احراز هویت دو مرحله ای (Two-Factor Authentication – 2FA) که گاهی به عنوان احراز هویت دو مرحله ای یا احراز هویت دوگانه نیز شناخته می شود، یک فرآیند امنیتی است که در آن کاربران دو عامل احراز هویت متفاوت را برای تأیید هویت خود ارائه می دهند.
هدف از اجرای احراز هویت دو مرحله ای، محافظت بهتر از اعتبارنامه های کاربران و منابع قابل دسترسی آنها است. این روش سطح امنیتی بالاتری نسبت به روش های احراز هویت یک مرحله ای (SFA) ارائه می دهد، جایی که کاربران تنها یک عامل، معمولاً یک رمز عبور یا کد، را ارائه می دهند. روش های احراز هویت دو مرحله ای به یک رمز عبور به عنوان اولین عامل و یک عامل متفاوت دیگر، مانند یک توکن امنیتی یا عامل بیومتریک (اثر انگشت یا اسکن چهره) به عنوان عامل دوم تکیه می کنند.
احراز هویت دو مرحله ای یک لایه امنیتی اضافی به فرآیند احراز هویت اضافه می کند و دسترسی مهاجمان به دستگاه ها یا حساب های آنلاین کاربران را دشوارتر می سازد؛ زیرا حتی اگر رمز عبور قربانی فاش شود، رمز عبور به تنهایی برای عبور از بررسی احراز هویت کافی نیست.
احراز هویت دو مرحله ای مدت ها است که برای کنترل دسترسی به سیستم ها و داده های حساس مورد استفاده قرار می گیرد. ارائه دهندگان خدمات آنلاین به طور فزاینده ای از این روش برای محافظت از اعتبارنامه های کاربران در برابر هکرها استفاده می کنند، به ویژه در مواردی که پایگاه داده های رمز عبور سرقت شده یا از حملات فیشینگ بهره برداری می شود.
عوامل احراز هویت
روش های مختلفی برای احراز هویت افراد با استفاده از بیش از یک روش وجود دارد. امروزه بیشتر روش های احراز هویت به عوامل دانشی، مانند رمز عبور سنتی، متکی هستند؛ در حالی که روش های احراز هویت دو مرحله ای یک عامل دانشی به همراه یکی از عوامل دارایی یا وراثتی اضافه می کنند.
عوامل احراز هویت به ترتیب حدودی پذیرش در حوزه محاسبات عبارتند از:
- عامل دانشی: چیزی که کاربر می داند، مانند رمز عبور، شماره شناسایی شخصی (PIN) یا یک نوع راز مشترک دیگر.
- عامل دارایی: چیزی که کاربر دارد، مانند کارت شناسایی، توکن امنیتی، تلفن همراه یا اپلیکیشن گوشی هوشمند برای تأیید درخواست احراز هویت.
- عامل بیومتریک (وراثتی): ویژگی های ذاتی کاربر، مانند اثر انگشت یا اسکن چهره که از طریق یک دستگاه خوانش اثر انگشت تأیید می شود. سایر عوامل وراثتی رایج شامل تشخیص چهره و صدا یا بیومتریک های رفتاری مانند دینامیک ضربه زدن به کلید، نحوه راه رفتن یا الگوهای گفتاری هستند.
- عامل مکانی: معمولاً بر اساس موقعیت مکانی است که از آن تلاش برای احراز هویت صورت می گیرد. این عامل می تواند با محدود کردن تلاش های احراز هویت به دستگاه های خاص در یک مکان خاص یا با ردیابی منبع جغرافیایی تلاش برای احراز هویت بر اساس آدرس پروتکل اینترنت (IP) یا سایر اطلاعات مکان یابی جغرافیایی مانند داده های سیستم موقعیت یابی جهانی (GPS) حاصل از تلفن همراه کاربر یا دستگاه دیگر، اجرا شود.
- عامل زمانی: تلاش های احراز هویت کاربر را به یک بازه زمانی خاص محدود می کند و دسترسی به سیستم را خارج از آن بازه زمانی محدود می سازد.
اکثر روش های احراز هویت دو مرحله ای به سه عامل اول تکیه می کنند، اگرچه سیستم هایی که امنیت بیشتری نیاز دارند، می توانند برای احراز هویت ایمن تر از احراز هویت چند عاملی (MFA) استفاده کنند که می تواند به دو یا چند اعتبار مستقل متکی باشد.
احراز هویت دو مرحله ای چگونه کار می کند؟
اجرای احراز هویت دو مرحله ای بسته به برنامه یا فروشنده خاص متفاوت است، اما فرآیندهای احراز هویت دو مرحله ای به طور کلی شامل مراحل زیر می شوند:
- ورود به برنامه یا وب سایت: کاربر توسط برنامه یا وب سایت برای ورود به سیستم هدایت می شود.
- ورود نام کاربری و رمز عبور: کاربر چیزی را که می داند وارد می کند، معمولاً نام کاربری و رمز عبور. سپس سرور وب سایت تطابق را پیدا می کند و کاربر را شناسایی می کند.
- تولید کلید امنیتی: برای فرآیندهایی که به رمز عبور نیاز ندارند، وب سایت یک کلید امنیتی منحصربه فرد برای کاربر تولید می کند. ابزار احراز هویت کلید را پردازش می کند و سرور وب سایت آن را تأیید می نماید.
- تأیید عامل دوم: سپس وب سایت از کاربر می خواهد که مرحله دوم ورود را آغاز کند. اگرچه این مرحله می تواند به اشکال مختلف انجام شود، کاربر باید ثابت کند که چیزی را دارد که فقط او می تواند داشته باشد، مانند بیومتریک، توکن امنیتی، کارت شناسایی، گوشی هوشمند یا دستگاه موبایل دیگر. این مرحله شامل عامل وراثتی یا دارایی است.
- وارد کردن کد یکبار مصرف: سپس ممکن است کاربر نیاز به وارد کردن کد یکبار مصرفی داشته باشد که در مرحله چهارم تولید شده است.
- دسترسی به برنامه یا وب سایت: پس از ارائه هر دو عامل، کاربر احراز هویت شده و دسترسی به برنامه یا وب سایت داده می شود.
اجزای احراز هویت دو مرحله ای
احراز هویت دو مرحله ای نوعی احراز هویت چند عاملی (MFA) است. از نظر فنی، هر زمان که دو عامل احراز هویت برای دسترسی به سیستم یا خدمات نیاز باشد، این روش در حال استفاده است. با این حال، استفاده از دو عامل از یک دسته به معنای واقعی احراز هویت دو مرحله ای نیست. به عنوان مثال، درخواست رمز عبور و یک راز مشترک همچنان به عنوان احراز هویت یک مرحله ای (SFA) محسوب می شود، زیرا هر دو به دسته عوامل دانشی تعلق دارند.
انواع محصولات احراز هویت دو مرحله ای
محصولات احراز هویت دو مرحله ای را می توان به دو دسته تقسیم کرد:
- توکن های ارائه شده به کاربران برای استفاده در هنگام ورود به سیستم
- زیرساخت یا نرم افزاری که دسترسی به کاربرانی که توکن ها را به درستی استفاده می کنند، تشخیص داده و احراز هویت می کند
توکن های احراز هویت ممکن است دستگاه های فیزیکی مانند کارت های هوشمند یا کلید فوب باشند یا به صورت نرم افزاری به عنوان برنامه های موبایل یا دسکتاپی وجود داشته باشند که کدهای PIN برای احراز هویت تولید کنند. این کدهای احراز هویت که به عنوان رمزهای عبور یکبار مصرف (OTP) نیز شناخته می شوند، معمولاً توسط سرور تولید می شوند و توسط دستگاه یا برنامه احراز هویت به عنوان معتبر شناخته می شوند. کد احراز هویت یک دنباله کوتاه است که به یک دستگاه، کاربر یا حساب خاص متصل می شود و فقط یکبار به عنوان بخشی از فرآیند احراز هویت استفاده می شود.
سازمان ها باید سیستمی را برای پذیرش، پردازش و اجازه یا رد دسترسی به کاربران در حال احراز هویت با توکن های خود مستقر کنند. این سیستم ممکن است به صورت نرم افزار سرور یا یک سرور سخت افزاری اختصاصی مستقر شود یا توسط یک فروشنده شخص ثالث به عنوان یک سرویس ارائه گردد.
یک جنبه مهم احراز هویت دو مرحله ای این است که کاربر احراز هویت شده به تمام منابع مورد تأیید و تنها آن منابع دسترسی داشته باشد. در نتیجه، یکی از وظایف کلیدی احراز هویت دو مرحله ای اتصال سیستم احراز هویت به داده های احراز هویت یک سازمان است.
نحوه کار توکن های سخت افزاری احراز هویت دو مرحله ای
توکن های سخت افزاری برای احراز هویت دو مرحله ای در دسترس هستند و از رویکردهای مختلفی برای احراز هویت پشتیبانی می کنند. یکی از توکن های سخت افزاری محبوب، یوبی کی (YubiKey) است، یک دستگاه کوچک USB که از رمزهای عبور یکبار مصرف، رمزنگاری کلید عمومی و احراز هویت و پروتکل دومین عامل (U2F) توسعه یافته توسط FIDO Alliance پشتیبانی می کند.
هنگامی که کاربران دارای YubiKey در یک سرویس آنلاین که از رمزهای عبور یکبار مصرف پشتیبانی می کند، مانند Gmail، GitHub یا WordPress، وارد سیستم می شوند، یوبی کی خود را در پورت USB دستگاه قرار می دهند، رمز عبور خود را وارد می کنند، روی فیلد یوبی کی کلیک می کنند و دکمه یوبی کی را لمس می کنند. یوبی کی یک رمز عبور یکبار مصرف تولید کرده و آن را در فیلد وارد می کند.
رمز عبور یکبار مصرف یک رمز عبور ۴۴ کاراکتری یکبار مصرف است؛ اولین ۱۲ کاراکتر یک شناسه منحصر به فرد هستند که نشان دهنده کلید امنیتی ثبت شده با حساب کاربر است. ۳۲ کاراکتر باقی مانده حاوی اطلاعاتی هستند که با استفاده از کلیدی که فقط دستگاه و سرورهای یوبیکو (Yubico) می شناسند، رمزنگاری شده اند.
رمز عبور یکبار مصرف از سرویس آنلاین به یوبیکو برای بررسی احراز هویت ارسال می شود. پس از تأیید رمز عبور یکبار مصرف، سرور احراز هویت یوبیکو پیامی بازمی گرداند که نشان می دهد این رمز عبور برای این کاربر صحیح است. احراز هویت دو مرحله ای کامل است. کاربر دو عامل احراز هویت را ارائه داده است: رمز عبور به عنوان عامل دانشی و یوبی کی به عنوان عامل دارایی.
احراز هویت دو مرحله ای برای دستگاه های موبایل
گوشی های هوشمند قابلیت های احراز هویت دو مرحله ای متنوعی را ارائه می دهند که به شرکت ها امکان می دهد از آنچه برایشان بهتر است، استفاده کنند. برخی از دستگاه ها می توانند اثر انگشت را شناسایی کنند، از دوربین داخلی برای تشخیص چهره یا اسکن عنبیه استفاده کنند و از میکروفون برای تشخیص صدا بهره ببرند. گوشی های هوشمند مجهز به GPS می توانند به عنوان یک عامل اضافی مکان را تأیید کنند. همچنین صدا یا سرویس پیام کوتاه (SMS) می تواند به عنوان یک کانال برای احراز هویت خارج از باند استفاده شود.
شماره تلفن مورد اعتماد می تواند برای دریافت کدهای تأیید از طریق پیام کوتاه یا تماس تلفنی خودکار استفاده شود. یک کاربر باید حداقل یک شماره تلفن مورد اعتماد را برای ثبت نام در احراز هویت دو مرحله ای موبایل تأیید کند.
اپلیکیشن های Apple iOS، Google Android و Windows 10 همگی از احراز هویت دو مرحله ای پشتیبانی می کنند و خود گوشی را به عنوان دستگاه فیزیکی برای تأیید عامل دارایی ارائه می کنند. شرکت Duo Security مستقر در آن آربور، میشیگان و خریداری شده توسط سیسکو در سال ۲۰۱۸ با مبلغ ۲.۳۵ میلیارد دلار، پلتفرمی دارد که به مشتریان امکان می دهد از دستگاه های مورد اعتماد خود برای احراز هویت دو مرحله ای استفاده کنند. پلتفرم Duo ابتدا تأیید می کند که یک کاربر مورد اعتماد است و سپس دستگاه موبایل را به عنوان یک عامل احراز هویت تأیید می کند.
اپلیکیشن های احراز هویت جایگزین نیاز به دریافت کد تأیید از طریق پیام کوتاه، تماس صوتی یا ایمیل می شوند. به عنوان مثال، برای دسترسی به یک وب سایت یا سرویس مبتنی بر وب که از Google Authenticator پشتیبانی می کند، کاربران نام کاربری و رمز عبور خود را وارد می کنند، این یک عامل دانشی است. سپس از کاربران خواسته می شود یک عدد شش رقمی وارد کنند. به جای انتظار چند ثانیه ای برای دریافت پیام کوتاه، یک اپلیکیشن احراز هویت این عدد را برای آنها تولید می کند. این اعداد هر ۳۰ ثانیه تغییر می کنند و برای هر ورود متفاوت هستند. با وارد کردن عدد صحیح، کاربران فرآیند تأیید را تکمیل کرده و مالکیت دستگاه صحیح را ثابت می کنند.
اعلانیه های فشاری برای احراز هویت دو مرحله ای
اعلانیه فشاری (Push Notification) یک احراز هویت بدون رمز عبور است که کاربر را با ارسال یک اعلان مستقیماً به یک برنامه امن در دستگاه کاربر تأیید می کند و به کاربر اطلاع می دهد که یک تلاش برای احراز هویت در حال انجام است. کاربر می تواند جزئیات تلاش برای احراز هویت را مشاهده کرده و دسترسی را با یک لمس ساده تأیید یا رد کند. اگر کاربر درخواست احراز هویت را تأیید کند، سرور درخواست را دریافت کرده و کاربر را به برنامه وب وارد می کند.
اعلانیه های فشاری کاربر را با تأیید اینکه دستگاه ثبت شده با سیستم احراز هویت در اختیار کاربر است، تأیید می کنند. اگر مهاجم دستگاه را به خطر بیندازد، اعلانیه های فشاری نیز به خطر می افتند. اعلانیه های فشاری تهدیداتی مانند حملات مرد میانی (man-in-the-middle)، دسترسی غیرمجاز و حملات مهندسی اجتماعی را از بین می برند.
آیا احراز هویت دو مرحله ای امن است؟
در حالی که احراز هویت دو مرحله ای امنیت را بهبود می بخشد، سیستم های 2FA تنها به اندازه ضعیف ترین جزء خود ایمن هستند. به عنوان مثال، توکن های سخت افزاری به امنیت صادرکننده یا سازنده وابسته اند. یکی از برجسته ترین موارد به خطر افتادن سیستم احراز هویت دو مرحله ای در سال ۲۰۱۱ رخ داد، زمانی که شرکت امنیتی RSA اعلام کرد که توکن های احراز هویت SecurID آنها هک شده است.
فرآیند بازیابی حساب نیز می تواند هنگام استفاده برای شکست احراز هویت دو مرحله ای، از کار بیفتد؛ زیرا اغلب رمز عبور فعلی کاربر را بازنشانی کرده و یک رمز عبور موقتی را برای ورود دوباره ایمیل می کند که فرآیند 2FA را دور می زند. حساب های تجاری جیمیل مدیرعامل Cloudflare به این روش هک شد.
اگرچه احراز هویت دو مرحله ای مبتنی بر پیامک ارزان قیمت، آسان برای پیاده سازی و کاربرپسند در نظر گرفته می شود، اما در برابر حملات مختلف آسیب پذیر است. موسسه ملی استاندارد و فناوری (NIST) در نشریه ویژه ۸۰۰-۶۳-۳ با عنوان دستورالعمل های هویت دیجیتال، استفاده از پیامک را در خدمات احراز هویت دو مرحله ای منع کرده است. NIST نتیجه گرفته است که رمزهای عبور یکبار مصرف ارسال شده از طریق پیامک به دلیل حملات به شبکه تلفن همراه، نرم افزارهای مخرب و حملات به جابه جایی شماره تلفن بسیار آسیب پذیر هستند.
آینده احراز هویت
محیط هایی که امنیت بالاتری نیاز دارند، ممکن است به احراز هویت سه مرحله ای علاقه مند باشند که معمولاً شامل داشتن یک توکن فیزیکی و یک رمز عبور در کنار داده های بیومتریک، مانند اسکن اثر انگشت یا تشخیص صدا، می شود. عواملی مانند مکان جغرافیایی، نوع دستگاه و زمان روز نیز برای تعیین اینکه آیا کاربر باید احراز هویت شود یا مسدود گردد، استفاده می شوند. علاوه بر این، شناسه های بیومتریک رفتاری، مانند طول کلید فشاری، سرعت تایپ و حرکات ماوس، نیز می توانند به صورت بی سروصدا و در زمان واقعی برای ارائه احراز هویت مستمر به جای یک بررسی احراز هویت در حین ورود به سیستم کنترل شوند.
اتکا به رمز عبور به عنوان روش اصلی احراز هویت، اگرچه رایج است، اما اغلب دیگر امنیت یا تجربه کاربری مورد نیاز شرکت ها و کاربرانشان را فراهم نمی کند. حتی با وجود ابزارهای امنیتی قدیمی مانند مدیر رمز عبور و احراز هویت چند عاملی که تلاش می کنند با مشکلات نام های کاربری و رمز عبور مقابله کنند، این ابزارها به یک معماری اساساً منسوخ، یعنی پایگاه داده رمز عبور، متکی هستند.
در نتیجه، بسیاری از سازمان ها به احراز هویت بدون رمز عبور روی آورده اند. استفاده از روش هایی مانند بیومتریک و پروتکل های امن به کاربران اجازه می دهد تا به طور ایمن در برنامه های خود احراز هویت کنند بدون اینکه نیاز به وارد کردن رمز عبور داشته باشند. در کسب وکار، این به این معنا است که کارکنان می توانند بدون وارد کردن رمز عبور به کار خود دسترسی داشته باشند و IT همچنان کنترل کامل در هر ورود به سیستم را حفظ می کند. استفاده از بلاک چین، به عنوان مثال از طریق هویت غیرمتمرکز یا هویت مستقل، نیز به عنوان جایگزینی برای روش های سنتی احراز هویت توجه زیادی را به خود جلب کرده است.
نکات اصلی درباره احراز هویت دو مرحله ای
مزایای احراز هویت دو مرحله ای
- افزایش امنیت: با افزودن لایه دوم احراز هویت، سرقت داده ها و دسترسی غیرمجاز به سیستم ها دشوارتر می شود. حتی اگر رمز عبور کاربر به سرقت رود، عامل دوم برای تکمیل ورود به سیستم ضروری است.
- حفاظت در برابر حملات مهندسی اجتماعی: بسیاری از حملات مهندسی اجتماعی مانند فیشینگ به سرقت رمزهای عبور متکی هستند، اما احراز هویت دو مرحله ای می تواند این خطرات را کاهش دهد.
- حفاظت از دستگاه های موبایل: استفاده از احراز هویت دو مرحله ای برای دستگاه های موبایل به محافظت از اطلاعات شخصی و حرفه ای کمک می کند.
معایب احراز هویت دو مرحله ای
- تأخیر در ورود به سیستم: افزودن یک مرحله اضافی در فرآیند ورود می تواند منجر به زمان ورود طولانی تر شود.
- وابستگی به دستگاه های خارجی: اگر توکن یا دستگاه احراز هویت خود را گم کنید یا تلفن همراهتان خراب شود، ورود به سیستم دشوار می شود.
- هزینه های اضافی: در برخی موارد، پیاده سازی احراز هویت دو مرحله ای هزینه هایی برای خرید توکن ها یا زیرساخت های مربوطه ایجاد می کند.
راهکارهای بهبود امنیت احراز هویت دو مرحله ای
- استفاده از احراز هویت چند مرحله ای (MFA): استفاده از سه یا چهار عامل احراز هویت می تواند به افزایش امنیت کمک کند.
- آموزش کاربران: به کاربران بیاموزید که چگونه توکن های امنیتی خود را مدیریت کرده و از رمزهای عبور قوی و منحصر به فرد استفاده کنند.
- جلوگیری از فیشینگ: از ابزارهای پیشرفته برای شناسایی و جلوگیری از حملات فیشینگ استفاده کنید و کاربران را به صورت مداوم آگاه کنید.
- اعتماد به توکن های سخت افزاری معتبر: توکن های سخت افزاری از شرکت های معتبر خریداری کنید و مطمئن شوید که تولیدکنندگان آنها به خوبی امنیت توکن ها را تضمین می کنند.
احراز هویت بدون رمز عبور
احراز هویت بدون رمز عبور رویکردی است که کاربران را قادر می سازد تا بدون وارد کردن رمز عبور به سیستم ها دسترسی داشته باشند. این روش با استفاده از بیومتریک، توکن های سخت افزاری و سایر فناوری های امن انجام می شود.
مزایای احراز هویت بدون رمز عبور
- تجربه کاربری بهتر: کاربران می توانند بدون وارد کردن رمز عبور به حساب های خود دسترسی پیدا کنند، که تجربه کاربری بهتری را فراهم می کند.
- کاهش خطرات امنیتی: حذف رمزهای عبور به معنای کاهش خطرات مرتبط با سرقت یا ضعف رمزهای عبور است.
- کاهش هزینه های پشتیبانی: نیازی به بازنشانی رمزهای عبور فراموش شده یا رسیدگی به مشکلات مرتبط با رمزهای عبور نیست.
چالش های احراز هویت بدون رمز عبور
- سازگاری: بسیاری از سیستم ها و برنامه های قدیمی هنوز به رمز عبور به عنوان روش اصلی احراز هویت وابسته اند.
- هزینه های اولیه: پیاده سازی زیرساخت های احراز هویت بدون رمز عبور ممکن است در ابتدا هزینه بر باشد.
- آگاهی کاربران: برخی کاربران به استفاده از رمز عبور عادت کرده اند و ممکن است نسبت به روش های جدید مقاومت نشان دهند.
نتیجه گیری
احراز هویت دو مرحله ای (2FA) و احراز هویت چند مرحله ای (MFA) به عنوان لایه های امنیتی اضافی، نقشی حیاتی در حفاظت از اطلاعات کاربران و منابع حساس ایفا می کنند. با افزایش پیچیدگی تهدیدات سایبری، سازمان ها باید از راهکارهای به روز و امنی مانند احراز هویت بدون رمز عبور یا توکن های سخت افزاری معتبر استفاده کنند. احراز هویت دو مرحله ای برای ورود به سایت یکی از موارد انجام شده در سفارش امنیت سایت است که زیرمجموعه سفارش طراحی سایت می شود. در نهایت، آموزش کاربران و ایجاد آگاهی نسبت به بهترین روش های امنیتی به اندازه پیاده سازی فناوری های پیشرفته اهمیت دارد و می تواند به بهبود امنیت کلی کمک کند.