احراز هویت دو مرحله ای سالها است روشی مطمئن برای افزایش امنیت حسابهای کاربری محسوب میشود. در این مطلب قصد داریم نقاط ضعف احراز هویت دو مرحله ای را بیان کنیم.
متاسفانه بیشتر کاربران از پسوردهای ضعیف برای حفاظت از حسابهای کاربری خود استفاده میکنند. امروزه با ترفندهای مختلف حتی میتوان پسوردهای پیچیده، متشکل از حروف و ارقام و علائم را شکست و به حساب کاربری مد نظر نفوذ کرد. دقیقا به همین دلیل احراز هویت دو مرحله ای طی چند سال اخیر محبوبیت بسیار زیادی پیدا کرده است.
در عصری که مثل آب خوردن اطلاعات میلیونها حساب کاربری بزرگترین شرکتهای دنیا را به سرقت میبرند، استفاده از یک رمز عبور برای محافظت از حساب کاربری کافی نیست. احراز هویت دو مرحله ای کمک میکند لایهای اضافی در مقابل حساب کاربری خود قرار دهیم. به این ترتیب برای دست پیدا کردن به اطلاعات میبایست بعد از ورود رمز عبور، از یک سد امنیتی دیگر نیز عبور کرد.
اما این لایه امنیتی اضافی نیز مشکلات خود را داشته و بدون دردسر نیست، تا جایی که در صورت عدم توجه کافی ممکن است برای کاربر مشکلات زیادی را ایجاد کند.
انواع فاکتورهای احراز هویت
احراز هویت چند عاملی، روشی است که با توجه به نیاز مبرم به حفاظت از اطلاعات توسعه پیدا کرده است. در این روش دیگر به ارائه یک پسورد ساده برای احراز هویت بسنده نمیشود و باید برای اثبات مالکیت خود به یک حساب کاربری، چندین سند مختلف ارائه کنید که اولی رمز عبور است. اگر کاربر نتواند تمامی اسناد مورد نیاز را ارائه کند، سیستم اجازه دسترسی به حساب کاربری ادعا شده را نخواهد داد.
احراز هویت دو عاملی یا دو مرحله ای به روشی گفته میشود که در آن خبری از چند لایه امنیتی نبوده و ارائه دو سند برای اثبات خود به سیستم کافی است. انواع مختلفی از فاکتورهایی که میتوان به سیستم ارائه کرد وجود دارد، اما همه آنها را میتوان در یکی از دستهبندیهای زیر جای داد:
- فاکتور دانش (چیزی که کاربر میداند): در این زمان، سیستم در صورتی هویت را احراز میکند که کاربر دانایی خود به گوشهای از اطلاعات را نمایش بدهد. به عنوان نمونههایی از فاکتور دانش میتوان به رمز عبور و پاسخ به سوالهای امنیتی اشاره کرد. ممکن است این اطلاعات پیشتر بین کاربر و سیستم توافق شده باشند. به عنوان نمونه در زمان ثبت نام، نام اولین معلم خود را وارد کنید. حال ممکن است سیستم برای احراز هویت، نام این فرد را بعدها از شما سوال کند.
- فاکتور مالکیت (چیزی که کاربر در اختیار دارد): در این زمان سیستم در صورت اثبات دسترسی فیزیکی به یک وسیله خاص به کاربر اجازه ورود و یا دسترسی به اطلاعاتی خاص را میدهد. به عنوان نمونهای بسیار پرکاربرد که بیشتر شبکههای اجتماعی و سرویسها از آن در احراز هویت دو مرحله ای خود استفاده میکنند، میتوان به ارسال پیامک به شماره موبایلی خاص اشاره کرد. این شماره در زمان ثبت نام به سیستم معرفی میشود. نمونه دیگر فاکتور مالکیت، وارد کردن یک یو اس بی فلش به عنوان کلید ورود است.
- فاکتور انحصار (چیزی که کاربر را معرفی میکند): موارد مرتبط با فاکتور انحصار برای هر کاربر منحصربهفرد هستند. به عنوان نمونه میتوان به اثر انگشت، شبکیه چشم و یا صدا اشاره کرد. سیستم در صورتی اجازه ورود به کاربر میدهد که از طریق اسکن، تعلق داشتن یکی از موارد بالا به کاربر مالک حساب کاربری را تایید کند.
این موارد در نگاه اول خوب هستند. به نظر میرسد احراز هویت دو مرحله ای روشی قدرتمند، ایمن و سریع برای محافظت از حساب کاربری است. اما سه مورد زیر نقاط ضعف احراز هویت دو مرحله ای هستند و بعید نیست روزی برای کاربر دردسر ایجاد کنند.
گم کردن فاکتورها
نکته مهم اینجاست که هیچ تضمینی برای در دسترس بودن فاکتورها در زمان نیاز به آنها وجود ندارد. در بیشتر وقتها امکان دسترسی به آنها مهیاست، اما فقط یک اشتباه کوچک سبب قفل شدن حساب کاربری خواهد شد. شرایطی را در نظر بگیرید که در متد احراز هویت دو مرحله ای یکی از حسابهای کاربری خود، پیامک را به عنوان فاکتور انتخاب کردهاید.
اگر به هر دلیلی به شماره موبایل معرفی شده به سیستم دسترسی نداشته و نتوانید کدی که به صورت پیامک برای آن ارسال میشود را بخوانید، امکان ورود به حساب کاربری وجود نخواهد داشت. این اتفاقی پیچیده نیست و ممکن است با یک فراموشکاری ساده، گوشی خود را در جایی رها کنید. سوختن سیم کارت و دیگر موارد نیز ممکن است به مشکل دامن بزنند.
در صورت استفاده از فلش یو اس بی به عنوان کلید ورود نیز خطرهایی وجود دارد. ممکن است این درایو ویروسی شده و یا به دست سایر افراد بیفتد. تکیه بر فاکتورهای دانش نیز مشکلات خاص خود را دارد. به عنوان نمونه هیچکس تضمین نکرده پسورد و یا نام اولین معلم خود را هرگز فراموش نخواهید کرد! فاکتورهای انحصار به نظر بهترین هستند، اما امکان گم شدن آنها نیز وجود دارد؛ یک خراش بزرگ بر روی انگشت، اثر انگشت معرفی شده به سیستم را از بین میبرد.
تعداد زیادی از کاربران گیر افتاده در طوفان هاوری، قادر به استفاده از حسابهای کاربری خود نبودند، چرا که به علت قطع برق نمیتوانستند گوشی های موبایلشان را شارژ کنند، حتی اگر به هر نحوی قادر به روشن کردن یک سیستم کامپیوتری میبودند. امکان بازیابی حساب کاربری همیشه وجود دارد، اما دور زدن احراز هویت دو مرحله ای کار بسیار دشواری است.
احساس امنیت بیش از حد
فعالسازی احراز هویت دو مرحله ای به معنی افزودن یک لایه امنیتی اضافی است. این کار افزایش ایمنی حساب کاربری را در پی دارد. برخی کاربران تصور میکنند فعالسازی احراز هویت دو عاملی سبب غیر قابل هک شدن حسابهای کاربریشان میشود، اما این عقیده صحیح نیست. این متد هنوز تا تامین امنیت کامل فاصله زیادی دارد.
سوال اینجاست؛ آیا گم کردن فاکتور آخر راه است و در این صورت دیگر نمیتوان به حساب کاربری دسترسی پیدا کرد؟ مطمئنا راههایی برای بازیابی دسترسی به حساب وجود دارد. پس هکرها نیز میتوانند از این راهها به نفع خود استفاده کنند! در حقیقت وجود قابلیت بازیابی دسترسی حساب کاربری، اصلیترین دلیل بیفایده شدن احراز هویت دو مرحله ای است. درست به همین دلیل شرکتهایی همچون اپل، بیشتر متدهای بازیابی را از سرویسهای خود حذف کردهاند.
این هم خبری خوب و هم خبری بد است. عدم توانایی برای بازیابی دسترسی به اکانت به معنی امکان از دست دادن همیشگی آن است. اما از طرفی میتوان مطمئن بود احراز هویت دو مرحله ای به عنوان سدی بسیار مستحکم و ایمن عمل میکند. فقط باید مطمئن باشید فاکتور دوم را هیچگاه گم نخواهید کرد.
هکرها تاکنون احراز هویت دو مرحله ای سیستمهای شرکتهای بزرگی همچون گوگل، اینستاگرام، آمازون و اپل را دور زدهاند. البته این به معنی عدم کاربرد این متد نیست. افزایش لایههای امنیتی، امکان هک شدن یک حساب کاربری را سخت و سختتر میکند. تنها باید بدانید با فعالسازی احراز هویت دو عاملی، حسابهای شما باز هم به طور کامل ایمن نیستند.
احراز هویت دو مرحله ای بر علیه کاربر!
اگرچه مقصود اصلی از احراز هویت دو مرحله ای افزایش امنیت با اضافه کردن یک لایه امنیتی بیشتر به منظور جلوگیری از دسترسی هکرها به حساب کاربری است، اما ممکن است دقیقا برعکس این موضوع رخ بدهد؛ هکرها با تعیین احراز هویت دو مرحله ای برای حسابهای فاقد آن و یا تغییر فاکتور دوم تعیین شده از قبل، میتوانند مانع دسترسی کاربر به اکانت خود شوند!
یکی از کاربران Reddit تجربه مشابهی داشته است. یک هکر به اکانت اپل وی وارد شده و بعد از سو استفاده از آن، احراز هویت دو مرحله ای را با استفاده از گوشی خود برای این اکانت فعال کرده بود. بعد از آن، کاربر مالک این حساب کاربری با چند صد دلار اعتبار، نمیتوانست از آن استفاده کند!
امکان سو استفاده به نحوی دیگر نیز وجود دارد. در زمان استفاده از فاکتور دانش همانند تعیین یک رمز عبور، این عبارت در صورت یادداشت نشدن در جایی دیگر، تنها در ذهن کاربر باقی میماند و امکان دسترسی به آن وجود نخواهد داشت. اما در زمان استفاده از فاکتور مالکیت همچون ارسال پیام کوتاه به شماره موبایل، که متداولترین فاکتور احراز هویت دو مرحله ای است، میتوان به سادگی به آن فاکتور دست پیدا کرد. کافی است برای چند ثانیه کوتاه به گوشی موبایل کاربر دسترسی فیزیکی پیدا کنید.
نتیجهگیری
از مشکل سوم یعنی استفاده از احراز هویت دو مرحله ای علیه کاربر نتیجه میگیریم بهتر است همین الان آن را برای تمامی حسابهای کاربری خود فعال کنید، پیش از اینکه فردی دیگر به حساب دسترسی پیدا کرده و آن را به نفع خود فعال کند.
هدف از تشریح کامل نقاط ضعف احراز هویت دو مرحله ای نمایش بیهوده بودن آن نیست، چرا که هماکنون این شیوهای بسیار مفید برای افزایش ایمنی حسابهای کاربری محسوب میشود. در واقع رمز عبور خالی بسیار ناایمن است و دیگر عبور از آن کار پیچیدهای نیست.
هدف از این مطلب، نشان دادن عدم قابلیت اطمینان 100 درصدی این متد احراز هویت است، به این معنی که کاربران نباید به خیال تامین امنیت مطلق حساب کاربری خود، به ذخیره دادههای حساس در اکانتها بپردازند. پیشنهاد میکنیم همین الان آن را به کمک مطلب زیر برای تمامی حسابهای کاربری خود فعال کنید.