بهبود امنیت آنلاین با احراز هویت دومرحله‌ای گوگل

shape
shape
shape
shape
shape
shape
shape
shape
  • دی ۳۰, ۱۳۹۵

قطعا شما هم دوست ندارید تا اکانت‌های آنلاینتان هک شود. پس بهترین کار فعال کردن احرازهویت دومرحله‌ای (۲FA) است. احرازهویت دومرحله‌ای یک اقدام امنیتی مهم است که برای واردشدن به اکانت‌تان از دستگاهی دیگر، یک کد دیگر (علاوه بر پسورد) از شما می‌خواهد. در این پست توضیح خواهیم داد که چه‌طور از یک اپلیکیشن موبایل برای امن‌تر شدن اکانت خود استفاده کنید.
متاسفانه پسوردها دیگر به طرز ناامیدکننده‌ای ضعیف و یک اقدام امنیتی شکننده هستند. این‌ حرف که با قوی‌تر کردن پسورد به نوعی امنیت آنلاین شما بالا می‌رود یک فریب است. حتا اگر یک پسورد خیلی خیلی قوی داشته باشید که تایپ‌کردن آن ۵ دقیقه زمان بگیرد، باز هم ممکن است همان‌طور که بارها اتفاق افتاده به علت ضعف امنیتی سروری که پسوردتان در آن قرارگرفته است، هک شوید. حتا با سیاست‌های معقولی که درنظر گرفته می‌شود( پیچیدگی، تغییر منظم و غیرتکراری بودن پسورد) افراد معمولا ضعیف‌ترین حلقه در زنجیره‌ی امنیت هستند.
راه‌ حل این مشکل احرازهویت دومرحله‌ای یا ۲FA است. ( به لحاظ فنی باید به این تکنیک احرازهویت چندمرحله‌ای بگوییم اما ۲FA معمول‌ترین شکل آن است که ما هم در این پست از این نام استفاده خواهیم کرد.)
فعال کردن ۲FA برای یک سرویس نیازمندی‌های امنیتی را تغییر داده، و شما را -وقتی که برای اولین بار قصد دسترسی به سرویسی از یک دستگاه ناشناخته را دارید- وادار می‌کند تا حداقل دو مدرک برای اثبات هویت خود ارائه دهید. این دو شکل از احراز هویت می‌تواند حداقل از دو مورد از عناصر زیر تشکیل شده باشد:

  • «چیزی که شما می‌دانید». مثل پسورد یا پین.
  • «چیزی که هستید». مثل اثر انگشت یایک آی‌دی بیومتریک دیگر.
  • «چیزی که دارید». مثل یک گوشی هوشمند مطمئن که بتواند کدهای تایید را تولید و دریافت کند.
    در اغلب موارد، سیستم‌های احراز هویت دومرحله‌ای که امروزه وجود دارند از اولین مورد یعنی پسورد و از آخرین مورد یعنی گوشی هوشمند استفاده می‌کنند. گوشی‌ هوشمندی که تقریبا همه‌جا با شما هست، یک وسیله‌ی امنیتی ایده‌آل به حساب می‌آید.
    گوشی هوشمند شما می‌تواند با ارائه‌ی کد منحصربه‌فردی که در کنار پسورد از آن استفاده می‌کنید به احرازهویت کمک کند. شما آن کد را می‌توانید به دو روش به‌دست آورید: به عنوان یک پیام متنی که سرویس مورد نظر آن را می‌فرستد، یا تولید آن توسط اپلیکیشنی که روی گوشی نصب شده است.
    به عنوان مثال، در این‌جا وقتی سعی کنیم به حساب کاربری جیمیل از مرورگری که قبلا از آن استفاده نکرده‌ایم وارد شویم با این پیغام مواجه می‌شویم:

If someone tries to sign in to an account protected by 2FA, they’ll need the code from the authenticator app

 

اگر این درخواست ورود از طرف شخصی باشد که اطلاعات کاربری حساب گوگل شما را دزدیده باشد، در این مرحله متوقف می‌شود. بدون آن کد، او نمی‌تواند فرایند ورود را ادامه دهد.
اصولا گزینه‌ی استفاده از اپ Authenticator به دریافت پیام متنی یا SMS از طرف اپراتورهای تلفن ترجیح دارد چون آن کد بدون واسطه به شما می‌رسد.
محبوب‌ترین اپلیکیشن ۲FA اپ گوگل Authenticator است که برای اندروید و آی‌اواس موجود است. اما اگر هم از پلتفرم دیگری استفاده می‌کنید مشکلی وجود ندارد. چون فرایند تولید این توکن‌های امن بر مبنای استانداردهای باز است و هر کسی می‌تواند یک اپ احرازهویت بنویسد که همان عملکرد را داشته باشد.
قابل ذکر است که یک اپ احرازهویت فقط هنگام نصب اولیه به اتصال داده نیاز دارد. بعد از آن همه چیز در دستگاه شما رخ میدهد. در واقع دستگاه شما مثل یک ماشین حساب ویژه عمل می‌کند تا کد مورد نظر را بر مبنای زمان جاری در دستگاه شما و رمز اشتراکی[۱] تولید کند. سرویس آنلاین هم از همان رمز و برچسب زمان خودش استفاده می کند تا کد تولیدی را با کد شما مقایسه کند. هر دو طرف قابلیت تنظیم مناطق زمانی را دارند بدون این که به مشکل بر بخورند. بدیهی است که اگر زمان دستگاه شما اشتباه باشد کد تولید شده نیز اشتباه خواهد بود.

برای شروع اپ گوگل را در گوشی موبایل خود نصب کنید:

  • و یا اگر از ویندوز فون استفاده می‌کنید می‌توانید اپ احرازهویت مایکروسافت را دانلود و نصب کنید که از همان استانداردها برای تولید کد استفاده می‌کند.
  • همچنین اپ بلکبری نیز موجود است.

بعد از این‌که اپلیکیشن را روی دستگاه خود نصب کردید، مرحله‌ی بعدی تنظیم همه اکانت‌هایی است که ۲FA را برای آن فعال کرده‌اید. البته همه‌ی سرویس ها این شکل از ۲FA را پشتیانی نمی‌کنند. ولی بسیاری از آن‌ها مثل اکانت‌های گوگل، مایکروسافت، فیسبوک و دراپ‌باکس با این مکانیزم به‌خوبی کار می‌کنند. نرم افزار مدیریت پسورد LastPass هم با این استاندارد کار می‌کند. توییتر حداقل تا این لحظه فقط با کدهای برپایه‌ی SMS کار می‌کند و فعلا از اپ احرازهویت پشتیبانی نمی‌کند. سرویس‌های وب آمازون استفاده از توکن‌های TOTP تولید شده با اپ گوگل و دیگر اپ‌های استاندارد را پشتیبانی می‌کند. مایکروسافت Azure و نسخه‌‌ی سازمانی آفیس ۳۶۵ از یک فرایند ۲FA مشابه استفاده می‌کنند اما نیازمند اپ دیگری هستند که برای دستگاه‌های ویندوزفون، اندروید و آی‌اواس در دسترس هستند.

فرایند نصب از شما می‌خواهد تا رمز اشتراکی را توسط اپ موبایل وارد کنید. همه سه اپ موبایلی که در بالا فهرست کردیم از دوربین گوشی‌هوشمند شما می‌توانند برای اسکن کد QR استفاده کنند. کد QR حاوی یک کد منحصر‌به‌فرد برای اکانت شمااست. که البته از این‌که بخواهید یک کد پیچیده را به صورت دستی وارد کنید بسیار راحت‌تر است.
به عنوان مثال عکس زیر کد QR تولید شده به هنگم نصب یک حساب کاربری تستی مایکروسافت است. اگر روی علامت + کلیک کنید می‌توانید اکانت دیگری اضافه نمایید. گزینه‌ی بارکد را انتخاب کنید، کد QR تولید شده توسط سرویس مورد نظر خود را با گوشی اسکن کنید و صبر کنید تا اپ، اطلاعات اکانت شما را اضافه کند.

بعد از این که اکانت خود را روی اپلیکیشن نصب کردید شروع به تولید کدهایی بر اساس رمز اشتراکی و زمان جاری می‌کند. برای تکمیل روند نصب، کد تولید شده توسط اپ را وارد کنید.
دفعه‌ی بعد که سعی کنید از دستگاه یا مرورگر جدیدی وارد اکانت خود شوید بعد از وارد کردن پسورد، سرویس شما کد تولید شده با اپ را نیز از شما می‌پرسد. اگر از نرم‌افزارهایی مثل outlook یا thunderbird استفاده می‌کنید، پسورد نرمال شما دیگر کار نخواهد کرد. شما باید پسورد ویژه‌ای را تولید کنید که بتواند با این نرم‌افزارها کار کند. برای راهنمایی در این مورد به تنظیمات امنیتی اکانت خود مراجعه کنید.
به عنوان بخشی از فرایند نصب ۲FA شما باید یک یا چند کد دیگر برای ریکاوری تولید کنید و آن را درجایی پیش خود نگه دارید تا مواقعی که به گوشی خود دسترسی ندارید یا آن را گم کرده‌اید بتوانید به اکانت خود دسترسی داشته باشید. همچنین اگر خواستید گوشی خود را عوض کنید، باید اپ گوگل را بر روی گوشی جدید نصب کنید و مراحل نصب را برای تمام اکانت‌هایی را که در گوشی قبلی خود داشتید انجام دهید.
احرازهویت دومرحله‌ای بیشترِ حمله‌های اتفاقی را در نطفه خفه خواهد کرد. البته این مکانیزم کاملا بدون نقص نیست؛ یک نفوذگر مصمم که مستقیما اکانت خاصی را مورد هدف قرار داده است ممکن است روش‌هایی بیابد که بتواند این مکانیزم را شکست دهد. به ویژه اگر بتواند ایمیل مورد استفاده برای ریکاوری را بدزدد یا تماس‌های تلفنی و SMS را به سمت تلفن تحت کنترل خود هدایت کند. ولی اگر نفوذگری تا این اندازه به فکر حمله به شما باشد، این مشکل دیگری است.
اگر همچنان سوالی داشتید با ما درمیان بگذارید.

+ منبع

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *