احراز هویت چندعاملی (Multi-factor authentication) یا  MFA عبارتست از یک فرآیند امنیتی که کاربران را ملزم می‌کند تا قبل از اینکه بتوانند به شبکه‌ها یا دیگر برنامه‌های آنلاین دسترسی یابند به درخواست‌های تأیید هویت خود پاسخ بدهند. احراز هویت چندعاملی ممکن است از دانش/اطلاعات (knowledge)، مالکیت اشیاء فیزیکی، یا مکان‌های جغرافیایی یا شبکه برای تأیید هویت استفاده کند.

چرا به احراز هویت چندعاملی نیاز داریم؟

از آنجا که سازمان‌ها عملیات‌ها را دیجیتال می‌کنند و مسئولیت بیشتری برای ذخیره‌ی داده‌های مشتری بر عهده دارند، ریسک‌ها و نیاز به امنیت افزایش پیدا می‌کند. از آنجا که مهاجمان (attackers) مدتهاست از داده‌های ورود به سیستم (لاگین/login) کاربر برای ورود به سیستم‌های بسیار مهم استفاده می‌کنند، تأیید هویت کاربر به امری ضروری تبدیل شده است.

احراز هویت بر اساس نام‌های کاربری و رمزهای عبور به تنهایی نامعتبر و ناکارآمد است، چون کاربران ممکن است در ذخیره، به خاطرسپاری و مدیریت آنها در چند حساب با مشکل روبرو شوند و بسیاری از افراد رمزهای عبور را در دیگر سرویس‌ها دوباره استفاده می‌کنند و رمزهای عبور فاقد پیچیدگی را ایجاد می‌کنند. رمزهای عبور، به خاطر سهولت در دستیابی از طریق هک (hacking)، فیشینگ (phishing) و بدافزار (malware)، امنیت ضعیفی دارند.

نمونه‌هایی از احراز هویت چندعاملی کدامند؟

رایج‌ترین نمونه از احراز هویت چندعاملی عبارتست از فرآیند استفاده از دستگاه خودپرداز یا ATM در بانک. کاربران برای دسترسی به حساب‌های خود باید یک کارت بانکی (یک عامل فیزیکی) و یک کد عبور یا PIN (عامل دانش) را وارد کنند.

نمونه‌ی آشنای دیگر عبارتست از روش رمز عبور یک بار مصرف مبتنی بر زمان (TOTP) که از سوی مؤسسات مالی و سایر شرکت‌های بزرگ برای ایمن‌سازی گردش‌کارها، برنامه‌های کاربردی و حساب‌ها استفاده می‌شود. پس از درخواست ورود به سیستم/لاگین، از کاربران خواسته می‌شود تا کلمه‌ی عبور موقتی (temporary passcode) که از طریق پیام متنی، تماس تلفنی یا ایمیل برایشان ارسال شده را وارد کنند.

احراز هویت چندعاملی چطور کار می‌کند؟

احراز هویت چندعاملی به ابزارهای تأییدی نیاز دارد که کاربران غیرمجاز در اختیار ندارند. از آنجا که کلمه‌های عبور برای تأیید هویت کافی نیستند، احراز هویت چندعاملی برای تأیید هویت به شواهد متعددی نیاز دارد. رایج‌ترین نوع احراز هویت چندعاملی عبارتست از احراز هویت دو‌مرحله‌ای (two-factor authentication) یا 2FA. اصل کلی اینست که حتی اگر عوامل تهدید بتوانند هویت کاربر را با یک مدرک جعل کنند، نمی‌توانند دو یا چند مدرک را ارائه دهند.

احراز هویت چندعاملیِ مناسب، عواملی از حداقل دو دسته‌ی مختلف را به کار می‌برد. استفاده از دو مورد از یک دسته‌ی هدف، احراز هویت چندعاملی را محقق نخواهد کرد. علیرغم استفاده‌ی گسترده از ترکیب کلمه‌ی عبور/سؤال امنیتی، هر دو عامل از دسته‌ی دانش هستند و به عنوان احراز هویت چندعاملی واجد شرایط نیستند. رمز عبور و کلمه‌ی عبور موقت واجد شرایط هستند چون کلمه‌ی عبور یک عامل مالکیت (possession factor) است و مالکیت یک حساب ایمیل خاص یا دستگاه تلفن همراه را تأیید می‌کند.

آیا استفاده از احراز هویت چندعاملی پیچیده است؟

احراز هویت چندعاملی یک یا دو مرحله‌ی اضافی در طول فرآیند ورود به سیستم را ارائه می‌دهد، ولی پیچیده نیست. صنعت امنیت در حال ایجاد راهکارهایی برای ساده‌سازی فرآیند احراز هویت چندعاملی است و تکنولوژی احراز هویت با تکامل آن شهودی‌تر خواهد شد.

برای مثال، عوامل بیومتریک (biometric factors) همچون اثر انگشت (fingerprints) و اسکن صورت (face scans) ورود به سیستم سریع و معتبر را فراهم می‌کنند. تکنولوژی‌های جدیدی که از ویژگی‌های دستگاه تلفن همراه مانند GPS، دوربین و میکروفون‌ به ‌عنوان عوامل احراز هویت استفاده می‌کنند، بهبود بیشتر فرآیند تأیید هویت را نوید می‌دهند. روش‌های ساده‌ای مثل اعلان‌های فشاری (push notifications)، برای تأیید هویت فقط به یک ضربه‌زدن روی تلفن هوشمند یا ساعت هوشمند کاربر نیاز دارند. 

سازمان‌ها چطور احراز هویت چندعاملی را فعالسازی می‌کنند؟

بسیاری از سیستم عامل‌ها، ارائه‌دهندگان خدمات و پلتفرم‌های مبتنی بر حساب، احراز هویت چندعاملی را در تنظیمات امنیتی خود دارند. برای کاربران مجزا یا مشاغل کوچک، استفاده از احراز هویت چندعاملی به سادگی و راحتی رفتن به تنظیمات سیستم عامل‌ها، پلتفرم‌های وب و ارائه‌دهندگان خدمات و فعالسازی این ویژگی‌ها است.

سازمان‌های بزرگ‌تر که پورتال‌های شبکه‌ی خود و چالش‌های پیچیده‌ی مدیریت کاربران را دارند، ممکن است به استفاده از یک برنامه‌ی احراز هویت مانند Duo نیاز داشته باشند، که یک مرحله‌ی احراز هویت اضافی حین ورود به سیستم را اضافه می‌کند. 

احراز هویت چندعاملی (MFA) و احراز هویت یکپارچه (SSO) چه تفاوتی دارند؟

احراز هویت چندعاملی، یک ارتقاء امنیتی است در حالیکه احراز هویت یکپارچه (single sign-on) یا SSO یک سیستم برای بهبود بهره‌وری است که به کاربران امکان می‌دهد برای دسترسی به سیستم‌ها و برنامه‌های متعدد، از یک مجموعه اعتبارنامه‌های ورود به سیستم (login credentials) استفاده کنند. ممکن است هر کدام از این برنامه‌ها قبلاً به ورود به سیستم خاص خودشان نیاز داشتند. 

در حالیکه احراز هویت یکپارچه به همراه احراز هویت چندعاملی کار می‌کند، اما جایگزین آن نمی‌شود. شرکت‌ها ممکن است به احراز هویت یکپارچه نیاز داشته باشند؛ بنابراین علاوه بر احراز هویت چند عاملی از نام‌های ایمیل شرکتی برای ورود به سیستم استفاده می‌شود. احراز هویت یکپارچه، با احراز هویت چندعاملی این کاربران را تأیید می‌کند و سپس با استفاده از توکن‌های نرم‌افزاری (software tokens)، احراز هویت را با چند برنامه‌ی کاربردی به اشتراک می‌گذارد. 

احراز هویت تطبیقی (adaptive authentication) چیست؟

در احراز هویت تطبیقی، قوانین احراز هویت همواره بر اساس متغیرهای زیر تنظیم می‌شوند:

• توسط کاربر یا گروه‌هایی از کاربران که بر اساس نقش، مسئولیت یا بخش تعریف شده‌اند
• توسط روش احراز هویت: به عنوان مثال، برای احراز هویت کاربران از طریق اعلان فشاری و نه از طریق پیام کوتاه (SMS)
• توسط برنامه‌ی کاربردی: برای اجرای روش‌های احراز هویت چندعاملی امن‌تر (مانند اعلان فشاری یا تأیید هویت دو عاملی جامع (Universal 2nd Factor یا U2F)) برای برنامه‌ها و خدمات دارای ریسک بالا
• توسط موقعیت جغرافیایی: برای محدود کردن دسترسی به منابع شرکت بر مبنای موقعیت فیزیکی یک کاربر، یا تنظیم سیاست‌های مشروط برای محدودسازی استفاده از روش‌های احراز هویت خاص در بعضی از مکان‌ها، و نه در دیگر مکان‌ها.
• توسط اطلاعات شبکه: برای استفاده از اطلاعات IP شبکه‌ی جاری به عنوان عامل احراز هویت و مسدود‌سازی تلاش‌های احراز هویت از شبکه‌های ناشناس مانند Tor، پروکسی‌ها و  VPN

مزایای احراز هویت چندعاملی چیست؟

افزایش اعتماد 

هزینه‌های حملات هک و فیشینگ ممکن است زیاد باشد. از آنجا که احراز هویت چندعاملی به ایمن‌سازی سیستم‌ها در برابر کاربران غیرمجاز و تهدیدات مرتبط با آنها کمک می‌کند، سازمان کلاً امن‌تر می‌شود.

اگر سازمان‌ها در درخواست از کاربران برای رعایت امنیت سفت و سخت‌تر مردّد باشند، بایستی در نظر داشته باشند که خود کاربران و به ویژه مشتریان ممکن است از امنیت بیشتر برای داده‌هایشان استقبال کنند. وقتی مشتریان به حفاظت‌های امنیتی (security protections) فروشنده اعتماد می‌کنند، به احتمال زیاد به سازمان اعتماد خواهند کرد؛ و این امر به این معناست که احراز هویت چندعاملی به یک مزیت رقابتی مهم تبدیل می‌شود.

-------------------------------------------------------------------------------------

کاهش هزینه‌ها

دفاع‌های موفق در برابر حملات می‌توانند بازگشت سرمایه را فراهم کنند که هزینه‌های یک راهکار احراز هویت چندعاملی را پوشش می‌دهد؛ به عنوان مثال، جلوگیری از حمله‌ی‌ پرهزینه و مخرب به منابع شبکه. احراز هویت چندعاملی حتی بدون جلوگیری از حملات می‌تواند با فراهم آوردن امکان برای بخش‌های IT جهت استقرار منابع به منظور حفاظت از سایر بخش‌های شبکه در برابر تهدیدات مختلف، در هزینه‌ی سازمان‌ها صرفه‌جویی کند.

-------------------------------------------------------------------------------------

ورود به سیستم آسان‌تر

با پیشرفت تکنولوژی احراز هویت چندعاملی و استفاده‌ی بیشتر از روش‌های غیرفعال مانند بیومتریک و توکن‌های نرم‌افزار، این روش کاربرپسندتر خواهد شد. فرآیندهای احراز هویت چندعاملی آسان به کاربران کمک می‌کند تا سریع‌تر وارد سیستم شوند، بنابراین کارمندان می‌توانند بهره‌وری بیشتری داشته باشند.

در تجارت الکترونیک (e-commerce)، مشکلات ورود به سیستم می‌تواند به معنای از دست رفتن فروش باشد. فرآیندهای احراز هویت چندعاملی کاربرپسند که تجربه‌ی کاربر را بهبود می‌بخشند، می‌توانند به مشتریان کمک کنند تا وارد سیستم شوند و در نهایت محصولات را خریداری کنند. 

روش‌های احراز هویت چندعاملی

دانش (Knowledge)

دانش (معمولاً رمز عبور)، متداول‌ترین ابزار مورد استفاده در راهکارهای احراز هویت چندعاملی است. اما، رمزهای عبور در عین سادگی به یک مشکل امنیتی تبدیل شده‌ و بهره‌وری را کاهش می‌دهند.

امروزه، کاربران رمزهای عبور بسیار زیادی دارند؛ کاربران برای سهولت مدیریت رمز‌های عبور، رمزهای عبوری ایجاد می‌کنند که ایمن نیستند یا به طور مکرر در پلتفرم‌ها استفاده می‌شوند. یکی دیگر از معایب اینست که دانش ممکن است فراموش شود یا اگر در جایی ذخیره شود ممکن است به سرقت برود.

سؤال امنیتی (روش دانش دیگری که به طور گسترده استفاده می‌شود، اما مورد توجه قرار نمی‌گیرد) از کاربر می‌خواهد که پاسخ یک سؤال شخصی را در پروفایل خود ذخیره کند و سپس آن را حین ورود به سیستم وارد کند. بسیاری از کاربران، این فرآیند را به دلیل نیاز به وارد کردن مکرر داده‌ها و ذخیره و مدیریت پاسخ‌ها دشوار می‌دانند. 

سؤال امنیتی پویا که مؤثرتر و کاربرپسندتر است معمولاً اطلاعات زمینه‌ای را درخواست می‌کند که کاربر به آنها دسترسی دارد مانند تراکنش مالی اخیر.

-------------------------------------------------------------------------------------

فیزیکی (Physical)

عوامل فیزیکی (که عوامل مالکیت نیز نامیده می‌شوند) از توکن‌هایی مانند دانگل USB یا یک دستگاه قابل‌حمل استفاده می‌کنند که یک کد QR (quick response/پاسخ سریع) موقت تولید می‌کند. استفاده از تلفن‌های همراه بسیار رایج است، چون این مزیت را دارند که در اکثر موقعیت‌ها به سهولت در دسترس باشند.

جنبه‌ی مثبت اینست که عوامل فیزیکی خارج از شبکه قرار دارند و معمولاً جعل آنها دشوار است. اما دستگاه‌هایی مانند تلفن‌ها ممکن است گم شوند یا به سرقت بروند و شبکه‌های سیار ممکن است آسیب‌پذیری‌های امنیتی‌شان را نشان دهند.

توکن‌های مجازی "نرم (soft)" عبارتند از یک کوکی (cookie) یا کد ذخیره‌شده به نحوی که یک دستگاه را اساساً به یک توکن فیزیکی تبدیل می‌کنند. ممکن است توکن‌های نرم برای همه‌ی کاربران مناسب نباشند چون برای استفاده‌ی صحیح به نرم‌افزار و تخصص نیاز دارند. بعلاوه، توکن‌های نرم را می‌توان کپی کرد، و این امر ممکن است به استفاده‌ی غیرمجاز منجر شود.

استاندارد U2F یک توکن USB یا ارتباط میدان نزدیک (near-field communication یا NFC) را با یک برنامه‌ی کاربردی استاندارد باز (open-standard application) ترکیب می‌کند و یک روش ساده برای استفاده از عوامل احراز هویت اضافی با پلتفورم‌هایی که از آنها پشتیبانی می‌کنند را ارائه می‌دهد.

-------------------------------------------------------------------------------------

ذاتی (Inherent)

این دسته شامل بیومتریک‌هایی مانند اسکن اثر انگشت، صورت و شبکیه‌ی چشم است. با پیشرفت تکنولوژی، ممکن است ID صوتی یا سایر دروندادهای رفتاری مانند متریک‌های ضربه زدن به کلید را هم شامل شوند. ازآنجاکه عوامل ذاتی بسیار منحصر به فرد، همیشه حاضر و ایمن هستند، این دسته آینده‌ی درخشانی دارد.

اما، تمام دستگاه‌ها از نرم‌افزار، قدرت پردازش و ویژگی‌های سخت‌افزاری لازم (مانند میکروفون و دوربین) برخوردار نیستند، بنابراین بعضی از کاربران ممکن است نتوانند از این پیشرفت‌ها در قابلیت استفاده و امنیت احراز هویت چندعاملی استفاده کنند.

-------------------------------------------------------------------------------------

مبتنی بر مکان‌ و مبتنی بر زمان (Location-Based and Time-Based)

سیستم‌های احراز هویت می‌توانند از مختصات GPS، پارامترهای شبکه و فراداده (metadata) برای شبکه‌ی مورد استفاده و تشخیص دستگاه برای احراز هویت چندعاملی استفاده کنند. احراز هویت تطبیقی ​​این نقاط داده را با داده‌های کاربری تاریخی (historical) یا زمینه‌ای (contextual) ترکیب می‌کند.

این عوامل از این مزیت برخوردارند که در پس‌زمینه فعالیت می‌کنند و درونداد بسیار اندکی از سوی کاربران نیاز است؛ به این معنا که مانع بهره‌وری نمی‌شوند. اما، چون استفاده از آنها به نرم‌افزار و تخصص نیاز دارد، بیشتر برای سازمان‌های بزرگی مناسب هستند که منابعی برای مدیریت آنها در اختیار دارند.

رمز عبور یکبار مصرف مبتنی بر زمان (TOTP)

رمز عبور یکبار مصرف مبتنی بر زمان معمولاً در احراز هویت دو‌مرحله‌ای یا 2FA استفاده می‌شود، ولی می‌تواند برای هر روش احراز هویت چندعاملی اعمال شود که هنگام ورود به سیستم و پس از تکمیل مرحله‌ی اول، یک مرحله‌ی دوم به صورت پویا ارائه می‌‌دهد. زمان انتظار برای مرحله‌ی دوم (که در آن رمزهای عبور موقت از طریق پیام کوتاه یا ایمیل ارسال می‌شود) معمولاً کوتاه است و استفاده از این فرآیند برای طیف وسیعی از کاربران و دستگاه‌ها آسان و راحت است. این روش در حال حاضر به طور گسترده استفاده می‌شود.

در بخش عملیاتی، احراز هویت دو‌مرحله‌ای به استفاده از نرم‌افزار یا یک فروشنده‌ی خارجی برای ارائه‌ی خدمات نیاز دارد. همانند استفاده از دستگاه‌های تلفن همراه به عنوان توکن‌های فیزیکی، شبکه‌های سیار می‌توانند مسائل امنیتی خودشان را داشته باشند.

کلید امنیتی معمولاً یک کد QR است که کاربر با یک دستگاه سیار اسکن می‌کند تا یک سری اعداد را تولید کند. سپس کاربر آن اعداد را در وب‌سایت یا برنامه‌ی کاربردی وارد می‌کند تا به آن دسترسی یابد. کلمات عبور پس از مدت زمان مشخصی منقضی می‌شوند و دفعه‌ی بعد که کاربر به حساب کاربری خود وارد می‌شود، کلمه‌ی عبور جدید ایجاد می‌شود.

-------------------------------------------------------------------------------------

رسانه‌های اجتماعی (Social Media)

در این مورد، کاربر به وب‌سایت اجازه می‌دهد تا از نام کاربری و رمز عبور رسانه‌های اجتماعی وی برای ورود به سیستم استفاده کند. این یک فرآیند ورود به سیستم/لاگین آسان است، و به طور کلی برای همه‌ی کاربران در دسترس است.

اما شبکه‌های رسانه‌های اجتماعی غالباً هدف مجرمان آنلاین هستند چون منبعی غنی از داده‌های کاربران را ارائه می‌دهند. بعلاوه، بعضی از کاربران ممکن است دغدغه‌ها و نگرانی‌هایی در خصوص پیامدهای امنیتی و حریم خصوصی به اشتراک‌گذاری لاگین‌ها با شبکه‌های رسانه‌های اجتماعی داشته باشند.

-------------------------------------------------------------------------------------

احراز هویت مبتنی بر ریسک (Risk-Based Authentication)

احراز هویت مبتنی بر ریسک که گاهی احراز هویت چندعاملی تطبیقی ​​نامیده می‌شود، احراز هویت تطبیقی و الگوریتم‌های محاسبه‌کننده‌ی ریسک و کنترل‌کننده‌ی بافت درخواست‌های ورود به سیستم /لاگین خاص را ترکیب می‌کند. هدف این روش کاهش لاگین‌های بیش از حد و ارائه‌ی گردش‌کار کاربرپسندتر است.

برای کاربرانی که تعداد زیادی لاگین برای سیستم‌های مختلف دارند، احراز هویت مبتنی بر ریسک می‌تواند یک صرفه‌جویی در زمان پراهمیت باشد. اما، احراز هویت مبتنی بر ریسک به نرم‌افزاری نیاز دارد که نحوه‌ی تعامل کاربران با یک سیستم و تخصص IT را برای استقرار و مدیریت بیاموزد.

-------------------------------------------------------------------------------------

احراز هویت دو‌مرحله‌ای مبتنی بر فشار (Push-Based 2FA)

احراز هویت دو‌مرحله‌ای مبتنی بر فشار ضمن اینکه سهولت استفاده را بهبود می‌بخشد، با افزودن لایه‌های امنیتی افزوده روی SMS و TOTP 2FA توسعه می‌یابد. احراز هویت دو‌مرحله‌ای مبتنی بر فشار، هویت کاربر را با چند عامل احراز هویت تأیید می‌کند که روش‌های دیگر نمی‌توانند انجام دهند. ازآنجاکه احراز هویت دو‌مرحله‌ای مبتنی بر فشار اعلان‌هایی را از طریق شبکه‌های داده مانند تلفن همراه یا Wi-Fi ارسال می‌کند، کاربران برای استفاده از قابلیت احراز هویت دو‌مرحله‌ای باید به داده‌های روی دستگاه‌های سیار خود دسترسی داشته باشند.