روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ هرکسی که روی هر شبکه اجتماعی یا سرویس آنلاینی اکانت دارد مطمئناً قبلاً با چیزی به نام احراز هویت دوعاملی (2FA) روبرو شده است. همچنین بدان احراز هویت دومرحله‌ای یا تأییدیه‌ی دومرحله‌ای نیز می‌گویند اما مفهوم، یکی است. با این حال باید به این سوال پاسخ داد که 2FA دقیقاً چیست، چطور کار می‌کند و از همه مهم‌تر چرا بدان نیاز است؟ در این مطلب قرار است به این پرسش‌ها پاسخ دهیم. با ما همراه باشید.

احرازهویت دوعاملی چیست؟

بگذارید با یک تعریف ساده شروع کنیم. وقتی چندین روش همزمان برای اعتبارسنجی حقوق دسترسی استفاده می‌شود بدان می‌گویند احراز هویت چندعاملی. اغلب، خدمات دیجیتال از احراز هویت دوعاملی استفاده می‌کنند. هیچ ایرادی ندارد اگر از عامل‌های بیشتری استفاده کنیم اما این عدد معمولاً به دو محدوده شده تا بیش از حد کاربران دردسر نکشند. به بیانی دیگر 2FA تعادل خوبی را بین حفاظت اکانت و لاگین راحت ایجاد کرده است. اما برای تأیید حقوق احراز کاربر چند عامل را می‌شود استفاده کرد؟ بگذارید در زیر به محبوب‌ترین گزینه‌ها بپردازیم:‌

•         دانش: احراز اگر پسورد، عبارت عبور، کد عددی و الگوی گرافیکی و جواب به سوال محرمانه و غیره را درست داشته باشید به شما داده می‌شود.
•         مالکیت: اگر آیتم خاصی دارید (برای مثال یک کلید، توکن یو‌اس‌بی، گوشی یا کارت بانکی) این می‌شود اعتبار شما برای رسیدن به حقوق دسترسی. این همچنین شامل دسترسی به شماره تلفن یا یک سری اکانت دیگر می‌شود (برای مثال ایمیل) که می‌شود فرضاً با دریافت کد یکبار مصرف نشان داده شود.
•         دارایی ذاتی: اغلب ممکن است بشود با برخی دارایی‌های ذاتی کاربر واقعی احراز را رقم زد: اثر انگشت، صدا، چهره، DNA، الگوی IRIS، سبک تایپ روی کیبورد و غیره.
•         ژئولوکیشن: اینجا احراز بر پایه‌ی بودن کاربر در یک مکان خاص است. برای مثال اگر لاگین به منابع سازمانی داخل اداره رخ بدهد.

در نظر داشته باشید برای اینکه احراز هویت چندعاملی کار کند، متودها باید برای اعتبارسنجی حقوق کاربری باید متفاوت باشند. پس چنانچه سرویسی از کاربر خواست به جای یک پسورد دو پسورد را وارد کند (یا فرضاً یک پسورد و پاسخ به سوال محرمانه) این را نمی‌شود 2FA دانست زیرا متود اعتبارسنجی (دانش) دو بار اعمال شده.

چرا به احراز هویت دوعاملی نیاز است؟

احراز هویت چندعاملی توصیه می‌شود زیرا شخصاً هر متود اعتبارسنجی ضعف‌های خود را دارد. برای مثال آگاهی از برخی اطلاعات می‌تواند متود خوبی باشد اما فقط اگر اطلاعات را خود کاربر بداند و به هیچ‌وجه نشود از منبع دیگری آن‌ها را پیدا کرد. اما کمتر این سناریو پیش می‌آید: کاربر باید پسوردی را تایپ کند که به اینترنت منتقل شده. همچنین شاید آن‌ها ذخیره‌اش کرده باشند زیرا هیچکس همه پسوردهای اکانت‌های خود را یادش نمی‌ماند. این برای رهگیری و سرقت راه را باز می‌کند. افزون بر این، پسورد بالاخره در یکی از طرف‌های سرویس آنلاین ذخیره می‌شود (و از همانجا ممکن است نشت کند). و اگر برای چندین سرویس از یک پسورد واحد استفاده می‌کنید (متأسفانه بسیاری هنوز این کار را انجام می‌دهند) پس همه این اکانت‌ها در معرض هک قرار دارند. همین مسئله برای متودهای دیگر تأییده نیز صادق است. فاکتور مالکیت هم ایده‌آل نیست چون آیتم شما (کلید، گوشی یا کارت بانکی) ممکن است سرقت شود. ژئولوکیشن هم به خودی خود هیچ‌چیز را تأیید نمی‌کند: البته که در همان لحظه و مکان افراد دیگری هم وجود دارند (مگر آنکه روی تکه یخی وسط اقیانوس منجمد شمالی باشید!). شاید فاکتور دارایی ذاتی فقط بتواند تا حدی مطمئن تلقی شود که برای همین هم است گاهی به عنوان تم عامل احراز استفاده می‌شود. اما باز هم جزئیاتی در موردش وجود دارد. بگذارید مفهوم احراز هویت چندعاملی را توضیح دهیم: هرقدر تعداد فاکتورهای مختلف بیشتر باشد بیشتر احتمال دارد فردی که تلاش دارد به اکانت دسترسی پیدا کند در واقع این حق را داشته باشد.

پس احراز هویت دوعاملی به دلیلی ساده‌ای ایده‌ی خوبیست: سرویس می‌داند شما، خودتان هستید و اکانت شما سخت‌تر هک می‌شود.

چطور از احرازگر دو عاملی باید استفاده کرد؟

در مقاله‌ای جداگانه انواع مختلف 2FA را بررسی خواهیم کرد اما مقاله حاضر را با چند توصیه جمع‌بندی می‌کنیم:

•         مطمئن شوید احراز هویت دوعاملی برای همه سرویس‌هایی که آن را ارائه می‌دهند فعال شده است.
•         تا حد امکان، کدهای یکبار مصرف اپ احرازگر را به عنوان متود 2FA انتخاب کنید. و برای اکانت‌های بسیار باارزش از کلید سخت‌افزاری  FIDO U2F استفاده کنید.
•         اگر گزینه‌های بالا در دسترس نباشند، هر روش دیگری همچنان بسیار بهتر از نداشتن فاکتور دوم خواهد بود.
•         یادتان باشد 2FA نمی‌تواند با فیشینگ کیفیت بالا مبارزه کند (البته اگر کلیدهای FIDO U2F باشند این مسئله مهارشدنی است). پس هر بار، پیش از وارد کردن کد مطمئن شوید در وبسایت واقعی قرار دارید و نه وبسایت جعلی.
•         از راهکار امنیتی مطمئنی با محافظت فیشینگ درون‌سازه‌ای مانند کسپرسکی پریمیوم استفاده کنید.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.