امنیت در «احراز هویت دومرحله ای» واقعیت یا افسانه

امنیت در فناوری اطلاعات, همواره در اولویت قرار دارد با افزایش حملات مجازی که به صورت ۲۴ ساعته یک سرویس و شبکه را در معرض خطر قرار می دهند, متخصصان امنیت فناوری اطلاعات دائم به دنبال کشف راه حلی هستند تا از داده های خود مراقب کنند این در حالی است که فناوری اطلاعات در دهه های گذشته بیشتر به رمز عبور وابسته بوده و سازمان ها اغلب به دنبال لایه های عمیق تر امنیتی بوده اند تا مشتریان و داده های شغلی خود را از خطر حفاظت کنند

امنیت در فناوری اطلاعات، همواره در اولویت قرار دارد. با افزایش حملات مجازی که به صورت ۲۴ ساعته یک سرویس و شبکه را در معرض خطر قرار می‌دهند، متخصصان امنیت فناوری اطلاعات دائم به‌دنبال کشف راه‌حلی هستند تا از داده‌های خود مراقب کنند. این در حالی است که فناوری اطلاعات در دهه‌های گذشته بیشتر به رمز عبور وابسته بوده و سازمان‌ها اغلب به دنبال لایه‌های عمیق‌تر امنیتی بوده‌اند تا مشتریان و داده‌های شغلی خود را از خطر حفاظت کنند.

احراز هویت دومرحله‌ای به‌این صورت شکل می‌گیرد که از فرد خواسته می‌شود برای اثبات هویت خود، گواه بیاورد و او از مولفه دیگری برای اثبات هویت خود استفاده کند.

این روش برای کاهش احتمال ورود اطلاعات غلط یا ورود فرد غیرمجاز به سیستم طراحی شـده است. هر چه تعداد گواه‌ها یا همان مرحله‌های احراز هویت بیشتر باشد، احتمال تطابق مدعی هویت با فرد اصلی بیشتر خواهد شد.

به‌عنوان مثال، برای دسترسی به سیستم‌های دولت فدرال آمریکا، مدعی باید چند معیار را به یاد داشته باشد:‌

ـ چیزی که کاربر می‌داند (رمز عبور، PIN، الگو و …)

ـ چیزی که کاربر دارد (کارت ATM، کارت هوشمند و …)

ـ بخشی از بدن کاربر ( اثر انگشت، رتینای چشم و …)

احراز هویت دومرحله‌ای مقوله جدیدی نیست و در طول تاریخ بسیار مورد استفاده قرار گرفته است. مثلا وقتی فردی به خودپرداز بانک مراجعه می‌کند و کارت خود را وارد دستگاه می‌کند، باید شماره رمز خود را به‌عنوان فاکتور دوم نیز وارد کند و بدون تائید هر دوی اینها، احراز هویت و در نتیجه عملیات انجام نمی‌شود.

سیستم‌های احراز هویت امروزی، از Token (توکن) برای انجام عملیات استفاده می‌کنند. توکن می‌تواند به‌صورت دستگاهی قطع (Disconnected Token) یا به‌صورت متصل باشد. در حالت دوم، توکن می‌تواند شکل و ساختارهای مختلفی داشته باشد و در بسترهای مختلفی پیاده‌سازی شود که معمول‌ترین آنها، پیامک و نرم‌افزارهای تلفن همراه است.

احراز هویت دومرحله‌ای می‌تواند ترکیبی از رمزهای عبور و پاسخ‌های پنهان به یک سوال یا سریالی از اعداد و حروف در فرم، یا یک پیام کوتاه باشد. با این‌که بسیاری از سیستم‌های احراز هویت دو مرحله‌ای از وقوع تقلب جلوگیری می‌کنند، اما دیوار محکمی مقابل تمام تهدیدها نیستند.

این سیستم احراز هویت در شاخه‌های مختلفی از صنعت همچون فعالیت‌های سازمانی (دورکاری، بانکداری آنلاین، تجارت الکترونیک و بیومتریک به‌کار گرفته شده‌اند.

انواع مختلفی از احراز هویت‌های دو مرحله‌ای (که به اختصار ۲FA نامیده می‌شود) امروزه در حال استفاده است. وب‌سایت‌های معروف و مشهوری مانند فیس‌بوک، گوگل، مایکروسافت و اپل این مدل احراز هویت را به‌کار گرفته‌اند. با وجود این، شبکه و اطلاعات مشتریان هنوز در معرض خطر خواهند بود.

پیش از انتخاب یک سیستم احراز هویت دو مرحله‌ای، بهتر است در میان گزینه‌های موجود تحقیق کرد و درکی واضح از سطح امنیت آن داشت.

افسانه شماره ۱

احراز هویت دو مرحله‌ای امکان هک شدن اطلاعات کاربران سایت را به‌طور کل نابود می‌کند.

واقعیت موجود

برای پیاده‌سازی احراز هویت دو مرحله‌ای، وب‌سایت‌ها باید از توکن‌ یا کلیدهای رمزگذاری شده خاصی در دستگاه‌های کاربران استفاده کنند. استفاده از احراز هویت دومرحله‌ای به همکاری کاربر نیز نیاز دارد و پیاده‌سازی آن را کند و دشوارتر می‌کند.

معمولا وب‌سایت‌ها احراز هویت دومرحله‌ای را به‌عنوان یک گزینه غیرضروری در کنار گزینه دیگر قرار می‌دهند و بیشتر کاربران هم از کنار آن بسادگی می‌گذرند.

افسانه شماره ۲

مجرمان مجازی هنوز نتوانسته‌اند وب‌سایتی را که از احراز هویت دومرحله‌ای استفاده می‌کند، هک کنند.

واقعیت موجود

هیچ چیز در وب امن نیست. در حالی که بیشتر پیاده‌سازی‌های احراز هویت دو مرحله‌ای باعث بهبود امنیت می‌شود، اما بسیاری از آنها مشکلات عمده‌ای در حوزه امنیت دارند. با استفاده از احراز هویت دومرحله‌ای مبتنی بر توکن، مشخص نمی‌شود سطح امنیت بهتر می‌شود یا خیر بخصوص در مواردی که احراز هویت را شرکتی جانبی به عهده دارد و تنها زمانی می‌توان حفره امنیتی آن را متوجه شد که یک حمله امنیتی رخ دهد و اطلاعاتی از دست برود.

به‌عنوان مثال در مارس ۲۰۱۱ موسسه امنیتی RSA SecurID که احراز هویت دومرحله‌ای را از طریق پیامک انجام می‌داد، با چنین مشکلی مواجه شد.

مشکلات امنیتی باتوجه به اپراتور مخابراتی یا به‌روزرسانی‌های نرم‌افزاری بیشتر می‌شود. همچنین امکان نصب بدافزارها روی تلفن همراه نیز وجود دارد و عامل دیگری به‌عنوان سیستم عامل مشترکان نیز در جهت بالابردن میزان خطر به عملیات احراز هویت دو مرحله‌ای اضافه می‌شود.

افسانه شماره ۳

احراز هویت دو مرحله‌ای به دو دستگاه مختلف مثل لپ‌تاپ یا تلفن همراه نیاز دارد.

واقعیت موجود

دستگاه‌های موبایل بسادگی می‌توانند روی یک دستگاه، اطلاعات کلیدی و معیارهای مهم را در خود ذخیره کنند تا ورود از طریق همان دستگاه ممکن شود. احراز هویت دو مرحله‌ای می‌تواند در دستگاه‌هایی پیاده شود که قابلیت ذخیره اطلاعات کلیدی را دارند. هر چند این اقدام باید به‌گونه‌ای انجام شود که کاربر بتواند مالکیت خود را بر آن دستگاه ثابت کند.

یک نرم‌افزار می‌تواند بسادگی این اطلاعات را از کاربر دریافت و با استفاده از تکنیک‌های رمزگذاری، به کلید رمزگذاری شده دسترسی پیدا کند و بدون نیاز به ترک کاربر، تمام اطلاعات لازم برای نفوذ به اطلاعات کاربر را در یک محل داشته باشد.

افسانه شماره ۴

احراز هویت دومرحله‌ای از زمان معرفی خود تاکنون تغییر نکرده است.

واقعیت موجود

سیستم‌های احراز هویت دومرحله‌ای طی چند سال اخیر با تغییرات بسیاری مواجه شده‌اند. فناوری اولیه احراز هویت دومرحله‌ای از توکن‌های سخت‌افزاری استفاده می‌کرد که رمزهای عبور یک بار مصرف تولید می‌کردند. اخیرا سیستم‌های رمزگذاری دو مرحله‌ای از پیامک یا دیگر واسطه‌های ارتباطی برای انجام کارهای خود استفاده می‌کنند و به‌روزترین آنها، از نرم‌افزار موبایلی بهره می‌برند که می‌تواند کلیدهای معتبر را به کاربر نشان دهد.

افسانه شماره ۵

سیستم‌های احراز هویت دومرحله‌ای در واکنش به مشکلات امنیتی یا پاسخ به رگولاتوری ایجاد شده‌اند و مزاحم تجربه کاربر از سیستم می‌شوند.

واقعیت موجود

برخی شرکت‌ها احراز هویت دو مرحله‌ای را به این دلیل ارائه می‌کنند که مجبورند. راه‌حل‌هایی که این شرکت‌ها از آنها استفاده می‌کنند، همچون تشخیص مرورگر به‌زحمت می‌تواند کاربرد احراز هویت دو مرحله‌ای آنها را تامین کند.

شاید دلیل اصلی این رویداد این باشد که توسعه‌دهندگان و متخصصان فناوری اطلاعات هنوز نمی‌دانند احراز هویت دومرحله‌ای به چه شیوه‌ای می‌تواند جلوی تقلب را بگیرد و می‌خواهند جلوی به زحمت افتادن بیشتر کاربران را بگیرند.

یکی از روش‌هایی که می‌توان از طریق آن، تجربه کاربر را دستخوش تغییر عمده نکرد، پیاده‌سازی سازوکار احراز هویت چندسطحی است که به کاربر اجازه می‌دهد در انجام عملیات با ریسک پایین‌تر، از احراز هویت تک مرحله‌ای استفاده کند و به این ترتیب با کاهش ریسک می‌توان از کند شدن روند استفاده کاربر از نرم‌افزار کاست.

محمدرضا قربانی