بعد از ثبتنام در یک صرافی ارز دیجیتال، باید تنظیماتی امنیتی برای حسابتان تنظیم کنید و با چیزی به اسم تایید هویت دوعاملی یا 2FA روبه رو میشوید.
در این درس میخواهم در مورد تایید هویت دوعاملی یا 2FA توضیح دهم و بگویم که چرا اکثر صرافیهای ارز دیجیتال، آن را الزامی کردهاند.
برای ورود به هر حساب آنلاین، احراز هویت لازم است. احراز هویت یعنی شما هویتتان را اثبات کنید.
2FA نوع خاصی از فرآیند احراز هویت است که با دو روش (یا دو عامل) هویتتان را تأیید میکنید.
با توجه به اینکه در موبایلها و کامپیوترهای ما اطلاعات شخصی زیادی ذخیره میشود، جای تعجب نیست که هکرها یا بدافزارها به دنبال این اطلاعات هستند.
نشت دادهها وقتی رخ میدهد که بدون اطلاع یا اجازه مالک، اطلاعات از یک سیستم به سرقت برود.
به همین دلیل اکثر اپلیکیشنها و وبسایتها برای محافظت از مشتریان و سرمایهشان، امنیتشان را بالا میبرند.
یکی از روشهای مؤثری که صرافیهای ارز دیجیتال برای تأیید هویت کاربرانشان استفاده میکنند، فرآیند تأیید هویت دو عاملی یا 2FA است.
2FA یکی از روشهایی است که سطح بالایی از محافظت در برابر دسترسی غیرمجاز به حساب صرافی ارز دیجیتال را فراهم میکند.
تأیید هویت دوعاملی یا 2FA چیست؟
برای امن نگه داشتن حساب ارز دیجیتالتان فقط داشتن یک رمز عبور کافی نیست.
تأیید هویت دوعاملی یا 2FA، روشی است که امنیت حساب ارز دیجیتالتان را بالا میبرد. این روش برای اثبات هویت دارنده حساب و امکان دسترسی به حساب، یک فاکتور یا عامل اضافی طلب میکند.
این فاکتور برای دسترسی به حساب، کاربر را شناسایی میکند.
۳ فاکتور یا عامل اصلی وجود دارد:
- چیزی که میدانید (Something you KNOW)؛ مثل رمز عبور، سؤال امنیتی و پین کد
- چیزی که دارید (Something you HAVE)؛ مثل کد ارائهشده توسط یک دستگاه
- چیزی که هستید (Something you ARE)؛ مثل اثر انگشت، اسکن عنبیه، اسکن صورت، و اسکن صدا
در فرآیند تأیید هویت دوعاملی یا 2FA شما باید دو فاکتور برای احراز هویت ارائه دهید.
سؤالهای امنیتی مثل «اسم مادرت چیست» یا «نام خیابانی که در آن بزرگ شدهای چیست؟»، 2FA در نظر گرفته نمیشوند زیرا جایگزین رمز عبور شما میشوند.
در اصل، سؤال امنیتی و رمز عبور در یک دسته قرار میگیرند و این باعث میشود، این دو کنار هم، دوعاملی نباشد.
تایید هویت دوعاملی یا 2FA چگونه کار میکند؟
برای 2FA دو گزینه از بقیه رایجتر است:
- پیامک
- اپلیکیشن رمزساز
تایید هویت دوعاملی با پیامک
دریافت یک کد از طریق پیامک، گزینه اصلی برای دومین عامل فرآیند تأیید هویت دومرحلهای است.
در حال حاضر اکثر افراد یک گوشی هوشمند دارد، بنابراین کار سختی نیست که شماره موبایلشان را وارد کنند و یک کد دریافت کنند.
متأسفانه هکرها چندین روش برای تغییر مسیر شماره تلفن شما و رهگیری این پیامهای متنی ابداع کردهاند (مثلا کپی کردن سیم کارت).
اپلیکیشنهای رمزساز ثابت کردهاند که امنتر و قابل اعتمادتر از پیامک هستند.
تایید هویت دوعاملی با اپلیکیشنهای رمز ساز یا Authenticator app
روش کار برنامههای رمزساز مشابه پیامک است.
از طریق یک اپلیکیشن در گوشی هوشمندتان یک کد دریافت میکنید و با استفاده از این کد و نام کاربری و رمز عبورتان به حساب کاربریتان وارد میشوید.
تفاوت مهم این دو روش این است که در اپلیکیشنهای رمزساز کد از طریق شبکه تلفن همراه تحویل داده نمیشود و میتواند به صورت آفلاین کار کند.
این امر، رهگیری کد را برای هکرها سخت میکند.
برای اینکه اپلیکیشن رمزساز یا حسابی که میخواهید به آن دسترسی پیدا کنید کار کند، ابتدا باید برنامه را با حسابتان جفت یا pair کنید.
و اگر تلفن همراهتان را عوض کنید باید دوباره مراحل را طی کنید.
بعد از اینکه با نام کاربری و رمز عبور به حساب کاربری صرافیتان وارد شدید، برای تکمیل مرحله احراز هویت دو عاملی، باید یک رمز عبور یکبار مصرف را وارد کنید که این کد به گوشی هوشمندتان ارسال میشود.
رمز عبور یکبار مصرف یا OTP یک کد ۶ رقمی است که اپلیکیشنهای تلفن هوشمندتان آن را ایجاد میکنند؛ اپلیکیشنهایی مثل: Authy،( گوگل آتنتیکیتور) Google Authenticator، یا Microsoft Authenticator (مایکروسافت آتنتیکیتور).
رمزعبور یکبار مصرف، «چیزی است که دارید» و همانطور که از اسمش هم پیداست، فقط یک بار کار میکند.
این کد باعث بالا بردن امنیت شما میشود، چون قبل از اینکه به سیستم وارد شوید، یک مرحله دیگر برای تأیید هویت را باید رد کنید.
مزیت اصلی تایید هویت دو عاملی در ترکیب کردن دو فاکتور یا دو عامل برای احراز هویت است.
اگر یک هکر به رمز عبور شما دسترسی پیدا کند، نمیتواند به حساب شما وارد شود چون به رمز عبور یکبار مصرف هم نیاز دارد و تا زمانی که تلفن همراهتان نزد خودتان باشد، فقط خودتان میتوانید رمز عبور یکبار مصرف را ببینید.
هکر چون به گوشی تلفن همراهتان دسترسی ندارد، نمیتواند خودش را به جای شما جا بزند و به حسابتان دسترسی پیدا کند.
مقایسه HOTP و TOTP
اپلیکیشنهای رمزساز رمزعبورهای یک بار مصرف یا OPT ایجاد میکنند. این رمزعبورهای یکبار مصرف، رمزهای عبور عددی منحصر به فردی هستند که با یک الگوریتم استاندارد تولید میشوند و به صورت آفلاین در دسترس هستند.
بعضی از صرافیها از شما میخواهند که نوع استاندارد رمز یکبار مصرف برای تنظیمات فرآیند تأیید هویت دوعاملی را خودتان انتخاب کنید.
دو نوع استاندارد OTP وجود دارد:
- HOTP (مخفف HMAC-based One Time Password به معنای رمز یکبار مصرف مبتنی بر HMAC)
- TOTP (مخفف Time-based One Time Password به معنای رمز یکبار مصرف مبتنی بر زمان)
رمز عبور HOTP میتواند برای مدتزمان نامعلومی معتبر باشد. در مقابل، رمز عبور TOTP هر ۳۰ ثانیه تغییر میکند.
TOTP امنتر است چون با برنامه رمزساز، کد هر سی ثانیه ایجاد میشود و باید بین اپلیکیشنی که روی گوشی شما است و سرور برنامه همگامسازی انجام شود.
پیشنهاد من این است که همه جا از فرآیند تأیید هویت دوعاملی استفاده کنید. نه فقط برای حساب صرافی ارز دیجیتالتان بلکه برای حسابهای بانکی آنلاین، حسابهای ایمیلتان، مدیریت رمزعبورها و برای هر سرویس آنلاین دیگری که نیاز به ورود دارد، از فرآیند تأیید هویت دوعاملی استفاده کنید.