احراز هویت دو مرحله ای چندان هم بدون مشکل و ایراد نیست!

احراز هویت دو مرحله ای سال‌ها است روشی مطمئن برای افزایش امنیت حساب‌های کاربری محسوب می‌شود. در این مطلب قصد داریم نقاط ضعف احراز هویت دو مرحله ای را بیان کنیم.

متاسفانه بیشتر کاربران از پسوردهای ضعیف برای حفاظت از حساب‌های کاربری خود استفاده می‌کنند. امروزه با ترفندهای مختلف حتی می‌توان پسوردهای پیچیده، متشکل از حروف و ارقام و علائم را شکست و به حساب کاربری مد نظر نفوذ کرد. دقیقا به همین دلیل احراز هویت دو مرحله ای طی چند سال اخیر محبوبیت بسیار زیادی پیدا کرده است.

در عصری که مثل آب خوردن اطلاعات میلیون‌ها حساب کاربری بزرگترین شرکت‌های دنیا را به سرقت می‌برند، استفاده از یک رمز عبور برای محافظت از حساب کاربری کافی نیست. احراز هویت دو مرحله ای کمک می‌کند لایه‌ای اضافی در مقابل حساب کاربری خود قرار دهیم. به این ترتیب برای دست پیدا کردن به اطلاعات می‌بایست بعد از ورود رمز عبور، از یک سد امنیتی دیگر نیز عبور کرد.

اما این لایه امنیتی اضافی نیز مشکلات خود را داشته و بدون دردسر نیست، تا جایی که در صورت عدم توجه کافی ممکن است برای کاربر مشکلات زیادی را ایجاد کند.

انواع فاکتورهای احراز هویت

احراز هویت چند عاملی، روشی است که با توجه به نیاز مبرم به حفاظت از اطلاعات توسعه پیدا کرده است. در این روش دیگر به ارائه یک پسورد ساده برای احراز هویت بسنده نمی‌شود و باید برای اثبات مالکیت خود به یک حساب کاربری، چندین سند مختلف ارائه کنید که اولی رمز عبور است. اگر کاربر نتواند تمامی اسناد مورد نیاز را ارائه کند، سیستم اجازه دسترسی به حساب کاربری ادعا شده را نخواهد داد.

احراز هویت دو عاملی یا دو مرحله ای به روشی گفته می‌شود که در آن خبری از چند لایه امنیتی نبوده و ارائه دو سند برای اثبات خود به سیستم کافی است. انواع مختلفی از فاکتورهایی که می‌توان به سیستم ارائه کرد وجود دارد، اما همه آن‌ها را می‌توان در یکی از دسته‌بندی‌های زیر جای داد:

• فاکتور دانش (چیزی که کاربر می‌داند): در این زمان، سیستم در صورتی هویت را احراز می‌کند که کاربر دانایی خود به گوشه‌ای از اطلاعات را نمایش بدهد. به عنوان نمونه‌‌هایی از فاکتور دانش می‌توان به رمز عبور و پاسخ به سوال‌های امنیتی اشاره کرد. ممکن است این اطلاعات پیشتر بین کاربر و سیستم توافق شده باشند. به عنوان نمونه در زمان ثبت نام، نام اولین معلم خود را وارد کنید. حال ممکن است سیستم برای احراز هویت، نام این فرد را بعدها از شما سوال کند.
• فاکتور مالکیت (چیزی که کاربر در اختیار دارد): در این زمان سیستم در صورت اثبات دسترسی فیزیکی به یک وسیله خاص به کاربر اجازه ورود و یا دسترسی به اطلاعاتی خاص را می‌دهد. به عنوان نمونه‌ای بسیار پرکاربرد که بیشتر شبکه‌های اجتماعی و سرویس‌ها از آن در احراز هویت دو مرحله ای خود استفاده می‌کنند، می‌توان به ارسال پیامک به شماره موبایلی خاص اشاره کرد. این شماره در زمان ثبت نام به سیستم معرفی می‌شود. نمونه‌ دیگر فاکتور مالکیت، وارد کردن یک یو اس بی فلش به عنوان کلید ورود است.
• فاکتور انحصار (چیزی که کاربر را معرفی می‌کند): موارد مرتبط با فاکتور انحصار برای هر کاربر منحصربه‌فرد هستند. به عنوان نمونه می‌توان به اثر انگشت، شبکیه چشم و یا صدا اشاره کرد. سیستم در صورتی اجازه ورود به کاربر می‌دهد که از طریق اسکن، تعلق داشتن یکی از موارد بالا به کاربر مالک حساب کاربری را تایید کند.

این موارد در نگاه اول خوب هستند. به نظر می‌رسد احراز هویت دو مرحله ای روشی قدرتمند، ایمن و سریع برای محافظت از حساب کاربری است. اما سه مورد زیر نقاط ضعف احراز هویت دو مرحله ای هستند و بعید نیست روزی برای کاربر دردسر ایجاد کنند.

گم کردن فاکتورها

نکته مهم اینجاست که هیچ تضمینی برای در دسترس بودن فاکتورها در زمان نیاز به ‌آن‌ها وجود ندارد. در بیشتر وقت‌‌ها امکان دسترسی به آن‌ها مهیاست، اما فقط یک اشتباه کوچک سبب قفل شدن حساب کاربری خواهد شد. شرایطی را در نظر بگیرید که در متد احراز هویت دو مرحله ای یکی از حساب‌های کاربری خود، پیامک را به عنوان فاکتور انتخاب کرده‌اید.

اگر به هر دلیلی به شماره موبایل معرفی شده به سیستم دسترسی نداشته و نتوانید کدی که به صورت پیامک برای آن ارسال می‌شود را بخوانید، امکان ورود به حساب کاربری وجود نخواهد داشت. این اتفاقی پیچیده نیست و ممکن است با یک فراموش‌کاری ساده، گوشی خود را در جایی رها کنید. سوختن سیم کارت و دیگر موارد نیز ممکن است به مشکل دامن بزنند.

در صورت استفاده از فلش یو اس بی به عنوان کلید ورود نیز خطرهایی وجود دارد. ممکن است این درایو ویروسی شده و یا به دست سایر افراد بیفتد. تکیه بر فاکتورهای دانش نیز مشکلات خاص خود را دارد. به عنوان نمونه هیچ‌کس تضمین نکرده پسورد و یا نام اولین معلم خود را هرگز فراموش نخواهید کرد! فاکتورهای انحصار به نظر بهترین هستند، اما امکان گم شدن آن‌ها نیز وجود دارد؛ یک خراش بزرگ بر روی انگشت، اثر انگشت معرفی شده به سیستم را از بین می‌برد.

تعداد زیادی از کاربران گیر افتاده در طوفان هاوری، قادر به استفاده از حساب‌های کاربری خود نبودند، چرا که به علت قطع برق نمی‌توانستند گوشی های موبایلشان را شارژ کنند، حتی اگر به هر نحوی قادر به روشن کردن یک سیستم کامپیوتری می‌بودند. امکان بازیابی حساب کاربری همیشه وجود دارد، اما دور زدن احراز هویت دو مرحله ای کار بسیار دشواری است.

احساس امنیت بیش از حد

فعال‌سازی احراز هویت دو مرحله ای به معنی افزودن یک لایه امنیتی اضافی است. این کار افزایش ایمنی حساب کاربری را در پی دارد. برخی کاربران تصور می‌کنند فعال‌سازی احراز هویت دو عاملی سبب غیر قابل هک شدن حساب‌های کاربری‌شان می‌شود، اما این عقیده صحیح نیست. این متد هنوز تا تامین امنیت کامل فاصله زیادی دارد.

سوال اینجاست؛ آیا گم کردن فاکتور آخر راه است و در این صورت دیگر نمی‌توان به حساب کاربری دسترسی پیدا کرد؟ مطمئنا راه‌هایی برای بازیابی دسترسی به حساب وجود دارد. پس هکرها نیز می‌توانند از این راه‌ها به نفع خود استفاده کنند! در حقیقت وجود قابلیت بازیابی دسترسی حساب کاربری، اصلی‌ترین دلیل بی‌فایده شدن احراز هویت دو مرحله ای است. درست به همین دلیل شرکت‌‌هایی همچون اپل، بیشتر متدهای بازیابی را از سرویس‌های خود حذف کرده‌اند.

این هم خبری خوب و هم خبری بد است. عدم توانایی برای بازیابی دسترسی به اکانت به معنی امکان از دست دادن همیشگی آن است. اما از طرفی می‌توان مطمئن بود احراز هویت دو مرحله ای به عنوان سدی بسیار مستحکم‌ و ایمن عمل می‌کند. فقط باید مطمئن باشید فاکتور دوم را هیچ‌گاه گم نخواهید کرد.

هکرها تاکنون احراز هویت دو مرحله ای سیستم‌های شرکت‌های بزرگی همچون گوگل، اینستاگرام، آمازون و اپل را دور زده‌اند. البته این به معنی عدم کاربرد این متد نیست. افزایش لایه‌های امنیتی، امکان هک شدن یک حساب کاربری را سخت و سخت‌تر می‌کند. تنها باید بدانید با فعال‌سازی احراز هویت دو عاملی، حساب‌های شما باز هم به طور کامل ایمن نیستند.

احراز هویت دو مرحله ای بر علیه کاربر!

اگرچه مقصود اصلی از احراز هویت دو مرحله ای افزایش امنیت با اضافه کردن یک لایه امنیتی بیشتر به منظور جلوگیری از دسترسی هکرها به حساب کاربری است، اما ممکن است دقیقا برعکس این موضوع رخ بدهد؛ هکرها با تعیین احراز هویت دو مرحله ای برای حساب‌های فاقد آن و یا تغییر فاکتور دوم تعیین شده از قبل، می‌توانند مانع دسترسی کاربر به اکانت خود شوند!

یکی از کاربران Reddit تجربه مشابهی داشته است. یک هکر به اکانت اپل وی وارد شده و بعد از سو استفاده از آن، احراز هویت دو مرحله ای را با استفاده از گوشی خود برای این اکانت فعال کرده بود. بعد از آن، کاربر مالک این حساب کاربری با چند صد دلار اعتبار، نمی‌توانست از آن استفاده کند!

امکان سو استفاده به نحوی دیگر نیز وجود دارد. در زمان استفاده از فاکتور دانش همانند تعیین یک رمز عبور، این عبارت در صورت یادداشت نشدن در جایی دیگر، تنها در ذهن کاربر باقی می‌ماند و امکان دسترسی به آن وجود نخواهد داشت. اما در زمان استفاده از فاکتور مالکیت همچون ارسال پیام کوتاه به شماره موبایل، که متداول‌ترین فاکتور احراز هویت دو مرحله ای است، می‌توان به سادگی به آن فاکتور دست پیدا کرد. کافی است برای چند ثانیه کوتاه به گوشی موبایل کاربر دسترسی فیزیکی پیدا کنید.

نتیجه‌گیری

از مشکل سوم یعنی استفاده از احراز هویت دو مرحله ای علیه کاربر نتیجه‌ می‌گیریم بهتر است همین الان آن را برای تمامی حساب‌های کاربری خود فعال کنید، پیش از اینکه فردی دیگر به حساب دسترسی پیدا کرده و آن را به نفع خود فعال کند.

هدف از تشریح کامل نقاط ضعف احراز هویت دو مرحله ای نمایش بیهوده بودن آن نیست، چرا که هم‌اکنون این شیوه‌ای بسیار مفید برای افزایش ایمنی حساب‌‌های کاربری محسوب می‌شود. در واقع رمز عبور خالی بسیار ناایمن است و دیگر عبور از آن کار پیچیده‌ای نیست.

هدف از این مطلب، نشان دادن عدم قابلیت اطمینان 100 درصدی این متد احراز هویت است، به این معنی که کاربران نباید به خیال تامین امنیت مطلق حساب کاربری خود، به ذخیره داده‌های حساس در اکانت‌‌ها بپردازند. پیشنهاد می‌کنیم همین الان آن را به کمک مطلب زیر برای تمامی حساب‌های کاربری خود فعال کنید.