قبل از پرداختن به این سؤال که «احراز هویت دو مرحلهای» یا 2FA چیست؟ ، ابتدا بررسی میکنیم که چرا بهبود امنیت حساب آنلاین از اهمیت بالایی برخوردار است؟
با توجه به اینکه همه ما بخش زیادی از تایم روزانه خود را با گوشیهای موبایل و یا لپ تاپ و کامپیوتر سپری کرده و تقریباً همه اطلاعات خود را در این دستگاههای نگهداری میکنیم، جای تعجب نیست که حسابهای مجازی یک کانال باارزش برای نفوذ افراد بیگانه و سوءاستفاده از اطلاعات آن به شمار رود.
حملات مخرب علیه دولتها، شرکتها و شهروندان بیشتر به دلیل گسترش همین حسابهای مجازی رایج شده است و همچنان این جرائم در دنیای وابسته به دیجیتال، رو به افزایش هستند.
خوشبختانه، استفاده از سطح حفاظتی اضافی برای حسابهای کاربری به شکل احراز هویت دو مرحلهای که معمولاً به آن 2FA نیز میگویند، برای کسبوکارها آسان است و میتواند روشی مؤثر برای مقابله با حملات و تهدیدات سایبری باشد.
در این مقاله به توضیح مفهوم 2FA، اهمیت و انواع آن و کسبوکارهایی که بیشتر از این روش برای افزایش امنیت سایبری خود استفاده میکنند، خواهیم پرداخت.
از آنجایی که حسابهای شخصی هم امروزه در معرض حملات و تهدیدات مخرب و سودجویانه است، پیشنهاد میکنیم برای آشنایی با این روشها و استفاده از آنها، این مقاله را تا پایان مطالعه کنید.
2FA چیست؟
طی سالهای اخیر، شاهد افزایش گسترده تعداد وبسایتهایی بودهایم که اطلاعات شخصی کاربران خود را در حملات سایبری از دست دادهاند. با پیچیدهتر شدن جرائم سایبری، شرکتها متوجه شدهاند که سیستمهای امنیتی قدیمی مورد استفاده آنها با تهدیدات و حملات مدرن قابل مقابله نیستند.
گاهی اوقات تنها یک خطای ساده انسانی میتواند به قیمت از دست دادن همه اطلاعات محرمانه یک شرکت تمام شود. مهمترین خطری که در این شرایط یک کسبوکار را تهدید خواهد کرد، از بین رفتن اعتماد مشتریان است.
همه سازمانها، شرکتهای جهانی، کسبوکارهای کوچک، استارتآپها و حتی سازمانهای غیرانتفاعی ممکن است به دلیل بروز این حملات، متحمل ضررهای مالی و اعتباری شدید شوند.
تبعات سرقت اطلاعات برای همه کاربران بسیار سنگین است. اعتبارنامههای دزدی برای استفاده کارتهای اعتباری جعلی میتواند کل حسابهای بانکی و ارزهای دیجیتال را یک شبه خالی کند. یک مطالعه جدید نشان داده است که در سال 2016 بیش از 16 میلیارد دلار از 15.4 میلیون کاربر آمریکایی توسط حملات سایبری، به سرقت رفته است.
با این تفاسیر، واضح است که سایتها و اپهای آنلاین باید امنیت شدیدتری را برای کاربران ارائه دهند. همچنین کاربران هم باید یاد بگیرند که حسابهای خود را با ابزارهای امنیتی فراتر از یک پسورد ساده، ایمن کنند. یکی از این ابزارهای امنیتی مؤثر، احراز هویت دو مرحلهای یا 2FA (Two Factor
Authentication) است.
احراز هویت دو مرحلهای (2FA) نوع خاصی از احراز هویت چند عاملی (MFA) است که امنیت دسترسی را با لزوم استفاده از دو روش تأیید هویت (که به عنوان فاکتورهای احراز هویت نیز نامیده میشود) تقویت میکند. این فاکتورها میتواند شامل موارد مختلفی باشد که در ادامه به آنها خواهیم پرداخت.
2FA یک روش امنیتی مؤثر در برابر حملات فیشینگ، مهندسی فضای اجتماعی و گذرواژههای brute-force است و حساب کاربری شما را در برابر مهاجمانی که از اطلاعات ورود سرقت شده شما سوءاستفاده میکنند، ایمن خواهد کرد.
چرا 2FA مهم است؟
احراز هویت دو مرحلهای (2FA) عنصر اساسی یک مدل امنیتی سطح اعتماد صفر است. در این سطح امنیتی، هر مهاجم برای دسترسی به دادهها، ادعا میکند که صاحب حساب کاربری است. در این حالت حتی ممکن است شخص مهاجم، نام کاربری و پسورد ورود به حساب کاربری را هم در اختیار داشته باشد.
این اطلاعات از طریق هک کردن حساب و یا روشهای فیشینگ قابلدستیابی است؛ بنابراین هر شخصی میتواند با در اختیار داشتن اطلاعات حساب کاربری شما در بانک، اپهای آنلاین، فروشگاههای اینترنتی و غیره، از این اطلاعات سوءاستفاده کرده و ضررهای مالی سنگینی به شما تحمیل کند.
اینجاست که روش 2FA با اعمال دو سطح احراز هویت به کمک شما میآید. در سطح دوم 2FA، اطلاعات هویتی از طریق بسترهایی نظیر آدرس ایمیل، پیام کوتاه و غیره بررسی میشود بنابراین شخص مهاجم به سختی میتواند به این سطح امنیتی نفوذ کند.
اهمیت 2FA در این است که اگر یک مهاجم از راه دور بتواند از طریق هک کردن ارتباط اینترنتی شما به کامپیوترتان نفوذ کند، میتواند رمز عبور شما و سایر سطوح امنیتی را که در بستر اینترنت پیادهسازی شده است، به راحتی سرقت کند.
اما در صورتی که سطح امنیتی دیگری خارج از فضای اینترنت و از طریق یک کانال دیگر نظیر سرویس پیام کوتاه به کار ببرید، مهاجم حتی با سرقت اطلاعات حساب کاربری موجود در کامپیوتر، نمیتواند از سطح امنیتی دوم عبور کند.
فاکتورهای احراز هویت چیست؟
فاکتورهای احراز هویت در واقع اطلاعاتی هستند که کاربر میتواند برای تأیید هویت خود ارائه دهد. 2FA متداولترین استراتژی مورد استفاده است، اما در واقع پنج فاکتور احراز هویت امروزه توسط متخصصان امنیتی مورد استفاده قرار میگیرد.
فاکتور آگاهی
فاکتور آگاهی با درخواست اطلاعاتی که فقط خود کاربر میداند، هویت وی را تأیید میکند. متداولترین مثال فاکتور آگاهی احراز هویت، رمز عبور است.
رمز عبور کاربر توسط خود وی تعریف میشود و تنها باید توسط خود او برای احراز هویت استفاده شود. این روش قدیمی بوده و امروزه به تنهایی برای حفظ امنیت سایبری کافی نیست.
فاکتور مالکیت
فاکتورهای مالکیت هویت کاربر را با استفاده از اطلاعات و مدارکی که فقط در مالکیت کاربر است، تأیید میکند. توکنها یک فاکتور مالکیت رایج برای احراز هویت هستند.
توکنها یک رمز عبور چرخشی تولید میکنند و کاربران باید به صورت فیزیکی آن را روی دستگاه شخصی خود داشته باشد.
فاکتور ذاتی
فاکتور ذاتی احراز هویت با استفاده از ویژگیهایی که فقط به آن کاربر تعلق دارد، هویت وی را تأیید میکنند. اسکن اثر انگشت واضحترین فاکتور ذاتی است که امروزه مورد استفاده قرار میگیرد.
اثر انگشت برای افراد منحصربهفرد است، بنابراین بسیاری از سازمانها از آن به عنوان راهی برای احراز هویت کاربران استفاده میکنند. علاوه بر اثر انگشت، بسیاری از فاکتورهای ذاتی دیگر امروزه مورد استفاده قرار میگیرند مانند صدا، اثر دست، تشخیص چهره و غیره.
فاکتور مکان
فاکتور مکان، هویت کاربر را بر اساس موقعیت مکانی او تأیید میکند. به عنوان مثال، اگر کاربری یک حساب کاربری را در یک کشور ثبت کرده باشد و از یک منطقه جغرافیایی دیگر اقدام به ورود به حساب کاربری خود کند، فاکتور مکان برای تأیید هویت وی فعال خواهد شد.
بسیاری از فاکتورهای مکان بر اساس آدرس IP کاربر اصلی عمل کرده و در تلاشهای مختلف برای ورود، آدرس کاربر جدید با آدرس ثبت شده توسط کاربر اصلی مقایسه میشود.
فاکتور زمان
فاکتورهای زمان احراز هویت بر اساس زمان تلاش برای دسترسی، هویت کاربر را تأیید میکند. این فاکتور بر این فرض استوار است که ورود کاربر باید در محدوده زمانی قابل پیشبینی اتفاق بیفتد.
اگر تلاش برای دسترسی به محیط کاربری خارج از محدوده زمانی معمول اتفاق بیفتد، این فاکتور فعال شده تا هویت کاربر را تأیید کند.
استراتژی 2FA با چه تهدیداتی مقابله میکند؟
در دنیای امروز، نیاز به احراز هویت دو مرحلهای افزایش یافته است زیرا شرکتها، دولتها و عموم مردم متوجه شدهاند که پسوردها به تنهایی برای محافظت از حسابهای کاربری در فضای دیجیتال به اندازه کافی امن نیستند.
استراتژی 2FA قادر است حسابهای کاربری و اطلاعات خصوصی افراد را در مقابل تهدیدات مختلف محافظت کند. رایجترین این تهدیدات عبارتاند از:
سرقت رمز عبور
هر شخصی که به رمز عبور فردی دیگر دسترسی داشته باشد میتواند از آن برای ورود به حساب کاربری وی استفاده کند.
فیشینگ
هکرها اغلب ایمیلهایی را ارسال میکنند که حاوی لینکهای به وبسایتهای مخرب است و برای آلوده کردن کامپیوتر کاربر یا متقاعد کردن آن برای وارد کردن رمزهای عبور، طراحی شدهاند.
به این روش کلاهبرداری، فیشینگ میگویند که امروزه به واسطه گسترش خدمات اینترنتی بسیار رایج شده است.
مهندسی اجتماعی
در روشهای مهندسی اجتماعی، هکرها در قالب افراد متخصص برای حل مشکلات کاربران در فضای اینترنت اعتماد آنها را جلب میکنند. به عنوان مثال فرض کنید برای ورود به حساب کاربری خود در یک پلتفرم مشکل دارید.
با پشتیبانی آن پلتفرم تماس میگیرد اما در اصل پلتفرم یا جعلی است و یا کانال ارتباطی آن هک شده است.
در این حالت هکرها با سؤال و جواب از شما در مورد مشکلتان اعتماد شما را جلب کرده و جهت بررسی مشکل، مشخصات ورود شما را میگیرند. به این ترتیب به راحتی هرچهتمامتر میتوانند به حساب کاربری شما دسترسی پیدا کنند.
حملات Brute-Force
در یک حمله brute-force، یک هکر به طور تصادفی رمزهای عبور را برای یک کامپیوتر خاص تولید میکند تا زمانی که دنباله درستی از اعداد در کنار هم قرار گرفته و رمز عبور ساخته شود.
ردیابی کلیدها
حتی اگر کاربر رمز عبور خود را در جایی ثبت نکرده باشد، هکرها میتوانند از بدافزار برای ردیابی و کپی رمز عبور کاربر در هنگام تایپ آن استفاده کنند. در این روش هکرها فشرده شدن هر کلید را روی صفحه کلید ردیابی کرده و رمز عبور را به راحتی کشف میکنند.
انواع 2FA کدام است؟
چندین فاکتور ثانویه مختلف وجود دارد که میتوان از آنها برای تأیید هویت کاربر در استراتژی 2FA استفاده کرد. از رمزهای عبور گرفته تا روشهای شناسایی بیومتریک، در این مجموعه قرار میگیرند. در این بخش انواع 2FA را بررسی خواهیم کرد:
سرویس پیام کوتاه یا SMS
احراز هویت دو مرحلهای پیامکی هویت کاربر را با ارسال یک کد امنیتی به دستگاه تلفن همراه وی تأیید میکند. سپس کاربر کد را در وبسایت یا برنامهای که در حال احراز هویت است وارد خواهد کرد. این روش مستلزم استفاده از گوشی موبایل و تخصیص یک شماره موبایل مشخص در هنگان ثبت حساب کاربری است.
مزایای این روش سادگی، سرعت دسترسی بالا و قابلیت استفاده در همه مکانها است. در مقابل لزوم استفاده از گوشی موبایل و ثبت شماره موبایل از محدودیتهای این روش به شمار میرود.
TOTP
استراتژی احراز هویت دو مرحلهای تحت عنوان TOTP که مخفف عبارت Time-Based One Time Password است، به معنی رمز یکبارمصرف است که در یک زمان محدود برای کاربر ارسال میشود.
این رمز عبور پس از گذشت زمان محدودی، منقضی میشود و کاربر برای ورود مجدد میبایست یک رمز جدید تولید کند.
روشهای کلید امنیتی مبتنی بر کد QR و یا سرویس پیام کوتاه برای تولید رمز یکبارمصرف استفاده میشوند. انعطافپذیری بالا و دسترسی سریعتر از ویژگیهای این روش است.
در مقابل لزوم استفاده از دستگاههایی مثل گوشی موبایل برای اسکن کد QR از محدودیتهای این روش محسوب میشود.
WebAuthn
Web Authentication API یا به صورت مخفف WebAuthn که توسط شرکت FIDO (Fast Identity Online) و W3C ایجاد شده است، مشخصاتی است که امکان ثبت و احراز هویت عمومی را فراهم میکند.
در این روش، کاربران از طریق سرویسهایی که قبلاً در آنها ثبتنام کردهاند، نظیر سرویس Duo هنگام ورود به حساب کاربری احراز هویت میشوند.
امنیت بیشتر و راحتی استفاده از مزیتهای این روش است اما در مقابل، بازیابی حساب کاربری در صورت گم شدن اطلاعات در این روش کمی پیچیده است زیرا سرویسهای واسط WebAuthn در بازیابی اطلاعات، بسیار سختگیرانه عمل میکنند.
Push Notification
اعلانهای فشار یا Push Notification یک روش احراز هویت و تأیید دسترسی بدون نیاز به باز کردن برنامه و یا حساب کاربری خاصی است و تنها از طریق Notification و لمس یا کلیک گزینه تأیید، امکانپذیر است.
این اعلانها میتوانند در بسترهای مختلفی از قبیل برنامه ایمیل، رسانههای اجتماعی مانند LinkedIn و غیره ارسال شوند. امنیت بیشتر و استفاده آسان از ویژگیهای این روش 2FA است اما متکی بودن بر آگاهی کاربر و دسترسی به اطلاعات، از محدودیتهای روش مذکور است.
سایر روشهای 2FA
ممکن استروشهای دیگری هم برای احراز هویت دو مرحلهای استفاده شود که البته مرسوم نیستند. روشهایی نظیر اثر انگشت، الگوی شبکیه چشم یا تشخیص چهره، الگوهای تایپ، احراز هویت صوتی و غیره در حال حاضر مورد بررسی قرار دارند و ممکن است در آیندهای نزدیک استفاده از آنها برای پلتفرمهای مختلف رایج شود.
البته باید گفت که با توسعه این روشها، هکرها هم مکانیزمهای نفوذ جدیدی را پایهریزی میکنند که بتواند با این روشهای 2FA مقابله کند.
کدام کسبوکارها از 2FA استفاده میکنند؟
به طور کلی هر فردی که به نوعی از فضای مجازی و شبکههای اجتماعی برای نگهداری اطلاعات فردی، شغلی و یا مالی خود استفاده میکند، باید از روشهای احراز هویت دو مرحلهای برای افزایش امنیت اطلاعات خود بهره برد.
اما به طور خاص یک سری از کسبوکارها که بیشتر در معرض حملات سایبری هستند و از اطلاعات حساستری نگهداری میکنند، باید از این روشهای برای افزایش ضریب امنیت خود استفاده کنند.
صنایع پزشکی، بانکها، صنایع وابسته به رسانههای دولتی نظیر رادیو و تلویزیون، سیستم آموزشی به خصوص آموزش عالی، زیرساختهای انرژی و صنایع مسافرتی از جمله کسبوکارهایی هستند که کاربران آنها اطلاعات مهمی را در پلتفرمهای وابسته به این صنایع ثبت میکنند.
روشهای 2FA برای احراز هویت کاربران هنگام ورود به حسابهای خود به این صنایع کمک میکند امنیت حساب افراد و اطلاعات حساس آنها را بهبود بخشند.
جمعبندی
امروزه لزوم استفاده از روشهای احراز هویت جدید و قابلاطمینان برای مقابله با فیشینگ و حملات سایبری بر کسی پوشیده نیست. با گسترش شبکههای مجازی و حسابهای کاربری متعددی که هر شخص در پلتفرمهای مختلف ایجاد کرده است، هر لحظه احتمال دارد اطلاعات حساس شخصی و مالی افراد توسط افراد دیگر به سرقت رفته و مورد سوءاستفاده قرار گیرد.
روشهای قدیمی احراز هویت که بیشتر بر رمز عبور متکی بودند، امروزه چندان ایمن نیستند و روشهای جایگزینی برای آنها ارائه شده است. در این مقاله در مورد روش احراز هویت دو مرحلهای یا 2FA بحث کردیم. همچنین گفتیم انواع مختلف این استراتژی و مزیتهای 2FA چیست و نسبت به روشهای مرسوم متکی بر رمز عبور چه مزایایی دارد.
در پایان باید بگوییم که صرفنظر از نوع حسابهای کاربری که میتواند دولتی، شرکتی و یا فردی باشد، استفاده از روشهای 2FA یک راهکار مؤثر برای مقابله با حملات سایبری و جلوگیری از سوءاستفادههای احتمالی از حسابهای کاربری است.