احراز هویت چندعاملی ابری، یک فرایند مدیریت دسترسی چندلایه است که برای ورود به یک سیستم، علاوهبر رمز عبور، هویت شما را با یک مدرک دیگر مانند کد پیامکی یا اثر انگشت تأیید میکند. این لایه امنیتی اضافی، حتی در صورت لو رفتن گذرواژه، از نفوذ به حسابهای کاربری جلوگیری کرده و امنیت دادهها را تضمین میکند. برای آشنایی کامل با ۳ روش اصلی پیادهسازی و انتخاب بهترین گزینه برای کسبوکارتان، در ادامه همراه ما باشید.
احراز هویت چندعاملی (MFA) چیست؟
احراز هویت چندعاملی (Multi-Factor Authentication یا MFA) یک فرایند مدیریت دسترسی چندلایه است که تنها زمانی به کاربر اجازه ورود به یک شبکه، سیستم یا اپلیکیشن را میدهد که هویت او با بیشاز یک مدرک یا عامل احراز هویت تأیید شده باشد. بهعبارت سادهتر برای ورود به سیستم، فقط واردکردن رمز عبور کافی نیست و کاربر باید یک مرحله اضافی را هم برای تأیید هویت انجام دهد.
این مرحله دوم میتواند یک کد تأیید یا رمز یکبار مصرف (OTP) که از طریق پیامک یا ایمیل ارسال میشود، یک توکن امنیتی از طریق اپلیکیشن احراز هویت یا یک شناسه بیومتریک (مانند اثر انگشت یا تشخیص چهره) باشد.
در محیط ابری، MFA به Cloud MFA تبدیل میشود و این فاکتورها برای حفاظت از دادهها و اپلیکیشنهای میزبانیشده در ابر اعمال میشوند. با Cloud MFA، حتی اگر عامل احراز هویت اصلی (رمز عبور) لو برود یا از کار بیفتد، همچنان بدون داشتن یا کنترل عامل دوم، دسترسی به سیستم ممکن نخواهد بود؛ برای مثال، فرض کنید شما مدیر یک اپلیکیشن فروش آنلاین هستید.
اگر فقط رمز عبور داشته باشید، مهاجم با حدس یا سرقت رمز میتواند وارد شود؛ اما وقتی Cloud MFA فعال باشد، بعداز واردکردن رمز عبور، سیستم یک کد یکبار مصرف (OTP) به گوشی یا ایمیل شما میفرستد که بدون داشتن آن، ورود ممکن نیست.
آیا Cloud MFA واقعاً امنیت اپلیکیشن شما را تضمین میکند؟
طبق بررسیهای تیم CrowdStrike، حدود ۸۰٪ هکها بهخاطر سوءاستفاده از هویت کاربر (مثل دزدیدن رمز یا اطلاعات ورود) اتفاق میافتند. مشکل اینجاست که ابزارهای امنیتی قدیمی بیشتر برای شناسایی حملات خارجی طراحی شدهاند و معمولاً نمیتوانند تشخیص دهند که یک کاربر مجاز، اطلاعاتش دزدیده شده است یا نه.
MFA بخشی از سیستم «مدیریت هویت و دسترسی» (IAM) است؛ یعنی بیشتر برای کنترل اینکه چه کسی اجازه ورود دارد استفاده میشود و برای مقابله کامل با حملات سایبری طراحی نشده است.
بهزبان ساده، MFA جلوی کسی را که نتواند هویت خودش را ثابت کند، میگیرد؛ ولی اگر فردی با اطلاعات دزدی وانمود کند که همان کاربر است، MFA نمیتواند تشخیص دهد. همچنین بعداز ورود کاربر به سیستم، MFA دیگر نمیتواند جلوی حملات را بگیرد؛ پس MFA باید بهعنوان یکی از ابزارها در یک برنامه امنیتی کامل استفاده شود؛ نه تنها راهحل امنیتی.
روشها و فاکتورهای MFA در فضای ابری
احراز هویت چندعاملی، مثل داشتن چند کلید برای بازکردن در خانه است؛ یعنی برای ورود به حسابهای ابری، فقط رمز عبور کافی نیست و باید چند چیز مختلف را ثابت کنید. روشهای MFA بر پایه سه عامل اصلی هستند:
- چیزی که میدانید، مثل رمز عبور یا PIN؛
- چیزی که دارید؛ مثل گوشی موبایل یا کلید امنیتی؛
- چیزی که هستید، مثل اثر انگشت یا تشخیص چهره.
سیستمهای جدید MFA ابری، چیزهای بیشتری مثل محل شما و زمان ورود را هم بررسی میکنند تا مطمئن شوند همه چیز امن است. بهطورکلی روشها و فاکتورهای MFA در فضای ابری، شامل موارد زیر هستند:
عامل دانشی (Knowledge Factor)
در این روش، کاربر باید هویتش را با دادن اطلاعاتی که فقط خودش میداند، ثابت کند؛ مثلاً پاسخ به سؤالات مخفی مثل نام اولین مدرسه. همچنین ممکن است از کاربر خواسته شود یک کد PIN چهار رقمی وارد کند.
این روش تنها زمانی امن است که این اطلاعات مخفی باقی بمانند؛ زیرا مجرمان ممکن است با تحقیق در مورد زندگی شخصی کاربر یا فریبدادن او، این اطلاعات را به دست بیاورند. همچنین کدهای PIN ممکن است با روش حدسزدن تمام ترکیبهای ممکن (brute force) شکسته شوند.
عامل دارایی (Possession Factor)
در این روش، کاربر با چیزی که بهطور منحصربهفرد در اختیار دارد، هویت خود را اثبات میکند. نمونهها شامل موارد زیر هستند:
- دستگاههای فیزیکی، مثل تلفن همراه، توکنهای امنیتی، کارتهای نمایش یا کلیدهای سختافزاری؛
- داراییهای دیجیتال، مثل حساب ایمیل یا اپلیکیشنهای احراز هویت.
سیستم، کد مخفی را به این دستگاهها یا داراییها ارسال میکند و کاربر باید آن را وارد سیستم کند. اگر دستگاه گم یا دزدیده شود، حساب کاربری ممکن است در معرض خطر باشد. برخی توکنهای امنیتی این مشکل را با اتصال مستقیم به سیستم حل کردهاند تا امکان دسترسی دیجیتال به آنها نباشد.
یکی از روشهای محبوب، Push نوتیفیکیشن (Push notifications) است که وقتی میخواهید وارد شوید، فقط کافی است روی دکمه «تأیید» در گوشی خود بزنید. این روش سریع و امن است و تقریباً نمیشود آن را هک کرد.
روش دیگر، استفاده از برنامههایی مثل Google Authenticator است که کدهای یکبار مصرف میدهد. این کدها هر چند ثانیه عوض میشوند و حتی بدون اینترنت هم کار میکنند.
کلیدهای سختافزاری، دستگاههای کوچکی هستند که امنیت بسیار بالایی دارند؛ ولی ممکن است گم شوند و هزینهبر باشند. در این میان، کدهای پیامکی هم استفاده میشوند، ولی ممکن است هکرها با تعویض سیمکارت به آنها دسترسی پیدا کنند.
عامل ذاتی (Inherence Factor)
روشهای ذاتی از ویژگیهای شخصی و بیومتریک کاربر استفاده میکنند. نمونههایی از این عوامل، عبارتاند از:
- اسکن اثر انگشت؛
- اسکن شبکیه چشم؛
- تشخیص صدا؛
- تشخیص چهره؛
- بیومتریک رفتاری، مثل الگوی تایپکردن (keystroke dynamics).
در هنگام ثبتنام، این اطلاعات بههمراه رمز عبور جمعآوری و ذخیره میشوند. سازمانی که برنامه را مدیریت میکند، باید از دادههای بیومتریک مانند رمز عبور، بهخوبی محافظت کند.
کاربردهای MFA
احراز هویت چندعاملی ابری، کاربردهای گستردهای دارد:
- امنیت اپلیکیشنهای ابری: حفاظت از SaaS، مانند Office 365 یا Google Workspace؛
- دسترسی به زیرساختهای ابری: ورود به پنلهای AWS، Azure یا کلودینو؛
- بانکداری و مالی: تأیید تراکنشها در اپهای ابری؛
- سلامت و آموزش: حفاظت از دادههای حساس در سیستمهای ابری؛
- IoT و دستگاههای هوشمند: احراز هویت برای اتصال دستگاهها به ابر.
در ادامه با چند مثال، کاربردهای احراز هویت چندعاملی در کسبوکارها را روشنتر توضیح میدهیم:
دسترسی از راه دور برای کارکنان
یک شرکت میخواهد به کارکنان خود امکان دسترسی به منابع بهصورت دورکاری را بدهد. میتواند احراز هویت چندعاملی را طوری تنظیم کند که برای ورود به لپتاپهای شرکتی که کارکنان با خود به خانه میبرند، علاوهبر ورود با رمز عبور از کلید سختافزاری و اسکن اثر انگشت هم استفاده شود.
همچنین براساس آدرس IP کاربر، شرکت میتواند قوانینی تعریف کند که وقتی کارمند از خانه کار میکند، دو مرحله احراز هویت لازم باشد؛ اما هنگام اتصال به وایفایهای دیگر، سه مرحله احراز هویت الزامی شود.
دسترسی سیستم فقط برای کارکنان در محل
یک بیمارستان میخواهد به همه کارکنانش، فقط وقتی در محل کار هستند، دسترسی به برنامههای سلامت و دادههای بیماران بدهد. برای این منظور به کارکنان کارت proximity badge داده میشود که هنگام شروع شیفت باید وارد سیستم شوند و کارت را به دستگاه مرکزی بزنند.
آنها در طول شیفت با یک ضربه کارت بهراحتی به همه منابع دسترسی دارند و نیازی به ورود مجدد نیست. در پایان شیفت، این دسترسی تمام میشود. این روش خطر دسترسی غیرمجاز در صورت گمشدن کارت را کم میکند.
دسترسی به زیرساختهای ابری
یک تیم فناوری اطلاعات در یک شرکت نرمافزاری برای ورود به کنسول مدیریتی AWS، علاوهبر رمز عبور از اپلیکیشن Google Authenticator استفاده میکند. این لایه امنیتی اضافی اجازه میدهد فقط افراد مجاز بتوانند تنظیمات مهم زیرساخت را تغییر دهند و خطر حملات سایبری کاهش یابد.
مقایسه MFA ابری نسبت به احراز هویت سنتی
در جدول زیر میتوانید یک مقایسه جامع و کامل را بین راهکارهای MFA با احراز هویت سنتی در یک نگاه مشاهده کنید:
| ویژگی | احراز هویت سنتی (رمز عبور) | Cloud MFA (احراز هویت چندمرحلهای ابری) |
|---|---|---|
| سطح امنیت | پایین (در معرض حملات Brute Force و Phishing) | بالا (نیاز به چند فاکتور و ایمنتر در برابر حملات) |
| تجربه کاربری | ساده | کمی پیچیدهتر، اما امنیت بیشتر فراهم میکند |
| انعطافپذیری | محدود | قابل اتصال به انواع سرویسها و دستگاهها |
| هزینه پیادهسازی | پایین | متوسط (بسته به سرویس و روش مورد استفاده) |
کدام روش MFA ابری برای کسبوکار شما مناسبتر است؟
انتخاب روش مناسب احراز هویت چندعاملی ابری برای هر سازمان متفاوت است و نیاز به بررسی چند نکته کلیدی دارد تا هم امنیت حفظ شود و هم کاربران بتوانند بهراحتی از سیستم استفاده کنند.
- حساسیت دادهها و اپلیکیشنها: دادههای حساس مثل مالی یا پزشکی، نیاز به روشهای امنتر مانند بیومتریک یا کلید سختافزاری دارند؛ درحالیکه دادههای کمتر حساس میتوانند از روشهایی مثل پیامک یا اپلیکیشن تولید کد بهره ببرند؛
- نوع کاربران و دستگاهها: برای کاربران داخلی که دستگاههای سازمانی دارند، روشهای کارت هوشمند یا بیومتریک مناسبتر است؛ ولی برای کاربران از راه دور، روشهایی مانند OTP کاربرد بهتری دارند؛
- بودجه و منابع فنی: سازمان باید روشی را انتخاب کند که با توان مالی و امکانات فنیاش هماهنگ و قابلنگهداری باشد؛
- تجربه کاربری: هرچه روش انتخابی آسانتر و سریعتر باشد، کاربران بهتر آن را میپذیرند؛
- پشتیبانی از احراز هویت تطبیقی: بهتر است روشهایی انتخاب شوند که بتوانند براساس شرایط، سطح امنیت را بهصورت پویا تنظیم کنند؛
- هماهنگی با زیرساختها: روش MFA باید با سرویسهای ابری و سیستمهای داخلی سازمان سازگار باشد تا پیادهسازی و مدیریت آن سادهتر باشد؛
با توجه به این موارد، کسبوکارها میتوانند روش یا ترکیبی از روشهای MFA را انتخاب کنند که بهترین امنیت و راحتی را فراهم میکند.
نحوه پیادهسازی احراز هویت چند عاملی در محیط ابری
مراحل اصلی پیادهسازی احراز هویت چند عاملی، عبارتاند از:
- تحلیل نیازها و تعیین اهداف امنیتی: ابتدا باید نیازهای امنیتی سازمان و نوع دادهها و اپلیکیشنهایی را که قرار است محافظت شوند، مشخص کنید؛
- انتخاب روشهای مناسب MFA: براساس تحلیل نیازها، فاکتورهای احراز هویت مناسب را انتخاب کنید؛
- انتخاب و تهیه سرویسدهنده Cloud MFA: انتخاب سرویس MFA متناسب با زیرساخت ابری سازمان و بومیشده (مانند کلودینو که ارائهدهنده خدمات ابری و زیرساختهای کلود در ایران است)، اهمیت زیادی دارد؛
- پیکربندی و تنظیم قوانین دسترسی: سیاستهای دسترسی و احراز هویت تطبیقی (Adaptive Authentication) براساس مکان جغرافیایی، دستگاه کاربر و شرایط ورود باید تنظیم شود؛
- اجرای آزمایشی و بازخوردگیری: پیشاز اجرای کامل، پیادهسازی MFA در یک گروه آزمایشی انجام و مشکلات احتمالی شناسایی و رفع میشود؛
- نظارت و بهروزرسانی مستمر: پساز استقرار کامل، ورودها، گزارشگیری و بهروزرسانی سیاستها برای مقابله با تهدیدات جدید بهطور مداوم پایش میشود.
سخن پایانی
احراز هویت چندعاملی ابری، یکی از مؤثرترین روشها برای محافظت از اپلیکیشنها و دادههای شما در فضای کلود است. با انتخاب درست روش و ابزار میتوانید خطر نفوذ را به حداقل برسانید و اعتماد کاربران خود را جلب کنید. به یاد داشته باشید امنیت یک مسیر مداوم است؛ نه یک نقطه پایان و Cloud MFA فقط یکی از ایستگاههای این مسیر است.
احراز هویت چندعاملی ابری چطور امنیت را افزایش میدهد؟
MFA در کلود با افزودن لایههای امنیتی بیشتر، نفوذ هکرها را حتی با داشتن رمز عبور غیرممکن میکند.
استفاده از MFA باعث کندی یا پیچیدگی ورود میشود؟
خیر! روشهای مدرن مثل تأیید با نوتیفیکیشن، ورود را سریع و ساده نگه میدارند.
اگر گوشی یا کلید امنیتیام را گم کنم، چه اتفاقی میافتد؟
با کدهای پشتیبان یا بازیابی از طریق ایمیل، میتوانید دسترسیتان را بازگردانید.
آیا همه کسبوکارها به MFA ابری نیاز دارند؟
بله! برای حفاظت از دادهها و جلوگیری از نفوذ، استفاده از MFA توصیه میشود.
