کلیدهای عبور در مقابل 2FA: کدام یک از ارزهای دیجیتال شما بهتر محافظت می‌کند؟

رمز عبور شما در یک رخنه امنیتی که هرگز از آن خبر ندارید، لو می‌رود. چند هفته بعد، کسی آن را در صرافی ارز دیجیتال شما امتحان می‌کند و تنها چیزی که بین آنها و موجودی شما قرار دارد، یک کد شش رقمی است که به تلفن شما ارسال می‌شود. قرار بود آن کد، دیوار باشد. سال‌ها به اندازه کافی خوب بود. رمز عبور در مقابل 2FA، بحثی است بر سر اینکه آیا آن دیوار هنوز ارزش اعتماد کردن را دارد یا خیر، و پاسخ صادقانه برای هر کسی که پولی دارد که فقط در یک جهت حرکت می‌کند، بیشترین اهمیت را دارد. این راهنما هر دو روش را به زبان ساده توضیح می‌دهد، آنها را رو در رو مقایسه می‌کند و نشان می‌دهد که چرا حمله‌ای که در واقع حساب‌ها را خالی می‌کند، به سختی برای احراز هویت دو عاملی سنتی کند می‌شود.

احراز هویت دو مرحله‌ای (2FA) چیست؟

احراز هویت دو مرحله‌ای، که گاهی اوقات به صورت ۲ مرحله‌ای نوشته می‌شود، یک بررسی دوم است که به رمز عبور شما متصل می‌شود و ایده پشت آن به اندازه‌ای ساده است که اکثر مردم بدون فکر کردن از آن استفاده می‌کنند. حتی اگر کسی عامل اول را بدزدد، هنوز هم برای ورود به سیستم به عامل دوم نیاز دارد. متخصصان امنیتی تمایل دارند این عوامل را به سه دسته کلی تقسیم کنند: چیزی که شما می‌دانید مانند رمز عبور یا پین، چیزی که دارید مانند تلفن یا توکن سخت‌افزاری و چیزی که هستید مانند اثر انگشت یا اسکن چهره، و یک تنظیم ۲ مرحله‌ای به سادگی هر دوی آنها را با هم ترکیب می‌کند.

نکته این است که همه عوامل دوم برابر نیستند و گزینه "2FA روشن" بی‌سروصدا این موضوع را پنهان می‌کند. کد پیامکی ضعیف‌ترین گزینه رایج است، کدی از یک برنامه تأیید هویت مانند Google Authenticator ، که معمولاً یک TOTP است که هر 30 ثانیه یکبار تغییر می‌کند، به طور معناداری قوی‌تر است و یک کلید امنیتی فیزیکی از آن هم قوی‌تر است. مایکروسافت گفته است که فعال کردن MFA حدود 99.9٪ از حملات خودکار به حساب‌ها را مسدود می‌کند، که به شما می‌گوید که این خط مبنا در برابر تلاش‌های انبوه و کم‌زحمت به خوبی عمل می‌کند، و سوالی که کل این مقاله حول آن می‌چرخد این است که وقتی مهاجم اصلاً کم‌زحمت نیست، چه اتفاقی می‌افتد.

در اینجا نحوه‌ی کنار هم قرار گرفتن عوامل دوم رایج آورده شده است.

پرشی که اهمیت دارد در ردیف پایین قرار دارد. کدهای پیامکی، کدهای برنامه و اعلان‌های فوری، همگی یک نقطه ضعف مشترک دارند و آن این است که می‌توان یک انسان را وادار به تکمیل آنها در سایت اشتباه کرد، در حالی که یک کلید امنیتی سخت‌افزاری را نمی‌توان به هیچ وجه وادار به انجام کاری کرد. این همان ویژگی است که یک کلید عبور بر اساس آن ساخته شده است، بنابراین شکاف واقعی بین عوامل قابل فیشینگ و مقاوم در برابر فیشینگ است، نه بین رمز عبور و عامل دوم.

کلید عبور چیست و کلیدهای عبور چگونه کار می‌کنند؟

کلید عبور، کد بهتری نیست؛ بلکه یک جفت کلید رمزنگاری است و درک این جفت کلید، در واقع کل نکته است. وقتی برای یک وب‌سایت یا برنامه، کلید عبور ایجاد می‌کنید، دستگاه شما بی‌سروصدا دو مقدار مرتبط، یک کلید عمومی و یک کلید خصوصی، را با استفاده از استانداردهای FIDO2 و WebAuthn که اپل، گوگل و مایکروسافت همگی در سیستم‌های خود به عنوان ستون فقرات احراز هویت بدون رمز عبور تعبیه کرده‌اند، تولید می‌کند.

کلیدهای عبور به سرعت در حال پیشرفت هستند. اتحاد FIDO گزارش داده است که تا ماه مه 2026 حدود 5 میلیارد کلید عبور در حال استفاده فعال بوده است که 75٪ از مصرف‌کنندگان حداقل در یک حساب کاربری خود یکی از آنها را فعال کرده‌اند. این دیگر یک ویژگی خاص نیست.

دست‌دهی کلید عمومی و خصوصی

شکاف بین دو کلید، کلید عبور را ایمن نگه می‌دارد. کلید عمومی را به عنوان قفلی در نظر بگیرید که وب‌سایت یک کپی از آن را نگه می‌دارد و کلید خصوصی را به عنوان تنها چیزی که می‌تواند آن را باز کند، در نظر بگیرید که درون گوشی شما مهر و موم شده است. وقتی وارد سیستم می‌شوید، سایت یک معمای یک‌بار مصرف را برای امضا به دستگاه شما می‌دهد. دستگاه شما آن معما را با کلید خصوصی امضا می‌کند، پاسخ را ارسال می‌کند، سرور آن را با کلید عمومی که از قبل در اختیار دارد، مقایسه می‌کند و شما وارد می‌شوید. هیچ چیز محرمانه‌ای هرگز در شبکه منتقل نمی‌شود، بنابراین کسی که به سیم گوش می‌دهد، چیزی برای دزدیدن و پخش مجدد در آینده ندارد.

یک بررسی بیومتریک یا پین دستگاه شما، کلید خصوصی را به صورت محلی باز می‌کند تا بتواند امضا کند. اثر انگشت نیز هرگز به سرور نمی‌رسد. این را با رمز عبور مقایسه کنید که هر بار که وارد سیستم می‌شوید، آن را به طور کامل تحویل می‌دهید - به هر کسی که در آن سوی خط است اعتماد می‌کنید تا آن را به طور ایمن ذخیره کند.

محل ذخیره کلیدهای عبور: همگام‌سازی‌شده در مقابل وابسته به دستگاه

کلیدهای رمز دو نوع دارند. کلیدهای رمز همگام‌سازی‌شده در یک مدیر رمز عبور یا زنجیره کلید پلتفرم (اپل، گوگل، ابزاری مانند 1Password یا Bitwarden) قرار دارند و شما را در دستگاه‌های مختلف دنبال می‌کنند. کلیدهای رمز متصل به دستگاه، از جمله کلیدهای امنیتی سخت‌افزاری، هرگز قطعه سخت‌افزاری که آنها را ساخته است را ترک نمی‌کنند. کلیدهای رمز همگام‌سازی‌شده راحت‌تر هستند و در صورت گم شدن تلفن نیز سالم می‌مانند. کلیدهای متصل به دستگاه، قوی‌ترین امنیت فیزیکی را ارائه می‌دهند زیرا کلیدهای رمزنگاری به یک شیء سنجاق شده‌اند که می‌توانید آن را در یک کشو قفل کنید.

کلیدهای عبور در مقابل 2FA: تفاوت‌های کلیدی

ساده‌ترین راه برای اینکه تفاوت را در ذهن خود نگه دارید این است: احراز هویت دو مرحله‌ای یک مرحله به رمز عبور اضافه می‌کند، در حالی که کلید عبور کاملاً جایگزین رمز عبور می‌شود. وقتی اینطور به قضیه نگاه کنید، بقیه ماجرا از پی آن می‌آید. احراز هویت دو مرحله‌ای هنوز به یک راز قابل دانستن وابسته است که می‌تواند فاش شود. کلید عبور از همان ابتدا هیچ راز مشترکی برای فاش شدن ندارد.

همین تغییر کوچک، همه چیز را تحت تأثیر قرار می‌دهد، از مقاومت در برابر فیشینگ گرفته تا سرعت ورود به سیستم. ارائه‌دهندگانی که از کلیدهای عبور استفاده می‌کنند، گزارش می‌دهند که ورود به سیستم به طور معناداری سریع‌تر و موفق‌تر از رمز عبوری است که با کد پیامکی همراه شده است، زیرا چیزی برای تایپ کردن و چیزی برای انتظار کشیدن وجود ندارد. جدول زیر تفاوت‌های کلیدی را نشان می‌دهد.

آیا خود رمز عبور نوعی احراز هویت دو مرحله‌ای (2FA) است یا احراز هویت چند مرحله‌ای (MFA)؟

نکته ظریفی که افراد را به اشتباه می‌اندازد این است. وقتی شما یک رمز عبور را باز می‌کنید، دو بررسی همزمان اتفاق می‌افتد. شما ثابت می‌کنید که دستگاهی که کلید خصوصی را در خود ذخیره می‌کند در اختیار شماست و اثر انگشت یا اسکن چهره ثابت می‌کند که دستگاه واقعاً در دست شماست. این دو عامل در یک لمس است که به خودی خود یک رمز عبور چند عاملی را ایجاد می‌کند. اگر احراز هویت دو مرحله‌ای سنتی را به آن اضافه کنید، در واقع یک درخواست دوم اضافه می‌کنید، نه یک دیوار دوم.

به همین دلیل است که آژانس امنیت سایبری و زیرساخت ایالات متحده فقط کارت‌های هوشمند FIDO2/WebAuthn و PKI را به عنوان MFA واقعاً مقاوم در برابر فیشینگ معرفی می‌کند. کلید عبور، پسرعموی ضعیف‌تر یک عامل دوم نیست؛ بلکه از نظر طراحی، چند عاملی است و در یک مرحله واحد قرار گرفته است.

چرا فیشینگ احراز هویت دو مرحله‌ای را از بین می‌برد اما کلیدهای عبور را نه؟

فیشینگ حمله‌ای است که کل این بحث را تعیین می‌کند. گزارش تحقیقات نقض داده ورایزن در سال ۲۰۲۵ نشان می‌دهد که سرقت اطلاعات محرمانه عامل ۲۲٪ از نقض‌ها و فیشینگ عامل ۱۶٪ دیگر بوده است، بنابراین اینها سوءاستفاده‌های عجیب و غریبی نیستند، بلکه درِ ورودی هستند که اکثر متجاوزان از آن عبور می‌کنند.

تله همیشگی را تصور کنید. یک ایمیل هشدار می‌دهد که حساب شما قفل شده است، شما روی صفحه‌ای کلیک می‌کنید که دقیقاً شبیه صفحه صرافی شماست و شما وظیفه‌شناسانه رمز عبور و کد شش رقمی را از برنامه تأیید هویت خود تایپ می‌کنید. در سایت واقعی، آن کد مشکلی ندارد. در نسخه مهاجم، آنها آن را می‌گیرند و در عرض چند ثانیه آن را در مقابل ورود واقعی اجرا می‌کنند، و عامل دومی که به آن اعتماد کرده‌اید، مستقیماً آنها را وارد کرده است. این بخشی است که مردم دست کم می‌گیرند. احراز هویت دو مرحله‌ای هنوز از یک انسان می‌خواهد چیزی را تحویل دهد، و یک انسان تقریباً می‌تواند هر چیزی را بپذیرد. یک رمز عبور چیزی را تحویل نمی‌دهد. کلید خصوصی را نمی‌توان تایپ کرد، با صدای بلند خواند یا در یک فرم جعلی جایگذاری کرد، و فقط روی دامنه دقیقی که آن را ایجاد کرده‌اید کار می‌کند، بنابراین صفحه مشابه چیزی برای جمع‌آوری و چیزی برای اجرا ندارد.

تعویض سیم کارت و مشکل کد پیامکی

پیامک، بخش نرم و حساس احراز هویت دو مرحله‌ای (2FA) است. در تعویض سیم‌کارت ، مهاجم اپراتور شما را متقاعد می‌کند که شماره شما را به تلفن خود منتقل کند و اکنون هر کدی که برای شما در نظر گرفته شده است، روی صفحه نمایش آنها ظاهر می‌شود. مرکز شکایات جرایم اینترنتی FBI در گزارش سال ۲۰۲۴ خود، ۹۸۲ شکایت از تعویض سیم‌کارت را ثبت کرده است که نزدیک به ۲۶ میلیون دلار خسارت به بار آورده است و این تنها مواردی است که مردم واقعاً زحمت گزارش آنها را کشیده‌اند. پیام‌های پیامکی همچنین می‌توانند از طریق نقص‌های موجود در پروتکل مخابراتی قدیمی SS7 به طور کامل رهگیری شوند، که این حقیقت ناخوشایند را برای شما به جا می‌گذارد: هر کدی که از طریق شبکه تلفن منتقل می‌شود، کدی است که شخص دیگری می‌تواند بی‌سروصدا آن را تغییر مسیر دهد.

فیشینگ OTP و خستگی MFA

حتی یک اپلیکیشن احراز هویت هم مصون نیست، زیرا مهاجمان سایت‌های رله بلادرنگ را اجرا می‌کنند که بین شما و ورود واقعی قرار می‌گیرند، TOTP شما را ضبط می‌کنند و آن را در عرض ۳۰ ثانیه به خوبی بازپخش می‌کنند. احراز هویت دو مرحله‌ای مبتنی بر فشار، حالت خرابی خاص خود را دارد که به عنوان خستگی MFA شناخته می‌شود، که در آن یک مهاجم درخواست‌های تأیید را اسپم می‌کند تا زمانی که یک کاربر خسته بالاخره دکمه تأیید را فشار دهد تا صدای وزوز متوقف شود. هیچ یک از این ترفندها روی کلید عبور کار نمی‌کنند، زیرا در وهله اول هیچ کدی برای رهگیری وجود ندارد و هیچ درخواستی وجود ندارد که بتواند به اشتباه تأیید شود.

از رمزهای عبور در صرافی‌ها و کیف پول‌های ارز دیجیتال استفاده کنید

اینجاست که مقایسه‌ی رمزهای عبور در مقابل 2FA دیگر جنبه‌ی آکادمیک ندارد و اکثر راهنماهای عمومی ساکت می‌شوند. یک بانک می‌تواند یک هزینه‌ی کلاهبرداری را برگرداند، اما یک بلاکچین نمی‌تواند. وقتی یک مهاجم با استفاده از سیم‌کارت به حساب صرافی شما وارد می‌شود و موجودی شما را برداشت می‌کند، آن تراکنش قطعی است. گزارش جرایم اینترنتی FBI در سال 2025، 20.9 میلیارد دلار ضرر کلی را نشان می‌دهد که تقریباً 11.4 میلیارد دلار آن مربوط به کلاهبرداری در حوزه ارزهای دیجیتال است و تصاحب حساب‌ها بخش ثابتی از این ضرر را تشکیل می‌دهد.

صرافی‌های بزرگ، از جمله کوین‌بیس، بایننس و کراکن، اکنون به شما اجازه می‌دهند تا با یک رمز عبور از ورود خود محافظت کنید. فعال کردن این قابلیت، کد پیامکی که تیم‌های تعویض سیم‌کارت به دنبال آن هستند را حذف کرده و آن را با کلیدی جایگزین می‌کند که مهاجم نمی‌تواند از کشور دیگری آن را فیشینگ کند.

یک تمایز مهم است، زیرا اشتباه کردن در آن آسان است. یک کلید عبور، نحوه ورود شما به یک حساب کاربری در یک صرافی را ایمن می‌کند. این کلید با کلید خصوصی یا عبارت بازیابی کیف پول شخصی شما یکسان نیست و جایگزین آنها نمی‌شود. اگر سکه‌های خود را نگه می‌دارید، عبارت بازیابی همچنان کلید اصلی وجوه شماست. یک کلید عبور از درب صرافی محافظت می‌کند، نه از گاوصندوقی که خودتان حمل می‌کنید. درک درست این موضوع، تفاوت بین امنیت واقعی حساب و برداشت نادرست از آن است.

کلید عبور همچنین به خوبی با کنترل‌هایی که صرافی از قبل در اختیار شما قرار می‌دهد، جفت می‌شود. آن را برای ورود به سیستم فعال کنید، سپس یک لیست مجاز آدرس برداشت اضافه کنید تا حتی یک جلسه هک شده نتواند بدون مدت زمان انتظار، وجهی را به یک کیف پول ناشناخته ارسال کند. کلید عبور، ورود غیرمجاز را مسدود می‌کند؛ لیست مجاز، آسیب را در صورت لو رفتن هر چیز دیگری محدود می‌کند. کلیدهای عبور و کنترل‌های 2FA که با هم استفاده می‌شوند، امنیت را بسیار بیشتر از هر یک به تنهایی افزایش می‌دهند و حساب شما دیگر وابسته به کدی نیست که می‌تواند از طریق بی‌سیم به تلفن یک غریبه هدایت شود.

وقتی هنوز به احراز هویت دو مرحله‌ای سنتی نیاز دارید

هنوز کلیدهای عبور همه جا نیستند و انتخاب کلیدهای عبور در مقابل 2FA اغلب به پشتیبانی یک سرویس خاص بستگی دارد، بنابراین فاکتور دوم خود را در روز اول از بین نبرید. اتحاد FIDO بیش از 15 میلیارد حساب کاربری را که تا سال 2025 آماده استفاده از کلید عبور هستند، شمارش می‌کند، با این حال پوشش در سایت‌های کوچک‌تر همچنان ناقص است و بسیاری از سرویس‌هایی که به آنها متکی هستید هنوز چیزی جز رمز عبور و کد ارائه نمی‌دهند. برای این افراد، 2FA خود را نگه دارید و فقط نسخه بهتر آن، یک برنامه تأییدکننده به جای پیامک را انتخاب کنید. بازیابی جای دیگری است که این روش ارزش خود را حفظ می‌کند. دستگاهی را که دارای کلید عبور متصل به دستگاه است، از دست بدهید و یک فاکتور پشتیبان یا مجموعه‌ای از کدهای بازیابی ذخیره شده چیزی است که شما را به حالت عادی برمی‌گرداند. این تنظیمات هوشمند از هر دو استفاده می‌کند، با کلیدهای عبور که می‌توانید آنها را داشته باشید، 2FA مبتنی بر برنامه که نمی‌توانید داشته باشید، و یک طرح بازیابی که بی‌سروصدا در زیر هر دو قرار دارد.

همچنین یک هزینه انتقال وجود دارد که ارزش ذکر کردن دارد. تا زمانی که سایتی از کلیدهای عبور پشتیبانی نکند، شما به قوی‌ترین گزینه موجود آن وابسته هستید و برای بسیاری از سرویس‌ها، این به معنای یک برنامه تأیید هویت ساده است. این را به عنوان یک الگوی نگهداری به جای یک مقصد در نظر بگیرید و هر چند ماه یکبار حساب‌های مهم خود را دوباره بررسی کنید، زیرا پشتیبانی از کلید عبور همچنان در حال گسترش است و حسابی که بهار گذشته نمی‌توانستید از آن محافظت کنید، ممکن است اکنون آن را ارائه دهد.

نحوه تغییر از 2FA به کلیدهای عبور

جابه‌جایی مثل یک نردبان است، نه یک جهش - و تنها قانون این است که هرگز مسیر بازیابی خود را در میانه راه حذف نکنید. در اینجا یک دستور عاقلانه وجود دارد:

۱. در هر حسابی که هنوز از کد استفاده می‌کند، پیامک را با یک برنامه تأیید هویت جایگزین کنید. همین کار به تنهایی احتمال تعویض سیم‌کارت را از بین می‌برد.

۲. هر جا که رمز عبور ارائه شده است، معمولاً در تنظیمات امنیت حساب یا ورود، آن را اضافه کنید.

۳. بسته به میزان امنیت فیزیکی که می‌خواهید، رمز عبور را در یک برنامه مدیریت رمز عبور همگام‌سازی شده یا روی یک کلید امنیتی سخت‌افزاری ذخیره کنید.

۴. یک روش احراز هویت پشتیبان داشته باشید و کدهای بازیابی خود را در جایی آفلاین ذخیره کنید.

۵. فقط زمانی پیامک را حذف کنید که رمز عبور به طور کامل و بدون مشکل وارد سیستم شده باشید.

با حساب‌هایی که پول یا هویت شما را در خود جای می‌دهند شروع کنید: ایمیل شما (کلید اصلی تنظیم مجدد رمز عبور)، صرافی شما، مدیر رمز عبور شما. از آنجا به پایین بروید. کل انتقال می‌تواند یک بعد از ظهر طول بکشد و بیشتر آن منتظر بارگذاری صفحات است.

حکم نهایی: کلیدهای عبور، احراز هویت دو مرحله‌ای یا هر دو؟

در بحث کلیدهای عبور در مقابل احراز هویت دو مرحله‌ای، کلیدهای عبور در حمله‌ای که واقعاً حساب‌ها را خالی می‌کند، پیروز می‌شوند. فیشینگ و تعویض سیم‌کارت مستقیماً از کدهای پیامکی و اغلب از کدهای برنامه نیز عبور می‌کنند، سپس با کلیدهای عبور به بن‌بست می‌رسند. در هر کجا که ارائه می‌شود، از کلید عبور استفاده کنید، آن را به عنوان پیش‌فرض در هر صرافی ارز دیجیتال در نظر بگیرید و احراز هویت دو مرحله‌ای مبتنی بر برنامه را به عنوان جایگزین برای هر چیزی که هنوز به آن نرسیده‌اید، نگه دارید. سوال واقعی این نیست که به کدام یک اعتماد کنید. این است که چقدر سریع می‌توانید حساب‌ها را جابجا کنید که بیشترین اهمیت را دارد. کدام یک را اول تغییر خواهید داد؟

Elisabeth McGowan

A freelance writer passionate about celebrities, net worth stories, athletes, and political figures. She transforms facts into engaging narratives. A true cheese lover and cycling enthusiast, she finds inspiration in motion and flavor.