اگر در حسابهای آنلاینتان از احراز هویت دو عاملی (Two-factor authentication یا 2FA) استفاده میکنید شاید دوست داشته باشید که روش احراز هویتتان را به یک کلید امنیتی سختافزاری تغییر دهید.
وقتی احراز هویت دو عاملی را فعال کردهاید و برای نمونه تلاش میکنید وارد حساب کاربری توییترتان شوید یک کد موقتی به گوشیتان ارسال میشود. باید این کد را در توییتر وارد کنید تا وارد حسابتان شوید. از آنجایی که فقط خودتان به گوشی یا کدتان دسترسی دارید (عامل اول) و اطلاعات حسابتان از جمله نام کاربری و رمز عبورتان (عامل دوم) را فقط خودتان میدانید، در روش احراز هویت دو عاملی سیستم مطمئن است که هویت شما تأیید شده است.
دو نقطه ضعف در احراز هویت دو عاملی وجود دارد. اگر گوشیتان را از دست بدهید یا اگر هکری بتواند به آن نفوذ کند و سیم کارت شما را بدزدد یا به دستگاهتان دسترسی داشته باشد، میتواند کد تأیید هویت شما را بدزدد و از آن برای هک کردن حسابتان استفاده کند (مخصوصاً اگر اطلاعات حساب کاربریتان را هم در اختیار داشته باشد). خوشبختانه کلید امنیتی میتواند جلوی این کابوس را بگیرد.
کلید امنیتی سختافزاری چیست؟
کلیدهای امنیتی سختافزاری (که به آنها کلیدهای امنیتی، کلیدهای U2F یا کلیدهای امنیتی فیزیکی هم میگویند) لایهی دیگری از امنیت را به حسابهای آنلاینتان اضافه میکنند. این کلیدها از رمزنگاری برای تأیید هویتتان و همچنین تشخیص آدرس صفحهی ورود به سایت استفاده و از حسابتان در مقابل باتهای خودکار و حملههای هدفمند محافظت میکنند. به این ترتیب در برابر فیشینگ هم محافظت میشوید چون این کلیدها تشخیص میدهند که در حال ورود به سرویس معتبری هستید یا خیر.
کلیدهای امنیتی از طریق پورتهای USB-A، USB-C، لایتنینگ، NFC و بلوتوث به دستگاهتان متصل میشوند و آنقدر قابلیت حمل بالایی دارند که میتوانید آنها را در دسته کلیدتان جای دهید. بیشتر این کلیدها از استانداردهای باز احراز هویت به نام FIDO U2F (یا استاندارد بهبودیافتهی FIDO2) استفاده میکنند و حتی بعضیهایشان سختافزاری دارند که در برابر حملههای فیزیکی برای استخراج ثابتافزار (firmware) و محتوای درون کلید نیز ایمن شده است.
تولیدکنندگان زیادی به تولید کلیدهای امنیتی سختافزاری میپردازند و این کلیدها با محبوبترین مرورگرهای وب و همچنین صدها اپ و خدمات آنلاین کار میکنند. به طور کلی این کلیدها گران نیستند و استفاده از آنها آسان است و میتوان گفت که هیچ کدام از شیوههای دیگر احراز هویت دو عاملی (پیام متنی، اپهای احراز هویت و نوتیفیکیشنها) به اندازهی این کلیدهای امنیتی از شما محافظت نمیکنند.
کلیدهای امنیتی چطور کار میکنند؟
میتوانید از یک کلید امنیتی برای هر تعداد حساب کاربری که بخواهید استفاده کنید. به طور معمول کلید امنیتی را به دستگاهتان متصل میکنید (که ممکن است از طریق بیسیم باشد) و دکمهی روی کلید امنیتی را فشار میدهید. کلید امنیتیتان با چالشی از سمت مرورگر وب یا اپ کاربردیتان مواجه میشود. این چالش را با رمزنگاری امضا میکند و هویت شما و حساب کاربریتان را تأیید میکند.
توضیح فنی:
- کلید امنیتی سختافزاریتان یک جفت کلید عمومی و خصوصی تصادفی ایجاد میکند.
- کلید خصوصی هرگز از کلید امنیتی سختافزاریتان خارج نمیشود.
- کلید عمومی به سروری فرستاده میشود.
- کلید امنیتی سختافزاریتان همچنین یک عدد تصادفی (به نام nonce) که از آن برای تولید کلیدهایتان استفاده شده است و همچنین یک عدد دیگر (به نام checksum) که برای تشخیص کلید امنیتی سختافزاریتان است را میفرستد.
- وقتی اطلاعات کاربریتان را وارد وبسایتی میکنید، سرور آن nonce و checksum را به همراه یک عدد متفاوت به کلید امنیتی سختافزاریتان میفرستد.
- کلید امنیتی سختافزاری از nonce و checksum برای تولید دوبارهی کلید خصوصی استفاده میکند و سپس عددی را که سرور ارسال کرده بود امضا میکند که در نهایت حساب آنلاین شما را با کلید عمومی تأیید و باز میکند.
شاید پیچیده به نظر برسد ولی تمام اینها در پسزمینه انجام میشوند و شما فقط کلید امنیتی سختافزاریتان را به دستگاهتان متصل میکنید. کلیدهای امنیتی سختافزاری همچنین از آدرس دامنهی سایتها برای ایجاد کلیدهایشان استفاده میکنند و به این ترتیب ممکن نیست به دام سایتهای فیشینگ بیفتید.
بسیاری از از حسابها، اپها، خدمات و وبسایتها از کلیدهای امنیتی سختافزاری پشتیبانی میکنند، برای نمونه توییتر، فیسبوک، گوگل، اینستاگرام، گیتهاب، دراپباکس، الکترونیک آرتز، اپیک گیمز، مایکروسافت، نینتندو، اوکتا و ردیت از این دسته هستند. بیشتر مرورگرهای وب از جمله گوگل کروم هم از این کلیدها پشتیبانی میکنند.
مطمئن شوید که قبل از خرید یک کلید امنیتی دستگاه و سایت مورد نظرتان از چه کلیدهایی پشتیبانی میکنند. میتوانید از کلیدهای امنیتی سختافزاری برای ورود به رایانهها و موبایلها استفاده کنید، مک، کرومبوک، ویندوز 10 و اندروید و آیاواس از این کلیدها پشتیبانی میکنند. استاندارد FIDO2 در برخی از کلیدهای امنیتی با ویندوز هلو و مایکروسافت ادج هم کار میکنند.
کلیدهای امنیتی مفقود یا دزدیده شده
کلید امنیتی سختافزاریتان در کنار اطلاعات ورود به حساب کاربریتان لایهی اضافهای از امنیت را برایتان فراهم میکند. پس اگر کسی کلید امنیتیتان را بدزدد بدون داشتن اطلاعات حساب کاربریتان نمیتواند وارد حسابتان شود. همچنین اگر کلید امنیتیتان را گم کردهاید میتوانید سراغ حالت دیگری مانند احراز هویت دو عاملی بروید. میتوانید وارد حساب کاربریتان شوید، کلید امنیتی سختافزاری مفقود یا دزدیده شدهتان را حذف کنید و کلید دیگری را اضافه کنید یا از همان روش احراز هویت دو عاملی برای ورود به حسابتان استفاده کنید.
چطور کلید امنیتی سختافزاریمان را آماده به کار کنیم
همانطور که پیش از این گفتیم تمام کلیدهای امنیتی سختافزاری به یک شیوه عمل میکنند ولی آماده کردن آنها با توجه به دستگاه و اپ مد نظرتان میتواند متفاوت باشد. برای اینکه ایدهای از این موضوع داشته باشید در قسمت زیرین به تشریح گامهای لازم برای اتصال کلید امنیتی سختافزاری با حساب کاربری فیسبوک میپردازیم.
- وارد حساب کاربری فیسبوکتان شوید.
- روی منوی باز شوندهی گوشهی صفحه کلیک کنید و Settings را انتخاب کنید.
- حالا در General Account Settings هستید.
- Security and Login را از سمت چپ صفحه انتخاب کنید.
- به پایین بروید تا به قسمت Two-Factor Authentication برسید.
- روی گزینهی Use two-factor authentication روی Edit کلیک کنید.
- روی Get Started کلیک کنید تا پیام متنی یا اپ احراز هویت را فعال کنید.
- به Two-Factor Authentication برگردید و به پایین بروید تا به Add a Backup برسید.
- در گزینهی Security Key روی Setup کلیک کنید.
- رمز عبور فیسبوکتان را وارد کنید و روی Submit کلیک کنید.
- کلید امنیتی سختافزاریتان را متصل کنید (معمولاً به پورت USB متصل میشود).
- دکمهی روی کلید امنیتیتان را فشار دهید.
- باید پیام تأییدی ببینید.
کدام کلید امنیتی سختافزاری بهتر است؟
انتخابهای متفاوتی دارید. Yubico که به توسعهی استاندارد احراز هویت FIDO U2F میپردازد یکی از محبوبترین گزینههاست و مدلهای مختلفی برای فروش دارد. گوگل هم کلیدهای امنیتی خود را میفروشد که Titan نام دارند و شامل یک کلید اضافی با قابلیت اتصال بلوتوثی میشود. دیگر تولیدکنندگان کلیدهای امنیتی شامل Kensington و Thetis هستند.
