بالا بردن امنیت با احراز هویت چند عاملی

راه‌های زیادی وجود دارند تا بتوانیم با استفاده از احراز هویت چند عاملی (MFA‌) میزان امنیت خود را بالا ببریم‌، اما شیوه‌هایی وجود دارند که حفاظت بیشتری را در برابر هک یا ردیابی شدن به ما ارائه می‌کنند، تنها کافیست که بهترین‌ها روش‌ها را در کنار یکدیگر به‌کار بگیرید.

احراز هویت چند عاملی چیست و چه اهمیتی دارد؟

هنگامی که حساب کاربری شما به واسطه ورود به سایت‌های غیرایمن و دانلود نرم‌افزار غیرمعتبر یا بهتر است بگوییم بدافزار در معرض خطر قرار بگیرد‌، باید انتظار هک شدن را داشته باشید. در واقع باید گفت که هیچ‌وقت نمی‌توانید امنیت تمامی تراکنش‌های مالی آنلاین خود را در سیستم‌های مختلف به صورت کامل تامین کنید. با این حال می‌توانید از مجموعه ابزار انعطاف‌پذیر‌تری بهره بگیرید و بهترین رویکرد‌ها را برای بهره‌مند شدن از امنیت بیشتر مورد استفاده قرار دهید.

 

طبق اعلامیه آژانس امنیت سایبری و امنیت زیرساخت‌، «احراز هویت چند‌عاملی» یک رویکرد چند لایه برای ایمن‌سازی داده‌ها و برنامه‌هایی است که در بطن آنها از کاربر درخواست می‌شود تا برای ورود به سیستم‌، ترکیبی از دو یا چند فاکتور اعتبار را ارائه کند. طی این فرایند‌، هویت آن کاربر تایید می‌شود.

 

همه ما همواره در هنگام ورود به یک حساب کاربری آنلاین قصد داریم تا با استفاده از لایه‌های حفاظتی یا حتی موانع بیشتر‌، مانع تهاجم هکر‌ها به حسابمان شویم. برای درک بهتر این مطلب می‌توانید منزل خود را به عنوان یک نمونه در ذهن داشته باشید. استفاده از قفل‌های بیشتر همواره میزان امنیت خانه شما را بالا می‌برند. همانطور که استفاده از شکل رایج احراز هویت که همه ما تحت عنوان رمز عبور می‌شناسیم، کار خوبی محسوب می‌شود‌؛ بنابراین استفاده از دو رویکرد برای احراز هویت (یا همان MFA‌) کار بهتری محسوب خواهد شد.

 

در صورتی که فقط از احراز هویت بیومتریک استفاده می‌کنید‌، توجه داشته باشید که این رویکرد تنها یک احراز هویت تک عاملی محسوب می‌شود. به بیان ساده‌، احراز هویت بیومتریک مختص هر فرد بوده و به استفاده از روش‌های احراز هویت مختلف مثل اثر انگشت‌، اسکن عنبیه چشم‌، تشخیص چهره و غیره محدود می‌شود. اگر از یک کلید سخت‌افزاری بدون عبارت عبور استفاده می‌کنید‌، به یاد داشته باشید که این رویکرد نیز یک احراز هویت تک عاملی محسوب می‌شود.

 

اگر از بیومتریک یا کلید سخت افزاری به عنوان عامل دوم احراز هویت استفاده کنیم‌، می‌توان گفت که هدف احراز هویت چند عاملی محقق شده است. در واقع می‌توان گفت که انجام چنین کاری امنیت بیشتری در مقایسه با برنامه‌های احراز هویت چند عاملی برای ما فراهم می‌کند.

 

در صورت تمایل برای استفاده از چنین برنامه‌هایی لازم است تا دو مورد از سه عامل پیش رو را انتخاب کنید:

 

    1-چیزی که از آن اطلاع داشته و می‌توانید آن را به خاطر بسپارید (مثل رمز عبور‌، پین کد (PIN‌) و غیره‌)

    2-امکاناتی که می‌توانید در اختیار داشته باشید (مثل یک کد یا یک دستگاه‌)

    3-و البته ابزار زیست محیطی که در اختیار دارید (مثل اثر انگشت یا سایر عوامل بیومتریک‌)

 

کجا باید از احراز هویت چند عاملی استفاده کنیم و کدام نوع آن مفید‌تر است؟

در صورت تمایل برای استفاده از احراز هویت چند عاملی لازم است تا حداقل از دو مکانیسم احراز هویت بهره ببرید. هنگامی که این کار را انجام دادید‌، MFA یا قابلیت احراز هویت چند عاملی را برای موارد زیر فعال کنید:

 

    صرافی‌های بیت کوین (البته بهتر است دارایی‌های خود را پس از خرید و در اسرع وقت از این پلتفرم‌ها خارج کنید‌)

    نود‌ها و ماینر‌های بیت کوین

    کیف پول های بیت کوین و لایتنینگ

    برنامه‌های لایتنینگ از جمله RTL یا Thunderhub

    ارائه‌دهندگان سرویس ابری (Cloud‌) از قبیل حساب‌های کاربری Voltage

 

لازم است این نکته مهم را به یاد داشته باشید که لازم است تا هر یک از حساب‌های کاربری و برنامه‌هایی که استفاده می‌کنید‌، نوع احراز هویت چند عاملی مورد نظر را پشتیبانی کند. علاوه بر این‌، لازم است تا MFA مورد نظرتان را در این حساب‌ها یا برنامه‌ها ثبت یا رجیستر کنید.

 

امکانات ارائه‌دهندگان خدمات تولید احراز هویت چند عاملی به صورت معمول میزان امنیت کمتری دارند. از جمله این ارائه‌دهندگان به این موارد می‌توان اشاره کرد:

 

 ارسال پیامک (SMS‌)‌، تماس تلفنی یا ایمیل کردن گذرواژه‌های یکبار مصرف (OTP‌) یا رمز عبور‌های یکبار مصرف مدت‌دار (TOTP‌)

 احراز هویت مبتنی بر Mobile Push که معمولا به صورت نوتیفیکیشن یا اعلان به ما نشان داده می‌شوند (در صورت مدیریت متناسب‌، این گزینه عامل ایمن‌تری محسوب می‌شود‌).

 

از جمله گزینه‌های ایمن‌تری که ارائه‌دهندگان سرویس MFA عرضه می‌کنند، می‌توان به موارد زیر اشاره کرد:

 

    برنامه‌های احراز هویت

    تایید هویت بیومتریک

    کلید‌های سخت افزاری

    کارت‌های هوشمند

 

آیا می‌توانید حدس بزنید که موسسه‌های مالی سنتی از کدام یک از انواع احراز هویت چند عاملی استفاده می‌کنند؟ به صورت معمول چنین موسسه‌هایی از گزینه‌های احزار هویت چند عاملی که امنیت پایین‌تری دارند، استفاده می‌کنند. با این حال‌، لازم به ذکر است که تمام عوامل ایمن‌تر مثل برنامه‌های احراز هویت و کلید‌های سخت افزاری MFA نیز به صورت یکسان تولید و عرضه نمی‌شوند.

اطلاعات غلط در بازاریابی MFA

ابتدا درباره بازاریابی MFA توضیح بدهیم. اگر ارائه‌دهنده خدمات احراز هویت چند عاملی ادعای غیرقابل هک یا تا ۹۹ درصد غیرقابل هک بودن دارد‌، بدون اتلاف وقت به سراغ گزینه دیگری بروید؛ زیرا این دروغی بیش نیست. تمامی ارائه‌دهندگان سرویس MFA قابل هک هستند. هدف تمامی فعالان این حیطه‌، دست یافتن به سرویس‌هایی است که احتمال هک شدن آنها کمتر بوده، در مقابل فیشینگ مقاوم باشد و احراز هویت چند عاملی منعطف‌تری داشته باشد.

 

ثبت شماره تلفن موجب آسیب‌پذیر شدن MFA در برابر فرایند کلاهبرداری از طریق تعویض سیم‌کارت می‌شود. اگر احراز هویت چند عاملی شما مکانیزم بک‌آپ گرفتن یا تهیه نسخه پشتیبان خوبی ندارد‌، در معرض خطر گم شدن یا از دست رفتن اطلاعات قرار خواهید گرفت.

 

برخی از MFA‌ها در معرض خطر هک بیشتری قرار دارند، برخی از آنها آسان‌تر مورد ردیابی قرار می‌گیرند. بعضی از آنها کم‌وبیش قابلیت تهیه نسخه پشتیبان دارند و برخی از آنها نیز با مشکل دسترسی در محیط‌های مختلف مواجه هستند.

کدام MFA کمتر در معرض هک یا ردیابی قرار دارند؟

در صورت استفاده از برنامه احراز هویت‌، کارت هوشمند یا کلید سخت افزاری مثل Yubikey‌، فرایند احراز هویت چند عاملی با امنیت بیشتری به انجام می‌رسد.

 

آیا می‌توان گفت که در صورت برخوردار بودن از برنامه احراز هویت چند عاملی یا سخت افزاری در امنیت کامل به سر می‌بریم؟ پاسخ این سوال خیر است! لازم است بدانید که برنامه‌ها و دستگاه‌های سخت افزاری MFA با میزان امنیت یکسان تولید نشده‌اند.

 

   Twilio Authy نیازمند شماره تلفن شماست‌، که می‌تواند شما را در معرض خطر تعویض سیم‌کارت قرار دهد. تنظیمات اولیه این برنامه بر اساس ارسال پیامک است. در صورت تمایل برای استفاده از این برنامه‌، به یاد داشته باشید که آیا طبق گزارش اخیری که مبنی بر افشای داده Twilio بود، آیا هنوز هم مایل به استفاده از آن هستید یا خیر.

    Microsoft Authenticator نیازی به وارد کردن شماره تلفن ندارد، اما با توجه به این‌که نسخه پشتیبان آن در ICloud بک‌آپ گرفته شده است‌، قابل انتقال به سیستم عامل اندروید نیست.

    Google Authenticator نیز نیازی به وارد کردن شماره تلفن ندارد، اما از بک‌آپ آنلاین برخوردار نبوده و تنها به منظور انتقال از یک گوشی موبایل به گوشی دیگر در اختیار شما قرار خواهد داشت.

 

علاوه بر این‌، به عقیده برخی از اشخاص‌، تمامی این برنامه‌ها انعطاف‌پذیری پایینی داشته و در معرض خطر فیشینگ و حمله افراد واسطه (MITM‌) قرار دارند.

چگونه حساب‌های کاربری و مالی ما در معرض خطر قرار می‌گیرند؟

به گفته راجر ای گریمز (Roger A. Grimes‌)‌، یکی از متخصصان حوزه امنیت سایبری و نویسنده «فرایند هک کردن احراز هویت چند عاملی‌»‌، لازم است تا مردم در حد امکان از MFA مقاوم در برابر فیشینگ استفاده کنند تا بدین واسطه بتوانند از داده‌های ارزشمند و سیستم‌های خود محافظت کنند.

 

کمپانی‌های مبتنی بر بیت کوین نیز همانند بسیاری از شرکت‌های مالی و داده محور‌، مورد هدف حملات افشای داده متعددی قرار می‌گیرند. طی این رویداد‌ها مهاجمان به آدرس ایمیل و شماره‌های تماس مشتریان دست پیدا می‌کنند.

 

حتی بدون در نظر گرفتن حملات مبتنی‌بر افشای داده نیز دسترسی پیدا کردن به آدرس ایمیل و شماره تلفن افراد کار دشواری نیست. بهترین کار برای جلوگیری از این امر‌، استفاده از ایمیل و شماره تلفن جداگانه برای حساب‌های کاربری Bitcoin است. مهاجمان می‌توانند با در اختیار داشتن این ایمیل‌ها حملات فیشینگ را به انجام رسانده و اعتبارنامه‌های ورود به سیستم را رهگیری کنند. این امر به معنی دسترسی پیدا کردن آنها به رمز عبور و احراز هویت چند عاملی مورد استفاده شما برای تمامی حساب‌های کاربریتان است.

 

چگونه از ۵ خطر امنیتی در خصوص پسوردها جلوگیری نماییم؟

در این بخش یک مثال از فرایند حمله فیشینگ MITM را بررسی می‌کنیم:

 

۱. در ابتدا روی یک لینک کلید می‌کنید (یا یک کد را اسکن می‌کنید‌) و سپس به سایتی منتقل می‌شوید که شباهت زیادی با سایت اصلی مورد نظرتان دارد.

 

۲. در ادامه‌، اطلاعات ورود یا در اصطلاح Login‌ خود را وارد می‌کنید و سپس از شما خواسته می‌شود تا کد احراز هویت چند عاملی خود را تایپ کنید.

 

۳. در این مرحله فرد یا گروه مهاجم به اطلاعات مورد نیاز برای احراز هویت موفقیت‌آمیز در سایت اصلی دست پیدا کرده است. حتی ممکن است بعد از مرحله ۱ و ۲ به سایت اصلی منتقل شوید و هیچ‌وقت متوجه نشوید که هک شده‌اید (به یاد داشته باشید که کد احراز هویت چند عاملی تنها برای یک بار ورود و در همان زمان کاربرد دارد‌).

 

۴. حالا مهاجم به حساب کاربری شما دسترسی دارد.

 

خالی از لطف نیست که به فرایند برداشت از کیف پول یا صرافی خود نیز یک کد احراز هویت چند عاملی اختصاص دهید. راحت‌طلبی، دشمن امنیت است.

احراز هویت چند عاملی مقاوم در برابر فیشینگ

به منظور مصون بودن در برابر حملات مبتنی بر فیشینگ‌، لازم است تا MFA شما یک راهکار تضمین احراز هویت سطح ۳ (AAL3‌) باشد. AAL3 ملزومات جدید و متعددی را در مقایسه با AAL2 به همراه دارد. شاخص‌ترین این ملزومات‌، استفاده از احراز هویت مبتنی بر سخت افزار است. ویژگی‌های احراز هویت دیگری نیز در این حوزه وجود دارند:

 

    مقاوم در برابر جعل هویت

    مقاوم در برابر قرارگیری در معرض خطر

    ماهیت احراز هویت

 

Fast Identity Online 2 (FIDO2) یکی از نمونه‌های راهکار تضمین احراز هویت لایه ۳ است. بررسی جزئیات استاندارد‌های مورد استفاده FIDO خارج از محدوده پوشش‌دهی این مقاله است، اما با مراجعه به مقاله «راهنمای کامل FIDO‌، FIDO2 و WebAuthn‌» می‌توانید اطلاعات بیشتری در این زمینه کسب کنید. راجر گریمز در ماه مارس سال ۲۰۲۲ در لینکدین خود مجموعه‌ای از ارائه‌دهندگان احراز هویت چند عاملی سطح AAL3 را در مقاله‌ای با عنوان «لیست پیشنهادی من از MFA خوب و قدرتمند‌» معرفی کرد.

 

لازم است تا تمامی سازندگان و شرکت‌های حوزه بیت کوین از ارائه‌دهندگان شخص ثالث یا عرضه‌کننده سرویس‌های ادغام خود در مورد نوع ارائه‌دهنده MFA و جزئیات آن سوال بپرسند و از مقاوم بودن آن در برابر فیشینگ اطمینان حاصل کنند.

کارت‌های هوشمند و کلید‌های سخت افزاری احراز هویت چند عاملی

کلید‌های سخت افزاری از قبیل Yubikey‌، از جمله MFA‌هایی محسوب می‌شوند که امکان هک کمتری دارند. علاوه بر این‌، شماره تلفن شما به این کلید وابسته نبوده و بنابر همین امر‌، امکان ردیابی آن نیز کمتر خواهد بود. در صورت استفاده از کلید‌های سخت افزاری‌، به جای وارد کردن کد تولید شده فقط لازم است تا دکمه سخت افزارتان را فشار دهید و هویت خود را در قالب دومین عامل احراز هویت تایید کنید.

 

دو هشدار در رابطه با کلید‌های سخت افزاری وجود دارد که نباید آنها را از قلم بیاندارید:

    برنامه مورد نظر باید کلید‌های سخت افزاری را پشتیبانی کند.

    احتمال گم کردن یا آسیب رسیدن به کلید سخت افزاری وجود دارد. بسیاری از سرویس‌ها به شما اجازه می‌دهند تا بیش از یک کلید سخت افزاری به آن سرویس اختصاص دهید؛ بنابراین‌، در صورت از دست دادن یکی از کلید‌ها‌، می‌توانید از کلید دوم خود استفاده کنید.

 

کارت‌های هوشمند نیز یکی دیگر از نمونه‌های احراز هویت چند عاملی محسوب می‌شوند که به شیوه مشابهی در برابر فیشینگ مقاوم هستند. با توجه به این‌که احتمال استفاده از کارت‌های هوشمند در حوزه احراز هویت چند عاملی بیت کوین و لایتنینگ کم است‌، در این مقاله به آنها نمی‌پردازیم.

استفاده از دستگاه‌های سخت افزاری در فضا‌های دارای محدودیت

یکی دیگر از عوامل پراهمیت در رابطه با احراز هویت چند عاملی بدین صورت است که آیا شرایطی به وجود می‌آید که در صورت نیاز به MFA قادر به استفاده از گوشی موبایل یا گوشی هوشمند نباشید؟

 

دو دلیل بزرگ نشان می‌دهند که وقوع چنین اتفاقی برای کاربران برترین رمزارز جهان امری محتمل است:

 

    پوشش سلولی و آنتن‌دهی ضعیف یا قطع شدن آن

    نداشتن گوشی هوشمند یا عدم توانایی در استفاده از آن

 

حتی ممکن است محدودیت‌های دیگری نیز در زمینه استفاده از گوشی همراه در محیط‌های کاری که با ارباب رجوع سر و کار دارند و حتی ترجیحات شخصی وجود داشته باشد. کال سنتر‌ها یا همان مراکز تماس‌، مقاطع مختلف تحصیل در مدارس یا محیط‌های امنیتی از قبیل آزمایشگاه‌های تحقیق و توسعه از جمله مناطقی محسوب می‌شوند که همراه داشتن گوشی تلفن در آنها ممنوع است. بدین ترتیب‌، در این اماکن قادر به استفاده از گوشی تلفن و در نتیجه برنامه احراز هویت خود نخواهید بود.

 

در موارد خاصی که از کامپیوتر استفاده می‌کنید و تلفن هوشمند در اختیار ندارید‌، به یک کارت هوشمند و یا کلید سخت افزاری برای احراز هویت دو عاملی نیاز خواهید داشت. همچنین لازم است تا برنامه مورد نظر نیز این گزینه‌های سخت افزاری را پشتیبانی کند.

نکاتی در رابطه با MFA منعطف‌تر

احراز هویت دو عاملی قابل هک بوده و ممکن است حساب‌های کاربری شما در معرض خطر قرار بگیرند. با این حال‌، با استفاده از MFA منعطف‌تر و مقاوم در برابر فیشینگ می‌توانید امنیت حساب‌های خود را تامین کنید. حتی می‌توانید سرویس احراز هویت چند عاملی خود را به گونه‌ای انتخاب کنید که نیازمند شماره تلفن نباشد و از مکانیزم قابل قبولی برای بک‌آپ گرفتن یا کلید جانبی برخوردار باشد.

 

روند ادامه‌دار دفاع در برابر حملات سایبری یک بازی نامتناهی موش و گربه مانند است؛ بنابراین‌، هدف ما باید دست یافتن به امکان هک شدن و ردیابی شدن کمتر باشد.