امنیت و هک, همه مطالب

احراز هویت دو مرحله‌ای چیست و چرا از آن استفاده می‌شود؟

احراز هویت دو مرحله ای
۱۹ دی

احراز هویت دو مرحله ای (2FA) یک روش امنیتی مدیریت هویت است که برای دسترسی به منابع و داده‌ها به دو شکل و یا روش شناسایی نیاز دارد. 2FA به کسب‌وکارها این امکان را می‌دهد تا بر روی اطلاعات حساس و شبکه‌های خود نظارت کنند و به محافظت از آن‌ها کمک کنند. ما در این مقاله قصد داریم تا به ماهیت و ضرورت استفاده از احراز هویت دو مرحله ای بپردازیم.

در ضمن اگر به‌دنبال راهکارهایی، برای بالابردن امنیت کامپیوتر خود هستید میتوانید مقاله‌ی ما؛ امنیت کامپیوتر شخصی و روش‌های بهبود آن را مطالعه کنید.

فهرست مطالب

 احراز هویت دو مرحله‌ ای چیست؟

احراز هویت دو مرحله‌ای (2FA) یک فرآیند امنیتی است که در آن کاربران 2 نوع فاکتور تأیید اعتبار مختلف را برای خود ارائه می‌کنند.

2FA برای محافظت بهتر از اعتبار کاربر و منابعی که کاربر می‌تواند به آن دسترسی داشته باشد، پیاده‌سازی شده است. احراز هویت دو مرحله‌ای نسبت به روش‌های دیگر احراز هویت مثل احراز هویت تک عاملی (SFA) که در آن کاربر تنها یک عامل را ارائه می‌کند (معمولاً یک رمز عبور)، سطح امنیتی بالاتری را ارائه می‌دهند.

روش‌های احراز هویت دو مرحله‌ای متکی بر این هستند که کاربر رمز عبور را به‌عنوان اولین عامل و عامل دوم را متفاوت ارائه می‌کند (معمولاً یک نشانه امنیتی یا یک عامل بیومتریک، مانند اثر انگشت یا اسکن صورت).

این روش با سخت‌تر کردن دسترسی مهاجمان به دستگاه‌ها یا حساب‌های آنلاین افراد، یک لایه امنیتی اضافی به فرآیند احراز هویت اضافه می‌کند. در واقع، اگر رمز عبور قربانی هک شود، رمز عبور به تنهایی برای عبور از فرایند احراز هویت و دسترسی به حساب کافی نیست.

احراز هویت دو مرحله ای مدت‌هاست که برای کنترل دسترسی به سیستم‌ها و داده‌های حساس استفاده می‌شود. ارائه‌دهندگان خدمات آنلاین به‌طور فزاینده‌ای از 2FA برای محافظت از اعتبار کاربران خود در برابر هکرهایی که پایگاه داده رمز عبور را دزدیده‌اند یا از کمپین‌های فیشینگ برای به دست آوردن رمز عبور کاربر استفاده می‌کنند، بهره می‌برند.

فاکتورهای احراز هویت چیست؟

روش‌های مختلفی وجود دارد که از طریق آن‌ها می‌توان با استفاده از بیش از یک روش احراز هویت کرد. درحال‌حاضر، بیشتر روش‌های احراز هویت به عوامل دانشی مانند رمز عبور سنتی متکی هستند، درحالی‌که روش‌های احراز هویت دو مرحله‌ای یک عامل مالکیت یا عامل ذاتی را اضافه می‌کنند.

عوامل احراز هویت شامل موارد زیر است:

عامل دانش:

چیزی است که کاربر می‌داند، مانند: رمز عبور، شماره شناسایی شخصی (PIN) یا نوع دیگری از یک راز مشترک.

ضریب مالکیت:

چیزی است که کاربر دارد، مانند: کارت شناسایی، رمز امنیتی، تلفن همراه، دستگاه تلفن همراه یا برنامه تلفن هوشمند برای تأیید درخواست‌های احراز هویت.

عامل بیومتریک:

که به‌عنوان عامل ذاتی نیز شناخته می‌شود، چیزی است که در فیزیک جسمانی کاربر ذاتی است. ممکن است این عوامل ویژگی‌های شخصی باشند که از ویژگی‌های فیزیکی ترسیم شده‌اند، مانند اثر انگشت‌هایی که تأیید شده‌اند. سایر عوامل ذاتی که معمولاً مورد استفاده قرار می‌گیرند عبارتند از: تشخیص چهره و صدا یا بیومتریک‌های رفتاری، مانند پویایی ضربه زدن به کلید، الگوهای راه رفتن یا گفتار.

فاکتور مکان:

این فاکتور معمولاً با مکانی که تلاش برای احراز هویت از آنجا صورت می‌گیرد، نشان داده می‌شود. در واقع، این ویژگی را می‌توان با محدود کردن تلاش‌های احراز هویت به دستگاه‌های خاص در یک مکان خاص یا با ردیابی موقعیت جغرافیایی براساس آدرس منبع پروتکل اینترنت یا برخی اطلاعات دیگر.

موقعیت جغرافیایی مانند:

داده‌های سیستم موقعیت‌یابی (GPS) از تلفن همراه یا دستگاه دیگر کاربر به دست آورد.

یک عامل زمان:

احراز هویت کاربر را به یک چارچوب زمانی خاص که در آن ورود به سیستم مجاز است و دسترسی به سیستم خارج از آن چارچوب را، محدود می‌کند.

اکثریت قریب‌به‌اتفاق روش‌های احراز هویت دو عاملی به سه عامل احراز هویت اولیه متکی هستند. اگرچه سیستم‌هایی که به امنیت بیشتری نیاز دارند ممکن است از آن‌ها برای اجرای احراز هویت چند عاملی (MFA) استفاده کنند، که می‌تواند برای احراز هویت امن‌تر به دو یا چند اعتبار مستقل تکیه کند.

احراز هویت دو مرحله ای چگونه کار می‌کند؟

فعال کردن احراز هویت دو مرحله ای بسته به هر برنامه متفاوت است. بااین‌حال، فرآیندهای احراز هویت دو عاملی شامل همان فرآیند کلی و چند مرحله‌ای است:

  • از کاربر خواسته می‌شود که توسط برنامه یا وب‌سایت وارد سیستم شود.
  • کاربر آنچه را که می‌داند وارد می‌کند. معمولاً نام کاربری و رمز عبور. سپس سرور سایت مطابقت را پیدا و کاربر را می‌شناسد.
  • برای فرآیندهایی که نیازی به رمز عبور ندارند، وب‌سایت یک کلید امنیتی منحصربه‌فرد برای کاربر ایجاد می‌کند. ابزار احراز هویت، کلید را پردازش می‌کند و سرور سایت آن را تأیید می‌کند.
  • سپس سایت از کاربر می‌خواهد که مرحله دوم ورود را آغاز کند. اگرچه این مرحله می‌تواند اشکال مختلفی داشته باشد، اما کاربر باید ثابت کند که چیزی را که فقط خودش می‌تواند داشته باشد، مانند: بیومتریک، رمز امنیتی، کارت شناسایی و تلفن هوشمند یا دستگاه تلفن همراه دیگر برخوردار است. این عامل ذاتی یا مالکیت است.
  • سپس، کاربر ممکن است مجبور باشد یک کد یک‌بار مصرف را که در مرحله چهارم ایجاد شده است، وارد کند.

پس از ارائه هر دو عامل، کاربر احراز هویت می‌شود و اجازه دسترسی به برنامه یا وب‌سایت داده می‌شود.

عناصر احراز هویت دو مرحله ای

احراز هویت دو مرحله ای نوعی از MFA است. از نظر فنی، هر زمانی که برای دسترسی به یک سیستم یا سرویس به دو عامل احراز هویت نیاز باشد، احراز هویت دو مرحله‌ای گفته می‌شود. بااین‌حال، استفاده از دو عامل از یک دسته به منزله 2FA نیست. به‌عنوان مثال، نیاز به رمز عبور و راز مشترک همچنان SFA در نظر گرفته می‌شود، زیرا هر دو به عامل احراز هویت دانش تعلق دارند.

2FA شامل دو مورد از سه عامل بالقوه احراز هویت است.

تا آنجا که خدمات SFA پیش می‌رود، نام کاربری و رمز عبور امن‌ترین نیستند. یکی از مشکلات احراز هویت مبتنی‌بر رمز عبور این است که برای ایجاد و به خاطر سپردن رمزهای عبور قوی نیاز به دانش و دقت دارد.

گذرواژه‌ها نیاز به محافظت در برابر بسیاری از تهدیدات داخلی دارند، مانند: یادداشت‌های چسبناک ذخیره شده، هارد دیسک‌های قدیمی و سوءاستفاده‌های مهندسی اجتماعی. رمزهای عبور همچنین طعمه تهدیدات خارجی هستند، مانند هکرهایی که از حملات brute-force، فرهنگ لغت یا جدول رنگین کمان استفاده می‌کنند.

با توجه به زمان و منابع کافی، مهاجم معمولاً می‌تواند سیستم‌های امنیتی مبتنی‌بر رمز عبور را نقض کرده و داده‌های شرکت را سرقت کند. رمزهای عبور به‌دلیل هزینه کم، سهولت پیاده‌سازی و آشنایی رایج‌ترین شکل SFA باقی مانده‌اند.

انواع محصولات احراز هویت دو مرحله ای

دستگاه‌ها و سرویس‌های مختلفی برای پیاده‌سازی 2FA وجود دارد؛ از توکن‌ها گرفته تا کارت‌های شناسایی فرکانس رادیویی و برنامه‌های گوشی‌های هوشمند.

محصولات احراز هویت دو مرحله ای را می‌توان به 2 دسته تقسیم کرد:

1) نشانه‌هایی که به کاربران داده می‌شود تا هنگام ورود به سیستم از آن‌ها استفاده کنند.

2) زیرساخت یا نرم‌افزاری که دسترسی کاربرانی را که از توکن‌های خود به‌درستی استفاده می‌کنند، شناسایی و احراز هویت می‌کند.

نشانه‌های احراز هویت ممکن است دستگاه‌های فیزیکی مانند جاکلیدی یا کارت‌های هوشمند باشند، یا ممکن است در نرم‌افزار به‌عنوان برنامه‌های موبایل یا دسکتاپ وجود داشته باشند که کدهای پین را برای احراز هویت تولید می‌کنند.

این کدهای احراز هویت، همچنین به‌عنوان رمزهای عبور یکبار مصرف OTP) شناخته می‌شوند که معمولاً توسط یک سرور تولید می‌شوند و می‌توانند توسط یک دستگاه یا برنامه احراز هویت معتبر شناخته شوند. کد احراز هویت یک دنباله کوتاه است که به یک دستگاه، کاربر یا حساب خاص مرتبط است و تنها یک‌بار می‌تواند به‌عنوان بخشی از فرآیند احراز هویت استفاده شود.

سازمان‌ها باید سیستمی را برای پذیرش، پردازش و اجازه یا رد دسترسی به کاربرانی که با توکن‌های خود احراز هویت می‌کنند، مستقر کنند. این ممکن است در قالب نرم‌افزار سرور یا سرور سخت‌افزار اختصاصی و همچنین به‌عنوان یک سرویس توسط یک فروشنده شخص ثالث ارائه شود.

یکی از جنبه‌های مهم 2FA این است که اطمینان حاصل شود که کاربر تأیید شده به تمام منابعی که برای آن‌ها تأیید شده است (نه کمتر و نه بیشتر)، دسترسی دارد. در نتیجه، یکی از عملکردهای کلیدی 2FA پیوند دادن سیستم احراز هویت با داده‌های احراز هویت یک سازمان است.

مایکروسافت برخی از زیرساخت‌های لازم برای پشتیبانی از 2FA در ویندوز 10 از طریق Windows Hello را فراهم می‌کند، که می‌تواند با حساب‌های مایکروسافت کار کند و همچنین کاربران را از طریق Microsoft Active Directory، Azure AD یا Fast IDentity Online (FIDO) احراز هویت کند.

احراز هویت دو مرحله ای برای دستگاه‌های تلفن همراه

گوشی‌های هوشمند قابلیت‌های 2FA متنوعی را ارائه می‌کنند و شرکت‌ها را قادر می‌سازند از آنچه برای آن‌ها بهترین است، استفاده کنند. برخی از دستگاه‌ها می‌توانند اثر انگشت را تشخیص دهند، از دوربین داخلی برای تشخیص چهره یا اسکن عنبیه و از میکروفون برای تشخیص صدا استفاده کنند.

تلفن‌های هوشمند مجهز به GPS می‌توانند موقعیت مکانی را به‌عنوان یک عامل اضافی تأیید کنند. سرویس پیام صوتی یا پیام کوتاه (SMS) نیز ممکن است به‌عنوان کانالی برای احراز هویت خارج از باند استفاده شود.

برای دریافت کدهای تأیید از طریق پیام متنی یا تماس تلفنی خودکار می‌توان از یک شماره تلفن مطمئن استفاده کرد. کاربر برای ثبت‌نام در 2FA باید حداقل یک شماره تلفن قابل اعتماد را تأیید کند.

Apple iOS، Google Android و Windows 10 همگی دارای برنامه‌هایی هستند که از 2FA پشتیبانی می‌کنند، که به گوشی امکان برآورده کردن فاکتور مالکیت را به‌عنوان دستگاه فیزیکی می‌دهند.

برنامه‌های Authenticator جایگزین نیاز به دریافت کد تأیید از طریق متن، تماس صوتی یا ایمیل می‌شوند. برای مثال، برای دسترسی به یک وب‌سایت یا سرویس مبتنی‌بر وب که از Google Authenticator پشتیبانی می‌کند، کاربران نام کاربری و رمز عبور خود را تایپ می‌کنند.

سپس از کاربران خواسته می‌شود که یک عدد 6 رقمی وارد کنند. به‌جای اینکه برای دریافت پیامک چند ثانیه منتظر بمانید، سیستم برای آن‌ها شماره تولید می‌کند. این اعداد هر 30 ثانیه تغییر می‌کنند و برای هر ورود متفاوت هستند. با وارد کردن شماره صحیح، کاربران فرآیند تأیید را کامل می‌کنند و مالکیت خود را اثبات می‌کنند.

اعلان‌های فشاری برای 2FA

Push Notification یک احراز هویت بدون رمز عبور است که کاربر را به‌طور مستقیم با ارسال یک اعلان آگاه و به او هشدار می‌دهد که تلاشی برای احراز هویت درحال انجام است. کاربر می‌تواند جزئیات تلاش برای احراز هویت را مشاهده و دسترسی را تأیید یا رد کند.

اگر کاربر درخواست تأیید اعتبار را تأیید کند ، سرور آن درخواست را دریافت می‌کند و کاربر را وارد برنامه وب می‌کند.

اعلان‌های فشاری با تأیید اینکه دستگاه ثبت‌شده در سیستم احراز هویت همان  دستگاه در اختیار کاربر است، احراز هویت را تأیید می‌کند. اگر یک مهاجم دستگاه را به خطر بیاندازد ، اعلان های فشار نیز به خطر می‌افتد. اعلان‌های فشار تهدیدهایی مانند حملات میانه ، دسترسی غیرمجاز و حملات مهندسی اجتماعی را از بین می‌برد.

درحالی‌که اعلان‌های فشار نسبت به سایر اشکال احراز هویت ایمن‌تر هستند ، هنوز خطرات امنیتی وجود دارد. به‌عنوان مثال، کاربران ممکن است به‌طور تصادفی یک درخواست احراز هویت جعلی را تأیید کنند، زیرا زمانی‌که اعلان‌های فشاری دریافت می‌کنند، عادت دارند روی تأیید ضربه بزنند.

آیا احراز هویت دو مرحله ای امن است؟

درحالی‌که احراز هویت دو مرحله‌ای امنیت را بهبود می‌بخشد، طرح‌های 2FA فقط به‌اندازه ضعیف‌ترین مؤلفه خود امن هستند.

به‌عنوان مثال، توکن‌های سخت‌افزاری به امنیت صادر کننده یا سازنده بستگی دارد. یکی از معروف‌ترین مواردی که یک سیستم دو عاملی در معرض خطر قرار گرفت زمانی بود که شرکت امنیتی RSA Security گزارشی از هک شدن توکن‌های احراز هویت SecurID خود را داد.

فرآیند بازیابی حساب نیز زمانی‌که برای از بین بردن احراز هویت دو مرحله‌ای استفاده می‌شود، می‌تواند مخدوش شود. زیرا اکثر مواقع رمز عبور فعلی کاربر را بازنشانی می‌کند و یک رمز عبور موقت را ایمیل می‌کند تا به کاربر اجازه دهد دوباره وارد شود و فرآیند 2FA را دور بزند.

حساب‌های تجاری جیمیل مدیر اجرایی Cloudflare به‌این‌ترتیب هک شد.

اگرچه 2FA مبتنی‌بر پیامک ارزان است، پیاده‌سازی آن آسان است و کاربر پسند تلقی می‌شود، اما در برابر حملات متعدد آسیب‌پذیر است. مؤسسه ملی استاندارد و فناوری (NIST) در انتشارات ویژه 800-63-3: دستورالعمل‌های هویت دیجیتال، استفاده از پیامک را در خدمات 2FA منع کرده است.

NIST به این نتیجه رسید که OTPهای ارسال‌شده از طریق پیامک به‌دلیل حملات قابل حمل شماره تلفن همراه، حملات علیه شبکه تلفن همراه و بدافزارهایی که می‌توانند برای رهگیری یا تغییر مسیر پیام‌های متنی مورد استفاده قرار گیرند، بسیار آسیب‌پذیر هستند.

آینده احراز هویت

محیط‌هایی که به امنیت بالاتری نیاز دارند ممکن است به احراز هویت سه عاملی علاقه داشته باشند، که معمولاً شامل داشتن یک رمز فیزیکی و رمز عبوری است که همراه با داده‌های بیومتریک استفاده می‌شود، مانند اسکن اثر انگشت یا اثر صوتی.

عواملی مانند موقعیت جغرافیایی، نوع دستگاه و زمان نیز برای کمک به تعیین اینکه آیا یک کاربر باید احراز هویت شود یا مسدود شود، استفاده می‌شوند.

علاوه‌بر این، شناسه‌های بیومتریک رفتاری، مانند طول ضربه زدن به کلید کاربر، سرعت تایپ و حرکات ماوس نیز می‌توانند به‌طور محتاطانه در زمان واقعی نظارت شوند تا به‌جای یک بررسی احراز هویت یک‌باره در حین ورود، احراز هویت مستمر ارائه شود.

تکیه بر رمزهای عبور به‌عنوان روش اصلی احراز هویت، اگرچه رایج است، اما اغلب امنیت یا تجربه کاربری مورد نیاز شرکت‌ها و کاربران آن‌ها را ارائه نمی‌دهد. حتی اگر ابزارهای امنیتی قدیمی، مانند مدیر رمز عبور و MFA، تلاش کردند تا با مشکلات نام‌های کاربری و رمزهای عبور مقابله کنند، اما دارای یک معماری اساساً قدیمی در زمینه پایگاه داده‌های خود هستند.

جمع‌بندی

در نتیجه، بسیاری از سازمان‌ها به احراز هویت بدون رمز عبور روی می‌آورند. استفاده از روش‌هایی مانند بیومتریک و پروتکل‌های ایمن، کاربران را قادر می‌سازد تا بدون نیاز به وارد کردن رمز، خودشان را در برنامه‌های مختلف به‌طور ایمن احراز هویت کنند.

استفاده از بلاکچین، به‌عنوان مثال، از طریق هویت غیرمتمرکز یا هویت خودمختار، نیز به‌عنوان جایگزینی برای روش‌های احراز هویت سنتی مورد توجه قرار گرفته است.

دوست عزیز

به انتهای این مقاله رسیدیم. از اینکه تا به اینجای کار با ما همراه بودید، سپاسگزاریم. خوشحال می‌شویم که نظر شما عزیزان را در قسمت کامنت مطالعه کنیم. اگر به مطالب بیشتر در حوزه‌ی امنیت و هک علاقمندید می‌توانید وبلاگ ما را دنبال کنید.

جدیدتر چگونگی فعال کردن احراز هویت دو مرحله‌ای برای حساب‌های کاربری مختلف
قدیمی‌تر وصله امنیتی ژانویه 2024 اندروید برای گوشی‌های Google Pixel منتشر شد.

یک نظر در “احراز هویت دو مرحله‌ای چیست و چرا از آن استفاده می‌شود؟

  1. بازتاب: آموزش فعال کردن احراز هویت دو مرحله ای

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.