پرونده: روش‌های نوین احراز هویت در فضای مجازی؛ بخش دوم: روش‌های جایگزین رمز‌های عبور

به گزارش گرداب، در بخش اول این پرونده، به بررسی دلایل ناایمن بودن رمز‌های عبور پرداختیم، اینکه طبق آمار حدود ۹۰ درصد رمز‌های عبور انتخابی توسط کاربران از ایمنی کافی برخوردار نیستند. مهم‌ترین گرایش برای انتخاب رمز‌های ساده نیز فراموش نشدن آن‌ها توسط کاربران است. به همین دلیل، نمی‌توان انتظار داشت که کاربران پس از آموزش نیز، از رمز‌های عبور پیچیده و طولانی استفاده کنند. به همین دلیل، متخصصین حوزه فناوری به توسعه روش‌های جایگزین برای رمز عبور در احراز هویت روی آورده‌اند.

احراز هویت مبتنی بر مشخصه‌های زیست‌سنجی (Biometrics authentication)
احراز هویت مبتنی بر مشخصه‌های زیست‌سنجی به دلیل اینکه به ویژگی‌های منحصربه‌فرد بیولوژیکی فرد متکی است این قابلیت را دارد که به‌تن‌هایی برای احراز هویت به کار برده شود. از دیگر ویژگی‌های این نوع از احراز هویت این است که می‌توان داده‌های ذخیره شده در پایگاه داده را به‌راحتی مقایسه کرد. این روش قابلیت اضافه‌شدن به فرایند‌های احراز هویت چندعاملی (MFA) را داراست و از آن در شرکت‌های خصوصی و دولتی، بانک‌ها، فرودگاه‌ها و مراکز نظامی استفاده می‌شود.

روش‌های رایج احراز هویت زیست‌سنجی عبارت است از:

• تشخیص چهره: با بررسی مختصات اجزاری چهره افراد و تطبیق آن با داده‌های موجود در پایگاه داده، هویت فرد تأیید یا رد می‌شود. این نوع از احراز هویت در مواقعی که افراد به همدیگر شبیه هستند و یا زاویه دید دوربین مناسب نباشد، عملکرد موفقی ندارد. استفاده از این فناوری در گوشی‌های هوشمند نیز طی چند سال گذشته رواج پیدا کرده است.

• اسکن اثر انگشت: با استفاده از الگو‌های منحصربه‌فرد موجود در اثر انگشت افراد می‌توان فرایند احراز هویت را انجام داد. امروزه برخی از نسخه‌های جدید اسکنر اثر انگشت می‌توانند الگو‌های عروقی در انگشتان دست فرد را نیز پویش کنند. با اینکه اشتباهاتی از این اسکنر‌ها دیده شده، اما امروزه جزو محبوب‌ترین فناوری بیومتریک برای مشتریان هستند و این محبوبیت را می‌توان به‌خاطر تلفن‌های هوشمند مجهز به این اسکنر دانست.

• تشخیص صدا: در این روش از الگو‌های گفتاری یک صدا برای شکل‌گیری اشکال و کیفیت مختص به آن صدا استفاده می‌شود. دستگاه‌های مجهز به این فناوری معمولاً برای احراز هویت به یکی سری از کلمات خاص و استاندار نظیر کلمه عبور از پیش تنظیم شده وابسته هستند.

• اسکنر چشم: هویت فرد را از طریق جستجو و تشخیص الگو‌های عنبیه و شبکیه چشم تایید می‌کند. این اسکنر‌ها با تابش نور به چشم فرد، به دنبال یافتن یک الگوی خاص در شبکیه می‌گردند و آن را با نمونه‌های داخل پایگاه داده خود تطبیق می‌دهند. اگر فردی از عینک یا لنز استفاده کند این سامانه دچار مشکل می‌شود.

احراز هویت چندعاملی (Multi-Factor Authentication یا MFA)
اولین روش احراز هویت چندعاملی، روش دو عاملی (۲ Factor Authentication یا ۲MA) است. در احراز هویت ۲FA از دو عامل احراز هویتی استفاده می‌شود؛ برای مثال از یک عامل دانشی مثل رمز عبور و یک عامل وراثتی مثل اثر انگشت فرد. همان‌طور که مشخص است با استفاده از این روش یک لایه امنیتی دیگر به پروسه احراز هویت اضافه می‌شود و در صورت نقص و یا آسیب در یکی از فاکتورها، عامل دیگر همچنان پابرجاست و نگرانی‌ها از بابت امنیت کاسته می‌شود. برای احراز هویت دو عاملی روش‌های متفاوتی وجود دارد که بسته به هزینه و شرایط سخت افزاری و نرم‌افزاری، باید مناسب‌ترین آن‌ها را انتخاب کرد.

یکی از این روش‌ها که سابقاً پیاده‌سازی آن را در بانک‌ها مشاهده کرده بودیم، رمزیاب‌های (Token) تولید رمز برای حساب بانکی هستند. بدین صورت که برای ورود به‌حساب بانکی به‌صورت مجازی و یا انجام هر تراکنش بانکی باید با استفاده از رمز تولید شده توسط آن دستگاه فیزیکی اقدام به احراز هویت کنیم. روش احراز هویت ۲FA نیز با استفاده از پیامک و صوت که مستقیماً به گوشی کاربر ارسال می‌شود کار می‌کند. سایت پس از دریافت نام کاربری و رمز عبور، از طریق پیام کوتاه، یک کد عبور منحصربه‌فرد یک‌بار مصرف (OTP) به کاربر ارسال می‌کند. مانند مورد توکن سخت‌افزاری، کاربر باید کد ارسال‌شده را وارد سایت کند. به‌صورت مشابه، در ۲FA بر پایه صوت، به‌صورت خودکار با کاربر تماس گرفته شده و کد ورود یک‌بار مصرف در اختیار او گذاشته می‌شود.

در روش دیگر که به‌جای استفاده از توکن و دریافت کد یک‌بار مصرف استفاده می‌شود، وبسایت‌ها و اپلیکیشن‌ها می‌توانند اعلان یا هشداری برای کاربر با مضمون اعلان هشدار برای اینکه شخصی سعی در ورود به‌حساب کاربری آن‌ها دارد، بفرستند. کاربر می‌تواند باتوجه‌به جزئیات هشدار، با یک کلیک کوچک این ورود را تأیید یا رد کند. این روش نیازی به رمز عبور یا کد یک‌بار مصرف ندارد. به نظر این روش از روش‌های قبلی بهتر و آسان‌تر است، اما از امنیت بالایی در مقایسه با دیگر روش‌ها برخوردار نیست.

وقتی بحث از احراز هویت چندعاملی می‌شود، به دلیل ترکیب عوامل مختلف احراز هویت نظیر سه عامل دانشی تملیکی و وراثتی و همچنین استفاده از موقعیت مکانی و زمان، عملاً سامانه‌هایی را به وجود می‌آورند که امنیت را به شدت بالا می‌برند.

یکی از نمونه‌های عینی و پیاده‌سازی شده احراز هویت عبارت است از سیستم رمز پویای بانکی. در این سیستم مشتری بانک علاوه بر داشتن یک رمز عبور (عامل دانشی) دارای یک کارت اعتباری است که دارای شماره کارت، CCV۲ و تاریخ انقضا (عامل تملیکی) است. علاوه بر این برای فعال‌سازی رمز پویا باید با نصب یک اپلیکیشن خاص که توسط بانک ارائه شده است و معمولاً برخی از آن‌ها برای ورود به برنامه از حسگر اثر انگشت (عامل وراثتی) استفاده می‌کنند، می‌بایست به یکی از شعب بانک مربوطه مراجعه کرده و بانک پس از اخذ مدارک هویتی و تأیید آن (عامل وراثتی) سامانه تولید رمز پویا را فعال می‌کند.

همان‌طور که مشاهده می‌کنید در این مثال ترکیبی از همه عوامل وجود دارد و تا حد بسیار بالایی امنیت بالا رفته است، تا جایی که طبق آمار پلیس فتا سرقت اطلاعات کارت‌های بانکی از طریق حملات فیشینگ به طرز قابل‌توجهی کاهش داشته است.

احراز هویت مبتنی بر گواهی (Certificate-based authentication)
در این روش سامانه احراز هویت با استفاده از گواهینامه دیجیتال، کاربران، ماشین‌ها و دستگاه‌ها را شناسایی می‌کند. گواهینامه دیجیتال یک سند الکترونیکی است که بر اساس ایده گواهینامه‌های رانندگی یا گذرنامه ایجاد شده است. این گواهینامه که هویت دیجیتالی کاربر است شامل یک کلید عمومی (Public Key) و یک امضای دیجیتال است که توسط یک مرجع و نهاد ذی‌صلاح صادر می‌شود. کاربران هنگام ورود به سرور، گواهینامه‌های دیجیتالی خود را ارائه می‌دهند؛ سرور اعتبار امضای دیجیتال و مرجع صدور گواهینامه را تأیید می‌کند، سپس سرور با استفاده از رمزنگاری تأیید می‌کند که کاربر یک کلید خصوصی صحیح همراه با گواهی دارد یا خیر که پس از تأیید، دسترسی موردنظر به او داده می‌شود.

احراز هویت مبتنی بر ریسک (Risk-based Authentication یا RBA)

احراز هویت مبتنی بر ریسک احتمال سازگاری حساب را با هر قصد ورود به آن ارزیابی می‌کند، یعنی اگر درخواستی غیرمعمول یا مشکوک به نظر آید، کاربر باید برای دسترسی به آن سامانه یا حساب از طریق عوامل اضافی احراز هویت شود. عوامل اضافی نظیر مشخصه‌های زیست‌سنجی، متضمن معتبر بودن درخواست کاربر است. به‌عنوان‌مثال فرض کنید درخواست ورود به‌حساب شما از کشوری است که شما هیچ ارتباط یا نسبتی با آن ندارید، یا از حساب شما درخواست دانلود یک فایل خاص داده شده است، از این طریق می‌توان به این درخواست‌ها مشکوک شد و ریسک آن را بالا ارزیابی کرد.

همان‌طور که مشخص است سامانه احراز هویت مبتنی بر ریسک از یک موتور هوشمند آنی (Real-Time) برای دستیابی به یک دید و شناخت نسبی از هر کاربر که قصد ورود و درخواست دارد، استفاده می‌کند. این موتور برای هر کاربر فاکتور‌های زیر را بررسی می‌کند:

• دستگاه: آیا رایانه و سیستم کاربر قبلاً شناخته شده است؟ آیا دستگاه موبایل کاربر پیش‌ازاین به سیستم وارد شده است؟ در واقع موتور هوشمند سابقه دستگاه را بررسی می‌کند.
• مکان: بررسی اینکه آیا کاربر در همان ساختمان یا حتی منطقه جغرافیایی است که سرور آنجا حضور دارد یا خارج از محدوده ماست؟

• شبکه: آیا شخص موردنظر از طریق IP آشنا وارد می‌شود یا از یک IP ناشناس؟ آیا فایل درخواستی توسط IP موردنظر برای سازمان ما حیاتی است یا خیر؟
با لحاظ این عوامل سامانه احراز هویت مبتنی بر ریسک تصمیم می‌گیرد پاسخ کاربر را در ۳ سطح بدهد:
• اگر وضعیت عادی است، کاربر تنها با استفاده از یک عامل مثل رمز عبور می‌تواند به سامانه دسترسی داشته باشد.

• اگر یک یا دو عامل بالا محل اشکال است و کاربر به لحاظ امنیتی دارای وضعیت ریسک متوسط است، می‌بایست از روش‌های احراز هویتی مثل MFA و … استفاده کرد

• اگر کاربر و درخواست‌های او کاملاً مشکوک و غیرمعمول است که دسترسی آن ممنوع اعلام می‌شود.

_____________________________________

منابع:

https://www.idrnd.ai/۵-authentication-methods-that-can-prevent-the-next-breach/

https://blog.u-id.net/authentication/

https://www.idrnd.ai/۵-authentication-methods-that-can-prevent-the-next-breach/

https://www.okta.com/identity-۱۰۱/risk-based-authentication/

https://riskbasedauthentication.org/