در این مطلب مروری خواهیم داشت بر ‎2 Step Verification و Time-based One-Time Passwords (TOTP) و اهمیت آن‌ها در ایمن‌سازی حساب‌های آنلاین. ‎2 Step Verification یک اقدام امنیتی است که کاربران را ملزم به ارائه دو نوع احراز هویت برای دسترسی به حساب‌های خود می‌کند، در حالی که TOTP نوعی از تایید هویت است که یک رمز عبور منحصر به فرد ایجاد می‌کند که پس از مدت کوتاهی منقضی می‌شود.
در این مقاله به بررسی اپلیکیشن‌های مختلف TOTP مانند Google Authenticator، Microsoft Authenticator، Authy، و LastPass Authenticator می‌پردازیم.
در نهایت، این مقاله بر اهمیت آگاهی از ویژگی‌های پشتیبان‌گیری برنامه‌های TOTP، به ویژه Google Authenticator که گزینه‌های پشتیبان‌گیری مبتنی بر فضای ابری را ارائه نمی‌دهد، تاکید می‌کند.
به طور کلی، هدف این مطلب این است که درک بهتری از تایید هویت و TOTP را در اختیار خوانندگان قرار دهد و به آن‌ها در تصمیم‌گیری آگاهانه در هنگام ایمن‌سازی حساب‌های آنلاین خود کمک کند. لطفا در ادامه مطلب با سامنیتک همراه باشید.

به زبان ساده

احراز هویت دو مرحله‌ای (‎2 Step Verification) یک لایه امنیتی اضافی است که می‌تواند به حساب‌های آنلاین اضافه شود تا دسترسی غیرمجاز را برای دیگران سخت‌تر کند. با استفاده از ‎2 Step Verification، کاربران باید دو نوع روش احراز هویت را ارائه دهند: چیزی که می‌دانند (مانند گذرواژه) و چیزی که دارند (مثل یک توکن امنیتی و یا یک کد ارسال شده به گوشی از طریق پیامک و یا ایمیل).

این کار می‌تواند به طور قابل توجهی احتمال به خطر افتادن حساب کاربری را کاهش دهد، زیرا حتی اگر یک مهاجم موفق به به دست آوردن رمز عبور کاربر شود، باز هم به یک عامل اضافی برای دسترسی به حساب نیاز خواهد داشت.

گذروازه یک بار مصرف مبتنی بر زمان (TOTP)

گذرواژه یک بار مصرف مبتنی بر زمان یا TOTP (Time-based One-Time Password) نوعی از تایید هویت است که یک گذرواژه یک بار مصرف یکتا تولید می‌کند که پس از مدت کوتاهی، معمولا ۳۰ ثانیه منقضی می‌شود.
گذرواژه با استفاده از الگوریتمی تولید می‌شود که زمان فعلی و یک کلید مخفی مشترک را در نظر می‌گیرد، که معمولا از طریق یک کد QR یا ابزارهای دیگر در هنگام راه‌اندازی حساب در اختیار کاربر قرار می‌گیرد.

چند نمونه برنامه تولید گذرواژه یک بار مصرف (TOTP)

برنامه‌های زیادی برای تولید کدهای TOTP وجود دارد که از جمله آن‌ها می‌توان به Google Authenticator، Microsoft Authenticator، Authy و LastPass Authenticator اشاره کرد.
این برنامه‌ها معمولا از کاربران می‌خواهند که یک کد QR را اسکن کنند یا به صورت دستی یک کلید مخفی مشترک را به منظور راه‌اندازی تایید هویت برای حساب‌های خود وارد کنند.

مراقب باشید! ممکن است حساب خود را از دست بدهید:

لازم به ذکر است که اگرچه Google Authenticator یکی از اپ‌های محبوب TOTP است، اما ویژگی پشتیبان‌گیری از کدهای تولید شده را ندارد.
این بدان معنی است که اگر کاربر گوشی خود را گم کند یا به هر دلیلی نتواند به برنامه دسترسی داشته باشد، ممکن است حساب خود را برای همیشه از دست بدهد. برخی دیگر از برنامه های TOTP مانند Authy و LastPass Authenticator گزینه‌های پشتیبان‌گیری مبتنی بر فضای ابری را ارائه می‌دهند که می‌تواند به کاربران کمک کند تا در صورت گم شدن یا دزدیده شدن گوشی، کدهای خود را بازیابی کنند. بنابراین توصیه می‌شود کاربران هنگام انتخاب برنامه TOTP به موارد گفته شده به دقت توجه کنند.

منبع: سامینتک