2FA چیست و چه کاربردی دارد؟

2FA چیست و چه کاربردی دارد؟
2FA چیست و چه کاربردی دارد؟
8 ماه پیش

قبل از پرداختن به این سؤال که «احراز هویت دو مرحله‌ای» یا 2FA چیست؟ ، ابتدا بررسی می‌کنیم که چرا بهبود امنیت حساب آنلاین از اهمیت بالایی برخوردار است؟

با توجه به اینکه همه ما بخش زیادی از تایم روزانه خود را با گوشی‌های موبایل و یا لپ تاپ و کامپیوتر سپری کرده و تقریباً همه اطلاعات خود را در این دستگاه‌های نگهداری می‌کنیم، جای تعجب نیست که حساب‌های مجازی یک کانال باارزش برای نفوذ افراد بیگانه و سوءاستفاده از اطلاعات آن به شمار رود.

 حملات مخرب علیه دولت‌ها، شرکت‌ها و شهروندان بیشتر به دلیل گسترش همین حساب‌های مجازی رایج شده است و همچنان این جرائم در دنیای وابسته به دیجیتال، رو به افزایش هستند.

خوشبختانه، استفاده از سطح حفاظتی اضافی برای حساب‌های کاربری به شکل احراز هویت دو مرحله‌ای که معمولاً به آن 2FA نیز می‌گویند، برای کسب‌وکارها آسان است و می‌تواند روشی مؤثر برای مقابله با حملات و تهدیدات سایبری باشد.

در این مقاله به توضیح مفهوم 2FA، اهمیت و انواع آن و کسب‌وکارهایی که بیشتر از این روش برای افزایش امنیت سایبری خود استفاده می‌کنند، خواهیم پرداخت.

از آنجایی که حساب‌های شخصی هم امروزه در معرض حملات و تهدیدات مخرب و سودجویانه است، پیشنهاد می‌کنیم برای آشنایی با این روش‌ها و استفاده از آن‌ها، این مقاله را تا پایان مطالعه کنید.

2FA چیست؟

طی سال‌های اخیر، شاهد افزایش گسترده تعداد وب‌سایت‌هایی بوده‌ایم که اطلاعات شخصی کاربران خود را در حملات سایبری از دست داده‌اند. با پیچیده‌تر شدن جرائم سایبری، شرکت‌ها متوجه شده‌اند که سیستم‌های امنیتی قدیمی مورد استفاده آن‌ها با تهدیدات و حملات مدرن قابل مقابله نیستند.

گاهی اوقات تنها یک خطای ساده انسانی می‌تواند به قیمت از دست دادن همه اطلاعات محرمانه یک شرکت تمام شود. مهم‌ترین خطری که در این شرایط یک کسب‌وکار را تهدید خواهد کرد، از بین رفتن اعتماد مشتریان است.

همه سازمان‌ها، شرکت‌های جهانی، کسب‌وکارهای کوچک، استارت‌آپ‌ها و حتی سازمان‌های غیرانتفاعی ممکن است به دلیل بروز این حملات، متحمل ضررهای مالی و اعتباری شدید شوند.

تبعات سرقت اطلاعات برای همه کاربران بسیار سنگین است. اعتبارنامه‌های دزدی برای استفاده کارت‌های اعتباری جعلی می‌تواند کل حساب‌های بانکی و ارزهای دیجیتال را یک شبه خالی کند. یک مطالعه جدید نشان داده است که در سال 2016 بیش از 16 میلیارد دلار از 15.4 میلیون کاربر آمریکایی توسط حملات سایبری، به سرقت رفته است.

با این تفاسیر، واضح است که سایت‌ها و اپ‌های آنلاین باید امنیت شدیدتری را برای کاربران ارائه دهند. همچنین کاربران هم باید یاد بگیرند که حساب‌های خود را با ابزارهای امنیتی فراتر از یک پسورد ساده، ایمن کنند. یکی از این ابزارهای امنیتی مؤثر، احراز هویت دو مرحله‌ای یا 2FA (Two Factor

Authentication) است.

احراز هویت دو مرحله‌ای (2FA) نوع خاصی از احراز هویت چند عاملی (MFA) است که امنیت دسترسی را با لزوم استفاده از دو روش تأیید هویت (که به عنوان فاکتورهای احراز هویت نیز نامیده می‌شود) تقویت می‌کند. این فاکتورها می‌تواند شامل موارد مختلفی باشد که در ادامه به آن‌ها خواهیم پرداخت.

2FA یک روش امنیتی مؤثر در برابر حملات فیشینگ، مهندسی فضای اجتماعی و گذرواژه‌های brute-force است و حساب کاربری شما را در برابر مهاجمانی که از اطلاعات ورود سرقت شده شما سوءاستفاده می‌کنند، ایمن خواهد کرد.

چرا 2FA مهم است؟

احراز هویت دو مرحله‌ای (2FA) عنصر اساسی یک مدل امنیتی سطح اعتماد صفر است. در این سطح امنیتی، هر مهاجم برای دسترسی به داده‌ها، ادعا می‌کند که صاحب حساب کاربری است. در این حالت حتی ممکن است شخص مهاجم، نام کاربری و پسورد ورود به حساب کاربری را هم در اختیار داشته باشد.

این اطلاعات از طریق هک کردن حساب و یا روش‌های فیشینگ قابل‌دستیابی است؛ بنابراین هر شخصی می‌تواند با در اختیار داشتن اطلاعات حساب کاربری شما در بانک، اپ‌های آنلاین، فروشگاه‌های اینترنتی و غیره، از این اطلاعات سوءاستفاده کرده و ضررهای مالی سنگینی به شما تحمیل کند.

اینجاست که روش 2FA با اعمال دو سطح احراز هویت به کمک شما می‌آید. در سطح دوم 2FA، اطلاعات هویتی از طریق بسترهایی نظیر آدرس ایمیل، پیام کوتاه و غیره بررسی می‌شود بنابراین شخص مهاجم به سختی می‌تواند به این سطح امنیتی نفوذ کند.

اهمیت 2FA در این است که اگر یک مهاجم از راه دور بتواند از طریق هک کردن ارتباط اینترنتی شما به کامپیوترتان نفوذ کند، می‌تواند رمز عبور شما و سایر سطوح امنیتی را که در بستر اینترنت پیاده‌سازی شده است، به راحتی سرقت کند.

اما در صورتی که سطح امنیتی دیگری خارج از فضای اینترنت و از طریق یک کانال دیگر نظیر سرویس پیام کوتاه به کار ببرید، مهاجم حتی با سرقت اطلاعات حساب کاربری موجود در کامپیوتر، نمی‌تواند از سطح امنیتی دوم عبور کند.

فاکتورهای احراز هویت چیست؟

فاکتورهای احراز هویت در واقع اطلاعاتی هستند که کاربر می‌تواند برای تأیید هویت خود ارائه دهد. 2FA متداول‌ترین استراتژی مورد استفاده است، اما در واقع پنج فاکتور احراز هویت امروزه توسط متخصصان امنیتی مورد استفاده قرار می‌گیرد.

فاکتور آگاهی

فاکتور آگاهی با درخواست اطلاعاتی که فقط خود کاربر می‌داند، هویت وی را تأیید می‌کند. متداول‌ترین مثال فاکتور آگاهی احراز هویت، رمز عبور است.

رمز عبور کاربر توسط خود وی تعریف می‌شود و تنها باید توسط خود او برای احراز هویت استفاده شود. این روش قدیمی بوده و امروزه به تنهایی برای حفظ امنیت سایبری کافی نیست.

فاکتور مالکیت

فاکتورهای مالکیت هویت کاربر را با استفاده از اطلاعات و مدارکی که فقط در مالکیت کاربر است، تأیید می‌کند. توکن‌ها یک فاکتور مالکیت رایج برای احراز هویت هستند.

توکن‌ها یک رمز عبور چرخشی تولید می‌کنند و کاربران باید به صورت فیزیکی آن را روی دستگاه شخصی خود داشته باشد.

فاکتور ذاتی

فاکتور ذاتی احراز هویت با استفاده از ویژگی‌هایی که فقط به آن کاربر تعلق دارد، هویت وی را تأیید می‌کنند. اسکن اثر انگشت واضح‌ترین فاکتور ذاتی است که امروزه مورد استفاده قرار می‌گیرد.

اثر انگشت برای افراد منحصربه‌فرد است، بنابراین بسیاری از سازمان‌ها از آن به عنوان راهی برای احراز هویت کاربران استفاده می‌کنند. علاوه بر اثر انگشت، بسیاری از فاکتورهای ذاتی دیگر امروزه مورد استفاده قرار می‌گیرند مانند صدا، اثر دست، تشخیص چهره و غیره.

فاکتور مکان

فاکتور مکان، هویت کاربر را بر اساس موقعیت مکانی او تأیید می‌کند. به عنوان مثال، اگر کاربری یک حساب کاربری را در یک کشور ثبت کرده باشد و از یک منطقه جغرافیایی دیگر اقدام به ورود به حساب کاربری خود کند، فاکتور مکان برای تأیید هویت وی فعال خواهد شد.

بسیاری از فاکتورهای مکان بر اساس آدرس IP کاربر اصلی عمل کرده و در تلاش‌های مختلف برای ورود، آدرس کاربر جدید با آدرس ثبت شده توسط کاربر اصلی مقایسه می‌شود.

فاکتور زمان

فاکتورهای زمان احراز هویت بر اساس زمان تلاش برای دسترسی، هویت کاربر را تأیید می‌کند. این فاکتور بر این فرض استوار است که ورود کاربر باید در محدوده زمانی قابل پیش‌بینی اتفاق بیفتد.

اگر تلاش برای دسترسی به محیط کاربری خارج از محدوده زمانی معمول اتفاق بیفتد، این فاکتور فعال شده تا هویت کاربر را تأیید کند.

استراتژی 2FA با چه تهدیداتی مقابله می‌کند؟

در دنیای امروز، نیاز به احراز هویت دو مرحله‌ای افزایش یافته است زیرا شرکت‌ها، دولت‌ها و عموم مردم متوجه شده‌اند که پسوردها به تنهایی برای محافظت از حساب‌های کاربری در فضای دیجیتال به اندازه کافی امن نیستند.

استراتژی 2FA قادر است حساب‌های کاربری و اطلاعات خصوصی افراد را در مقابل تهدیدات مختلف محافظت کند. رایج‌ترین این تهدیدات عبارت‌اند از:

سرقت رمز عبور

هر شخصی که به رمز عبور فردی دیگر دسترسی داشته باشد می‌تواند از آن برای ورود به حساب کاربری وی استفاده کند.

فیشینگ

هکرها اغلب ایمیل‌هایی را ارسال می‌کنند که حاوی لینک‌های به وب‌سایت‌های مخرب است و برای آلوده کردن کامپیوتر کاربر یا متقاعد کردن آن برای وارد کردن رمزهای عبور، طراحی شده‌اند.

به این روش کلاه‌برداری، فیشینگ می‌گویند که امروزه به واسطه گسترش خدمات اینترنتی بسیار رایج شده است.

مهندسی اجتماعی

در روش‌های مهندسی اجتماعی، هکرها در قالب افراد متخصص برای حل مشکلات کاربران در فضای اینترنت اعتماد آن‌ها را جلب می‌کنند. به عنوان مثال فرض کنید برای ورود به حساب کاربری خود در یک پلتفرم مشکل دارید.

با پشتیبانی آن پلتفرم تماس می‌گیرد اما در اصل پلتفرم یا جعلی است و یا کانال ارتباطی آن هک شده است.

در این حالت هکرها با سؤال و جواب از شما در مورد مشکلتان اعتماد شما را جلب کرده و جهت بررسی مشکل، مشخصات ورود شما را می‌گیرند. به این ترتیب به راحتی هرچه‌تمام‌تر می‌توانند به حساب کاربری شما دسترسی پیدا کنند.

حملات Brute-Force

در یک حمله brute-force، یک هکر به طور تصادفی رمزهای عبور را برای یک کامپیوتر خاص تولید می‌کند تا زمانی که دنباله درستی از اعداد در کنار هم قرار گرفته و رمز عبور ساخته شود.

ردیابی کلیدها

حتی اگر کاربر رمز عبور خود را در جایی ثبت نکرده باشد، هکرها می‌توانند از بدافزار برای ردیابی و کپی رمز عبور کاربر در هنگام تایپ آن استفاده کنند. در این روش هکرها فشرده شدن هر کلید را روی صفحه کلید ردیابی کرده و رمز عبور را به راحتی کشف می‌کنند.

انواع 2FA کدام است؟

چندین فاکتور ثانویه مختلف وجود دارد که می‌توان از آن‌ها برای تأیید هویت کاربر در استراتژی 2FA استفاده کرد. از رمزهای عبور گرفته تا روش‌های شناسایی بیومتریک، در این مجموعه قرار می‌گیرند. در این بخش انواع 2FA را بررسی خواهیم کرد:

سرویس پیام کوتاه یا SMS

احراز هویت دو مرحله‌ای پیامکی هویت کاربر را با ارسال یک کد امنیتی به دستگاه تلفن همراه وی تأیید می‌کند. سپس کاربر کد را در وب‌سایت یا برنامه‌ای که در حال احراز هویت است وارد خواهد کرد. این روش مستلزم استفاده از گوشی موبایل و تخصیص یک شماره موبایل مشخص در هنگان ثبت حساب کاربری است.

مزایای این روش سادگی، سرعت دسترسی بالا و قابلیت استفاده در همه مکان‌ها است. در مقابل لزوم استفاده از گوشی موبایل و ثبت شماره موبایل از محدودیت‌های این روش به شمار می‌رود.

TOTP

استراتژی احراز هویت دو مرحله‌ای تحت عنوان TOTP که مخفف عبارت Time-Based One Time Password است، به معنی رمز یک‌بارمصرف است که در یک زمان محدود برای کاربر ارسال می‌شود.

این رمز عبور پس از گذشت زمان محدودی، منقضی می‌شود و کاربر برای ورود مجدد می‌بایست یک رمز جدید تولید کند.

روش‌های کلید امنیتی مبتنی بر کد QR و یا سرویس پیام کوتاه برای تولید رمز یک‌بارمصرف استفاده می‌شوند. انعطاف‌پذیری بالا و دسترسی سریع‌تر از ویژگی‌های این روش است.

در مقابل لزوم استفاده از دستگاه‌هایی مثل گوشی موبایل برای اسکن کد QR از محدودیت‌های این روش محسوب می‌شود.

WebAuthn

Web Authentication API یا به صورت مخفف WebAuthn که توسط شرکت FIDO (Fast Identity Online) و W3C ایجاد شده است، مشخصاتی است که امکان ثبت و احراز هویت عمومی را فراهم می‌کند.

در این روش، کاربران از طریق سرویس‌هایی که قبلاً در آن‌ها ثبت‌نام کرده‌اند، نظیر سرویس Duo هنگام ورود به حساب کاربری احراز هویت می‌شوند.

امنیت بیشتر و راحتی استفاده از مزیت‌های این روش است اما در مقابل، بازیابی حساب کاربری در صورت گم شدن اطلاعات در این روش کمی پیچیده است زیرا سرویس‌های واسط WebAuthn در بازیابی اطلاعات، بسیار سخت‌گیرانه عمل می‌کنند.

Push Notification

اعلان‌های فشار یا Push Notification یک روش احراز هویت و تأیید دسترسی بدون نیاز به باز کردن برنامه و یا حساب کاربری خاصی است و تنها از طریق Notification و لمس یا کلیک گزینه تأیید، امکان‌پذیر است.

این اعلان‌ها می‌توانند در بسترهای مختلفی از قبیل برنامه ایمیل، رسانه‌های اجتماعی مانند LinkedIn و غیره ارسال شوند. امنیت بیشتر و استفاده آسان از ویژگی‌های این روش 2FA است اما متکی بودن بر آگاهی کاربر و دسترسی به اطلاعات، از محدودیت‌های روش مذکور است.

سایر روش‌های 2FA

ممکن استروش‌های دیگری هم برای احراز هویت دو مرحله‌ای استفاده شود که البته مرسوم نیستند. روش‌هایی نظیر اثر انگشت، الگوی شبکیه چشم یا تشخیص چهره، الگوهای تایپ، احراز هویت صوتی و غیره در حال حاضر مورد بررسی قرار دارند و ممکن است در آینده‌ای نزدیک استفاده از آن‌ها برای پلتفرم‌های مختلف رایج شود.

البته باید گفت که با توسعه این روش‌ها، هکرها هم مکانیزم‌های نفوذ جدیدی را پایه‌ریزی می‌کنند که بتواند با این روش‌های 2FA مقابله کند.

کدام کسب‌وکارها از 2FA استفاده می‌کنند؟

به طور کلی هر فردی که به نوعی از فضای مجازی و شبکه‌های اجتماعی برای نگهداری اطلاعات فردی، شغلی و یا مالی خود استفاده می‌کند، باید از روش‌های احراز هویت دو مرحله‌ای برای افزایش امنیت اطلاعات خود بهره برد.

اما به طور خاص یک سری از کسب‌وکارها که بیشتر در معرض حملات سایبری هستند و از اطلاعات حساس‌تری نگهداری می‌کنند، باید از این روش‌های برای افزایش ضریب امنیت خود استفاده کنند.

صنایع پزشکی، بانک‌ها، صنایع وابسته به رسانه‌های دولتی نظیر رادیو و تلویزیون، سیستم آموزشی به خصوص آموزش عالی، زیرساخت‌های انرژی و صنایع مسافرتی از جمله کسب‌وکارهایی هستند که کاربران آن‌ها اطلاعات مهمی را در پلتفرم‌های وابسته به این صنایع ثبت می‌کنند.

روش‌های 2FA برای احراز هویت کاربران هنگام ورود به حساب‌های خود به این صنایع کمک می‌کند امنیت حساب افراد و اطلاعات حساس آن‌ها را بهبود بخشند.

جمع‌بندی

امروزه لزوم استفاده از روش‌های احراز هویت جدید و قابل‌اطمینان برای مقابله با فیشینگ و حملات سایبری بر کسی پوشیده نیست. با گسترش شبکه‌های مجازی و حساب‌های کاربری متعددی که هر شخص در پلتفرم‌های مختلف ایجاد کرده است، هر لحظه احتمال دارد اطلاعات حساس شخصی و مالی افراد توسط افراد دیگر به سرقت رفته و مورد سوءاستفاده قرار گیرد.

روش‌های قدیمی احراز هویت که بیشتر بر رمز عبور متکی بودند، امروزه چندان ایمن نیستند و روش‌های جایگزینی برای آن‌ها ارائه شده است. در این مقاله در مورد روش احراز هویت دو مرحله‌ای یا 2FA بحث کردیم. همچنین گفتیم انواع مختلف این استراتژی و مزیت‌های 2FA چیست و نسبت به روش‌های مرسوم متکی بر رمز عبور چه مزایایی دارد.

در پایان باید بگوییم که صرف‌نظر از نوع حساب‌های کاربری که می‌تواند دولتی، شرکتی و یا فردی باشد، استفاده از روش‌های 2FA یک راه‌کار مؤثر برای مقابله با حملات سایبری و جلوگیری از سوءاستفاده‌های احتمالی از حساب‌های کاربری است. 

دریا بهرامی- نویسنده

1101
A
A