قطعا شما هم دوست ندارید تا اکانتهای آنلاینتان هک شود. پس بهترین کار فعال کردن احرازهویت دومرحلهای (۲FA) است. احرازهویت دومرحلهای یک اقدام امنیتی مهم است که برای واردشدن به اکانتتان از دستگاهی دیگر، یک کد دیگر (علاوه بر پسورد) از شما میخواهد. در این پست توضیح خواهیم داد که چهطور از یک اپلیکیشن موبایل برای امنتر شدن اکانت خود استفاده کنید.
متاسفانه پسوردها دیگر به طرز ناامیدکنندهای ضعیف و یک اقدام امنیتی شکننده هستند. این حرف که با قویتر کردن پسورد به نوعی امنیت آنلاین شما بالا میرود یک فریب است. حتا اگر یک پسورد خیلی خیلی قوی داشته باشید که تایپکردن آن ۵ دقیقه زمان بگیرد، باز هم ممکن است همانطور که بارها اتفاق افتاده به علت ضعف امنیتی سروری که پسوردتان در آن قرارگرفته است، هک شوید. حتا با سیاستهای معقولی که درنظر گرفته میشود( پیچیدگی، تغییر منظم و غیرتکراری بودن پسورد) افراد معمولا ضعیفترین حلقه در زنجیرهی امنیت هستند.
راه حل این مشکل احرازهویت دومرحلهای یا ۲FA است. ( به لحاظ فنی باید به این تکنیک احرازهویت چندمرحلهای بگوییم اما ۲FA معمولترین شکل آن است که ما هم در این پست از این نام استفاده خواهیم کرد.)
فعال کردن ۲FA برای یک سرویس نیازمندیهای امنیتی را تغییر داده، و شما را -وقتی که برای اولین بار قصد دسترسی به سرویسی از یک دستگاه ناشناخته را دارید- وادار میکند تا حداقل دو مدرک برای اثبات هویت خود ارائه دهید. این دو شکل از احراز هویت میتواند حداقل از دو مورد از عناصر زیر تشکیل شده باشد:
- «چیزی که شما میدانید». مثل پسورد یا پین.
- «چیزی که هستید». مثل اثر انگشت یایک آیدی بیومتریک دیگر.
- «چیزی که دارید». مثل یک گوشی هوشمند مطمئن که بتواند کدهای تایید را تولید و دریافت کند.
در اغلب موارد، سیستمهای احراز هویت دومرحلهای که امروزه وجود دارند از اولین مورد یعنی پسورد و از آخرین مورد یعنی گوشی هوشمند استفاده میکنند. گوشی هوشمندی که تقریبا همهجا با شما هست، یک وسیلهی امنیتی ایدهآل به حساب میآید.
گوشی هوشمند شما میتواند با ارائهی کد منحصربهفردی که در کنار پسورد از آن استفاده میکنید به احرازهویت کمک کند. شما آن کد را میتوانید به دو روش بهدست آورید: به عنوان یک پیام متنی که سرویس مورد نظر آن را میفرستد، یا تولید آن توسط اپلیکیشنی که روی گوشی نصب شده است.
به عنوان مثال، در اینجا وقتی سعی کنیم به حساب کاربری جیمیل از مرورگری که قبلا از آن استفاده نکردهایم وارد شویم با این پیغام مواجه میشویم:
If someone tries to sign in to an account protected by 2FA, they’ll need the code from the authenticator app
اگر این درخواست ورود از طرف شخصی باشد که اطلاعات کاربری حساب گوگل شما را دزدیده باشد، در این مرحله متوقف میشود. بدون آن کد، او نمیتواند فرایند ورود را ادامه دهد.
اصولا گزینهی استفاده از اپ Authenticator به دریافت پیام متنی یا SMS از طرف اپراتورهای تلفن ترجیح دارد چون آن کد بدون واسطه به شما میرسد.
محبوبترین اپلیکیشن ۲FA اپ گوگل Authenticator است که برای اندروید و آیاواس موجود است. اما اگر هم از پلتفرم دیگری استفاده میکنید مشکلی وجود ندارد. چون فرایند تولید این توکنهای امن بر مبنای استانداردهای باز است و هر کسی میتواند یک اپ احرازهویت بنویسد که همان عملکرد را داشته باشد.
قابل ذکر است که یک اپ احرازهویت فقط هنگام نصب اولیه به اتصال داده نیاز دارد. بعد از آن همه چیز در دستگاه شما رخ میدهد. در واقع دستگاه شما مثل یک ماشین حساب ویژه عمل میکند تا کد مورد نظر را بر مبنای زمان جاری در دستگاه شما و رمز اشتراکی[۱] تولید کند. سرویس آنلاین هم از همان رمز و برچسب زمان خودش استفاده می کند تا کد تولیدی را با کد شما مقایسه کند. هر دو طرف قابلیت تنظیم مناطق زمانی را دارند بدون این که به مشکل بر بخورند. بدیهی است که اگر زمان دستگاه شما اشتباه باشد کد تولید شده نیز اشتباه خواهد بود.
برای شروع اپ گوگل را در گوشی موبایل خود نصب کنید:
- برای گوشیهای اندرویدی از گوگل پلی استور.
- برای گوشیهای آیفون و آیپد از اپ استور.
- و یا اگر از ویندوز فون استفاده میکنید میتوانید اپ احرازهویت مایکروسافت را دانلود و نصب کنید که از همان استانداردها برای تولید کد استفاده میکند.
- همچنین اپ بلکبری نیز موجود است.
بعد از اینکه اپلیکیشن را روی دستگاه خود نصب کردید، مرحلهی بعدی تنظیم همه اکانتهایی است که ۲FA را برای آن فعال کردهاید. البته همهی سرویس ها این شکل از ۲FA را پشتیانی نمیکنند. ولی بسیاری از آنها مثل اکانتهای گوگل، مایکروسافت، فیسبوک و دراپباکس با این مکانیزم بهخوبی کار میکنند. نرم افزار مدیریت پسورد LastPass هم با این استاندارد کار میکند. توییتر حداقل تا این لحظه فقط با کدهای برپایهی SMS کار میکند و فعلا از اپ احرازهویت پشتیبانی نمیکند. سرویسهای وب آمازون استفاده از توکنهای TOTP تولید شده با اپ گوگل و دیگر اپهای استاندارد را پشتیبانی میکند. مایکروسافت Azure و نسخهی سازمانی آفیس ۳۶۵ از یک فرایند ۲FA مشابه استفاده میکنند اما نیازمند اپ دیگری هستند که برای دستگاههای ویندوزفون، اندروید و آیاواس در دسترس هستند.
فرایند نصب از شما میخواهد تا رمز اشتراکی را توسط اپ موبایل وارد کنید. همه سه اپ موبایلی که در بالا فهرست کردیم از دوربین گوشیهوشمند شما میتوانند برای اسکن کد QR استفاده کنند. کد QR حاوی یک کد منحصربهفرد برای اکانت شمااست. که البته از اینکه بخواهید یک کد پیچیده را به صورت دستی وارد کنید بسیار راحتتر است.
به عنوان مثال عکس زیر کد QR تولید شده به هنگم نصب یک حساب کاربری تستی مایکروسافت است. اگر روی علامت + کلیک کنید میتوانید اکانت دیگری اضافه نمایید. گزینهی بارکد را انتخاب کنید، کد QR تولید شده توسط سرویس مورد نظر خود را با گوشی اسکن کنید و صبر کنید تا اپ، اطلاعات اکانت شما را اضافه کند.
بعد از این که اکانت خود را روی اپلیکیشن نصب کردید شروع به تولید کدهایی بر اساس رمز اشتراکی و زمان جاری میکند. برای تکمیل روند نصب، کد تولید شده توسط اپ را وارد کنید.
دفعهی بعد که سعی کنید از دستگاه یا مرورگر جدیدی وارد اکانت خود شوید بعد از وارد کردن پسورد، سرویس شما کد تولید شده با اپ را نیز از شما میپرسد. اگر از نرمافزارهایی مثل outlook یا thunderbird استفاده میکنید، پسورد نرمال شما دیگر کار نخواهد کرد. شما باید پسورد ویژهای را تولید کنید که بتواند با این نرمافزارها کار کند. برای راهنمایی در این مورد به تنظیمات امنیتی اکانت خود مراجعه کنید.
به عنوان بخشی از فرایند نصب ۲FA شما باید یک یا چند کد دیگر برای ریکاوری تولید کنید و آن را درجایی پیش خود نگه دارید تا مواقعی که به گوشی خود دسترسی ندارید یا آن را گم کردهاید بتوانید به اکانت خود دسترسی داشته باشید. همچنین اگر خواستید گوشی خود را عوض کنید، باید اپ گوگل را بر روی گوشی جدید نصب کنید و مراحل نصب را برای تمام اکانتهایی را که در گوشی قبلی خود داشتید انجام دهید.
احرازهویت دومرحلهای بیشترِ حملههای اتفاقی را در نطفه خفه خواهد کرد. البته این مکانیزم کاملا بدون نقص نیست؛ یک نفوذگر مصمم که مستقیما اکانت خاصی را مورد هدف قرار داده است ممکن است روشهایی بیابد که بتواند این مکانیزم را شکست دهد. به ویژه اگر بتواند ایمیل مورد استفاده برای ریکاوری را بدزدد یا تماسهای تلفنی و SMS را به سمت تلفن تحت کنترل خود هدایت کند. ولی اگر نفوذگری تا این اندازه به فکر حمله به شما باشد، این مشکل دیگری است.
اگر همچنان سوالی داشتید با ما درمیان بگذارید.
- برچسب ها:
- گوگل