همهی آنچه باید از تایید دو مرحلهای بدانید
بسیاری از افراد وقتی صحبت از «تایید دو مرحلهای» (Two-Factor Authentication) به میان میآید با حالتی که نشان از نارضایتی است میگویند: «اه، عجب چیز آزاردهندهای است». بله موضوع این مقاله در مورد همان مرحلهی اضافی آزاردهنده است. همان مرحلهای که شما را وادار میکند پیش از ورود به یک حساب کاربری آنلاین ابتدا کدی را دریافت کنید. البته اگر اندکی در مورد تایید دو مرحلهای تحقیق کنید دیگر هنگام برخورد با آن دلخور نخواهید شد. با بیست اسکریپت مگ همراه باشید تا تایید دو مرحلهای یا ۲FA را بهتر بشناسیم، نگاهی به روشهای مختلف آن بیندازیم و برخی از سوءتفاهمهای رایج در مورد آن را برطرف کنیم.
رایجترین شیوههای تایید دو مرحلهای
تایید از طریق پیام کوتاه (SMS)
بسیاری از اپلیکیشنها و سرویسهای امنیتی امکان استفاده از پیام کوتاه برای تایید دو مرحلهای هنگام ورود به حساب کاربری را در اختیار کاربران میگذارند. این مرحله میتواند در هر بار ورود به حساب کاربری ضروری باشد یا تنها در مواقعی درخواست شود که فرد از یک گجت یا سیستم جدید قصد ورود به حساب خود را دارد. در این روش گوشی موبایل شما نقش عامل دوم در احراز هویت را بازی میکند.
معمولا SMS تایید در این روش شامل یک کد کوتاه یکبارمصرف است که باید آن را در بازهی زمانی مشخصی برای ورود به حساب خود استفاده کنید. بدین ترتیب آقای هکر برای ورود به حساب شما علاوه بر رمز عبور باید به گوشی موبایل شما هم دسترسی داشته باشد. یکی از مشکلات استفاده از این روش مربوط به پوشش شبکه است. اگر در جایی قرار بگیرید که خارج از محدودهی پوشش اپراتور موبایلتان باشد یا به خارج از کشور سفر کرده باشید و به شبکهی اپراتور خود دسترسی نداشته باشید چه اتفاقی میافتد؟ طبیعتا قادر نخواهید بود کد تایید را دریافت کنید و باید قید ورود به حسابتان را بزنید.
بااینحال با توجه به اینکه این روزها گوشی موبایل به بخشی از دست بیشتر ما تبدیل شده، در اغلب مواقع این شیوه مناسب است. علاوه بر این برخی از سرویسها به سیستمی برای اعلام صوتی کد تایید مجهز هستند؛ در نتیجه اگر امکان دریافت پیام کوتاه را نداشته باشید، میتوانید از تلفن ثابت برای دریافت کد استفاده کنید.
استفاده از اپلیکیشنهای تولید کد مانند Google Authenticator
این روش ازآنجاکه به پوشش شبکه موبایل متکی نیست میتواند نسبت به استفاده از SMS روش بهتری باشد. ممکن است شما تابهحال از اپلیکیشنهایی که برای تولید کدهای امنیتی کوتاهمدت طراحی شدهاند استفاده کرده باشید. اپلیکیشن Google Authenticator یکی از محبوبترین اپلیکیشنها در این دسته است که هم برای اندروید و هم برای iOS تولید شده.
پس از اینکه یک سرویس را برای استفاده از تایید دو مرحلهای اپلیکیشن Authenticator تنظیم کردید، هرگاه قصد ورود به آن را داشته باشید، باید علاوه بر نام کاربری و رمز عبور یک کد تایید هم وارد کنید. حال میتوانید یک کد یکبارمصرف جدید را از اپلیکیشن Google Authenticator بگیرید. هر کد ظرف مدت یک دقیقه اعتبار خود را از دست میدهد. بنابراین گاهی لازم است برای استفاده از کد جاری سرعت بالایی داشته باشید. پس از اتمام یک دقیقه کد جدیدی اعلام میشود که باید از آن برای ورود به حساب استفاده کنید. هر چند اسم این اپلیکیشن با گوگل آغاز میشود، علاوه بر Gmail امکان افزودن سرویسهای مختلفی نظیر دراپباکس، Evernote یا بسیاری موارد دیگر هم به آن وجود دارد.
البته اگر دوست ندارید برای سرویسهایی نظیر این به گوگل متکی باشید، جایگزینهای دیگری هم وجود دارد که از میان آنها سرویس Authy جامعترین محسوب میشود. سرویس Authy از تمام کدهایی که در طول زمان تولید شدهاند یک نسخهی پشتیبان رمزگذاری شده تهیه میکند و امکان استفاده از آن روی چندین پلتفرم مختلف وجود دارد. Lastpass هم بهتازگی سرویس Authenticator خاص خود را راهاندازی کرده است.
این اپلیکیشنها چه به اینترنت متصل باشید و چه به اینترنت متصل نباشید تا ابد به تولید کدهای موقت ادامه خواهند داد. تنها نکتهی منفی این است که راهاندازی این اپلیکیشنها اندکی پیچیدگی دارد.
کلیدهای احراز هویت فیزیکی
اگر حوصلهی سروکله زدن با کدها و اپلیکیشنها و پیام کوتاه را ندارید، گزینهی دیگری هم وجود دارد که هنوز چندان رایج نیست: استفاده از کلیدهای احراز هویت فیزیکی. این کلیدها شبیه یک فلش مموری USB کوچک هستند که میتوانید آن را در میان دستهکلید خود قرار دهید. هرگاه قصد داشته باشید روی یک کامپیوتر جدید به حساب خود وارد شوید، لازم است این کلید USB را به سیستم وصل کنید و دکمهی روی آن را بفشارید.
برخی از شرکتها در حال تلاش هستند تا استانداردی به نام U2F را برای تولید این کلیدها جا بیندازند. حسابهای گوگل، دراپباکس و گیتهاب همین الان هم با استاندارد U2F سازگاری دارند. احتمالا در آینده کلیدهای احراز هویت فیزیکی به بلوتوث و NFC هم مجهز خواهند شد تا امکان استفاده از آنها با گجتهایی که پورت USB ندارند ممکن باشد.
احراز هویت مبتنی بر اپلیکیشن و مبتنی بر ایمیل
برخی از اپلیکیشنها تمام گزینههای بالا را بهطور کامل کنار میگذارند و هویت شما از طریق خود اپلیکیشن تایید میکنند. برای مثال اگر گزینهی Login Verification را در اپلیکیشن Twitter فعال کنید، هرگاه تلاش کنید روی یک گجت جدید به حساب خود وارد شوید، مجبور خواهید بود ورود خود را با استفاده از اپلیکیشن توییتر روی گوشی موبایلتان تایید کنید. اپل هم از شیوهی مشابهی برای تایید ورود به گجتهای جدید استفاده میکند. هرگاه قصد ورود به حساب خود روی یک گجت جدید را داشته باشید، یک کد یکبارمصرف به سایر گجتهای اپلی که در حال حاضر از آنها استفاده میکنید ارسال خواهد شد.
روشهای مبتنی بر ایمیل هم همانطور که از عنوان آنها پیدا است از آدرس ایمیل بهعنوان مرحلهی دوم تایید هویت استفاده میکنند. بنابراین هرگاه قصد ورود به اپلیکیشن یا سرویسی را داشته باشید که این روش استفاده میکند، کد یکبارمصرف به آدرس ایمیلی که معرفی کرده باشید ارسال خواهد شد.
تفکرات اشتباه و سؤالات متداول در مورد تایید دو مرحلهای
آیا باید تایید دو مرحلهای را فعال کنم یا نه؟
بله. بهویژه برای سرویسهای حساسی که اطلاعات شخصی یا مالی شما را در خود دارند.
استفاده از تایید دو مرحلهای برای کدامیک از سرویسهای متداول توصیه میشود؟
- Google / Gmail / Hotmail / Outlook / Yahoo Mail **
- Lasppass / 1Password / Keepass یا هر سرویس مدیریت رمز عبور دیگری که استفاده میکنید. **
- Dropbox / Google Drive / iCloud / OneDrive و تمام سرویسهای ابری دیگری که برای ذخیرهسازی اطلاعات با ارزش به کار میبرید.
- حسابهای بانکی
- فیسبوک / توییتر / لینکدین / تلگرام
- حسابهای مربوط به مدیریت هاست وبسایتها
- حساب کاربری استیم و پلیاستیشن (بهویژه اگر آرشیو بازیهای شما ارزش بالایی دارد)
** این موارد اهمیت ویژهتری دارند؛ چراکه اغلب نقش دریچهای را برای ورود به تمام فعالیتهای آنلاین دیگر شما بازی میکنند.
اگر شک دارید که یک سایت یا سرویس خاص از تاییدیه دو مرحلهای پشتیبانی میکند یا نه، سایت twofactorauth.org فهرست جامعی را برای شما مهیا کرده است.
میتوانم بهمحض اینکه یک نقص امنیتی رخ داد تایید دو مرحلهای را فعال کنم.
مشکل اینجا است که در بسیاری از مواقع نمیتوان تنها با زدن یک تیک یا روشن کردن یک سوییچ تایید دو مرحلهای را فعال کرد. گاهی برای استفاده از تایید دو مرحلهای باید کلید فیزیکی تولید شود یا کلیدهای مجازی رمزنگاریشده درون گجتهای مختلف قرار بگیرد. و ازآنجاکه تایید دو مرحلهای بهشدت به مشارکت کاربر متکی است، نباید انتظار داشته باشید که بتوانید آن را به سرعت برق و باد فعال کنید.
تایید دو مرحلهای غیرقابل نفوذ است.
خیر، اینگونه نیست. تایید دو مرحلهای بر تکنولوژی و کاربر اتکا دارد، و ازآنجاکه هر دوی اینها امکان خطا کردن را دارند، در نتیجه امکان بروز نقص در Two-Factor Authentication هم وجود دارد. برای مثال امنیت شیوهای که از پیام کوتاه برای تایید دو مرحلهای استفاده میکند به امنیت شبکهی اپراتور موبایل شما بستگی دارد. حتی مواردی دیده شده که یک بدافزار روی گوشی موبایل پیامهای کوتاه کاربر را ردگیری کرده و آنها را برای هکر فرستاده است. شرایط دیگری که ممکن است به بروز اشتباه در تایید دو مرحلهای منجر شود زمانی است که کاربر دقت کافی را در تایید کردن درخواستهای ورود به خرج ندهد. برای مثال ممکن است کاربر به اشتباه پیام درخواست ورودی را که روی مک ظاهر میشود تایید کند، درحالیکه تلاش برای ورود به حساب در واقع از سوی یک هکر صورت پذیرفته باشد.
تمام روشهای تایید دو مرحلهای شبیه هم هستند.
شاید زمانی این گفته درست بوده ولی در سالهای اخیر نوآوریهای جدیدی در زمینهی تایید دو مرحلهای رخ داده است. روشهایی برای تایید دو مرحلهای وجود دارد که از پیام کوتاه یا آدرس ایمیل استفاده میکنند. سایر روشها از اپلیکیشنهایی بهره میبرند که از یک کلید یا کد امنیتی رمزنگاریشده در مرورگر کاربر استفاده میکنند. البته اعتماد به سرویسهای متفرقه چیزی است بیشتر باید در مورد آن فکر کرد. قطعا تمام این سرویسها باید به مرور زمان بهبود پیدا کنند؛ چراکه پیش از مواردی دیده شده که هکرها به سرویسهای تایید دو مرحلهای هم نفوذ کنند یا تایید با خطا روبرو شود.
تاییدیه دو مرحلهای چیزی اضافی است که نفع کمی دارد.
صدالبته با این نگرش به جایی نخواهیم رسید. در واقع برخی از کمپانیها و سرویسها، بهجای اینکه به تایید دو مرحلهای به چشم روشی که میتواند مانع از شیادی شود نگاه کنند، به دید رفع تکلیف به آن مینگرند. برخی کمپانیها از پایینتر سطح تایید دو مرحلهای استفاده میکنند تا تنها تیک استفاده از آن را در دستور عمل خود زده باشند. در این صورت از دید کاربر استفاده از Two-Factor Authentication تنها کاری ملالآور خواهد بود. ولی اگر کمپانیهای از شیوههای منعطفتر و پیشرفتهتری برای تایید دو مرحلهای استفاده کنند میتوانند امکان تقلب هکرها را به حداقل برسانند، و چه کسی از این موضوع استقبال نمیکند؟
تایید دو مرحلهای باید به مرحلهای جدید وارد شود.
شاید. تمام چیزی که میخوانید به امروز مربوط است. ما چیز زیادی در مورد آینده نمیدانیم بهجز اینکه تایید دو مرحلهای تغییر خواهد کرد و استفاده از آن رایجتر خواهد شد. روشنترین و جالبترین بخش تایید دو مرحلهای این است که میتوانید به مرور زمان بهتر و بهتر شود. در حال حاضر تایید دو مرحلهای هنوز در حاشیهی زندگی عموم مردم قرار دارد. بنابراین جالب خواهد بود که ببینیم آیا امنیت و راحتی استفاده از تایید دو مرحلهای بهقدری پیشرفت خواهد کرد که آن را به ابزاری محبوب میان تمام ما تبدیل کند.