امنیت سایبری ۱۰۱ ویژه فعالان حقوق بشر، فعالان مدنی، فعالان سیاسی، روزنامه نگاران و براندازان: OTP چیست و چگونه با استفاده از آن تمامی حساب‌های کاربری خود از جمله توییتر، اینستاگرام و سایر شبکه‌های اجتماعی را امن‌تر نماییم؟

رمز یکبار مصرف آفلاین

رمز یکبار مصرف آفلاین

عمده مطلب حاضر را دو‌ ماه پیش تهیه نموده بودم که بدلیل حساسیت آن و محدودیت زمانی، ویرایش نهایی و انتشار آن تا به امروز میسر نشد. فارغ از نوع فعالیت، خواندن این مطلب را جهت سخت‌تر و غیرقابل نفوذ نمودن حساب‌های کاربری‌تان در تمامی سرویس‌های اینترنتی توصیه می‌نمایم.

لذا ادامه مطلب را به هیچ‌وجه از دست ندهید.

سلب مسئولیت

شما با ادامه مطالعه این مطلب، موافقت کامل خود با این توافق نامه را اعلام می‌نمایید:

تمامی محتویات این وب سایت تحت مجوز (CC BY-SA 3.0) Creative Commons Attribution-ShareAlike 3.0 Unported License منتشر شده است. همچنین، تمامی سورس کدهای منتشر شده در این وب سایت تحت لیسانس MIT License منتشر شده است، مگر آن که به صراحت ذکر شده باشد. تمامی محتویات ارائه شده صرفا جنبه آموزشی و اطلاعاتی داشته و فاقد هرگونه ضمانت، تعهد یا شرایطی از هر نوع می باشد. بایستی توجه نمود که اطلاعات عرضه شده حتی ممکن است دقیق و یا بروز نباشد. هرگونه اطمینان به و یا استفاده از محتویات یا منابع منتشر شده در این وب سایت با مسئولیت مخاطب بوده و نگارنده یا نگارندگان هیچ گونه مسئولیتی در مورد عواقب آن را نخواهند پذیرفت.

تکنولوژی OTP چیست و چرا بایستی از آن استفاده نمود؟

شک ندارم عمده کاربران توییتر با مفهوم احراز هویت دوعاملی که خود گونه‌ای از احراز هویت چند عاملی است به خوبی آشنائی دارند. در این روش جهت افزایش ضریب امنیت، کاربران علاوه بر وارد نمودن کلمه عبور در زمان ورود به توییتر، بایستی با استفاده از کد شش رقمی که برای آن‌ها از طریق پیامک ارسال می‌شود ورود موفقیت آمیز خود به حساب کاربریشان را تکمیل نمایند؛ در غیر اینصورت توییتر به صرف داشتن کلمه عبور به شما اجازه ورود و کنترل اکانت توییتر را نخواهد داد.

این روش ورود با افزودن یک لایه اضافه احراز هویت، تا حدود زیادی حساب‌های کاربری را ایمن‌تر می‌نماید. اما اگر شما یک فعال سیاسی شناخته شده داخل یا خارج از کشور هستید و یا یک اکانت ناشناس با نام مستعار، علی‌رغم اینکه این روش ورود، امن‌تر از ورود با کلمه عبور به تنهایی می‌باشد، خودش هنوز یک پاشنه آشیل محسوب می‌شود. همانطور که قبلا در مقاله آیا تلگرام امن است؟ از سری #امنیت_سایبری_۱۰۱ توضیح داده‌ام:

۱. در ۹ ژوئن ۲۰۱۹، اینترسپت پیام های لو رفته تلگرامی مابین وزیر دادگستری برزیل و دادستان های برزیلی را منتشر نمود. فرضیه این بود که این نفوذ یا توسط مبادله سیم کارت و یا حمله کامپیوتری انجام شده است. حمله تعویض سیم کارت با بهره برداری از قابلیت شبکه تلفن همراه جهت انتقال شماره تلفن به یک سیم کارت دیگر انجام می شود. یقینا نهادهای امنیتی جمهوری اسلامی توانایی انجام چنین حملاتی را با صرف منابع مالی و استخدام جاسوس یا هکر در هرجای دنیا خواهند داشت. استخراج کلمه عبور شما برای نهادهای امنیتی جمهوری اسلامی از طریق حملات سایبری نیز امکان‌پذیر خواهد بود. در واقع یکی از دلایل ابداع احراز هویت دوعاملی همین نوع از حملات است. اخیرا یک نمونه واقعی آن در مورد فعالان و نخبگان سیاسی شناخته شده خارج کشور انجام شده که بزودی در مورد آن خواهم نوشت.

۲. اگر یک فعال سیاسی شناخته شده داخل کشور می‌باشید یا یک اکانت ناشناس با نام مستعار در داخل، همیشه ریسک دستگیری وجود خواهد داشت. آن‌هایی که سابقه بازداشت با اتهامات سیاسی یا امنیتی در داخل ایران را دارند به خوبی می‌دانند که در زمان دستگیری در نهادهای امنیتی در ایران نه تنها شما حق دسترسی به وکیل را نخواهید داشت بلکه اگر دستگاهی نظیر کامپیوتر، لپ تاپ، گوشی تلفن همراه، هارد درایو، و یا حتی اکانت ایمیل یا شبکه های اجتماعی از شما کشف شود، تفاوتی نخواهد داشت اگر پسورد شما 1 باشد یا 8799Nk209I90;y046mT23y7H.\0LB5|6362=288wA^y7618OS84q260!995$3o&H؛ هیچ چیز شما را نجات نخواهد داد:

امنیت - xkcd شماره ۵۳۸

امنیت - xkcd شماره ۵۳۸

تصورات یک خوره رمزنگاری:

– لپ تاپش رمز نگاری شده. بیاید یه خوشه کامپیوتری یک میلیون دلاری برای شکستنش بسازیم.

– خوب نیست! این [الگوریتم] آر اس ای ۴۰۹۶ بیتی هستش!

– پووووو! نقشه شیطانیمون نقش بر آب شد!

اتفاقی که در واقعیت می افتد:

– لپ تاپش رمز نگاری شده. نعشه اش کن و با این آچار ۵ دلاری تا زمانی که پسورد رو بهمون بگه کتکش بزن.

– متوجه شدم.

محتوای کامیک فوق، به مفهومی آشنا برای متخصصین حوزه رمزنگاری تحت عنوان Rubber-hose cryptanalysis اشاره دارد. در واقع اهمیتی ندارد که الگوریتم رمز نگاری یا پسورد شما چقدر قوی باشد؛ استخراج کلمات عبور از یک انسان با متوسل شدن به تهدید یا شکنجه، بسیار ساده تر و کم هزینه تر از حملات رمزنگاری است که نیازمند صرف دانش فنی، امکانات و هزینه می باشد. علاوه بر آن به راحتی توسط هر فردی قابل انجام است.

از این موضوع که بگذریم، چیزی که احراز هویت دوعاملی با استفاده از پیامک را برای فعالان داخل کاملا بی‌اثر می‌سازد دسترسی آسان نهادهای امنیتی به سیم‌کارت یا گوشی تلفن همراه شما خواهد بود. در این حالت هر دو تکه پازل، شامل کلمه عبور و رمز یکبار مصرف جهت ورود به حساب کاربری شما به سادگی در اختیار نهادهای امنیتی خواهد بود.

۳. اخیر کاربران بسیاری از داخل ایران در توییت‌های متعددی بنده را منشن نموده‌ یا از طرق دیگر تماس گرفته و اطلاع داده‌اند که پیامک‌های حاوی رمز یکبار مصرف ورود به توییتر، با پیش‌کد +۹۸ که متعلق به ایران می‌باشد ارسال می‌شود. این موضوع نگرانی بسیاری از فعالان توییتری را برانگیخته است.

نکته بسیار مهمی که بایستی بدان توجه نمود این است که تفاوتی نمی‌کند که شما در داخل باشید یا خارج، دسترسی نهادهای امنیتی جمهوری اسلامی به اکانت توییتری شما باعث به خطر افتادن سایر فعالان خواهد شد. اگر آن‌ها توانایی دسترسی به اکانت توییتر شما را داشته باشند، می‌توانند به محتوای پیام‌های خصوصی رد و بدل شده فی‌مابین شما و سایرین که ممکن است حاوی اطلاعات مهمی باشد دسترسی پیدا کنند. پیش‌ترها توییتر به شما اجازه می‌داد که پیام‌های ارسالی به مخاطبین خود را نه تنها از صندوق پستی خود، بلکه از صندوق پستی مخاطبین خود نیز حذف نمایید که قطعا در چنین شرایطی یک ویژگی بسیار کارآمد و ضروری می باشد. بررسی مستندات رسمی پیام‌های خصوصی توییتر از آرشیو اینترنت نشان می‌دهد که در تاریخ نامشخصی مابین ۷ جولای ۲۰۱۴ و ۱۹ جولای ۲۰۱۴ نه تنها توییتر این قابلیت را حذف نموده بلکه حتی بلاک نمودن فرد دستگیر شده هم باعث حذف پیام‌ها از صندوق پستی‌شان نخواهد شد (البته توییتی از سوی کاربری با شناسه @pixlz نشان می‌دهد که این قابلیت کماکان در ۹ جولای ۲۰۱۴ در دسترس بوده است).

اگر توضیحات فوق شما را جهت مطالعه ادامه این راهنمای تصویری متقاعد ننموده است بایستی عرض کنم ترکیبی از روشی که شرح آن در ادامه می‌آید و روشی با نام Plausible Deniability باعث شد که نهاد امنیتی بازداشت کننده اینجانب در زمان اعتراضات دی‌ماه ۹۶ نتواند به هیچ یک از حساب‌های کاربری یا ایمیل اینجانب نفوذ کند (در آینده حتما راجع به روش بسیار کارآمد Plausible Deniability خواهم نوشت). ذکر این نکته ضروری است که تحت سلطه جمهوری ننگین اسلامی، در زمان بازداشت با اتهامات سیاسی و امنیتی حتی اگر هیچ شواهدی در مراحل بازجویی از شما کشف نشود تا رسیدن شما به مرحله دادگاه و صدور رای فرمایشی قطر پرونده شما حداقل ۱۰۰۰ صفحه خواهد بود (اگر باور نمی‌فرمایید از افرادی که چنین تجربه‌ای دارند سوال بفرمایید). اما اگر بتوانید امنیت حساب‌های کاربری‌تان را حفظ نمایید، به دلیل حفظ امنیت سایرین و عدم فراهم نمودن قابلیت سواستفاده نهادهای امنیتی از هویت مجازی شما در برقراری تماس با سایر کاربران و جازدن خود به جای شما مطمئن باشید که کار بسیار بزرگ و موثری انجام داده‌اید.

بسیار خب، اما این روش چگونه کار می‌کند؟ در این روش که در بسیاری از شبکه‌های اجتماعی و سرویس‌های آنلاین به خوبی کار می‌کند، شما برای دسترسی به حساب کاربری خود بایستی ۲ مرحله را پشت سر بگذارید:

مرحله ۱) ورود با استفاده از کلمه عبور.

مرحله ۲) پس از عبور موفقیت آمیز از مرحله قبل، ورود رمز بکبار مصرف ۶ رقمی که اعتبار آن فقط ۳۰ ثانیه می‌باشد و با الگوریتم خاصی به شکل آفلاین در یکی از دستگاه‌های شما بدون نیاز به اینترنت یا پیامک تولید می‌شود.

مرحله دوم دقیقا همان OTP یا رمز یکبار مصرف آفلاین می‌باشد. اما این رمز یکبار مصرف چگونه به شکل آفلاین بدون هرگونه تماسی با سرور توییتر تولید می‌شود؟ پیش از تشریح چگونگی آن بایستی عنوان نمود که ۲ نوع OTP وجود دارد:

نوع اول) TOTP یا Time-synchronized one-time password که زمان در الگوریتم آن نقش اساسی را ایفا می‌کند و ساعت دستگاه شما بایستی با سرور توییتر همگام باشد. به این معنی که ساعت دستگاه شما نسبت به منطقه زمانی که در آن قرار دارید دقیق باشد؛ حتی نبایستی در حد چندثانیه پس و پیش باشد. سرور توییتر به شکل خودکار با مبدا زمانی یعنی گرینویچ همگام سازی می‌شود. زمان گوشی‌های تلفن همراه و کامیپوترها هم به شکل خودکار با اینترنت یا اپراتور تلفن همراه همگام سازی می‌شوند. لذا اگر خود تعمدا این قابلیت را خاموش ننموده باشید مشکلی در استفاده از این نوع OTP پیش نخواهد آمد.

نوع دوم) HOTP یا HMAC-based one-time password که با استفاده از یک تابع هش ریاضیاتی محاسبه می‌شود.

عمده سرویس‌ها و شبکه‌های اجتماعی از جمله توییتر از نوع TOTP استفاده می‌نمایند. اما پروسه کلی در این مکانیزم احراز هویت به چه شکل است؟

۱. شما این قابلیت را در قسمت تنظیمات امنیتی حساب توییتر خود فعال می‌نمایید.

۲. توییتر یک Seed مختص شما یا چیزی که به اصطلاح بذر نامیده می‌شود را تولید می‌نماید. این Seed به شکل یک QR Code یا ترکیبی از اعداد و حروف Base32 به شما عرضه می‌شود.

۳. شما این Seed یا بذر را در یک نرم‌افزار احراز هویت که بر روی یکی از دستگاه‌های خود نصب نموده‌اید وارد می‌نمایید. حالا طرفین یعنی توییتر و شما هر دو بذر یکسان را در اختیار دارید.

۴. در زمان ورود به توییتر پس از ورود با گذرواژه، از طریق نرم افزار احراز هویت با الگوریتمی که زمان دنیای واقعی و بذر را ترکیب می‌نماید به شکل آفلاین یک کد ۶ رقمی را بدست می‌آورید.

۵. از آنجایی که توییتر هم بذر یکسان را در اختیار دارد و الگوریتم محاسبه یکسانی را برای تولید کد ۶ رقمی به کار می‌گیرد عدد به دست آمده در سرور توییتر با کد ۶ رقمی وارد شده توسط شما مطابقت داده می‌شود.

۶. اگر هر دو کد یکسان بودند ورود و احراز هویت، موفقیت آمیز خواهد بود.

۷. اگر بنا به هر دلیلی کد بذر خود یا دستگاهی که بذر در آن وارد شده را گم کرده‌اید یا در دسترس شما قرار ندارد، علی‌رغم داشتن کلمه عبور دیگر هیچ وقت نخواهید توانست وارد اکانت خود شوید (مگر این‌که هنوز روش‌های دیگر مانند ورود با پیامک را باز گذاشته باشید). به همین دلیل توییتر یک کد پشتیبان در اختیار شما قرار می‌دهد که می‌توانید آن را در جایی ذخیره نموده، یا حتی بر روی کاغذ به شکل فیزیکی یادداشت نمایید. حتی می توانید آن را بر روی یک سنگ حکاکی نمایید ¯\_(ツ)_/¯ اما مهم این است که آن را در اختیار کسی قرار ندهید یا گم نکنید. چون در لحظه حساس ،به همراه کلمه عبور تنها راه ورود به اکانت شما خواهد بود.

حالا که فرآیند کلی کار را آموختیم، پیش از پرداختن به جزئیات به همراه راهنمای تصویری نحوه فعال سازی این روش، بایستی ذکر کنم که اگر برنامه احراز هویت را در همان دستگاهی نصب نمایید که توییتر بر روی آن نصب شده و از آن برای ورود به توییتر استفاده می‌نمایید، عملا تا حد زیادی موثر بودن این روش را خنثی نموده‌اید؛ به این دلیل که وقتی در نهادهای امنیتی شما را دستگیر کنند با توسل به روش‌های مختلف سعی خواهند نمود که تکه اول پازل یعنی کلمه عبور را از شما کشف نمایند. سپس در صورت ضبط گوشی‌تان توسط نهادهای امنیتی تکه دوم پازل یعنی رمز‌ یکبار مصرف هم کشف شده و به راحتی می‌توانند به اکانت شما وارد شوند. خب راه‌حل چیست؟

یک راه‌حل امن شاید نصب نرم‌افزار احراز هویت در دستگاه یک دوست یا یکی از اعضای خانواده باشد که فاصله زیادی با شما دارند یا ممکن است اصلا در خارج از ایران و دور از دسترس نهادهای امنیتی جمهوری اسلامی باشند. سپس در زمان‌های ورود می‌توانید از‌ آن‌ها کد ۶ رقمی را به روشی امن درخواست نمایید (مثلا یک پیام‌رسان یا ایمیل امن). چون دوست شما تکه اول پازل یعنی رمز را ندارد، او نخواهد توانست به اکانت شما وارد شود. شما هم با داشتن تکه اول پازل یعنی کلمه عبور تا زمانی که کد ۶ رقمی از سوی دوست‌تان ارسال نشود نمی‌توانید به اکانت‌تان وارد شوید. بنابراین، در زمان بازداشت حتی اگر پسورد را در اختیار بازجو بگذارید آن‌ها قادر به گشودن اکانت شما نخواهند بود. البته اگر نگران قطع ارتباط با دوست‌تان به هر دلیلی می‌باشد، همانطور که ذکر شد توییتر یک کد پشتیبان برای زمان مبادا در اختیار شما قرار می دهد، تا حتی بدون کمک دوست‌تان اگر نیاز بود حداقل یکبار وارد توییتر شوید، می توانید این کد را به فرد ثالثی واگذار نمایید تا در صورت قطع ارتباط با دوستی که نرم‌افزار احراز هویت را در اختیار دارد اکانت خود را از دست نداده باشید).

راه‌حل دیگر که سخت‌تر و برای افراد فنی‌تر امکان‌پذیر است، نصب یک ماشین مجازی اندروید در کامپیوتر و نصب نرم‌افزار احراز هویت و ذخیره کدها در آن می‌باشد. سپس می‌توان آن ماشین مجازی را کدگذاری نموده و با تکنیک خاصی آن را در جایی از هارددیسک ذخیره نموده که هرگز توسط نهادهای امنیتی قابل کشف نباشد (بعدها به زبان ساده و به تفصیل در سری #امنیت_سایبری_۱۰۱ حتما در مورد آن خواهم نوشت). یا حتی می‌توانید با هزینه بسیار کمی مثلا یک VPS یا سرور مجازی با هر سیستم عاملی را بر روی وب خریداری نمایید که تنها خود از وجود آن اطلاع دارید و یک نرم‌افزار احراز هویت مختص کامپیوتر را بر روی آن نصب نمایید که از هر کجای دنیا هم قابل دسترس باشد. البته این روش آخر مستلزم آن است که به خوبی به مفاهیم امنیت و پیاده‌سازی آن جهت ایمن نمودن این سرور مجازی مسلط باشید. اگر متوجه دو راهکار آخر نشدید نگران نباشید، به زعم من راه‌حل اول یعنی نصب آن در دستگاه یک دوست یا اعضای خانواده، توسط بسیاری از افراد قابل انجام و ساده‌تر می‌باشد.

باز هم توجه داشته باشید که هر دو روش فوق در حالتی موثر خواهند بود که شما پس از هربار استفاده، یا سریعا پیش از دستگیری و بازداشت، به هر نحوی از برنامه یا وب‌سایت توییتر در گوشی یا کامپیوتر خود خارج شوید، چرا که کد ۶ رقمی فقط در زمان ورود از شما درخواست خواهد شد.

و اما نرم‌افزارهای احراز هویت برای Android و iOS کدامند؟

۱. به شخصه به دلیل کد باز بودن از FreeOTP جهت احراز هویت استفاده می‌نمایم. همچنین ویژگی دیگر این نرم‌افزار این است که از بذرهای ورود شما هیچ‌گونه نسخه پشتیبانی در کلاد تهیه نمی‌شود (بله برخلاف انتظارتان باید بگویم که این یک ویژگی امنیتی فوق‌العاده مفید است). مسئولیت تهیه نسخه پشتیبان و نگهداری از دستگاهی که این نرم‌افزار بر روی آن نصب است با خود شماست. مثلا می‌توانید به صورت دستی از آن پشتیبان تهیه نمایید یا کدهای پشتیبانی که توییتر و سایر سرویس‌ها در اختیار شما قرار می‌دهند را در جای امنی نگهداری نمایید تا در صورت نیاز از آن‌ها استفاده نمایید. پس در حفظ آن‌ها کوشا باشید و آنرا جدی بگیرید. این نرم‌افزار برای Android در F-Droid و Google Play و برای iOS در App Store در دسترس می‌باشد. این راهنما بر اساس این نرم‌افزار توسعه داده شده است.

نمایی از نرم افزار احراز هویت FreeOTP

نمایی از نرم افزار احراز هویت FreeOTP

۲. از نقطه نظر ویژگی‌های متعدد و سادگی استفاده و پشتیبان‌گیری خودکار در کلاد، نرم‌افزار Authy که برای Android، iOS، macOS و Chrome در دسترس می‌باشد بهترین گزینه ممکن می‌باشد. به دلیل قابلیت پشتیان‌گیری خودکار در کلاد، با این نرم‌افزار مطمئن خواهید بود که هرگز بذرهای احراز هویت شما به شرط حفظ شماره تلفن‌تان گم نخواهد شد. از آنجایی که احراز هویت در خود این نرم‌افزار با شماره تلفن همراه انجام می‌شود و به منظور ثبت‌نام آن را نیاز خواهید داشت، این موضوع از نقطه نظر امنیتی یک پاشنه آشیل بزرگ محسوب می‌شود. چرا که با توجه به حملات شناخته شده تعویض سیم‌کارت اگر توسط فرد یا سازمانی ورود موفقیت آمیز به این سرویس صورت بگیرد، آن‌ها تمامی بذرهای احراز هویت شما در تمامی شبکه‌های اجتماعی و سرویس‌های مورد استفاده‌تان را به دست خواهند آورد. البته تا کنون چنین حمله‌ای در مورد این نرم‌افزار گزارش نشده است.

۳. نرم افزار Google Authenticator برای Android و iOS که بسیار ساده می‌باشد و هیچ‌گونه ویژگی و مزیتی بر دو نرم‌افزار پیشین ندارد.

۴. سرویس مشهور LastPass که مانند Authy از بذرهای شما پشتیبان تهیه می‌نماید. البته باید در نظر داشت که پیش‌ترها چندین بار ورود موفقیت آمیز از سوی هکرها به این سرویس صورت گرفته است که از این لحاظ چندان خوش‌نام نمی‌باشد و توصیه نمی‌شود.

نحوه فعال سازی OTP برای حساب‌های کاربری توییتر

در ادامه به شکل قرار داد، تصویر اول مختص به نسخه اندروید و تصویر دوم مختص به نسخه وب توییتر می‌باشد.

مرحله ۱ اندروید) رفتن به بخش تنظیمات و حریم خصوصی:

مرحله ۱ اندروید) رفتن به بخش تنظیمات و حریم خصوصی

مرحله ۱ اندروید) رفتن به بخش تنظیمات و حریم خصوصی

مرحله ۱ وب) کلیک بر روی دکمه بیشتر:

مرحله ۱ وب) کلیک بر روی دکمه بیشتر

مرحله ۱ وب) کلیک بر روی دکمه بیشتر

مرحله ۲ اندروید) رفتن به بخش تنظیمات حساب کاربری:

مرحله ۲ اندروید) رفتن به بخش تنظیمات حساب کاربری

مرحله ۲ اندروید) رفتن به بخش تنظیمات حساب کاربری

مرحله ۲ وب) رفتن به بخش تنظیمات و حریم خصوصی:

مرحله ۲ وب) رفتن به بخش تنظیمات و حریم خصوصی

مرحله ۲ وب) رفتن به بخش تنظیمات و حریم خصوصی

مرحله ۳ اندروید) رفتن به بخش تنظیمات امنیت:

مرحله ۳ اندروید) رفتن به بخش تنظیمات امنیت

مرحله ۳ اندروید) رفتن به بخش تنظیمات امنیت

مرحله ۳ وب) رفتن به بخش تنظیمات امنیت:

مرحله ۳ وب) رفتن به بخش تنظیمات امنیت

مرحله ۳ وب) رفتن به بخش تنظیمات امنیت

مرحله ۴ اندروید) فعال نمودن قابلیت محافظت از تنظیم مجدد کلمه عبور و سپس رفتن به بخش تنظیمات تایید ورود: دقت داشته باشید که فعال نمودن قابلیت محافظت از تنظیم مجدد کلمه عبور (تیک زدن کادر مربع داخل تصویر) کاملا اختیاری است. این ویژگی باعث می‌شود که هر کسی به سادگی نتواند درخواست بازنشانی گذرواژه را داشته باشد چرا که مستلزم وارد نمودن دقیق آدرس ایمیل و کلمه عبور در فرم Reset Password می‌باشد. شدیدا فعال نمودن این گزینه را پیشنهاد می‌نمایم. اما پیش از آن بسیار مهم است که شماره تلفن و آدرس مورد استفاده برای حساب کاربری خود را دقیقا به خاطر بسپارید. در ضمن فعال شدن این گزینه مستلزم تایید نمودن آدرس ایمیل و شماره تلفن همراه شما می‌باشد. به این منظور توییتر یک کد چند رقمی تاییدیه را به آدرس ایمیل یا شماره تلفن شما ارسال خواهد نمود.

مرحله ۴ اندروید) فعال نمودن قابلیت محافظت از تنظیم مجدد کلمه عبور و سپس رفتن به بخش تنظیمات تایید ورود

مرحله ۴ اندروید) فعال نمودن قابلیت محافظت از تنظیم مجدد کلمه عبور و سپس رفتن به بخش تنظیمات تایید ورود

مرحله ۴ وب) فعال نمودن قابلیت محافظت از تنظیم مجدد کلمه عبور و سپس رفتن به بخش تنظیمات تایید ورود: دقت داشته باشید که فعال نمودن قابلیت محافظت از تنظیم مجدد کلمه عبور (تیک زدن کادر مربع داخل تصویر) کاملا اختیاری است. این ویژگی باعث می‌شود که هر کسی به سادگی نتواند درخواست بازنشانی گذرواژه را داشته باشد چرا که مستلزم وارد نمودن دقیق آدرس ایمیل و کلمه عبور در فرم Reset Password می‌باشد. شدیدا فعال نمودن این گزینه را پیشنهاد می‌نمایم. اما پیش از آن بسیار مهم است که شماره تلفن و آدرس مورد استفاده برای حساب کاربری خود را دقیقا به خاطر بسپارید. در ضمن فعال شدن این گزینه مستلزم تایید نمودن آدرس ایمیل و شماره تلفن همراه شما می‌باشد. به این منظور توییتر یک کد چند رقمی تاییدیه را به آدرس ایمیل یا شماره تلفن شما ارسال خواهد نمود.

مرحله ۴ وب) فعال نمودن قابلیت محافظت از تنظیم مجدد کلمه عبور و سپس رفتن به بخش تنظیمات تایید ورود

مرحله ۴ وب) فعال نمودن قابلیت محافظت از تنظیم مجدد کلمه عبور و سپس رفتن به بخش تنظیمات تایید ورود

مرحله ۵ اندروید) فعال نمودن تنظیمات تایید ورود:

مرحله ۵ اندروید) فعال نمودن تنظیمات تایید ورود

مرحله ۵ اندروید) فعال نمودن تنظیمات تایید ورود

مرحله ۵ وب) فعال نمودن تنظیمات تایید ورود:

مرحله ۵ وب) فعال نمودن تنظیمات تایید ورود

مرحله ۵ وب) فعال نمودن تنظیمات تایید ورود

مرحله ۶ اندروید) توضیحات و آغاز پروسه فعال نمودن تنظیمات تایید ورود:

مرحله ۶ اندروید) توضیحات و آغاز پروسه فعال نمودن تنظیمات تایید ورود

مرحله ۶ اندروید) توضیحات و آغاز پروسه فعال نمودن تنظیمات تایید ورود

مرحله ۶ وب) توضیحات و آغاز پروسه فعال نمودن تنظیمات تایید ورود:

مرحله ۶ وب) توضیحات و آغاز پروسه فعال نمودن تنظیمات تایید ورود

مرحله ۶ وب) توضیحات و آغاز پروسه فعال نمودن تنظیمات تایید ورود

مرحله ۷ اندروید) تایید کلمه عبور:

مرحله ۷ اندروید) تایید کلمه عبور

مرحله ۷ اندروید) تایید کلمه عبور

مرحله ۷ وب) تایید کلمه عبور:

مرحله ۷ وب) تایید کلمه عبور

مرحله ۷ وب) تایید کلمه عبور

مرحله ۸ اندروید) درخواست تایید شماره تلفن:

مرحله ۸ اندروید) درخواست تایید شماره تلفن

مرحله ۸ اندروید) درخواست تایید شماره تلفن

مرحله ۸ وب) درخواست تایید شماره تلفن:

مرحله ۸ وب) درخواست تایید شماره تلفن

مرحله ۸ وب) درخواست تایید شماره تلفن

مرحله ۹ اندروید) تایید شماره تلفن با استفاده از کد یکبار مصرف ارسالی از سوی توییتر:

مرحله ۹ اندروید) تایید شماره تلفن با استفاده از کد یکبار مصرف ارسالی از سوی توییتر

مرحله ۹ اندروید) تایید شماره تلفن با استفاده از کد یکبار مصرف ارسالی از سوی توییتر

مرحله ۹ وب) تایید شماره تلفن با استفاده از کد یکبار مصرف ارسالی از سوی توییتر:

مرحله ۹ وب) تایید شماره تلفن با استفاده از کد یکبار مصرف ارسالی از سوی توییتر

مرحله ۹ وب) تایید شماره تلفن با استفاده از کد یکبار مصرف ارسالی از سوی توییتر

مرحله ۱۰ اندروید) فعال شدن موفقیت آمیز ورود دو مرحله‌ای با استفاده از رمز یکبار مصرف پیامکی و درخواست کد پشتیان:

مرحله ۱۰ اندروید) فعال شدن موفقیت آمیز ورود دو مرحله‌ای با استفاده از رمز یکبار مصرف و درخواست کد پشتیان

مرحله ۱۰ اندروید) فعال شدن موفقیت آمیز ورود دو مرحله‌ای با استفاده از رمز یکبار مصرف و درخواست کد پشتیان

مرحله ۱۰ وب) فعال شدن موفقیت آمیز ورود دو مرحله‌ای با استفاده از رمز یکبار مصرف پیامکی و درخواست کد پشتیان:

مرحله ۱۰ وب) فعال شدن موفقیت آمیز ورود دو مرحله‌ای با استفاده از رمز یکبار مصرف و درخواست کد پشتیان

مرحله ۱۰ وب) فعال شدن موفقیت آمیز ورود دو مرحله‌ای با استفاده از رمز یکبار مصرف و درخواست کد پشتیان

مرحله ۱۱ اندروید) نمایش کد پشتیبان و بازگشت به صفحه تنظیمات تایید ورود به حساب کاربری توییتر: با دقت هر چه تمام‌تر این کد را یادداشت نموده و در جای امنی نگهداری کنید. بازهم تاکید می‌کنم که در صورت گم شدن دستگاه حاوی اپلیکیشن OTP یا بذرها تنها راه ورود به حساب کاربری توییترتان، کلمه عبور + این کد خواهد بود. پس در حفظ آن کوشا باشید! در ضمن فراموش نکنید در صورت افشای این کد یا گم کردن آن، همیشه می‌توانید با دکمه Generate new backup code در نسخه اندروید و Generate a new code در نسخه وب توییتر یک کد جدید تولید نمایید. توجه داشته باشید در صورت تولید یک کد جدید، کد قبلی کاملا خنثی و بی‌اثر خواهد شد.

مرحله ۱۱ اندروید) نمایش کد پشتیبان و بازگشت به صفحه تنظیمات تایید ورود به حساب کاربری توییتر

مرحله ۱۱ اندروید) نمایش کد پشتیبان و بازگشت به صفحه تنظیمات تایید ورود به حساب کاربری توییتر

مرحله ۱۱ وب) نمایش کد پشتیبان و بازگشت به صفحه تنظیمات تایید ورود به حساب کاربری توییتر: با دقت هر چه تمام‌تر این کد را یادداشت نموده و در جای امنی نگهداری کنید. بازهم تاکید می‌کنم که در صورت گم شدن دستگاه حاوی اپلیکیشن OTP یا بذرها تنها راه ورود به حساب کاربری توییترتان، کلمه عبور + این کد خواهد بود. پس در حفظ آن کوشا باشید! در ضمن فراموش نکنید در صورت افشای این کد یا گم کردن آن، همیشه می‌توانید با دکمه Generate new backup code در نسخه اندروید و Generate a new code در نسخه وب توییتر یک کد جدید تولید نمایید. توجه داشته باشید در صورت تولید یک کد جدید، کد قبلی کاملا خنثی و بی‌اثر خواهد شد.

مرحله ۱۱ وب) نمایش کد پشتیبان و بازگشت به صفحه تنظیمات تایید ورود به حساب کاربری توییتر

مرحله ۱۱ وب) نمایش کد پشتیبان و بازگشت به صفحه تنظیمات تایید ورود به حساب کاربری توییتر

مرحله ۱۲ اندروید) درخواست فعال سازی اپلیکیشن امنیتی موبایل به منظور ورود با استفاده از رمز یکبار مصرف آفلاین:

مرحله ۱۲ اندروید) درخواست فعال سازی اپلیکیشن امنیتی موبایل به منظور ورود با استفاده از رمز یکبار مصرف آفلاین

مرحله ۱۲ اندروید) درخواست فعال سازی اپلیکیشن امنیتی موبایل به منظور ورود با استفاده از رمز یکبار مصرف آفلاین

مرحله ۱۲ وب) درخواست فعال سازی اپلیکیشن امنیتی موبایل به منظور ورود با استفاده از رمز یکبار مصرف آفلاین:

درخواست فعال سازی اپلیکیشن امنیتی موبایل به منظور ورود با استفاده از رمز یکبار مصرف آفلاین

درخواست فعال سازی اپلیکیشن امنیتی موبایل به منظور ورود با استفاده از رمز یکبار مصرف آفلاین

مرحله ۱۳ اندروید) توضیحات و آغاز پروسه فعال نمودن رمز یکبار مصرف آفلاین:

مرحله ۱۳ اندروید) توضیحات و آغاز پروسه فعال نمودن رمز یکبار مصرف آفلاین:

مرحله ۱۳ اندروید) توضیحات و آغاز پروسه فعال نمودن رمز یکبار مصرف آفلاین:

مرحله ۱۳ وب) توضیحات و آغاز پروسه فعال نمودن رمز یکبار مصرف آفلاین:

مرحله ۱۳ وب) توضیحات و آغاز پروسه فعال نمودن رمز یکبار مصرف آفلاین

مرحله ۱۳ وب) توضیحات و آغاز پروسه فعال نمودن رمز یکبار مصرف آفلاین

مرحله ۱۴ اندروید) تایید کلمه عبور:

مرحله ۱۴ اندروید) تایید کلمه عبور

مرحله ۱۴ اندروید) تایید کلمه عبور

مرحله ۱۴ وب) تایید کلمه عبور:

مرحله ۱۴ وب) تایید کلمه عبور

مرحله ۱۴ وب) تایید کلمه عبور

مرحله ۱۵) [مختص اندروید] راه اندازی رمز یکبار مصرف آفلاین در دستگاه فعلی: اگر اپلیکیشن رمز یکبار مصرف در دستگاه اندروید فعلی نصب است می‌توانید به سادگی در این مرحله آنرا راه‌اندازی نمایید. همانطور که قبلا هم تذکر دادم نصب اپلیکیشن توییتر و رمز یکبار مصرف در یک دستگاه از لحاظ امنیتی چندان معقول به نظر نمی‌رسد. اگر قصد عمل به توصیه بنده را دارید و می‌خواهید که رمز یکبار مصرف را در دستگاه دیگری راه‌اندازی نمایید بر روی Setting up on another device? تپ نمایید و پس از آن به مرحله ۱۷ بروید.

مرحله ۱۵) [مختص اندروید] راه اندازی رمز یکبار مصرف آفلاین در دستگاه فعلی

مرحله ۱۵) [مختص اندروید] راه اندازی رمز یکبار مصرف آفلاین در دستگاه فعلی

مرحله ۱۶) [مختص اندروید] باز شدن اپلیکیشن FreeOTP و ورود تنظیمات رمز یکبار مصرف در این نرم‌افزار بصورت خودکار: با تپ کردن بر روی نام اکانت توییترتان می‌توانید کد یکبار مصرف را در حافظه دستگاه‌تان کپی نمایید.

مرحله ۱۶) [مختص اندروید] باز شدن اپلیکیشن FreeOTP و ورود تنظیمات رمز یکبار مصرف در این نرم‌افزار بصورت خودکار

مرحله ۱۶) [مختص اندروید] باز شدن اپلیکیشن FreeOTP و ورود تنظیمات رمز یکبار مصرف در این نرم‌افزار بصورت خودکار

مرحله ۱۷ اندروید) راه اندازی رمز یکبار مصرف آفلاین در دستگاه دیگر با استفاده از بذر در قالب QR Code: دقت داشته باشید که پیش از رفتن به مرحله بعد با استفاده از دکمه Next، بایستی مراحل ۱۸ و ۱۹ را جهت اسکن نمودن QR Code بذر رمز یکبار مصرف طی نمایید. چنانچه دستگاهی که نرم‌افزار FreeOTP بر روی آن نصب است، به هر دلیلی قابلیت اسکن نمودن کد QR را ندارد، بایستی با استفاده از گزینه Can’t scan code? جهت ورود و راه اندازی دستی رمز یکبار مصرف به مرحله ۲۰ بروید.

مرحله ۱۷ اندروید) راه اندازی رمز یکبار مصرف آفلاین در دستگاه دیگر با استفاده از بذر در قالب QR Code

مرحله ۱۷ اندروید) راه اندازی رمز یکبار مصرف آفلاین در دستگاه دیگر با استفاده از بذر در قالب QR Code

مرحله ۱۷ وب) راه اندازی رمز یکبار مصرف آفلاین در دستگاه دیگر با استفاده از بذر در قالب QR Code: دقت داشته باشید که پیش از رفتن به مرحله بعد با استفاده از دکمه Next، بایستی مراحل ۱۸ و ۱۹ را جهت اسکن نمودن QR Code بذر رمز یکبار مصرف طی نمایید. چنانچه دستگاهی که نرم‌افزار FreeOTP بر روی آن نصب است، به هر دلیلی قابلیت اسکن نمودن کد QR را ندارد، بایستی با استفاده از گزینه Can’t scan code? جهت ورود و راه اندازی دستی رمز یکبار مصرف به مرحله ۲۰ بروید.

مرحله ۱۷ وب) راه اندازی رمز یکبار مصرف آفلاین در دستگاه دیگر با استفاده از بذر در قالب QR Code

مرحله ۱۷ وب) راه اندازی رمز یکبار مصرف آفلاین در دستگاه دیگر با استفاده از بذر در قالب QR Code

مرحله ۱۸) استفاده از دکمه اسکن QR Code در نرم‌افزار FreeOTP:

مرحله ۱۸) استفاده از دکمه اسکن QR Code در نرم‌افزار FreeOTP:

مرحله ۱۸) استفاده از دکمه اسکن QR Code در نرم‌افزار FreeOTP:

مرحله ۱۹) اسکن نمودن QR Code توسط نرم‌افزار FreeOTP: پس از اتمام اسکن تنظیمات رمز یکبار مصرف – درست مانند مرحله ۱۶ – بصورت خودکار در نرم‌افزار FreeOTP ظاهر خواهد شد. پس از آن می‌توانید به مرحله ۲۴ بروید.

مرحله ۱۹) اسکن نمودن QR Code توسط نرم‌افزار FreeOTP

مرحله ۱۹) اسکن نمودن QR Code توسط نرم‌افزار FreeOTP

مرحله ۲۰ اندروید) دریافت کد بذر رمز یکبار مصرف آفلاین جهت انجام تنظیمات و راه‌اندازی دستی OTP: پیش از رفتن به مرحله بعد با استفاده از دکمه Next بایستی مراحل ۲۱، ۲۲، و ۲۳ را طی نمایید.

مرحله ۲۰ اندروید) دریافت کد بذر رمز یکبار مصرف آفلاین جهت انجام تنظیمات و راه‌اندازی دستی OTP

مرحله ۲۰ اندروید) دریافت کد بذر رمز یکبار مصرف آفلاین جهت انجام تنظیمات و راه‌اندازی دستی OTP

مرحله ۲۰ وب) دریافت کد بذر رمز یکبار مصرف آفلاین جهت انجام تنظیمات و راه‌اندازی دستی OTP: پیش از رفتن به مرحله بعد با استفاده از دکمه Next بایستی مراحل ۲۱، ۲۲، و ۲۳ را طی نمایید.

مرحله ۲۰ وب) دریافت کد بذر رمز یکبار مصرف آفلاین جهت انجام تنظیمات و راه‌اندازی دستی OTP

مرحله ۲۰ وب) دریافت کد بذر رمز یکبار مصرف آفلاین جهت انجام تنظیمات و راه‌اندازی دستی OTP

مرحله ۲۱) افزودن بذر رمز یکبار مصرف جدید در نرم‌افزار FreeOTP:

مرحله ۲۱) افزودن بذر رمز یکبار مصرف جدید در نرم‌افزار FreeOTP

مرحله ۲۱) افزودن بذر رمز یکبار مصرف جدید در نرم‌افزار FreeOTP

مرحله ۲۲) کادر افزودن بذر رمز یکبار مصرف جدید در نرم‌افزار FreeOTP:

مرحله ۲۲) کادر افزودن بذر رمز یکبار مصرف جدید در نرم‌افزار FreeOTP

مرحله ۲۲) کادر افزودن بذر رمز یکبار مصرف جدید در نرم‌افزار FreeOTP

مرحله ۲۳) اعمال دستی تنظیمات رمز یکبار مصرف در نرم‌افزار FreeOTP: به جای @Barandazstorm نام کاربری خود و در قسمت Secret بذر کد یکبار مصرفی که در مرحله ۲۰ در اختیار شما قرار گرفت را وارد نموده و بر روی دکمه Add تپ نمایید. مابقی تنظیمات مطابق تصویر می‌باشد.

اعمال دستی تنظیمات رمز یکبار مصرف در نرم‌افزار FreeOTP

اعمال دستی تنظیمات رمز یکبار مصرف در نرم‌افزار FreeOTP

مرحله ۲۴ اندروید) تایید اعمال موفقیت آمیز تنظیمات از طریق تست نمودن رمز یکبار مصرف: در این مرحله، توییتر جهت کسب اطمینان از اعمال تنظیمات صحیح از شما می‌خواهد که یک رمز یکبار مصرف آفلاین را وارد نمایید. مطابق مرحله ۱۶ حالا می‌توانید رمز یکبار مصرف را از اپلیکیشن FreeOTP بدست آورده و در اینجا وارد نمایید.

مرحله ۲۴ اندروید) تایید اعمال موفقیت آمیز تنظیمات از طریق تست نمودن رمز یکبار مصرف

مرحله ۲۴ اندروید) تایید اعمال موفقیت آمیز تنظیمات از طریق تست نمودن رمز یکبار مصرف

مرحله ۲۴ وب) تایید اعمال موفقیت آمیز تنظیمات از طریق تست نمودن رمز یکبار مصرف: در این مرحله، توییتر جهت کسب اطمینان از اعمال تنظیمات صحیح از شما می‌خواهد که یک رمز یکبار مصرف آفلاین را وارد نمایید. مطابق مرحله ۱۶ حالا می‌توانید رمز یکبار مصرف را از اپلیکیشن FreeOTP بدست آورده و در اینجا وارد نمایید.

مرحله ۲۴ وب) تایید اعمال موفقیت آمیز تنظیمات از طریق تست نمودن رمز یکبار مصرف

مرحله ۲۴ وب) تایید اعمال موفقیت آمیز تنظیمات از طریق تست نمودن رمز یکبار مصرف

مرحله ۲۵ اندروید) تاییدیه موفقیت آمیز بودن فعال سازی رمز یکبار مصرف آفلاین:

مرحله ۲۵ اندروید) تاییدیه موفقیت آمیز بودن فعال سازی رمز یکبار مصرف آفلاین

مرحله ۲۵ اندروید) تاییدیه موفقیت آمیز بودن فعال سازی رمز یکبار مصرف آفلاین

مرحله ۲۵ وب) تاییدیه موفقیت آمیز بودن فعال سازی رمز یکبار مصرف آفلاین:

مرحله ۲۵ وب) تاییدیه موفقیت آمیز بودن فعال سازی رمز یکبار مصرف آفلاین

مرحله ۲۵ وب) تاییدیه موفقیت آمیز بودن فعال سازی رمز یکبار مصرف آفلاین

مرحله ۲۶ اندروید) بازگشت خودکار به صفحه تنظیمات تایید ورود و غیرفعال‌سازی ورود دو‌مرحله‌ای با استفاده از پیامک در صورت نیاز به امنیت بیشتر: از آنجایی که این عمل باعث از کار افتادن یکی از روش‌های تایید هویت شما می‌شود پیش از اقدام به غیرفعال‌سازی این روش، کاملا مطمئن شوید که بخوبی تمامی مراحل این راهنما را متوجه شده و بدرستی آن‌ها را طی نموده‌اید.

مرحله ۲۶ اندروید) بازگشت خودکار به صفحه تنظیمات تایید ورود و غیرفعال‌سازی ورود دو‌مرحله‌ای با استفاده از پیامک در صورت نیاز به امنیت بیشتر

مرحله ۲۶ اندروید) بازگشت خودکار به صفحه تنظیمات تایید ورود و غیرفعال‌سازی ورود دو‌مرحله‌ای با استفاده از پیامک در صورت نیاز به امنیت بیشتر

مرحله ۲۶ وب) بازگشت خودکار به صفحه تنظیمات تایید ورود و غیرفعال‌سازی ورود دو‌مرحله‌ای با استفاده از پیامک در صورت نیاز به امنیت بیشتر: از آنجایی که این عمل باعث از کار افتادن یکی از روش‌های تایید هویت شما می‌شود پیش از اقدام به غیرفعال‌سازی این روش، کاملا مطمئن شوید که بخوبی تمامی مراحل این راهنما را متوجه شده و بدرستی آن‌ها را طی نموده‌اید.

مرحله ۲۶ وب) بازگشت خودکار به صفحه تنظیمات تایید ورود و غیرفعال‌سازی ورود دو‌مرحله‌ای با استفاده از پیامک در صورت نیاز به امنیت بیشتر

مرحله ۲۶ وب) بازگشت خودکار به صفحه تنظیمات تایید ورود و غیرفعال‌سازی ورود دو‌مرحله‌ای با استفاده از پیامک در صورت نیاز به امنیت بیشتر

مرحله ۲۷ اندروید) هشدار نهایی توییتر پیش از غیرفعال‌سازی تایید هویت از طریق پیامک:

 مرحله ۲۷ اندروید) هشدار نهایی توییتر پیش از غیرفعال‌سازی تایید هویت از طریق پیامک

مرحله ۲۷ اندروید) هشدار نهایی توییتر پیش از غیرفعال‌سازی تایید هویت از طریق پیامک

مرحله ۲۷ وب) هشدار نهایی توییتر پیش از غیرفعال‌سازی تایید هویت از طریق پیامک:

 مرحله ۲۷ وب) هشدار نهایی توییتر پیش از غیرفعال‌سازی تایید هویت از طریق پیامک

مرحله ۲۷ وب) هشدار نهایی توییتر پیش از غیرفعال‌سازی تایید هویت از طریق پیامک

مرحله ۲۸ اندروید) بازگشت خودکار به صفحه تنظیمات تایید ورود و پایان مراحل Hardening ورود به حساب کاربری توییتر:

مرحله ۲۸ اندروید) بازگشت خودکار به صفحه تنظیمات تایید ورود و پایان مراحل Hardening ورود به حساب کاربری توییتر

مرحله ۲۸ اندروید) بازگشت خودکار به صفحه تنظیمات تایید ورود و پایان مراحل Hardening ورود به حساب کاربری توییتر

مرحله ۲۸ وب) بازگشت خودکار به صفحه تنظیمات تایید ورود و پایان مراحل Hardening ورود به حساب کاربری توییتر:

مرحله ۲۸ وب) بازگشت خودکار به صفحه تنظیمات تایید ورود و پایان مراحل Hardening ورود به حساب کاربری توییتر

مرحله ۲۸ وب) بازگشت خودکار به صفحه تنظیمات تایید ورود و پایان مراحل Hardening ورود به حساب کاربری توییتر

در پایان مطلب خاطرنشان می‌شوم که فعال‌سازی OTP به شرط استفاده صحیح، ضریب امنیتی قابل قبولی را به حساب‌کاربری‌تان خواهد افزود.

امیدوارم از خواندن این مطلب لذت برده باشید :)