچک که به آن توکن سخت‌افزاری نیز می‌گویند، این احراز هویت را انجام دهد.

اطلاعات فیزیکی‌ای که کاربر دارد

این نوع تایید هویت کمی پیشرفته‌تر و همچنین امن‌تر است و شامل الگوهای بیومتریکی مانند اثر انگشت، اسکن عنبیه چشم و سایر احراز هویت‌های این چنینی می‌شود.

نحوه فعال کردن احراز هویت دو عاملی(2FA)

برای فعال کردن احراز هویت دو عاملی هر وب سایت و یا نرم افزاری باید روش خاصی را در پیش گرفت اما برای بیشتر پلتفرم های معروف از نرم افزار google authenticator استفاده کرد. به صورت کلی کاربر باید نرم افزار را دانلود کرده و در بخش امنیت حساب کاربری، کد QR را اسکن کند تا این قابلیت فعال شود. در واقع این وب سایت به کاربر این امکان را می دهد که در صورتی که تلفن همراه خود را گم کرد و یا در هر صورتی نرم افزار از روی گوشی پاک شد، بتواند از این طریق اطلاعات خود را بازیابی کند.

به طور مثال برای فعالسازی 2FA در صرافی کوکوین، باید مراحل زیر را انجام دهید.

برای فعال کردن احراز هویت دو عاملی باید وارد حساب کاربری خود شوید و گزینه Account Security را انتخاب کرده و سپس گزینه Set را از قسمت Google Authenticator انتخاب کنید.

بعد از این مرحله، جهت ارتقا اکانت خود را ابتدا باید برنامه Google Authenticator را از گوگل پلی دانلود کرده و سپس بر روی تلفن همراه نصب کنید. بعد از نصب برنامه، کلید خصوصی را وارد نرم افزار گوگل اتنتیکیتور کرده و در نهایت کد تولید شده را وارد کادر دوم کنید.

چرا باید از تایید هویت دو عاملی استفاده کنیم؟

چند مورد از دلایلی که نشان می‌دهد چرا استفاده از رمز عبور نمی‌تواند امنیت ۱۰۰ درصدی را برای کاربران فراهم کند، اشاره می‌شود.

رمزعبورهای ساده و قابل حدس

بر اساس تحقیقاتی که اخیرا انجام شده، ۱.۴ میلیارد از پسوردهای هک شده، عبارت‌های بسیار ساده‌‍‌ای بودند که امکان حدس زدن آنها توسط هر شخصی فراهم بود.

در میان این عبارت‌های ساده به عنوان پسورد، استفاده از عبارت‌هایی مانند «۱۱۱۱۱۱»، «۱۲۳۴۵۶»، «۱۲۳۴۵۶۷۸۹» بسیار احمقانه و قابل حدس بودند.

کرک کردن (Cracking) یکی از راه‌های رایج برای بدست آوردن کلمه عبور حساب‌های مختلف است. در این روش کرکرها با استفاده از نرم‌افزارهای مخصوص و تست کردن تعداد زیادی کلمه عبور، به حساب‌های مختلف دسترسی پیدا می‌کنند.

بدافزارها و مهندسی اجتماعی

حتی اگر از ترکیبات پیچیده و غیرقابل حدس برای رمزعبور حساب‌های خود استفاده کنید که کرکرها نتوانند آن‌ها را تست کنند، باز هم خطر دست‌یابی به کلمه عبورتان از دست نمی‌رود.

بدافزارهایی مثل رت، تروجان و کی‌لاگر پس از آلوده کردن سیستم قربانی، به راحتی می‌توانند از کلمات عبوری که قربانی هنگام ورود به حسابش وارد کرده است، نسخه برداری کنند. فرقی نمی‌کند از چه کلمه عبوری استفاده کنید، یک بدافزار آن را به طور کامل کپی می‌کند و به هکر می‌دهد.

همچنین ممکن است از طریق مهندسی اجتماعی (مثل فیشینگ) گول بخورید و خودتان با دستان خودتان کلمه عبور را در اختیار یک هکر یا کلاهبردار قرار دهید.

با احراز هویت دو عاملی حتی اگر یک نفر کلمه عبور شما را هم بداند، نمی‌تواند به حسابتان وارد شود.

روشهای احراز هویت دوعاملی

توکن های سخت افزاری

توکن های سخت افزاری دستگاه های کوچکی هستند (مانن USB) که هر 30 ثانیه یک کد عددی جدید تولید می کنند. هنگامی که یک کاربر میخواهد به حساب خود دسترسی پیدا کند، می تواند با وارد کردن کد نشان داده شده در دستگاه ، هویت خود را تأیید کند. در حالی که این شکل از احراز هویت دو مرحله ای یکی از قدیمی ترین روش هاست و از نظر تئوری عالی به نظر می رسد اما توزیع توکن ها گران است، اغلب توسط کاربران گم شده و به راحتی قابل هک کردن است.

OTP های پیامکی

این شکل از احراز هویت مبتنی بر پیامک پس از ارسال نام کاربری و رمز عبور، رمز عبور یکبار مصرفی (OTP) را از طریق پیام متنی به دستگاه تلفن همراه کاربر ارسال می کند. هنگامی که کاربران کد را دریافت می کنند، آن را به سرویسی که سعی می کنند به آن دسترسی داشته باشند، ارائه می دهند. سازمانهای مختلف از این عامل برای تأیید خریدها و سایر اقدامات کاربر استفاده می کنند اما بسیاری از سازمان ها با توجه به آسیب پذیری های امنیتی ذاتی پیامک از آن اجتناب می کنند.

OTP های صوتی

OTP های صوتی شبیه به OTP های پیام کوتاه کار می کنند. با وارد کردن نام کاربری و رمز عبور، یک تماس تلفنی دریافت می کند که کد احراز هویت دوعاملی را به صورت شفاهی ارائه می دهد. این عامل احراز هویت کمتر رایج است و اغلب در کشورهایی استفاده می شود که استفاده از تلفن های هوشمند توسط آنها کم است.

توکن های نرم افزاری

توکن های نرم افزاری از کاربران می خواهند که یک برنامه احراز هویت را در تلفن همراه هوشمند یا دسکتاپ خود بارگیری کنند. هنگامی که کاربر به برنامه احراز هویت وارد می شود، یک رمز یک بار مصرف (OTP) موقت نرم افزاری تولید می شود. سپس کاربر باید کد تولید شده را با سرویسی که تلاش می کند به آن دسترسی داشته باشد به اشتراک بگذارد. توکن های نرم افزاری معمولاً در یک دستگاه تولید و نمایش داده می شوند و احتمال رهگیری کد توسط هکر را محدود می کند.

اعلان تلفن همراه (Push notifications)

این روش به جای ارسال رمز یک بار مصرف (OTP)، پس از وارد کردن نام کاربری و رمز عبور، یک اعلان تلفن همراه برای کاربر ارسال می کند. سپس کاربر می تواند جزئیات تلاش برای ورود به سامانه را بررسی کرده و در نهایت دسترسی را تأیید یا رد کند. این فرایند تأیید دو مرحله ای مستقیماً برنامه یا وب سایت، سامانه احراز هویت دوعاملی، کاربر و دستگاه او را به هم متصل می کند. این روش گزینه ای کاربر پسند است که احتمال فیشینگ، تلاشهای دسترسی غیرمجاز و سایر تهدیدها مانند حملات مرد میانی را از بین می برد.

بیومتریک

عوامل بیومتریک این امکان را به کاربران می دهد تا هویت خود را با استفاده از چیزی که فقط متعلق به آنها است تأیید کنند. به عنوان مثال می توان به اثر انگشت ، اسکن شبکیه ، تشخیص چهره و صدا یا حتی شناسه های رفتاری مانند الگوهای تایپ اشاره کرد.