کانال تلگرام هایپرتمپ

نفاوت تایید هویت دو مرحله‌ای و دو عاملی!


اکثر کاربران فضای مجازی می‌دانند که باید از احراز هویت دو عاملی (Two-factor authentication) در هرجایی که مقدور بود، استفاده نمایند، اما علاوه بر این قفل امنیتی، مفهوم دیگری به نام تایید هویت دو مرحله‌ای (Two-step authentication) نیز وجود دارد که ممکن است به نظر عملکرد مشابهی را داشته باشد.

خیلی‌ها تفاوت این دو ابزار شناسایی را تنها با توجه به نام آن‌ها می‌شناسند، اما از آنجایی که اغلب اوقات به دلیل عدم آگاهی صحیح از تفاوت‌های هرکدام توسط شرکت‌ها و افراد مختلف به جای یکدیگر مورد استفاده قرار می‌گیرند، تفکیک این دو از هم ارزش بالایی پیدا می‌کند. 
پاسخ زیر طبق گفته یکی از کاربران است و از جزییات اضافی آن صرف نظر کرده‌ایم:

: احراز هویت دو عاملی به طور خاص و انحصاری مربوط به مکانیسم شناسایی می‌شود که دو عنصر احراز هویت تحت دسته‌بندی‌های مختلف با توجه به مواردی مثل “چیزی که شما دارید” ، “چیزی که هستید” و یا “چیزی که می‌دانید” در آن وجود دارند.

یک نمونه خوب از این احراز هویت دو مرحله‌ای، توسط جیمیل خواسته می‌شود. در این مورد، پس از ارایه رمز عبوری که حفظ کرده‌اید، لازم است تا علاوه بر این، گذرواژه نمایش داده‌شده در گوشی خود را هم وارد کنید. در اینجا آنچه که روی گوشی ظاهر می‌شود، “چیزی است که شما دارید” و از دیدگاه امنیتی می‌توان آن را به عنوان “چیزی که می‌دانید” هم حساب کرد. دلیل آن این است که کلید احراز هویت خود دستگاه نیست، بلکه اطلاعاتی است که درون آن ذخیره شده و می‌تواند از لحاظ تئوری توسط یک فرد خرابکار کپی‌برداری شده باشد. بنابراین، با به خاطر سپردن هر دو گذرواژه و پیکربندی OTP، فرد خرابکار می‌تواند بدون سرقت فیزیکی، هویت شما را جعل کند.

اشاره‌ای که به احراز هویت چند-عاملی و تمایزهای دقیق آن می‌شود، این است که فرد خرابکار باید برای موفقیت‌آمیز بودن حمله خود دو نوع مختلف از فاکتورهای شناسایی شما را سرقت کند. به طور مثال، او برای این مورد باید علاوه بر آگاهی از هویت شما، دستگاه فیزیکی‌تان را هم داشته باشد. در صورت استفاده از تایید هویت چند-مرحله‌ای (و نه چند-عاملی)، شخص خرابکار تنها می‌تواند به یک مورد از آن‌ها دسترسی داشته باشد. بنابراین برای داشتن هر دو بخش از اطلاعات شما قادر نخواهد بود تا به دستگاه‌ فیزیکی دست پیدا کند.

تایید هویت چند-مرحله‌ای توسط سرویس‌های مثل گوگل، فیسبوک و توییتر ارایه می‌شود که هنوز هم به اندازه کافی در برابر خنثی کردن انواع حمله‌ها قدرتمند است، اما از لحاظ فنی نمی‌توان آن را به عنوان احراز هویت چند-عاملی به حساب آورد.

منبع ای تی رسان