همه‌ی آنچه باید از تایید دو مرحله‌ای بدانید

بسیاری از افراد وقتی صحبت از «تایید دو مرحله‌ای» (Two-Factor Authentication) به میان می‌آید با حالتی که نشان از نارضایتی است می‌گویند: «اه، عجب چیز آزاردهنده‌ای است». بله موضوع این مقاله در مورد همان مرحله‌ی اضافی آزاردهنده است. همان مرحله‌ای که شما را وادار می‌کند پیش از ورود به یک حساب کاربری آنلاین ابتدا کدی را دریافت کنید. البته اگر اندکی در مورد تایید دو مرحله‌ای تحقیق کنید دیگر هنگام برخورد با آن دلخور نخواهید شد. با دیجی‌کالا مگ همراه باشید تا تایید دو مرحله‌ای یا ۲FA را بهتر بشناسیم، نگاهی به روش‌های مختلف آن بیندازیم و برخی از سوءتفاهم‌های رایج در مورد آن را برطرف کنیم.

‌

رایج‌ترین شیوه‌های تایید دو مرحله‌ای

تایید از طریق پیام کوتاه (SMS)

بسیاری از اپلیکیشن‌ها و سرویس‌های امنیتی امکان استفاده از پیام کوتاه برای تایید دو مرحله‌ای هنگام ورود به حساب کاربری را در اختیار کاربران می‌گذارند. این مرحله می‌تواند در هر بار ورود به حساب کاربری ضروری باشد یا تنها در مواقعی درخواست شود که فرد از یک گجت یا سیستم جدید قصد ورود به حساب خود را دارد. در این روش گوشی موبایل شما نقش عامل دوم در احراز هویت را بازی می‌کند.

معمولا SMS تایید در این روش شامل یک کد کوتاه یک‌بارمصرف است که باید آن را در بازه‌ی زمانی مشخصی برای ورود به حساب خود استفاده کنید. بدین ترتیب آقای هکر برای ورود به حساب شما علاوه بر رمز عبور باید به گوشی موبایل شما هم دسترسی داشته باشد. یکی از مشکلات استفاده از این روش مربوط به پوشش شبکه است. اگر در جایی قرار بگیرید که خارج از محدوده‌ی پوشش اپراتور موبایلتان باشد یا به خارج از کشور سفر کرده باشید و به شبکه‌ی اپراتور خود دسترسی نداشته باشید چه اتفاقی می‌افتد؟ طبیعتا قادر نخواهید بود کد تایید را دریافت کنید و باید قید ورود به حسابتان را بزنید.

بااین‌حال با توجه به این‌که این روزها گوشی موبایل به بخشی از دست بیشتر ما تبدیل شده، در اغلب مواقع این شیوه مناسب است. علاوه بر این برخی از سرویس‌ها به سیستمی برای اعلام صوتی کد تایید مجهز هستند؛ در نتیجه اگر امکان دریافت پیام کوتاه را نداشته باشید، می‌توانید از تلفن ثابت برای دریافت کد استفاده کنید.

‌

استفاده از اپلیکیشن‌های تولید کد مانند Google Authenticator

این روش ازآنجاکه به پوشش شبکه موبایل متکی نیست می‌تواند نسبت به استفاده از SMS روش بهتری باشد. ممکن است شما تابه‌حال از اپلیکیشن‌هایی که برای تولید کدهای امنیتی کوتاه‌مدت طراحی شده‌اند استفاده کرده باشید. اپلیکیشن Google Authenticator یکی از محبوب‌ترین اپلیکیشن‌ها در این دسته است که هم برای اندروید و هم برای iOS تولید شده.

پس از این‌که یک سرویس را برای استفاده از تایید دو مرحله‌ای اپلیکیشن Authenticator تنظیم کردید، هرگاه قصد ورود به آن را داشته باشید، باید علاوه بر نام کاربری و رمز عبور یک کد تایید هم وارد کنید. حال می‌توانید یک کد یک‌بارمصرف جدید را از اپلیکیشن Google Authenticator بگیرید. هر کد ظرف مدت  یک دقیقه اعتبار خود را از دست می‌دهد. بنابراین گاهی لازم است برای استفاده از کد جاری سرعت بالایی داشته باشید. پس از اتمام یک دقیقه کد جدیدی اعلام می‌شود که باید از آن برای ورود به حساب استفاده کنید. هر چند اسم این اپلیکیشن با گوگل آغاز می‌شود، علاوه بر Gmail امکان افزودن سرویس‌های مختلفی نظیر دراپ‌باکس، Evernote یا بسیاری موارد دیگر هم به آن وجود دارد.

البته اگر دوست ندارید برای سرویس‌هایی نظیر این به گوگل متکی باشید، جایگزین‌های دیگری هم وجود دارد که از میان آن‌ها سرویس Authy جامع‌ترین محسوب می‌شود. سرویس Authy از تمام کدهایی که در طول زمان تولید شده‌اند یک نسخه‌ی پشتیبان رمزگذاری شده تهیه می‌کند و امکان استفاده از آن روی چندین پلتفرم مختلف وجود دارد. Lastpass هم به‌تازگی سرویس Authenticator خاص خود را راه‌اندازی کرده است.

این اپلیکیشن‌ها چه به اینترنت متصل باشید و چه به اینترنت متصل نباشید تا ابد به تولید کدهای موقت ادامه خواهند داد. تنها نکته‌ی منفی این است که راه‌اندازی این اپلیکیشن‌ها اندکی پیچیدگی دارد.

‌

کلیدهای احراز هویت فیزیکی

اگر حوصله‌ی سروکله زدن با کدها و اپلیکیشن‌ها و پیام کوتاه را ندارید، گزینه‌ی دیگری هم وجود دارد که هنوز چندان رایج نیست: استفاده از کلیدهای احراز هویت فیزیکی. این کلیدها شبیه یک فلش مموری USB کوچک هستند که می‌توانید آن را در میان دسته‌کلید خود قرار دهید. هرگاه قصد داشته باشید روی یک کامپیوتر جدید به حساب خود وارد شوید، لازم است این کلید USB را به سیستم وصل کنید و دکمه‌ی روی آن را بفشارید.

برخی از شرکت‌ها در حال تلاش هستند تا استانداردی به نام U2F را برای تولید این کلیدها جا بیندازند. حساب‌های گوگل، دراپ‌باکس و گیت‌هاب همین الان هم با استاندارد U2F سازگاری دارند. احتمالا در آینده کلیدهای احراز هویت فیزیکی به بلوتوث و NFC هم مجهز خواهند شد تا امکان استفاده از آن‌ها با گجت‌هایی که پورت USB ندارند ممکن باشد.

‌

احراز هویت مبتنی بر اپلیکیشن و مبتنی بر ایمیل

برخی از اپلیکیشن‌ها تمام گزینه‌های بالا را به‌طور کامل کنار می‌گذارند و هویت شما از طریق خود اپلیکیشن تایید می‌کنند. برای مثال اگر گزینه‌ی Login Verification را در اپلیکیشن Twitter فعال کنید، هرگاه تلاش کنید روی یک گجت جدید به حساب خود وارد شوید، مجبور خواهید بود ورود خود را با استفاده از اپلیکیشن توییتر روی گوشی موبایلتان تایید کنید. اپل هم از شیوه‌ی مشابهی برای تایید ورود به گجت‌های جدید استفاده می‌کند. هرگاه قصد ورود به حساب خود روی یک گجت جدید را داشته باشید، یک کد یک‌بارمصرف به سایر گجت‌های اپلی که در حال حاضر از آن‌ها استفاده می‌کنید ارسال خواهد شد.

روش‌های مبتنی بر ایمیل هم همان‌طور که از عنوان آن‌ها پیدا است از آدرس ایمیل به‌عنوان مرحله‌ی دوم تایید هویت استفاده می‌کنند. بنابراین هرگاه قصد ورود به اپلیکیشن یا سرویسی را داشته باشید که این روش استفاده می‌کند، کد یک‌بارمصرف به آدرس ایمیلی که معرفی کرده باشید ارسال خواهد شد.

‌

تفکرات اشتباه و سؤالات متداول در مورد تایید دو مرحله‌ای

آیا باید تایید دو مرحله‌ای را فعال کنم یا نه؟

بله. به‌ویژه برای سرویس‌های حساسی که اطلاعات شخصی یا مالی شما را در خود دارند.

استفاده از تایید دو مرحله‌ای برای کدام‌یک از سرویس‌های متداول توصیه می‌شود؟

• Google / Gmail / Hotmail / Outlook / Yahoo Mail **
• Lasppass / 1Password / Keepass یا هر سرویس مدیریت رمز عبور دیگری که استفاده می‌کنید. **
• Dropbox / Google Drive / iCloud / OneDrive و تمام سرویس‌های ابری دیگری که برای ذخیره‌سازی اطلاعات با ارزش به کار می‌برید.
• حساب‌های بانکی
• فیسبوک / توییتر / لینکدین / تلگرام
• حساب‌های مربوط به مدیریت هاست وب‌سایت‌ها
• حساب کاربری استیم و پلی‌استیشن (به‌ویژه اگر آرشیو بازی‌های شما ارزش بالایی دارد)

** این موارد اهمیت ویژه‌تری دارند؛ چراکه اغلب نقش دریچه‌ای را برای ورود به تمام فعالیت‌های آنلاین دیگر شما بازی می‌کنند.

اگر شک دارید که یک سایت یا سرویس خاص از تایید دو مرحله‌ای پشتیبانی می‌کند یا نه، سایت twofactorauth.org فهرست جامعی را برای شما مهیا کرده است.