گوگل و کمپانی‌های بزرگ دیگر چگونه توکن امنیتی جهانی را می‌سازند

U2F استانداردی جدید برای دریافت توکِن‌های تائید هویت دومرحله‌ای است. این توکِن‌ها می‌توانند از USB، NFC و بلوتوث برای تائید هویت دومرحله‌ای استفاده کنند و سرویس‌های زیادی را در بر بگیرند. در حال حاضر مرورگر کروم، سرویس دراپ‌باکس و حساب‌های کاربری گیت‌هاب با این استاندارد سازگاری دارند و مایکروسافت هم به‌زودی مرورگر Edge را با این استاندارد سازگار خواهد کرد.

پیمان FIDO از این استاندارد پشتیبانی می‌کند، که گوگل، مایکروسافت، پی‌پل، مستر کارد، ویزا، اینتل، ARM، سامسونگ، کوالکام، بانک آمریکا و بسیاری دیگر از شرکت‌ها و کمپانی‌های بزرگ عضو پیمان FIDO به‌حساب می‌آیند. به همین دلیل انتظار می‌رود استاندارد امنیتی U2F به‌زودی همه‌گیر شود.

U2F چیست؟

تائید هویت دومرحله‌ای شیوه‌ای مؤثر برای حفاظت از حساب‌های کاربری مهم است. قدیم‌ها فقط یک رمز عبور کافی بود تا بشود وارد یک حساب کاربری شد و شیوه‌نامه‌ها و راهنماهای امنیتی از کاربر می‌خواستند رمز عبورهای طولانی و ترکیبی از حرف و عدد استفاده کنند تا حساب کاربری‌شان امنیت بیشتری داشته باشد. چون هر کس که می‌توانست رمز عبور را به دست بیاورد و یا آن را حدس بزند، می‌توانست به‌راحتی وارد حساب کاربری شود.

تائید هویت دومرحله‌ای نیازمند دو چیز است: چیزی که فقط شما بدانید (رمز عبور) و چیزی که فقط شما داشته باشید (مثلاً گوشی موبایل). در این روش معمولاً کُدی به‌صورت پیامک برای گوشی کاربر فرستاده می‌شود و یا این‌که این کد را اپلیکیشنی مانند Google Authenticator روی گوشی کاربر تولید می‌کند. به‌این‌ترتیب برای وارد شدن به‌حساب کاربری هم رمز عبور لازم است و هم دسترسی به دستگاه موبایل کاربر.

اما این شیوه‌ی تائید هویت دومرحله‌ای مشکلات فنی خاص خودش را دارد و مثلاً کاربر برای وارد شدن به هر حساب کاربری باید کدی را به‌صورت پیامک دریافت و وارد کند. U2F استانداردی همگانی برای تولید توکن‌های سخت‌افزاری تائید هویت است که می‌تواند با هر سرویسی کار کند. به‌عبارت‌دیگر کافی است یک توکن سخت‌افزاری U2F داشته باشید تا هویت شما برای همه‌ی سرویس‌ها تائید شود.

این توکن سخت‌افزاری شبیه به یک فلش مموری کوچک است که از طریق درگاه یواس‌بی به کامپیوتر یا لپ‌تاپ وصل می‌شود و منحصر به خود شما است. به‌این‌ترتیب سرویس‌های سازگار با این استاندارد می‌توانند این وسیله‌ی سخت‌افزاری را تشخیص بدهند و بر اساس آن اجازه‌ی دسترسی به‌حساب کاربری را به شما بدهند.

چگونه کار می‌کند؟

همان‌طور که اشاره کردیم، در حال حاضر دستگاه‌های U2F چیزی شبیه به مموری‌های یواس‌بی هستند که می‌توانید آن‌ها را به درگاه یواس‌بی کامپیوتر وصل کنید. قرار است به‌زودی دستگاه‌های U2F سازگار با NFC و بلوتوث هم عرضه شوند تا امکان تائید هویت از طریق اتصال بی‌سیم نیز مهیا شود که این روش بیشتر برای تبلت‌ها و گوشی‌های هوشمند کاربرد خواهد داشت. به‌هرحال وقتی این توکن سخت‌افزاری را به درگاه یواس‌بی کامپیوتر وصل می‌کنید، مرورگر کروم از طریق نوعی فناوری رمزنگاری امن با این سخت‌افزار یواس‌بی امنیتی ارتباط برقرار می‌کند و به شما اجازه می‌دهد وارد حساب‌های کاربری‌تان شوید. حساب‌هایی که به تائید هویت دومرحله‌ای نیاز دارند.

ازآنجاکه این توکن سخت‌افزاری عملاً به‌عنوان بخشی از مرورگر شما کار می‌کند، درنتیجه در مقایسه با روش‌های معمولی تائید هویت دومرحله‌ای، بهتر است. اول به دلیل این‌که خود مرورگر از واقعی بودن وب‌سایت مطمئن می‌شود و درنتیجه نمی‌شود کاربر را فریب داد تا اطلاعاتش را در یک وب‌سایت تقلبی وارد کند. تکنیکی که در حمله‌های موسوم به فیشینگ کاربرد دارد. دوم هم این‌که مرورگر کد امنیتی را به‌صورت مستقیم به وب‌سایت موردنظر می‌فرستد و درنتیجه هکری که بین کاربر و سایت نشسته، عملاً نمی‌تواند به کد موقتی تائید هویت دومرحله‌ای دسترسی داشته باشد.

با استفاده از کلیدهای سخت‌افزاری U2F می‌شود با رمز عبورهای طولانی هم خداحافظی کرد. در حال حاضر بسیاری از وب‌سایت‌ها برای رعایت مسائل امنیتی از کاربر می‌خواهند رمز عبورهای طولانی انتخاب کنند. امّا با استفاده از یک کلید U2F ممکن است همان سایت‌ها از کاربر بخواهند یک پین چهاررقمی را وارد کنند و دکمه‌ای را روی کلید امنیتی یواس‌بی‌شان فشار بدهند تا مجوز ورود به سایت را به دست بیاورند.

اعضای پیمان FIDO روی استاندارد UAF نیز کار می‌کنند. در این استاندارد نیازی به وارد کردن رمز عبور وجود ندارد. برای نمونه، تنها با اسکن اثر انگشت کاربر روی یک گوشی هوشمند مدرن، امکان دسترسی او به سرویس‌ها و سایت‌های مختلف فراهم می‌شود.

چه سرویس‌هایی پشتیبانی می‌کنند؟

در حال حاضر مرورگر کروم تنها مرورگری است که از U2F پشتیبانی می‌کند. اگر یک کلید یواس‌بی U2F داشته باشید، می‌توانید از طریق مرورگر کروم به سرویس‌هایی از قبیل گوگل، دراپ‌باکس و گیت‌هاب دسترسی پیدا کنید. فعلاً سرویس‌های بزرگ دیگر از این استاندارد پشتیبانی نمی‌کنند، اما به‌زودی شاهد فراگیرتر شدن این استاندارد خواهیم بود.

این استاندارد امنیتی مختص گوگل نیست. خبرها حاکی از این است که مایکروسافت این استاندارد را به مرورگر Edge اضافه خواهد کرد و موزیلا نیز قصد دارد این استاندارد را به مرورگر فایرفاکس بیاورد.

چگونه می‌شود استفاده کرد؟

برای استفاده از این روش امنیتی، به یک توکن سخت‌افزاری نیاز دارید که فعلاً فقط در آمازون امکان خرید آن هست. اگر این روش امنیتی فراگیر شود، بدون شک این کلیدهای امنیتی سخت‌افزاری وارد بازار ایران نیز خواهد شد. به‌هرحال اگر توانسته‌اید به نحوی یکی از این کلیدها را تهیه کنید، برای فعال کردن آن، باید وارد بخش تنظیمات حساب کاربری گوگل‌تان شوید، صفحه‌ی مربوط به تائید هویت دومرحله‌ای یا ۲-step verification را پیدا کنید و روی تب Security Keys کلیک کنید. در این قسمت روی گزینه‌ی Add a Security key کلیک کنید تا کلید سخت‌افزاری شما به‌حساب کاربری گوگل‌تان افزوده شود.

این فرایند برای سرویس‌های دیگری که از این استاندارد پشتیبانی می‌کنند، یکسان است.

این ابزار امنیتی در حال حاضر ابزاری نیست که شما بتوانید همه‌جا استفاده کنید، اما سرانجام بسیاری از سرویس‌ها باید پشتیبانی از این ویژگی را اضافه نمایند. از U2F در آینده چیزهای بزرگی انتظار می‌رود.

تیم امنیت تارنگار حقوق بشر