امروزه موارد نقض داده، سرقت هویت و دستورالعمل های قانونی به معنای دشواری و اهمیت روزافزون اعتمادسازی در تراکنش های آنلاین است. از مرحله ساده شناسایی هویت یک مشتری گرفته تا فرآیندهای تکرار شونده برای اطمینان از هویت واقعی افراد به صورت لحظه ای، نیاز مبرمی به کارکرد درست و دقیق راهکارهای امنیتی وجود دارد. هر یک از خدمات شناسایی ، تایید و احراز هویت نقش مهمی را در توانایی جلوگیری از کلاهبرداری در کانال های آنلاین، سازگاری با قوانین شناسایی هویت مانند KYC و AML و ایجاد تجربه مناسب برای مشتری بازی می کنند. در حالی که احراز هویت تنها یک جنبه از امنیت سایبری است، احراز هویت اولین خط دفاعی است. این فرآیند تعیین این است که آیا کاربر همان چیزی است که می گوید، در این راستا مقاله زیر را جهت بررسی قابلیت احراز هویت تنظیم مینماییم.
بررسی احراز هویت یا Authentication
احراز هویت به معنای تعیین صحت و درستی یک ویژگی یا داده است. موضوع احراز هویت افراد از زمان های بسیار دور وجود داشته است و در سال های دور، شیوه متداول شناسایی و احراز هویت افراد، برای کسب اطمینان از درستی یک ویژگی، استفاده از قوای حافظه برای به یاد آوردن مجموعه ای از ویژگی ها، مختصات چهره و جزئیات جسمانی _ فیزیکی افراد بوده است. چنین روشی به هیچ عنوان کارامد و قابل اطمینان نیست. پس به مرور زمان روش های دیگری برای احراز هویت ظهور یافتند. در شبکه های رایانه ای اصالت سنجی بدین معناست که یک سرویس دهنده بتواند تشخیص دهد کسی که تقاضایی را روی آن سیستم دارد شخص حقیقی و یا یک بد افزار است تا بدین ترتیب به گیرنده پیام اطمینان داده شود که پیام از همان مبدأ ادعا شده می باشد. هر مکانیزمی که بتواند هویت واقعی یک فرد را بدون هیچ ابهامی، تأیید یا رد کند سرویسی جهت احراز هویت است. این سرویس برخلاف باور عموم یکی از پیچیده ترین مباحث امنیت شبکه به شمار می رود.
Authentication به مجموعه ای از روش ها گفته می شود که تشخیص یکسان بودن هویت هر فرد با آنچه اعلام می کند را بر عهده دارند. انواع مکانیزم های احراز هویت به سیستم ها کمک می کنند تا مشخصات کاربر را با آنچه در پایگاه داده وجود دارد تطبیق دهند. بطور کلی authentication تأیید هویت یک فرد است، به طوری که فرد بتواند ثابت کند که او خودش است و نه شخص دیگری. اطلاعات اولیه برای انجام این فرایند شامل اطلاعات شخصی مانند نام، شماره تلفن، آدرس، تاریخ تولد و موارد مشابه می باشد. برای احراز هویت ممکن است از ابزار مختلفی مانند کارت های شناسایی، کد امنیتی ارسال شده از طریق پیامک یا ایمیل، سؤالات امنیتی یا حتی امضای الکترونیکی استفاده شود. احراز هویت در موارد مختلفی از جمله سیستم های بانکی، پروفایل های آنلاین، ورود به حساب کاربری و نیز در سیستم های امنیتی و برخی خدمات دولتی مورد استفاده قرار می گیرد.
در این فرآیند، اطلاعات شخصی فرد مانند نام، شماره تلفن، آدرس و غیره جمع آوری می شود و با استفاده از روش های مختلفی مانند کد امنیتی، رمز عبور، تصویر شناسایی، اثر انگشت و غیره هویت فرد تأیید می شود. احراز هویت در بسیاری از حوزه های امنیتی، مالی و آنلاین استفاده می شود که میتوان بانکداری آنلاین و پرداخت الکترونیکی، گوشی های هوشمند، خریدهای آنلاین، ارتباطات تجاری و هر فرآیندی که نیاز است افراد و یا سیستم ها به آن دسترسی داشته باشند به احراز هویت نیاز دارند. احراز هویت در سایت ها و سایر سرویس های خدماتی به عنوان یک روش امنیتی مهم به شمار می رود. این فرایند به ارائه دهندگان خدمات، اطمینان می دهد فردی که در حال استفاده از سرویس یا اطلاعات حساس است، همواره همان فرد واقعی است. مهمترین دلیل احراز هویت در سایت ها، جلوگیری از دسترسی غیر مجاز به حساب کاربری می باشد. در غیر این صورت، یک فرد بدخواه می تواند به نام کاربر واقعی، در سایت وارد شده و خسارات جدی وارد کند.
معنای احراز هویت با شناسایی یا identification کاملا متفاوت است. در واقع احراز هویت از داده های identification برای تأیید هویت واقعی فرد و تصدیق آن استفاده می کند. وقتی در یک بانک که قبلاً حساب نداشته اید، اقدام به افتتاح حساب می کنید، نیاز است با مدارک شناسایی خود به شعبه بانک مربوطه مراجعه کنید و هویت خود را معرفی کرده تا بانک هویت شما را شناسایی کند. به این فرآیند در ارائه خدمات، شناسایی مشتری یا Identification می گویند. اما بعد از آن، بابت اعمالی که می خواهید انجام دهید لازم است هربار احراز هویت شوید. در مثال انتقال وجه از طریق عابر بانک، زمانی که شما کارت بانکی خود را وارد عابر بانک می کنید، سیستم بانک با استفاده از اطلاعات کارت شما، هویت شما را شناسایی می کند و با وارد کردن رمز توسط شما، می فهمد که کسی که از کارت شما استفاده می کند خود شما هستید.
احراز هویت برای پاسخگویی کاربر به اعمالی است که بر روی سیستم انجام می دهد. احراز هویت فرایندی است که بر اساس آن بررسی می شود که آیا طرف مقابل ارتباط همانی است که باید باشد یا یک نفوذگر است که خود را به جای طرف واقعی جا زده است، در این راستا فاکتورهای اصلی سیستم های شناسایی و احراز هویت به موارد زیر تقسیم بندی میشوند:
1. چیزی که شما می دانید: این فاکتور، ساده ترین و ضعیف ترین فاکتور Authentication در امنیت اطلاعات است. مانند رمز دوم کارتتان. با توجه به اینکه چیزی را که شما می دانید را فرد دیگری هم می تواند بداند، پس آن شخص می تواند به جای شما احراز هویت شود. از این رو این فاکتور، ضعیف است و امکان حملاتی مثل فیشینگ در مثال بانک، زیاد است.
2. چیزی که شما دارید: این فاکتور به معنای داشتن سخت افزارهایی مثل کارت های هوشمند، Token ها و غیره می باشد. اما این روش هم مانند روش قبل، چندان مناسب نیست زیرا هرکس دیگری هم به این ابزار سخت افزاری دسترسی پیدا کند، می تواند هویت شما را دارا شود. از این روش در احراز هویت حضوری مثل احراز هویت با کارت هوشمند استفاده میگردد.
3. چیزی که شما هستید: قطعاً همیشه اعضای فیزیکی بدن شما همه جا همراهتان هست و مثلاً کسی دست شما را نمی تواند بدزدد. اثر انگشت، نمونه DNA، الگوی مردمک و عنبیه چشم، الگوی کف دست و صدای شخص و غیره نمونه هایی از این فاکتور هستند که به آن در اصطلاح فنی تر احراز هویت بیومتریک یا Biometric هم گفته می شود. در این روش اطلاعات بیومتریک توسط دستگاه های بیومتریک تشخیص چهره، اسکنر اثر انگشت و غیره دریافت میگردد. یکی از عیب هایی که به این روش وارد است، هزینه بسیار زیاد برای پیاده سازی مکانیزم و دستگاه های مربوطه می باشد. از این روش در سامانه های احراز هویت آنلاین یا احراز هویت غیر حضوری استفاده میگردد.
4. احراز هویت چند فاکتوری: چندین فاکتور برای احراز هویت افراد استفاده شود. برای مثال شما کارت بانکی که دارید دارای سیستم احراز هویت Two Factor Authentication یا احراز هویت دو عامله است چون هم از شما رمز عبور پرسیده می شود و هم اینکه باید کارت بانکی را داشته باشید. یا اینکه شما کارت شناسایی دارید که بعد از وارد کردن کارت شناسایی در دستگاه مربوطه باید اثر انگشت شما نیز تأیید شود و این دو با هم تشکیل یک سیستم احراز هویت دو عامله را می دهد.اگر هر سه فاکتور با هم در یک سیستم احراز هویت استفاده شود، سیستم دارای احراز هویت Multifactor Authentication یا احراز هویت چند عامله است که امنیت حداکثری ایجاد می شود اما امنیت حداکثری، باعث پایین آمدن دسترسی پذیری و عملیاتی بودن سیستم شما می شود و امنیت به عنوان یک عامل اذیت کننده محسوب می شود.
بعد از شناخت احراز هویت لازم است اهمیت احراز هویت را در زندگی روزمره خود متوجه شویم. تصور کنید احراز هویت، خط مقدم دفاع است که فقط به کاربران تأیید شده اجازه دسترسی به داده ها را می دهد. سازمان ها برای قدرتمندتر شدن این سد دفاعی، لایه های جدیدی اضافه می کنند تا بیش از پیش، از اطلاعات حفاظت کنند. بعضی عوامل احراز هویت قوی تر از سایر عوامل بوده و سطح امنیت به اطلاعاتی وابسته است که سعی دارید به آن دسترسی یابید. ما در عصر افشای روز افزون داده ها زندگی می کنیم. اعتبارنامه های یک گذرواژه ساده، دیگر برای احراز هویت کاربران آنلاین، کافی نیستند. شرکت ها و سازمان ها عوامل مختلف احراز هویت را برای امنیت بیشتر، تنظیم می کنند. هدف احراز هویت افراد در سیستم ها متفاوت بوده و باید اعتبارنامه های مختلفی برای تأیید کاربران داشته باشند. با توجه به هر مورد کاربرد، این اعتبارنامه می تواند به شکل گذرنامه، مشخصات بیومتریک، توکن و گواهینامه دیجیتالی باشد.
در خصوص انواع احراز هویت می توان موارد زیر را نام برد:
• نام کاربری و رمز عبور: در این روش که یکی از راه های معمول در سیستم ها و وبسایت ها است کاربر باید نام کاربری و رمز عبور خود را وارد کند تا احراز هویت او انجام شود. مزایای آن امن تر از پین و تجربه کاربری مناسب است همچنین معایب آن قابل حدس بودن و سرعت پایین باز شدن قفل گوشی و سخت بودن فرآیند ریکاوری در صورت فراموشی میباشد.
• تأیید از طریق رمز یکبار مصرف : در روش OTP کاربر برای احراز هویت خود یک کد یکبار مصرف دریافت می کند که باید آن را در فرم مربوطه وارد کند. این کد معمولاً از طریق پیامک، پست الکترونیکی و یا اپلیکیشن های موبایلی برای کاربر ارسال می گردد.
• شناسایی بیومتریک: در برخی سیستم ها نیز از روش های شناسایی بیومتریک مانند اثر انگشت، تشخیص چهره، اسکن عنبیه چشم، شناسایی صدا و دیگر ویژگی های بدنی کاربر برای احراز هویت استفاده می شود. بر اساس این روش اطلاعات بیولوژیک هر فرد در قالب الگوهای منحصر به فرد از جمله اثر انگشت، ساختار چهره یا صدا ثبت می شود و با اطلاعات موجود در سیستم مقایسه می گردد.
• سوالات امنیتی: در این روش کاربر قبل از ثبت نام یا ورود به سیستم، به سوالاتی که توسط سیستم تعیین شده پاسخ می دهد. اگر پاسخ صحیح داده شود، سامانه احراز هویت او را تایید می کند.
• تأیید از طریق شماره تلفن همراه: در این روش یک کد تأیید به شماره تلفن همراه کاربر ارسال می شود. کاربر باید این کد را در سیستم یا اپلیکیشن مورد نظر وارد کند تا هویتش تأیید شود.
• استفاده از کلیدهای امنیتی: در بعضی موارد، افرادی که به اطلاعات حساس دسترسی دارند از کلیدهای امنیتی فیزیکی یا مجازی برای سامانه احراز هویت استفاده می کنند.
• استفاده از روش های تحلیل الگو: این روش ها با تحلیل و بررسی الگوهای رفتار کاربر، احتمال همخوانی آن با هویت واقعی را تشخیص می دهد. به عنوان مثال شرکت های ارائه دهنده خدمات آنلاین می توانند الگوهای عادی رفتاری کاربر را ثبت کرده و در صورت مشاهدهٔ تغییرات ناشی از هک یا دسترسی غیرمجاز، هویت واقعی کاربر را تشخیص دهند.
• احراز هویت با استفاده از توکن : پروتکلی که به کاربران اجازه می دهد خودشان را تأیید کرده و به ازای تأیید هویت خود یک توکن دریافت کنند. سپس کاربران می توانند تا زمانی که توکن معتبر است، به وب سایت یا اپلیکیشن دسترسی داشته باشند. این سیستم مانند یک بلیط مهر دار عمل می کند و فرایند احراز هویت کاربرانی که به اپلیکیشن، صفحه وب یا منبعی یکسان در چندین مرتبه دسترسی دارند را ساده می کند.
• شناسایی و تشخیص صدا: این سیستمی است که می تواند صدای شخص را تحلیل کند تا هویت او را تأیید کند. روش کار احراز هویت شناسایی و تشخیص صدا کمی متفاوت است. این فناوری بر این مسئله تکیه دارد که شیوه بیان هر فرد، منحصر به فرد است. تغییرات حرکت تکیه بر اصوات و بسیاری از عوامل دیگر افراد را از یکدیگر متمایز می کند. کاربرد Authentication با این روش بیشتر برای ورود به مکان های امنیتی استفاده می شود.
سیستم مدیریت یکپارچه تهدیدات چندین ویژگی امنیتی را در یک دستگاه یا برنامه نرم افزاری واحد ترکیب می کنند. در انتها میبایست خاطر نشان شد که سامانه احراز هویت تخصصی خاص در حوزه امنیت اطلاعات است و برای جلوگیری از نفوذ و سوءاستفاده های مختلف استفاده می شود. هر سیستمی که احراز هویت ضعیفی داشته باشد و در مقابل مهاجمان ضعیف عمل کند، می تواند به راحتی مورد حمله هکر ها قرار گیرد و شرایط مساعدی را برای دسترسی غیرمجاز به منابع سیستم فراهم کند. سازندگان سیستم های دیجیتال برای افزایش امنیت و جلوگیری از افشای اطلاعات کاربران باید از انواع مکانیزم های احراز هویت استفاده کنند.