قبل از اینکه به این سوال پاسخ دهیم که احراز هویت دو مرحلهای یا FA2 چیست؛ باید به جواب این سوال بپردازیم که چرا ما باید هر کاری برای بهبود امنیت حسابهای آنلاین خود انجام دهیم؟ با توجه به اینکه بخش بزرگی از زندگی ما در دستگاههای تلفن همراه و لپتاپ اتفاق میافتد؛ جای تعجب نیست که چرا حسابهای دیجیتال ما برای مجرمان جذاب هستند. بنابراین، افزودن سطح حفاظتی اضافی به حسابهای کاربری مانند احراز هویت دو مرحلهای جرایم سایبری را کاهش دادهاست.
در سالهای اخیر، وب سایتهای زیادی را دیدهایم که اطلاعات شخصی کاربران خود را از دست دادهاند. شرکتها با پیچیدهتر شدن جرایم سایبری، متوجه میشوند که سیستمهای امنیتی قدیمی آنها قدرت رویارویی با تهدیدات و حملات مدرن را ندارند. همه سازمانها، شرکتهای جهانی، کسبوکارهای کوچک، استارتآپها و حتی سازمانهای غیرانتفاعی ممکن است متحمل ضرر مالی و اعتباری شدیدی شوند.
بنابراین، کاربران باید با چیزی قویتر از رمز عبور از خود محافظت کنند. یکی از این سطوح امنیتی اضافی، احراز هویت دو مرحلهای است. ما در این مقاله FA2 را توضیح میدهیم و اهمیت آن و دلایل استفاده از آن را بررسی میکنیم.
احراز هویت دو مرحلهای یا FA2 چیست؟
احراز هویت دو مرحله ای (FA2) یک سیستم امنیتی است که برای دسترسی به یک حساب کاربری، به دو شکل مجزا از شناسایی نیاز دارد. این فرآیند به دنبال جلوگیری از دسترسی کاربران غیرمجاز به حسابی است که چیزی به جز رمز عبور دزدیده شده، ندارند.
FA2 از افراد میخواهد که هویت خود را بر اساس دو عامل از سه عامل موجود تایید کنند.
- چیزی که میدانید (به عنوان مثال، رمز عبور)
- چیزی که دارید (مثلاً تلفن)
- چیزی که شما هستید (مثلاً اثر انگشت یا اسکن صورت)
تئوری پشت این روش این است که حتی اگر شخصی رمز عبور کاربر را یاد بگیرد یا حدس بزند، باز هم برای دسترسی به حساب کاربری به عامل دوم نیاز دارد. در نتیجه، خطر دسترسی غیرمجاز به طور بالقوه کاهش می یابد؛ زیرا نفوذ برای مهاجمان دشوار میشود.
این شناسه اضافی میتواند کدی باشد که مستقیماً از طریق پیام متنی یا برنامه احراز هویت ارسال شدهاست. همچنین، شناسه میتواند به شکل یک قطعه سخت افزاری مانند درایو USB یا یک شناسه بیومتریک مانند اثر انگشت باشد.
اهمیت FA2 در ارزهای دیجیتال
امنیت دنیای ارزهای دیجیتال، اهمیت زیادی دارد. کیف پولها و صرافیهای ارزهای دیجیتال اغلب به دلیل ارزش و ماهیت ناشناس ارزهای دیجیتال، هدف مجرمان سایبری هستند. FA2 با معرفی لایه دوم تأیید علاوه بر رمز عبور، به دنبال بهبود امنیت و سختتر کردن دسترسی افراد غیرمجاز به حسابهای ارزهای دیجیتال است.
پلتفرمهای ارزهای دیجیتال اغلب از FA2 استفاده میکنند. این روش شامل راهحلهای متداول مانند دریافت کد یکبار مصرف از طریق پیامک، تولید کدها با استفاده از برنامه تلفن همراه، یا استفاده از اطلاعات بیومتریک، مانند اثر انگشت یا تشخیص چهره است.
چگونگی کارکرد احراز هویت دو مرحلهای
احراز هویت دو مرحلهای همانطور که از نام آن پیداست، برای ورود به یک حساب کاربری به یک مرحله اضافی نیاز دارد؛ یعنی فاکتور دوم. در نتیجه، فرآیند به صورت زیر انجام میشود:
- کاربر، نام کاربری و رمز عبور خود را وارد میکند.
- حساب، پلتفرم یا سایت از کاربران میخواهد فرم تایید دیگری را وارد کنند، مانند رمز عبور یکبار مصرف یا کدی که به تلفن همراهشان ارسال میشود.
- کاربر برای دسترسی به حساب کاربری خود، کد تایید را وارد میکند.
کارت ATM نمونه خوبی از احراز هویت دو مرحلهای در دنیای واقعی است. شما علاوه بر ارائه فیزیکی کارت (چیزی که دارید)، باید پین (چیزی که میدانید) را نیز وارد کنید تا هویت خود را تایید کرده و به حساب خود دسترسی پیدا کنید.
انواع امنیت در احراز هویت دو مرحلهای یا FA2
انواع مختلفی از امنیت احراز هویت دو عاملی وجود دارد، از جمله:
- چیزی که میدانید: این نوع FA2 از کد، سؤال یا رمز عبوری استفاده میکند که مختص شماست. وقتی شما از پین خود در دستگاه خودپرداز استفاده میکنید، نوعی FA2 است که به چیزی نیاز دارد، که شما آنرا بدانید.
- چیزی که شما دارید: این نوع FA2 از کاربران میخواهد یک توکن یا دستگاه فیزیکی مانند تلفن یا توکن USB داشته باشند و از آن برای ورود به سیستم استفاده کنند. شما برای وارد کردن کدی که در تلفن یا ایمیل برایتان ارسال شده، به آن نیاز دارید. کاربر این روش را قبل از اینکه بتواند وارد شود یا زمانی که از یک برنامه Authenticator استفاده میکند، به کار میبرد.
- چیزی که شما هستید: این نوع FA2 برای تأیید هویت شما به بیومتریکهایی مانند اثر انگشت، تشخیص چهره یا مکان فیزیکی (تایید شده توسط GPS) نیاز دارد.
حالا که انواع مختلف تأیید FA2 را میشناسید، باید نحوه فعال کردن آن را در دستگاههای خود یاد بگیرید.
روشهای مختلف فعالسازی احراز هویت دو مرحلهای
روشهای مختلفی از احراز هویت دو مرحلهای FA2 وجود دارد که هر کدام سطح امنیت و راحتی خاص خود را دارند. این روشها عبارتند از:
- کدهای پیامکی: کاربران یک کد یکبار مصرف را از طریق پیامک دریافت کرده که برای تکمیل مراحل ورود باید آن را وارد کنند. این روش نسبت به سایر روشها از امنیت کمتری برخوردار است، زیرا میتوان پیامهای SMS را رهگیری کرد.
- برنامههای احراز هویت موبایل: کاربران با دانلود یک برنامه تلفن همراه، کدهای یکبار مصرف مبتنی بر زمان ایجاد میکنند. این برنامهها با سرور همگام شده و به صورت تصادفی کدها را در فواصل زمانی کوتاه و از پیش تعیین شده تولید میکنند.
- کدهای ایمیل: کاربر برای تکمیل فرآیند ورود، باید کد یکبار مصرفی که برایش ایمیل میشود را وارد کند.
- نشانههای امنیتی سختافزار: این دستگاههای فیزیکی، کدهای یکبار مصرف تولید میکنند یا دکمههایی دارند که برای احراز هویت کاربران استفاده میشوند. آنها گران اما کاملا امن هستند.
- تأیید بیومتریک: کاربران خود را از طریق تأیید بیومتریک احراز هویت میکنند. آنها شناسه بیومتریک ارائه شده، مانند اثر انگشت یا اسکن صورت را با اطلاعات بیومتریک ذخیره شده، مقایسه میکنند.
مزایا و محدودیتهای FA2
احراز هویت دو مرحلهای امنیت و حفاظت بسیار خوبی ایجاد میکند. اما 3 مزیت اضافی وجود دارد که ممکن است آنها را ندانید. همچنین محدودیتهایی نیز در استفاده از آن وجود دارد، که عبارتند از:
-
مزایا:
- نظارت بر حساب: زمانی که فردی سعی دارد به حسابهای شما دسترسی پیدا کند، شما پیامهایی را در دستگاه خود دریافت میکنید. اگر شما متوجه شوید که فردی سعی دارد به حسابهایتان دسترسی پیدا کند، میتوانید آن را گزارش دهید و با تغییر رمز عبور خود به رمزی قویتر، امنیت خود را بیشتر تقویت کنید.
- فرآیند پویا: برنامههای احراز هویت FA2، اعلانها و متنها را هنگام ورود به سیستم، تولید و ارسال میکنند. در نتیجه، لازم نیست نگران ذخیره امنیتی توسط برنامه دیگری باشید.
- کمک برای بازیابی حساب: احراز هویت دو مرحلهای FA2 به این معنی است که شما برای بازنشانی ورود به سیستم یا ایمن کردن حساب خود مجبور نیستید با یکی از اعضای تیم پشتیبانی تماس تلفنی برقرار کنید.
-
محدودیتها:
احراز هویت دو مرحلهای به دنبال بهبود امنیت است؛ اما هکرهایی که فاکتورهای احراز هویت را به دست میآورند، توانایی دسترسی غیر مجاز به حسابها را دارند. هکرها این کار را با حملات فیشینگ، روشهای بازیابی حساب و بدافزار انجام میدهند. آنها همچنین میتوانند پیامهای متنی مورد استفاده FA2 را رهگیری کنند.
FA2 در مقابل احراز هویت چند عاملی (MFA)
MFA به هر نوع احراز هویتی گفته میشود که به دو یا چند عامل نیاز دارد. این بدان معناست که در حالی که FA2 نوعی MFA است، همه اشکال MFA فقط دو عامل ندارند. افزایش سطح امنیت با افزودن یک عامل اضافی، ورود هکرها به سیستم را دشوارتر میکند.
محصولات احراز هویت دو مرحلهای
دستگاهها و سرویسهای مختلفی برای ایجاد احراز هویت دو مرحلهای FA2 وجود دارد؛ از توکنها گرفته تا کارتهای شناسایی فرکانس رادیویی (RFID) و برنامههای گوشیهای هوشمند.
محصولات احراز هویت دو مرحلهای را میتوان به دو دسته تقسیم کرد:
- کاربران از توکنهایی که به آنها میدهند هنگام ورود به سیستم استفاده میکنند. توکنهای احراز هویت ممکن است دستگاههای فیزیکی مانند جاکلیدی یا کارتهای هوشمند باشند؛ یا در یک نرمافزار بهعنوان برنامههای موبایل یا دسکتاپ وجود داشتهباشند. آنها کدهای پین را برای احراز هویت تولید میکنند.
این کدهای احراز هویت، همچنین به عنوان رمزهای عبور یکبار مصرف (OTP) شناخته میشوند. آنها معمولاً توسط یک سرور تولید و توسط یک دستگاه یا برنامه احراز هویت معتبر شناخته میشوند. کد احراز هویت یک دنباله کوتاه است که به یک دستگاه، کاربر یا حساب خاص مرتبط است. کاربران تنها یکبار میتوانند به عنوان بخشی از فرایند احراز هویت از آن استفاده کنند.
- سازمانها باید برای پذیرش، پردازش و اجازه یا رد دسترسی به کاربرانی که با توکنهای خود احراز هویت میکنند، سیستمی را ارائه دهند. این کار ممکن است در قالب نرم افزار سرور یا سرور سخت افزار اختصاصی و همچنین به عنوان یک سرویس توسط فروشنده به عنوان شخص ثالث ارائه شود.
یکی از جنبههای مهم احراز هویت دو مرحلهای FA2 این است که مطمئن شوند که کاربر تایید شده به تمام منابعی که برای آنها تایید شدهاست، دسترسی دارد. در نتیجه، یکی از عملکردهای کلیدی احراز هویت دو مرحلهای FA2 لینک کردن سیستم احراز هویت با دادههای احراز هویت سازمان است. مایکروسافت برخی از زیرساختهای لازم را برای سازمانها جهت پشتیبانی از احراز هویت دومرحلهای در ویندوز 10 از طریق Windows Hello فراهم میکند. آنها میتوانند با حسابهای مایکروسافت کار کنند و همچنین از طریق Microsoft Active Directory، Azure AD یا Fast IDentity Online یا همان FIDO احراز هویت کنند.
آینده احراز هویت دو مرحلهای
آینده احراز هویت به سمت روشهای پیشرفتهتر، ایمنتر و فراتر از گذرواژههای سنتی پیش میرود. در اینجا به نگاهی اجمالی به آنچه میتوانیم انتظار داشته باشیم، میکنیم:
- احراز هویت سه عاملی (FA3): برای محیطهایی که به امنیت بالاتری نیاز دارند، FA3 در حال گسترش است. این احراز هویت ترکیبی از یک توکن فیزیکی (مانند یک کلید سختافزاری)، یک رمز عبور و دادههای بیومتریک (مانند اسکن اثر انگشت) است.
- احراز هویت متنی: عواملی مانند موقعیت جغرافیایی، نوع دستگاه و زمان در فرآیندهای احراز هویت گنجانده شدهاند. این اطلاعات متنی تعیین میکنند که آیا کاربر باید احراز هویت یا مسدود شود.
- احراز هویت پیوسته: احراز هویت پیوسته بیومتریک به جای یک بار بررسی احراز هویت هنگام ورود به سیستم، رفتاری را در زمان واقعی بررسی میکند. این کار شامل عواملی مانند: طول ضربه زدن به کلید، سرعت تایپ، و حرکات موس است که باعث اعتبارسنجی مداوم هویت کاربر میشود.
- احراز هویت بدون رمز عبور: بسیاری از سازمانها به سمت احراز هویت بدون رمز عبور میروند. این رویکرد از روشهایی مانند بیومتریک و پروتکلهای امن استفاده میکند . همچنین، کاربران بدون وارد کردن رمز عبور احراز هویت میکنند، امنیت و تجربه کاربری را بهبود میبخشد و استفاده از سیستمهای مبتنی بر رمز عبور قدیمی را کاهش میدهد.
- بلاکچین برای مدیریت هویت: فناوری بلاکچین، به ویژه هویت غیرمتمرکز یا هویت مستقل، به عنوان جایگزینی برای روشهای احراز هویت سنتی است. بلاکچین با تمرکززدایی مدیریت هویت و کنترل بیشتر کاربران بر روی دادههای شخصی خود، امنیت و حریم خصوصی را افزایش میدهد.
جمع بندی
احراز هویت دو عاملی (Two Factor Authentication) یا FA2 ، روشی برای اصالتسنجی و تایید هویت کاربران است که عملکرد آن بر اساس دو فاکتور اصلی ارائه میشود. شما در این روش برای ورود و دسترسی به یک حساب کاربری، نه تنها به رمز عبور نیاز دارید، بلکه باید از یک عامل اضافی یا فاکتور دوم نیز استفاده کنید.
این کار باعث افزایش امنیت و حفاظت از حسابهای کاربری در برابر حملات سایبری است. در واقع، احراز هویت دو عاملی امنیت حساب کاربری شما را به شدت تقویت و به عنوان یک لایه اضافی در برابر حملات سایبری از هویت و اطلاعات شما محافظت میکند. نکته قابل توجه اینکه هر وب سایت، نرم افزار یا شبکه برای فعال کردن احراز هویت دو مرحلهای FA2 راهکار خاص خود را دارد.
سوالات متداول
آیا احراز هویت دو مرحلهای FA2 ایمن است؟
در بیشتر موارد احراز هویت دو مرحلهای FA2 ایمن است. اما، راههایی مانند بسیاری از فعالیتهای آنلاین وجود دارد، که مجرمان توانایی دور زدن امنیت FA2 را دارند و به حساب شما دسترسی پیدا میکنند. برای مثال، معمولا رمز عبور شما هنگام بازیابی رمز عبور گم شده از طریق ایمیل بازنشانی میشود و می تواند FA2 را دور بزند.
آیا تایید دو مرحله ای قابل هک است؟
بله، هکرها میتوانند از پیامهای فیشینگ خاصی برای ورود به سیستم FA2 استفاده کنند. همانطور که گفته شد، داشتن یک عامل احراز هویت دوم، کار را برای هکرها دشوارتر میکند؛ زیرا برای دستیابی به اطلاعات کاربران، به فعالیت بیشتری نیاز دارند.
قوی ترین روش احراز هویت دو مرحلهای FA2 چیست؟
احراز هویت دو مرحلهای FA2 مبتنی بر سختافزار، قویترین شکل تأیید است. از آنجایی که به یک آیتم فیزیکی مانند تلفن، درایو انگشت یا کارت شناسایی نیاز است؛ دسترسی یک هکر یا مجرم به همه بخشهای ورود به سیستم FA2 دشوارتر میشود.