مقایسه کپچا و تایید دو مرحله‌ای!

تایید دو مرحله‌ای یا 2-Factor Authentication که مخفف آن 2FA است. بیشتر به اسم یک خواننده و رپر می‌خورد تا یکی از فاکتورهایی که برای امنیت بیشتر مورد استفاده قرار می‌گیرد. اما سوال این است که این به اصطلاح آقای 2FA می‌توانید جایگزین کپچا باشد؟ و یا اینکه CAPTCHA همچنان با قدرت بر کار مهم خود در برقراری امنیت ادامه می‌دهد. با آرکپچا همراه باشید تا جواب سوال مطرح شده را بدانید و همچنین اطلاعات بیشتری درباره، این دو فاکتور مهم امنیتی، کسب کنید.

باید اشاره کرد که CAPTCHA و تایید دو مرحله‌ای گسترده‌ترین روش‌های امنیتی مورد استفاده هستند. برای جلوگیری از هر گونه دخالت مخرب در عملیات‌هایی مانند login، ایجاد حساب در سایت‌ها و برنامه‌ها، checkout و سایر موارد مشابه دیگر در حوزه سایت و mobile APP ها، از این روش‌های امنیتی استفاده می‌شود.


احتمالا این دو روش را قبلن شنیده‌اید یا حداقل مختصر آشنایی با آن‌ها دارید، با این‌حال تعریف کوتاهی از این دو خواهیم داشت تا در صورت نیاز یادآوری و مرور شود.

کپچا (CAPTCHA)، مخفف عبارت Completely Automated Public Turing test to tell Computers and Humans Apart است. و به معنی آزمونی است که به منظور شناسایی و جداسازی انسان از کامپیوتر و بات ها انجام می‌شود. این تمایز با ارائه چالش‌هایی که حل آن‌ها برای انسان ساده و برای کامپیوتر مشکل و غیر قابل حل است، صورت می‌گیرد.

تایید دومرحله ای (2FA) نیز یکی از روش‌های احراز هویت است. که فرایند تایید هویت و دسترسی به اطلاعات توسط دو یا چند مرحله و با ارائه گواهی های مختلف انجام می‌گیرد.

گواهی های احراز هویت (evidence) نیز شامل سه دسته اند؛ یا knowledge-based هستند و به معنی اطلاعاتی که فقط کاربر از آنها مطلع است. یا possession-based هستند و به معنی اطلاعاتی است که فقط خود کاربر آنها را دارد. و یا inherence-based هستند که به معنی ویژگی هایی که به صورت ذاتی به کاربر تعلق دارند.


کپچا و 2FA چگونه کار می‌کنند؟

کپچا در درگاه‌های عملیاتی و یا operation gateways قرار می‌گیرد و از وقوع هرگونه تخلف، تقلب و یا سواستفاده‌های اینترنتی مبتنی بر تقلید رفتار کاربر جلوگیری می‌کند. این سواستفاده‌ها به دلیل لزوم اتوماسیون سازی فرآیندها و ماشینی‌سازی آن‌ها توسط بات ها انجام می‌گیرد؛ که شیوه کار آن بر پایه ارسال درخواست‌های زیاد به سرور و دامنه هدف است.

اما 2FA بیشتر در payment gateways و یا درگاه های پرداخت مورد استفاده قرار می‌گیرند. در ضمن این سرویس، در وب‌سایت‌ها و یا اپلیکیشن‌هایی با امنیت بالا مانند سرویس ایمیل نیز مورد استفاده قرار می‌گیرد. تا هویت کاربر و بررسی اعتبار آن با حساسیت بیشتری صورت گیرد.

تفاوت کپچا و تایید دو مرحله‌ای در چیست؟

در واقع تفاوت میان این دو سرویس بسیار ساده و در هدفی است که ما به منظور دستیابی به امنیت بیشتر از آنها استفاده می‌کنیم.

تایید دو مرحله‌ای، همانطور که قبل‌تر هم توضیح دادیم، روشی است که در آن شناسایی و احراز هویت کاربر انجام می‌شود و صدور مجوز دسترسی آن به حساب شخصی با حساسیت بیشتری صورت می‌گیرد. دلیل این حساسیت نیز دستیابی به امنیت بیشتر و بستن راه پیشروی هر شخصی است که با روش‌هایی مانند هک، سعی می‌کند، جریان اصلی عملیات را به سمت خود هدایت کند.

اجازه دهید با یک مثال این مسئله را روشن کنیم؛ به عنوان مثال، در نظر دارید مبلغ زیادی را به شخصی منتقل کنید و بانکی که در آن حساب دارید، برای تایید معامله، کدی را به صورت پیامکی به شما ارسال می‌کند. هدف اصلی این است که تایید کنید این شما هستید که این انتقال را انجام می‌دهید.

اما استفاده از کپچا به منظور شناسایی، خنثی‌سازی و مسدود کردن بات هایی است که کمر همت برای انجام فعالیت‌های مخرب در وب‌سایت شما بسته‌اند. در واقع به صورت خلاصه و آسان، کپچا، وب‌سایت‌ها و اپلیکیشن‌های شما را در برابر حملات bot ها مقاوم و ایمن نگه می‌دارد.

کپچا و تایید دو مرحله ای، هر کدام از چه تهدیدهایی جلوگیری می‌کنند؟


کپچاوتاییددومرحله‌ای،هرکدامازچهتهدیدهاییجلوگیریمی‌کنند؟
  • Account Takeover (ATO) یا حملات تصاحب حساب
  • credential stuffing یا دستکاری اعتبار
  • ticket scalping یا تخلف های بلیط فروشی
  • denial of inventory یا حملات انکار در دسترس بودن کالا بدون
  • Bonus abuse یا سو استفاده از پاداش ها (عاملی بسیار مهم برای سایت های قمار و iGaming)
  • various forms of spam یا ارسال هرزنامه های مختلف
  • web scraping (که در آن هکر به جمع آوری داده های مورد استفاده در وب سایت می‌پردازد)
  • abusive traffic و یا ترافیک غیر معمول

و اما حملاتی که تایید دو مرحله ای با آنها مقابله می‌کند شامل:

  • phishing
  • spear phishing یا فیشینگ هدف دار
  • keyloggers یا ثبت کلیدهای فشرده شده
  • credential stuffing یا دستکاری اعتبار
  • brute force یا حمله جستجوی فراگیر و reverse brute force یا حمله جستجوی فراگیر معکوس
  • Man-in-the-middle (MITM) یا حمله شخص میانی

با توجه به نوع حملاتی که در بالا آورده شده اند، به طور کلی، 2FA فقط با تهدیدهای تایید هویت سروکار دارد، در حالی که کپچا با طیف گسترده تری از تهدیدهای خودکار سروکار دارد.


مطالب تکمیلی درباره ی اینکه چرا 2FA نمی‌تواند جایگزین و وارث کپچا باشد، را می‌توانید در وبلاگ آرکپچا مطالعه کنید.
همچنین برای باخبر شدن از مطالب جدید، ما را در ویرگول دنبال کنید.