احراز هویت دو مرحله‌ای توضیح داده شد: بهترین دفاع شما در برابر تصاحب حساب

همه چیزی که باید درباره احراز هویت دو مرحله‌ای (2FA) بدانید: نحوه کارکرد، امن‌ترین روش‌ها، نحوه راه‌اندازی و چرا این مؤثرترین محافظت در برابر تصاحب حساب است.

· Truvizy Research Team · 8 min read

TL;DR

احراز هویت دو مرحله‌ای (2FA) با نیاز به یک مرحله تأیید دومی فراتر از رمز عبور، بیش از ۹۹٪ حملات خودکار تصاحب حساب را مسدود می‌کند. برنامه‌های احراز هویت و کلیدهای سخت‌افزاری قوی‌ترین گزینه‌ها هستند، اما حتی 2FA بر اساس SMS بسیار بهتر از هیچ است. آن را روی هر حسابی که ارائه می‌دهد فعال کنید، با ایمیل و بانک شروع کنید.

گوشی هوشمندی که یک کد احراز هویت دو مرحله‌ای را در کنار صفحه ورود لپ‌تاپ نشان می‌دهد
گوشی هوشمندی که یک کد احراز هویت دو مرحله‌ای را در کنار صفحه ورود لپ‌تاپ نشان می‌دهد

در سال ۲۰۲۵، گوگل گزارش داد که حساب‌هایی با احراز هویت دو مرحله‌ای فعال ۹۹.۹ درصد کمتر از حساب‌هایی که فقط به رمز عبور متکی هستند در معرض خطر قرار می‌گیرند. مایکروسافت یافته‌های مشابهی منتشر کرد. با این حال علی‌رغم این اعداد حیرت‌انگیز، نرخ پذیرش به طور شگفت‌انگیزی پایین است. نظرسنجی‌های صنعت نشان می‌دهند که کمتر از ۳۰ درصد مصرف‌کنندگان 2FA را روی مهم‌ترین حساب‌هایشان فعال کرده‌اند.

دلایل این شکاف قابل درک هستند. احراز هویت دو مرحله‌ای فنی به نظر می‌رسد، فرایند راه‌اندازی در پلتفرم‌ها متفاوت است و سردرگمی واقعی در مورد بهترین روش وجود دارد. این راهنما 2FA را کاملاً توضیح می‌دهد: چیست، نحوه کارکرد هر نوع، نحوه راه‌اندازی گام به گام و نحوه رسیدگی به سناریوی «اگر گوشی‌ام را گم کنم» که بسیاری را از فعال کردن آن باز می‌دارد.

احراز هویت دو مرحله‌ای چیست و چرا اهمیت دارد

عوامل احراز هویت در سه دسته قرار می‌گیرند: چیزی که می‌دانید (رمز عبور یا پین)، چیزی که دارید (گوشی، کلید سخت‌افزاری) و چیزی که هستید (اثر انگشت یا اسکن صورت). ورود سنتی فقط از عامل اول استفاده می‌کند. احراز هویت دو مرحله‌ای دو عامل مختلف نیاز دارد، معمولاً یک رمز عبور به علاوه یک کد تولید شده یا ارسال شده به گوشی شما.

ارزش 2FA در دفاع عمیق نهفته است. حتی اگر مهاجمی رمز عبور شما را بدزدد یا حدس بزند, از طریق نقض داده، حمله فیشینگ یا دستکاری مهندسی اجتماعی , همچنان بدون عامل دوم نمی‌تواند به حساب شما دسترسی پیدا کند. این یک قدم اضافی واحد اکثریت قریب به اتفاق حملات تصاحب حساب را مسدود می‌کند.

نحوه کارکرد احراز هویت دو مرحله‌ای

جریان اصلی ساده است. نام کاربری و رمز عبور خود را مثل همیشه وارد می‌کنید. سپس سرویس درخواست یک تأیید دوم می‌کند، که ممکن است یک کد شش رقمی از یک برنامه احراز هویت، یک پیام متنی با یک کد یک‌بار مصرف، یک ضربه روی یک کلید امنیتی سخت‌افزاری یا یک تأیید بیومتریک روی گوشی شما باشد. پس از ارائه هر دو عامل، وارد می‌شوید. بسیاری از سرویس‌ها به شما اجازه می‌دهند دستگاه‌های مورد اعتماد را علامت‌گذاری کنید تا فقط در دستگاه‌های جدید یا ناشناخته به عامل دوم نیاز داشته باشید.

مکانیزم فنی بسته به روش متفاوت است، اما اصل امنیتی یکسان است: عامل دوم ثابت می‌کند که فردی که رمز عبور را وارد می‌کند همچنین دستگاه خاصی را به صورت فیزیکی در اختیار دارد. این حملات از راه دور را به طور چشمگیری دشوارتر می‌کند زیرا مهاجم نه فقط به اعتبارنامه‌های شما بلکه به دسترسی فیزیکی به دستگاه احراز هویت شما نیاز دارد.

انواع 2FA: از SMS تا کلیدهای سخت‌افزاری

کدهای SMS رایج‌ترین شکل 2FA هستند. پس از وارد کردن رمز عبور، سرویس یک کد یک‌بار مصرف به شماره تلفن ثبت‌شده شما پیامک می‌دهد. مزیت سادگی و سازگاری جهانی است، چون با هر گوشی‌ای که می‌تواند پیامک دریافت کند کار می‌کند. عیب آسیب‌پذیری در برابر تعویض SIM است، جایی که یک مهاجم اپراتور شما را متقاعد می‌کند شماره تلفن شما را به دستگاه خود منتقل کند.

برنامه‌های احراز هویت مثل Google Authenticator، Authy و Microsoft Authenticator رمزهای یک‌بار مصرف مبتنی بر زمان (TOTP) را به صورت محلی روی دستگاه شما تولید می‌کنند. این کدها هر ۳۰ ثانیه تغییر می‌کنند و از طریق شبکه سلولی منتقل نمی‌شوند و آن‌ها را در برابر تعویض SIM مصون می‌کند. Authy پشتیبان‌گیری ابری و همگام‌سازی چند دستگاه را اضافه می‌کند.

نمودار مقایسه روش‌های مختلف 2FA که سطح امنیت، سهولت استفاده و گزینه‌های بازیابی را نشان می‌دهد
نمودار مقایسه روش‌های مختلف 2FA که سطح امنیت، سهولت استفاده و گزینه‌های بازیابی را نشان می‌دهد

کلیدهای امنیتی سخت‌افزاری مثل YubiKey و Google Titan دستگاه‌های فیزیکی هستند که به پورت USB شما متصل می‌شوند یا از طریق NFC ضربه می‌زنند. آن‌ها از پروتکل‌های چالش-پاسخ رمزنگاری استفاده می‌کنند که در برابر فیشینگ، تعویض SIM و رهگیری بلادرنگ مصون هستند. کلید سخت‌افزاری قوی‌ترین روش احراز هویت مصرفی موجود است.

پسکی‌ها، ساخته‌شده بر همان استاندارد FIDO2 مثل کلیدهای سخت‌افزاری، به سرعت در حال ظهور به عنوان بهترین تعادل بین امنیت و راحتی هستند. ذخیره‌شده روی گوشی یا کامپیوتر شما و قفل شده با بیومتریک، پسکی‌ها امنیت در سطح کلید سخت‌افزاری را بدون یک دستگاه جداگانه ارائه می‌دهند. برای بررسی عمیق‌تر پسکی‌ها و رابطه آن‌ها با رمزهای عبور، راهنمای امنیت رمز عبور ما در سال ۲۰۲۶ را ببینید.

راه‌اندازی 2FA روی مهم‌ترین حساب‌های شما

با حساب ایمیل خود شروع کنید. ایمیل شما کلید اصلی زندگی دیجیتال شماست چون برای بازنشانی رمز عبور تقریباً هر سرویس دیگری استفاده می‌شود. در معرض خطر قرار دادن ایمیل شما به مهاجم قابلیت بازنشانی و تصاحب همه چیز دیگری را می‌دهد. در Gmail، به تنظیمات حساب Google بروید، Security را انتخاب کنید، سپس 2-Step Verification و دستیار راه‌اندازی را دنبال کنید.

سپس حساب‌های بانکی و مالی خود را ایمن کنید. اکثر بانک‌ها و پلتفرم‌های سرمایه‌گذاری اکنون از طریق برنامه موبایل خود 2FA ارائه می‌دهند. برای رسانه‌های اجتماعی، 2FA را در تنظیمات امنیتی هر پلتفرم فعال کنید. مسیر منوی دقیق متفاوت است، اما جستجوی «two-factor» یا «2FA» در تنظیمات پلتفرم معمولاً مستقیماً به صفحه مناسب می‌رود.

پیام‌های 2FA مشکوکی دریافت کردید که درخواست نکردید؟ شاید رمز عبور شما لو رفته, هر پیام مرتبط را با Truvizy اسکن کنید.

پشتیبان‌گیری و بازیابی: آماده شدن برای بدترین سناریو

نگرانی اصلی که مردم را از فعال کردن 2FA باز می‌دارد ترس از قفل شدن در صورت گم شدن گوشی است. این یک نگرانی مشروع است، اما راه‌حل‌های ساده‌ای دارد. هنگام فعال کردن 2FA روی هر حسابی، سرویس کدهای بازیابی ارائه می‌دهد, معمولاً مجموعه‌ای از ۸ تا ۱۰ کد یک‌بار مصرف که حتی بدون گوشی کار می‌کنند. این کدها را در مدیر رمز عبورتان ذخیره کنید یا آن‌ها را چاپ کرده و در یک مکان فیزیکی امن نگه دارید.

اگر از یک برنامه احراز هویت استفاده می‌کنید، برنامه‌ای را انتخاب کنید که از پشتیبان‌گیری و همگام‌سازی پشتیبانی می‌کند. Authy توکن‌های شما را در چندین دستگاه رمزگذاری و همگام‌سازی می‌کند، بنابراین گم شدن یک گوشی شما را قفل نمی‌کند. برای کلیدهای سخت‌افزاری، دو عدد بخرید و هر دو را با حساب‌هایتان ثبت کنید. کلید دوم را در یک مکان امن به عنوان پشتیبان نگه دارید.

نحوه تلاش مهاجمان برای دور زدن 2FA

درک نحوه هدف قرار دادن 2FA توسط مهاجمان به شما کمک می‌کند روش مناسب را انتخاب کنید و نسبت به تهدیدات در حال تکامل هوشیار باشید. حملات تعویض SIM 2FA مبتنی بر SMS را با مهندسی اجتماعی کارمندان پشتیبانی اپراتور موبایل برای انتقال شماره تلفن شما هدف قرار می‌دهند. پراکسی‌های فیشینگ بلادرنگ یک صفحه ورود جعلی ارائه می‌دهند که هم رمز عبور و هم کد 2FA شما را به طور همزمان جذب می‌کند.

حملات خستگی اعلان پوش برنامه احراز هویت شما را با درخواست‌های تأیید ورود بمباران می‌کنند تا تصادفاً یکی را تأیید کنید. اگر درخواست‌های 2FA غیرمنتظره دریافت کردید، هرگز آن‌ها را تأیید نکنید و فوراً رمز عبورتان را تغییر دهید. کلیدهای سخت‌افزاری و پسکی‌ها در برابر تمام این حملات مقاوم هستند زیرا دامنه را رمزنگاری تأیید می‌کنند.

کدام روش 2FA قوی‌ترین محافظت در برابر تمام انواع حملات شناخته‌شده را ارائه می‌دهد؟

  1. کدهای پیامک متنی
  2. برنامه احراز هویت (Google Authenticator، Authy)
  3. کلید امنیتی سخت‌افزاری یا پسکی
  4. کدهای تأیید بر اساس ایمیل

Answer: کلیدهای امنیتی سخت‌افزاری و پسکی‌ها در برابر فیشینگ، تعویض SIM و رهگیری بلادرنگ مقاوم هستند زیرا دامنه را رمزنگاری تأیید می‌کنند. هیچ روش حمله از راه دوری نمی‌تواند آن‌ها را دور بزند.

راهنمای بصری گام به گام که نحوه فعال کردن 2FA در پلتفرم‌های محبوب را نشان می‌دهد
راهنمای بصری گام به گام که نحوه فعال کردن 2FA در پلتفرم‌های محبوب را نشان می‌دهد

فراتر از 2FA: ساختن یک وضعیت امنیتی کامل

احراز هویت دو مرحله‌ای قوی‌ترین دفاع واحد شما در برابر تصاحب حساب است، اما به عنوان بخشی از یک رویکرد امنیتی لایه‌بندی‌شده بهترین عملکرد را دارد. 2FA را با یک مدیر رمز عبور برای اعتبارنامه‌های منحصربه‌فرد، نظارت بر نقض داده برای هشدار زودهنگام و ابزارهای تشخیص کلاهبرداری برای تهدیداتی که قبل از رسیدن به صفحه ورود شما را هدف قرار می‌دهند ترکیب کنید. بسیاری از نقض‌های حساب با حمله مستقیم به رمز عبور شروع نمی‌شوند بلکه با یک ویدئوی جعلی متقاعدکننده یا پیامی که شما را فریب می‌دهد تا داوطلبانه اطلاعات ارائه دهید.

Key Takeaways

ابزارهایی مثل پلتفرم اسکن Truvizy به شما کمک می‌کنند حملات مهندسی اجتماعی و جعل هویت را قبل از اینکه بتوانند اعتبارنامه‌هایتان را در معرض خطر قرار دهند کشف کنید. برای محافظت جامعی که کل خانواده‌تان را پوشش می‌دهد، طرح‌های Truvizy تشخیص کلاهبرداری مبتنی بر هوش مصنوعی را با قابلیت‌های اسکن پیشگیرانه ترکیب می‌کنند.

2FA را با تشخیص کلاهبرداری مبتنی بر هوش مصنوعی برای محافظت کامل از حساب لایه‌بندی کنید.

راهنمای تشخیص ایمیل فیشینگ — ایمیل‌های دزدنده اعتبارنامه را قبل از رسیدن به شما کشف کنید

نحوه تشخیص ویدئوهای دیپ‌فیک — محتوای جعل هویت تولید شده با هوش مصنوعی را تشخیص دهید

پیشگیری از سرقت هویت — ۱۵ قدم برای محافظت از اطلاعات شخصی شما

FAQ

تفاوت بین 2FA و MFA چیست؟

احراز هویت دو مرحله‌ای (2FA) دقیقاً دو عامل نیاز دارد، مثل رمز عبور به علاوه یک کد از گوشی شما. احراز هویت چند عاملی (MFA) اصطلاح گسترده‌تری است که شامل دو یا بیشتر عامل می‌شود. در عمل، اکثر پیاده‌سازی‌های مصرفی از دو عامل استفاده می‌کنند، بنابراین اصطلاحات اغلب به جای یکدیگر استفاده می‌شوند.

آیا 2FA مبتنی بر SMS هنوز ایمن است؟

2FA پیامکی به طور قابل توجهی از هیچ 2FA ایمن‌تر است و اکثریت قریب به اتفاق حملات خودکار را مسدود می‌کند. با این حال، در برابر حملات تعویض SIM که کلاهبرداران اپراتور شما را متقاعد می‌کنند تا شماره شما را منتقل کنند آسیب‌پذیر است. برای حساب‌های ارزشمند، برنامه‌های احراز هویت یا کلیدهای سخت‌افزاری محافظت قوی‌تری ارائه می‌دهند.

اگر گوشی‌ام با برنامه احراز هویت را گم کنم چه اتفاقی می‌افتد؟

اکثر برنامه‌های احراز هویت گزینه‌های پشتیبان‌گیری و بازیابی از جمله همگام‌سازی ابری و کدهای بازیابی ارائه می‌دهند. هنگام راه‌اندازی 2FA، همیشه کدهای بازیابی پشتیبان را در یک مکان امن مثل مدیر رمز عبورتان ذخیره کنید. برخی برنامه‌ها مثل Authy همچنین از همگام‌سازی چند دستگاه پشتیبانی می‌کنند.

آیا هکرها می‌توانند احراز هویت دو مرحله‌ای را دور بزنند؟

مهاجمان پیچیده می‌توانند 2FA مبتنی بر SMS را از طریق تعویض SIM یا پراکسی‌های فیشینگ بلادرنگ دور بزنند. کدهای برنامه احراز هویت می‌توانند توسط فیشینگ بلادرنگ رهگیری شوند. کلیدهای امنیتی سخت‌افزاری و پسکی‌ها در برابر تمام روش‌های حمله از راه دور شناخته‌شده مقاوم هستند و استاندارد طلایی 2FA را تشکیل می‌دهند.

برای کدام حساب‌ها باید ابتدا 2FA را فعال کنم؟

حساب ایمیل خود را اولویت‌بندی کنید (چون برای بازنشانی رمز عبور سایر حساب‌ها استفاده می‌شود)، حساب‌های بانکی و مالی، حساب‌های رسانه اجتماعی و هر حسابی که حاوی اطلاعات شخصی حساس است. سپس آن را روی همه چیز دیگری که پشتیبانی می‌کند فعال کنید.