چه تفاوتی بین تایید هویت دو مرحله‌ای و دو عاملی وجود دارد؟!

اکثر کاربران فضای مجازی می‌دانند که باید از احراز هویت دو عاملی (Two-factor authentication) در هرجایی که مقدور بود، استفاده نمایند، اما علاوه بر این قفل امنیتی، مفهوم دیگری به نام تایید هویت دو مرحله‌ای (Two-step authentication) نیز وجود دارد که ممکن است به نظر عملکرد مشابهی را داشته باشد، اما در واقع این طور نیست. در این مطلب به تفاوت میان این دو قفل امنیتی و اطلاعاتی که می‌بایست درباره آن‌ها بدانید، نگاهی می‌اندازیم.

خیلی‌ها تفاوت این دو ابزار شناسایی را تنها با توجه به نام آن‌ها می‌شناسند، اما از آنجایی که اغلب اوقات به دلیل عدم آگاهی صحیح از تفاوت‌های هرکدام توسط شرکت‌ها و افراد مختلف به جای یکدیگر مورد استفاده قرار می‌گیرند، تفکیک این دو از هم ارزش بالایی پیدا می‌کند. به طور خلاصه برای این موضوع در وب‌سایت StackExchange درباره تفاوت‌های میان آن‌ها برای افراد ناآشنا توضیحات و نکات دقیق و ظریفی بیان شده‌ است. پاسخ زیر طبق گفته یکی از کاربران است و از جزییات اضافی آن صرف نظر کرده‌ایم:

احراز هویت دو عاملی به طور خاص و انحصاری مربوط به مکانیسم شناسایی می‌شود که دو عنصر احراز هویت تحت دسته‌بندی‌های مختلف با توجه به مواردی مثل “چیزی که شما دارید” ، “چیزی که هستید” و یا “چیزی که می‌دانید” در آن وجود دارند.

یک طرح احراز هویت چند-مرحله‌ای به دو کلید فیزیکی، یا دو گذرواژه، یا دو شکل از شناسایی بیومتریک نیاز دارد که در واقع دو عاملی نیست، اما ممکن است در آن دو مرحله مقداردهی وجود داشته باشد.

یک نمونه خوب از این احراز هویت دو مرحله‌ای، توسط جیمیل خواسته می‌شود. در این مورد، پس از ارایه رمز عبوری که حفظ کرده‌اید، لازم است تا علاوه بر این، گذرواژه نمایش داده‌شده در گوشی خود را هم وارد کنید. در اینجا آنچه که روی گوشی ظاهر می‌شود، “چیزی است که شما دارید” و از دیدگاه امنیتی می‌توان آن را به عنوان “چیزی که می‌دانید” هم حساب کرد. دلیل آن این است که کلید احراز هویت خود دستگاه نیست، بلکه اطلاعاتی است که درون آن ذخیره شده و می‌تواند از لحاظ تئوری توسط یک فرد خرابکار کپی‌برداری شده باشد. بنابراین، با به خاطر سپردن هر دو گذرواژه و پیکربندی OTP، فرد خرابکار می‌تواند بدون سرقت فیزیکی، هویت شما را جعل کند.

اشاره‌ای که به احراز هویت چند-عاملی و تمایزهای دقیق آن می‌شود، این است که فرد خرابکار باید برای موفقیت‌آمیز بودن حمله خود دو نوع مختلف از فاکتورهای شناسایی شما را سرقت کند. به طور مثال، او برای این مورد باید علاوه بر آگاهی از هویت شما، دستگاه فیزیکی‌تان را هم داشته باشد. در صورت استفاده از تایید هویت چند-مرحله‌ای (و نه چند-عاملی)، شخص خرابکار تنها می‌تواند به یک مورد از آن‌ها دسترسی داشته باشد. بنابراین برای داشتن هر دو بخش از اطلاعات شما قادر نخواهد بود تا به دستگاه‌ فیزیکی دست پیدا کند.

تایید هویت چند-مرحله‌ای توسط سرویس‌های مثل گوگل، فیسبوک و توییتر ارایه می‌شود که هنوز هم به اندازه کافی در برابر خنثی کردن انواع حمله‌ها قدرتمند است، اما از لحاظ فنی نمی‌توان آن را به عنوان احراز هویت چند-عاملی به حساب آورد.

نتیجه‌گیری

برداشتی که می‌توان از جملات فوق داشت این است که اگر یک سرویس امکانی را برای تایید هویت دو مرحله‌ای یا دو عاملی فراهم کرد، می‌بایست حتما آن را فعال کنید و معمولا هیچ سرویسی قابلیتی را برای انتخاب میان این دو در اختیار نمی‌گذارد. تفاوت‌های میان این دو دسته از ابزارهای شناسایی امنیتی در بالا ذکر شد و می‌بایست یکی از آن‌ها را که برای شما بهتر است، انتخاب کنید. نکته‌ای که در اینجا وجود دارد این است که آگاهی از اختلافات میان این دو به شما کمک خواهد کرد تا به طور دقیق از میزان امنیت حساب‌های کاربری خود مطلع شوید.