روش های احراز هویت

مسئله‌ی تشخیص هویت در دنیای اینترنت و استفاده از ابزار الکترونیکی، مسئله‌ی نسبتا پیچیده‌ای است. سیستم‌های الکترونیکی که با اطلاعات شخصی و هویت کاربران سر و کار دارند نیاز دارند تا به طریقی هویت کاربر را تشخیص و یا به عبارت اهل فن درستی‌یابی کنند. در دنیای امروز امن ترین نوع احراز هویت آنی است که در آن سه عامل: ۱- داده ای که تنها کاربر از آن اطلاع دارد ۲- وسیله یا ابزاری که تنها کاربر به آن دسترسی دارد و ۳- مشخصات فیریکی کاربر، درستی یابی شود. در این مقاله به این سه عامل احراز هویت می پردازیم.

１-  داده ای که تنها کاربر از آن اطلاع دارد.

مثال واقعی و ملموس این نوع از تشخیص هویت، رمز عبور است. هر کاربر برای دسترسی به خدمات یک سایت یا به اطلاعات شخصی خود، باید رشته‌ای از کاراکترها را انتخاب کند که تنها خود از آن اطلاع داشته باشد و به راحتی قابل حدس زدن نباشد. همانطور که می دانید امروزه اکثر سیستم‌ها تنها از طریقی درستی رمز عبور هویت کاربر را تشخیص می دهند که مبتنی بر پیش فرض هایی است که الزاما درست نیستند. از مهم ترین این پیش فرض ها می توان به موارد زیر اشاره کرد:

• اینکه کاربر رمز عبور خود را با کسی به اشتراک نمی گذارد یا آن را در جایی که در معرض دید دیگران است ثبت نمی کند. این پیش فرض بر این اصل استوار است که تنها و تنها خود کاربر است که به این اطلاعات دسترسی دارد و بنابراین هر کسی که ثابت کند از رمزعبور یک حساب اطلاع دارد به عنوان کابر صاحب آن حساب تلقی می شود. این فرض در موارد متعددی اشتباه از آب در آمده است. کاربران برای اینکه رمز عبور خود را فراموش نکنند آن را روی برگه کاغذی می‌نویسند و روی میزشان رها می کنند. و یا آن را توی کیف پولشان و کنار کارت اعتباریشان نگه می دارند. به این ترتیب هر کسی که به رمز عبور فرد دسترسی داشته باشد می تواند به جای او به همه اطلاعات شخصی اش دسترسی داشته باشد و از آن سواستفاده کند.

• پیش فرض اشتباه دیگر این است که کاربر رمزعبوری را انتخاب می کند که به راحتی قابل حدس زدن نباشد. اگر ۹۰ درصد آدمها برای اینکه رمز عبور خود را فراموش نکنند از کلمه پسورد یا ۱۲۳۴ به عنوان رمز عبور استفاده کنند دیگر این ابزار احراز هویت کاربری خودش را از دست می دهد. این فرض بر این اصل استوار است که تعداد حالت انتخاب یک رمز ۷-۸ حرفی از بین مجموع کاراکترهای ممکن، مانند اعداد، حروف، علامت تعجب و غیره، آن قدر بزرگ است که به راحتی نمی توان رمز عبور یک نفر را حدس زد و یا از طریق رایانه هک کرد. اما مطالعات اخیر نشان داده که اکثر کاربران ترجیح می دهند که از رشته های ساده و قابل پیش بینی برای رمز عبور خود استفاده کنند. طبق تحقیقی که اخیرا روی ۶ میلیون رمزعبور انجام شده (۱) ۴۰ درصد کاربران از یکی از ۱۰۰ پسورد رایج برای احراز هویت استفاده می کنند. این نتایج نشان می دهد که هنوز رایج ترین رمز عبور خود کلمه ی password‌ است که توسط تعداد زیادی از کاربران استفاده می شود. برای اطلاعات بیشتر از نتایج این تحقیق به لینکی که در قسمت ارجاعات گذاشته شده حتما سربزنید. علاوه بر آن می توانید به سایت https://howsecureismypassword.net بروید و رمز عبور خود را از نظر امنیتی آزمایش کنید. این سایت به شما می گوید که یک PC و یا همان رایانه ی شخصی برای بدست آوردن و هک کردن رمز عبور شما به چه مقدار زمان احتیاج دارد

• فرض دیگر این است  کاربر از رشته های متفاوتی برای سیستم های مختلف استفاده کند. کاربری که از یک رشته ثابت برای ورود به همه سیستم‌هایش استفاده می کند امنیت همه سرویس ها و اطلاعاتش را به اندازه ضعیف‌ترین سیستمی که در آن عضویت دارد پایین می آورد به این معنی که اگر کسی به هر طریقی به رمزعبور یکی از خدمات الکترونیکی کاربر دسترسی داشته باشد می تواند  در همه سیستم های دیگر نیز به جای او وارد شود و از اطلاعات شخصی او سواستفاده کند.

２-  وسیله یا ابزاری که تنها کاربر به آن دسترسی دارد.

مثال غیر الکترونیکی این روش استفاده از کلید های فیزیکی برای باز کردن قفل درهاست. تشخیص اجازه دسترسی به یک محل در واقع تنها به کسانی داده می شود که کلید در ورودی را همراه خود داشته باشند. مسلما این روش نه امن ترین روش احراز هویت است و نه حتی درمورد سیستم الکترونیکی و اینترنتی قابل اجراست. از مثال های مدرن تر از این نوع احراز هویت می توان به کارت های مبتنی بر RF  و یا فرکانس رادیویی برای اجازه دسترسی به ساختمان ادارات و یا مراکز امنیتی نام برد. نکته مهم در استفاده از این عامل برای تشخیص هویت این است که ابزاری که برای این کار استفاده می شود نباید به راحتی قابل کپی کردن باشد و حتی در آن صورت نیز بهترین نوع استفاده از این روش در ترکیب آن با عامل اول مانند رمز عبور است به این ترتیب که کاربر برای اثبات هویت خود باید هم ابزار مورد نظر را در اختیار داشته باشد و هم از اطلاعات خصوصی که تنها کابر از آن اطلاع داد مطلع باشد.

یکی از موفق ترین موارد ترکیب عامل اول و دوم (رمز عبور و ابزار تشخیص هویت) ابزارهای شرکت EMC به اسم SecureID  است. این ابزارها در هر لحظه عدد تصادفی را نمایش می دهند که در ترکیب با رمزعبور کاربر برای ورود به سیستم استفاده می شود. به این ترتیب که این عدد تصادفی همزمان در سیستم اصلی و روی وسلیه ای که کاربر در اختیار دارد به روز می شود و کاربر برای اینکه هویت خودش را به سیستم ثابت کند باید ترکیب رمز عبور خود و عدد تصادفی را به عنوان رمز عبور وارد کند. به این ترتیب اگر کسی از رمز عبور کاربر اطلاع پیدا کند بدون در اختیار داشتن وسلیه مورد نظر نمی تواند به جای او وارد سیستم شود و همینطور اگر کسی به طریقی به ابزار احراز هویت کاربر دسترسی پیدا کند بدون اطلاع داشتن از رمزعبور نمی تواند کاری از پیش ببرد. برای اطلاعات بیشتر به لینک شماره ۲در بخش ارجاعات مراجعه کنید. این شیوه در بعضی از سرویس های آنلاین مانند جیمیل گوگل نیز استفاده میشود و از آن به عنوان احراز هویت دو مرحله ای یاد میشود.

３-  مشخصات  فیزیکی کاربر

یکی از پیش رفته ترین و مطمئن ترین روش ها، تشخیص هویت افراد از روی مشخصات فیزیکی آنهاست. در واقع این کاری است که در فضای غیر دیجیتال برای اعتماد به یکدیگر استفاده می کنیم. وقتی  دوست یا آشنایی را می بینیم از روی خصوصیات ظاهری اش او را تشخیص می دهیم و به او اعتماد می کنیم. سیستم های الکترونیکی نیز در واقع سعی می کنند از روی خصوصیاتی شبیه  اثر انگشت، رنگ چشم و یا خصوصیات پوست یا مو به اطلاعاتی از کاربر دست پیدا کنند که او را از دیگران متمایز می کند. اگرچه این ابزار نسبت به دو روش قبلی امن تر هستند و اطمینان بیشتری نسبیت به هویت کاربر ایجاد می کنند اما قیمت بالا و نیاز به ابزار تشخیص هویت با این روش آن را نسبت به روشهای دیگر غیرقابل دسترس تر میکند.

در انتها امن ترین سیستم احراز هویت سیستمی است که از هر سه یا حداقل دو تا از سه عامل بالا برای تشخیص هویت کاربر استفاده کند. چون به این ترتیب احتمال دزدی هویت کاهش پیدا می کند و حمله کننده برای جعل هویت کاربر با دشواریهای بیشتری رو به رو می شود. اما نکته بسیار مهم در این میان این است که کاربران نقش بسیار مهمی در کارایی این سیستم های احراز هویت بازی می کنند زیرا امن ترین سیستم ها در برابر کاربرانی که نسبت به امنیت اطلاعات خود بی دقت هستند بسیار ناکارآمد خواهند بود.

(۱)  https://xato.net/passwords/more-top-worst-passwords/#.UozWr-LjVjs

(۲)  http://en.wikipedia.org/wiki/SecurID

نظرات

نظر (به‌وسیله فیس‌بوک)