Authentication

تعریف کوتاه

این واژه به معنای احراز هویت است؛ در بستر سیستم‌های کامپیوتری، احراز هویت فرایندی است که هویت کاربر را تضمین و تایید می‌کند. احراز هویت یکی از پنج رکن تضمین اطلاعات (IA) information assurance است. چهار مورد دیگر صداقت، در دسترس بودن، محرمانگی و عدم انکارند.

آن‌چه در پادکست می‌شنوید

احراز هویت، فرآیند شناسایی هویت کاربر، اطمینان از دسترسی آن‌ها به سیستم و یا پرونده‌ها.

این کار را می‌توان با گذرواژه، اسکن شبکیه و یا اسکن اثرانگشت انجام داد. گاهی حتی ترکیبی از موارد فوق برای امنیت بیش‌تر توصیه می‌شود.

توضیح بیشتر

احراز هویت اصطلاحی است که به فرآیند اثبات واقعی‌بودن یک واقعیت یا یک سند اشاره دارد. در علوم کامپیوتر، این اصطلاح، معمولاً با اثبات هویت کاربر همراه است. معمولاً یک کاربر با ارائه اعتبارنامه خود، هویت خود را اثبات می‌کند؛ یعنی «یک بخش توافق‌شده از اطلاعاتِ به اشتراک گذاشته شده بین کاربر و سیستم».

فرآیند Authentication یا احراز هویت

احراز هویت زمانی آغاز می شود که کاربر تلاش می‌کند به اطلاعات دسترسی داشته باشد. اول، کاربر باید حقوق دسترسی و هویت خود را اثبات کند. هنگام ورود به کامپیوتر، کاربران معمولا «نام کاربری» و «رمز عبور» را برای اهداف احراز هویت وارد می‌کنند. این ترکیب ورود، که باید به هر کاربر اختصاص داده شود دسترسی را تایید می‌کند. بااین‌حال، این نوع احراز هویت می تواند توسط هکرها دور زده شود.

شکل بهتر احراز هویت، بیومتریک، به حضور کاربر و آرایش بیولوژیکی (یعنی شبکیه یا اثر انگشت) بستگی دارد.این فن‌آوری نفوذ هکرها به سیستم‌های کامپیوتری را دشوارتر می‌کند.

روش احراز هویت زیرساخت کلید عمومی (PKI) Public Key Infrastructure از گواهی‌های دیجیتال برای اثبات هویت کاربر استفاده می‌کند. ابزارهای احراز هویت دیگری نیز مانند کارت‌های کلید و توکن‌های USB وجود دارند.

یکی از بزرگ‌ترین تهدیدات احراز هویت با ایمیل رخ می‌دهد، جایی که تایید اصالت اغلب دشوار است. به عنوان مثال، ایمیل‌های ناامن اغلب قانونی به نظر می‌رسند.

احراز هویت به‌کمک Password و Username

ترکیب Username و Password محبوب‌ترین مکانیزم احراز هویت است و به‌عنوان «احراز هویت رمز عبور» نیز شناخته می‌شود.

یک مثال شناخته شده، دسترسی به حساب کاربری در یک وب‌سایت یا یک ارائه‌دهندۀ خدمات مانند فیس‌بوک یا Gmail است.

قبل از این‌که بتوانید به حساب کاربری خود دسترسی داشته باشید باید ثابت کنید که دارای اعتبار ورود صحیح هستید. سرویس‌ها معمولاً صفحه‌ای را نشان می‌دهند که از شما نام کاربری به همراه رمز عبور می‌خواهد. سپس، آن‌ها داده‌های واردشده توسط کاربر را با مقادیری که قبلاً در یک مخزن داخلی ذخیره شده بود مقایسه می‌کنند.

اگر ترکیب معتبری از این اعتبارنامه ها را وارد کنید ارائه‌دهندۀ خدمات به شما اجازه ادامه کار و دسترسی به حسابتان را می‌دهد.

درحالی‌که نام کاربری ممکن است عمومی باشد، مثلا یک آدرس ایمیل، رمز عبور باید محرمانه باشد. به دلیل محرمانه‌بودن آن، رمزهای عبور باید در برابر سرقت توسط مجرمان سایبری محافظت شوند.

در واقع اگرچه نام‌های کاربری و رمزهای عبور به‌طور گسترده‌ای در اینترنت مورد استفاده قرار می‌گیرند اما به‌خاطر مکانیزم امنیتی ضعیفی که هکرها به‌طور منظم از آن بهره‌برداری می‌کنند بدنام هستند.

اولین راه، برای محافظت از آن‌ها، تقویت قدرت رمز عبور است؛ یعنی سطحی از پیچیدگی به‌طوری که مهاجمان مخرب نتوانند به راحتی آن‌ها را حدس بزنند. به‌عنوان یک قاعدۀ کلی، ترکیب پیچیده‌ای از حروف کوچک و بزرگ، اعداد و کاراکترهای خاص، منجر به یک رمز عبور قوی می‌شود. در غیر این‌صورت، ترکیب ضعیف کاراکترها، منجر به یک رمز عبور ضعیف می‌شود.

کاربران نهایی به‌شدت تمایل به استفاده از رمزهای عبور ضعیف دارند. در گزارش سالانه Splash Data، یک شرکت امنیت اینترنتی، ۲۵ رمز عبور رایج شناسایی شد. این لیست که براساس میلیون‌ها رمز عبور افشاشده توسط رخنه‌های اطلاعاتی تهیه شده نشان می‌دهد که میلیون‌ها کاربر برای احراز هویت به رمزهای عبوری مانند “۱۲۳۴۵۶” و “password” متکی هستند.

به خاطر سپردن رمزهای عبور ضعیف، معمولاً آسان تر است. به علاوه، آن‌ها اغلب از رمز عبور یکسان با وب‌سایت‌ها یا سرویس‌های مختلف استفاده می‌کنند.

ترکیب این شرایط ممکن است به مسائل امنیتی منجر شود؛ زیرا حدس‌زدن رمزهای عبور ضعیف آسان است و رمز عبور فاش‌شده می‌تواند برای دسترسی به چندین سرویس یک کاربر استفاده شود.

از سوی دیگر، استفاده از رمزهای عبور قوی در احراز هویت، می‌توانند در برابر حملات brute force مقاومت کنند اما در برابر حملاتی مانند فیشینگ و نرم‌افزارهایkeylogger یا پرکردن رمز عبور بی‌فایده‌اند. این نوع حملات، سعی نمی‌کنند رمز عبور کاربر را حدس بزنند بلکه آن را مستقیماً از کاربر می‌‍دزدند.

رمزهای عبور، نیز زمانی که به‌صورت ایمن ذخیره نمی‌شوند مشکل‌ساز می‌شوند. به‌عنوان‌مثال، در یک گزارش خبری مربوط به سال 2021 ، اعلام شد که فیسبوک، میلیون‌ها رمز عبور اینستاگرام را به‌صورت متن ساده ذخیره کرده‌است. گذرواژه‌ها همیشه باید بااستفاده از بهترین روش‌ها مانند Hashing ذخیره شوند.

عوامل احراز هویت

دسته خاصی از اعتبارنامه‌ها، مانند نام کاربری و رمز عبور، معمولاً یک فاکتور احراز هویت گفته می‌شود. حتی اگر احراز هویت با رمز عبور، شناخته‌شده‌ترین نوع احراز هویت باشد، عوامل احراز هویت دیگری نیز وجود دارند.

سه نوع فاکتور احراز هویت وجود دارد که معمولاً به شرح زیر طبقه‌بندی می‌شوند:

چیزی که می‌دانید یک رمز عبور است.

چیزی که دارید یک گوشی هوشمند است.

چیزی که شما هستید، احراز هویت بیومتریک است.

چیزی که می دانید

این فاکتور احراز هویت از کاربر می‌خواهد که نشان‌دهد چیزی می‌داند. به‌طورمعمول، این یک رمز عبور یا یک شماره شناسایی شخصی (PIN) مشترک بین کاربر و سیستم مدیریت دسترسی هویت (IAM) Identity Access Management خواهد بود.

برای استفاده از این عامل، سیستم از کاربر می‌خواهد که آن اطلاعات به‌ اشتراک‌ گذاشته‌شده را فراهم کند.

چیزی که دارید

در این حالت، کاربر باید ثابت کند که چیزی مانند گوشی هوشمند، کارت هوشمند، صندوق پستی دارد. این سیستم یک چالش برای کاربر ایجاد می‌کند تا مطمئن شود که فاکتور احراز هویت مورد نیاز را دارد.

به عنوان مثال می‌تواند یک رمز یک‌بار مصرف مبتنی بر زمان (TOTP) Time-based One-Time-Password را در قالب یک پیام متنی به گوشی هوشمند کاربر ارسال کند. یا می‌تواند یک کد متنی را از طریق ایمیل ارسال نماید.

چیزی که هستید

این عامل احراز هویت براساس بخشی از اطلاعات است که در کاربر وجود دارد و برای آن کاربر ذاتی است (عامل عدم انسجام). به‌طورمعمول، این اطلاعات یک ویژگی بیومتریک مانند اثر انگشت یا صدا است. هم‌چنین، تشخیص چهره نیز در لیست فاکتور احراز هویت قرار می‌گیرد.

از احراز هویت تک‌عاملی تا چندعاملی

از احراز هویت تک عاملی تا چند عاملی

فرآیند احراز هویت براساس تنها «یک عامل»، احراز هویت تک‌عاملی نامیده می‌شود.

این مورد، ستفاده ساده از نام کاربری و رمز عبور برای احراز هویت کاربر است؛ اما در مورد هر عامل احراز هویت دیگری صدق می‌کند. همان‌طور که در بالا گفته شد، احراز هویت رمز عبور، ممکن است یک مکانیزم احراز هویت ضعیف باشد. تحقیقات نشان داده است که حدود ۷۶ درصد از شرکت‌ها حمله فیشینگ را تجربه کرده‌اند، در حالی که ۸۱ درصد از رخنه‌های اطلاعاتی، مبتنی بر رمزهای عبور سرقتی یا ضعیف هستند.

شما می‌توانید از فاکتورهای احراز هویت اضافی برای افزایش امنیت فرآیند احراز هویت استفاده کنید. به‌عنوان‌مثال، در حساب کاربری گوگل خود می‌توانید پس از احراز هویت معمول براساس نام کاربری و رمز عبور، ارسال اعلان به دستگاه موبایل خود را فعال کنید. در این حالت، شما از یک احراز هویت دو عاملی (2 FA) Two-factor authentication استفاده می‌کنید، یعنی یک مکانیزم احراز هویت براساس دو دسته اعتبار: «چیزی که می‌دانید» و «چیزی که دارید.»

با اضافه کردن این فاکتور دوم، حساب کاربری شما امن‌تر می‌شود. در واقع حتی اگر مهاجم (هکر)، رمز عبور شما را بدزدد، نمی‌تواند احراز هویت کند؛ زیرا فاکتور احراز هویت دوم را از دست داده است.

شما می‌توانید چندین فاکتور احراز هویت را با هم ترکیب کنید و امنیت هویت خود را افزایش دهید. در این حالت، شما از احراز هویت چند عاملی (MFA) استفاده می‌کنید. البته 2 FA تنها شکلی از MFA: Multiple-factor authentication است.

احراز هویت بدون گذرواژه

همان‌طور که از نامش پیداست، احراز هویت «بدون رمز عبور» یک مکانیزم احراز هویت است که از رمز عبور استفاده نمی کند.انگیزه اصلی برای این نوع احراز هویت، کاهش خستگی رمز عبور است، یعنی تلاش لازم برای به خاطر سپردن و حفظ یک رمز عبور قوی توسط کاربر.

حذف نیاز به به خاطر سپردن رمزهای عبور نیز به بی فایده شدن حملات فیشینگ کمک می کند.

شما می توانید احراز هویت بدون رمز عبور را با هر فاکتور احراز هویتی براساس آنچه دارید و آنچه هستید، انجام دهید.برای مثال می توانید با ارسال کد از طریق ایمیل یا از طریق تشخیص چهره به کاربر اجازه دسترسی به یک سرویس یا اپلیکیشن را بدهید.