۶ روش احراز هویت مختلف برای جانشینی گذرواژه‌ها

احراز هویت|ُسپهر‌نت ایرانیان

قبل از سال ۲۰۰۴ بیل گیتس گفت :اطمینان مردم به گذرواژه‌ها(Password) در حال کاهش است و این روش دیگر برای مردم  چالش برانگیز نیست. در حقیقت، گذرواژه‌ها که متداول‌ترین روش برای احراز هویت در دنیا بودند، در چند دهه اخیر در حال منسوخ شدن هستند. با توجه به مشکلات امنیتی بسیاری که در این دوره پیش آمد می‌توان گفت که این روش احراز هویت به اندازه کافی کارآمد نبود.

به منظور حفظ استانداردهای امنیتی که حفاظت از کارکنان و تجهیزات را تضمین می‌کند، شرکت‌ها باید روی روش‌های احراز هویت امن‌تر تمرکز کنند.

بزرگترین مشکلی که گذرواؤه‌ها دارند  که آنها نمیتوانند سطح مناسب امنیت اطلاعات را تضمین کنند. مهم نیست که چقدر عجیب و غریب به نظر می رسد، بسیاری از کارکنان رمزهای عبور حساب کابری خود را روی کاغذهای یادداشت می‌نویسند و آنها را به صفحه نمایش مانیتورشان می‌چسبانند یا آنها را در کشوی میز کارشان  می‌گذارند. کارکنان  رمزهای عبور را از طریق ایمیل و ابزار چت ارسال می کنند. ۲۵ درصد از کارکنان گفتند گاهی گذرواژه‌های حساب کابری خود را، برای انجام امور خاصی در اختیار همکارانشان قرار می‌دهند.

نمونه‌های متعددی وجود دارد که ثابت می‌کند دستیابی به گذرواژه‌ها کار آسانیست. در سال ۲۰۱۷،شرکت  سرویس میزبانی و اشتراک‌گذاری Imgur ، به دلیل پروتکل های امنیتی ضعیف، قربانی حملات سایبری شد. در نتیجه، اطلاعات ۱٫۷ میلیون حساب کاربری منتشر شد.

 محققان به تازگی جزئیات مربوط به آسیب‌های بحرانی  Melddown و Spectre که تقریبا تمام بخش‌های پردازش سیستم‌ها را تحت تاثیر قرار داده بود  و باعث نشر گذرواژه ‌ها در مقیاس وسیع شده بود را اعلام کردند.  علاوه بر این، تحلیلگران امنیتی، بدافزار Zyklon را شناسایی کرده اند که از اپلیکیشن‌های ماکروسافت برای استخراج گذرواژه‌ها استفاده می‌کند.

یکی دیگر از مشکلات با گذرواژه‌ها این است که کاربران دوست ندارند شمار زیادی از کاراکترها، عددها و علامت‌ها را به خاطر بسپارند. سرویس های مختلف وب به طور معمول در این زمینه الزامات مختلفی دارند. بنابراین، کاربران همیشه از یک گذرواژه  استفاده می‌کند یا آن را به یک رمز ساده تغییر می‌دهند. انجام  این کارها ریسک افشای گذرواژه را افزایش می‌دهد.

سازمان های بزرگ همچنان از این گذرواژه‌ها استفاده می کنند. با این حال، به تازگی چند متد برای احراز هویت جایگزین پیشنهاد شده است که ممکن است در آینده جای‌گزین گذرواژه‌ها شود.در این مقاله چند روش احراز هویت را بررسی خواهیم کرد.

توکن‌های امنیتی(Security Tokens)

توکن‌های نرم‌افزاری و سخت‌افزاری سطح مناسبی از امنیت را تضمین می‌کنند.آن‌ها یک عنصر اضافی را در حین احراز هویت در نظر می‌گیرند.توکن‌ها به اینترنت وصل نمی‌شوند و به جای آن،یک گذرواژه یک بار مصرف را بر اساس “seed record”  با سرور مرکزی همگام می‌کنند. بسیاری از توکن‌های مدرن حتی نیاز به کاربر برای ورود   کلمه عبور به صورت دستی ندارند زیرا از فناوری NFC استفاده می‌کنند.

به رغم مزایای آشکار این روش، احراز هویت مبتنی بر توکن، یک پروسه خسته کننده برای تجارتهاست. اول از همه، قیمت آن بسیار گران است، با توجه به اینکه هر کارمند نیاز به یک توکن مخصوص به خود را دارد. علاوه بر این،یکی از الزامات اجباری برای استفاده از این روش،احراز هویت در سیستم سازمان است.توکن، شرکتی که مقر اصلی آن در نیویورک است،تلاش می‌کند احراز هویت را این روش پیاده‌سازی کند.

بیومتریک(Biometrics)
بیومتریک شامل استفاده از اثز انگشت، چهره نگاری و مواردی از این قبیل به منظور احراز هویت است.این متد زمانی کاملاً فراگیر شد که Apple از قابلیت‌‌های Touch IDو Face ID در محصولات خود استفاده کرد.یکی از مزیت‌های اساسی که این روش نسبت به متدهای دیگر احراز هویت دارد این است که حضور کاربر در هنگام احراز هویت ضروریست.

بیومتریک یک تجربه مناسب برای کاربران را ارئه کرد. در این متد، احراز هویت را بسیار راحت و سریع انجام می‌شود. بسیاری از غول های تکنولوژِی در حال حاضرراهکارهای احراز هویت مبتنی بر بیومتریک را ارائه می دهند. ویندوز مایکروسافت برای رایانه های رومیزی قابلیت احراز هویت با اثر انگشت و تشخیص چهره را فراهم کرده است. این شرکت قصد دارد ویندوز Hello را با قابلیت‌های متعددی در آینده ارائه دهد.

با این وجود بیومتریک معایبی نیز دارد. بسیاری از سیستم های بیومتریک در حال حاضر بسیار گران هستند و همین‌طور در تشخیص چهره دقیق مشکل دارند..یک مطالعه که توسط محققان ژاپنی به تازگی انجام شده نان می‌دهد که در برخی موارد امکان تایید عکس با وضوع بالا به جای چهره وجود دارد.

یکی از نقاط قوت این روش این است که زیرساخت لازم برای پیاده‌سازی بیومتریک در سال‌های اخیر غیرمتمرکز شده است یعنی دیتابیس مرکزی وجود ندارد تا هکرها  بتوانند اطلاعات بیومتریک را از آن سرقت کنند.در نتیجه، درحین عملیات احراز هویت، اساساً مبادله کلید خصوصی و عمومی متوقف می‌شود، بنابراین هکری که این کلید را در اختیار دارد  می‌تواند به اطلاعات شناسایی قربانی دسترسی پیدا کند اما امکان دستیابی به داده‌های بیومتریک را به هیچ وجه ندارد.

با توجه به همه این عوامل خطر، جای تعجب نیست که موسسات استاندارد و فناوری استفاده از بیومتریک را به عنوان تنها روش تأیید اعتبار در یک شرکت توصیه نمی کند.

احراز هویت با تلفن همراه(phone Authentication)

این روش ترکیبی از چند متد احراز هویت است و خیلی زود به اولین انتخاب شرکت‌ها برای احراز هویت تبدیل شد. در اینجا به بررسی سه تکنولوژی که بر این اساس پیاده‌سازی می‌شود، می‌پردازیم:

اپلیکیشن‌هایی که توانایی ارسال پیام را دارند(Applications that support push notifications)

هنگامی که کاربر از سرور پرس‌و‌جو می‌کند، فورا پیامی دریافت می کنند که شامل یک سوال تأیید هویت است یا به اطلاع رسانی ورود موفق است. مزیت اصلی این روش کاربر پسند بودن آن است، زیرا نیازی نیست که از گذرواژه‌های یک بار مصرف استفاده کند یا چند دستگاه در یک زمان در دسترس داشته باشد.این روش نیاز به واکنش کاربر بعد از دریافت پیام  دارد.

توکن‌های تلفن همراه(Mobile Tokens)

این روش به تغییر سخت‌افزاری توکن‌ها بلافاصله بعد از پیاده‌سازی مربوط می‌شود. در این متد، به جای وابتگی به دستگاه اضافی، تلفن همراه یک گذرواژه یک بار مصرف تولید می‌کند.این روش محاسبه شامل پارامترهایی مانند ساعت گوشی هوشمند و الگوریتم پیاده‌سازی شده در یک برنامه خاص در حال اجرا بر روی دستگاه است.

با این حال، این تکنیک نیز معایبی دارد. واقعیت این است که  تولید گذرواژه‌های یک بار مصرف در دستگاهی که به اینترنت متصل است، آن‌ها را به طور بالقوه در خطر حملات سایبری قرار می‌دهد.

احراز هویت با پیامک(SMS Authentication)

در این متد، یک گذرواژه یک بار مصرف برای کاربر پیامک می‌شود. این طرح در اصل در کنار پارامترهای دیگر قابل استفاده است.اما از آن‌جایی که گذرواژه را می‌توان دوباره ارسال کرد، امنیت کاهش پیدا می‌کند. با این حال بسیاری از اپلیکیشن‌های کاربردی، از این روش استفاده می‌کنند.

مزیت این روش این است که کاربر نیاز به نصب اپلیکیشن خاصی روی تلفن همراه خود ندارد.یکی از جدی ترین اشکالات این روش قابلیت اطمینان پایین آن است، زیرا رمزهای عبور ارسال شده از طریق پیامک ممکن است به روش‌های مختلف به دستگاه‌های دیگری منتقل شود، یا هکرها با به کارگیری بدافزارها،به گذرواژه دسترسی پیدا کنند.

نتیجه‌گیری

در حقیقت امکان منسوخ شدن استفاده از گذرواژه‌ها برای احراز هویت زیاد است. غول‌های تکنولوژِی  اخیراً به دنبال روش جاگزین مناسبی برای احراز هویت هستند  با توجه به مزایا و معایب هر تکنیک ، شرکت ها و کاربران می توانند تصمیمات آگاهانه رادر این حوزه اتخاذ کنند..شاید روزی متد بدون نقصی برای احراز هویت ارائه شود اما در حال حاضر انتخاب‌های ما محدود به روش‌های فوق است.

منبع:https://datafloq.com