همه‌ی آنچه باید از تایید دو مرحله‌ای بدانید
چهارشنبه 07/مهر/1395 2637 دات وب

همه‌ی آنچه باید از تایید دو مرحله‌ای بدانید

بسیاری از افراد وقتی صحبت از «تایید دو مرحله ای» (Two-Factor Authentication) به میان می آید با حالتی که نشان از نارضایتی است می گویند: «اه، عجب چیز آزاردهنده ای است». بله موضوع این مقاله در مورد همان مرحله ی اضافی آزاردهنده است. همان مرحله ای که شما را وادار می کند پیش از ورود به یک حساب کاربری آنلاین ابتدا کدی را دریافت کنید. البته اگر اندکی در مورد تایید دو مرحله ای تحقیق کنید دیگر هنگام برخورد با آن دلخور نخواهید شد. با دات بلاگ همراه باشید تا تایید دو مرحله ای یا ۲FA را بهتر بشناسیم، نگاهی به روش های مختلف آن بیندازیم و برخی از سوءتفاهم های رایج در مورد آن را برطرف کنیم.

رایج ترین شیوه های تایید دو مرحله ای

تایید از طریق پیام کوتاه (SMS)
بسیاری از اپلیکیشن ها و سرویس های امنیتی امکان استفاده از پیام کوتاه برای تایید دو مرحله ای هنگام ورود به حساب کاربری را در اختیار کاربران می گذارند. این مرحله می تواند در هر بار ورود به حساب کاربری ضروری باشد یا تنها در مواقعی درخواست شود که فرد از یک گجت یا سیستم جدید قصد ورود به حساب خود را دارد. در این روش گوشی موبایل شما نقش عامل دوم در احراز هویت را بازی می کند.

معمولا SMS تایید در این روش شامل یک کد کوتاه یک بارمصرف است که باید آن را در بازه ی زمانی مشخصی برای ورود به حساب خود استفاده کنید. بدین ترتیب آقای هکر برای ورود به حساب شما علاوه بر رمز عبور باید به گوشی موبایل شما هم دسترسی داشته باشد. یکی از مشکلات استفاده از این روش مربوط به پوشش شبکه است. اگر در جایی قرار بگیرید که خارج از محدوده ی پوشش اپراتور موبایلتان باشد یا به خارج از کشور سفر کرده باشید و به شبکه ی اپراتور خود دسترسی نداشته باشید چه اتفاقی می افتد؟ طبیعتا قادر نخواهید بود کد تایید را دریافت کنید و باید قید ورود به حسابتان را بزنید.


بااین حال با توجه به این که این روزها گوشی موبایل به بخشی از دست بیشتر ما تبدیل شده، در اغلب مواقع این شیوه مناسب است. علاوه بر این برخی از سرویس ها به سیستمی برای اعلام صوتی کد تایید مجهز هستند؛ در نتیجه اگر امکان دریافت پیام کوتاه را نداشته باشید، می توانید از تلفن ثابت برای دریافت کد استفاده کنید.

استفاده از اپلیکیشن های تولید کد مانند Google Authenticator

این روش ازآنجاکه به پوشش شبکه موبایل متکی نیست می تواند نسبت به استفاده از SMS روش بهتری باشد. ممکن است شما تابه حال از اپلیکیشن هایی که برای تولید کدهای امنیتی کوتاه مدت طراحی شده اند استفاده کرده باشید. اپلیکیشن Google Authenticator یکی از محبوب ترین اپلیکیشن ها در این دسته است که هم برای اندروید و هم برای iOS تولید شده.
پس از این که یک سرویس را برای استفاده از تایید دو مرحله ای اپلیکیشن Authenticator تنظیم کردید، هرگاه قصد ورود به آن را داشته باشید، باید علاوه بر نام کاربری و رمز عبور یک کد تایید هم وارد کنید. حال می توانید یک کد یک بارمصرف جدید را از اپلیکیشن Google Authenticator بگیرید. هر کد ظرف مدت یک دقیقه اعتبار خود را از دست می دهد. بنابراین گاهی لازم است برای استفاده از کد جاری سرعت بالایی داشته باشید. پس از اتمام یک دقیقه کد جدیدی اعلام می شود که باید از آن برای ورود به حساب استفاده کنید. هر چند اسم این اپلیکیشن با گوگل آغاز می شود، علاوه بر Gmail امکان افزودن سرویس های مختلفی نظیر دراپ باکس، Evernote یا بسیاری موارد دیگر هم به آن وجود دارد.

البته اگر دوست ندارید برای سرویس هایی نظیر این به گوگل متکی باشید، جایگزین های دیگری هم وجود دارد که از میان آن ها سرویس Authy جامع ترین محسوب می شود. سرویس Authy از تمام کدهایی که در طول زمان تولید شده اند یک نسخه ی پشتیبان رمزگذاری شده تهیه می کند و امکان استفاده از آن روی چندین پلتفرم مختلف وجود دارد. Lastpass هم به تازگی سرویس Authenticator خاص خود را راه اندازی کرده است.

این اپلیکیشن ها چه به اینترنت متصل باشید و چه به اینترنت متصل نباشید تا ابد به تولید کدهای موقت ادامه خواهند داد. تنها نکته ی منفی این است که راه اندازی این اپلیکیشن ها اندکی پیچیدگی دارد.

کلیدهای احراز هویت فیزیکی

اگر حوصله ی سروکله زدن با کدها و اپلیکیشن ها و پیام کوتاه را ندارید، گزینه ی دیگری هم وجود دارد که هنوز چندان رایج نیست: استفاده از کلیدهای احراز هویت فیزیکی. این کلیدها شبیه یک فلش مموری USB کوچک هستند که می توانید آن را در میان دسته کلید خود قرار دهید. هرگاه قصد داشته باشید روی یک کامپیوتر جدید به حساب خود وارد شوید، لازم است این کلید USB را به سیستم وصل کنید و دکمه ی روی آن را بفشارید.


برخی از شرکت ها در حال تلاش هستند تا استانداردی به نام U2F را برای تولید این کلیدها جا بیندازند. حساب های گوگل، دراپ باکس و گیت هاب همین الان هم با استاندارد U2F سازگاری دارند. احتمالا در آینده کلیدهای احراز هویت فیزیکی به بلوتوث و NFC هم مجهز خواهند شد تا امکان استفاده از آن ها با گجت هایی که پورت USB ندارند ممکن باشد.

احراز هویت مبتنی بر اپلیکیشن و مبتنی بر ایمیل

برخی از اپلیکیشن ها تمام گزینه های بالا را به طور کامل کنار می گذارند و هویت شما از طریق خود اپلیکیشن تایید می کنند. برای مثال اگر گزینه ی Login Verification را در اپلیکیشن Twitter فعال کنید، هرگاه تلاش کنید روی یک گجت جدید به حساب خود وارد شوید، مجبور خواهید بود ورود خود را با استفاده از اپلیکیشن توییتر روی گوشی موبایلتان تایید کنید. اپل هم از شیوه ی مشابهی برای تایید ورود به گجت های جدید استفاده می کند. هرگاه قصد ورود به حساب خود روی یک گجت جدید را داشته باشید، یک کد یک بارمصرف به سایر گجت های اپلی که در حال حاضر از آن ها استفاده می کنید ارسال خواهد شد.

روش های مبتنی بر ایمیل هم همان طور که از عنوان آن ها پیدا است از آدرس ایمیل به عنوان مرحله ی دوم تایید هویت استفاده می کنند. بنابراین هرگاه قصد ورود به اپلیکیشن یا سرویسی را داشته باشید که این روش استفاده می کند، کد یک بارمصرف به آدرس ایمیلی که معرفی کرده باشید ارسال خواهد شد.


تفکرات اشتباه و سؤالات متداول در مورد تایید دو مرحله ای

آیا باید تایید دو مرحله ای را فعال کنم یا نه؟
بله. به ویژه برای سرویس های حساسی که اطلاعات شخصی یا مالی شما را در خود دارند.

استفاده از تایید دو مرحله ای برای کدام یک از سرویس های متداول توصیه می شود؟

  • Google / Gmail / Hotmail / Outlook / Yahoo Mail **
  • Lasppass / 1Password / Keepass یا هر سرویس مدیریت رمز عبور دیگری که استفاده می کنید. **
  • Dropbox / Google Drive / iCloud / OneDrive و تمام سرویس های ابری دیگری که برای ذخیره سازی اطلاعات با ارزش به کار می برید.
  • حساب های بانکی
  • فیسبوک / توییتر / لینکدین / تلگرام
  • حساب های مربوط به مدیریت هاست وب سایت ها
  • حساب کاربری استیم و پلی استیشن (به ویژه اگر آرشیو بازی های شما ارزش بالایی دارد)

** این موارد اهمیت ویژه تری دارند؛ چراکه اغلب نقش دریچه ای را برای ورود به تمام فعالیت های آنلاین دیگر شما بازی می کنند.

اگر شک دارید که یک سایت یا سرویس خاص از تایید دو مرحله ای پشتیبانی می کند یا نه، سایت twofactorauth.org فهرست جامعی را برای شما مهیا کرده است.

می توانم به محض این که یک نقص امنیتی رخ داد تایید دو مرحله ای را فعال کنم.
مشکل اینجا است که در بسیاری از مواقع نمی توان تنها با زدن یک تیک یا روشن کردن یک سوییچ تایید دو مرحله ای را فعال کرد. گاهی برای استفاده از تایید دو مرحله ای باید کلید فیزیکی تولید شود یا کلیدهای مجازی رمزنگاری شده درون گجت های مختلف قرار بگیرد. و ازآنجاکه تایید دو مرحله ای به شدت به مشارکت کاربر متکی است، نباید انتظار داشته باشید که بتوانید آن را به سرعت برق و باد فعال کنید.

تایید دو مرحله ای غیرقابل نفوذ است.

خیر، این گونه نیست. تایید دو مرحله ای بر تکنولوژی و کاربر اتکا دارد، و ازآنجاکه هر دوی این ها امکان خطا کردن را دارند، در نتیجه امکان بروز نقص در تایید دو مرحله ای هم وجود دارد. برای مثال امنیت شیوه ای که از پیام کوتاه برای تایید دو مرحله ای استفاده می کند به امنیت شبکه ی اپراتور موبایل شما بستگی دارد. حتی مواردی دیده شده که یک بدافزار روی گوشی موبایل پیام های کوتاه کاربر را ردگیری کرده و آن ها را برای هکر فرستاده است. شرایط دیگری که ممکن است به بروز اشتباه در تایید دو مرحله ای منجر شود زمانی است که کاربر دقت کافی را در تایید کردن درخواست های ورود به خرج ندهد. برای مثال ممکن است کاربر به اشتباه پیام درخواست ورودی را که روی مک ظاهر می شود تایید کند، درحالی که تلاش برای ورود به حساب در واقع از سوی یک هکر صورت پذیرفته باشد.

تمام روش های تایید دو مرحله ای شبیه هم هستند.

شاید زمانی این گفته درست بوده ولی در سال های اخیر نوآوری های جدیدی در زمینه ی تایید دو مرحله ای رخ داده است. روش هایی برای تایید دو مرحله ای وجود دارد که از پیام کوتاه یا آدرس ایمیل استفاده می کنند. سایر روش ها از اپلیکیشن هایی بهره می برند که از یک کلید یا کد امنیتی رمزنگاری شده در مرورگر کاربر استفاده می کنند. البته اعتماد به سرویس های متفرقه چیزی است بیشتر باید در مورد آن فکر کرد. قطعا تمام این سرویس ها باید به مرور زمان بهبود پیدا کنند؛ چراکه پیش از مواردی دیده شده که هکرها به سرویس های تایید دو مرحله ای هم نفوذ کنند یا تایید با خطا روبرو شود.

تایید دو مرحله ای چیزی اضافی است که نفع کمی دارد.
صدالبته با این نگرش به جایی نخواهیم رسید. در واقع برخی از کمپانی ها و سرویس ها، به جای این که به تایید دو مرحله ای به چشم روشی که می تواند مانع از شیادی شود نگاه کنند، به دید رفع تکلیف به آن می نگرند. برخی کمپانی ها از پایین تر سطح تایید دو مرحله ای استفاده می کنند تا تنها تیک استفاده از آن را در دستور عمل خود زده باشند. در این صورت از دید کاربر استفاده از تایید دو مرحله ای تنها کاری ملال آور خواهد بود. ولی اگر کمپانی های از شیوه های منعطف تر و پیشرفته تری برای تایید دو مرحله ای استفاده کنند می توانند امکان تقلب هکرها را به حداقل برسانند، و چه کسی از این موضوع استقبال نمی کند؟

تایید دو مرحله ای باید به مرحله ای جدید وارد شود.
شاید. تمام چیزی که می خوانید به امروز مربوط است. ما چیز زیادی در مورد آینده نمی دانیم به جز این که تایید دو مرحله ای تغییر خواهد کرد و استفاده از آن رایج تر خواهد شد. روشن ترین و جالب ترین بخش تایید دو مرحله ای این است که می توانید به مرور زمان بهتر و بهتر شود. در حال حاضر تایید دو مرحله ای هنوز در حاشیه ی زندگی عموم مردم قرار دارد. بنابراین جالب خواهد بود که ببینیم آیا امنیت و راحتی استفاده از تایید دو مرحله ای به قدری پیشرفت خواهد کرد که آن را به ابزاری محبوب میان تمام ما تبدیل کند.

درباره این مطلب دیدگاهی بنویسید...

آدرس پست الکترونیک شما منتشر نخواهد شد.

نظرات (0)