احراز هویت دو مرحله‌ای، به زبان ساده

احراز هویت دو مرحله‌ای پراثرترین تنظیم امنیتی است که بیشتر افراد از آن استفاده نمی‌کنند. اعداد منتشرشده Microsoft می‌گویند که بیش از 99% از تصرف‌های خودکار حساب را مسدود می‌کند. با این حال شهرت دارد به اینکه دست‌وپاگیر است — بخشی از این به آن خاطر است که سه نوع رایج آن («کد SMS»، «اپ احراز هویت»، «کلید امنیتی») طوری مطرح می‌شوند که گویا قابل تعویض‌اند. نیستند. این نسخه عملی است.

2FA دقیقاً چه می‌کند

رمز عبور به‌طور مداوم نشت می‌کند. تخلیه پایگاه‌داده، صفحه‌های فیشینگ، بدافزار مرورگر، استفاده مجدد از رمز — راه‌های زیادی وجود دارد که یکی از رمزهای شما در صفحه‌گسترده کسی پیدا شود. 2FA یک بررسی دوم اضافه می‌کند که به چیزی که شمادارید گره خورده، نه فقط چیزی که می‌دانید. مهاجمی که رمز شما را می‌دزدد باید همان لحظه، روی همان دستگاه، عامل دوم را هم بدزدد — کار سختی است.

SMS 2FA

یک کد شش رقمی با پیامک می‌آید. وارد می‌کنید. استفاده‌اش از همه راحت‌تر است چون هر گوشی‌ای از پس آن برمی‌آید، و دقیقاً به همین دلیل کف امنیت قابل قبول است: برای متوقف کردن ربات‌های credential-stuffing کافی است، اما در برابر حمله SIM-swap (مهاجم اپراتور را قانع می‌کند که شماره شما را منتقل کند) و رهگیری خاموش SMS روی شبکه‌های ضعیف آسیب‌پذیر است.

برای: حساب‌های کم‌اهمیت که ترجیح می‌دهید اپ دیگری نصب نکنید. فروم‌ها، سایت‌های خرید، فهرست‌های پستی.

نامناسب برای: ایمیل، بانکداری، درگاه‌های دولتی، هر چیزی که سایر حساب‌ها را کنترل می‌کند.

اپ‌های احراز هویت (TOTP)

اپ‌هایی مانند Google Authenticator، 1Password، Bitwarden و Authy هر 30 ثانیه یک کد تازه شش رقمی تولید می‌کنند که از یک راز ذخیره‌شده فقط روی دستگاه شما مشتق می‌شود. نه SMS، نه اپراتوری در میان است — کدها آفلاین کار می‌کنند. حملات فیشینگی که رمز و یک کد را می‌گیرند ممکن است هنوز جواب دهند، اما SIM-swap دیگر مرتبط نیست.

نکته راه‌اندازی: وقتی یک سایت کد QR را به شما نشان می‌دهد، هسته متنی (seed) را کنارش ذخیره کنید (بیشتر اپ‌های احراز هویت آن را صادر می‌کنند). اگر گوشی را بدون seed و بدون کدهای بازیابی از دست بدهید، باید هر حساب را از اول ریست کنید.

برای: تقریباً همه چیز. بیشتر سرویس‌های ایمیل، شبکه‌های اجتماعی، صرافی‌های کریپتو و ابزارهای توسعه‌دهنده از TOTP پشتیبانی می‌کنند و رایگان است.

کلیدهای امنیتی (FIDO2 / WebAuthn / passkeys)

یک کلید USB یا NFC (YubiKey، Titan، اخیراً نیز «passkeys» که در keychain iOS و Android تعبیه شده‌اند) که چالش ورود را به‌صورت رمزنگاشتی امضا می‌کند. نکته مهم اینکه به دامنه سایت گره خورده است — صفحه فیشینگی که شبیه واقعی به نظر می‌رسد به سادگی امضا دریافت نمی‌کند. این تنها روش 2FA رایجی است که فیشینگ خوب‌ساخته را شکست می‌دهد.

برای: ایمیل اصلی، مدیر رمز عبور، هر چیزی که نمی‌توانید از دست بدهید. دو کلید بخرید؛ هر دو را ثبت کنید؛ یکی را در کشو نگه دارید.

شماره‌های موقت کجا جا می‌گیرند

شماره‌های SMS موقت برای مرحله ثبت‌نام اولیه عالی‌اند، اما برای SMS 2FA مستمر مناسب نیستند — تا زمانی که نیاز به دریافت کد داشته باشید، شماره به مخزن بازگشته است. بهترین روش: با شماره موقت ثبت‌نام کنید، فوراً TOTP را در تنظیمات امنیتی حساب تنظیم کنید، و کدهای بازیابی را در جای امنی ذخیره کنید. آنگاه شماره موقت می‌تواند ناپدید شود.

کدهای بازیابی شایسته اشاره‌اند

تقریباً هر صفحه راه‌اندازی 2FA به شما فهرستی از کدهای بازیابی یک‌بارمصرف می‌دهد. چاپ کنید یا در مدیر رمز عبور ذخیره کنید. اگر همه دستگاه‌ها را از دست بدهید، این کدها راه بازگشت شما هستند. این مرحله را رد نکنید — بازیابی حساب بدون آن‌ها معمولاً به اسناد هویتی نیاز دارد که هفته‌ها زمان می‌برند.

توصیه‌های سریع

• ایمیل و مدیر رمز عبور: کلید امنیتی اول، TOTP به‌عنوان پشتیبان.
• بانک، کارگزار، صرافی: هر بالاترین سطحی که ارائه می‌دهند.
• اجتماعی، ابزارهای توسعه، SaaS کاری: TOTP.
• فروم تصادفی که شماره تلفن می‌خواهد: SMS موقت، بعد از ثبت‌نام TOTP.