احراز هویت دو‌ عاملی صرافی (2FA) چیست؟

احراز هویت دو‌ عاملی (2FA) که گاهی اوقات به‌عنوان تایید دومرحله‌ای یا احراز هویت دو‌ عاملی نیز شناخته‌ می‌شود، یک فرایند امنیتی است که در آن کاربران دو عامل احراز هویت مختلف را برای تایید خود ارائه ‌می‌دهند.

2FA برای محافظت بهتر از اعتبار کاربران و منابعی که کاربر‌ می‌تواند به آن‌ها دسترسی داشته باشد، اجرا‌ می‌شود. احراز هویت دو‌ عاملی امنیت بالاتری نسبت به روش‌‌های احراز هویت تک عاملی (SFA)، ارائه ‌می‌دهد که در آن کاربر تنها یک عامل را ارائه ‌می‌دهد، مانند پین کد یا رمز عبور.

روش‌‌های احراز هویت دو‌ عاملی متکی بر ‌این است که کاربر یک رمز عبور را به‌عنوان اولین عامل انتخاب ‌می‌کند و عامل دوم را متمایز ‌می‌کند که معمولاً یا یک کد امنیتی یا یک عامل بیومتریک مانند اثر انگشت یا اسکن صورت و غیره است.

احراز هویت دو‌ عاملی با ایجاد یک لایه جدید امنیتی، دسترسی برای مهاجمان به دستگاه‌‌های شخصی یا حساب‌‌های آنلاین را بسیار دشوارتر ‌می‌کند؛ زیرا حتی اگر رمز قربانی هک شده باشد، گذرواژه به تنهایی برای احراز هویت کافی نیست.

احراز هویت دو‌ عاملی مدت‌ها است که برای کنترل دسترسی به سیستم‌ها و داده‌‌های حساس استفاده‌ می‌شود. ارائه دهندگان خدمات آنلاین به‌طور فزاینده‌ای از 2FA برای محافظت از اطلاعات کاربران خود در برابر استفاده هکر‌‌هایی که پایگاه داده رمز عبور را سرقت کرده‌اند یا از کمپین‌‌های فیشینگ برای به‌دست آوردن گذرواژه‌‌های کاربر استفاده کرده‌اند، محافظت ‌می‌کند.

عوامل احراز هویت چیست؟

چندین روش وجود دارد که به‌وسیله آن‌ها می‌توان با استفاده از بیش از یک روش شناسایی، احراز هویت کرد. در‌حال‌ حاضر، اکثر روش‌های احراز هویت به عواملی مانند رمز عبور سنتی متکی هستند، در حالی که روش‌‌های احراز هویت دو‌ عاملی، عامل مالکیت یا یک عامل ذاتی را اضافه ‌می‌کنند.

عوامل احراز هویت که به ترتیب تقریبی برای محاسبه ذکر شده‌اند، شامل موارد زیر است:

• عامل دانش چیزی است که کاربر ‌می‌داند، مانند گذرواژه، شماره شناسایی شخصی (PIN) یا برخی دیگر از اسرار مشترک.
• عامل تصاحب چیزی است که کاربر مانند کارت شناسایی، رمز امنیتی، دستگاه تلفن همراه یا برنامه تلفن هوشمند برای تایید درخواست‌‌های احراز هویت دارد.
• یک عامل بیومتریک، که به‌عنوان یک عامل ذاتی نیز شناخته‌ می‌شود، چیزی است که در جسم فیزیکی کاربر وجود دارد.‌این‌ها ممکن است ویژگی‌‌های شخصی نگاشته شده از ویژگی‌‌های فیزیکی باشند، مانند تأیید اثر انگشت از طریق خواننده اثر انگشت. سایر عوامل ذاتی که معمولاً مورد استفاده قرار‌ می‌گیرند عبارت‌اند از: تشخیص چهره و صدا یا بیومتریک رفتاری، مانند پویایی فشار کلید، راه رفتن یا الگو‌های گفتار و در حالت پیشرفته‌تر اسکن چشم و DNA خون.
• فاکتور مکان معمولاً با مکانی که تلاش برای انجام احراز هویت از آن صورت‌ می‌گیرد، مشخص ‌می‌شود. کاربر ‌می‌تواند احراز هویت را به دستگاه‌‌های خاص در یک مکان مشخص محدود کند. ‌این‌ کار یا با ردیابی منبع جغرافیایی یک تلاش برای احراز هویت، از طریق شناسایی پروتکل‌ اینترنت (IP) یا اطلاعات موقعیت جغرافیایی، مانند داده‌‌های سیستم موقعیت یابی جهانی (GPS) که از تلفن همراه کاربر یا دستگاه دیگر صادر ‌می‌شود استفاده کند.
•  عامل زمان، احراز هویت کاربر را به یک پنجره زمانی خاص محدود‌ می‌کند که ورود به آن مجاز است و دسترسی به سیستم خارج از آن بازه زمانی را محدود ‌می‌کند.

اکثریت قریب به اتفاق روش‌‌های احراز هویت دو‌ عاملی بر سه عامل احراز هویت بالا تکیه‌ می‌کنند، اگرچه سیستم‌‌هایی که نیاز به امنیت بیشتری دارند، ممکن است از آن‌ها برای اجرای احراز هویت چند عاملی (MFA) استفاده کنند که‌ می‌تواند برای شناسایی امن‌تر به دو یا چند اعتبار مستقل تکیه کند.

احراز هویت دو‌ عاملی چگونه کار‌ می‌کند؟

فعال کردن احراز هویت دو مرحله‌ای بسته به برنامه یا سرویس‌دهنده خاص متفاوت است. با ‌این حال، فرایند‌های احراز هویت دو‌ عاملی، شامل یک فرآیند کلی و چند مرحله‌ای است:

1. برنامه یا وب‌سایت از کاربر‌ می‌خواهد که وارد سیستم شود.
2. کاربر آنچه را که‌ می‌داند وارد‌ می‌کند (معمولاً نام کاربری و رمز عبور) سپس سرور سایت، اطلاعات وارد شده را مطابقت داده و کاربر را تشخیص ‌می‌دهد.
3. برای فرآیند‌‌هایی که نیازی به گذرواژه ندارند، وب‌سایت یک کلید امنیتی منحصر به فرد برای کاربر ‌ایجاد‌ می‌کند. ابزار احراز هویت کلید را پردازش‌ می‌کند و سرور سایت آن را تایید ‌می‌کند.
4. سپس سایت از کاربر ‌می‌خواهد مرحله دوم ورود را آغاز کند. اگرچه این مرحله‌ می‌تواند انواع مختلفی داشته باشد، اما کاربر باید ثابت کند که دارای چیزی است که فقط خودش ‌می‌تواند داشته باشد، مانند بیومتریک، رمز امنیتی، کارت شناسایی، تلفن هوشمند یا سایر دستگاه‌‌های تلفن همراه.‌این عامل در گروه ذاتی یا مالکیت است.
5. ممکن است کاربر مجبور شود یک کد یک‌بارمصرف ایجاد‌شده را در مرحله چهارم را وارد کند.
6. پس از ارائه هر دو عامل، کاربر احراز هویت‌ می‌شود و به برنامه یا وب‌سایت دسترسی پیدا می‌کند.

عناصر احراز هویت دو‌ عاملی

احراز هویت دو مرحله‌ای نوعی MFA است. از نظر فنی، هر زمان که دو عامل احراز هویت برای دسترسی به سیستم یا سرویس لازم باشد، MFA مورد استفاده قرار ‌می‌گیرد. با این‌حال، استفاده از دو عامل از یک گروه 2FA را تشکیل نمی‌دهد. به عنوان مثال، نیاز به رمز عبور و یک راز مشترک هنوز SFA در نظر گرفته ‌می‌شود زیرا هر دو به در گروه اطلاعاتی قرار می‌گیرد که کاربر خودش می‌داند.

در مورد خدمات SFA، نام کاربری و گذرواژه شامل امن‌ترین‌ها نیستند. یکی از مشکلات احراز هویت مبتنی بر گذرواژه‌ این است که برای ایجاد و به‌خاطر سپردن گذرواژه‌‌های قوی به دانش و کوشش نیاز دارد. گذرواژه‌ها در برابر بسیاری از تهدید‌ها نیاز به محافظت دارند.

عواملی مانند یادداشت‌‌های فیزیکی یا دیجیتالی ذخیره شده با اعتبار ورود به سیستم، هارد دیسک‌‌های قدیمی‌ و سوء استفاده‌‌های مهندسی اجتماعی از این دسته هستند. گذرواژه‌ها نیز طعمه تهدید‌های خارجی هستند، مانند هکرها که از انواع حملات، فرهنگ لغت (dictionary) یا‌ میز رنگین‌کمان (rainbow table) استفاده ‌می‌کنند.

با توجه به زمان و منابع کافی، مهاجم معمولا می‌تواند سیستم‌‌های امنیتی مبتنی بر رمز عبور را شکسته و داده‌‌های شرکت را سرقت کند. گذرواژه‌ها به دلیل هزینه کم، سهولت اجرا و آشنایی، رایج‌ترین شکل SFA باقی مانده‌اند.

بسته به نحوه پیاده‌سازی، موارد متعدد در زمان ورود به سیستم، ‌می‌توانند امنیت بیشتری را ارائه دهند و روش‌های تأیید بیومتریک مستقل نیز می‌توانند روش مطمئن‌تری از SFA ارائه دهند.

انواع محصولات احراز هویت دو‌ عاملی

دستگاه‌ها و خدمات مختلفی برای اجرای 2FA وجود دارد. از نشانه‌ها تا کارت‌‌های شناسایی فرکانس رادیویی (RFID) تا برنامه‌‌های تلفن‌‌های هوشمند.

محصولات احراز هویت دو‌ عاملی را‌ می‌توان به دو دسته تقسیم کرد:

• نشانه‌‌‌هایی که به کاربران داده ‌می‌شود تا هنگام ورود به سیستم از آن‌ها استفاده کنند.
• زیرساخت یا نرم‌افزاری که دسترسی کاربرانی که از توکن‌‌های خود استفاده ‌می‌کنند را تشخیص داده و احراز هویت ‌می‌کنند.

نشانه‌‌های احراز هویت ممکن است دستگاه‌‌های فیزیکی مانند کلید‌های فاب یا کارت‌‌های هوشمند باشند یا ممکن است در نرم‌افزار به عنوان برنامه‌‌های تلفن همراه یا تبلت وجود داشته باشند که کد‌‌های PIN را برای احراز هویت تولید‌ می‌کنند.‌

این کد‌های احراز هویت، که به‌عنوان گذرواژه‌‌های یک‌بارمصرف (OTP) نیز شناخته‌ می‌شوند، معمولاً توسط یک سرور‌ ایجاد‌ می‌شوند و‌ می‌توانند توسط یک دستگاه یا برنامه احراز هویت معتبر شناخته شوند. کد احراز هویت یک دنباله کوتاه است که به یک دستگاه، کاربر یا حساب خاص مرتبط است و تنها یک‌بار ‌می‌تواند به عنوان بخشی از فرایند احراز هویت مورد استفاده قرار گیرد.

سازمان‌ها باید سیستمی ‌را برای شناسایی، پردازش و اجازه یا عدم دسترسی به احراز هویت کاربران با نشانه‌‌های خود ایجاد کنند.‌این ممکن است در قالب نرم‌افزار سرور یا سرور سخت‌افزاری اختصاصی به کار گرفته شود و همچنین توسط یک فروشنده شخص ثالث به‌عنوان خدمات ارائه شود.

یکی از جنبه‌‌های مهم 2FA اطمینان از دسترسی کاربر تایید شده به تمام منابعی است که کاربر برای آن‌ها تعریف کرده است و فقط به آن منابع دسترسی دارد. در نتیجه، یکی از عملکرد‌های کلیدی 2FA پیوند دادن سیستم احراز هویت با داده‌‌های احراز هویت یک سازمان است. مایکروسافت برخی از زیرساخت‌‌های لازم را برای سازمان‌ها را به 2FA مجهز کرده است.

برای مثال در Windows 10 از طریق Windows Hello، که ‌می‌تواند با حساب‌‌های Microsoft کار کند. همچنین احراز هویت کاربران از طریق Microsoft Active Directory، Azure AD یا Fast IDentity Online یا (FIDO) را فراهم‌ کرده است.

نشانه‌‌های سخت‌افزاری 2FA چگونه کار‌ می‌کنند

ابزار‌های سخت‌افزاری برای 2FA در دسترس هستند که از روش‌‌های مختلف احراز هویت پشتیبانی ‌می‌کنند. یکی از توکن‌های سخت‌افزاری محبوب YubiKey است، یک دستگاه (Universal Serial Bus (USB که از رمزگذاری و احراز هویت کلید عمومی OTP استفاده می‌کند. این توکن به وسیله پروتکل Universal 2nd Factor، توسط اتحاد FIDO توسعه یافته است. توکن‌‌های YubiKey توسط Yubico Inc، مستقر در پالو آلتوی کالیفرنیا به فروش ‌می‌رسند.

هنگامی‌که کاربران با YubiKey وارد سرویس آنلاین پشتیبانی از  OTP‌ می‌شوند، مانند Gmail، GitHub یا WordPress، YubiKey خود را در درگاه USB دستگاه خود وارد‌ کرده و رمز عبور خود را وارد ‌می‌کنند. در قسمت YubiKey کلیک کرده و YubiKey را لمس‌ می‌کنند، YubiKey یک OTP تولید‌ می‌کند و آن را در قسمت موردنظر وارد‌ می‌کند.

OTP یک رمز عبور 44 کاراکتری و یک‌بارمصرف است. 12 کاراکتر اول یک شناسه منحصربه‌فرد است که نشان‌دهنده کلید امنیتی ثبت شده در حساب است. 32 کاراکتر باقیمانده حاوی اطلاعاتی هستند که با استفاده از کلیدی که فقط در دستگاه و سرور‌های Yubico شناخته شده است، رمزگذاری‌ می‌شوند، که در هنگام ثبت‌نام اولیه حساب‌ ایجاد شده است.

OTP از سرویس آنلاین برای بررسی احراز هویت به Yubico ارسال ‌می‌شود. پس از تأیید اعتبار OTP، سرور احراز هویت Yubico پیامی ‌را ارسال‌ می‌کند که تأیید‌ می‌کند ‌این نشانه مناسب برای ‌این کاربر است. با انجام این مراحل 2FA کامل می‌شود، کاربر دو عامل احراز هویت ارائه کرده است: رمز عبور عامل دانش است و YubiKey عامل مالکیت است.

احراز هویت دو مرحله‌ای برای دستگاه‌‌های تلفن همراه

تلفن‌‌های هوشمند قابلیت‌‌های مختلف 2FA را ارائه‌ می‌دهند و شرکت‌ها را قادر ‌می‌سازند تا گزینه‌ای را انتخاب کنند که برای آن‌ها بهترین عملکرد را دارد. برخی از دستگاه‌ها‌ می‌توانند اثرانگشت را تشخیص دهند، از دوربین داخلی برای تشخیص چهره یا اسکن عنبیه استفاده کنند و از میکروفون برای تشخیص صدا استفاده کنند.

تلفن‌‌های هوشمند مجهز به GPS‌، می‌توانند مکان را به عنوان یک عامل اضافی تایید کنند. سرویس صوتی یا پیام کوتاه (SMS) نیز ممکن است به عنوان کانالی برای احراز هویت مورد استفاده قرار گیرد.

از یک شماره تلفن معتبر ‌می‌توان برای دریافت کد‌های تایید از طریق پیام کوتاه یا تماس تلفنی خودکار استفاده کرد. برای ثبت‌نام در تلفن همراه 2FA، کاربر باید حداقل یک شماره تلفن مورد اعتماد را تایید کند.

iOS اپل، اندروید گوگل و ویندوز 10 همگی دارای برنامه‌‌‌هایی هستند که از 2FA پشتیبانی ‌می‌کنند و خود تلفن را قادر ‌می‌سازند تا به عنوان دستگاه فیزیکی برای تایید مالکیت کاربر عمل کند.

مجموعه Duo Security، مستقر در شهر آن‌بور ایالت ‌میشیگان، توسط سیسکو در سال 2018 به قیمت 2.35 ‌میلیارد دلار خریداری شده است دارای پلتفرمی ‌است که مشتریان را قادر‌ می‌سازد از دستگاه‌‌های مورد اعتماد خود برای 2FA استفاده کنند.

پلتفرم Duo ابتدا تأیید ‌می‌کند که یک کاربر مورد اطمینان است قبل از اینکه دستگاه تلفن همراه را بتوان به‌عنوان یک عامل احراز هویت مورد اعتماد قرار داد.

برنامه‌‌های احراز هویت نیاز به دریافت کد تایید از طریق متن، تماس صوتی یا ایمیل را جایگزین ‌می‌کند. به عنوان مثال، برای دسترسی به وب‌سایت یا سرویس مبتنی بر وب که از Google Authenticator پشتیبانی‌ می‌کند، کاربران نام کاربری و رمز عبور خود را وارد ‌می‌کنند که یک عامل دانش (شخصی) است. 

سپس از کاربران خواسته ‌می‌شود که یک عدد شش رقمی ‌وارد کنند. به‌جای این‌که مجبور شوند چند ثانیه برای دریافت پیام متنی، نرم‌افزار احراز هویت کننده شماره را برای آن‌ها‌ ایجاد ‌می‌کند.‌ این اعداد هر 30 ثانیه تغییر‌ می‌کنند و برای ورود به هر برنامه و یا سایت متفاوت است.

با وارد کردن کد صحیح، کاربران مراحل تایید را تکمیل‌ می‌کنند و مالکیت دستگاه صحیح توسط سیستم تشخیص داده می‌شود.

سایر محصولات 2FA اطلاعاتی در مورد حداقل سیستم مورد نیاز برای پیاده‌سازی 2FA ارائه ‌می‌دهند.

اعلان‌های فشار (push notification) برای 2FA

اعلان فشار، احراز هویت بدون رمز است که با ارسال یک پیام مستقیم به یک برنامه ‌ایمن در دستگاه کاربر، به کاربر هشدار ‌می‌دهد که تلاشی برای ورود به حساب کاربری او در حال انجام است. کاربر‌ می‌تواند جزئیات این اقدام به ورود را مشاهده کند و دسترسی را تایید یا رد کند.

به‌طورمعمول، تنها با انتخاب یک گزینه این فرایند انجام می‌شود. اگر کاربر درخواست احراز هویت را تایید کند، سرور آن درخواست را دریافت‌ و کاربر را به برنامه وب وارد‌ می‌کند ( برای مثال شما ایمیل خود را در تلفن همراه خود ثبت کرده‌اید).

اگر شخصی بخواهد با استفاده از دستگاه دیگری وارد ایمیل شما شود، شما به‌صورت خودکار یک پیام دریافت می‌کنید و اگر این اقدام به ورود از جانب خود شما صورت نگرفته باشد می‌توانید دسترسی آن را رد کرده و امنیت حساب خود را بررسی کنید).

اعلان‌های فشار با تایید ‌اینکه دستگاه ثبت شده در سیستم احراز هویت، معمولاً دستگاه تلفن همراه در اختیار کاربر است، احراز هویت ‌می‌کند. اگر مهاجم دستگاه را در اختیار داشته باشد، اعلان‌های فشار نیز به خطر ‌می‌افتد. اعلان‌های فشار تهدید‌‌هایی مانند حملات هکر‌ها، دسترسی غیرمجاز و حملات مهندسی اجتماعی را حذف‌ می‌کند.

در حالی که اعلان‌های فشار از سایر روش‌‌های احراز هویت امن‌تر هستند، هنوز خطرات امنیتی وجود دارد. به‌عنوان مثال، کاربران ‌می‌توانند به‌طور تصادفی درخواست احراز هویت جعلی را تایید کنند زیرا عادت کرده اند هنگام دریافت اعلان‌های فشار، روی تأیید ضربه بزنند.

آیا احراز هویت دو مرحله‌ ای امن است؟

در حالی که احراز هویت دو‌ عاملی امنیت را بهبود‌ می‌بخشد، طرح‌‌های 2FA را در جایگاه بالایی از جزء ایمن‌سازی قرا نمی‌دهند. به عنوان مثال، توکن‌های سخت‌افزاری به امنیت صادر کننده یا سازنده بستگی دارند.

یکی از مهم‌ترین موارد یک سیستم دو‌عاملی آسیب‌دیده در سال 2011 رخ داد که شرکت امنیتی RSA Security گزارش داد که توکن‌‌های احراز هویت SecurID آن هک شده است.

خود فرآیند بازیابی حساب نیز هنگامی ‌که از آن برای شکستن احراز هویت دو‌ عاملی استفاده‌ می‌شود، ‌می‌تواند برعکس شود، زیرا اغلب رمز عبور فعلی کاربر را بازنشانی ‌می‌کند و یک گذرواژه موقت برای آن ‌ایمیل ‌می‌کند تا با دور زدن فرایند 2FA، کاربر دوباره وارد سیستم شود. حساب‌‌های تجاری Gmail مدیر عامل Cloudflare به‌این روش هک شد.

اگرچه 2FA مبتنی بر پیام کوتاه روشی ارزان و آسان برای پیاده سازی و کاربر پسند است، اما در برابر حملات متعدد آسیب‌پذیر است. موسسه ملی استاندارد و فناوری (NIST) در نشریه ویژه 800-63-3: راهنمای هویت دیجیتالی از استفاده از پیامک در خدمات 2FA دلسرد شده است.

NIST نتیجه گرفت که OTP‌‌‌هایی که از طریق پیامک ارسال ‌می‌شوند به دلیل حملات قابل‌حمل شماره تلفن همراه، حملات علیه شبکه تلفن همراه و بدافزار‌‌هایی که‌ می‌توانند برای رهگیری یا هدایت پیام‌‌های متنی مورد استفاده قرار گیرند، بسیار آسیب‌پذیر هستند.

آینده احراز هویت

محیط‌‌‌هایی که نیاز به امنیت بالاتری دارند ممکن است به احراز هویت سه عاملی علاقه‌مند شوند، که معمولاً شامل در اختیار داشتن یک نشان فیزیکی و رمز عبور مورد استفاده در ارتباط با داده‌‌های بیومتریک، مانند اسکن اثر انگشت یا اثر صدا‌ هست.

عواملی مانند موقعیت جغرافیایی، نوع دستگاه، زمان و ساعت نیز برای تعیین ‌اینکه ‌آیا کاربر باید احراز هویت شود یا مسدود شود استفاده‌ می‌شود. علاوه براین، شناسه‌‌های بیومتریک رفتاری، مانند فشار دادن کلید توسط کاربر، سرعت تایپ و حرکات ماوس، نیز می‌توانند به‌صورت محرمانه در زمان واقعی نظارت شوند تا به‌جای یک‌بار تأیید هویت یک‌بار در هنگام ورود، احراز هویت مداوم ارائه شود.

تکیه‌بر گذرواژه‌ها به‌عنوان روش اصلی احراز هویت درحالی‌که رایج است، اما اغلب دیگر امنیت یا تجربه کاربری موردنیاز شرکت‌ها و کاربران آن‌ها را بر‌آورده نمی‌کند. حتی اگر ابزار‌های امنیتی قدیمی، مانند ادمین رمز عبور و MFA، سعی در حل مشکلات نام کاربری و گذرواژه‌ها داشته باشند، آن‌ها به معماری اساسا منسوخ پایگاه داده رمز عبور وابستگی دارند.

در نتیجه، بسیاری از سازمان‌ها به احراز هویت بدون رمز روی آورده‌اند. استفاده از روش‌‌‌هایی مانند بیومتریک و پروتکل‌‌های ‌ایمن کاربران را قادر ‌می‌سازد تا بدون نیاز به وارد کردن گذرواژه، خود را در برنامه‌‌ها به‌طور‌ ایمن احراز هویت کنند.

در تجارت، ‌این بدان معناست که کارکنان ‌می‌توانند بدون نیاز به وارد کردن گذرواژه به محیط کار خود دسترسی داشته باشند و فناوری اطلاعات همچنان کنترل کامل را در ورود به سیستم حفظ ‌می‌کند. استفاده از بلاک‌چین به‌عنوان مثال، از طریق هویت غیرمتمرکز یا هویت مستقل، به‌عنوان جایگزینی برای روش‌های تأیید هویت سنتی مورد توجه قرار گرفته است.