RaazNet

رازنتبتا

دانشنامه
در این صفحه

راهبردهای احراز هویت چندعاملی

راهنمای جامع احراز هویت چندعاملی (MFA) متناسب با بافت ایران، با اولویت‌بندی روش‌های مقاوم در برابر رهگیری دولتی و نفوذ سیم‌کارت.

Time10 minutes

استراتژی‌های احراز هویت چندمرحله‌ای (MFA)

در دنیای امنیت دیجیتال امروزی، داشتن یک رمز عبور قوی دیگر برای محافظت از حساب‌های کاربری حساس کافی نیست. برای کاربران ایرانی که با تهدیدات دوگانه "هکرهای مجرم" و "نظارت‌های دولتی" روبرو هستند، احراز هویت چندمرحله‌ای (MFA) — که اغلب با نام احراز هویت دوعاملی (2FA) شناخته می‌شود — یک لایه دفاعی الزامی است.

این راهنما امن‌ترین استراتژی‌های MFA را با تمرکز ویژه بر فیلتر کردن روش‌های آسیب‌پذیر در زیرساخت‌های مخابراتی ایران و اولویت دادن به روش‌هایی که در برابر شنود و توقیف فیزیکی دستگاه مقاوم هستند، تشریح می‌کند.

درک احراز هویت چندمرحله‌ای (MFA)

MFA کاربر را ملزم می‌کند تا برای دسترسی به حساب کاربری، دو یا چند مدرک (عامل) را به سیستم ارائه دهد. این عوامل معمولاً در سه دسته قرار می‌گیرند:

۱. چیزی که می‌دانید: رمز عبور یا عبارت عبور شما. ۲. چیزی که دارید: کلید سخت‌افزاری، تلفن هوشمند دارای اپلیکیشن احراز هویت، یا کارت هوشمند. ۳. چیزی که هستید: ویژگی‌های بیومتریک (اثر انگشت، تشخیص چهره). نکته: استفاده از بیومتریک برای مدل‌های تهدید با ریسک بالا، به دلیل احتمال بازگشایی اجباری قفل توسط ضابطین، معمولاً توصیه نمی‌شود.

اگر یک مهاجم رمز عبور شما را بدزدد (از طریق نشت اطلاعات یا فیشینگ)، MFA مانع از دسترسی او به حساب شما می‌شود، زیرا او عامل دوم یعنی "چیزی که دارید" را در اختیار ندارد.

سلسله‌مراتب روش‌های احراز هویت

همه روش‌های MFA امنیت برابری ندارند. در شرایط ایران، جایی که ارائه‌دهندگان خدمات مخابراتی (ISPها و اپراتورهای موبایل) تحت کنترل و نظارت دولت هستند، تمایز بین MFA "ضعیف" و "قوی" حیاتی است.

۱. امنیت بالا: کلیدهای امنیتی سخت‌افزاری (FIDO2/WebAuthn)

بهترین گزینه برای: حساب‌های با ریسک بالا (ایمیل، فضای ابری، حساب‌های اصلی هویت).

کلیدهای سخت‌افزاری (مانند YubiKey یا Nitrokey) دستگاه‌های فیزیکی USB یا NFC هستند. آنها از استاندارد FIDO2/WebAuthn استفاده می‌کنند که بر پایه رمزنگاری کلید عمومی بنا شده است.

  • مقاوم در برابر فیشینگ: کلید، دامنه وب‌سایت را به مرورگر اعلام می‌کند. اگر شما در یک سایت فیشینگ جعلی (مثلاً g00gle.com) باشید، کلید از احراز هویت خودداری می‌کند.
  • الزام فیزیکی: مهاجم باید کلید را به صورت فیزیکی بدزدد تا بتواند به حساب دسترسی پیدا کند.
  • در بستر ایران: اگرچه این روش بسیار امن است، خرید این دستگاه‌ها در ایران به دلیل تحریم‌ها و محدودیت‌های پستی دشوار است. اگر یکی از آن‌ها را دارید، این استاندارد طلایی امنیت است.

۲. امنیت قوی: اپلیکیشن‌های تولید رمز (TOTP)

بهترین گزینه برای: اکثر کاربران و حساب‌های عمومی.

اپلیکیشن‌های "رمز یکبار مصرف مبتنی بر زمان" (TOTP) یک کد ۶ رقمی تولید می‌کنند که هر ۳۰ ثانیه تغییر می‌کند. کلید "سرّی" به صورت محلی در دستگاه شما ذخیره می‌شود.

  • عملکرد آفلاین: این اپلیکیشن‌ها برای کار کردن به اینترنت یا سیگنال SMS نیاز ندارند، که باعث می‌شود در برابر قطعی اینترنت (اینترانت ملی) مصون باشند.
  • غیرمتمرکز: کدها روی دستگاه شما تولید می‌شوند و در شبکه ارسال نمی‌شوند.
  • در بستر ایران: این استاندارد توصیه‌شده برای کاربران ایرانی است. این روش به طور کامل شبکه مخابراتی را دور می‌زند و شنود سیم‌کارت را بی‌اثر می‌کند.

۳. امنیت پایین: تایید پیامکی (SMS) و تماس صوتی

سطح ریسک: بالا / خطرناک.

کدها از طریق پیام متنی یا تماس تلفنی به سیم‌کارت شما ارسال می‌شوند.

  • آسیب‌پذیری: پیامک‌ها رمزنگاری نشده‌اند و از طریق شبکه اپراتور موبایل منتقل می‌شوند.
  • در بستر ایران: اپراتورهای موبایل در ایران (همراه اول، ایرانسل، رایتل) قانوناً ملزم به همکاری با سرویس‌های امنیتی هستند. شنود SMS برای نهادهای دولتی کاری پیش‌پاافتاده است. علاوه بر این، حملات تعویض سیم‌کارت (SIM Swapping) — که در آن مهاجم اپراتور را متقاعد می‌کند شماره شما را به سیم‌کارت خود منتقل کند — یک تهدید جدی است.
  • توصیه: هر جا که ممکن است، MFA پیامکی را غیرفعال کنید. اگر سرویسی الزاماً شماره تلفن می‌خواهد، سعی کنید از شماره‌های مجازی غیر ایرانی (مانند Google Voice) استفاده کنید که با رمز عبور قوی و TOTP محافظت می‌شوند؛ هرچند بسیاری از سرویس‌ها اکنون شماره‌های VoIP را مسدود می‌کنند.

۴. امنیت پایین: تایید ایمیلی

سطح ریسک: متوسط تا بالا.

کدها به آدرس ایمیل شما ارسال می‌شوند.

  • آسیب‌پذیری: اگر حساب ایمیل شما به خطر بیفتد، مهاجم به تمام حساب‌های دیگری که به آن متصل هستند دسترسی پیدا می‌کند.
  • توصیه: تنها در صورتی از این روش استفاده کنید که TOTP در دسترس نباشد. اطمینان حاصل کنید که خودِ حساب ایمیل با یک کلید سخت‌افزاری یا TOTP محافظت شده باشد.

نرم‌افزارهای پیشنهادی (اپلیکیشن‌های TOTP)

برای کاربران ایرانی، انتخاب اپلیکیشن احراز هویت حیاتی است. شما باید اپلیکیشن‌های متن‌باز (Open Source) را در اولویت قرار دهید که آفلاین کار می‌کنند و از نسخه‌های پشتیبان رمزنگاری‌شده پشتیبانی می‌کنند. از اپلیکیشن‌های اختصاصی (مانند Google Authenticator) که همگام‌سازی ابری اجباری بدون رمزنگاری سرتاسری دارند یا برای ثبت‌نام نیاز به شماره تلفن دارند، اجتناب کنید.

اندروید (Android)

Aegis Authenticator برترین توصیه است.

  • ویژگی‌ها: رایگان، متن‌باز، کاملاً آفلاین.
  • امنیت: دارای مخزن (Vault) رمزنگاری شده. پشتیبانی از بازگشایی با بیومتریک.
  • پشتیبان‌گیری: به شما اجازه می‌دهد از مخزن خود خروجی (Exprot) رمزنگاری شده بگیرید. این ویژگی برای زمانی که نیاز به تعویض گوشی دارید یا دستگاه شما توقیف می‌شود، حیاتی است.
  • دانلود: موجود در F-Droid (ترجیحاً) و Google Play.

KeePassDX / KeePassXC

  • اگر از یک مدیریت‌کننده رمز عبور مانند KeePassDX استفاده می‌کنید، می‌توانید کدهای TOTP را مستقیماً در پایگاه داده رمزهای خود ذخیره کنید. این کار اعتبارنامه‌های شما را یکپارچه می‌کند اما در صورت لو رفتن پایگاه داده، یک "نقطه شکست واحد" ایجاد می‌کند.

آی‌اواس (iOS/iPhone)

Ente Auth

  • ویژگی‌ها: متن‌باز، پشتیبانی از پشتیبان‌گیری رمزنگاری شده سرتاسری (E2EE)، کارکرد در تمامی دستگاه‌ها (دسکتاپ/موبایل).
  • امنیت: کد منبع قابل بازرسی است.

KeePassium / Strongbox

  • این مدیریت‌کننده‌های رمز عبور نیز می‌توانند کدهای TOTP را به طور موثری در اکوسیستم iOS مدیریت کنند.

دسکتاپ (ویندوز/لینوکس/مک)

KeePassXC

  • در حالی که اپلیکیشن‌های موبایل عموماً امن‌تر هستند (به دلیل سندباکس بودن اپلیکیشن‌ها)، KeePassXC برای استفاده در دسکتاپ عالی است. این برنامه امکان پر کردن خودکار کدهای TOTP را فراهم می‌کند که شما را در برابر کی‌لاگرها (Keyloggers) محافظت می‌کند.

پیاده‌سازی استراتژیک برای کاربران ایرانی

۱. بررسی و مهاجرت

حساب‌های حیاتی خود را بازبینی کنید (گوگل، تلگرام، توییتر/ایکس، اینستاگرام، پروتون‌میل).

۱. وارد تنظیمات امنیتی شوید. ۲. اگر SMS فعال است، آن را غیرفعال کنید. ۳. یک اپلیکیشن احراز هویت (TOTP) را فعال کنید. ۴. کد QR را با Aegis (اندروید) یا Ente Auth (آی‌اواس) اسکن کنید.

۲. استراتژی پشتیبان‌گیری (حیاتی)

در ایران، خطر توقیف دستگاه توسط نیروهای امنیتی کاملاً واقعی است. اگر گوشی خود را از دست بدهید و نسخه پشتیبان نداشته باشید، دسترسی به حساب‌هایتان را از دست می‌دهید.

  • کدهای پشتیبان ثابت (Backup Codes): هنگام تنظیم MFA، سرویس‌ها ۸ تا ۱۰ "کد پشتیبان" ارائه می‌دهند. این کدها را پرینت بگیرید یا در یک مکان بسیار امن و رمزنگاری شده ذخیره کنید (مثلاً در یک درایو VeraCrypt روی یک فلش USB که جداگانه مخفی شده است).
  • پشتیبان‌گیری از اپلیکیشن: Aegis یا Ente Auth را طوری تنظیم کنید که به‌طور خودکار نسخه‌های پشتیبان رمزنگاری شده را در مکانی ذخیره کنند که از دستگاهی دیگر قابل دسترسی باشد (مثلاً یک سرویس ابری امن یا یک درایو محلی).

۳. امنیت تلگرام

تلگرام به طور گسترده در ایران استفاده می‌شود. برای ایمن‌سازی آن:

۱. به مسیر Settings > Privacy and Security بروید. ۲. گزینه Two-Step Verification (تایید دو مرحله‌ای / رمز عبور ابری) را فعال کنید. این یک رمز عبور ثابت است که علاوه بر کد SMS نیاز خواهد بود. ۳. بدون این رمز، هر کسی که SMS شما را رهگیری کند (عوامل دولتی)، می‌تواند حساب تلگرام شما را تصاحب کند.

۴. اجتناب از آسیب‌پذیری‌های مبتنی بر سیم‌کارت

  • تعویض سیم‌کارت (SIM Swapping): مهاجمان ممکن است خود را جای شما جا بزنند تا اپراتور را فریب دهند و شماره تلفن شما را بدزدند. وقتی شماره شما را داشته باشند، کدهای تایید SMS شما را دریافت می‌کنند.
  • دفاع: این موضوع بر این قانون تاکید می‌کند: از SMS برای احراز هویت استفاده نکنید. اگر سرویسی شما را مجبور به استفاده از 2FA پیامکی می‌کند و نمی‌توانید از شماره VoIP استفاده کنید، آگاه باشید که امنیت حساب شما به امنیت شبکه موبایل ایران گره خورده است، که ذاتاً آسیب‌پذیر است.

واکنش اضطراری

اگر شک کردید که دستگاه شما هک شده یا توقیف شده است:

۱. از طریق یک دستگاه امن، با استفاده از کدهای پشتیبان خود وارد حساب‌ها شوید. ۲. دسترسی دستگاه گمشده را قطع کنید (معمولاً در بخش "Devices" یا "Active Sessions"). ۳. رمزهای عبور خود را تغییر دهید. ۴. در صورت امکان، کدهای 2FA را تغییر دهید (احراز هویت قبلی را حذف و جدید تنظیم کنید).

خلاصه پیشنهادات

برای بالاترین سطح امنیتی که برای عموم مردم در ایران قابل دسترسی باشد:

۱. از یک مدیریت‌کننده رمز عبور (KeePassXC/Bitwarden) برای رمزهای عبور قوی و منحصر‌به‌فرد استفاده کنید. ۲. از Aegis یا Ente Auth برای TOTP MFA روی تمام حساب‌ها استفاده کنید. ۳. MFA پیامکی (SMS) را اکیداً غیرفعال کنید. ۴. کدهای پشتیبان خود را ایمن کنید (آفلاین یا در یک درایو رمزنگاری شده) تا در برابر توقیف دستگاه مقاوم باشید.

منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.