واژه‌نامه

کد تأیید

۱۴۰۵/۱/۲۷

کد تأیید یک کد کوتاه یک‌بار مصرف (معمولاً ۶ رقمی) است که برای اثبات اینکه کاربر کنترل یک دستگاه خاص، شماره تلفن یا حساب را دارد، استفاده می‌شود. صرافی‌های ارز دیجیتال، کیف پول‌ها و استخرهای استخراج از کدهای تأیید به عنوان یک عامل دوم فراتر از رمز عبور استفاده می‌کنند — که به عنوان احراز هویت دو مرحله‌ای (2FA) شناخته می‌شود.

انواع کدهای تأیید

TOTP (برنامه‌های احراز هویت)

به صورت محلی توسط برنامه‌هایی مانند Google Authenticator، Authy یا توکن‌های سخت‌افزاری تولید می‌شود. بر اساس استاندارد TOTP (رمز عبور یک‌بار مصرف مبتنی بر زمان) — کد هر ۳۰ ثانیه با استفاده از یک راز مشترک که در زمان تنظیم ایجاد شده، تغییر می‌کند.

  • قوی — تولید کد به صورت آفلاین انجام می‌شود؛ هیچ واسطه‌ای نمی‌تواند آن را رهگیری کند
  • توصیه‌شده به عنوان روش پیش‌فرض 2FA در اکثر صرافی‌ها

کدهای پیامکی

از طریق پیامک به شماره تلفن کاربر ارسال می‌شود.

  • ضعیف — آسیب‌پذیر در برابر حملات تعویض سیم‌کارت، جایی که مهاجم اپراتور را متقاعد می‌کند تا شماره قربانی را به سیم‌کارتی که کنترل می‌کند منتقل کند و تمام کدهای ورودی را دریافت کند
  • چندین ضرر بزرگ در حوزه ارز دیجیتال با تعویض سیم‌کارت آغاز شده است
  • اگر جایگزینی موجود است، از 2FA پیامکی اجتناب کنید

کدهای ایمیل

به آدرس ایمیل ثبت‌شده کاربر ارسال می‌شود.

  • تنها به اندازه امنیت حساب ایمیل امن است — اگر ایمیل به خطر بیفتد، کدها نیز به خطر می‌افتند
  • اغلب برای اقدامات یک‌باره (بازنشانی رمز عبور، ورود به دستگاه جدید) استفاده می‌شود نه برای هر ورود

کلیدهای امنیتی سخت‌افزاری (Passkeys، U2F، WebAuthn)

دستگاه‌های فیزیکی (YubiKey، Titan) که یک چالش رمزنگاری را امضا می‌کنند. قوی‌ترین گزینه — اصلاً کد نیست و در برابر فیشینگ مصون است.

کدهای ضد فیشینگ

بسیاری از صرافی‌ها یک کد ضد فیشینگ ارائه می‌دهند — یک رشته شخصی که شما تنظیم می‌کنید و در هر ایمیل معتبر که از طرف آنها دریافت می‌کنید ظاهر می‌شود. اگر ایمیلی ادعا کند که از طرف صرافی است اما کد ضد فیشینگ وجود ندارد یا اشتباه است، این یک تلاش فیشینگ است.

قوانین کلی

  • TOTP یا کلیدهای سخت‌افزاری را به پیامک ترجیح دهید
  • هرگز کد تأیید را با کسی به اشتراک نگذارید — کارکنان پشتیبانی هرگز آن را درخواست نمی‌کنند
  • بذرهای 2FA را پشتیبان‌گیری کنید هنگام تنظیم TOTP (بسیاری از برنامه‌ها پشتیبان‌گیری ابری رمزگذاری‌شده ارائه می‌دهند)
  • لیست‌های سفید برداشت را فعال کنید در صرافی‌ها به عنوان یک لایه اضافی

همچنین ببینید

این مقاله به زبان های دیگر موجود است: