بررسیمفاهیم و مبانی امنیت سایبری (امنیت دیجیتال)

احراز هویت بدون رمز عبور

بدون وارد کردن رمز عبور یا پاسخ به سؤالات امنیتی، دسترسی پیدا کنید

احراز هویت بدون گذرواژه چیست؟

احراز هویت بدون رمز عبور یک روش احراز هویت است که به کاربر اجازه می‌دهد بدون وارد کردن رمز عبور یا پاسخ به سؤالات امنیتی به یک برنامه کاربردی یا سیستم فناوری اطلاعات دسترسی پیدا کند. در عوض، کاربر انواع دیگری از شواهد و مدارک مانند اثر انگشت، نشان مجاورت (Proximity Badge) یا کد توکن سخت‌افزاری (Hardware Token Code) را ارائه می‌کند. احراز هویت بدون گذرواژه اغلب همراه با احراز هویت چند مرحله‌ای (MFA) و راه‌حل‌های تک وروده (Single Sign-On) برای بهبود تجربه کاربر، تقویت امنیت و کاهش هزینه‌ها و پیچیدگی عملیات فناوری اطلاعات استفاده می‌شود.

مشکل رمز عبور

کاربران و کارمندان دیجیتال امروزی برای انجام کارهای خود به برنامه‌های کاربردی متنوعی متکی هستند. کاربران مجبور به حفظ و ردیابی مجموعه‌ای گیج‌کننده از رمزهای عبوری هستند که باید چند وقت یکبار تغییر یابند. بسیاری از کاربران به دلیل تعدد گذرواژه‌ها، از میانبرهای خطرناکی مانند استفاده از رمز عبور یکسان برای همه برنامه‌ها، استفاده از رمزهای عبور ضعیف، تکرار رمزهای عبور یا یادداشت رمزهای عبور روی برگه‌های یادداشت چسبان استفاده می‌کنند. بازیگران بد یا همان هکرها می‌توانند از شیوه‌های ضعیف مدیریت رمز عبور برای انجام حملات سایبری و سرقت داده‌های محرمانه استفاده کنند.

روش‌های ساده احراز هویت که فقط به ترکیب نام کاربری و رمز عبور نیاز دارند، ذاتا آسیب پذیر هستند. مهاجمان می‌توانند اطلاعات محرمانه را حدس بزنند یا سرقت کنند و با استفاده از تکنیک‌های مختلف به اطلاعات حساس اشخاص یا شرکت‌ها و سیستم‌های فناوری اطلاعات در یک سازمان دسترسی پیدا کنند، از جمله این تکنیک‌ها می‌تان به موارد زیر اشاره کرد:

  • روش‌های Brute Force – استفاده از برنامه‌هایی برای تولید ترکیبات تصادفیِ نام کاربری و رمز عبور یا سوء استفاده از رمزهای عبور ضعیف رایج مانند ۱۲۳۴۵۶
  • پر کردن اطلاعات محرمانه – استفاده از اطلاعات کاربری سرقت شده یا لو رفته از یک حساب برای دسترسی به حساب‌های دیگر (افراد اغلب از یک ترکیب یکسانِ نام کاربری و گذرواژه برای بسیاری از حساب‌ها استفاده می‌کنند).
  • فیشینگ – استفاده از ایمیل‌های جعلی یا پیام‌های متنی برای فریب قربانی برای دریافت اطلاعات محرمانه آنها.
  • Keylogging – در این روش، هکر با نصب بدافزار (Malware) روی کامپیوتر یا موبایلِ شخص قربانی، ضرباتی که کاربر روی صفحه کلید یا کیبورد سخت‌افزاری یا نرم‌افزاری وارد می‌کند را ثبت و حروف، اعداد یا سایر علائم تایپ شده توسط کاربر را برای خود ارسال می‌نماید.
  • حملات Man-in-the-Middle – رهگیری جریان‌های ارتباطی (برای مثال از طریق WiFi عمومی) و انتشار اطلاعات محرمانه.

احراز هویت بدون رمز عبور ریسک را کاهش می‌دهد و رضایت کاربر را بهبود می‌بخشد

احراز هویت بدون گذرواژه با حذف شیوه‌های مخاطره آمیز مدیریت رمز عبور و کاهش بردارهای حمله، امنیت را تقویت می‌نماید (در امنیت سایبری، بردار حمله مسیری است که یک هکر برای سوء استفاده از آسیب‌پذیری‌های امنیتی طی می‌کند). همچنین با حذف رمز عبور، تجربیات کاربر بهبود می‌یابد. با احراز هویت بدون رمز عبور، نیاز نیست هیچ رمز عبور یا پاسخ سؤالات امنیتی را برای به خاطر سپرد. کاربران می‌توانند با استفاده از روش‌های دیگر هویت خود را احراز نمایند:

  • نشان‌های مجاورت، نشانه‌های فیزیکی یا دستگاه‌های USB (کلیدهای سازگار با FIDO2).
  • توکن‌ها یا گواهی‌های نرم‌افزاری.
  • اثر انگشت، صدا یا تشخیص چهره، یا اسکن شبکیه چشم.
  • یک اپلیکیشن تلفن همراه.

احراز هویت بدون گذرواژه معمولاً همراه با راه‌حل‌های تک وروده یا Single Sign-On اجرا می‌شود، بنابراین کاربر می‌تواند از همان نشان مجاورت، کد امنیتی یا برنامه تلفن همراه برای دسترسی به همه برنامه‌ها و خدمات خود استفاده کند. احراز هویت بدون رمز عبور نیز اغلب به عنوان بخشی از راه حل احراز هویت چند عاملی مورد استفاده قرار می‌گیرد، جایی که کاربران مجبور می‌شوند چندین شکل و نوع مختلف از شواهد یا مدارک را برای دسترسی به برنامه‌ها یا حتی سیستم‌های سازمانی ارائه دهند. به عنوان مثال، برای دسترسی به یک برنامه تلفن همراه، ممکن است لازم باشد که کاربر روی حسگر اثر انگشت ضربه بزند و یک کد پیامکیِ موقت یا یکبار مصرف را که به تلفنش ارسال شده است وارد کند.

آخرین و به روز ترین راه حل‌های احراز هویت چند مرحله‌ای یا MFA، از روش‌های احراز هویت تطبیقی پشتیبانی می‌کنند. در این روش‌ها با استفاده از اطلاعات زمینه‌ای (موقعیت مکانی، زمان، آدرس IP، نوع دستگاه و غیره) و قوانینِ از پیش تدوین شده برای تعیین اینکه کدام فاکتورهای احراز هویت برای یک کاربر خاص در یک موقعیت خاص اعمال شود، استفاده می‌گردد. احراز هویت چند مرحله‌ایِ تطبیقی، تعادل بین ​​راحتی ایتفاده و امنیت را برقرار می‌کند. برای مثال، ممکن است کارمندی که از یک رایانه خانگی قابل اعتماد به یک برنامه سازمانی دسترسی پیدا می‌کند، تنها یک شکل از احراز هویت را ارائه دهد. اما برای دسترسی به برنامه از یک کشور خارجی از طریق اتصال وای فای غیرقابل اعتماد، ممکن است کاربر مجبور باشد یک کد پیامکی نیز وارد کند.

مزایای احراز هویت بدون رمز عبور

احراز هویت بدون گذرواژه، مزایای کاربردی و تجاری مختلفی را ارائه می‌کند. این به سازمان‌ها کمک می‌کند:

  • بهبود تجربیات کاربر – با حذف رمز عبور و اطلاعات محرمانه و ارائه دسترسی یکپارچه به همه برنامه‌ها و خدمات.
  • تقویت امنیت – با حذف تکنیک‌های مخاطره آمیز مدیریت رمز عبور و کاهش سرقت اطلاعات محرمانه و جعل هویت (فیشینگ).
  • آسان سازی و تسهیل عملیات IT – با حذف نیاز به ایجاد، به خاطر سپاری، تغییر، بازنشانی و مدیریت رمزهای عبور.

OwnID چیست؟

رولی الیزروف (Rooly Eliezerov) یک کارآفرین در فضای هویت دیجیتال است که در حال حاضر یکی از بنیانگذاران OwnID، پلتفرم هویت بدون رمز عبور است. قبل از OwnID، ایشان یکی از بنیانگذاران Gigya بود که توسط SAP خریداری شد. Gigya با مدیریت بیش از یک میلیارد هویت دیجیتال برای بزرگترین سازمان‌های جهان، بازار مدیریت هویت و دسترسی مشتری (CIAM) را رهبری می‌کند. کتاب «بحران هویت دیجیتال» نوشته رولی الیزروف توسط ویلی و پسران در مارس ۲۰۱۸ منتشر شد.

در یک مصاحبه، رولی الیزروف از پشت پرده استارت‌آپ جدید و نوآورانه خود یعنی فناوری احراز هویت بدون رمز عبور بیومتریک مبتنی بر تلفن هوشمند گفته است. هدف OwnID تغییر نحوه ورود افراد به حساب‌های خود و ایجاد پیشرفت در عرصه مالکیت هویت دیجیتال است.

راه‌حل‌های غیرمتمرکز مانند OwnID، راه را به سوی یک هویت مستقل و تجارب کاربری بسیار شخصی سازی شده هموار می‌کنند. در ادامه و بر اساس همان مصاحبه خواهیم دید که چشم انداز مدیریت هویت چگونه در حال تکامل است.

درباره داستان OwnID

رولی و Dor، بنیانگذاران OwnID، بخشی از تیم موسس Gigya، پلتفرم مدیریت هویت و دسترسی مشتری (CIAM) هستند که توسط SAP در سال ۲۰۱۷ به مبلغ ۳۵۰ میلیون دلار خریداری شد. پس از تصاحب توسط SAP، آنها احساس کردند که مدیریت هویت یک کار ناتمام است و باید رویکرد تحول آفرین تری به موضوع هویت وجود داشته باشد. ایشان با چند متخصص باهوش دیگر از Gigya و با سرمایه‌گذار اصلی Gigya یعنی Mayfield شروع به رشد کردند.

چرا بیومتریک به جای روش‌های دیگر ورود به سیستم؟

ایده اصلی OwnID این است که «تلفن همراه، کلید است». همانطور که یک گوشی هوشمند می‌تواند قفل ماشین و خانه من را باز کند، پس می‌تواند هر چیز دیجیتالی دیگری را باز کند. خوشبختانه، تلفن‌ها به مکانیزم بیومتریک مجهز شده‌اند، و بنابراین احراز هویت دو عاملیِ بدون دردسر (چیزی که دارید + چیزی که هستید) میسر می‌گردد. OwnID معتقد است که این بسیار بهتر از مکانیزم‌های احراز هویت قدیمی مانند لینک‌های جادویی، کد پیامکی و حتی رمز عبور است. بهتر یعنی: استفاده راحت تر و ایمن تر.

فناوری پشت محصول OwnID

این استارتاپ از WebAuthn و FIDO2 استفاده می‌کند. بنابراین، محصولش کاملا مبتنی بر وب است. وب‌سایت‌ها را قادر می‌سازد تا به مکانیزم قفل گوشی کاربر (هم آیفون و هم اندروید) دسترسی داشته باشند. اما این محصول چیزی فراتر از تنها یک فناوری اصلی است و حل بسیاری از مشکلات دیگر را نیز هدف قرار داده است (به عنوان مثال تلفن همراه به طور موقت در دسترس نیست، گوشی تلفن گم شده است، تلفن از بیومتریک پشتیبانی نمی‌کند، کاربر قبلا یک حساب کاربری با رمز عبور دارد و غیره).

چگونه سازمان‌ها احراز عدم نیاز به رمز عبور را به فرآیندهای احراز هویت خود اضافه می‌کنند؟

مزیت بزرگ OwnID سهولت اجرا است. OwnID یک افزونه برای سیستم موجود یک سایت است. سایت‌هایی که می‌خواهند OwnID را اضافه کنند، می‌توانند فرم‌های ثبت نام و ورود خود را حفظ کنند و فقط دکمه OwnID را در کنار فیلد رمز عبور خود اضافه کنند، که به کاربران امکان می‌دهد با استفاده از بیومتریک موجود روی گوشی موبایل خود احراز هویت کنند. اگر کاربر در حال کار با کامپیوتر دسکتاپ یا هر دستگاه دیگری است، با کلیک بر روی این دکمه، یک کد QR نمایش داده می‌شود. کاربر آن را با گوشی خود اسکن می‌کند تا FaceID یا اثر انگشت گوشی او را فرا بخواند و در کامپیوتر دسکتاپ وارد سیستم شود.

فناوری OwnID چه تأثیر فناورانه‌ای دارد؟

زمانی که بتوان با بیومتریک گوشی این کار را انجام داد، کاربران بیشتری در یک سامانه یا وبسایت ثبت نام می‌کنند و وارد سیستم می‌شوند. زیرا برایشان راحت تر است. این فرآیند نووآورانه اکنون در Nestle و Delonghi انجام می‌شود. این دو شرکت که از بزرگترین مشتریان OwnID می‌باشند، افزایش ثبت نام و ورود به سایت‌های خود را گزارش می‌دهند و پیوسته در حال پیاده‌سازی OwnID در سامانه‌های دیگر خود در سراسر جهان هستند.

اصول کلیدی برای محافظت از داده‌های کاربران

اصل کلیدی این است: داده‌ها را در یک مکان نگهداری نکنید، بلکه آن را توزیع کنید. بنابراین، OwnID هیچ اطلاعات کاربری را در پایگاه داده خود ذخیره نمی‌کند و حتی پایگاه داده کاربران ندارد. فناوری مذکور کلیدهای احراز هویت کاربر را روی تلفن کاربر نگه می‌دارد. یک کلید عمومی برای هر کاربر در پایگاه داده وب‌سایتِ OwnID قرار می‌گیرد و امضایی را که توسط تلفن کاربر ایجاد می‌شود با کلید عمومی مطابقت داده می‌شود. برای هر وب‌سایت، کاربر کلیدهای مختلفی دارد. OwnID تصمیم دارد راه حل خود را به عنوان یک افزونه و نه یک راه حل جایگزین ارائه دهد.

منبع
cryptomentor

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا