آرکپچا یک سرویس محافظ بات یا کپچا فارسی است که از وبسایتها و کسبوکارهای آنلاین در برابر حملات باتهای مخرب محافظت میکند. www.arcaptcha.ir
مقایسه کپچا و تایید دو مرحلهای!
تایید دو مرحلهای یا 2-Factor Authentication که مخفف آن 2FA است. بیشتر به اسم یک خواننده و رپر میخورد تا یکی از فاکتورهایی که برای امنیت بیشتر مورد استفاده قرار میگیرد. اما سوال این است که این به اصطلاح آقای 2FA میتوانید جایگزین کپچا باشد؟ و یا اینکه CAPTCHA همچنان با قدرت بر کار مهم خود در برقراری امنیت ادامه میدهد. با آرکپچا همراه باشید تا جواب سوال مطرح شده را بدانید و همچنین اطلاعات بیشتری درباره، این دو فاکتور مهم امنیتی، کسب کنید.
باید اشاره کرد که CAPTCHA و تایید دو مرحلهای گستردهترین روشهای امنیتی مورد استفاده هستند. برای جلوگیری از هر گونه دخالت مخرب در عملیاتهایی مانند login، ایجاد حساب در سایتها و برنامهها، checkout و سایر موارد مشابه دیگر در حوزه سایت و mobile APP ها، از این روشهای امنیتی استفاده میشود.
احتمالا این دو روش را قبلن شنیدهاید یا حداقل مختصر آشنایی با آنها دارید، با اینحال تعریف کوتاهی از این دو خواهیم داشت تا در صورت نیاز یادآوری و مرور شود.
کپچا (CAPTCHA)، مخفف عبارت Completely Automated Public Turing test to tell Computers and Humans Apart است. و به معنی آزمونی است که به منظور شناسایی و جداسازی انسان از کامپیوتر و بات ها انجام میشود. این تمایز با ارائه چالشهایی که حل آنها برای انسان ساده و برای کامپیوتر مشکل و غیر قابل حل است، صورت میگیرد.
تایید دومرحله ای (2FA) نیز یکی از روشهای احراز هویت است. که فرایند تایید هویت و دسترسی به اطلاعات توسط دو یا چند مرحله و با ارائه گواهی های مختلف انجام میگیرد.
گواهی های احراز هویت (evidence) نیز شامل سه دسته اند؛ یا knowledge-based هستند و به معنی اطلاعاتی که فقط کاربر از آنها مطلع است. یا possession-based هستند و به معنی اطلاعاتی است که فقط خود کاربر آنها را دارد. و یا inherence-based هستند که به معنی ویژگی هایی که به صورت ذاتی به کاربر تعلق دارند.
کپچا و 2FA چگونه کار میکنند؟
کپچا در درگاههای عملیاتی و یا operation gateways قرار میگیرد و از وقوع هرگونه تخلف، تقلب و یا سواستفادههای اینترنتی مبتنی بر تقلید رفتار کاربر جلوگیری میکند. این سواستفادهها به دلیل لزوم اتوماسیون سازی فرآیندها و ماشینیسازی آنها توسط بات ها انجام میگیرد؛ که شیوه کار آن بر پایه ارسال درخواستهای زیاد به سرور و دامنه هدف است.
اما 2FA بیشتر در payment gateways و یا درگاه های پرداخت مورد استفاده قرار میگیرند. در ضمن این سرویس، در وبسایتها و یا اپلیکیشنهایی با امنیت بالا مانند سرویس ایمیل نیز مورد استفاده قرار میگیرد. تا هویت کاربر و بررسی اعتبار آن با حساسیت بیشتری صورت گیرد.
تفاوت کپچا و تایید دو مرحلهای در چیست؟
در واقع تفاوت میان این دو سرویس بسیار ساده و در هدفی است که ما به منظور دستیابی به امنیت بیشتر از آنها استفاده میکنیم.
تایید دو مرحلهای، همانطور که قبلتر هم توضیح دادیم، روشی است که در آن شناسایی و احراز هویت کاربر انجام میشود و صدور مجوز دسترسی آن به حساب شخصی با حساسیت بیشتری صورت میگیرد. دلیل این حساسیت نیز دستیابی به امنیت بیشتر و بستن راه پیشروی هر شخصی است که با روشهایی مانند هک، سعی میکند، جریان اصلی عملیات را به سمت خود هدایت کند.
اجازه دهید با یک مثال این مسئله را روشن کنیم؛ به عنوان مثال، در نظر دارید مبلغ زیادی را به شخصی منتقل کنید و بانکی که در آن حساب دارید، برای تایید معامله، کدی را به صورت پیامکی به شما ارسال میکند. هدف اصلی این است که تایید کنید این شما هستید که این انتقال را انجام میدهید.
اما استفاده از کپچا به منظور شناسایی، خنثیسازی و مسدود کردن بات هایی است که کمر همت برای انجام فعالیتهای مخرب در وبسایت شما بستهاند. در واقع به صورت خلاصه و آسان، کپچا، وبسایتها و اپلیکیشنهای شما را در برابر حملات bot ها مقاوم و ایمن نگه میدارد.
کپچا و تایید دو مرحله ای، هر کدام از چه تهدیدهایی جلوگیری میکنند؟
- Account Takeover (ATO) یا حملات تصاحب حساب
- credential stuffing یا دستکاری اعتبار
- ticket scalping یا تخلف های بلیط فروشی
- denial of inventory یا حملات انکار در دسترس بودن کالا بدون
- Bonus abuse یا سو استفاده از پاداش ها (عاملی بسیار مهم برای سایت های قمار و iGaming)
- various forms of spam یا ارسال هرزنامه های مختلف
- web scraping (که در آن هکر به جمع آوری داده های مورد استفاده در وب سایت میپردازد)
- abusive traffic و یا ترافیک غیر معمول
و اما حملاتی که تایید دو مرحله ای با آنها مقابله میکند شامل:
- phishing
- spear phishing یا فیشینگ هدف دار
- keyloggers یا ثبت کلیدهای فشرده شده
- credential stuffing یا دستکاری اعتبار
- brute force یا حمله جستجوی فراگیر و reverse brute force یا حمله جستجوی فراگیر معکوس
- Man-in-the-middle (MITM) یا حمله شخص میانی
با توجه به نوع حملاتی که در بالا آورده شده اند، به طور کلی، 2FA فقط با تهدیدهای تایید هویت سروکار دارد، در حالی که کپچا با طیف گسترده تری از تهدیدهای خودکار سروکار دارد.
مطلبی دیگر از این انتشارات
کپچا چیست و چرا فایروال یا WAF برای مقابله با بات مناسب نیست؟
مطلبی دیگر از این انتشارات
انواع حمله باتهای مخرب به وبسایتها
مطلبی دیگر از این انتشارات
تصاحب حساب کاربری (ATO)