احراز هویت چیست؟

احراز هویت کاربران به چه معناست؟

در دنیای امنیت سایبری، نیاز به مکانیزم‌هایی می‌باشد که توسط آن هویت کاربران سیستم‌های رایانه‌ای، قابل احراز باشد. با استفاده رمز عبور، توکن سخت افزاری یا تکه‌ای از اطلاعات که نشان دهنده هویت کاربران باشد. احراز هویت (authentication) یک سیستم کنترل دسترسی برای سیستم‌های رایانه‌ای می‌باشد که با بررسی اطلاعات ارائه شده توسط کاربر و اطلاعات ثبت شده در پایگاه داده، اجازه دسترسی به منابع درخواست شده کاربران را صادر می‌کند. این مکانیزم امنیتی، یکی از مؤثرترین روش‌ها در برابر محافظت از سیستم‌های رایانه‌ای، منابع و اطلاعات سازمان و حتی کاربران خانگی خواهد بود. احراز هویت صرفا برای شناسایی کاربران به کار گرفته نمی‌شود و با اتوماتیک شدن بسیاری از فرآیندها، سیستم‌های رایانه‌ای نیز برای کنترل دسترسی به منابع خود توسط کامپیوترهای دیگر نیاز به بررسی هویت سرورها، نرم افزارها، و واسط‌های برنامه نویسی (API) دارند.

نحوه کار آن چگونه است؟

کامپیوترها همانند انسان توانایی تشخیص هویت افراد را ندارند، بنابراین به معیارهای عینی قابل اندازه گیری نیاز دارد تا از عهده شناسایی هویت کاربران بربیاید. یکی از رویکردها در این بین می‌تواند صرفا، اتکا به پاسخ پرسش‌های مطرح شده توسط سیستم باشد، پرسش‌هایی که جواب آنها از قبل توسط سیستم دریافت شده است. کاربران برای اثبات هویت خود ملزم به ارائه اطلاعاتی می‌باشند که منحصر به هویت دیجیتالی و یا واقعی خودشان می‌باشد، کامپیوتر با دریافت این اطلاعات و مقایسه آنها با اطلاعاتی که از قبل به صورت محلی و یا بروی سرور ذخیره شده است، اجازه دسترسی را خواهد داد.

فاکتور های احراز هویت

مشخصه‌های هویتی که قابل مقایسه و اندازه گیری با داده‌های دیجیتالی ثبت شده می‌باشند، فاکتورهای احراز هویت نامیده می‌شوند. سه فاکتور اصلی مورد استفاده به شرح زیر می‌باشد:

فاکتور اطلاعاتی(چیزی که کاربر می‌داند):

این عامل اطلاعات محرمانه‌ای که یک شخص واقعی باید داشته باشد را بررسی می‌کند. کلاسیک ترین نمونه این فاکتور، نام کاربری و پسورد است. این سیستم می‌تواند انتظار ارائه اطلاعات بیشتری از کاربران را بسته به منابع درخواست شده، داشته باشد. کلیه اطلاعات خواسته شده در این نوع اطلاعاتی‌ست که کاربر باید بخاطر سپرده باشد و به هیچ موجودیت فیزیکی وابستگی ندارد و ممکن است غیر قابل تغییر باشند؛ مثلا: کدملی، تاریخ تولد، رمز‌های عبور و نام‌های کاربری. رمزهای عبور موقت که در هنگام خرید اینترنتی مورد استفاده قرار می‌گیرند شامل فاکتور اطلاعاتی نمی‌باشند.

فاکتور مالکیت (چیزی که کاربر دارد):

این عامل، ماکلیت کاربر بر یک چیز فیزیکی که از قبلا صادر شده است، را بررسی می‌کند. در زندگی روزانه این فاکتور امنیتی توسط انسان‌ها بسیار مورد استفاده قرار می‌گیرد. برای مثال: مکانیزم احراز هویت درب خانه‌هایمان توسط کلیدی فیزیکی از جنس فلز، اجازه عبور و دسترسی به خانه هایمان را می‌دهد. در این مثال مالکیت بر کلید، اجازه ورود به خانه را خواهد داد.( امنیت روش‌های احراز هویت فعلا مورد بحث نمی‌باشد). تمامی رمزعبورهای موقت که به تلفن همراه از پیش تعیین شده‌ای ارسال می‌گردد از نوع فاکتور مالکیت می‌باشند.

در سیستم‌های دیجیتالی، این عامل هویتی بر شیوه قدیمی قفل و کلید فیزیکی استوار نیست(!). اما به جای آن از ابزارهای جایگزینی برای اینکار بهره می‌برند که توکن نامیده می‌شوند. در حالت کلی دو نوع توکن سخت و نرم وجود دارد:

توکن نرم: شامل راستی آزمایی مالکیت بر یک دستگاه فیزیکی می‌باشد همانند تلفن هوشمند. با ارسال یک کد به دستگاه مدنظر و انتظار وارد کردن آن توسط کاربر. کد ارسالی می‌تواند توسط پیامک ارسال شود و یا توسط یک برنامه که کد تصادفی تولید می‌کند.

توکن سخت: یک دستگاه کوچک سخت افزاری می‌باشد که به رایانه یا تلفن هوشمند متصل می‌شود. کاربر برای احراز هویت خود باید دستگاه مدنظر را به سیستم متصل نماید تا هویت کاربر برای سیستم مشخص گردد.

تعدادی از کارشناسان امنیتی، توکن‌های سخت را امن تر از توکن‌های نرم تلقی می‌کنند. توکن‌های نرم در معرض سرقت از راه دور قرار دارند که توسط برنامه‌های مخرب نصب شده روی تلفن همراه ممکن می‌شود. اما سرقت توکن سخت به مراتب دشوارتر است و نیاز به دسترسی فیزیکی به دستگاه سخت افزاری مدنظر می‌باشد.

فاکتور ذاتی (ویژگی‌هایی که کاربر ذاتا دارد):

این روش عوامل ذاتی کاربران را ارزیابی می‌کند. در زندگی روزانه، انسان‌ها دائما این کار را انجام می‌دهند؛ دوستانتان شما را بر اساس ظاهر و لحن صحبت می‌شناسند. رایانه‌ها نیز می‌توانند با اسکن چهره کاربران، شبکیه چشم، اثر انگشت و یا تون صدا هویت کاربران را شناسایی کنند. فاکتور ذاتی بنابر ماهیت آن بر مواردی استوار است که کاربر در تولید آن نقشی نداشته و ضمن منحصر به فرد بودن، مقادیر آن بسیار تصادفی به نظر می‌رسد و باز تولید آن به نظر ممکن نیست. البته کماکان روش‌هایی برای دور زدن آن وجود دارد که نمونه‌های آن را در فیلم‌های هالیوودی می‌توان یافت.

احراز هویت چند عاملی ( multi-factor authentication)

فرآیندی ست که در آن هویت یک فرد توسط دو یا چندین فاکتور، احراز می‌شود. احراز هویت چند عاملی نسبت به تک عاملی بسیار قوی‌تر است و در برابر حملات جعل هویت محافظت بیشتری ارائه می‌کند. درmulti-factor اطلاعات درخواست شده باید از فاکتورهای متفاوتی استفاده کنند؛ برای مثال مرحله اول احراز شامل فاکتورهای اطلاعاتی و مرحله دوم شامل فاکتور‌های ذاتی و یا مالکیتی باشد. در غیر این صورت احراز هویت چند عاملی نخواهد بود و صرفا اطلاعات بیشتری در هریک از فاکتورها درخواست می‌شود. برای مثال: اپلیکیشنی که با استفاده از نام کاربری و پسورد بعلاوه یک سوال امنیتی، عملیات احراز هویت را انجام می‌دهد، چند عاملی محسوب نمی‌شود به دلیل اینکه نام کاربری، پسورد و سوال امنیتی فاکتور اطلاعاتی می‌باشند. احراز هویت‌های چند عاملی بهترین گزینه برای صحت سنجی دسترسی به شبکه‌های خصوصی مانند شرکت‌ها و ادارجات می‌باشد. در حال حاضر از روش‌های احراز هویت چند عاملی به صورت گسترده در شبکه‌های بانکی و نقل و انتقالات مالی استفاده می‌شود که تاثیر بسیار مثبتی در افزایش امنیت حساب‌های بانکی داشته است.

احراز هویت توسط گواهی دیجیتالی

گواهی دیجیتالی فایل‌های کوچکی هستند که برای یک موجودیت‌ دیجیتالی صادر گردیده‌اند و شامل اطلاعاتی برای راستی آزمایی و شناسایی هویت استفاده می‌شوند. همانند یک کارت شناسایی که شامل اطلاعاتی است که هویت فرد در دنیای واقعی را اثبات می‌کند. گواهی‌های دیجیتالی همچنین باید دارای امضا دیجیتالی باشد که اصالت مرجع صادر کننده را اثبات می‌کند. کارت شناسایی یا پول کاغذی که دارای نشانه‌ای از سازمان صادر کننده می‌باشد و صحت اطلاعات آن را ثابت می‌کند.

گواهی‌های دیجیتالی وابسته به کلیدهای رمزنگاری هستند، این کلیدها که به نظر می‌رسد محتوای آنها شامل اطلاعات تصادفی می‌باشد؛ به صورت جفت کلید تولید شده و به صورت مجزا ذخیره می‌شوند. موجودیتی که گواهی دیجیتالی دارد می‌تواند داده‌ها را با این کلیدها امضا کرده و ثابت کند که کلیدهای متناظر گواهی دیجیتالی را دارا می‌باشد و بدین صورت عمل احراز هویت را انجام دهد.

با اینکه گواهی‌های دیجیتالی معمولا برای احراز هویت کاربران استفاده نمی‌شود. ولی به صورت روزانه از آنها استفاده می‌کنیم بدون آنکه متوجه شویم. گواهی‌های دیجیتالی به طور معمول برای ایمن سازی ترافیک وبسایت‌ها در بستر پروتکل HTTPS استفاده می‌شود که به آن TLS/SSL certificate گفته می‌شود.

تفاوت authentication و authorization

اعطای مجوز شامل فرآیندی می‌شود که طی آن مدیر یا ادمین مجوزهای لازم را به کاربران احراز هویت شده اعطا می‌کنند. همچنین شامل پروسه ارزیابی مجوزهای دسترسی کاربر به منابع در اختیار آن است. امتیازات و حقوق واگذار شده به کاربران تنفیذ شده وابسته به دسترسی‌های کاربران است، که ممکن است به صورت محلی یا بروری یک سرور ذخیره شده باشند.

در واقع مکانیزم احراز هویت تنها بر شناسایی هویت‌ها تاکید دارد و فرآیند authorization بر میزان دسترسی‌ها، منابع در اختیار و عملیاتی که اجازه اجرای آن را دارند، رسیدگی و نظارت می‌کند. بدون مدیریت دسترسی کاربران احراز هویت شده، با مشکلات مدیریتی و کاهش امنیت سایبری روبرو خواهیم شد؛ برای مثال: فرض کنید کلیه اکانت‌ها در یک سازمان دسترسی ادمین داشته باشند، در این صورت حمله کننده نیازی به پیدا کردن اکانت ادمین نخواهد داشت و با حدس زدن نام کاربری و کلمه عبور یکی از اکانت‌ها خواهد توانست کل شبکه را در دست بگیرد. پس از اینکه کاربر احراز هویت گردید نیاز است تا در خصوص میزان دسترسی‌ها و مجوزهای اعطا شده تصمیم گیری شود و صرفا اکتفا به احراز هویت کاربران باعث بروز حفره‌های امنیتی خواهد شد.

نتیجه گیری

یکی از مهمترین عوامل مؤثر در بحث امنیت سایبری، احراز هویت است؛ authentication دیجیتالی این اطمینان را به شما خواهد داد که تنها کاربران مجاز و با سطح دسترسی تعیین شده اجازه دسترسی به منابع و اطلاعات را خواهند داشت و هرگونه دسترسی مدیریت نشده و غیرمجاز از بین خواهد رفت. فاکتورهای احراز هویت هرچه محنصر به فرد باشند امکان حدس و جعل آن برای هکرها دشوارتر خواهد بود از بین این عوامل، فاکتورهای اطلاعاتی کمترین میزان امنیت را خواهند داشت و با حملات Brute Force و سرقت اطلاعات کاربری توسط کی‌لاگرها امکان سوء استفاده از آن وجود خواهد داشت. در مقابل با ترکیب فاکتور اطلاعاتی با عوامل دیگر امنیت حساب‌های کاربری بسیار افزایش خواهد یافت و شانس هک شدن اکانت به کمترین میزان خود خواهد رسید.