احراز هویت دو عاملی (2FA) چیست و چرا از آن استفاده می شود؟

احراز هویت دو عاملی (2FA) که گاهی اوقات به عنوان تأیید صحت دو مرحله ای نیز شناخته می شود یک فرایند امنیتی است که در آن کاربران دو عامل احراز هویت مختلف را برای تأیید خود ارائه می دهند.

2FA برای محافظت بهتر از اعتبار کاربر و منابعی که کاربر می تواند به آنها دسترسی داشته باشد اجرا می شود. احراز هویت دو عاملی امنیت بالاتری نسبت به روشهای احراز هویت که به احراز هویت تک عاملی (SFA) بستگی دارد ارائه می دهد که در آن کاربر معمولاً تنها یک عامل که معمولاً رمز عبور است را ارائه می دهد. دو روش احراز هویت متکی بر ارائه رمز عبور توسط کاربر به عنوان اولین عامل و دومین عامل متفاوت است یعنی معمولاً یا به عنوان یک رمز امنیتی و یا یک عامل بیومتریک مانند اثر انگشت یا اسکن چهره است.

احراز هویت دو عاملی یک لایه امنیتی اضافی به فرایند احراز هویت می افزاید زیرا دسترسی مهاجمان به دستگاه ها یا حساب های آنلاین را برای مهاجمان سخت تر می کند که در این صورت حتی اگر رمز قربانی هک شده باشد تنها رمز عبور برای گذراندن احراز هویت کافی نیست.

احراز هویت دو عاملی مدت ها برای کنترل دسترسی به سیستم ها و داده های حساس استفاده می شود. ارائه دهندگان خدمات آنلاین به طور فزاینده ای از 2FA برای محافظت از اطلاعات کاربران خود در برابر استفاده هکرهایی که پایگاه داده رمز عبور را سرقت کرده اند یا از کمپین های فیشینگ برای به دست آوردن رمز عبور کاربر استفاده کرده اند محافظت می کند.

عوامل احراز هویت کدام است؟

چندین روش وجود دارد که به وسیله آنها می توان با استفاده از بیش از یک روش احراز هویت، احراز هویت کرد. در حال حاضر اکثر روش های احراز هویت به عوامل دانش مانند رمز عبور سنتی متکی هستند در حالی که روش های احراز هویت دو عاملی یا عامل مالکیت یا یک عامل ذاتی را اضافه می کنند.

عوامل احراز هویت که به ترتیب تقریبی برای محاسبه ذکر شده اند شامل موارد زیر است:

عامل دانش چیزی است که کاربر می داند مانند رمز عبور، شماره شناسایی شخصی (PIN) یا برخی دیگر از اسرار مشترک.

عامل تصاحب چیزی است که کاربر برای تأیید درخواست های احراز هویت در اختیار دارد مانند کارت شناسایی، رمز امنیتی، موبایل، یا اپلیکیشن موبایل.

عامل بیومتریک که به عنوان یک عامل ذاتی نیز شناخته می شود ، چیزی است که در خود فیزیکی کاربر ذاتی است. این ها ممکن است ویژگی های شخصی نگاشته شده از ویژگی های فیزیکی باشند مانند تأیید اثر انگشت از طریق خواننده اثر انگشت. سایر عوامل ذاتی که معمولاً مورد استفاده قرار می گیرند عبارتند از تشخیص چهره و صدا یا بیومتریک رفتاری مانند پویایی فشار کلید، راه رفتن یا الگوهای گفتار.

عامل مکان معمولاً با مکانی که تلاش برای احراز هویت از آن انجام می شود مشخص می گردد. این را می توان با محدود کردن تلاش های احراز هویت به دستگاه های خاص در یک مکان خاص یا با ردیابی منبع جغرافیایی یک تلاش احراز هویت بر اساس آدرس منبع پروتکل اینترنت یا برخی دیگر از اطلاعات جغرافیایی مانند داده های سیستم موقعیت یابی جهانی (GPS) که از اطلاعات کاربر مشتق شده است اعمال کرد.

عامل زمان احراز هویت کاربر را به یک پنجره زمانی خاص محدود می کند که ورود به آن مجاز است و دسترسی به سیستم خارج از آن پنجره را محدود می کند.

اکثریت قریب به اتفاق روش های احراز هویت دو عاملی بر سه عامل احراز هویت اول تکیه می کنند اگرچه سیستم هایی که نیاز به امنیت بیشتری دارند ممکن است از آنها برای اجرای احراز هویت چند عاملی (MFA) استفاده کنند که می تواند برای احراز هویت امن تر به دو یا چند اعتبار مستقل تکیه کند.

احراز هویت دو عاملی چگونه کار می کند؟

فعال کردن احراز هویت دو عاملی بسته به اپلیکیشن یا فروشنده خاص متفاوت است. با این حال فرآیند های احراز هویت دو عاملی شامل یک فرآیند کلی و یک فرآیند چند مرحله ای هستند:

1. اپلیکیشن یا وب سایت از کاربر می خواهد که وارد سیستم شود.

2.کاربر آنچه را که می داند وارد می کند که معمولاً نام کاربری و رمز عبور می باشد. سپس سرور سایت مطابقت پیدا کرده و کاربر را تشخیص می دهد.

3. برای فرآیندهایی که نیازی به رمزعبور ندارند وب سایت یک کلید امنیتی منحصر به فرد برای کاربر ایجاد می کند. ابزار احراز هویت کلید را پردازش می کند و سرور سایت آن را تأیید می کند.

4. سپس سایت از کاربر می خواهد مرحله دوم ورود را آغاز کند. اگرچه این مرحله می تواند انواع مختلفی داشته باشد اما کاربر باید ثابت کند که دارای چیزی است که فقط می تواند داشته باشد مانند بیومتریک، رمز امنیتی، کارت شناسایی، موبایل. این عامل ذاتی یا مالکیت است.

5. سپس ممکن است کاربر مجبور شود یک کد یک بار مصرف را در مرحله چهارم وارد کند.

6. پس از ارائه هر دو عامل کاربر احراز هویت می شود و به اپلیکیشن یا وب سایت دسترسی می یابد.

عناصر احراز هویت دو عاملی

احراز هویت دو عاملی نوعی MFA است. از نظر فنی هر زمان که دو عامل احراز هویت برای دسترسی به سیستم یا سرویس مورد نیاز است مورد استفاده قرار می گیرد. با این حال استفاده از دو عامل از یک گروه 2FA را تشکیل نمی دهد. به عنوان مثال نیاز به رمز عبور و یک رمز مشترک هنوز SFA در نظر گرفته می شود زیرا هر دو به نوع عامل احراز هویت دانش تعلق دارند.

undefined

در مورد خدمات SFA نام کاربری و رمزعبور امن ترین نیستند. یکی از مشکلات احراز هویت مبتنی بر رمزعبور این است که برای ایجاد و به خاطر سپردن رمزعبورهای قوی به دانش و کوشش نیاز دارد.

با توجه به زمان و منابع کافی مهاجم معمولاً می تواند سیستم های امنیتی مبتنی بر رمز عبور را نقض کرده و داده های شرکت را سرقت کند. رمزعبورها به دلیل هزینه کم، سهولت اجرا و آشنایی رایج ترین شکل SFA باقی مانده اند.

انواع محصولات احراز هویت دو عاملی

دستگاه ها و خدمات مختلفی برای پیاده سازی 2FA وجود دارد از توکن ها تا کارت های شناسایی فرکانس رادیویی (RFID) تا اپلیکیشن های موبایل.

محصولات احراز هویت دو عاملی را می توان به دو دسته تقسیم کرد:

1. توکن هایی که به کاربران داده می شود تا هنگام ورود به سیستم از آنها استفاده کنند.

2. زیرساخت یا نرم افزاری که دسترسی کاربرانی که از توکن های خود به درستی استفاده می کنند را تشخیص داده و احراز هویت می کند.

توکن های احراز هویت ممکن است دستگاه های فیزیکی مانند کلیدهای فاب یا کارت های هوشمند باشند و یا ممکن است در نرم افزار به عنوان اپلیکیشن موبایل یا دسکتاپ وجود داشته باشند که کد های PIN را برای احراز هویت تولید می کنند. این کدهای احراز هویت که به عنوان رمزعبورهای یکبار مصرف (OTP) نیز شناخته می شوند معمولاً توسط یک سرور ایجاد می شوند و می توانند توسط یک دستگاه یا اپلیکیشن احراز هویت معتبر شناخته شوند. کد احراز هویت یک دنباله کوتاه است که به کاربر یا حساب دستگاه خاصی مرتبط است و تنها یکبار می تواند به عنوان بخشی از فرایند احراز هویت مورد استفاده قرار گیرد.

سازمان ها باید سیستمی را برای پذیرش فرآیند و اجازه یا عدم دسترسی به کاربران احراز هویت با توکن های خود مستقر کنند. این ممکن است در قالب نرم افزار سرور یا سرور سخت افزاری اختصاصی و همچنین به عنوان یک سرویس توسط فروشنده شخص ثالث ارائه شود.

یکی از جنبه های مهم 2FA اطمینان از دسترسی کاربر تأیید شده به تمام منابعی است که کاربر برای آنها تأیید کرده است و فقط به آن منابع. در نتیجه یکی از عملکردهای کلیدی 2FA متصل کردن سیستم احراز هویت با داده های احراز هویت یک سازمان است. مایکروسافت برخی از زیرساخت های لازم را برای سازمان ها برای پشتیبانی از 2FA در ویندوز 10 از طریق ویندوز هلو فراهم می کند که می تواند با حساب های ماکروسافت کار کند و همچنین کاربران را از طریق Microsoft Active Directory Azure AD یا Fast IDentity Online (FIDO) تأیید کند.

توکن های سخت افزاری 2FA چگونه کار می کنند؟

توکن های سخت افزاری برای 2FA در دسترس هستند که از روش های مختلف احراز هویت پشتیبانی می کنند. یکی از توکن های سخت افزاری رایج YubiKey یک دستگاه USB است که از رمزگذاری و احراز هویت کلید عمومی OTP و پروتکل Universal 2nd Factor که توسط FIDO Alliance توسعه یافته پشتیبانی می کند. توکن های YubiKey توسط Yubico Inc مستقر در پالو آلتو کالیفرنیا به فروش می رسند.

هنگامی که کاربران دارای YubiKey وارد یک سرویس آنلاین می شوند که از OTP هایی مانند Gmail GitHub یا WordPress پشتیبانی می کند YubiKey خود را در درگاه USB دستگاه خود وارد می کنند و رمز عبور خود را در قسمت YubiKey وارد کرده و دکمه YubiKey را لمس می کنند. YubiKey یک OTP تولید می کند و آن را در فیلد وارد می کند.

OTP یک رمز عبور 44 کاراکتری یکبار مصرف است که 12 کاراکتر اول یک شناسه منحصر به فرد است که نشان دهنده کلید امنیتی ثبت شده در حساب است. 32 کاراکتر باقیمانده حاوی اطلاعاتی هستند که با استفاده از کلیدی که فقط برای دستگاه شناخته شده است و سرورهای Yubico در هنگام ثبت نام اولیه حساب رمزگذاری شده اند.

OTP از سرویس آنلاین برای بررسی احراز هویت به Yubico ارسال می شود. پس از تأیید OTP سرور احراز هویت Yubico پیامی را ارسال می کند که تأیید می کند این توکن مناسب برای این کاربر است. 2FA که کامل شد کاربر دو عامل احراز هویت ارائه کرده است: رمز عبور عامل دانش است و YubiKey عامل مالکیت است.

undefined

نمونه هایی از احراز هویت دو عاملی (2FA)

دارندگان حساب های اپل می توانند از 2FA استفاده کنند تا اطمینان حاصل شود که حساب ها فقط از دستگاه های قابل اعتماد قابل دسترسی هستند. اگر کاربری سعی کند از کامپیوتر دیگری وارد حساب iCloud خود شود کاربر به رمز عبور و به کد چند رقمی ای نیز نیاز دارد که اپل آن را به یکی از دستگاه های کاربر مانند آیفون خود ارسال می کند .

بسیاری از مشاغل نیز 2FA را برای کنترل دسترسی به شبکه ها و داده های شرکت مستقر می کنند. ممکن است از کارمندان خواسته شود که برای ورود به نرم افزار دسکتاپ از راه دور یک کد اضافی وارد کنند که به آنها اجازه می دهد از خارج از دفتر به کامپیوترهای کاری خود متصل شوند.

توصیه های پایانی

در حالی که 2FA امنیت را بهبود می بخشد اما بی عیب نیست. هکرهایی که فاکتورهای احراز هویت را به دست می آورند همچنان می توانند دسترسی غیرمجاز به حساب ها را داشته باشند. روش های متداول برای انجام این کار شامل حملات فیشینگ، روش های بازیابی حساب و بدافزار است.

هکرها همچنین می توانند پیام های متنی مورد استفاده در 2FA را رهگیری کنند. منتقدان استدلال می کنند که پیام های متنی شکل واقعی 2FA نیستند زیرا آنها چیزی نیستند که کاربر قبلاً داشته است بلکه چیزی است که کاربر ارسال می کند و فرایند ارسال آسیب پذیر است. در عوض منتقدان استدلال می کنند که این فرآیند باید تأیید دو مرحله ای نامیده شود. برخی از شرکت ها مانند گوگل از این اصطلاح استفاده می کنند.