اپلیکیشن احراز هویت دو مرحله‌ای Proton Authenticator

رمزهای عبور قوی اولین لایه امنیتی برای حساب‌های انلاین ما هستن، اما به تنهایی برای در امان موندن از هک و درز اطلاعات کافی نیستن. اینجاست که اپلیکیشن‌های تایید هویت دو مرحله‌ای یا همون 2FA به کمک میان. این روش یه لایه دفاعی دوم موقع ورود به حساب‌هاتون اضافه میکنه و به عنوان یه راهکار جهانی برای امن نگه داشتن حساب‌ها شناخته میشه.

حالا شرکت پروتون یه اپلیکیشن 2FA رایگان به اسم Proton Authenticator معرفی کرده که میگه نسبت به بقیه اپلیکیشن‌های مشابه انعطاف بیشتری داره و از رمزنگاری قوی تیمی که بهش اعتماد وجود داره، استفاده میکنه. این اپلیکیشن هم مثل بقیه اپ‌های پروتون، متن‌بازه (open source) و برای همه دستگاه‌ها از جمله کامپیوترهای دسکتاپ (ویندوز، مک و لینوکس) موجوده. همچنین به کاربرها اجازه میده کدهای 2FA قبلیشون رو در چند ثانیه به این برنامه منتقل کنن.

تایید دو مرحله‌ای یا 2FA اصلا چی هست؟

تایید هویت دو مرحله‌ای یه روش وروده که یه لایه امنیتی اضافه میکنه تا مطمئن بشه شما مالک واقعی حسابی هستین که میخواین واردش بشین. وقتی 2FA فعاله، معمولا بعد از وارد کردن رمز عبور، از شما یه کد خواسته میشه که توسط یه اپلیکیشن 2FA تولید شده.

این یعنی حتی اگه کسی رمز عبور شما رو به دست بیاره، نمیتونه وارد حساب بشه، مگر اینکه به گوشی شما هم دسترسی داشته باشه و بتونه وارد اپلیکیشن 2FA بشه که اون هم معمولا با رمز محافظت میشه.

حملات تصاحب حساب هر سال ده‌ها میلیارد دلار برای افراد و کسب‌و‌کارها هزینه داره. جلوگیری از این نوع تهدید سایبری نسبتا ساده است: فقط کافیه 2FA رو برای حساب‌هاتون فعال کنین. با فعال کردن 2FA، موقع ورود به حساب، علاوه بر رمز عبور، یه اطلاعات دیگه هم وارد میکنین که معمولا یه کد شش رقمی تولید شده توسط اپلیکیشن تایید هویت شماست.

کدهای تایید پیامکی هم یه گزینه رایج هستن، اما شما رو در برابر حملات تعویض سیمکارت (sim swapping) اسیب‌پذیر میکنن. در مقابل، نفوذ به یه اپلیکیشن تایید هویت برای هکرها خیلی سخت‌تره، چون این اپ‌ها کدها رو به صورت محلی روی دستگاه شما تولید میکنن و هر کد بعد از ۳۰ ثانیه منقضی میشه. این کدها که به صورت افلاین تولید میشن، بهشون رمزهای یکبار مصرف مبتنی بر زمان یا TOTP هم میگن.

ویژگی‌های کلیدی Proton Authenticator

این اپلیکیشن چه با حساب پروتون وارد بشین و چه بدون اون، به صورت رایگان از حساب‌هاتون محافظت میکنه. اگه بخواین کدهاتون بین چند دستگاه همگام‌سازی بشه، میتونین از حساب پروتون یا همگام‌سازی iCloud استفاده کنین، یا اینکه کدها رو فقط به صورت محلی روی یک دستگاه نگه دارین.

با استفاده از Proton Authenticator میشه کارهای زیر رو انجام داد:

دسترسی به کدهای 2FA روی اپ‌های موبایل و دسکتاپ، حتی به صورت افلاین.
همگام‌سازی کدهای 2FA روی همه دستگاه‌ها با رمزنگاری سرتاسری.
فعال کردن پشتیبان‌گیری خودکار برای اسودگی خیال.
وارد کردن اسان کدها از بقیه اپلیکیشن‌های 2FA، یا خروج اطلاعات از خود پروتون اتنتیکیتور.
محافظت از حساب با اطلاعات بیومتریک (مثل اثر انگشت و تشخیص چهره) یا کد پین.

مقایسه با بقیه اپلیکیشن‌ها

اپلیکیشن‌های تایید هویت زیادی در بازار وجود دارن، اما گفته شده که بیشترشون متن‌بسته هستن، به تبلیغات و ردیاب‌ها متکی‌ان و از پشتیبان‌گیری رمزنگاری شده سرتاسری برای کدهای 2FA پشتیبانی نمیکنن. بعضی از اونها حتی اجازه خروج اطلاعات (export) رو نمیدن و ممکنه کاربر برای همیشه توی یه اپ بد گیر بیفته که شاید در اینده از بین بره.

اپلیکیشن‌های تایید هویت گوگل و مایکروسافت جایگاه خودشون رو پیدا کردن، اما پروتون اتنتیکیتور هم ممکنه ارزش امتحان کردن رو داشته باشه. از نظر عملکردی، این اپ تفاوت زیادی با اپ‌های معروفی مثل Google Authenticator و Microsoft Authenticator یا جایگزین‌هایی مثل Duo و Authy نداره. میشه رمزهای یکبار مصرف مبتنی بر زمان (TOTP) رو به صورت دستی یا با اسکن کد QR اضافه کرد.

همچنین میشه کدها رو از اپلیکیشن‌هایی که این قابلیت رو ارائه میدن (گوگل این قابلیت رو داره، مایکروسافت نداره) وارد کرد. در تست‌های انجام شده، گرفتن اسکرین‌شات از کدهای QR در Google Authenticator و بارگذاری اونها در Proton Authenticator به راحتی انجام شده و همه کدها به سرعت منتقل شدن.

یه ویژگی دیگه اینه که پروتون هم کد فعلی (TOTP) و هم کدی که قراره بعدی تولید بشه رو نشون میده. یکی از مزیت‌های اصلی این اپ اینه که از یه شرکت حریم‌خصوصی‌محور میاد. برخلاف بیشتر رقبا، این پلتفرم متن‌بازه و هیچ تبلیغات یا ردیابی نداره.

شرکت بیت‌واردن (Bitwarden) که اون هم یه مدیر رمز عبور متن‌بازه، یه اپلیکیشن تایید هویت مستقل و رایگان دیگه ارائه میده.

پروتون پس یا پروتون اتنتیکیتور؟ کدوم رو انتخاب کنیم؟

پروتون با اینکه در ابزار مدیریت رمز عبورش یعنی Proton Pass یه ویژگی تایید هویت داخلی داره، باز هم Proton Authenticator رو به عنوان یه اپ جداگانه ساخته تا کاربرها بتونن ابزار مناسب خودشون رو انتخاب کنن.

برای راحتی: Proton Pass به شما اجازه میده کدهای 2FA رو همراه با رمزهای عبورتون به صورت خودکار پر کنین که ورود به حساب‌ها رو سریع‌تر و اسون‌تر میکنه. البته این ویژگی در نسخه پولی پروتون پس قرار داره.
برای امنیت پیشرفته: Proton Authenticator کدهای 2FA شما رو در یه اپلیکیشن جداگانه و با رمزنگاری سرتاسری تولید میکنه. این کار یه لایه امنیتی اضافه میکنه و در برابر حملات پیچیده محافظت ایجاد میکنه.

تغییرات در مایکروسافت اتنتیکیتور و ظهور جایگزین‌ها

درست در روزی که مایکروسافت قابلیت پر کردن خودکار (autofill) رو از اپلیکیشن Authenticator خودش حذف کرد، پروتون یه جایگزین احتمالی معرفی کرد. البته Proton Authenticator یه جایگزین صد درصدی برای Microsoft Authenticator نیست، اما میتونه یه گزینه برای کسانی باشه که دنبال یه اپ جدید برای امن کردن ورودهاشون هستن.

مایکروسافت اتنتیکیتور قرار نیست از بین بره، اما عملکردش در حال تغییره. چیزی که در حال حذفه، قابلیت پر کردن خودکار رمز عبور در این اپه. این تغییر برای ترویج استفاده از «کلیدهای عبور» یا Passkeys انجام میشه که به طور کلی امن‌تر از رمزهای عبور در نظر گرفته میشن. هدف نهایی مایکروسافت حذف کامل رمزهای عبوره.

با اینکه کلیدهای عبور امن‌ترن، بعضی‌ها هنوز ترجیح میدن از نام کاربری و رمز عبور استفاده کنن. حالا که مایکروسافت اتنتیکیتور دیگه از پر کردن خودکار رمز عبور پشتیبانی نمیکنه، این قابلیت به مرورگر مایکروسافت اج (Edge) منتقل شده. به گفته دنیل روبینو، سردبیر ارشد ویندوز سنترال:

اتنتیکیتور نسخه دسکتاپ نداشت و اج از قبل همه رمزهای عبور رو داشت، پس داشتن اونها در دو جای مختلف روی گوشی اضافی بود. حالا که فقط در اج هست، با دسکتاپ شما هماهنگ میشه. حالا اگه قابلیت پر کردن خودکار رمز عبور در اپ‌های سوم شخص رو حذف میکردن، خیلی بد میشد. اما اج الان میتونه این کار رو انجام بده و برای این عملکرد، جایگزین ۱ به ۱ اتنتیکیتور شده.
دنیل روبینو، سردبیر ارشد ویندوز سنترال

مسیری که پروتون طی کرده

پروتون یه شرکت فناوری سوئیسیه که به خاطر سرویس‌های رمزنگاری شده سرتاسری و حریم‌خصوصی‌محورش مثل Proton Mail (ایمیل)، Proton VPN (وی‌پی‌ان)، Proton Drive (فضای ابری) و Proton Pass (مدیر رمز عبور) شناخته میشه. این شرکت کارش رو در سال ۲۰۱۴ با Proton Mail شروع کرد.

به گفته پروتون، چون سهامدار اصلی اونها بنیاد غیرانتفاعی پروتونه که ماموریتش دفاع از حقوق دیجیتال جامعشه، همیشه مردم و حریم خصوصی در اولویت قرار دارن.

هفته گذشته، پروتون اولین چت‌بات هوش مصنوعی خودش به اسم Lumo رو هم به عنوان یه جایگزین حریم‌خصوصی‌محور برای ChatGPT و Google Gemini معرفی کرد.

منابع

[۱] Introducing Proton Authenticator: Secure 2FA, your way | Proton
[۲] Proton launches free standalone cross-platform Authenticator app
[۳] Proton Just Launched Its Own Privacy-Focused Authenticator App | Lifehacker
[۴] Proton now offers a two-factor authentication app – 9to5Mac
[۵] Proton launches 2FA app for Windows, iOS, Android, and more | Windows Central
[۶] Proton Takes on Google, Microsoft Again With a New 2FA Security App | PCMag