عمده مطلب حاضر را دو ماه پیش تهیه نموده بودم که بدلیل حساسیت آن و محدودیت زمانی، ویرایش نهایی و انتشار آن تا به امروز میسر نشد. فارغ از نوع فعالیت، خواندن این مطلب را جهت سختتر و غیرقابل نفوذ نمودن حسابهای کاربریتان در تمامی سرویسهای اینترنتی توصیه مینمایم.
لذا ادامه مطلب را به هیچوجه از دست ندهید.
فهرست مطالب
سلب مسئولیت
شما با ادامه مطالعه این مطلب، موافقت کامل خود با این توافق نامه را اعلام مینمایید:
تمامی محتویات این وب سایت تحت مجوز (CC BY-SA 3.0) Creative Commons Attribution-ShareAlike 3.0 Unported License منتشر شده است. همچنین، تمامی سورس کدهای منتشر شده در این وب سایت تحت لیسانس MIT License منتشر شده است، مگر آن که به صراحت ذکر شده باشد. تمامی محتویات ارائه شده صرفا جنبه آموزشی و اطلاعاتی داشته و فاقد هرگونه ضمانت، تعهد یا شرایطی از هر نوع می باشد. بایستی توجه نمود که اطلاعات عرضه شده حتی ممکن است دقیق و یا بروز نباشد. هرگونه اطمینان به و یا استفاده از محتویات یا منابع منتشر شده در این وب سایت با مسئولیت مخاطب بوده و نگارنده یا نگارندگان هیچ گونه مسئولیتی در مورد عواقب آن را نخواهند پذیرفت.
تکنولوژی OTP چیست و چرا بایستی از آن استفاده نمود؟
شک ندارم عمده کاربران توییتر با مفهوم احراز هویت دوعاملی که خود گونهای از احراز هویت چند عاملی است به خوبی آشنائی دارند. در این روش جهت افزایش ضریب امنیت، کاربران علاوه بر وارد نمودن کلمه عبور در زمان ورود به توییتر، بایستی با استفاده از کد شش رقمی که برای آنها از طریق پیامک ارسال میشود ورود موفقیت آمیز خود به حساب کاربریشان را تکمیل نمایند؛ در غیر اینصورت توییتر به صرف داشتن کلمه عبور به شما اجازه ورود و کنترل اکانت توییتر را نخواهد داد.
این روش ورود با افزودن یک لایه اضافه احراز هویت، تا حدود زیادی حسابهای کاربری را ایمنتر مینماید. اما اگر شما یک فعال سیاسی شناخته شده داخل یا خارج از کشور هستید و یا یک اکانت ناشناس با نام مستعار، علیرغم اینکه این روش ورود، امنتر از ورود با کلمه عبور به تنهایی میباشد، خودش هنوز یک پاشنه آشیل محسوب میشود. همانطور که قبلا در مقاله آیا تلگرام امن است؟ از سری #امنیت_سایبری_۱۰۱ توضیح دادهام:
۱. در ۹ ژوئن ۲۰۱۹، اینترسپت پیام های لو رفته تلگرامی مابین وزیر دادگستری برزیل و دادستان های برزیلی را منتشر نمود. فرضیه این بود که این نفوذ یا توسط مبادله سیم کارت و یا حمله کامپیوتری انجام شده است. حمله تعویض سیم کارت با بهره برداری از قابلیت شبکه تلفن همراه جهت انتقال شماره تلفن به یک سیم کارت دیگر انجام می شود. یقینا نهادهای امنیتی جمهوری اسلامی توانایی انجام چنین حملاتی را با صرف منابع مالی و استخدام جاسوس یا هکر در هرجای دنیا خواهند داشت. استخراج کلمه عبور شما برای نهادهای امنیتی جمهوری اسلامی از طریق حملات سایبری نیز امکانپذیر خواهد بود. در واقع یکی از دلایل ابداع احراز هویت دوعاملی همین نوع از حملات است. اخیرا یک نمونه واقعی آن در مورد فعالان و نخبگان سیاسی شناخته شده خارج کشور انجام شده که بزودی در مورد آن خواهم نوشت.
۲. اگر یک فعال سیاسی شناخته شده داخل کشور میباشید یا یک اکانت ناشناس با نام مستعار در داخل، همیشه ریسک دستگیری وجود خواهد داشت. آنهایی که سابقه بازداشت با اتهامات سیاسی یا امنیتی در داخل ایران را دارند به خوبی میدانند که در زمان دستگیری در نهادهای امنیتی در ایران نه تنها شما حق دسترسی به وکیل را نخواهید داشت بلکه اگر دستگاهی نظیر کامپیوتر، لپ تاپ، گوشی تلفن همراه، هارد درایو، و یا حتی اکانت ایمیل یا شبکه های اجتماعی از شما کشف شود، تفاوتی نخواهد داشت اگر پسورد شما 1
باشد یا 8799Nk209I90;y046mT23y7H.\0LB5|6362=288wA^y7618OS84q260!995$3o&H
؛ هیچ چیز شما را نجات نخواهد داد:
تصورات یک خوره رمزنگاری:
– لپ تاپش رمز نگاری شده. بیاید یه خوشه کامپیوتری یک میلیون دلاری برای شکستنش بسازیم.
– خوب نیست! این [الگوریتم] آر اس ای ۴۰۹۶ بیتی هستش!
– پووووو! نقشه شیطانیمون نقش بر آب شد!
اتفاقی که در واقعیت می افتد:
– لپ تاپش رمز نگاری شده. نعشه اش کن و با این آچار ۵ دلاری تا زمانی که پسورد رو بهمون بگه کتکش بزن.
– متوجه شدم.
محتوای کامیک فوق، به مفهومی آشنا برای متخصصین حوزه رمزنگاری تحت عنوان Rubber-hose cryptanalysis اشاره دارد. در واقع اهمیتی ندارد که الگوریتم رمز نگاری یا پسورد شما چقدر قوی باشد؛ استخراج کلمات عبور از یک انسان با متوسل شدن به تهدید یا شکنجه، بسیار ساده تر و کم هزینه تر از حملات رمزنگاری است که نیازمند صرف دانش فنی، امکانات و هزینه می باشد. علاوه بر آن به راحتی توسط هر فردی قابل انجام است.
از این موضوع که بگذریم، چیزی که احراز هویت دوعاملی با استفاده از پیامک را برای فعالان داخل کاملا بیاثر میسازد دسترسی آسان نهادهای امنیتی به سیمکارت یا گوشی تلفن همراه شما خواهد بود. در این حالت هر دو تکه پازل، شامل کلمه عبور و رمز یکبار مصرف جهت ورود به حساب کاربری شما به سادگی در اختیار نهادهای امنیتی خواهد بود.
۳. اخیر کاربران بسیاری از داخل ایران در توییتهای متعددی بنده را منشن نموده یا از طرق دیگر تماس گرفته و اطلاع دادهاند که پیامکهای حاوی رمز یکبار مصرف ورود به توییتر، با پیشکد +۹۸
که متعلق به ایران میباشد ارسال میشود. این موضوع نگرانی بسیاری از فعالان توییتری را برانگیخته است.
نکته بسیار مهمی که بایستی بدان توجه نمود این است که تفاوتی نمیکند که شما در داخل باشید یا خارج، دسترسی نهادهای امنیتی جمهوری اسلامی به اکانت توییتری شما باعث به خطر افتادن سایر فعالان خواهد شد. اگر آنها توانایی دسترسی به اکانت توییتر شما را داشته باشند، میتوانند به محتوای پیامهای خصوصی رد و بدل شده فیمابین شما و سایرین که ممکن است حاوی اطلاعات مهمی باشد دسترسی پیدا کنند. پیشترها توییتر به شما اجازه میداد که پیامهای ارسالی به مخاطبین خود را نه تنها از صندوق پستی خود، بلکه از صندوق پستی مخاطبین خود نیز حذف نمایید که قطعا در چنین شرایطی یک ویژگی بسیار کارآمد و ضروری می باشد. بررسی مستندات رسمی پیامهای خصوصی توییتر از آرشیو اینترنت نشان میدهد که در تاریخ نامشخصی مابین ۷ جولای ۲۰۱۴ و ۱۹ جولای ۲۰۱۴ نه تنها توییتر این قابلیت را حذف نموده بلکه حتی بلاک نمودن فرد دستگیر شده هم باعث حذف پیامها از صندوق پستیشان نخواهد شد (البته توییتی از سوی کاربری با شناسه @pixlz نشان میدهد که این قابلیت کماکان در ۹ جولای ۲۰۱۴ در دسترس بوده است).
اگر توضیحات فوق شما را جهت مطالعه ادامه این راهنمای تصویری متقاعد ننموده است بایستی عرض کنم ترکیبی از روشی که شرح آن در ادامه میآید و روشی با نام Plausible Deniability باعث شد که نهاد امنیتی بازداشت کننده اینجانب در زمان اعتراضات دیماه ۹۶ نتواند به هیچ یک از حسابهای کاربری یا ایمیل اینجانب نفوذ کند (در آینده حتما راجع به روش بسیار کارآمد Plausible Deniability خواهم نوشت). ذکر این نکته ضروری است که تحت سلطه جمهوری ننگین اسلامی، در زمان بازداشت با اتهامات سیاسی و امنیتی حتی اگر هیچ شواهدی در مراحل بازجویی از شما کشف نشود تا رسیدن شما به مرحله دادگاه و صدور رای فرمایشی قطر پرونده شما حداقل ۱۰۰۰ صفحه خواهد بود (اگر باور نمیفرمایید از افرادی که چنین تجربهای دارند سوال بفرمایید). اما اگر بتوانید امنیت حسابهای کاربریتان را حفظ نمایید، به دلیل حفظ امنیت سایرین و عدم فراهم نمودن قابلیت سواستفاده نهادهای امنیتی از هویت مجازی شما در برقراری تماس با سایر کاربران و جازدن خود به جای شما مطمئن باشید که کار بسیار بزرگ و موثری انجام دادهاید.
بسیار خب، اما این روش چگونه کار میکند؟ در این روش که در بسیاری از شبکههای اجتماعی و سرویسهای آنلاین به خوبی کار میکند، شما برای دسترسی به حساب کاربری خود بایستی ۲ مرحله را پشت سر بگذارید:
مرحله ۱) ورود با استفاده از کلمه عبور.
مرحله ۲) پس از عبور موفقیت آمیز از مرحله قبل، ورود رمز بکبار مصرف ۶ رقمی که اعتبار آن فقط ۳۰ ثانیه میباشد و با الگوریتم خاصی به شکل آفلاین در یکی از دستگاههای شما بدون نیاز به اینترنت یا پیامک تولید میشود.
مرحله دوم دقیقا همان OTP یا رمز یکبار مصرف آفلاین میباشد. اما این رمز یکبار مصرف چگونه به شکل آفلاین بدون هرگونه تماسی با سرور توییتر تولید میشود؟ پیش از تشریح چگونگی آن بایستی عنوان نمود که ۲ نوع OTP وجود دارد:
نوع اول) TOTP یا Time-synchronized one-time password که زمان در الگوریتم آن نقش اساسی را ایفا میکند و ساعت دستگاه شما بایستی با سرور توییتر همگام باشد. به این معنی که ساعت دستگاه شما نسبت به منطقه زمانی که در آن قرار دارید دقیق باشد؛ حتی نبایستی در حد چندثانیه پس و پیش باشد. سرور توییتر به شکل خودکار با مبدا زمانی یعنی گرینویچ همگام سازی میشود. زمان گوشیهای تلفن همراه و کامیپوترها هم به شکل خودکار با اینترنت یا اپراتور تلفن همراه همگام سازی میشوند. لذا اگر خود تعمدا این قابلیت را خاموش ننموده باشید مشکلی در استفاده از این نوع OTP پیش نخواهد آمد.
نوع دوم) HOTP یا HMAC-based one-time password که با استفاده از یک تابع هش ریاضیاتی محاسبه میشود.
عمده سرویسها و شبکههای اجتماعی از جمله توییتر از نوع TOTP استفاده مینمایند. اما پروسه کلی در این مکانیزم احراز هویت به چه شکل است؟
۱. شما این قابلیت را در قسمت تنظیمات امنیتی حساب توییتر خود فعال مینمایید.
۲. توییتر یک Seed مختص شما یا چیزی که به اصطلاح بذر نامیده میشود را تولید مینماید. این Seed به شکل یک QR Code یا ترکیبی از اعداد و حروف Base32 به شما عرضه میشود.
۳. شما این Seed یا بذر را در یک نرمافزار احراز هویت که بر روی یکی از دستگاههای خود نصب نمودهاید وارد مینمایید. حالا طرفین یعنی توییتر و شما هر دو بذر یکسان را در اختیار دارید.
۴. در زمان ورود به توییتر پس از ورود با گذرواژه، از طریق نرم افزار احراز هویت با الگوریتمی که زمان دنیای واقعی و بذر را ترکیب مینماید به شکل آفلاین یک کد ۶ رقمی را بدست میآورید.
۵. از آنجایی که توییتر هم بذر یکسان را در اختیار دارد و الگوریتم محاسبه یکسانی را برای تولید کد ۶ رقمی به کار میگیرد عدد به دست آمده در سرور توییتر با کد ۶ رقمی وارد شده توسط شما مطابقت داده میشود.
۶. اگر هر دو کد یکسان بودند ورود و احراز هویت، موفقیت آمیز خواهد بود.
۷. اگر بنا به هر دلیلی کد بذر خود یا دستگاهی که بذر در آن وارد شده را گم کردهاید یا در دسترس شما قرار ندارد، علیرغم داشتن کلمه عبور دیگر هیچ وقت نخواهید توانست وارد اکانت خود شوید (مگر اینکه هنوز روشهای دیگر مانند ورود با پیامک را باز گذاشته باشید). به همین دلیل توییتر یک کد پشتیبان در اختیار شما قرار میدهد که میتوانید آن را در جایی ذخیره نموده، یا حتی بر روی کاغذ به شکل فیزیکی یادداشت نمایید. حتی می توانید آن را بر روی یک سنگ حکاکی نمایید ¯\_(ツ)_/¯ اما مهم این است که آن را در اختیار کسی قرار ندهید یا گم نکنید. چون در لحظه حساس ،به همراه کلمه عبور تنها راه ورود به اکانت شما خواهد بود.
حالا که فرآیند کلی کار را آموختیم، پیش از پرداختن به جزئیات به همراه راهنمای تصویری نحوه فعال سازی این روش، بایستی ذکر کنم که اگر برنامه احراز هویت را در همان دستگاهی نصب نمایید که توییتر بر روی آن نصب شده و از آن برای ورود به توییتر استفاده مینمایید، عملا تا حد زیادی موثر بودن این روش را خنثی نمودهاید؛ به این دلیل که وقتی در نهادهای امنیتی شما را دستگیر کنند با توسل به روشهای مختلف سعی خواهند نمود که تکه اول پازل یعنی کلمه عبور را از شما کشف نمایند. سپس در صورت ضبط گوشیتان توسط نهادهای امنیتی تکه دوم پازل یعنی رمز یکبار مصرف هم کشف شده و به راحتی میتوانند به اکانت شما وارد شوند. خب راهحل چیست؟
یک راهحل امن شاید نصب نرمافزار احراز هویت در دستگاه یک دوست یا یکی از اعضای خانواده باشد که فاصله زیادی با شما دارند یا ممکن است اصلا در خارج از ایران و دور از دسترس نهادهای امنیتی جمهوری اسلامی باشند. سپس در زمانهای ورود میتوانید از آنها کد ۶ رقمی را به روشی امن درخواست نمایید (مثلا یک پیامرسان یا ایمیل امن). چون دوست شما تکه اول پازل یعنی رمز را ندارد، او نخواهد توانست به اکانت شما وارد شود. شما هم با داشتن تکه اول پازل یعنی کلمه عبور تا زمانی که کد ۶ رقمی از سوی دوستتان ارسال نشود نمیتوانید به اکانتتان وارد شوید. بنابراین، در زمان بازداشت حتی اگر پسورد را در اختیار بازجو بگذارید آنها قادر به گشودن اکانت شما نخواهند بود. البته اگر نگران قطع ارتباط با دوستتان به هر دلیلی میباشد، همانطور که ذکر شد توییتر یک کد پشتیبان برای زمان مبادا در اختیار شما قرار می دهد، تا حتی بدون کمک دوستتان اگر نیاز بود حداقل یکبار وارد توییتر شوید، می توانید این کد را به فرد ثالثی واگذار نمایید تا در صورت قطع ارتباط با دوستی که نرمافزار احراز هویت را در اختیار دارد اکانت خود را از دست نداده باشید).
راهحل دیگر که سختتر و برای افراد فنیتر امکانپذیر است، نصب یک ماشین مجازی اندروید در کامپیوتر و نصب نرمافزار احراز هویت و ذخیره کدها در آن میباشد. سپس میتوان آن ماشین مجازی را کدگذاری نموده و با تکنیک خاصی آن را در جایی از هارددیسک ذخیره نموده که هرگز توسط نهادهای امنیتی قابل کشف نباشد (بعدها به زبان ساده و به تفصیل در سری #امنیت_سایبری_۱۰۱ حتما در مورد آن خواهم نوشت). یا حتی میتوانید با هزینه بسیار کمی مثلا یک VPS یا سرور مجازی با هر سیستم عاملی را بر روی وب خریداری نمایید که تنها خود از وجود آن اطلاع دارید و یک نرمافزار احراز هویت مختص کامپیوتر را بر روی آن نصب نمایید که از هر کجای دنیا هم قابل دسترس باشد. البته این روش آخر مستلزم آن است که به خوبی به مفاهیم امنیت و پیادهسازی آن جهت ایمن نمودن این سرور مجازی مسلط باشید. اگر متوجه دو راهکار آخر نشدید نگران نباشید، به زعم من راهحل اول یعنی نصب آن در دستگاه یک دوست یا اعضای خانواده، توسط بسیاری از افراد قابل انجام و سادهتر میباشد.
باز هم توجه داشته باشید که هر دو روش فوق در حالتی موثر خواهند بود که شما پس از هربار استفاده، یا سریعا پیش از دستگیری و بازداشت، به هر نحوی از برنامه یا وبسایت توییتر در گوشی یا کامپیوتر خود خارج شوید، چرا که کد ۶ رقمی فقط در زمان ورود از شما درخواست خواهد شد.
و اما نرمافزارهای احراز هویت برای Android و iOS کدامند؟
۱. به شخصه به دلیل کد باز بودن از FreeOTP جهت احراز هویت استفاده مینمایم. همچنین ویژگی دیگر این نرمافزار این است که از بذرهای ورود شما هیچگونه نسخه پشتیبانی در کلاد تهیه نمیشود (بله برخلاف انتظارتان باید بگویم که این یک ویژگی امنیتی فوقالعاده مفید است). مسئولیت تهیه نسخه پشتیبان و نگهداری از دستگاهی که این نرمافزار بر روی آن نصب است با خود شماست. مثلا میتوانید به صورت دستی از آن پشتیبان تهیه نمایید یا کدهای پشتیبانی که توییتر و سایر سرویسها در اختیار شما قرار میدهند را در جای امنی نگهداری نمایید تا در صورت نیاز از آنها استفاده نمایید. پس در حفظ آنها کوشا باشید و آنرا جدی بگیرید. این نرمافزار برای Android در F-Droid و Google Play و برای iOS در App Store در دسترس میباشد. این راهنما بر اساس این نرمافزار توسعه داده شده است.
۲. از نقطه نظر ویژگیهای متعدد و سادگی استفاده و پشتیبانگیری خودکار در کلاد، نرمافزار Authy که برای Android، iOS، macOS و Chrome در دسترس میباشد بهترین گزینه ممکن میباشد. به دلیل قابلیت پشتیانگیری خودکار در کلاد، با این نرمافزار مطمئن خواهید بود که هرگز بذرهای احراز هویت شما به شرط حفظ شماره تلفنتان گم نخواهد شد. از آنجایی که احراز هویت در خود این نرمافزار با شماره تلفن همراه انجام میشود و به منظور ثبتنام آن را نیاز خواهید داشت، این موضوع از نقطه نظر امنیتی یک پاشنه آشیل بزرگ محسوب میشود. چرا که با توجه به حملات شناخته شده تعویض سیمکارت اگر توسط فرد یا سازمانی ورود موفقیت آمیز به این سرویس صورت بگیرد، آنها تمامی بذرهای احراز هویت شما در تمامی شبکههای اجتماعی و سرویسهای مورد استفادهتان را به دست خواهند آورد. البته تا کنون چنین حملهای در مورد این نرمافزار گزارش نشده است.
۳. نرم افزار Google Authenticator برای Android و iOS که بسیار ساده میباشد و هیچگونه ویژگی و مزیتی بر دو نرمافزار پیشین ندارد.
۴. سرویس مشهور LastPass که مانند Authy از بذرهای شما پشتیبان تهیه مینماید. البته باید در نظر داشت که پیشترها چندین بار ورود موفقیت آمیز از سوی هکرها به این سرویس صورت گرفته است که از این لحاظ چندان خوشنام نمیباشد و توصیه نمیشود.
نحوه فعال سازی OTP برای حسابهای کاربری توییتر
در ادامه به شکل قرار داد، تصویر اول مختص به نسخه اندروید و تصویر دوم مختص به نسخه وب توییتر میباشد.
مرحله ۱ اندروید) رفتن به بخش تنظیمات و حریم خصوصی:
مرحله ۱ وب) کلیک بر روی دکمه بیشتر:
مرحله ۲ اندروید) رفتن به بخش تنظیمات حساب کاربری:
مرحله ۲ وب) رفتن به بخش تنظیمات و حریم خصوصی:
مرحله ۳ اندروید) رفتن به بخش تنظیمات امنیت:
مرحله ۳ وب) رفتن به بخش تنظیمات امنیت:
مرحله ۴ اندروید) فعال نمودن قابلیت محافظت از تنظیم مجدد کلمه عبور و سپس رفتن به بخش تنظیمات تایید ورود: دقت داشته باشید که فعال نمودن قابلیت محافظت از تنظیم مجدد کلمه عبور (تیک زدن کادر مربع داخل تصویر) کاملا اختیاری است. این ویژگی باعث میشود که هر کسی به سادگی نتواند درخواست بازنشانی گذرواژه را داشته باشد چرا که مستلزم وارد نمودن دقیق آدرس ایمیل و کلمه عبور در فرم Reset Password میباشد. شدیدا فعال نمودن این گزینه را پیشنهاد مینمایم. اما پیش از آن بسیار مهم است که شماره تلفن و آدرس مورد استفاده برای حساب کاربری خود را دقیقا به خاطر بسپارید. در ضمن فعال شدن این گزینه مستلزم تایید نمودن آدرس ایمیل و شماره تلفن همراه شما میباشد. به این منظور توییتر یک کد چند رقمی تاییدیه را به آدرس ایمیل یا شماره تلفن شما ارسال خواهد نمود.

مرحله ۴ اندروید) فعال نمودن قابلیت محافظت از تنظیم مجدد کلمه عبور و سپس رفتن به بخش تنظیمات تایید ورود
مرحله ۴ وب) فعال نمودن قابلیت محافظت از تنظیم مجدد کلمه عبور و سپس رفتن به بخش تنظیمات تایید ورود: دقت داشته باشید که فعال نمودن قابلیت محافظت از تنظیم مجدد کلمه عبور (تیک زدن کادر مربع داخل تصویر) کاملا اختیاری است. این ویژگی باعث میشود که هر کسی به سادگی نتواند درخواست بازنشانی گذرواژه را داشته باشد چرا که مستلزم وارد نمودن دقیق آدرس ایمیل و کلمه عبور در فرم Reset Password میباشد. شدیدا فعال نمودن این گزینه را پیشنهاد مینمایم. اما پیش از آن بسیار مهم است که شماره تلفن و آدرس مورد استفاده برای حساب کاربری خود را دقیقا به خاطر بسپارید. در ضمن فعال شدن این گزینه مستلزم تایید نمودن آدرس ایمیل و شماره تلفن همراه شما میباشد. به این منظور توییتر یک کد چند رقمی تاییدیه را به آدرس ایمیل یا شماره تلفن شما ارسال خواهد نمود.
مرحله ۵ اندروید) فعال نمودن تنظیمات تایید ورود:
مرحله ۵ وب) فعال نمودن تنظیمات تایید ورود:
مرحله ۶ اندروید) توضیحات و آغاز پروسه فعال نمودن تنظیمات تایید ورود:
مرحله ۶ وب) توضیحات و آغاز پروسه فعال نمودن تنظیمات تایید ورود:
مرحله ۷ اندروید) تایید کلمه عبور:
مرحله ۷ وب) تایید کلمه عبور:
مرحله ۸ اندروید) درخواست تایید شماره تلفن:
مرحله ۸ وب) درخواست تایید شماره تلفن:
مرحله ۹ اندروید) تایید شماره تلفن با استفاده از کد یکبار مصرف ارسالی از سوی توییتر:
مرحله ۹ وب) تایید شماره تلفن با استفاده از کد یکبار مصرف ارسالی از سوی توییتر:
مرحله ۱۰ اندروید) فعال شدن موفقیت آمیز ورود دو مرحلهای با استفاده از رمز یکبار مصرف پیامکی و درخواست کد پشتیان:

مرحله ۱۰ اندروید) فعال شدن موفقیت آمیز ورود دو مرحلهای با استفاده از رمز یکبار مصرف و درخواست کد پشتیان
مرحله ۱۰ وب) فعال شدن موفقیت آمیز ورود دو مرحلهای با استفاده از رمز یکبار مصرف پیامکی و درخواست کد پشتیان:
مرحله ۱۱ اندروید) نمایش کد پشتیبان و بازگشت به صفحه تنظیمات تایید ورود به حساب کاربری توییتر: با دقت هر چه تمامتر این کد را یادداشت نموده و در جای امنی نگهداری کنید. بازهم تاکید میکنم که در صورت گم شدن دستگاه حاوی اپلیکیشن OTP یا بذرها تنها راه ورود به حساب کاربری توییترتان، کلمه عبور + این کد خواهد بود. پس در حفظ آن کوشا باشید! در ضمن فراموش نکنید در صورت افشای این کد یا گم کردن آن، همیشه میتوانید با دکمه Generate new backup code در نسخه اندروید و Generate a new code در نسخه وب توییتر یک کد جدید تولید نمایید. توجه داشته باشید در صورت تولید یک کد جدید، کد قبلی کاملا خنثی و بیاثر خواهد شد.
مرحله ۱۱ وب) نمایش کد پشتیبان و بازگشت به صفحه تنظیمات تایید ورود به حساب کاربری توییتر: با دقت هر چه تمامتر این کد را یادداشت نموده و در جای امنی نگهداری کنید. بازهم تاکید میکنم که در صورت گم شدن دستگاه حاوی اپلیکیشن OTP یا بذرها تنها راه ورود به حساب کاربری توییترتان، کلمه عبور + این کد خواهد بود. پس در حفظ آن کوشا باشید! در ضمن فراموش نکنید در صورت افشای این کد یا گم کردن آن، همیشه میتوانید با دکمه Generate new backup code در نسخه اندروید و Generate a new code در نسخه وب توییتر یک کد جدید تولید نمایید. توجه داشته باشید در صورت تولید یک کد جدید، کد قبلی کاملا خنثی و بیاثر خواهد شد.
مرحله ۱۲ اندروید) درخواست فعال سازی اپلیکیشن امنیتی موبایل به منظور ورود با استفاده از رمز یکبار مصرف آفلاین:

مرحله ۱۲ اندروید) درخواست فعال سازی اپلیکیشن امنیتی موبایل به منظور ورود با استفاده از رمز یکبار مصرف آفلاین
مرحله ۱۲ وب) درخواست فعال سازی اپلیکیشن امنیتی موبایل به منظور ورود با استفاده از رمز یکبار مصرف آفلاین:
مرحله ۱۳ اندروید) توضیحات و آغاز پروسه فعال نمودن رمز یکبار مصرف آفلاین:
مرحله ۱۳ وب) توضیحات و آغاز پروسه فعال نمودن رمز یکبار مصرف آفلاین:
مرحله ۱۴ اندروید) تایید کلمه عبور:
مرحله ۱۴ وب) تایید کلمه عبور:
مرحله ۱۵) [مختص اندروید] راه اندازی رمز یکبار مصرف آفلاین در دستگاه فعلی: اگر اپلیکیشن رمز یکبار مصرف در دستگاه اندروید فعلی نصب است میتوانید به سادگی در این مرحله آنرا راهاندازی نمایید. همانطور که قبلا هم تذکر دادم نصب اپلیکیشن توییتر و رمز یکبار مصرف در یک دستگاه از لحاظ امنیتی چندان معقول به نظر نمیرسد. اگر قصد عمل به توصیه بنده را دارید و میخواهید که رمز یکبار مصرف را در دستگاه دیگری راهاندازی نمایید بر روی Setting up on another device? تپ نمایید و پس از آن به مرحله ۱۷ بروید.
مرحله ۱۶) [مختص اندروید] باز شدن اپلیکیشن FreeOTP و ورود تنظیمات رمز یکبار مصرف در این نرمافزار بصورت خودکار: با تپ کردن بر روی نام اکانت توییترتان میتوانید کد یکبار مصرف را در حافظه دستگاهتان کپی نمایید.
![مرحله ۱۶) [مختص اندروید] باز شدن اپلیکیشن FreeOTP و ورود تنظیمات رمز یکبار مصرف در این نرمافزار بصورت خودکار](/blog/cybersecurity-101-otp-one-time-password/16-otp-twitter-freeotp-set-up-on-this-device.webp)
مرحله ۱۶) [مختص اندروید] باز شدن اپلیکیشن FreeOTP و ورود تنظیمات رمز یکبار مصرف در این نرمافزار بصورت خودکار
مرحله ۱۷ اندروید) راه اندازی رمز یکبار مصرف آفلاین در دستگاه دیگر با استفاده از بذر در قالب QR Code: دقت داشته باشید که پیش از رفتن به مرحله بعد با استفاده از دکمه Next، بایستی مراحل ۱۸ و ۱۹ را جهت اسکن نمودن QR Code بذر رمز یکبار مصرف طی نمایید. چنانچه دستگاهی که نرمافزار FreeOTP بر روی آن نصب است، به هر دلیلی قابلیت اسکن نمودن کد QR را ندارد، بایستی با استفاده از گزینه Can’t scan code? جهت ورود و راه اندازی دستی رمز یکبار مصرف به مرحله ۲۰ بروید.
مرحله ۱۷ وب) راه اندازی رمز یکبار مصرف آفلاین در دستگاه دیگر با استفاده از بذر در قالب QR Code: دقت داشته باشید که پیش از رفتن به مرحله بعد با استفاده از دکمه Next، بایستی مراحل ۱۸ و ۱۹ را جهت اسکن نمودن QR Code بذر رمز یکبار مصرف طی نمایید. چنانچه دستگاهی که نرمافزار FreeOTP بر روی آن نصب است، به هر دلیلی قابلیت اسکن نمودن کد QR را ندارد، بایستی با استفاده از گزینه Can’t scan code? جهت ورود و راه اندازی دستی رمز یکبار مصرف به مرحله ۲۰ بروید.
مرحله ۱۸) استفاده از دکمه اسکن QR Code در نرمافزار FreeOTP:
مرحله ۱۹) اسکن نمودن QR Code توسط نرمافزار FreeOTP: پس از اتمام اسکن تنظیمات رمز یکبار مصرف – درست مانند مرحله ۱۶ – بصورت خودکار در نرمافزار FreeOTP ظاهر خواهد شد. پس از آن میتوانید به مرحله ۲۴ بروید.
مرحله ۲۰ اندروید) دریافت کد بذر رمز یکبار مصرف آفلاین جهت انجام تنظیمات و راهاندازی دستی OTP: پیش از رفتن به مرحله بعد با استفاده از دکمه Next بایستی مراحل ۲۱، ۲۲، و ۲۳ را طی نمایید.
مرحله ۲۰ وب) دریافت کد بذر رمز یکبار مصرف آفلاین جهت انجام تنظیمات و راهاندازی دستی OTP: پیش از رفتن به مرحله بعد با استفاده از دکمه Next بایستی مراحل ۲۱، ۲۲، و ۲۳ را طی نمایید.
مرحله ۲۱) افزودن بذر رمز یکبار مصرف جدید در نرمافزار FreeOTP:
مرحله ۲۲) کادر افزودن بذر رمز یکبار مصرف جدید در نرمافزار FreeOTP:
مرحله ۲۳) اعمال دستی تنظیمات رمز یکبار مصرف در نرمافزار FreeOTP: به جای @Barandazstorm نام کاربری خود و در قسمت Secret بذر کد یکبار مصرفی که در مرحله ۲۰ در اختیار شما قرار گرفت را وارد نموده و بر روی دکمه Add تپ نمایید. مابقی تنظیمات مطابق تصویر میباشد.
مرحله ۲۴ اندروید) تایید اعمال موفقیت آمیز تنظیمات از طریق تست نمودن رمز یکبار مصرف: در این مرحله، توییتر جهت کسب اطمینان از اعمال تنظیمات صحیح از شما میخواهد که یک رمز یکبار مصرف آفلاین را وارد نمایید. مطابق مرحله ۱۶ حالا میتوانید رمز یکبار مصرف را از اپلیکیشن FreeOTP بدست آورده و در اینجا وارد نمایید.
مرحله ۲۴ وب) تایید اعمال موفقیت آمیز تنظیمات از طریق تست نمودن رمز یکبار مصرف: در این مرحله، توییتر جهت کسب اطمینان از اعمال تنظیمات صحیح از شما میخواهد که یک رمز یکبار مصرف آفلاین را وارد نمایید. مطابق مرحله ۱۶ حالا میتوانید رمز یکبار مصرف را از اپلیکیشن FreeOTP بدست آورده و در اینجا وارد نمایید.
مرحله ۲۵ اندروید) تاییدیه موفقیت آمیز بودن فعال سازی رمز یکبار مصرف آفلاین:
مرحله ۲۵ وب) تاییدیه موفقیت آمیز بودن فعال سازی رمز یکبار مصرف آفلاین:
مرحله ۲۶ اندروید) بازگشت خودکار به صفحه تنظیمات تایید ورود و غیرفعالسازی ورود دومرحلهای با استفاده از پیامک در صورت نیاز به امنیت بیشتر: از آنجایی که این عمل باعث از کار افتادن یکی از روشهای تایید هویت شما میشود پیش از اقدام به غیرفعالسازی این روش، کاملا مطمئن شوید که بخوبی تمامی مراحل این راهنما را متوجه شده و بدرستی آنها را طی نمودهاید.

مرحله ۲۶ اندروید) بازگشت خودکار به صفحه تنظیمات تایید ورود و غیرفعالسازی ورود دومرحلهای با استفاده از پیامک در صورت نیاز به امنیت بیشتر
مرحله ۲۶ وب) بازگشت خودکار به صفحه تنظیمات تایید ورود و غیرفعالسازی ورود دومرحلهای با استفاده از پیامک در صورت نیاز به امنیت بیشتر: از آنجایی که این عمل باعث از کار افتادن یکی از روشهای تایید هویت شما میشود پیش از اقدام به غیرفعالسازی این روش، کاملا مطمئن شوید که بخوبی تمامی مراحل این راهنما را متوجه شده و بدرستی آنها را طی نمودهاید.

مرحله ۲۶ وب) بازگشت خودکار به صفحه تنظیمات تایید ورود و غیرفعالسازی ورود دومرحلهای با استفاده از پیامک در صورت نیاز به امنیت بیشتر
مرحله ۲۷ اندروید) هشدار نهایی توییتر پیش از غیرفعالسازی تایید هویت از طریق پیامک:
مرحله ۲۷ وب) هشدار نهایی توییتر پیش از غیرفعالسازی تایید هویت از طریق پیامک:
مرحله ۲۸ اندروید) بازگشت خودکار به صفحه تنظیمات تایید ورود و پایان مراحل Hardening ورود به حساب کاربری توییتر:

مرحله ۲۸ اندروید) بازگشت خودکار به صفحه تنظیمات تایید ورود و پایان مراحل Hardening ورود به حساب کاربری توییتر
مرحله ۲۸ وب) بازگشت خودکار به صفحه تنظیمات تایید ورود و پایان مراحل Hardening ورود به حساب کاربری توییتر:

مرحله ۲۸ وب) بازگشت خودکار به صفحه تنظیمات تایید ورود و پایان مراحل Hardening ورود به حساب کاربری توییتر
در پایان مطلب خاطرنشان میشوم که فعالسازی OTP به شرط استفاده صحیح، ضریب امنیتی قابل قبولی را به حسابکاربریتان خواهد افزود.
امیدوارم از خواندن این مطلب لذت برده باشید :)