انتقال Google Authenticator: انتقال 2FA به تلفن جدید

اگر تلفنی که کدهای تأیید هویت شما را در خود نگه داشته است گم کنید، کوین‌بیس شما را در صف تأیید هویت ۴۸ تا ۷۲ ساعته قرار می‌دهد تا دوباره حساب خود را ببینید. بایننس می‌تواند یک هفته طول بکشد. یک صرافی کوچک ممکن است یک ماه طول بکشد. این قیمت یک تأیید هویت منتقل نشده است و تنها دلیل وجود این راهنما همین است.

این راهنما نحوه استفاده از انتقال Google Authenticator را در iOS یا اندروید، در هر دو جهت، با استفاده از دو روشی که واقعاً کار می‌کنند، پوشش می‌دهد: خروجی کد QR که از ماه مه 2020 با برنامه روی تلفن شما ارائه شده است، و همگام‌سازی ابری حساب گوگل که در آوریل 2023 با یک هشدار امنیتی که ارزش درک دارد، از راه رسید. همچنین موارد نگران‌کننده‌ای که در آن تلفن قدیمی گم یا دزدیده می‌شود، مشکلات انتقال کدهای 2FA به تلفن جدید و کارهایی که باید برای حساب‌های آنلاین با ارزش بالا انجام دهید که بازیابی آنها همیشه امکان‌پذیر نیست را پوشش می‌دهد. هدف: انتقال Google Authenticator بدون از دست دادن دسترسی به حساب‌هایتان، سپس ایمن نگه داشتن کدهای Google Authenticator خود.

چرا انتقال Google Authenticator قبل از تغییر تلفن مهم است؟

احراز هویت دو مرحله‌ای پیامکی با از بین رفتن سیم‌کارت از بین می‌رود. یک حمله‌ی پورت‌آوت، تعویض اپراتور، حتی یک انتقال eSIM ناموفق - و کد به تلفن شخص دیگری می‌رود. گزارش جرایم اینترنتی FBI در سال ۲۰۲۴، ۹۸۲ شکایت تعویض سیم‌کارت و ۲۵.۹۸ میلیون دلار ضرر مستقیم را ثبت کرده است (کاهش نسبت به ۷۲.۶۵ میلیون دلار در سال ۲۰۲۲، اما همان کلاهبرداری‌ها همچنان به عنوان سرآغاز سرقت هویت و تخلیه‌ی کیف پول‌های رمزنگاری‌شده عمل می‌کنند). کدهای یکبار مصرف از یک برنامه‌ی احراز هویت در حافظه‌ی امن دستگاه ذخیره می‌شوند، نه در شبکه‌ی اپراتور، به همین دلیل است که مایکروسافت سال‌هاست می‌تواند بگوید که فعال کردن احراز هویت دو مرحله‌ای بیش از ۹۹.۹٪ از تلاش‌های خودکار برای به خطر انداختن حساب را مسدود می‌کند.

بده‌بستان واضح است. هر کد روی یک گوشی وجود دارد. آن را در رودخانه بیندازید، به‌طور تصادفی آن را به تنظیمات کارخانه برگردانید، آن را برای "پنج دقیقه" به فرزندتان بدهید - و تا زمانی که روند بازیابی را در هر سرویس طی نکرده باشید، نمی‌توانید به حساب‌های خود دسترسی داشته باشید. بنابراین کدهای خود را ذخیره کنید، فقط روی دستگاهی که کنترل می‌کنید کد ایجاد کنید و انتقال به یک گوشی جدید را به عنوان یک تعمیر و نگهداری معمول در نظر بگیرید.

قبل از شروع: برنامه Google Authenticator خود را در هر دو گوشی آماده کنید

سهم شگفت‌آوری از انتقال‌های ناموفق، ناشی از آماده‌سازی‌های از پیش انجام نشده است، نه نرم‌افزارهای خراب. سه چیز بیش از هر چیز دیگری آن را خراب می‌کند: یک برنامه قدیمی، بدون تنظیمات بیومتریک، یک وای‌فای ضعیف. برنامه Google Authenticator را روی گوشی قدیمی باز کنید و بررسی کنید که راه‌اندازی می‌شود و کدهای فعال فعلی را نشان می‌دهد. آن را از طریق گوگل پلی (اندروید نسخه ۷.۰ یا بالاتر، منتشر شده در ۱۴ نوامبر ۲۰۲۴) یا اپ استور به‌روزرسانی کنید. همان برنامه Google Authenticator را روی گوشی جدید نصب کنید، با حساب گوگل معمول خود وارد شوید، بیومتریک را روشن کنید - اعلان خروجی بدون اثر انگشت یا باز کردن قفل با چهره، از نمایش QR خودداری می‌کند. هر دو دستگاه را به برق وصل کنید، آنها را به یک وای‌فای مورد اعتماد یکسان وصل کنید، هرگونه VPN را غیرفعال کنید.

در حین به‌روزرسانی تلفن‌ها، تمام سرویس‌هایی که به برنامه تأیید هویت متصل هستند را فهرست کنید. اکثر افراد بدون اینکه متوجه باشند، ده یا بیشتر حساب تأیید هویت دارند: هر حساب گوگل، گیت‌هاب، هر صرافی، مدیر رمز عبور، کنسول AWS، CMS. جدول زیر محل کدهای پشتیبان سرویس‌هایی را که اغلب افراد را قفل می‌کنند، نشان می‌دهد. آن فهرست و رمزهای عبور قوی را برای هر سرویس نزدیک نگه دارید - برخی از جریان‌های بازیابی قبل از اینکه دستگاه قدیمی را از حالت اتصال خارج کنند، به هر دو نیاز دارند.

صادرات و واردات: Google Authenticator خود را از طریق QR منتقل کنید

خروجی QR در ماه مه ۲۰۲۰ عرضه شد. این مسیر همچنان همان مسیری است که صفحه راهنمای iOS خود گوگل توصیه می‌کند و اطلاعات مربوط به هر حساب انتخاب شده را بدون هیچ سروری در این میان از یک تلفن به تلفن دیگر منتقل می‌کند. بدون فضای ابری، بدون حساب گوگل.

از گوشی قدیمی شروع کنید. برنامه را باز کنید و منو را پیدا کنید - اندروید سه خط افقی در گوشه بالا سمت چپ قرار می‌دهد؛ آیفون سه نقطه، معمولاً در بالا سمت راست، قرار می‌دهد، اگرچه برخی از نسخه‌ها آنها را در پایین قرار می‌دهند. روی منو ضربه بزنید، انتقال حساب‌ها و سپس صادرات حساب‌ها را انتخاب کنید. برنامه از شما اثر انگشت، شناسه چهره یا کد عبور دستگاه را درخواست می‌کند. وقتی از طریق اعلان بیومتریک عبور کردید، لیستی از هر حساب Google Authenticator را در دستگاه مشاهده خواهید کرد. آنهایی را که می‌خواهید منتقل کنید تیک بزنید (کادر انتخاب چندگانه را می‌پذیرد) و روی بعدی ضربه بزنید. اکنون برنامه یک کد QR حاوی اطلاعات اولیه رمزگذاری شده برای حداکثر ده حساب به طور همزمان تولید می‌کند. اگر بیش از ده حساب دارید؟ صفی از کدهای QR شماره‌گذاری شده دریافت خواهید کرد و برنامه به شما می‌گوید که به کدام یک نگاه می‌کنید.

حالا نوبت گوشی جدید است. برنامه Google Authenticator را باز کنید، روی Get Started (شروع به کار) ضربه بزنید، یا اگر برنامه از قبل راه‌اندازی شده است، روی نماد به علاوه در پایین سمت راست ضربه بزنید. گزینه Scan a QR code (اسکن کد QR) را انتخاب کنید. اگر در مرحله وارد کردن از شما پرسیده شد که آیا از یک حساب کاربری موجود وارد می‌کنید، بله را انتخاب کنید. گوشی جدید را جلوی صفحه گوشی قدیمی نگه دارید و بگذارید دوربین روی QR قفل شود. دستگاه جدید هر حساب وارد شده را فهرست می‌کند. برای مشاهده کدهای QR اضافی در دسته، روی Next (بعدی) ضربه بزنید.

کدهای اصلی روی گوشی قدیمی باقی می‌مانند. ابتدا دستگاه جدید را تأیید کنید، سپس اطلاعات را پاک کنید. یک سرویس متصل را باز کنید، وارد سیستم شوید و بررسی کنید که کد تأیید شش رقمی از کد تأییدکننده جدید با آنچه سرویس انتظار دارد مطابقت داشته باشد. وقتی دو سرویس به شما اجازه ورود دادند، ورودی‌ها را از برنامه گوشی قدیمی حذف کنید - یا بهتر است، دستگاه قدیمی را برای فروش مجدد تنظیم مجدد کنید.

در عمل چند مشکل پیش می‌آید. مسیر اندروید به اندروید تقریباً همیشه تمیز است. اندروید به آیفون گاهی اوقات پس از وارد کردن، برخی از حساب‌ها را نمایش نمی‌دهد، به خصوص زمانی که مرحله اسکن کد QR بیش از پنج ورودی را رمزگذاری می‌کند؛ اندازه دسته را کاهش دهید و دوباره امتحان کنید. آیفون به اندروید گاهی اوقات در صفحه صادرات گیر می‌کند زیرا پیاده‌سازی iOS گوگل از نسخه اندروید عقب می‌ماند. در این صورت، برنامه را به زور ببندید، دوباره آن را باز کنید و صادرات را دوباره شروع کنید. VPN در هر دو دستگاه همچنین می‌تواند به دلیل کند شدن دوربین در برخی از کلاینت‌های VPN، اسکن را خراب کند. آن را برای انتقال غیرفعال کنید. کدهای انتقال موجود در QR دارای محدودیت زمانی هستند، بنابراین اگر ساعت گوشی جدید خاموش باشد، ممکن است پس از وارد کردن، کدهای نامعتبر را مشاهده کنید - منوی برنامه را باز کنید و روی اصلاح زمان برای کدها ضربه بزنید تا ساعت دستگاه دوباره همگام‌سازی شود.

کدهای Google Authenticator را با حساب گوگل خود همگام‌سازی کنید

همگام‌سازی ابری، که در ۲۴ آوریل ۲۰۲۳ با نسخه ۶.۰ در اندروید و ۴.۰ در iOS اضافه شد، روش راحتی است. پس از فعال‌سازی، هر کدی که اضافه یا حذف می‌کنید، در هر تلفنی که با همان حساب گوگل وارد شده باشد، بدون کدهای QR، نمایش داده می‌شود. برای اکثر ورودهای اتفاقی، این دقیقاً همان چیزی است که مردم می‌خواهند.

نکته امنیتی ارزش بررسی دارد. ظرف ۴۸ ساعت پس از راه‌اندازی در آوریل ۲۰۲۳، محققان امنیتی در Mysk Inc. نشان دادند که ترافیک حامل سیدهای TOTP به سرورهای گوگل رمزگذاری سرتاسری نشده است. گوگل علناً متعهد شد که «در آینده» E2EE را اضافه کند، اما تا زمان نگارش این مطلب، همگام‌سازی فقط توسط رمزگذاری سمت سرور خود گوگل محافظت می‌شود، به این معنی که خود گوگل از نظر فنی می‌تواند سیدها را بخواند. برای یک حساب Spotify یا توییتر، این یک معامله قابل قبول در برابر از دست دادن دسترسی است. برای یک مدیر رمز عبور اصلی یا یک صرافی رمزارز امانی، من روش QR را ترجیح می‌دهم و این مشکل را می‌پذیرم.

برای روشن کردن همگام‌سازی، برنامه Google Authenticator را در گوشی قدیمی باز کنید، روی نماد آواتار یا نمایه در گوشه بالا سمت راست ضربه بزنید و با حساب گوگلی که می‌خواهید به عنوان پشتیبان استفاده کنید، وارد شوید. یک نشانگر ابر سبز در کنار هر ورودی همگام‌سازی شده ظاهر می‌شود. همان برنامه را در گوشی جدید باز کنید، با همان حساب گوگل وارد شوید و کدها ظرف چند ثانیه ظاهر می‌شوند. هیچ کد QR برای اسکن وجود ندارد و هیچ درخواست بیومتریکی هم وجود ندارد.

اگر می‌خواهید انتقال وجه با Google Authenticator تقریباً هیچ هزینه‌ای نداشته باشد، همگام‌سازی راه‌حل است - اما اگر به طراحی بدون E2EE اعتماد ندارید، فقط برای حساب‌های کم‌ارزش از آن استفاده کنید. سیدهای باارزش (بانکی، کریپتو، گیت‌هاب جدی) را از طریق خروجی QR به یک دستگاه متصل نگه دارید، یا آنها را کاملاً به یک کلید عبور یا کلید سخت‌افزاری منتقل کنید. برگه اطلاعات MFA مقاوم در برابر فیشینگ CISA در سال ۲۰۲۲، که در سال ۲۰۲۴ مجدداً تأیید شد، کلیدهای سخت‌افزاری FIDO2 را بالاتر از هر روش TOTP قرار می‌دهد.

Google Authenticator را روی دستگاه جدید بدون گوشی قدیمی تنظیم کنید

اگر گوشی قدیمی گم شده، دزدیده شده یا از کار افتاده باشد، هیچ یک از روش‌های بالا کار نمی‌کنند، زیرا همه آنها به دستگاه مبدا نیاز دارند. هیچ مسیر «بازیابی از فضای ابری» وجود ندارد، مگر اینکه قبل از گم شدن، همگام‌سازی را فعال کرده باشید. آنچه در ادامه می‌آید تنها گزینه است و کند هم هست.

برای هر سرویس متصل، باید به روش دیگری وارد شوید و احراز هویت دو مرحله‌ای (2FA) را به صورت جداگانه به گوشی جدید متصل کنید. کدهای پشتیبان سریع‌ترین مسیر برای بازیابی حساب کاربری شما هستند: گوگل در طول راه‌اندازی احراز هویت دو مرحله‌ای، ده کد پشتیبان یکبار مصرف از حساب گوگل شما صادر می‌کند، گیت‌هاب شانزده کد و اکثر صرافی‌ها هشت تا دوازده کد صادر می‌کنند. اگر آنها را در یک مدیر رمز عبور ذخیره کرده‌اید یا چاپ کرده‌اید، از یکی از آنها برای ورود استفاده کنید، سپس مستقیماً به تنظیمات امنیتی بروید، اتصال احراز هویت قدیمی را از دستگاه دیگری حذف کنید و با اسکن یک کد QR جدید، گوشی جدید را جفت کنید تا کدها دوباره به حساب گوگل شما ارسال شوند.

اگر کدهای پشتیبان نداشته باشید، در مسیر کند قرار می‌گیرید. راهنمای کوین‌بیس برای تنظیم مجدد 2FA، 48 تا 72 ساعت زمان را ذکر می‌کند، و وقتی تأیید هویت شروع می‌شود، این زمان بیشتر می‌شود. برخی از بانک‌ها نیاز به مراجعه حضوری دارند. درس: Google Authenticator را با کدهای پشتیبان متصل به یک مدیر رمز عبور در روزی که برای اولین بار آن را فعال می‌کنید، راه‌اندازی کنید و یک نسخه کاغذی را در جایی که تلفن شما نیست، چاپ کنید. در هر صورت، برای هر حساب آنلاین که توسط Authenticator قفل شده است، یک چک لیست نام کاربری و ایمیل بازیابی داشته باشید.

کدهای 2FA را بدون از دست دادن دسترسی بین اندروید و آیفون جابجا کنید

مهاجرت بین پلتفرمی جایی است که بیشترین کمک‌ها به هم گره می‌خورند. انتقال Google Authenticator در هر دو جهت در iOS و اندروید کار می‌کند، اما دو حالت خرابی تکرار می‌شود. حالت اول اسکن QR خروجی با موفقیت انجام می‌شود و دستگاه جدید فقط زیرمجموعه‌ای از حساب‌ها را نشان می‌دهد. این تقریباً همیشه سقف ده حساب برای هر QR است که بی‌صدا عمل می‌کند، به خصوص وقتی که برنامه iOS QR را تولید می‌کند. خروجی را به پنج حساب در یک زمان کاهش دهید. حالت دوم منوی خروجی است که در iOS با وجود اینکه کدها به وضوح در حال اجرا هستند، عبارت "هیچ حسابی برای خروجی گرفتن وجود ندارد" را نشان می‌دهد. راه حل در بیلدهای 2026 این است که به آخرین نسخه TestFlight یا App Store به‌روزرسانی کنید، برنامه را به زور ببندید و تنظیمات بیومتریک دستگاه را یک بار خاموش و روشن کنید.

قبل از اسکن، از هر QR خروجی اسکرین‌شات بگیرید - روی دستگاه دوم، یا آنها را چاپ کنید. هر دستگاهی می‌تواند یک QR را برای وارد کردن اسکن کند، اما گوگل به شما اجازه نمی‌دهد همان خروجی را دوباره تولید کنید، بنابراین یک اسکرین‌شات تمیز تفاوت بین پنج دقیقه کار و خط وحشت بالا است. چه در حال مهاجرت به iOS باشید و چه اندروید، ذخیره ایمن آن اسکرین‌شات‌های QR (در یک یادداشت مدیریت رمز عبور رمزگذاری شده) ارزان‌ترین بیمه ممکن است.

از حساب‌های Google Authenticator با صرافی‌های ارز دیجیتال و Web3 استفاده کنید

تصاحب حساب در یک صرافی یا کیف پول ارز دیجیتال از نظر عملکردی برگشت‌ناپذیر است: به محض اینکه وجوه جابجا شوند، از بین می‌روند. کدهای احراز هویت حداقل میزان مورد نیاز هستند و گزارش مایکروسافت مبنی بر افزایش ۱۴۶ درصدی فیشینگ در میانه‌ی نفوذ تا سال ۲۰۲۴ نسبت به سال گذشته به این معنی است که حتی TOTP نیز به تنهایی کافی نیست. کمپین AiTM «اصول اخلاقی» ماه مه ۲۰۲۶ بیش از ۳۵۰۰۰ کاربر را در ۱۳۰۰۰ سازمان در ۲۶ کشور هدف قرار داد - مهاجمان صفحات ورود قانونی را پروکسی کردند، کد TOTP را به صورت بلادرنگ ضبط کردند و کوکی جلسه را قبل از اینکه کاربر متوجه شود، دزدیدند. ابتدا یک کلید سخت‌افزاری (YubiKey یا مشابه آن) را به حساب اصلی گوگل متصل کنید، سپس احراز هویت را در سمت صرافی قرار دهید و به محض تأیید صحت احراز هویت، SMS 2FA را غیرفعال کنید. اعداد IC3 اف‌بی‌آی در سال ۲۰۲۴، کل خسارات جرایم سایبری را ۱۶.۶ میلیارد دلار اعلام کرده است و شکایات مربوط به ارزهای دیجیتال هر ساله همچنان در حال افزایش است.

پردازنده‌های پرداخت ارزهای دیجیتال شایسته‌ی همان برخوردی هستند که با صرافی‌ها می‌شود. برای مثال، Plisio از TOTP برای حساب‌های تجاری پشتیبانی می‌کند و اتصال آن از طریق Google Authenticator (یا هر برنامه‌ی سازگار با TOTP) از داشبوردی که تراکنش‌های خروجی را کنترل می‌کند، محافظت می‌کند. هنگام مهاجرت به یک گوشی جدید، با داشبورد درگاه پرداخت مانند یک کیف پول داغ رفتار کنید: فقط خروجی QR، بدون همگام‌سازی ابری، کدهای پشتیبان تازه پس از انتقال تولید و ذخیره می‌شوند.

جایگزین‌هایی برای برنامه Google Authenticator که ارزش بررسی دارند

فروپاشی Authy بازار را دگرگون کرد. در ۱۹ مارس ۲۰۲۴، Twilio برنامه‌های دسکتاپ Authy را ماه‌ها قبل از تاریخ اعلام‌شده در آگوست، از کار انداخت. سپس در ژوئیه ۲۰۲۴، مهاجمان با ۳۳۴۲۰۵۴۶ شماره تلفن Authy از طریق یک API احراز هویت نشده، فرار کردند و Twilio این نقض امنیتی را تأیید کرد. دو حمله در چهار ماه. کاربران Authy پراکنده شدند.

اپل در سپتامبر ۲۰۲۴ کاری بی‌سروصدا انجام داد که ارزش دانستن دارد. iOS 18، iCloud Keychain را به یک برنامه اختصاصی رمز عبور تبدیل کرد که به صورت بومی کدهای TOTP تولید می‌کند، در Safari فرم‌ها را به صورت خودکار پر می‌کند و با رمزگذاری سرتاسری همگام‌سازی می‌شود. برای کاربرانی که فقط از اپل استفاده می‌کنند، این امر نیاز به یک برنامه احراز هویت جداگانه را به طور کامل از بین می‌برد. برای بقیه، جدول بالا لیست کوتاه است.

کدهای Google Authenticator خود را پس از انتقال ایمن نگه دارید

به محض اتمام وارد کردن اطلاعات، این لیست را مرور کنید. از طریق گوشی جدید، حداقل به سه مورد از مهم‌ترین سرویس‌های متصل وارد شوید و مطمئن شوید که کدها کار می‌کنند - و اینکه صفحه اصلی برنامه احراز هویت، هر حسابی را که انتظار دارید نشان می‌دهد. کدهای پشتیبان را در هر سرویسی که به تازگی منتقل کرده‌اید، دوباره ایجاد کنید؛ آنها را در یک مدیر رمز عبور و روی کاغذ، در مکان‌های مختلف ذخیره کنید. قبل از انتقال گوشی قدیمی، آن را از طریق Find My iPhone یا Find My Device اندروید پاک کنید. برای حساب اصلی گوگل، یک کلید عبور یا یک کلید امنیتی سخت‌افزاری روی آن قرار دهید، بنابراین حتی یک گوشی دیگر با احراز هویت شما روی آن به تنهایی کافی نیست. این تنظیمات لایه‌ای همان چیزی است که کمپین‌های AiTM که مایکروسافت تا سال 2026 پیگیری می‌کرد را متوقف می‌کند. مهمتر از همه، این همان چیزی است که انتقال بعدی احراز هویت گوگل را به یک کار پانزده دقیقه‌ای تبدیل می‌کند، نه یک کار طاقت‌فرسا.

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.