مکانیزم احراز هویت دومرحله‌ای، افسانه‌ها و راهکارها
سفر به اعماق مکانیزم احرازهویت دوعاملی
اگر به عنوان یک برنامه‌نویس تصمیم بگیرید یک ویژگی امنیتی موسوم به احراز هویت دوعاملی را برنامه‌نویسی کنید و نظر دیگران را درباره این ویژگی جویا شوید، خواهند گفت که ویژگی آزاردهنده‌ای است. بله؛ در نگاه اول چنین به نظر می‌رسد که یک گام اضافی آزاردهنده است. شاید بسیاری از ما در گذشته فکر می‌کردیم لزومی ندارد پیش از آنکه به حساب کاربری خود وارد شویم یا برای اینکه بتوانیم هویت آنلاین خود را برای سامانه‌ای امنیتی به اثبات برسانیم، یک کد اضافی دریافت کنیم. آیا این امکان وجود دارد تا بدون طی روندی مضاعف، مستقیماً به حساب کاربری خود وارد شویم؟ این پرسش باعث شد تحقیقات زیادی درباره مکانیزم احراز هویت دوعاملی که اغلب 2FA نامیده می‌شود، انجام شود.

1606683296_1_0.gif

بدون شک پس از مطالعه این مقاله متوجه خواهید شد که این ویژگی بیش از آنچه تصور می‌کنید، حائز اهمیت است. در این گفتار با مکانیزم احراز هویت دوعاملی بیشتر آشنا می‌شویم و گزینه‌های مختلف دیگری را که در این زمینه وجود دارند، بررسی می‌کنیم تا روی برخی شایعات و افسانه‌هایی که درباره این ویژگی وجود دارند، خط بطلانی بکشیم.

مکانیزم احراز هویت چیست؟
مکانیزم احراز هویت دوعاملی، مکانیزمی است که یک لایه امنیت مضاعف را در تعامل با نام کاربری، گذرواژه و یک کد امنیتی در زمان ورود به حساب‌های کاربری در اختیار کاربران قرار می‌دهد؛ کدی که معمولاً برای تلفن‌های همراه به صورت صوتی یا متنی ارسال می‌شود. شاید این مکانیزم در نگاه اول کمی آزاردهنده باشد، اما یکی از راهکارهایی است که امنیت حساب‌های شما را به‌طرز قابل توجهی افزایش می‌دهد. در چنین شرایطی هکر باید تلفن همراه شما را به سرقت ببرد تا به این کد امنیتی دسترسی پیدا کند. احراز هویت دوعاملی از جمله فناوری‌هایی است که می‌تواند روی دستگاه‌های مختلفی فعال شده یا غیرفعال شود. اما به این نکته توجه کنید که زمانی‌که حساب ‌کاربری شما هک شود و نتوانید به ایمیل خود دسترسی پیدا کنید، باید با مراجعه به صفحه مربوط به ارائه‌دهنده خدمات ایمیل، آن‌ها را در جریان قرار دهید. سرویس ایمیل آتلوک به کاربران خود اجازه می‌دهد به این آدرس مراجعه کرده و گزینه "I think someone else is using by Microsoft account" را انتخاب کنند. ارائه‌دهندگان دیگر، سرویس‌های مشابهی پیشنهاد می‌کنند. اگر از آتلوک استفاده ‌کنید، از شما خواسته می‌شود دلیل سوءظن خود را قبل از وارد کردن آدرس ایمیل یا تلفن خود بیان کنید. برای این منظور سؤالات امنیتی از شما پرسیده می‌شود تا ارائه‌دهنده خدمات بر مبنای پاسخ شما صحت اطلاعاتی را که در اختیار آن قرار داده‌اید، بررسی کند. زمانی که این کار را انجام دادید، تنظیمات حساب شما پاک می‌شوند، به این معنی که فرایند پاسخ‌گویی خودکار به ایمیل‌ها متوقف خواهد شد. اما در پایین صفحه پوشه‌ای به نام Delete همراه با گزینه‌ای به نام recover deleted messages وجود دارد که برای بازیابی پیام‌هایی که پاک شده‌اند، استفاده می‌شود. با این مقدمه به سراغ تکنیک‌های مختلف احراز هویت دوعاملی می‌رویم.

رایج‌ترین گزینه‌هایی که برای استفاده از 2FA وجود دارد
• احراز هویت از طریق پیام کوتاه (SMS)
امروزه بسیاری از برنامه‌های کاربردی و سرویس‌های امنیتی که به‌وفور استفاده می‌شوند، برای کاربران خود کد احراز هویت دومرحله‌ای را از طریق پیام کوتاه ارسال می‌کنند و بسیاری از کاربران به این موضوع عادت کرده‌اند. کدی که کاربر باید به هنگام ورود به حساب کاربری در اختیار سامانه قرار دهد. در بعضی موارد روند وارد کردن کد امنیتی در هر بار مراجعه کاربر به حساب کاربریش تکرار می‌شود. این فرایند به دو شکل استفاده می‌شود: در حالت اول به صورت مستمر انجام می‌شود و در حالت دوم زمانی‌که کاربر از دستگاه جدیدی برای ورود به حساب کاربری خود استفاده می‌کند. در این راهکار تلفن همراه شما به عنوان عامل دوم در مکانیزم احراز هویت استفاده می‌شود. معمولاً پیام کوتاهی که در این مکانیزم استفاده می‌شود، یک کد کوتاه یک‌بار مصرف و با محدودیت زمانی است. در نتیجه کاربر باید در بازه زمانی مشخصی از این کد برای ورود به حساب کاربری خود استفاده کند. اما فایده این کار چیست؟ هر زمان هکری موفق شود گذرواژه شما را به دست آورد، باید تلفن همراهتان را نیز در اختیار داشته باشد تا از این کد امنیتی استفاده کند. اما این تکنیک با مشکل بزرگی روبه‌رو است. اگر در یک موقعیت جغرافیایی قرار داشته باشید که از پوشش شبکه خوبی برخوردار نباشد یا اگر به کشوری مسافرت کنید که نتوانید به اپراتور شبکه خود متصل شوید، در نتیجه به این کد دسترسی نخواهید داشت و عملاً درهای ورود به حساب کاربری‌تان به روی خود شما نیز بسته خواهند شد. شکل 1 مکانیزم استفاده‌شده در این تکنیک را نشان می‌دهد.


شکل 1: مکانیزم احراز هویت مبتنی بر پیام کوتاه

با این حال، آمارها نشان می‌دهند ضریب نفوذ شبکه‌های مخابراتی رشد زیادی داشته‌اند و از طرفی بیش از 90 درصد کاربران سراسر جهان تلفن همراه خود را در هر مکانی در اختیار دارند. همچنین اگر به هر علتی نتوانید این کد را از طریق پیام کوتاه دریافت کنید، تعدادی از سرویس‌ها موجودند که به سامانه پخش‌کننده صوتی کدها مجهز شده‌اند. همین موضوع باعث شده است کاربران بتوانند این کدها را از طریق تلفن‌های ثابت نیز دریافت کنند.

• برنامه‌های کاربردی تولیدکننده کد امنیتی/ Google Authenticator
این روش در مقایسه با ارسال پیام کوتاه، روش بهتری است؛ به دلیل اینکه به پوشش شبکه سلولی وابسته نیست. ممکن است در گذشته نیز از چنین برنامه‌هایی برای تولید کدهای امنیتی زمان‌دار برای ورود به حساب‌ها یا سامانه‌های کامپیوتری استفاده کرده باشید. برنامه کاربردی Google Authenticator یکی از محبوب‌ترین نمونه‌هایی است که می‌توان به آن اشاره کرد؛ کاربران پلتفرم‌های اندروید و iOS به این برنامه دسترسی دارند. شیوه کار برنامه مذکور به این شکل است که سرویسی را برای استفاده از مکانیزم تأیید هویت دومرحله‌ای برای این برنامه مشخص می‌کنید. بعد از این کار هر زمان قصد ورود به سرویس مدنظر را داشته باشید، باید در کنار نام کاربری و گذرواژه، کد امنیتی مربوطه را نیز وارد کنید. در این حالت می‌توانید کد امنیتی یک‌بار مصرف را از برنامه Google Authenticator دریافت کنید. کدهایی که این برنامه تولید می‌کند، تنها در بازه زمانی یک دقیقه معتبر هستند. در نتیجه در زمان استفاده از این کدها باید سرعت عمل بالایی داشته باشید. اگر در مدت زمان یک دقیقه نتوانید از این کد استفاده کنید، کد مربوطه سوخت شده و باید دوباره کد جدیدی را برای ورود به سامانه دریافت کنید. در کنار سرویس پست الکترونیکی جی‌میل، می‌توانید از سرویس‌های دیگری همچون دراپ‌باکس، اورنوت و سرویس‌های مشابه نیز استفاده کنید. شکل 2 مکانیزم استفاده‌شده در این تکنیک را نشان می‌دهد.


شکل 2: مکانیزم احراز هویت مبتنی بر برنامه Google Authenticator

با وجود این، بعضی از کاربران تمایل ندارند برای بهره‌مندی از چنین سازوکاری از محصولات گوگل استفاده کنند. برای این‌گونه کاربران گزینه‌های جایگزین دیگری نیز وجود دارد که سرویس Authy یکی از بهترین گزینه‌های حال حاضر به شمار می‌رود. مزیت سرویس Authy این است که از تمامی کدهایی که در این فرایند استفاده می‌کنید، یک نسخه پشتیبان رمزگذاری‌شده تهیه می‌کند. این سرویس چندسکویی بوده و در نتیجه می‌توان از آن در پلتفرم‌های مختلف استفاده کرد. LastPass نیز از چندی پیش سرویس Authenticator خود را برای این منظور راه‌اندازی کرده است.

• کلیدهای احراز هویت فیزیکی
بسیاری از کاربران به دلایل مختلفی همچون اطمینان نداشتن به سرویس‌های جانبی یا کم‌طاقت بودن به لحاظ دریافت کدها از طریق پیام‌های کوتاه یا برنامه‌های کاربردی، تمایلی ندارند از آن سازوکار استفاده کنند. برای این‌گونه کاربران گزینه دیگری وجود دارد. این تکنیک که البته هنوز متداول نشده است، بر مبنای کلیدهای احراز هویت فیزیکی کار می‌کند. این کلیدها که ظاهری شبیه به حافظه‌های فلش دارند و به‌راحتی در کنار کلیدهای خانه و ماشین در جاسوییچی قرار می‌گیرند، به‌آسانی قابل استفاده هستند. شیوه کارکرد آن‌ها به این شکل است که در زمان ورود به حساب کاربری از طریق یک کامپیوتر جدید، این کلید USB را به سامانه کامپیوتری خود متصل می‌کنید و دکمه‌ای را که روی آن تعبیه شده است، فشار می‌دهید. شکل 3 نمایی از این کلید را نشان می‌دهد. با توجه به استقبال کاربران از این مکانیزم، تعدادی از تولیدکنندگان تصمیم گرفته‌اند استاندارد U2F را برای این کلیدها پیشنهاد کنند. شایان ذکر است شرکت‌هایی همچون گوگل، دراپ‌باکس و گیت‌هاب از مدت‌ها پیش سرویس‌های متعلق به حساب‌ کاربری خود را با توکن U2F سازگار کرده‌اند.


شکل 3: مکانیزم احراز هویت مبتنی بر کلید فیزیکی​

• احراز هویت مبتنی بر برنامه‌های کاربردی و ایمیل
با وجود اینکه هر یک از راهکارهایی که به آن‌ها اشاره شد، از انعطاف‌پذیری خوبی برخوردار هستند، تعدادی از شرکت‌ها تمایلی ندارند از آن‌ها استفاده کنند و ترجیح‌ می‌دهند از سازوکار ویژه خود برای این موضوع استفاده کنند. در این سازوکار هویت شما مستقیماً از طریق خود برنامه کاربردی تأیید می‌شود. برای مثال اگر گزینه Login verification را در توییتر فعال کنید، هر گاه از دستگاه جدیدی برای ورود به حساب کاربری خود استفاده کنید، باید برای ورود به حساب کاربری‌تان هویت خود را با استفاده از برنامه کاربردی توییتر که روی گوشی همراهتان قرار دارد، به اثبات برسانید. شرکت اپل نیز از سازوکاری مشابه با این روش استفاده می‌کند. در دنیای اپل اگر از دستگاه جدیدی برای ورود به حساب کاربری خود استفاده کنید، کد یک‌بار مصرف برای دستگاه‌هایی (اپلی) که هم اکنون در حال استفاده از آن هستید، ارسال می‌شود. شکل 4 مکانیزم احراز هویت مبتنی بر این تکنیک را نشان می‌دهد. 


شکل 4: مکانیزم احراز هویت ترکیبی

مکانیزم‌ مبتنی بر ایمیل که از دیرباز استفاده می‌شد، از آدرس ایمیل به عنوان گام دوم احراز هویت استفاده می‌کند. در نتیجه هر زمان قصد داشته باشید به یک برنامه کاربردی یا سرویسی وارد شوید که بر پایه این سازوکار عمل می‌کند، کد یک‌بار مصرف به آدرس ایمیل شما ارسال می‌شود. ممکن است از این مکانیزم در محصولات مایکروسافت استفاده کرده باشید.

این مکانیزم را باید برای چه سرویس‌هایی فعال کنیم؟
نخستین پرسشی که کاربران در مواجه شدن با این ویژگی مطرح می‌کنند، این است که آیا باید این مکانیزم مضاعف را فعال کنند یا نه. بله؛ باید این‌ ویژگی را فعال کرد؛ به‌ویژه اگر از سرویس‌های حساسی استفاده می‌کنید که اطلاعات فردی یا مالی شما را میزبانی می‌کنند. پرسش دیگری که بسیاری از کاربران مطرح می‌کنند، این است که این ویژگی برای چه سرویس‌هایی باید فعال شود. به نظر می‌رسد این سرویس‌ها گزینه‌های مناسبی برای فعال‌سازی این ویژگی هستند:
- گوگل، یاهو، آتلوک، هات‌میل، جی‌میل
-LastPass ،1Password، Keepass یا هر سرویس مدیریت گذرواژه‌ای که از آن استفاده می‌کنید.
- وان‌درایو، آی‌کلاود، گوگل‌درایو، دراپ‌باکس و هرگونه سرویس رایانش ابری که اطلاعات خود را در آن‌ها ذخیره‌سازی کرده‌اید و این اطلاعات برایتان با ارزش هستند.
- حساب‌های بانکی
- حساب‌هایی که در شبکه‌های اجتماعی همچون فیسبوک، توییتر، لینکدین و تلگرام دارید.
- حساب‌های مربوط به مدیریت میزبانی سایت‌ها
مواردی که به آن‌ها اشاره شد، به دلیل اینکه بر زندگی بسیاری از ما تأثیرگذار هستند، در این فهرست قرار گرفتند. اما چگونه اطلاع پیدا کنیم سایت یا سرویسی که از آن استفاده می‌کنیم از این مکانیزم پشتیبانی می‌کند یا نه. سایت twofactorauth فهرست جامعی از سایت‌ها و سرویس‌هایی که از این مکانیزم استفاده می‌کنند، در اختیارتان قرار می‌دهد. (شکل 5)  


شکل 5: کادر جست‌وجو به‌سادگی کمک می‌کند سایت‌هایی را که از مکانیزم 2FA پشتیبانی می‌کنند، پیدا کنید.

افسانه‌ها و باورهای اشتباهی که درباره مکانیزم احراز هویت دومرحله‌ای وجود دارند
در بخش پایانی این مقاله به بررسی تعدادی از باورهای اشتباه می‌پردازیم که درباره مکانیزم احراز هویت دومرحله‌ای وجود دارد.

- آیا می‌توان هر زمان رخنه امنیتی به وجود آمد، مکانیزم احراز هویت دومرحله‌ای را فعال کرد؟
واقعیت این است که در بیشتر موارد امکان فعال کردن مکانیزم احراز هویت دوعاملی تنها با فشار یک کلید یا روشن کردن یک سوییچ امکان‌پذیر نیست. بعضی مواقع لازم است مکانیزم تأیید هویت دومرحله‌ای با استفاده از یک کلید فیزیکی تولید شده یا کلید‌های رمزنگاری درون دستگاه‌های مختلف جای‌گذاری شوند. با توجه به اینکه تأیید هویت دومرحله‌ای به‌شدت بر مشارکت کاربر تأکید دارد، انتظار نداشته باشید به‌سرعت این مکانیزم به اجرا درآید. 

- احراز هویت دومرحله‌ای فرایند بیهوده‌ای است
طبیعی است که این حرف هیچ‌ استدلال منطقی‌ای ندارد. این دیدگاه از آن‌جا نشأت گرفته است که تعدادی از شرکت‌های ارائه‌دهنده سرویس‌ها از این مکانیزم به‌درستی استفاده نکرده یا از حداقل فاکتورهای موجود در این زمینه استفاده می‌کنند و به کاربر اجازه می‌دهند تنها با یک کلیک ساده و بدون انجام کار خاصی، این مکانیزم را فعال کند. این سادگی بیش از اندازه باعث شده است تا بعضی کاربران تصور کنند که در حال انجام کار بیهوده‌ای هستند. شرکت‌ها می‌توانند از راهکارهای پیشرفته‌تر و انعطاف‌پذیرانه‌تری استفاده کنند تا نه تنها کاربران را مجاب سازند که از این مکانیزم استفاده کنند، بلکه کار را برای هکرها دشوارتر کنند.

- تمامی مکانیزم‌های احراز هویت دوعاملی رفتاری یکسان دارند
در سال‌های پیش، این دیدگاه درست بود، اما در زمان فعلی این‌گونه نیست. به دلیل اینکه اکنون این شیوه کارکرد به اشکال مختلف استفاده می‌شود. برای مثال، در بعضی موارد از پیام کوتاه یا آدرس ایمیل استفاده می‌شود، در حالی که در بعضی موارد یک برنامه‌ همراه ممکن است دربرگیرنده یک رمزنگاری پنهان یا اطلاعات کلیدی باشد که درون مرورگر کاربر ذخیره شده است. 

- مکانیزم احراز هویت دومرحله‌ای نفوذناپذیر است
این مطلب به‌هیچ‌وجه درست نیست. این مکانیزم همانند بسیاری دیگر از نمونه‌های مشابه، بر دو عامل فناوری و کاربر تأکید دارد. با توجه به اینکه هر دو عامل ممکن است دچار اشتباهاتی شوند، در نتیجه همواره احتمال بروز اشتباه یا وجود یک باگ از سوی دو عامل وجود دارد. برای مثال در تکنیک مبتنی بر پیام کوتاه، شبکه اپراتور سلولی باید از امنیت خوبی برخودار باشد تا اجازه ندهد هکرها به‌سادگی به این کد دست پیدا کنند. وجود بدافزارهای مخفی روی دستگاه قربانی به‌ویژه گوشی‌های هوشمند نیز این ظرفیت را به وجود می‌آورند تا بدافزارها پیام‌های کوتاه ارسال یا دریافت‌شده کاربر را شنود کرده و برای هکرها ارسال کنند. 

به پایان عمر 2FA رسیده‌ایم
شاید این نظر درست باشد. هر آن چیزی که درباره مکانیزم احراز هویت دوعاملی در این مقاله خواندید، بر مبنای قواعد روز دنیای فناوری به رشته تحریر درآ‌مده‌اند. ما درباره آینده و اینکه چه اتفاقاتی قرار است رخ دهد، اطلاعات کمی داریم و به‌درستی نمی‌دانیم در آینده نیز از این مکانیزم استفاده خواهد شد یا تغییراتی در آن رخ خواهد داد. اما پیش‌بینی ما این است که این مکانیزم در گذر زمان به اندازه‌ای کارآمدتر و قدرتمندتر خواهد شد که به یکی از محبوب‌ترین ابزارهای مورد استفاده کاربران در زمینه محافظت از اطلاعات شخصی تبدیل شود.

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟