امروزه در بسیاری از وب سایت ها از سیستم تعیین هویت دو مرحله ای برای ورود به ناحیه کاربری استفاده می شود تا امنیت بیشتری برای آن وب سایت و کاربرانش فراهم شود. اما چرا باید ورود به یک وب سایت هر روز سخت شود؟ خوب علتش این است که آسب پذیرترین نقطه یک وب سایت فرم های ورود کاربران است به خصوص برای کاربرانی با سطح دسترسی بالاتر این حساسیت بیشتر می شود. در همین راستا وردپرس هم برای امنیت بیشتر نرم افزار خود این قابلیت را بسته خود اضافه کرده است.

تعیین هویت دو مرحله ای چیست؟

رمز عبور برای ورود به ناحیه کاربری یک استاندارد غیر رسمی در دنیای وب است و در عین حال شکستن آنها خیلی سخت نیست. حتی اگر یک رمز عبور بسیار سخت داشته باشید که شکستن آن کار ساده ای نباشد باید بدانید که این رمز عبور باید جایی در سرور آن وب سایت ذخیره شود و اگر کسی به سرور مربوطه دسترسی داشته باشد به راحتی می تواند به این رمز عبور دسترسی پیدا کند. برای شناسایی یک فرد سه راه وجود دارد با استفاده از آنچه که هستند، آنچه که دارند و چیزهایی که می دانند.

ورود به ناحیه کاربری با استفاده از نام کاربری و رمز عبور یک سیستم تعیین هویت تک مرحله ای است. این روش فقط به آنچه که شما می دانید اکتفا می کند. اما با سیستم تعیین هویت دو مرحله ای به جای استفاده از فقط یک روش شما دو تا از سه تا روش ممکن را استفاده می کنید تا هویت خود را ثابت کنید. در این سیستم تعیین هویت هنوز از رمز عبور برای شناسایی شما استفاده می شود اما در کنار آن اطلاعات دیگری مانند شماره تلفن، یا هر شماره دیگری هم برای تعیین هویت مورد استفاده می شود تا امنیت بیشتری داشته باشد و هک کردن شما سخت تر شود.

سه روش شناسایی ممکن

سه روش ممکن برای شناسایی و تعیین هویت افراد به شرح زیر هستند:

با استفاده از آنچه که هستید!

صفات زیادی وجود دارند که برای هر فردی منحصر به فرد هستند و با استفاده از آنها می توان هر کسی را شناسایی کرد. معروف ترین آنها اثر انگشت، شبکیه چشم، الگوی شریانی، صدا، DNA است یا هر چیز دیگری که برای هر فردی منحصر به فرد باشد را می توان به این منظور استفاده کرد. که به آن اطلاعات بیومتریک هم گفته می شود چون مربوط به خصوصیات بیولوژی فرد است.

عوامل بیومتریک بسیار جالب هستند چون نمی توانند جعل شوند و همچنین هیچگاه فرد آنها را گم نمی کند. هر چند استفاده از چنین اطلاعاتی می تواند مشکلاتی هم در بر داشته باشد به عنوان مثال اگر هکری به یک بانک اطلاعاتی حاوی اثر انگشت کاربران دسترسی پیدا کند نمی توان اثر انگشت آنها را عوض کرد!

شرکت اَپل با عرضه TouchID به کاربران خود اجازه می داد قفل نرم افزاری گوشی آیفون خود را با استفاده از اثر انگشت باز کنند. این فناوری برای اثر انگشت بسیار مناسب است چون اثر انگشت شخص به صورت محلی ذخیره می شود و مانند وب سایت ها اثر انگشت افراد روی یک سرور ذخیره نمی شود تا هکری بتواند به آنها دسترسی پیدا کند. هنوز برای این روش هم ملاحظاتی وجود دارد اما بیشترین مصرف تعیین هویت با استفاده از اثر انگشت به همین شکل است.

چیزهایی که دارید؟

در این روش تعیین هویت هر کاربر با استفاده از وسیله ای که در دست دارد شناسایی می شود. در این روش شرکت اصلی بین کاربران خود دستگاههایی توزیع می کند که تولید یک سری کلید ها و رمز ها می کند و برای هر کاربر منحصر به فرد است. به این ترتیب زنجیره ای از کلید ها وجود دارد برای هر کاربر به ازای هر 30 ثانیه یک رمز تولید می کند و این کلید باید هر بار همراه با رمز عبور وارد شود تا وارد ناحیه کاربری شوید. برخی از بانک های کشورمان به این روش برای خدمات بانکی اینترنتی عمل می کنند.

امروزه معمولاً از گوشی تلفن همراه هوشمند کاربر استفاده می شود تا نیاز به سخت افزار دیگری نباشد. یکی از روش های معمول استفاده از SMS به عنوان عامل دوم تعیین هویت است و کد مربوطه را هنگام ورود برای کاربر ارسال می کنند. متاسفانه SMS یک کانال امن برای انتقال اطلاعات نیست بنابراین از تلفن های همراه هوشمند استفاده می شود تا با نصب افزونه ها و برنامه های کاربردی (اپلیکشن ها) این کانال امن به صورت نرم افزار و با رمزنگاری ایجاد شود.

چیزهایی که می دانید

این روش معمول ترین روش تعیین هویت است که برای اساس دانسته های فرد انجام می گیرد. به این ترتیب با توجه با دانسته ها یا دانش فرد پرسشی مطرح می شود که پاسخی منحصر به فرد دارد و معمولاً پیدا کردن پاسخ آن با استفاده از حدس زدن بسیار مشکل است.

اولین چالش برای ورود امن اطمینان از این است که بتوانید رمز عبور خود را به صورت امن به وب سایت مربوطه ارسال نمایید چون در مسیر ارسال ممکن است اطلاعات شما در اختیار هکرها قرار بگیرد و به همین دلیل است که باید هنگام ثبت نام یا ورود به ناحیه کاربری از مسیر امن SSL استفاده کنید.

به محض اینکه رمز عبور انتخاب شد باید محرمانه بماند نباید هیچ کس دیگری به آن دسترسی داشته باشد یا نوشته شود، از این رمز عبور جای دیگری استفاده شود و وب سایت مربوطه هم باید از بانک اطلاعاتی خود به خوبی مراقبت کند تا رمز عبور افراد در اختیار هکر ها قرار نگیرد.

و بلاخره رمز های عبور باید چک شوند. کاربر باید بتواند هر زمان که خواست رمز عبور خود را عوض کند و اگر از رمز عبورش کپی برداری شد باید به او اطلاع داده شود. همه این کار ها باید از طریق لایه امن SSL انجام شود.

و اما وردپرس

تیم امنیتی ورد پرس اعلام کرده است که ملاحطات امنیتی بسیاری برای یک وب سایت وجود دارد اما ضعیف ترین قسمت وب سایت وردپرسی از نظر امنیتی رمز عبور است بنابراین واقعا می ارزد اگر برای امنیت بالای ورود کاربران انرژی بیشتری بگذارید.

سیستم تعیین هویت دو مرحله ای برای همه کاربران وردپرس به صورت رایگان و به کمک افزونه هایی که برای این منظور طراحی شده اند در دسترس هستند.

مشکلات

همانطوری که از نام آن پیداست اضافه کردن یک مرحله برای ورود به وب سایت و طولانی کردن پروسه ورود برای کاربران خوشایند نیست. و به همین دلیل بسیاری از صاحبان وب سایت ها از این روش استفاده نمی کنند تا کاربران خود را از دست ندهند.

یکی دیگر از مشکلات این است که در این نوع ورود ممکن است در اثر یک فراموشی یا عدم دسترسی به وسیله ای فرد نتواند وارد حساب کاربری خود شود. به همین دلیل است استفاده از گوشی های هوشمند همراه امروزه بسیار متداول شده اند چون افراد معمولاً گوشی تلفن همراه خود را فراموش نمی کنند.

افزونه هایی برای ورود دو مرحله ای

• Clef

• WordFence

• Authy

• Duo

علی یزدی مقدم

مطالب مرتبط:

• ویرایش قالب و افزونه های وردپرس را برای کاربران غیر فعال کنید.
• نکاتی برای بهینه سازی کد های php
• چگونه قابلیت آنتی پیشینگ یک آنتی ویروس تست می شود؟
• کسب و کار خود را برای یک فاجعه کامپیوتری آماده کنید