خوب، با این نوع نگرش ما هرگز به جایی نخواهیم رسید. در واقعیت، برخی از کسب و کارها یا خدمات به 2FA به عنوان یک الزام انطباق، به جای چیزی که می تواند به کاهش تقلب کمک کند، نگاه می کنند. برخی از شرکت ها از حداقل 2FA مورد نیاز استفاده می کنند که به سختی کاری انجام می دهد، فقط برای علامت زدن جعبه 2FA. به عنوان یک کاربر، استفاده از 2FA میتواند آزاردهنده باشد، اما اگر شرکت از روش احراز هویت انعطافپذیر (نه فقط حداقل حداقل) استفاده کند، میتواند احتمال تقلب را کاهش دهد. و چه کسی آن را نمی خواهد؟
احراز هویت دو عاملی: روش ها و افسانه ها
آره. به خصوص برای خدمات مهمی که حاوی اطلاعات شخصی و اطلاعات مالی شما هستند.
استانداردی در اطراف این وجود دارد به نام U2F. حسابهای Google، Dropbox، GitHub و بسیاری دیگر با توکن U2F سازگار هستند. کلیدهای احراز هویت فیزیکی می توانند با NFC و بلوتوث کار کنند تا با دستگاه هایی که پورت USB ندارند نیز ارتباط برقرار کنند.
احراز هویت مبتنی بر برنامه و ایمیل
این برنامهها تا زمانی که پادشاهی بیاید، با یا بدون اتصال به اینترنت، کدهای مربوط به زمان را تولید میکنند. تنها معاوضه این است که تنظیم تنظیمات برنامه کمی پیچیده است.
اگر کار با کدها و برنامهها و پیامهای متنی مانند سردرد به نظر میرسد، گزینه دیگری وجود دارد که در آستانه محبوبیت قرار دارد: کلیدهای احراز هویت فیزیکی. این یک دستگاه USB کوچک است که روی دسته کلید خود قرار می دهید — مانند کلید امنیتی که در تصویر زیر مشاهده می کنید. هنگام ورود به حساب خود در رایانه جدید، کلید USB را وارد کرده و دکمه آن را فشار دهید. انجام شد و انجام شد.
راه حل های دو عاملی (اساسا) همه یکسان هستند
این امری عادی است که برنامهها و سرویسهای ایمن به شما پیشنهاد میکنند حداقل از طریق پیامهای SMS، 2FA را اضافه کنید، مثلاً هنگام ورود به حساب خود — یا همیشه یا فقط در هنگام انجام این کار از یک دستگاه جدید. با استفاده از این سیستم، تلفن همراه شما دومین روش احراز هویت است.
پیام اس ام اس شامل یک کد یکبار مصرف کوتاه است که شما وارد سرویس می کنید. به این ترتیب، آقای جو هکر برای ورود به حساب کاربری شما نیاز به دسترسی به رمز عبور و تلفن شما دارد. یکی از نگرانی های نسبتاً آشکار، پوشش سلولی است. اگر بدون سیگنال در میانه راه گیر کرده باشید یا بدون دسترسی به شرکت مخابراتی خود به خارج از کشور سفر کنید، چه؟ شما نمی توانید پیام را با کد دریافت کنید و نمی توانید وارد شوید.
احراز هویت دو مرحله ای یک مزیت اضافی آزاردهنده با سود کمی است
** اینها به ویژه مهم هستند زیرا معمولاً به عنوان دروازه ای برای هر کاری که آنلاین انجام می دهید عمل می کنند.
مشکل این است که شما نمی توانید فقط یک سوئیچ را بچرخانید و 2FA را روشن کنید. شروع 2FA به این معنی است که توکن ها باید صادر شوند یا کلیدهای رمزنگاری باید در دستگاه های دیگر تعبیه شوند. در صورت نقض سرویس، توصیه می کنیم ابتدا رمزهای عبور خود را تغییر دهید، سپس 2FA را فعال کنید. بهترین روشها همچنان اعمال میشوند، مانند استفاده از گذرواژههایی که حدس زدن آنها سخت است و استفاده مجدد از رمز عبور خود در سرویسها/وبسایتهای مختلف.
پس از راهاندازی یک سرویس خاص با Authenticator، از شما خواسته میشود علاوه بر نام کاربری و رمز عبور، یک کد احراز هویت وارد کنید. برای ارائه یک کد جدید به برنامه Google Authenticator در تلفن هوشمند خود متکی خواهید بود. کدها در عرض یک دقیقه منقضی می شوند، بنابراین گاهی اوقات باید سریع کار کنید تا کد فعلی را قبل از منقضی شدن آن وارد کنید و سپس کد جدید مورد استفاده قرار می گیرد.
کلیدهای احراز هویت فیزیکی
آیا باید احراز هویت دو عاملی را فعال کنم یا خیر؟
به طور مشابه، حسابهای Google هنگام ورود به رایانه جدید چیزی مشابه ارائه میدهند، از شما میخواهد جیمیل را در تلفن خود باز کنید. اپل همچنین از iOS برای تأیید ورود دستگاه های جدید استفاده می کند. هنگام ورود به یک دستگاه جدید، یک کد یک بار مصرف به دستگاه اپلی که قبلاً استفاده میکنید ارسال میشود.
چگونه 2FA می تواند در صورت تلاش موفق فیشینگ شکست بخورد؟
سیستم های مبتنی بر ایمیل، همانطور که احتمالاً از توضیحات متوجه شدید، از حساب ایمیل شما به عنوان احراز هویت عامل دوم استفاده می کنند. هنگام ورود به برنامه یا سرویسی که از این گزینه استفاده می کند، کد یکبار مصرف برای تأیید بیشتر به آدرس ایمیل ثبت شده شما ارسال می شود.
افسانه ها / سوالات متداول
اما بیشتر اوقات، این روش راحت است (همه ما اغلب اوقات تلفن خود را در دست داریم). و حتی برخی از سرویسها هستند که دارای یک سیستم خودکار کد هستند تا در صورت عدم دریافت پیامک، بتوان از آن با تلفن ثابت استفاده کرد.
Google Authenticator، Authy، کدهای ایجاد شده توسط برنامه
با این حال، پس از تحقیقات زیاد در مورد احراز هویت دو عاملی (اغلب به عنوان 2FA)، فکر نمی کنم دیگر چشمانم را روی آن بچرخانم. بیایید احراز هویت دو مرحلهای را کمی بهتر بشناسیم، گزینههای مختلف موجود در آنجا را بشناسیم و برخی از افسانههای مربوط به آن مرحله اضافی «آزاردهنده» را از بین ببریم.
رایج ترین جایگزین ها برای استفاده از 2FA
تأیید پیامک
وقتی به چند نفر از دوستانم اشاره کردم که در حال نوشتن یک ویژگی در مورد احراز هویت دو مرحلهای هستم، پاسخ معمولی این بود که «اوه، آن چیز مزاحم؟…» بله، آن مرحله اضافی آزاردهنده. همه ما این فکر را داشته ایم که قبل از اینکه بتوانیم وارد سیستم شویم یا هویت خود را به صورت آنلاین تأیید کنیم، نیاز به دریافت کد داشتیم. آیا می توانم فقط بدون انبوهی از درخواست ها وارد شوید؟
این ممکن است در مقطعی درست باشد، اما نوآوری های زیادی در 2FA وجود دارد. راه حل های 2FA با استفاده از پیامک یا ایمیل وجود دارد. راهحلهای دیگر از یک برنامه تلفن همراه استفاده میکنند که حاوی یک رمز رمزنگاری یا اطلاعات کلیدی ذخیره شده در مرورگر کاربر است. اتکا به خدمات شخص ثالث چیزی است که باید در مورد آن فکر کرد و باید آن را بهبود بخشید، زیرا در برخی موارد نقض شده است و احراز هویت ناموفق بوده است.
احراز هویت دو مرحله ای در برابر تهدیدات غیرقابل نفوذ است
خدمات رایجی که در آن فعال کردن 2FA توصیه می شود کدامند؟
- Google / Gmail، Hotmail / Outlook، Yahoo Mail **
- Lastpass، 1Password، Keepass یا هر مدیر رمز دیگری که استفاده می کنید **
- Dropbox، iCloud، OneDrive، Google Drive (و سایر سرویسهای ابری که در آن دادههای ارزشمند را میزبانی میکنید)
- بانکداری، پی پال، و سایر خدمات مالی که استفاده می کنید و از آن پشتیبانی می کنند
- فیس بوک / توییتر / لینکدین
- Steam (در صورتی که ارزش کتابخانه بازی شما بیشتر از میانگین موجودی حساب بانکی شما باشد)
اگر نقض امنیتی وجود دارد، احراز هویت دو مرحلهای ASAP را روشن کنید؟
شماره 2FA به هر دو فناوری و کاربرانی که دارای نقص هستند بستگی دارد، بنابراین دارای نقص است. 2FA که از متن پیام کوتاه به عنوان عامل دوم استفاده می کند، به امنیت حامل بی سیم متکی است. همچنین در جایی اتفاق افتاده است که بدافزار موجود در تلفن، پیامهای SMS را رهگیری کرده و برای مهاجم ارسال میکند. راه دیگری که 2FA می تواند به خطا برود، زمانی است که کاربر توجهی نمی کند و درخواست احراز هویت را تأیید می کند (شاید این یک پیام پاپ آپ در مک او باشد) که با تلاش مهاجم برای ورود به سیستم شروع شده است.
بسیاری از برنامهها و سرویسها گزینههای بالا را به کلی نادیده میگیرند و از طریق برنامههای تلفن همراه خود تأیید میکنند. به عنوان مثال، “تأیید ورود به سیستم” را در توییتر فعال کنید و هنگامی که برای اولین بار از یک دستگاه جدید وارد توییتر می شوید، باید آن ورود را از برنامه وارد شده در تلفن خود تأیید کنید. توییتر میخواهد قبل از ورود به سیستم مطمئن شود که شما، نه آقای جو هکر، تلفنتان را در اختیار دارید.
اگر مهاجم کاربر را فریب دهد تا کد 2FA خود را در یک صفحه جعلی وارد کند، احراز هویت دو مرحلهای میتواند در یک حمله فیشینگ شکست بخورد. سپس مهاجم به هر دو اعتبار ورود کاربر و کد 2FA دسترسی دارد و امنیت 2FA را دور می زند. برای جلوگیری از این امر، مهم است که کاربران از تلاشهای فیشینگ آگاه باشند و قبل از وارد کردن اطلاعات، صحت ورود به سیستم و صفحات 2FA را تأیید کنند.
یک جایگزین بالقوه بهتر برای پیامک، زیرا به اپراتور بی سیم شما متکی نیست. Google Authenticator محبوبترین برنامه در دسته خود است، اما اگر نمیخواهید برای این خدمات مهربان به Google تکیه کنید، جایگزینهای جامعی مانند Authy وجود دارد که پشتیبانهای رمزگذاری شده از کدهای تولید شده در طول زمان و همچنین چندگانه ارائه میکند. پشتیبانی از پلتفرم و آفلاین مایکروسافت و Lastpass نیز احراز هویت خود را دارند.