پرش به محتوای اصلی

2FA چیست؟ راهنمای احراز هویت دو عاملی

2FA چیست؟ احراز هویت دو عاملی چگونه کار می‌کند، پنج نوع 2FA و چگونه آن را روی مهم‌ترین حساب‌های خود فعال کنید.

آخرین به‌روزرسانی: ۱۶ فروردین ۱۴۰۵

رمزهای عبور به تنهایی برای محافظت از حساب‌های آنلاین شما کافی نیستند. نقض داده‌ها میلیاردها اعتبار را هر سال افشا می‌کند، و حتی رمزهای عبور قوی می‌توانند از طریق فیشینگ، کیلاگرها یا حملات brute-force به خطر بیفتند. احراز هویت دو عاملی (2FA) یک لایه دفاع دوم اضافه می‌کند — حتی اگر کسی رمز عبور شما را بدزدد، هنوز نمی‌تواند بدون عامل دوم به حساب شما دسترسی پیدا کند. این راهنما توضیح می‌دهد که 2FA چیست، چگونه هر روش کار می‌کند، کدام انواع امن‌ترین هستند و چگونه آن را روی مهم‌ترین حساب‌های خود راه‌اندازی کنید. این یکی از مؤثرترین گام‌های تک‌گانه‌ای است که می‌توانید برای محافظت از زندگی دیجیتالی خود بردارید.

انواع احراز هویت دو عاملی

کدهای SMS

یک کد یک‌بار مصرف از طریق پیام متنی به شماره تلفن شما ارسال می‌شود. شما این کد را پس از رمز عبور خود وارد می‌کنید تا ورود را تکمیل کنید. SMS 2FA رایج‌ترین روش موجود است — تقریباً هر سرویسی از آن پشتیبانی می‌کند و نیاز به برنامه‌ها یا سخت‌افزار اضافی ندارد. با این حال، ضعیف‌ترین شکل 2FA به دلیل آسیب‌پذیری در برابر حملات تعویض سیم‌کارت (جایی که مهاجم اپراتور شما را متقاعد می‌کند تا شماره تلفن شما را به سیم‌کارت خود منتقل کند) و سوءاستفاده‌های پروتکل SS7 است که می‌توانند پیام‌های متنی را رهگیری کنند.

  • مزایا: به طور گسترده پشتیبانی می‌شود، نیازی به برنامه ندارد، روی هر تلفنی کار می‌کند
  • معایب: در برابر تعویض سیم‌کارت، رهگیری SS7 و حملات مهندسی اجتماعی به اپراتورهای تلفن آسیب‌پذیر است

برنامه‌های احراز هویت (TOTP)

برنامه‌های رمز عبور یک‌بار مصرف مبتنی بر زمان (TOTP) با استفاده از یک راز مشترک و زمان فعلی، هر 30 ثانیه یک کد 6 رقمی جدید تولید می‌کنند. برنامه‌های محبوب شامل Google Authenticator، Authy، Microsoft Authenticator و Ente Auth هستند. TOTP به طور قابل توجهی امن‌تر از SMS است زیرا کدها به صورت محلی در دستگاه شما تولید می‌شوند — کانال انتقال برای رهگیری وجود ندارد. کدها به صورت آفلاین کار می‌کنند و به شماره تلفن شما متصل نیستند. این روش 2FA توصیه‌شده برای اکثر افراد است که امنیت قوی را با سهولت استفاده متعادل می‌کند.

  • مزایا: امن، قابلیت آفلاین، برنامه‌های رایگان موجود، به شماره تلفن متصل نیست
  • معایب: از دست دادن دستگاه بدون کدهای پشتیبان شما را قفل می‌کند؛ سایت‌های فیشینگ هنوز می‌توانند کدها را در زمان واقعی ثبت کنند

کلیدهای امنیتی سخت‌افزاری

دستگاه‌های فیزیکی مانند YubiKey، Google Titan و SoloKeys به پورت USB شما متصل می‌شوند یا از طریق NFC ضربه می‌خورند تا احراز هویت شوند. کلیدهای سخت‌افزاری از استاندارد FIDO2/WebAuthn استفاده می‌کنند که طبق طراحی در برابر فیشینگ مقاوم است — کلید قبل از احراز هویت، دامنه وب‌سایت را به صورت رمزنگاری شده تأیید می‌کند و رهگیری توسط سایت‌های فیشینگ را غیرممکن می‌سازد. گوگل از همه کارمندان می‌خواهد که از کلیدهای سخت‌افزاری استفاده کنند و از زمان پیاده‌سازی، صفر حمله فیشینگ موفق گزارش کرده است. کلیدها $25-70 قیمت دارند و امن‌ترین روش 2FA موجود هستند.

  • مزایا: قوی‌ترین امنیت، مقاوم در برابر فیشینگ، بدون باتری، آفلاین کار می‌کند، بادوام
  • معایب: قیمت $25-70، می‌تواند گم یا فراموش شود، توسط همه سرویس‌ها پشتیبانی نمی‌شود

بیومتریک

اسکنرهای اثر انگشت (Touch ID)، تشخیص چهره (Face ID) و اسکنرهای عنبیه از ویژگی‌های فیزیکی شما به عنوان عامل احراز هویت استفاده می‌کنند. بیومتریک راحت است — همیشه با خود دارید و نمی‌توان آن را فراموش کرد. آنها به عنوان عامل دوم در کنار رمزهای عبور در بسیاری از دستگاه‌ها و سرویس‌ها کار می‌کنند. با این حال، بیومتریک در صورت به خطر افتادن قابل تغییر نیست (برخلاف رمز عبور) و می‌تواند توسط مجریان قانون در بسیاری از حوزه‌های قضایی اجباری شود. کیفیت در دستگاه‌ها به طور قابل توجهی متفاوت است.

  • مزایا: راحت، همیشه در دسترس، احراز هویت سریع، تکرار آن دشوار
  • معایب: در صورت به خطر افتادن قابل تغییر نیست، می‌تواند به طور قانونی اجباری شود، کیفیت بسته به دستگاه متفاوت است

Passkeys

Passkeys جدیدترین استاندارد احراز هویت هستند که برای جایگزینی کامل رمزهای عبور طراحی شده‌اند. بر اساس FIDO2/WebAuthn، passkeys از رمزنگاری کلید عمومی استفاده می‌کنند — دستگاه شما یک کلید خصوصی ذخیره می‌کند و سرویس کلید عمومی متناظر را ذخیره می‌کند. احراز هویت از طریق حسگر بیومتریک یا PIN دستگاه شما اتفاق می‌افتد، بدون نیاز به تایپ کردن، فیش کردن یا دزدیدن رمز عبور. اپل، گوگل و مایکروسافت پشتیبانی passkey را در سیستم‌عامل‌های خود ادغام کرده‌اند. Passkeys بین دستگاه‌ها از طریق iCloud Keychain، Google Password Manager یا سایر ارائه‌دهندگان همگام‌سازی می‌شوند و امنیت کلیدهای سخت‌افزاری را با راحتی بیومتریک ترکیب می‌کنند.

  • مزایا: مقاوم در برابر فیشینگ، بدون نیاز به به خاطر سپردن رمز عبور، همگام‌سازی بین دستگاه‌ها، سریع
  • معایب: نسبتاً جدید، هنوز به طور جهانی پشتیبانی نمی‌شود، نگرانی‌های قفل پلتفرم با passkeys همگام‌شده

بهترین روش‌های 2FA

  1. اول 2FA را روی حساب ایمیل خود فعال کنید — این کلید اصلی همه حساب‌های دیگر شماست. اگر کسی ایمیل شما را به خطر بیندازد، می‌تواند رمزهای عبور را در هر سرویسی که به آن متصل است بازنشانی کند. ایمیل شما مهم‌ترین حساب واحد برای محافظت با 2FA است.
  2. در صورت امکان از برنامه احراز هویت به جای SMS استفاده کنید. برنامه‌های TOTP در برابر تعویض سیم‌کارت و حملات SS7 ایمن هستند. اگر یک سرویس فقط 2FA مبتنی بر SMS ارائه می‌دهد، در هر صورت از آن استفاده کنید — SMS 2FA هنوز به طور چشمگیری بهتر از بدون 2FA است.
  3. کدهای پشتیبان را در مکانی امن و جداگانه نگه دارید. آنها را در یک مدیر رمز عبور (متفاوت از مدیری که با 2FA محافظت می‌شود) ذخیره کنید، چاپ کنید و در یک گاوصندوق نگه دارید، یا روی کاغذی که به طور ایمن نگهداری می‌شود بنویسید. هرگز کدهای پشتیبان را در یک یادداشت رمزگذاری‌نشده روی همان دستگاه احراز هویت خود ذخیره نکنید.
  4. یک کلید امنیتی سخت‌افزاری را در نظر بگیرید برای حیاتی‌ترین حساب‌های خود — ایمیل، بانکداری، فضای ذخیره‌سازی ابری و مدیران رمز عبور. یک YubiKey 5 NFC ($50) با USB-A، USB-C و NFC کار می‌کند و تقریباً همه دستگاه‌ها را پوشش می‌دهد. دو کلید را برای هر حساب ثبت کنید تا یک پشتیبان داشته باشید.
  5. به طور منظم بررسی کنید کدام حساب‌ها 2FA فعال دارند. از یک مدیر رمز عبور برای پیگیری استفاده کنید. ترتیب اولویت: ایمیل، خدمات بانکی و مالی، فضای ذخیره‌سازی ابری، رسانه‌های اجتماعی، سایت‌های خرید با روش‌های پرداخت ذخیره‌شده و هر حساب کاری یا حرفه‌ای.

نحوه راه‌اندازی 2FA

راه‌اندازی 2FA کمتر از پنج دقیقه برای هر حساب طول می‌کشد. در اینجا فرآیند برای 2FA مبتنی بر برنامه احراز هویت آمده است که روش توصیه‌شده برای اکثر افراد است:

  1. تنظیمات امنیتی را باز کنید:به تنظیمات امنیتی حساب خود بروید. به دنبال "احراز هویت دو عاملی"، "تأیید 2 مرحله‌ای" یا "امنیت ورود" بگردید. در گوگل، به myaccount.google.com > Security > 2-Step Verification بروید. در اپل، به Settings > [نام شما] > Sign-In & Security بروید.
  2. یک روش 2FA انتخاب کنید:روش 2FA خود را انتخاب کنید. "Authenticator App" را برای بهترین تعادل بین امنیت و راحتی انتخاب کنید. اگر برنامه TOTP ندارید، یکی نصب کنید — Google Authenticator، Authy یا Ente Auth همگی گزینه‌های قوی هستند. Authy و Ente Auth پشتیبان‌گیری ابری رمزگذاری‌شده از کدهای شما را ارائه می‌دهند.
  3. کد QR را اسکن کنید:کد QR نمایش‌داده‌شده روی صفحه را با برنامه احراز هویت خود اسکن کنید. برنامه یک کد 6 رقمی تولید می‌کند که هر 30 ثانیه به‌روزرسانی می‌شود. کد فعلی را وارد کنید تا تأیید کنید که راه‌اندازی به درستی کار می‌کند.
  4. کدهای پشتیبان را ذخیره کنید:کدهای پشتیبان خود را بلافاصله ذخیره کنید. اکثر سرویس‌ها کدهای بازیابی یک‌بار مصرف ارائه می‌دهند که به شما اجازه می‌دهد در صورت گم کردن دستگاه احراز هویت، دسترسی را بازیابی کنید. آنها را در یک مدیر رمز عبور ذخیره کنید، چاپ کنید یا یادداشت کنید و در مکانی امن جدا از دستگاه‌های خود نگه دارید. بدون کدهای پشتیبان، گم کردن تلفن می‌تواند شما را به طور دائم از حساب خود قفل کند.

سوالات متداول

به همین دلیل کدهای پشتیبان ضروری هستند. وقتی 2FA را راه‌اندازی می‌کنید، اکثر سرویس‌ها کدهای بازیابی ارائه می‌دهند — کدهای یک‌بار مصرف که 2FA را دور می‌زنند. از یکی برای بازیابی دسترسی استفاده کنید، سپس 2FA را دوباره روی دستگاه جدید خود راه‌اندازی کنید. اگر از Authy یا Ente Auth استفاده می‌کنید، کدهای شما در ذخیره‌سازی ابری رمزگذاری‌شده پشتیبان‌گیری می‌شوند و می‌توانند روی دستگاه جدید بازیابی شوند. Google Authenticator اکنون از پشتیبان‌گیری ابری نیز پشتیبانی می‌کند. اگر کد پشتیبان و روش بازیابی ندارید، باید فرآیند بازیابی حساب سرویس را طی کنید که ممکن است روزها یا هفته‌ها طول بکشد و نیاز به تأیید هویت داشته باشد.

قطعاً بله. علی‌رغم آسیب‌پذیری‌های آن در برابر تعویض سیم‌کارت و حملات SS7، SMS 2FA اکثریت قریب به اتفاق حملات خودکار را مسدود می‌کند. تحقیقات گوگل نشان داد که این روش 100% ربات‌های خودکار و 96% فیشینگ انبوه را متوقف می‌کند. مدل تهدید واقع‌بینانه برای اکثر افراد شامل تعویض سیم‌کارت هدفمند نیست — این عمدتاً برای اهداف با ارزش بالا مانند دارندگان ارز رمز و چهره‌های عمومی خطر است. اگر یک سرویس فقط SMS 2FA ارائه می‌دهد، آن را فعال کنید. هر 2FA به طور چشمگیری بهتر از بدون 2FA است.

هیچ روش 2FA 100% غیرقابل شکست نیست، اما دشواری به طور قابل توجهی متفاوت است. کدهای SMS می‌توانند از طریق تعویض سیم‌کارت رهگیری شوند. کدهای TOTP می‌توانند در زمان واقعی با حملات پیچیده‌ای که کدها را به صفحه ورود واقعی منتقل می‌کنند، فیش شوند. با این حال، کلیدهای امنیتی سخت‌افزاری که از FIDO2 استفاده می‌کنند، طبق طراحی در برابر فیشینگ مقاوم هستند — کلید دامنه وب‌سایت را به صورت رمزنگاری شده تأیید می‌کند و فیشینگ را غیرممکن می‌سازد. Passkeys همان حفاظت را به ارث می‌برند. برای اکثر افراد، 2FA مبتنی بر TOTP بیش از کافی در برابر تهدیدات واقع‌بینانه محافظت می‌کند.

ایده‌آل بله، اما به صورت استراتژیک اولویت‌بندی کنید. حساب ایمیل شما حیاتی‌ترین است — این مکانیزم بازیابی برای همه چیز دیگر است. سپس، 2FA را در سرویس‌های بانکی و مالی، فضای ذخیره‌سازی ابری (Google Drive، iCloud، Dropbox)، رسانه‌های اجتماعی، هر حسابی با اطلاعات پرداخت ذخیره‌شده و مدیر رمز عبور خود فعال کنید. حساب‌های دور انداختنی با اولویت پایین بدون داده‌های شخصی را می‌توان در صورت تحت فشار قرار گرفتن نادیده گرفت، اما هدف باید 2FA در همه جا باشد.

کلیدهای امنیتی سخت‌افزاری (YubiKey، Google Titan) که از استاندارد FIDO2/WebAuthn استفاده می‌کنند، امن‌ترین شکل 2FA موجود هستند. آنها طبق طراحی در برابر فیشینگ مقاوم هستند، نیاز به مالکیت فیزیکی دارند و هیچ کدی برای رهگیری یا انتقال ندارند. Passkeys امنیت مشابهی را با راحتی اضافه‌شده همگام‌سازی ابری ارائه می‌دهند. برنامه‌های احراز هویت TOTP گزینه بعدی هستند — به طور قابل توجهی امن‌تر از SMS. SMS ضعیف‌ترین 2FA است اما همچنان بسیار بهتر از احراز هویت فقط با رمز عبور است.

بله، این هدف طراحی آنهاست. Passkeys رمز عبور و عامل دوم را در یک مرحله احراز هویت مقاوم در برابر فیشینگ ترکیب می‌کنند. به جای تایپ رمز عبور و سپس وارد کردن یک کد، به سادگی با حسگر بیومتریک یا PIN دستگاه خود احراز هویت می‌کنید. رمزنگاری زیرین FIDO2 امنیت قوی‌تری نسبت به رمز عبور + TOTP ترکیبی فراهم می‌کند. با این حال، پذیرش passkey هنوز در حال رشد است — همه سرویس‌ها هنوز از آن پشتیبانی نمی‌کنند. در دوره گذار، از 2FA سنتی (برنامه احراز هویت یا کلید سخت‌افزاری) در سرویس‌هایی که هنوز از passkeys پشتیبانی نمی‌کنند، استفاده کنید.