احراز هویت دو مرحله ای چیست: (2FA) یک روش امنیتی مدیریت هویت است که برای دسترسی به منابع و دادهها به دو شکل و یا روش شناسایی نیاز دارد. 2FA به کسبوکارها این امکان را میدهد تا بر روی اطلاعات حساس و شبکههای خود نظارت کنند و به محافظت از آنها کمک کنند. ما در این مقاله قصد داریم تا به ماهیت و ضرورت استفاده از احراز هویت دو مرحله ای بپردازیم.
در ضمن اگر بهدنبال راهکارهایی، برای بالابردن امنیت تلفن همراه خود هستید میتوانید مقالهی ما را با عنوان آشنایی با امنیت برنامههای تحت وب و نحوه کارکرد آن، مطالعه کنید.
فهرست مطالب
احراز هویت دو مرحله ای چیست؟
احراز هویت دو مرحلهای (2FA) یک فرآیند امنیتی است که در آن کاربران 2 نوع فاکتور تأیید اعتبار مختلف را برای خود ارائه میکنند.
2FA برای محافظت بهتر از اعتبار کاربر و منابعی که کاربر میتواند به آن دسترسی داشته باشد، پیادهسازی شده است. احراز هویت دو مرحلهای نسبت به روشهای دیگر احراز هویت مثل احراز هویت تک عاملی (SFA) که در آن کاربر تنها یک عامل را ارائه میکند (معمولاً یک رمز عبور)، سطح امنیتی بالاتری را ارائه میدهند.
روشهای احراز هویت دو مرحلهای متکی بر این هستند که کاربر رمز عبور را بهعنوان اولین عامل و عامل دوم را متفاوت ارائه میکند (معمولاً یک نشانه امنیتی یا یک عامل بیومتریک، مانند اثر انگشت یا اسکن صورت).
این روش با سختتر کردن دسترسی مهاجمان به دستگاهها یا حسابهای آنلاین افراد، یک لایه امنیتی اضافی به فرآیند احراز هویت اضافه میکند. در واقع، اگر رمز عبور قربانی هک شود، رمز عبور به تنهایی برای عبور از فرایند احراز هویت و دسترسی به حساب کافی نیست.
احراز هویت دو مرحله ای مدتهاست که برای کنترل دسترسی به سیستمها و دادههای حساس استفاده میشود. ارائهدهندگان خدمات آنلاین بهطور فزایندهای از 2FA برای محافظت از اعتبار کاربران خود در برابر هکرهایی که پایگاه داده رمز عبور را دزدیدهاند یا از کمپینهای فیشینگ برای به دست آوردن رمز عبور کاربر استفاده میکنند، بهره میبرند.
فاکتورهای احراز هویت دو مرحله ای چیست؟
روشهای مختلفی وجود دارد که از طریق آنها میتوان با استفاده از بیش از یک روش احراز هویت کرد. درحالحاضر، بیشتر روشهای احراز هویت به عوامل دانشی مانند رمز عبور سنتی متکی هستند، درحالیکه روشهای احراز هویت دو مرحلهای یک عامل مالکیت یا عامل ذاتی را اضافه میکنند.
عوامل احراز هویت شامل موارد زیر است:
عامل دانش:
چیزی است که کاربر میداند، مانند: رمز عبور، شماره شناسایی شخصی (PIN) یا نوع دیگری از یک راز مشترک.
ضریب مالکیت:
چیزی است که کاربر دارد، مانند: کارت شناسایی، رمز امنیتی، تلفن همراه، دستگاه تلفن همراه یا برنامه تلفن هوشمند برای تأیید درخواستهای احراز هویت.
عامل بیومتریک:
که بهعنوان عامل ذاتی نیز شناخته میشود، چیزی است که در فیزیک جسمانی کاربر ذاتی است. ممکن است این عوامل ویژگیهای شخصی باشند که از ویژگیهای فیزیکی ترسیم شدهاند، مانند اثر انگشتهایی که تأیید شدهاند. سایر عوامل ذاتی که معمولاً مورد استفاده قرار میگیرند عبارتند از: تشخیص چهره و صدا یا بیومتریکهای رفتاری، مانند پویایی ضربه زدن به کلید، الگوهای راه رفتن یا گفتار.
فاکتور مکان:
این فاکتور معمولاً با مکانی که تلاش برای احراز هویت از آنجا صورت میگیرد، نشان داده میشود. در واقع، این ویژگی را میتوان با محدود کردن تلاشهای احراز هویت به دستگاههای خاص در یک مکان خاص یا با ردیابی موقعیت جغرافیایی براساس آدرس منبع پروتکل اینترنت یا برخی اطلاعات دیگر.
موقعیت جغرافیایی مانند:
دادههای سیستم موقعیتیابی (GPS) از تلفن همراه یا دستگاه دیگر کاربر به دست آورد.
یک عامل زمان:
احراز هویت کاربر را به یک چارچوب زمانی خاص که در آن ورود به سیستم مجاز است و دسترسی به سیستم خارج از آن چارچوب را، محدود میکند.
اکثریت قریببهاتفاق روشهای احراز هویت دو عاملی به سه عامل احراز هویت اولیه متکی هستند. اگرچه سیستمهایی که به امنیت بیشتری نیاز دارند ممکن است از آنها برای اجرای احراز هویت چند عاملی (MFA) استفاده کنند، که میتواند برای احراز هویت امنتر به دو یا چند اعتبار مستقل تکیه کند.
احراز هویت دو مرحله ای چگونه کار میکند؟
فعال کردن احراز هویت دو مرحله ای بسته به هر برنامه متفاوت است. بااینحال، فرآیندهای احراز هویت دو عاملی شامل همان فرآیند کلی و چند مرحلهای است:
- از کاربر خواسته میشود که توسط برنامه یا وبسایت وارد سیستم شود.
- کاربر آنچه را که میداند وارد میکند. معمولاً نام کاربری و رمز عبور. سپس سرور سایت مطابقت را پیدا و کاربر را میشناسد.
- برای فرآیندهایی که نیازی به رمز عبور ندارند، وبسایت یک کلید امنیتی منحصربهفرد برای کاربر ایجاد میکند. ابزار احراز هویت، کلید را پردازش میکند و سرور سایت آن را تأیید میکند.
- سپس سایت از کاربر میخواهد که مرحله دوم ورود را آغاز کند. اگرچه این مرحله میتواند اشکال مختلفی داشته باشد، اما کاربر باید ثابت کند که چیزی را که فقط خودش میتواند داشته باشد، مانند: بیومتریک، رمز امنیتی، کارت شناسایی و تلفن هوشمند یا دستگاه تلفن همراه دیگر برخوردار است. این عامل ذاتی یا مالکیت است.
- سپس، کاربر ممکن است مجبور باشد یک کد یکبار مصرف را که در مرحله چهارم ایجاد شده است، وارد کند.
پس از ارائه هر دو عامل، کاربر احراز هویت میشود و اجازه دسترسی به برنامه یا وبسایت داده میشود.
عناصر احراز هویت دو مرحله ای چیست؟
احراز هویت دو مرحله ای نوعی از MFA است. از نظر فنی، هر زمانی که برای دسترسی به یک سیستم یا سرویس به دو عامل احراز هویت نیاز باشد، احراز هویت دو مرحلهای گفته میشود. بااینحال، استفاده از دو عامل از یک دسته به منزله 2FA نیست. بهعنوان مثال، نیاز به رمز عبور و راز مشترک همچنان SFA در نظر گرفته میشود، زیرا هر دو به عامل احراز هویت دانش تعلق دارند.
2FA شامل دو مورد از سه عامل بالقوه احراز هویت است.
تا آنجا که خدمات SFA پیش میرود، نام کاربری و رمز عبور امنترین نیستند. یکی از مشکلات احراز هویت مبتنیبر رمز عبور این است که برای ایجاد و به خاطر سپردن رمزهای عبور قوی نیاز به دانش و دقت دارد.
گذرواژهها نیاز به محافظت در برابر بسیاری از تهدیدات داخلی دارند، مانند: یادداشتهای چسبناک ذخیره شده، هارد دیسکهای قدیمی و سوءاستفادههای مهندسی اجتماعی. رمزهای عبور همچنین طعمه تهدیدات خارجی هستند، مانند هکرهایی که از حملات brute-force، فرهنگ لغت یا جدول رنگین کمان استفاده میکنند.
با توجه به زمان و منابع کافی، مهاجم معمولاً میتواند سیستمهای امنیتی مبتنیبر رمز عبور را نقض کرده و دادههای شرکت را سرقت کند. رمزهای عبور بهدلیل هزینه کم، سهولت پیادهسازی و آشنایی رایجترین شکل SFA باقی ماندهاند.
انواع محصولات احراز هویت دو مرحله ای
دستگاهها و سرویسهای مختلفی برای پیادهسازی 2FA وجود دارد؛ از توکنها گرفته تا کارتهای شناسایی فرکانس رادیویی و برنامههای گوشیهای هوشمند.
محصولات احراز هویت دو مرحله ای را میتوان به 2 دسته تقسیم کرد:
1) نشانههایی که به کاربران داده میشود تا هنگام ورود به سیستم از آنها استفاده کنند.
2) زیرساخت یا نرمافزاری که دسترسی کاربرانی را که از توکنهای خود بهدرستی استفاده میکنند، شناسایی و احراز هویت میکند.
نشانههای احراز هویت ممکن است دستگاههای فیزیکی مانند جاکلیدی یا کارتهای هوشمند باشند، یا ممکن است در نرمافزار بهعنوان برنامههای موبایل یا دسکتاپ وجود داشته باشند که کدهای پین را برای احراز هویت تولید میکنند.
این کدهای احراز هویت، همچنین بهعنوان رمزهای عبور یکبار مصرف OTP) شناخته میشوند که معمولاً توسط یک سرور تولید میشوند و میتوانند توسط یک دستگاه یا برنامه احراز هویت معتبر شناخته شوند. کد احراز هویت یک دنباله کوتاه است که به یک دستگاه، کاربر یا حساب خاص مرتبط است و تنها یکبار میتواند بهعنوان بخشی از فرآیند احراز هویت استفاده شود.
سازمانها باید سیستمی را برای پذیرش، پردازش و اجازه یا رد دسترسی به کاربرانی که با توکنهای خود احراز هویت میکنند، مستقر کنند. این ممکن است در قالب نرمافزار سرور یا سرور سختافزار اختصاصی و همچنین بهعنوان یک سرویس توسط یک فروشنده شخص ثالث ارائه شود.
یکی از جنبههای مهم 2FA این است که اطمینان حاصل شود که کاربر تأیید شده به تمام منابعی که برای آنها تأیید شده است (نه کمتر و نه بیشتر)، دسترسی دارد. در نتیجه، یکی از عملکردهای کلیدی 2FA پیوند دادن سیستم احراز هویت با دادههای احراز هویت یک سازمان است.
مایکروسافت برخی از زیرساختهای لازم برای پشتیبانی از 2FA در ویندوز 10 از طریق Windows Hello را فراهم میکند، که میتواند با حسابهای مایکروسافت کار کند و همچنین کاربران را از طریق Microsoft Active Directory، Azure AD یا Fast IDentity Online (FIDO) احراز هویت کند.
احراز هویت دو مرحله ای برای دستگاههای تلفن همراه
گوشیهای هوشمند قابلیتهای 2FA متنوعی را ارائه میکنند و شرکتها را قادر میسازند از آنچه برای آنها بهترین است، استفاده کنند. برخی از دستگاهها میتوانند اثر انگشت را تشخیص دهند، از دوربین داخلی برای تشخیص چهره یا اسکن عنبیه و از میکروفون برای تشخیص صدا استفاده کنند.
تلفنهای هوشمند مجهز به GPS میتوانند موقعیت مکانی را بهعنوان یک عامل اضافی تأیید کنند. سرویس پیام صوتی یا پیام کوتاه (SMS) نیز ممکن است بهعنوان کانالی برای احراز هویت خارج از باند استفاده شود.
برای دریافت کدهای تأیید از طریق پیام متنی یا تماس تلفنی خودکار میتوان از یک شماره تلفن مطمئن استفاده کرد. کاربر برای ثبتنام در 2FA باید حداقل یک شماره تلفن قابل اعتماد را تأیید کند.
Apple iOS، Google Android و Windows 10 همگی دارای برنامههایی هستند که از 2FA پشتیبانی میکنند، که به گوشی امکان برآورده کردن فاکتور مالکیت را بهعنوان دستگاه فیزیکی میدهند.
برنامههای Authenticator جایگزین نیاز به دریافت کد تأیید از طریق متن، تماس صوتی یا ایمیل میشوند. برای مثال، برای دسترسی به یک وبسایت یا سرویس مبتنیبر وب که از Google Authenticator پشتیبانی میکند، کاربران نام کاربری و رمز عبور خود را تایپ میکنند.
سپس از کاربران خواسته میشود که یک عدد 6 رقمی وارد کنند. بهجای اینکه برای دریافت پیامک چند ثانیه منتظر بمانید، سیستم برای آنها شماره تولید میکند. این اعداد هر 30 ثانیه تغییر میکنند و برای هر ورود متفاوت هستند. با وارد کردن شماره صحیح، کاربران فرآیند تأیید را کامل میکنند و مالکیت خود را اثبات میکنند.
اعلانهای فشاری برای 2FA
Push Notification یک احراز هویت بدون رمز عبور است که کاربر را بهطور مستقیم با ارسال یک اعلان آگاه و به او هشدار میدهد که تلاشی برای احراز هویت درحال انجام است. کاربر میتواند جزئیات تلاش برای احراز هویت را مشاهده و دسترسی را تأیید یا رد کند.
اگر کاربر درخواست تأیید اعتبار را تأیید کند ، سرور آن درخواست را دریافت میکند و کاربر را وارد برنامه وب میکند.
اعلانهای فشاری با تأیید اینکه دستگاه ثبتشده در سیستم احراز هویت همان دستگاه در اختیار کاربر است، احراز هویت را تأیید میکند. اگر یک مهاجم دستگاه را به خطر بیاندازد ، اعلان های فشار نیز به خطر میافتد. اعلانهای فشار تهدیدهایی مانند حملات میانه ، دسترسی غیرمجاز و حملات مهندسی اجتماعی را از بین میبرد.
درحالیکه اعلانهای فشار نسبت به سایر اشکال احراز هویت ایمنتر هستند ، هنوز خطرات امنیتی وجود دارد. بهعنوان مثال، کاربران ممکن است بهطور تصادفی یک درخواست احراز هویت جعلی را تأیید کنند، زیرا زمانیکه اعلانهای فشاری دریافت میکنند، عادت دارند روی تأیید ضربه بزنند.
آیا احراز هویت دو مرحله ای امن است؟
درحالیکه احراز هویت دو مرحلهای امنیت را بهبود میبخشد، طرحهای 2FA فقط بهاندازه ضعیفترین مؤلفه خود امن هستند.
بهعنوان مثال، توکنهای سختافزاری به امنیت صادر کننده یا سازنده بستگی دارد. یکی از معروفترین مواردی که یک سیستم دو عاملی در معرض خطر قرار گرفت زمانی بود که شرکت امنیتی RSA Security گزارشی از هک شدن توکنهای احراز هویت SecurID خود را داد.
فرآیند بازیابی حساب نیز زمانیکه برای از بین بردن احراز هویت دو مرحلهای استفاده میشود، میتواند مخدوش شود. زیرا اکثر مواقع رمز عبور فعلی کاربر را بازنشانی میکند و یک رمز عبور موقت را ایمیل میکند تا به کاربر اجازه دهد دوباره وارد شود و فرآیند 2FA را دور بزند.
حسابهای تجاری جیمیل مدیر اجرایی Cloudflare بهاینترتیب هک شد.
اگرچه 2FA مبتنیبر پیامک ارزان است، پیادهسازی آن آسان است و کاربر پسند تلقی میشود، اما در برابر حملات متعدد آسیبپذیر است. مؤسسه ملی استاندارد و فناوری (NIST) در انتشارات ویژه 800-63-3: دستورالعملهای هویت دیجیتال، استفاده از پیامک را در خدمات 2FA منع کرده است.
NIST به این نتیجه رسید که OTPهای ارسالشده از طریق پیامک بهدلیل حملات قابل حمل شماره تلفن همراه، حملات علیه شبکه تلفن همراه و بدافزارهایی که میتوانند برای رهگیری یا تغییر مسیر پیامهای متنی مورد استفاده قرار گیرند، بسیار آسیبپذیر هستند.
خط مقدم محافظت از امنیت کامپیوتر شما، استفاده از آنتیویروسی است که قابلیت اطمینان بالایی داشته باشد و مدام بهروزرسانی شود. ما در مجموعهی شیدافزار برای این نگرانی شما عزیزان، ضدویروس و امنیت اینترنتی شید را پیشنهاد میکنیم.
در نسخه امنیت اینترنتی شید شما میتوانید در برابر ویروسها ایمن باشید، در مقابل تهدیدهای اینترنتی محافظت شوید و نگران ایمنی خریدها، پرداختها و کارهای بانکیتان نباشید. همچنین کنترل برنامههای دستگاهتان را در دست بگیرید.
جهت آشنایی بیشتر با محصولات ما روی تصویر زیر کلیک کنید.
آینده احراز هویت
محیطهایی که به امنیت بالاتری نیاز دارند ممکن است به احراز هویت سه عاملی علاقه داشته باشند، که معمولاً شامل داشتن یک رمز فیزیکی و رمز عبوری است که همراه با دادههای بیومتریک استفاده میشود، مانند اسکن اثر انگشت یا اثر صوتی.
عواملی مانند موقعیت جغرافیایی، نوع دستگاه و زمان نیز برای کمک به تعیین اینکه آیا یک کاربر باید احراز هویت شود یا مسدود شود، استفاده میشوند.
علاوهبر این، شناسههای بیومتریک رفتاری، مانند طول ضربه زدن به کلید کاربر، سرعت تایپ و حرکات ماوس نیز میتوانند بهطور محتاطانه در زمان واقعی نظارت شوند تا بهجای یک بررسی احراز هویت یکباره در حین ورود، احراز هویت مستمر ارائه شود.
تکیه بر رمزهای عبور بهعنوان روش اصلی احراز هویت، اگرچه رایج است، اما اغلب امنیت یا تجربه کاربری مورد نیاز شرکتها و کاربران آنها را ارائه نمیدهد. حتی اگر ابزارهای امنیتی قدیمی، مانند مدیر رمز عبور و MFA، تلاش کردند تا با مشکلات نامهای کاربری و رمزهای عبور مقابله کنند، اما دارای یک معماری اساساً قدیمی در زمینه پایگاه دادههای خود هستند.
جمعبندی
در نتیجه، بسیاری از سازمانها به احراز هویت بدون رمز عبور روی میآورند. استفاده از روشهایی مانند بیومتریک و پروتکلهای ایمن، کاربران را قادر میسازد تا بدون نیاز به وارد کردن رمز، خودشان را در برنامههای مختلف بهطور ایمن احراز هویت کنند.
استفاده از بلاکچین، بهعنوان مثال، از طریق هویت غیرمتمرکز یا هویت خودمختار، نیز بهعنوان جایگزینی برای روشهای احراز هویت سنتی مورد توجه قرار گرفته است.
دوست عزیز
به انتهای این مقاله رسیدیم. از اینکه تا به اینجای کار با ما همراه بودید، سپاسگزاریم. خوشحال میشویم که نظر شما عزیزان را در قسمت کامنت مطالعه کنیم. اگر به مطالب بیشتر در حوزهی امنیت و هک علاقمندید میتوانید وبلاگ ما را دنبال کنید.