استفاده از گوشی اندرویدی به عنوان کلید امنیتی در گوگل

شرکت گوگل به تمامی کاربران گوشی‌های اندروید که از نسخه اندروید 7 یا بالاتر استفاده می‌کنند ، اجازه می‌دهد که از گوشی خود به عنوان یک کلید امنیتی استفاده کنند. کاربران سرویس‌های گوگل می‌توانند از گوشی‌های اندرویدی خود برای محافظت از حساب‌ کاربری گوگل، اتوماسیون گوگل، احراز هویت در فضای ابری و حساب‌های کاربری پلتفرم ابری گوگل استفاده کنند. (این قابلیت توسط تبلت‌های اندرویدی پشتیبانی نمی‌شود)

به عبارت ساده‌تر گوشی‌های اندرویدی می‌توانند روش احراز هویت دوعاملی(2FA) را جایگزین روش تایید دومرحله‌ای(2SV) کنند. احراز هویت دو مرحله‌ای با احراز هویت دوعاملی فرق دارد:

احراز هویت دومرحله‌ای(2SV)
روشی برای احراز هویت کاربر توسط چیزی است که می‌داند(گذرواژه) و چیز دیگری که می‌داند (کد ارسالی از طریق پیام متنی)

احرازهویت دوعاملی(2FA)
روشی برای احراز هویت کاربر با استفاده از ترکیب دو عامل متفاوت است: چیزی که شما می‌دانید(گذرواژه)، چیزی که شما دارید (کلید امنیتی) یا چیزی که شما هستید (اثر انگشت).

برای مطالعه بیشتر می‌توانید به مقاله احراز هویت و بررسی انواع روشهای آن مراجعه نمایید.

ضعف احراز هویت دومرحله‌ای در مقابل حملات فیشینگ
با وجود این که احراز هویت دومرحله‌ای به مراتب امن‌تر از استفاده از نام کاربری و گذرواژه است، ولی احراز هویت دوعاملی توسط کلید امنیتی یا تلفن همراه قطعا امنیت بیشتری دارد. چرا که بدست آوردن “کد یک بار مصرف” برای هکرها با استفاده از روش‌هایی امکان پذیر است.

برای روشن شدن این تفاوت، فرض کنید که درحال ورود به سایتی جعلی هستید که دقیقا مشابه سایت اصلی است. راه‌هایی وجود دارد که هکرها به کمک آن می‌توانند با فریب دادن شما و دریافت نام کاربری و گذرواژه، این اطلاعات را برای سایت اصلی بفرستند و کد یک بار مصرف اصلی را دریافت کنند. سپس این کد را برای شما ارسال کنند. به همین دلیل در تائید هویت دومرحله‌ای همچنان این احتمال وجود دارد که شما قربانی حملات فیشینگ شوید.

در روش‌های مبتنی بر کلید امنیتی عموما نیازی به وارد کردن گذرواژه نیست، بنابراین اجازه نخواهد داد شما هویت‌ نامه خود را برای یک سایت فیشینگ ارسال کنید، زیرا به عامل دوم، یا کلید امنیتی شما دسترسی فیزیکی ندارند.

تلفن‌های هوشمند و قابلیت‌های جدید امنیتی
به دلیل امکاناتی که در گوشی‌های هوشمند جدید فراهم شده است، امکان استفاده از این گوشی‌ها به عنوان یک کلید امنیتی برای تائید هویت صاحب آن فراهم شده است. این راهکارها کاربر را وادار می‌کنند برای تکمیل فرایند احراز هویت، وارد تلفن همراه خود شده و هویت خود را تائید کند.

برای این کار، لازم است تلفن همراه کاربر به عنوان دستگاه مورد اطمینان (Trusted Device) به سایت‌ها و سامانه‌هایی که از این قابلیت بهره می‌برند معرفی شود. سپس زمانی که کاربر قصد ورود به حساب کاربری خود از طریق یک دستگاهی دیگر داشته باشد، درخواستی از طریق سایت روی گوشی هوشمند کاربر ارسال خواهد شد. کاربر با باز کردن قفل تلفن همراه خود و اجرای درخواست، هویت خود را تایید می‌کند. سامانه پس از دریافت پاسخ ارسال شده از تلفن هوشمند کاربر، اجازه ورود وی به سایت را خواهد داد.

نحوه کار کلیدهای امنیتی گوشی‌های اندرویدی در گوگل

سرویس‌های گوکل راهکار تائید هویت با کلید امنیتی را با یک روش متفاوت و امن‌تر پیاده‌سازی کرده‌اند. برخلاف سایر تکنولوژی‌های مشابه، در سرویس‌های گوگل دو دستگاه از نظر فاصله مکانی هم باید در نزدیکی هم قرار داشته باشند. به عبارت ساده‌تر، مرورگری که بر روی کامپیوتر یا تلفن شما وجود دارد برای برقراری ارتباط از یک پروتکل محلی استفاده می‌کند که این ارتباط از طریق سرویس ابری امکانپذیر نیست. در تمام تکنولوژی‌هایی که مبتنی بر پیام Push هستند، پیام از طریق سرویس ابری فرستاده می‌شود ولی در راهکار ارائه شده گوگل پیام از طریق سرویس ابر منتقل نمی‌شود و فقط بین دو دستگاه رد و بدل می‌شود. در واقع استفاده از این راهکار و لحاظ کردن یک فاصله محدود بین دو دستگاه باعث مقاوم‌تر شدن این فناوری در برابر حملات فیشینگ می‌شود.

انتخاب بلوتوث توسط کلید امنیتی
در این راهکار کاربری که در حال ورود به سیستم است و همینطور کلید امنیتی باید در یک مکان و کنار هم باشند. کلید امنیتی برای تایید هویت کاربران از USB یا Bluetooth استفاده می‌کند که، گوگل بخاطر سهولت و راحتی بلوتوث را انتخاب کرده است زیرا ارتباط بلوتوث نیازی به حضور کابل رابط بین گوشی و کامپیوتر ندارد.

این روش از دو پروتکل احرازهویت FIDO و WebAuthn برای برقراری ارتباط بین کامپیوتر و گوشی استفاده می‌کند. البته شرکت گوگل در حال ساخت یک پروتکل جدید با نام caBLE یا cloud-assisted Bluetooth Low Energy است که نیازی به جفت شدن دستگاه‌ها، نصب برنامه یا اتصال نداشته باشد.

مراحل آماده‌سازی گوشی اندروید به عنوان کلید امنیتی
برای این‌کار نیاز به یک کامپیوتر یا لپ‌تاپ با سیستم عامل ویندوز10 یا مک با قابلیت بلوتوث و مرورگر کروم است.

برای شروع مراحل زیر را انجام دهید:

وارد حساب کاربری گوگل شده و ارتباطات بلوتوث را روشن کنید.
به آدرس myaccount.google.com/security در مرورگر بروید.
در این صفحه گزینه two-step verification یا تائید دو مرحله‌ای را انتخاب و آن را فعال کنید.
پس از این که روی کلید امنیتی کلیک کردید لیستی از دستگاه‌های در دسترس با بلوتوث در اطرافتان را خواهید دید. از این لیست گوشی خود را انتخاب کنید و سپس روی گزینه افزودن یا add کلیک کنید.
شرکت گوگل قصد دارد با انجام تبلیغات، کاربران خود را در صورتی که گوشی آنها شرایط استفاده از کلید امنیتی را دارا باشد، تشویق کند که این ویژگی را فعال‌ کنند.

پس از تایپ گذرواژه، گوشی اجازه ورود به سیستم را به شما می‌دهد که در این مرحله کافی ‌است با زدن یک دکمه که در صفحه موبایل ظاهر می‌شود ورود خود را تائید کنید.

البته این پیام در گوشی‌های برند pixel3 با درخواست فشردن دکمه کاهش صدا فرایند احراز هویت دو عاملی کاربر را اجر می‌کند.

ریسک استفاده از کلیدهای امنیتی گوگل
با توجه به این که با این روش احراز هویت، عملا شما به یک دستگاه دیگر وابسته می‌شوید، گوگل توصیه می‌کند از گوشی خود به عنوان یکی از گزینه‌های ورود از کلید امنیتی استفاده کنید. زیرا در صورت مفقود شدن گوشی شانس خیلی کمی برای دسترسی به اطلاعاتتان خواهید داشت پس بهتر است همواره یک کلید USB پشتیبان هم داشته باشید.

روش کلید امنیتی در سراسر دنیا قابل استفاده است زیرا توسط سرویس‌های goople play ارائه می‌شود وهمین باعث شده که این شرکت، راهکار کلید امنیتی را در نسخه‌های قدیمی اندروید نیز عرضه کند.