روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در یکی از مقاله‌های قبلی با شما از ماهیت احراز هویت دوعاملی گفتیم و توضیح دادیم چرا بدان نیاز داریم. به طور خلاصه، این یک مکانیزم اعتبارسنجی دسترسی است که بر دو متود احراز مختلف مهم بستگی متکی است. کاربران برای محافظت قابل‌اطمینان‌تر از اکانت‌های خود به احراز هویت دو عاملی نیاز دارند: گرچه هر متود احراز به طورجداگانه آسیب‌پذیر است اما دو یا بیش از دو متود که با هم استفاده شوند نفوذ به اکانت برای مهاجمین به مراتب سخت‌تر خواهد شد. در این مقاله مشخصاً به گزینه‌های احراز هویت چندعاملیِ موجود و مزایا و معایبشان پرداختیم و برای امن نگه داشتن اکانت‌های شما مطمئن‌ترین‌های آن‌ها را معرفی کرده‌ایم. با ما همراه بمانید.

کدهای یکبار مصرف تحویل‌ داده‌شده با اسم‌ام‌اس، ایمیل با تماس صوتی

یکی از رایج‌ترین مکانیزم‌های احراز هویت دوعاملی برای اعتبارسنجی sign in، کدهای یکبار مصرف هستند. اینها معمولاً در پیام متنی به شماره‌ تلفن مشخص‌شده در طول رجیستر ارسال می‌شوند. ایمیل هم برای این منظور می‌تواند استفاده شود اما کمتر محبوب است. اکثر سرویس‌ها همچنین گزینه تماس صوتی را برای شماره تلفن مشخص شده در رجیستر ارائه می‌دهند. فرقی ندارد از چه کانال ارسالی این امر میسر می‌شود، به هر حال ایده یکسان است: تأیید توانایی خود برای دسترسی به حساب یا شماره تلفن دیگری که هنگام ثبت نام برای سرویس مشخص کرده‌اید. بنابراین، اگر شخصی رمز عبور شما را سرقت کند در حالی که به تلفن شما دسترسی ندارد، این محافظت به خوبی کار خواهد کرد.

اما مکانیزم احراز هویت دوعاملی معایب خود را نیز دارد. اگر ایمیل برای تأیید لاگین استفاده شود و پسورد برای لاگین همانی پسوردی باشد که برای اکانتی که سعی دارید از آن محافظت کنید استفاده کرده‌اید امنیت‌تان بسیار محدود خواهد بود. مهاجمی که پسورد اکانت را بداند مطمئناً از همان پسورد برای وارد شدن به ایمیل‌تان نیز استفاده خواهد کرد- و بدین‌ترتیب کد اعتبارسنجی یکبار مصرف را نیز دریافت می‌کند. اعتبارسنجی از طریق شماره تلفن –خواه با sms خواه با تماس صوتی- مشکلات مجزای خود را دارد: خیلی راحت می‌شود دسترسی به آن را از دست داد. برخی اوقات کاربران براحتی یادشان می‌رود اکانت گوشی خود را اضافه کنند یا گوشی‌شان را گم می‌کنند و یا شماره را تغییر می‌دهند. همچنین بین مهاجمین شایع است که اپراتورهای مخابراتی را قانع می‌کنند بهشان سیم‌کارت با شماره تلفن قربانی را بدهند و بدین‌ترتیب به کدهای اعتبارسنجی دست پیدا می‌کنند. همچنین پیام‌های متنی هم می‌توانند رهگیری شوند- چنین مواردی از قبل هم گزارش شده است.

خلاصه: این گزینه احراز هویت دوعاملی ترتیب همه کارها را می‌دهد اما برای محافظت از باارزش‌ترین اکانت‌ها –خصوصاً آن‌هایی که به بخش مالی مربوط می‌شوند- بهتر است از گزینه‌های مطمئن‌تر استفاده کرد.

پسورد به عنوان عامل دوم

گاهی اوقات رمز اولین عامل نیست بلکه عامل دوم است. این همان کاری است که پیام‌رسان‌ها اغلب انجام می‌دهند: به طور پیش فرض برای ورود به سیستم کافی است کد یکبار مصرف پیامک را وارد کنید. رمز عبور معمولا اختیاری است. اما به نظر ما این اختیاری نیست بلکه  ضروری است: شما را در برابر یک سری مشکلات احتمالی در یک حرکت محافظت می‌کند. مهمتر از همه، مکاتبات شما را در برابر از دست دادن تصادفی دسترسی به شماره تلفنی که برای ثبت نام در واتس اپ یا تلگرام استفاده کرده‌اید محافظت می‌کند. فرض کنید شماره تلفن اصلی خود را تغییر داده‌ سیم کارت قدیمی خود را در کشو گذاشته‌اید و برای مدت طولانی هزینه آن را پرداخت نکرده‌اید. اپراتور شماره شما را پس از مدتی مجدداً می‌فروشد، در نتیجه مالک جدید را قادر می‌سازد تا با نام شما به پیام‌رسان وارد شود - البته، مگر اینکه علاوه بر این با رمز عبور محافظت شود. و مطمئناً رمز عبور حداقل اندکی از حساب پیام‌رسان شما در برابر هکرهایی که - به هر طریقی - به شماره تلفن شما دسترسی پیدا کرده اند محافظت می‌کند.

فهرست از پیش تولیدشده‌ی کدهای یکبار مصرف

گزینه دیگر، لیستی است از کدهای یکبارمصرفِ از پیش‌تعیین‌شده. بانک‌ها گاهی نین فهرست‌هایی را به کلاینت‌های خود برای تأیید تراکنش‌هایشان می‌دهند و این درحالیست که برخی خدمات اینترنتی (مانند گوگل) اجازه می‌دهند آن‌ها برای ریکاوری اکانت مورد استفاده قرار گیرند. این می‌تواند مکانیزم مطمئنی تلقی شود: چنین کدهایی خیلی خیلی به ندرت به کاربر منتقل می‌شوند پس فرصت کمی برای رهگیری وجود دارد. کدها رندوم هستند و این یعنی آن‌ها منحصر به فردند. بنابراین حدس زدنشان تقریباً غیرممکن است. اما اینجا بحث ذخیره پیش کشیده می‌شود: اگر مهاجمین سعی داشته باشند فهرست کدهای از پیش تولیدشده‌ی شما را سرقت کنند، سرقت اکانت شما یا دزدیدن پول از آن به شدت آسان خواهد بود. از این رو کدهای تأیید یکبار مصرف باید در یک استرانگ‌باکس[1] یا همتای الکترونیکی‌اش ذخیره شود. برای مثال در Kaspersky Password Manager یادداشت‌های رمزگذاری‌شده وجود دارد. اگر فهرست کدهای یکبارمصرف را در این یادداشت‌ها ذخیره کنید به طور مطمئنی مورد محافظت قرار خواهند گرفت. البته که باید برای خود مدیر کلمه عبور کسپرسکی هم مستر پسوردِ خوب و منحصر به فردی بگذارید. با این حال تنها ایراد اصلی چنین متود احراز هویتی این است که اگر اغلب به اعتبارسنجی‌ها نیاز داشته باشید به سرعت کدهای از پیش‌تولید شده‌تان تمام خواهند شد. این یعنی مجبور خواهید بود کدهای بیشتر و بیشتری را تولید و ذخیره کنید. اگر چندین اکانت دارید براحتی با این همه لیست گیج خواهید شد. از این رو، کدهای از پیش تولیدشده به عنوان متود اصلی احراز جای خود را به کدهای از پیش‌ تولیدشده‌ با درخواست (به محض نیازتان) داده‌اند.

کدهای یکبارمصرف از اپ احرازگر

تولید «در همان حینِ[2]» کدهای یکبار مصرف نیز توسط احرازگرها انجام می‌شود. اینها گاهی دستگاه‌های قائم به ذات هستند با اسکرین کوچک که کد فعلی را نماش می‌دهد- برخی بانک‌ها به کلاینت‌های خود احرازگرهایی این چنینی ارائه می‌دهند. اما این روزها اپ‌های احرازگر خاص که روی اسمارت‌فون‌ها اجرا می‌شوند از آن دستگاه‌های جداگانه محبوب‌ترند. بنابراین اگر به دنبال اطلاعاتی در مورد نحوه عملکرد این روش احراز هویت، نحوه انتخاب یک برنامه احراز هویت، و مواردی که پس از تهیه آن باید در نظر داشته باشید، هستید می‌توانید لینک‌های زیر را دنبال کنید:

• Authenticator apps and how they work
• Best authenticator apps for Android, iOS, Windows and macOS
• Authentication with one-time codes: pros and cons
• What to do if you lose your phone with an authenticator app

ضمناً به اختصار توضیح دهیم که برنامه های احراز هویت یک مبادله بهینه بین راحتی و امنیت ارائه می‌دهند و محبوبیت‌شان را بیشتر و بیشتر کرده است.

بیومتریک: اثر انگشت، چهره و صدا

چندی پیش، برای اکثر مردم، احراز هویت بیومتریک چیزی عجیب و غریب بود. با این حال، همه چیز به سرعت تغییر کرد: اکثر گوشی‌های هوشمند اکنون توانایی احراز هویت با اثر انگشت یا تشخیص چهره را دارند - و جای تعجب نیست. اما برخی از روش‌های بیومتریک می‌توانند شما را غیرعادی نشان دهند: احراز هویت مبتنی بر عادت صدا، عنبیه، راه رفتن و تایپ. در مورد اصلی ترین آنها، می‌توانیم تحقیقی در مورد احراز هویت مبتنی بر بو را یادآور شویم (اگرچه خیلی خوب کار نمی‌کند)! احراز هویت بیومتریک چند اِشکال جدی دارد. اول: تمام ویژگی‌هایی که بر آن تکیه می‌کند، ویژگی های دائمی کاربر است. شما می‌توانید یک رمز عبور در معرض خطر را تغییر دهید - حتی می‌توانید چندین بار به خاطر ایمنی این کار را انجام دهید. اما اثر انگشت ثبت‌شده را می‌توان تنها چند بار تغییر داد - تلاش ها را می‌توان به معنای واقعی کلمه روی انگشتان دو دست شمارش کرد.

دومین مسئله مهم این است که داده‌های بیومتریک بسیار حساس هستند - هم به دلیل غیرقابل تغییر بودن و هم به این دلیل که نه تنها امکان احراز هویت یک کاربر، بلکه شناسایی یک شخص را نیز فراهم می‌کند. بنابراین جمع‌آوری و انتقال این داده‌ها به خدمات دیجیتال باید با احتیاط کامل انجام شود. به همین دلیل است که داده‌های بیومتریک معمولاً برای احراز هویت محلی استفاده می‌شوند: برای جلوگیری از انتقال آن‌ها در هر نقطه، روی دستگاه ذخیره و پردازش می‌شوند. برای احراز هویت بیومتریک از راه دور، سرویس دیجیتال باید به فروشنده دستگاه اعتماد کند، کاری که سرویس‌ها معمولاً نمی‌خواهند انجام دهند. نتیجه نهایی: تنها اپل دارای مکانیزم احراز هویت بیومتریک از راه دور با ارزش کامل است، زیرا این شرکت کنترل کامل اکوسیستم خود را در دست دارد - از توسعه نرم افزار تا ساخت دستگاه.

اما احراز هویت بیومتریک یک مزیت مهم دارد که به همه معایبش می‌چربد: اگر درست پیاده‌سازی شود زندگی کاربرانش را بسیار آسان می‌کند: هیچ تایپی نیاز نخواهد بود فقط انگشت حسگر را فشار داده یا صورت رو دوربین نمایش داده می‌شود. این مطمئن نیز هست (البته تکرار می‌کنیم: اگر به درستی راه‌اندازی و پیاده‌سازی شود).

لوکیشن

یکی دیگر از انواع احراز هویت کاربر مکان یا لوکیشن است. لازم نیست این روش را فعال کنید: به طور پیش‌فرض روشن است. به همین دلیل است که معمولاً مورد توجه قرار نمی‌گیرد و فقط در صورت ناموفق بودن به فرد هشدار داده می‌شود: یعنی اگر تلاش برای ورود به سیستم از مکانی باشد که سرویس انتظارش را نداشت. در این صورت ممکن است سرویس نیاز به استفاده از یک روش تأیید اضافی داشته باشد.

البته مکان یک فاکتور احراز هویت چندان قابل اعتماد نیست. اولاً، خیلی منحصر به فرد نیست: افراد زیادی در هر زمان می توانند در همان مکان باشند. ثانیاً، دستکاری آن بسیار آسان است، به خصوص زمانی که از مکان مبتنی بر IP صحبت می‌شود - موقعیت جغرافیایی GPS مناسب نیست. با این حال، مکان می‌تواند به عنوان یکی از فاکتورهای احراز هویت استفاده شود و بسیاری از سرویس ها این کار را انجام می‌دهند.

کلیدهای سخت‌افزاری FIDO U2F (یا همان YubiKey)

گزینه‌های احراز هویت فوق‌الذکر یک نقطه ضعف عمده دارند: آنها اجازه احراز هویت کاربر را می‌دهند، اما نه سرویس. همین آن‌ها را در معرض حمله مرد میانی (MitM) قرار می‌دهد. مهاجمین باید پیج جعلی که درست مکانیزم sign in را عین سرویس واقعی تقلید می‌کند بسازند. وقتی کاربر لاگین و پسورد را وارد کرد مجرمان فوراً از آن‌ها برای ورود به وبسایت واقعی استفاده می‌کنند. کد اعتبارسنجی دومین چیزی خواهد بود که از کاربر خواسته می‌شود ارائه دهد و بالافاصله از همان برای تسخیر اکانت قربانی استفاده می‌شود. برای مدیریت این نوع تهدیدها، کلیدهای FIDO U2F ساخته شدند (همچنین به آن‌ها YubiKey هم می‌گویند که در واقع اسم محبوب‌ترین مدل این کلیدهاست). مزیت اصلی این متود: در طول رجیستر سرویس و کلید  U2F هر دو برخی اطلاعات که برای هر سرویس و نیز هر کاربر منحصر به فرد است به یاد می‌آورند. در ادامه پروسه احراز، سرویس باید درخواست خاصی را به کلید بفرستد که کلید فقط اگر درخواست صحیح باشد بدان پاسخ خواهد داد. از این رو هر دو طرف این تعامل متوجه خواهند شد امور قانونی پیش رفته است یا خیر. افزون بر این، این مکانیزم احراز هویت مبتنی بر کریپتوگرافی باز کلید است پس کل پروسه بخوبی در مقابل جعل، رهگیری و تهدیدهای مشابه محافظت می‌شود.

یک مزیت دیگر علاوه بر این: حتی اگر این فناوری نسبتاً پیچیده باشد و از رمزنگاری هاردکور "زیر کاپوت" استفاده کند، همه چیز در ظاهر بسیار ساده به نظر می‌رسد - از دیدگاه کاربر. کافی است کلید را به یک سوکت USB وصل کنید (یا آن را روی گوشی هوشمند خود نگه دارید - چنین کلیدهایی اغلب از NFC پشتیبانی می‌کنند) و یک پد حسگر روی کلید را با انگشت خود لمس کنید تا احراز هویت کامل شود. استفاده از کلیدهای سخت افزاری U2F مطمئن‌ترین روش احراز هویت موجود امروزی و یک گزینه توصیه شده برای حساب های ارزشمند است. این همان کاری است که آنها در Google انجام می دهند: همه کارمندان شرکت اکنون بیش از پنج سال است که از چنین کلیدهایی برای حساب های شرکتی خود استفاده می کنند.

مهاجمان می توانند با تقلید از مکانیسم ورود به سیستم سرویس واقعی، یک صفحه جعلی بسازند. هنگامی که کاربر لاگین و رمز عبور خود را ارسال می کند، مجرمان به سرعت از آنها برای ورود به وب سایت واقعی استفاده می کنند. کد تأیید بعدی چیزی است که از کاربر خواسته می شود ارائه کند - و در کوتاه مدت از آن برای کنترل حساب قربانی استفاده می شود. برای مقابله با این نوع تهدیدات، کلیدهای FIDO U2F ساخته شدند که با نام محبوب ترین مدل آنها - YubiKey نیز شناخته می شود. مزیت اصلی این روش در این واقعیت است که در هنگام ثبت نام، سرویس و کلید U2F اطلاعات خاصی را به خاطر می آورند که برای هر سرویس و همچنین هر کاربر منحصر به فرد است. بعداً در حین احراز هویت، سرویس باید درخواست خاصی را به کلید ارسال کند که تنها در صورت صحیح بودن این درخواست، کلید به آن پاسخ خواهد داد. بنابراین، هر دو طرف این ارتباط می‌دانند که مشروع است یا نه. علاوه بر این، این مکانیسم احراز هویت مبتنی بر رمزنگاری کلید باز است، بنابراین کل فرآیند به خوبی در برابر جعل، رهگیری و تهدیدهای مشابه محافظت می‌شود.

یک مزیت دیگر: اگرچه این فناوری نسبتاً پیچیده است و از رمزنگاری هاردکور "کمتر قابل رؤیت" استفاده می‌کند، از دیدگاه کاربر همه چیز در ظاهر بسیار ساده به نظر می‌رسد. کافی است کلید را به یک سوکت USB وصل کنید (یا آن را روی گوشی هوشمند خود نگه دارید - چنین کلیدهایی اغلب از NFC پشتیبانی می‌کنند) و یک پد حسگر روی کلید را با انگشت خود لمس کنید تا احراز هویت کامل شود. استفاده از کلیدهای سخت افزاری U2F مطمئن‌ترین روش احراز هویت موجود امروزی و یک گزینه توصیه شده برای اکانت‌های ارزشمند است. این همان کاری است که آنها در Google انجام می‌دهند: همه کارمندان شرکت اکنون بیش از پنج سال است که از چنین کلیدهایی برای حساب های شرکتی خود استفاده می‌کنند.

کلیدهای عبور Fido

ساده نیست اما هنوز ممکن است کاری کرد همه کارمندان سازمان‌تان را مجاب کنید از کلیدهای سخت‌افزاری برای احراز هویت استفاده کنند. با این حال این متود هنوز برای میلیون‌ها کاربر اینترنت معمولی مناسب نیست. مردم معمولی اغلب از ایده احراز هویت دوعاملی اذیت می‌شوند چه برسد به اینکه بخواهند برای تجهیزات خاص پول دهند. برای همین است FIDO Alliance سازنده کلیدهای  U2F استاندارد جدید احراز را که از کلیدهای عبور به جای پسوردها استفاده می‌کنند توسعه داده است. به بیان ساده، این فناوری همان فناوری به کاررفته در کلیدهای U2F است با این تفاوت که برای ذخیره داده احراز به دستگاه خاصی نیاز ندارید. می‌توانید تقریباً همه‌جا کلیدهای عبور را ذخیره کنید- اسمارت‌فون، کامپیوتر، پروفایل کاربری در مرورگر یا –روش قدیمی‌اش کلید یواس‌بی. می‌توانید انتخاب کنید آن‌ها را با کلود همگام‌سازی کنید و یا اصلاً همگام‌سازی را برایشان فعال نکنید (اگر حالت کد عبور منحصر به فرد مد نظرتان است).

بدیهی است که این فهرست طولانی از گزینه‌های ذخیره‌سازی، امنیت کلیدهای عبور را تا حدودی کمتر می‌کند. چقدر کمتر؟ این بستگی به ترکیبی از تجهیزات و خدماتی دارد که استفاده می‌کنید. برای جبران، کاربران از این مزیت ارزشمند برخوردار می شوند: کلیدهای عبور تکمیل کننده رمزهای عبور حساب نیستند، بلکه آنها را جایگزین می‌کنند. علاوه بر این، چنین احراز هویتی هنوز هم چند عاملی است: علاوه بر داشتن دستگاهی که برای ذخیره کلیدهای عبور خود استفاده می‌شود، باید ورود به سیستم را با استفاده از بیومتریک (اگر ابزار شما از آن پشتیبانی می‌کند) یا پین تأیید کنید تا قفل دستگاه خود را باز کنید.  همانطور که می‌بینید، در برخی موارد نمی‌توانید به طور کامل بدون رمز عبور بروید، اما حداقل کلیدهای عبور تعداد آنها را بسیار کاهش می‌دهد. مشکل کلیدی این ابتکار این است که تاکنون مانند یک لحاف چهل تکه شده است. پلتفرم ها و سرویس‌های مختلف از رویکردهای بسیار متفاوتی برای ذخیره سازی داده‌ها، احراز هویت کاربر و امنیت به طور کلی استفاده می‌کنند. بنابراین به جای تنها یک روش، از تعدادی روش مختلف استفاده می‌شود که از نظر قابلیت اطمینان بسیار متفاوت است. بنابراین تغییر کامل به کلیدهای عبور کمی زود است. اما می‌توانید از قبل با آن‌ها آزمایش کنید: چندی پیش گوگل پشتیبانی کامل از کلیدهای عبور توسط حساب‌های Google را اعلام کرد، بنابراین در صورت علاقه، هر کسی می‌تواند نحوه عملکرد آن را در زندگی واقعی ببیند.

کدام متود احراز هویت دوعاملی بهتر است؟ (و چند نکته که باید در ذهن داشت)

اگر بخواهیم نتیجه‌گیری کنیم باید به این نکات کلیدی بپردازیم:

•         در سال 2023، احراز هویت دوعاملی دیگر یک تجمل محسوب نمی‌شود بلکه یک الزام است. تا حد امکان از آن استفاده کنید.
•         هر متود احراز هویت دوعاملی بهتر از این است که از هیچ متودی استفاده نکنید.
•         اپ‌های احرازگر برای احراز هویت دو طرفه بهینه هستند.
•         کلید سخت‌افزاری  FIDO U2F- یا همان Yubico YubiKey، گوگل تیتان و ... حتی گزینه‌های بهتری هم هستند. خصوصاً برای اکانت‌هایی با ارزش بالا.
•         شما می‌توانید از قبل با کلیدهای عبور آزمایش‌هایی انجام دهید اما به نظر می‌رسد هنوز برای پذیرش کامل این فناوری زود است.
•         از این رو هنوز مهم است با احتیاط از پسوردها استفاده کنید: به دنبال پسوردهای پیچیده باشید و برای چندین سرویس آن‌ها را مجدداً استفاده نکنید. همچنین با استفاده از مدیر کلمه عبور آن‌ها را امن نگه دارید.
•         و البته، یادتان نرود بیشتر متودهای احراز دو عاملی (به غیر از کلیدهای عبور و U2F) در معرض فیشینگ هستند. از این جهت باید از راهکار ممطئنی استفاده کنید که خودکار این تهدید را از بین می‌برند (مانند کسپرسکی پریمیوم).

[1]Strong box، گاوصندوق

[2] On the fly

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.