وقتی پای حفظ امنیت سایبری در میان باشد، یک‌لایه امنیتی هرگز کافی نیست. تعیین رمز عبور پیچیده یا رمزی که به کمک برنامه‌های مدیریت رمز ایجادشده باشد امنیت بالایی دارد، اما همچنان بسیاری از کلاه‌بردارها و هکرها قادر هستند آن‌ها را کشف کنند. تأیید هویت دومرحله‌ای یا دوعاملی با افزودن یک‌لایه دیگر، امنیت رمز عبور را افزایش داده و از شما بیش‌ازپیش در مقابل خطرهای دنیای آنلاین محافظت می‌کند.

درروش تأیید هویت دومرحله‌ای یا ۲FA اپلیکیشن یا سرویسی که باید اطلاعات خود را در آن وارد کنید، از شما می‌خواهد که دو چیز را در مرحله تأیید صحت وارد برنامه کنید. مرحله اصلی و ابتدایی رمز عبور شماست و پس‌ازآن مرحله دوم به کمک دستگاه (تلفن) اجرا می‌شود.

---

مقاله مرتبط: ۵۰ ابزار برای تولید پسورد تصادفی، قابل تلفظ و فراموش نشدنی

---

لایه دوم را نمی‌توان الزامی برای تکامل حفاظت حساب شما دانست، اما بدون شک لایه مقاومتی قدرتمندی است. در این روش حتی اگر کسی بتواند به رمز عبورتان هم دسترسی پیدا کند، همچنان باید برای باز کردن حساب کاربری به گوشی همراهتان هم دسترسی فیزیکی داشته باشد. در حال حاضر نه همه وب‌سایت‌ها اما اغلب وب‌سایت‌های محبوب از تأیید هویت دومرحله‌ای پشتیبانی می‌کنند. توصیه می‌کنیم این روش تأیید هویت را در هرکدام از حساب‌های کاربری‌تان که امکانش وجود دارد و مخصوصاً وب‌سایت‌ها و خدماتی که از توکن‌های مبتنی بر نرم‌افزار پشتیبانی می‌کنند، فعال کنید.

نکته‌های کلیدی

از مزایای استفاده از اپلیکیشن‌های تایید هویت دومرحله‌ای می‌توان به موارد زیر اشاره کرد:

Offline Mode

امکان ایجاد تأیید هویت دومرحله‌ای بدون نیاز به اینترنت

Open Source

کد منبع در دسترس عموم کاربران قرار دارد و قابل‌ویرایش است. منبع باز بودن هم مزیت است اما هیچ‌کدام از اپلیکیشن‌هایی که در ادامه معرفی می‌کنیم، منبع باز نیستند (هرچند برخی از تکنولوژی‌های منبع باز متعدد بهره می‌برند).

Encrypted Backups

پایگاه‌ داده‌های توکن‌ها رمزگذاری شده است و به‌صورت جداگانه از دستگاه شما پشتیبانی می‌شود. بدین ترتیب اگر شما گوشی همراه خود را به‌روزرسانی کنید، به‌راحتی می‌توانید کدهایتان را بدون نیاز به ثبت گوشی تازه‌ خود در همه حساب‌های کاربری که دارید، بازیابی کنید.

Desktop Version

اگر خدماتی که از آن استفاده می‌کنید نسخه رومیزی داشته باشد، ممکن است برای ورود به‌حساب کاربری خود دیگر به گوشی همراهتان نیازی نداشته باشید. البته داشتن یک اپلیکیشن اختصاصی همواره به افزونه مرورگر ارجحیت دارد؛ چراکه افزونه شمارا تنها به یک مرورگر محدود می‌کند.

Smartwatch Compatible

خدمات موردنظرتان از یک یا چند سیستم‌عامل مخصوص ساعت‌های هوشمند پشتیبانی می‌کند. Wear OS سیستم‌عامل مبتنی بر اندروید مخصوص ساعت‌های هوشمند است؛ درحالی‌که watchOS سیستم‌عامل مبتنی بر iOS برای ساعت‌های هوشمند شناخته می‌شود. اگر اپلیکیشن از یکی از این سیستم‌عامل‌ها پشتیبانی کند، حتی درحالی‌که گوشی در جیبتان قرار دارد هم می‌توانید کدها را بازیابی کنید.

Passcode Protection

این قابلیت نوعی توانایی درون اپلیکیشنی است که با استفاده از نوعی تأیید هویت از نفوذ مزاحمان جلوگیری می‌کند. هر دو اپلیکیشن Authy و LastPass از روش‌های متفاوت رمز PIN، حسگر اثرانگشت، Touch ID یا Face ID (با توجه به مدل آیفون) استفاده می‌کنند.

Multi-Device Sync

توانایی همگام‌سازی داده‌ها با دسترسی به توکن‌ها در دستگاه‌های متعدد. هر حساب کاربری که روی یک دستگاه اضافه یا حذف شود، در دستگاه دیگر هم اضافه یا حذف می‌شود.

Adjustable OTP Time

توانایی تعدیل مدت در دسترس بودن رمزهای عبور یک‌بار مصرف. هر چه این مدت‌زمان کوتاه‌تر باشد، کار هکرها هم دشوارتر خواهد شد. تایمر پیش‌فرض معمولاً ۱۵ تا ۳۰ ثانیه است. در دو اپلیکیشنی که از این قابلیت پشتیبانی می‌کنند باید زمان به‌صورت دستی وارد شود.

Adjustable Code Length

توانایی تعدیل اندازه رمزهای عبور یک‌بار مصرف در دو اپلیکیشنی که از این قابلیت پشتیبانی می‌کنند باید زمان به‌صورت دستی وارد شود. هرچه کدها طولانی‌تر باشند، هک کردنشان هم دشوارتر می‌شود.

Push Notification

برخی از اپلیکیشن‌ها در این فهرست به‌جای ضرورت برای واردکردن کدها از Push Notification پشتیبانی می‌کنند. در پس‌زمینه توکن‌ها بدون آنکه نیاز باشد شما ارقام را کپی کنید، منتقل و جابه‌جا می‌شوند. بدین ترتیب تنها کاری که باید انجام دهید این است که درخواست را تأیید یا رد کنید. از طرفی وب‌سایت باید از این قابلیت پشتیبانی کند که برای همه اپلیکیشن‌های موجود در فهرست شما هم محدودیت وجود دارد.

شرایط انتخاب اپلیکیشن‌های برتر تأیید هویت دومرحله‌ای

برای انتخاب بهترین‌ اپلیکیشن‌های ۲FA در اپ استور و گوگل پلی قوانین و استانداردهای مشخصی در نظر گرفته شده است. در این فهرست اپلیکیشن‌هایی انتخاب شده که از هر دو سیستم‌عامل اندروید و iOS پشتیبانی می‌کنند تا بدین ترتیب اطمینان حاصل شود کاربران بیشتری می‌توانند از آن‌ها بهره ببرند. همین تصمیم باعث شد انتخاب‌های این لیست محدود شوند و برخی از اپلیکیشن‌های قدرتمند مانند andOTP که تنها به اندروید محدود می‌شود، در این فهرست جای نگیرد.

---

مقاله مرتبط: ویژگی های یک رمز عبور ایمن چیست؟

---

دومین استاندارد هم این بود که این اپلیکیشن‌ها باید در حال حاضر توسط توسعه‌دهندگان هم پشتیبانی می‌شدند. پشتیبانی بدین معنی است که مشکلات و باگ‌های احتمالی به‌سرعت از بین می‌روند. به همین خاطر تنها اپلیکیشن‌هایی  در فهرست قرار گرفته‌اند که در طی سال گذشته به‌روزرسانی شده‌اند. این تصمیم هم باعث شد تا اپلیکیشن FreeOTP را در فهرست پیش‌ رو قرار نگیرد.

سومین معیار برای انتخاب این اپلیکیشن‌ها امکان استفاده رایگان از آن‌ها بود. برخی از این اپلیکیشن‌های تأیید هویت دومرحله‌ای پولی هستند؛ اما امکان استفاده از اغلب آن‌ها رایگان است. در این مطلب تنها موارد رایگان عنوان شده است.

در آخر  اپلیکیشن‌هایی انتخاب شده که با وب‌سایت‌ها و خدمات متعددی سازگار هستند. استاندارد طلایی برای این منظور Google Authenticator است که احتمالاً از بیشترین تعداد اپلیکیشن ممکن پشتیبانی می‌کند. به همین دلیل تنها اپلیکیشن‌هایی که بخش زیادی از  خدمات Google Authenticator را پشتیبانی می‌کنند در این لیست قرار دارد.

Authy

نام Google Authenticator برجسته‌ترین برنامه تأیید هویت دومرحله‌ای است؛ اما تنها در صورتی متوجه معایب آن می‌شوید که دستگاه خود را تغییر دهید. وقتی گوشی تازه‌ای تهیه می‌کنید متوجه می‌شوید که در این دستگاه تازه هم باید ارتباط اپلیکیشن را با خدماتی که از آن‌ها استفاده می‌کنید، دوباره برقرار سازید. وقتی مجبور شوید چند بار این روند را تکرار کنید، احتمالاً خسته می‌شوید و به دنبال دومین برنامه مناسب بعد از گوگل می‌گردید.

تنها ۳ اپلیکیشن در فهرست از پشتیبان (بکاپ) رمزگذاری شده پشتیبانی می‌کنند و Authy هم یکی از آن‌هاست. Authy روند بازیابی حساب کاربری شما را به‌واسطه ارتباط این حساب با دستگاه تلفن همراهتان بسیار آسان می‌کند. ممکن است برخی بگویند که همین روند می‌تواند شما را آسیب‌پذیرتر کند. این حقیقت وجود دارد اما نباید آن را بیش‌ازاندازه بزرگنمایی کرد. خدمات Authy امن است و می‌توانید با خیال راحت از آن استفاده کنید.

فرقی ندارد که یک گوشی و یک تبلت دارید یا از دو گوشی متفاوت استفاده می‌کنید؛ در هر دو صورت Authy شما را قادر می‌سازد به‌واسطه روند هماهنگی میان دستگاهی از هرکدام از این وسایل به تأیید هویت دومرحله‌ای دسترسی پیدا کنید. هر تغییری که روی یکی از دستگاه‌ها ایجاد کنید، روی سایر دستگاه‌های وابسته هم اعمال می‌شود. این قابلیت می‌تواند دسترسی شما را به توکن هم تسهیل ببخشد؛ چراکه روی دستگاه‌های متعدد پایگاه داده‌های به‌روزرسانی شده دارید و همین امر شما را قادر می‌سازد تا از هرکدام از دستگاه‌هایتان که نزدیک‌تر هستند وارد حساب کاربری‌تان شوید.

Authy یکی از بهترین اپلیکیشن‌های تأیید هویت دومرحله‌ای موجود برای هر دو سیستم‌عامل اندروید و iOS است. رابط کاربری این اپلیکیشن ساده طراحی‌شده و علاوه بر سهولت استفاده عمومی‌اش همچنین افزودن حساب کاربری تازه در آن به‌آسانی اسکن کردن یک کد QR است. در اپلیکیشن Authy همچنین امکان انتخاب چگونگی چینش و قرار گرفتن حساب‌های کاربری فراهم‌شده است تا راهبری و حرکت در آن بهبود پیدا کند. در هر وب‌سایتی که از تأیید هویت دومرحله‌ای پشتیبانی می‌کند پیشنهاد می‌کنیم نه‌تنها آن را فعال کنید؛ بلکه از Authy برای فعال کردنش بهره ببرید.

LastPass Authenticator

هرچند Authy در رتبه اول قرارگرفته است؛ اما وقتی پای مقایسه در میان باشد، LastPass Authenticator هیچ‌چیز از آن کم ندارد. این دو اپلیکیشن در بسیاری موارد مشترک و مشابه هستند، اما دو تفاوت در میان آن‌ها دیده می‌شود. این دو تفاوت درواقع دو قابلیتی هستند که LastPass نسبت به Authy کمتر دارد و همین کمبود باعث شده است در جایگاه دوم فهرست ما قرار گیرد.

LastPass هم درست مثل Authy از پشتیبان (بکاپ) رمزگذاری شده پشتیبانی می‌کند و در دو نسخه اندروید و ios ارائه می‌شود. تنها تفاوت این است که برای استفاده از آن حتماً باید حساب کاربری LastPass داشته باشید. البته ثبت حساب کاربری کار آسانی است؛ اما همچنان اجبار به استفاده از برنامه مدیر رمز عبور که در ابتدا مایل به استفاده از آن نبوده‌اید ممکن است کمی آزاردهنده باشد. درهرصورت این اپلیکیشن مدیریت رمز عبور کاملاً رایگان است و به‌راحتی می‌توانید آن را از اپ استور یا گوگل پلی استور دریافت کنید. LastPass یکی از بهترین اپلیکیشن‌ها در زمینه تأیید هویت دومرحله‌ای است و در ادامه هم به توضیح برخی از دلایل آن می‌پردازیم.

مهم‌ترین مزیت LastPass نسبت به Authy در توانایی تعدیل و تنظیم مقادیر توکن‌ها درون آن است. درحالی‌که لازم است کدها را به‌صورت دستی در آن وارد کنید، می‌توانید خودتان طول آن‌ها را دستخوش تغییر کنید. این قابلیت با توجه به نیاز شما به امنیت و یا سهولت استفاده می‌تواند مفید واقع شود.

---

مقاله مرتبط: بهترین برنامه های مدیریت پسورد در سال ٢٠١٧

---

همان‌طور که گفتیم، این قابلیت واقعاً مفید است، اما به نظر می‌رسد که عموم مردم الزاماً از آن استفاده نکنند. آنچه اغلب کاربران از آن استفاده می‌کنند نسخه رومیزی اپلیکیشن است که متأسفانه LastPass از چنین نسخه‌ای پشتیبانی نمی‌کند. LastPass تنها اپلیکیشن در فهرست مقابل است که نسخه رومیزی ندارد. علاوه بر این، LastPass همچنین تنها اپلیکیشن در این فهرست است که از ساعت‌های هوشمند پشتیبانی نمی‌کند. پرواضح است که اغلب کاربران ترجیح می‌دهند از اپلیکیشن‌هایی استفاده کنند که با ساعت هوشمندشان سازگار و همچنین نسخه رومیزی از آن در دسترس باشد.

برای انتخاب میان Authy و LastPass باید سلیقه‌ای عمل کنید. برخی کاربران تمایل دارند رمز عبور از توکن جدا باشد و به همین خاطر ترجیح می‌دهند Authy را نصب کنند. از طرفی وقتی برنامه مدیریت رمز عبور و توکن شما رمزگذاری شده باشد، دیگر خطر مهمی شما را تهدید نمی‌کند تا به خاطر آن از خدمات یک شرکت برای حفاظت هر دو مورد استفاده کنید. درهرصورت اپلیکیشن LastPass یک برنامه کاربردی و مناسب برای کاربرانی به شمار می‌رود که تمایل دارند لایه دوم امنیت را به حساب‌های کاربری خود اضافه کنند.

Duo Mobile

اپلیکیشن Duo Mobile اساساً برای شرکت‌ها طراحی‌شده است و برنامه‌ها و طرح‌های متعددی را مناسب برای کاربران متعدد ارائه می‌دهد. به‌طور کلی باید بگوییم که Duo یک پلتفرم برای مدیریت دسترسی و تأیید هویت چندین کاربر است. از طرفی در نسخه رایگان این برنامه یک اپلیکیشن بسیار خوب ۲FA است که روان و ساده طراحی‌شده و استفاده از آن‌هم آسان است. Duo را می‌توانید در اندروید و ios استفاده نمایید.

Duo Mobile (مانند Authy) علاوه بر پشتیبانی از خدماتی که Google Authenticator، پشتیبانی بهتری را از خدمات جانبی و وب‌سایت‌های شبکه‌های اجتماعی ارائه می‌دهد. این اپلیکیشن همچنین دائماً به‌روزرسانی می‌شود.

Dou از کاربران ساعت‌های هوشمند اپل واچ با ارائه اپلیکیشن اختصاصی watchOS پشتیبانی می‌کند. این برنامه اپلیکیشن اختصاصی برای ویندوز و سیستم‌عامل macOS دارد و بدین ترتیب در هنگام ورود از نسخه رومیزی (لپ‌تاپ) دیگر به گوشی‌تان نیاز نخواهید داشت.

Dou Mobile همچنین از نسخه پشتیبان رمزگذاری شده پشتیبانی می‌کند. دستگاهی که از آن استفاده می‌کنید تعیین می‌کند که نسخه‌های پشتیبان کجا ذخیره شوند. نسخه پشتیبان در سیستم‌عامل iOS روی iCloud ذخیره می‌شود و در اندروید هم به Google Drive می‌رود.

البته Dou Mobile قادر نیست حساب‌های کاربری شما را همگام کند، اما توانایی آن در پشتیبانی از پایگاه داده‌ها کمک می‌کند در شرایط تغییر گوشی همراه مجبور نباشید همه‌چیز را از ابتدا اجرا کنید. این برنامه با توجه به کمبودهایش درزمینهٔ همگام‌سازی و همچنین حفاظت از کد ورود در رتبه سوم فهرست قرارگرفته است.

Microsoft Authenticator

Microsoft Authenticator هم مانند Google Authenticator از نسخه پشتیبان ابری پشتیبانی نمی‌کند. از طرفی خدمات مایکروسافت برخلاف گوگل پشتیبانی بهتری دارد و از Push Notification هم برخوردار است. البته کاربر برای Push Notification حتماً باید در محیط مایکروسافت باشد، اما همچنان وجود آن کار را برای کاربر آسان‌تر می‌کند و دلیل منطقی برای برتری Microsoft Authenticator نسبت به Google Authenticator به شمار می‌رود.

درواقع Push Notification از بهترین قابلیت‌های اپلیکیشن Microsoft Authenticator به شمار می‌رود. هرگاه که از این اپلیکیشن برای تأیید هویت حساب کاربری خود در مایکروسافت یا Azure Active Directory استفاده می‌کنید، به‌جای آنکه مجبور شوید کد یا رمز را وارد کنید نوتیفیکیشنی برایتان به نمایش درمی‌آید که از شما می‌خواهد توکن ارسال‌شده به دستگاهتان را تأیید یا لغو کنید. اگر توکن به نمایش درآمده روی دستگاهتان همان توکنی باشد که روی صفحه ورود به‌حساب کاربری ظاهرشده است، گزینه Approve را انتخاب کنید تا هویتتان تأیید شود. این روند بسیار آسان‌تر از درج رمز است. سه اپلیکیشن قبلی هم دارای این قابلیت هستند، اما تعداد خدماتی که از آن‌ها پشتیبانی می‌کنند محدودند.

دو عامل Push Notification و پشتیبانی دائمی باعث شد Microsoft Authenticator رتبه بهتری نسبت به Google Authenticator کسب کند. اپلیکیشن Microsoft Authenticator ماهانه به‌روزرسانی‌های متعددی دریافت می‌کند و به همین خاطر منطقی به نظر می‌رسد که حتی علی‌رغم محدودیتش در پشتیبانی از نسخه رومیزی پیش از Google Authenticator قرار گیرد.

اگر تمایل دارید امنیت داده‌هایتان را با جدا نگه‌داشتن آن‌ها تنها در یک دستگاه حفظ کنید و به محیط مایکروسافت محدود هستید، احتمالاً Microsoft Authenticator بهترین انتخاب برای شما خواهد بود. این اپلیکیشن با بهره گرفتن از Push Notification و همچنین با توجه به به‌روزرسانی‌های مداومش روی پلتفرم‌های متعدد برای کاربرانی مناسب است که حساب‌های کاربری مایکروسافت و غیر مایکروسافت دارند. Microsoft Authenticator از اندروید و ios پشتیبانی می‌کند.

Google Authenticator

دو دلیل منطقی وجود دارد که ممکن است کاربران Google Authenticator را نسبت به اپلیکیشن‌های قبلی ترجیح دهند. این دو علت امنیت بهتر و دسترسی گسترده هستند. همین دو علت همچنین ممکن است از نظر برخی کاربران نقاط ضعف Google Authenticator باشند و باعث شوند سایر اپلیکیشن‌ها را برگزینند.

Google Authenticator از پایگاه داده شما پشتیبانی نمی‌کند و تنها روی دستگاه خودتان وجود دارد. به همین خاطر هر بار که گوشی خود را تغییر می‌دهید، باید ارتباط این اپلیکیشن را با سایر حساب‌های کاربری‌تان روی دستگاه تازه برقرار سازید. از طرفی اگر امنیت تنها اولویت اصلی شماست و سهولت استفاده در رده‌های بعدی قرار دارد، همین مورد همچنین می‌تواند در شرایطی که دستگاهتان دزدیده شود از داده‌های شما حفاظت کند.

گوشی‌های هوشمند مدرن شما را قادر می‌سازند در صورتی که دستگاهتان گم یا دزدیده شد، همه داده‌هایتان را از راه دور پاک‌کنید. بدین ترتیب اگر Authy یا Google Authenticator داشته باشید، همه توکن‌ها از بین می‌روند. از طرفی اپلیکیشن Authy پایگاه داده را به شمار تلفن شما مرتبط می‌کند که البته دسترسی به این شماره برای هکر یا دزد کار دشواری نخواهد بود. اگر کسی به گوشی شما دسترسی داشت و توانست رمز عبورتان را هم درست حدس بزند (البته این احتمال کم است) می‌تواند به توکن‌هایتان دسترسی کامل پیدا کند. از طرفی با استفاده از اپلیکیشن Google Authenticator این امکان اصلاً وجود ندارد.

Google Authenticator همچنین استاندارد تأیید هویت دومرحله‌ای درون هر اپلیکیشن است؛ اما این‌گونه به نظر می‌رسد که گوگل قصد دارد این اپلیکیشن را به‌تدریج از خدمات دیگر لغو کند. آخرین به‌روزرسانی برای Google Authenticator حدوداً دو سال پیش و روی سیستم‌عامل iOS منتشر شد.

Google Authenticator برای کاربران نسخه رومیزی به افزونه مرورگر کروم محدود است. این اپلیکیشن کاربران را به استفاده از مرورگر شرکت سازنده خود یعنی گوگل ملزم می‌کند، اما برخلاف سایر اپلیکیشن‌های همین فهرست روی همه پلتفرم‌های رومیزی و حتی Chrome OS قابل‌دسترسی است. Google Authenticator همچنین تنها اپلیکیشن تأیید هویت دومرحله‌ای در فهرست پیش رو است که رسماً از Wear OS یا همان Android Wear پشتیبانی می‌کند. Google Authenticator نیز از اندروید و ios پشتیبانی می‌کند.

تنها علت انتخاب Google Authenticator توسط شما این است که نگران هستید ذخیره نسخه پشتیبان داده‌هایتان روی فضای ابری چندان امن نباشد. شما علی‌رغم ساده نبودن استفاده از این اپلیکیشن نگران امنیت خود هستید و به همین خاطر انتخاب Google Authenticator کاملاً منطقی به نظر می‌رسد.

نتیجه‌گیری

اجازه دهید ابتدا با تأکید بر این موضوع آغاز کنیم که همه کاربران باید از تأیید هویت دومرحله‌ای استفاده کنند. ما به‌خوبی می‌دانیم که این روش زمان بیشتری از شما می‌گیرد و مخصوصاً برخی وب‌سایت‌ها که از آن پشتیبانی نمی‌کنند ممکن است آزاردهنده باشند یا انتظار برای دریافت کد دسترسی روی گوشی همراه برای شما کاربران دشوار باشد. حتی دریافت پیام کوتاه هم سختی‌های خودش را دارد و نمی‌توانید آن را کپی کنید و به فرم اصلی انتقال دهید. همه این موارد را به‌خوبی می‌دانیم، اما روش تأیید هویت دومرحله‌ای می‌تواند از شما و داده‌هایتان در مقابل دسترسی‌های غیرمجاز حفاظت کند و همین موضوع مفید ارزشش را دارد کمی سختی بکشید.

در حال حاضر بهترین انتخاب در اپلیکیشن ۲FA بدون شک Authy است. استفاده از این اپلیکیشن ساده است، به‌راحتی می‌توانید آن را به دستگاه تازه منتقل کنید و همچنین از رمز عبور شما هم محافظت می‌کند. اگر از کاربران مدیریت رمز عبور LastPass هستید و مشکلی ندارید که رمز عبور و توکن‌هایتان را به یک شرکت بسپارید، این اپلیکیشن پس از Authy بهترین است.