مکانیزم‌های احراز هویت دیجیتال!

مکانیزم‌های احراز هویت

احراز هویت به معنای فرآیندی است برای اطمینان از اینکه فرد همانی است که ادعا می‌کند. مکانیزم‌های احراز هویت شامل تطبیق هویت ادعایی فرد، از طریق یک شناسه‌ی تأیید اعتبار مثل کارت شناسایی یا شماره‌ی شناسه‌ی منحصر به فرد، با توجه به فاکتورهای احراز هویت مرتبط با این شناسه است. روش‌ها و مکانیزم‌های احراز هویت شامل موارد زیر هستند:

  1. فاکتورهای مالکیتی: چیزی که فرد از آن برخوردار است، مثل کارت یا گواهینامه‌ی فیزیکی یا مجازی و یا یک توکن سخت‌افزاری.
  2. فاکتورهای شناختی: چیزی که فرد از پیش می‌داند، مثلاً یک پرسش یا تصویر چالشی که آن را به خاطر می‌سپارد. مثل یک گذرواژه یا PIN
  3. فاکتورهای ذاتی: برخی ویژگی‌های فیزیکی که فرد می‌تواند داشتنش را ثابت کند. مثل اثرانگشت یا اسکن عنبیه

مکانیزم‌های احراز هویت ایمن یعنی سطوح بالای امنیت، نیازمند رویکرد چند عاملی است. به صورت کلی ترکیب فاکتورهای احراز هویت بایستی برخی از موارد گفته شده و یا تمامی آنها را در بر داشته باشند. علاوه بر این فاکتورهای فرعی نیز وجود دارد. همانند مکان و زمان که در ترکیب با سایر فاکتورهای اصلی به منظور ایجاد شرایط ایمن‌تر احراز هویت به کار گرفته می‌شود.

احراز هویت دیجیتال، یعنی احراز هویت شامل مدارک و فرآیندهای الکترونیکی، می‌تواند به صورت حضوری، مثلاً در یک شبکه‌ی بانک فیزیکی یا دفتر دولتی و یا از راه دور مثلاً از طریق موبایل یا سرویس وب به انجام برسد. به احراز هویت دیجیتال از راه دور آنلاین گفته می‌شود، اما تراکنش‌های حضوری دیجیتالی را نیز می‌توان با مکانیزم‌های احراز هویت آنلاین یا آفلاین هم رده دانست.

مکانیزم‌های احراز هویت
مکانیزم‌های احراز هویت

مکانیزم‌های آنلاین و آفلاین احراز هویت شامل مجموعه‌ای از الزامات به منظور محافظت از شخصی است که هویت خود را اعلام می‌کند و نیز ارائه‌ی تضمین کافی به مصرف کننده‌ی هویت من جمله خدمات، فرد یا طرف مورد اعتماد.

الزامات مکانیزم‌های احراز هویت

  • به جز شرایط استثنایی، مثلاً رعایت مقررات ضد پولشویی (ALM) و یا راستی آزمایی از مشتری (CDD) و بسته به نتایجی که از احراز هویت مد نظر است، تنها با بله یا خیر پاسخ بدهد و نه اشتراک یا افشای PII. این کار صرفاً با کسب رضایت فرد و اقدامات جامعی برای امنیت اطلاعات به انجام می‌رسد.
  • در صورت بروز مشکل برای مکانیزم‌های احراز هویت مثلاً یک نتیجه‌ی بیومتریکی که به شکل نادرستی منفی است، از پروتکل‌هایی برای رسیدگی به موارد استثنا و شکایات به شکل ساده و در دسترس استفاده کند. هرگز نباید فرد را به دلیل سیستم اعتبارسنجی نباید از حقوق و خدماتش محروم کرده و دسترسیش را دشوار ساخت.
  • قابلیت سنجش تراکنش‌ها، از جمله سوابق اثبات خرابکاری، تأیید هویت سیستم‌های احراز هویت، شناسایی طرفین تراکنش و اپراتورهای بالقوه‌ی سیستم در سازمان‌ها را تسهیل کند.
  • فرصت استفاده از داده‌های بزرگ یا ردیابی و ذخیره‌سازی اطلاعات فرد دارنده‌ی شناسه را از بین ببرد (از طریق رمزگذاری، هشینگ، ناشناس کردن داده‌ها، تمرکز زدایی از داده‌ها و غیره).
  • وقتی داده‌های هویتی توسط سیستم احراز هویت به اشتراک گذاشته و از سوی طرف مقابل به عنوان بخشی از مکانیزم احراز هویت ذخیره می‌شود، این اطمینان را به وجود آورد که اطلاعات مربوطه از نابودی یا سوءاستفاده ایمن است.
  • از کتنرل‌های امنیتی برای کاهش تهدیدهایی همچون حدس زدن، شنود، بازپخش یا دستکاری ارتباطات از سوی مهاجمی که به دنبال دور زدن و کنار گذاشتن مکانیزم احراز هویت است استفاده کند.
  • از قوانین و مقررات اجباری بهره گرفته و رابطه‌ی خاص میان سیستم احراز هویت و طرف مقابل را از طریق توافقنامه‌های حقوقی مثلاً تفاهم‌نامه‌ی مشترک به منظور تعیین مسئولیت‌های مربوطه مدیریت کند.

موارد فوق بیانگر بخشی از مکانیزم‌های تأیید هویت آنلاین و آفلاین هستند که معمولاً در سیستم‌های اولیه‌ی احراز هویت به کار گرفته می‌شوند. انتخاب مکانیزم‌های مطلوب مستلزم توجه به انواع مدارک صادر شده توسط سیستم احراز هویت بوده و می‌بایست متناسب با موارد استفاده از سیستم و محدودیت‌های خاصی همچون نحوه‌ی اتصال و سواد دیجیتال به انجام برسد.

احراز هویت آنلاین
احراز هویت آنلاین

احراز هویت آفلاین

احراز هویت آفلاین که برای تراکنش‌های حضوری و زمانی که برقراری ارتباط غیرقابل دسترس یا غیرضروری است، وسیله‌ای برای تأیید هویت ادعایی فرد بدون مراجعه به سیستم‌های دیگر همانند پایگاه‌های داده تشخیص هویت از راه دور، خدمات آفلاین و … به شرط امکان تأیید اصل بودن مدارک ارائه شده است. به صورت کلی سه گزینه‌ی اصلی برای احراز هویت آفلاین وجود دارد :

  • مقایسه دستی غیردیجیتالی مانند بررسی کارت شناسایی
    به صورت سنتی فرآیندهای احراز هویت شامل بررسی دستی مدارک مانند کارت‌های شناسایی به منظور تعیین اصل بودن آنهاست. به عنوان مثال با استفاده از ویژگی‌های امنیتی تعبیه شده تا ارزیابی شود که فرد یا امضای فیزیکی او به عکس یا امضای موجود در مدرک شباهت دارد یا نه.
    اگرچه این روش بصری بوده و نیازمند زیرساخت‌های کمتری است، اما به دلیل احتمال خطای انسانی یا نقص در اعمال روش‌های احراز هویت، سطح اطمینان آن پایین‌تر و فرصت بروز خطا در آن بیشتر از احراز هویت دیجیتال است.
    در عین حال این روش برای برخی تراکنش‌های کم ریسک یا راهکارهای مورد استفاده در مناطقی که در آن ارتباطات یا جریان برق وجود ندارد مفید خواهد بود. چنانچه امکان بهبود قابلیت اطمینان ویژگی‌های امنیتی مکانیزم احراز هویت وجود داشته باشد، آنگاه طرفین تراکنش باید نسبت به آن آگاهی داشته و از آن بهره بگیرند. به عنوان مثال ویژگی‌های امنیتی سطح ۲ (مخفی) نیازمند استفاده از نور ماورای بنفش UV هستند.
  • احراز هویت دیجیتال با توجه به داده‌های ذخیره شده بر روی یک کارت هوشمند
    کارت‌های هوشمند امکان احراز هویت از فرد به صورت آفلاین و با سطوح ایمنی بالاتر را بوجود می‌آورند. چنانچه از این مکانیزم در ترکیب باکارت‌خوان یا گیرنده، در صورت وجود کارت‌های بدون لمس مجهز به امکانات ورود متن یا اسکنر بیومتریک اثرانگشت یا عنبیه استفاده شود. آنگاه می‌توان میان روش‌های مختلف احراز هویت (مثلاً PIN یا اثرانگشت) و داده‌های ذخیره شده بر روی تراشه‌ی کارت مقایسه انجام داد.
    عمل تطبیق را می‌توان از طریق میکروپروسسور واقع بر روی کارت و یا سیستم یا نرم‌افزار متصل بر کامپیوتر یا تجهیزات متصل به انجام رساند مثلاً تبلت یا تلفن هوشمند. با این حال کارت‌های هوشمند علی‌رغم داشتن چنین مزایایی گران بوده و نیازمند خرید، توزیع و آموزش اپراتورهای کاربر کارت‌خوان خواهد بود.
    هم‌اکنون در برخی از کارت‌های هوشمند اسکنرهای اثرانگشت و منابع تغذیه نیز تعبیه می‌شود که البته این مسئله باعث افزایش قیمت این کارت‌ها شده است. کارت‌های هوشمند صرفاً به صورت آفلاین مود استفاده قرار گرفته و الزاماً ایمن‌تر از کارت‌های غیرهوشمند نیستند. چرا که امکان استفاده از آنها در غیاب سیستم تشخیص هویت علیرغم ابطال‌شان وجود دارد.
    علاوه بر این، امنیت و یکپارچگی داده‌ها بر روی کارت‌های هوشمند را نمی‌توان پس از انقضای آنها تضمین کرد. مثلاً در سال ۲۰۱۸ دولت استونی مجبور شد بخش قابل توجهی از کارت‌های هوشمند موجود را به دلیل نقص امنیتی مربوط به کلید خصوصی ذخیره شده بر روی تراشه جمع‌آوری و دوباره صادر کند. در واقع بسیاری از کشورها بدون در اختیار داشتن زیرساخت‌های لازم اقدام به صدور کارت‌های هوشمند می‌کنند که این مسئله می‌تواند مزایای این کارت‌ها را نسبت به کارت‌های غیرهوشمند کاهش دهد.
  • احراز هویت دیجیتال از طریق بارکد دوبُعدی
    کارت‌ها، مدارک یا اپلیکیشن‌های موبایلی با بارکدهای دوبُعدی (همانند QR کدها) نیز وقتی با نرم‌افزارها و سخت‌افزارهای تشخیص هویت (همانند PIN، اثرانگشت و عکس) که در بارکد یا مستندات موجود در یک پایگاه داده که QR کد به آن اشاره دارد ترکیب شوند، امکان احراز هویت دیجیتال و آفلاین را بوجود می‌آورند. به عنوان مثال در هند، کلمات ثبت و پرینت شده‌ای با عنوان آدار (کارت) وجود دارد که شامل بارکدی ایمن دارای اطلاعات بیوگرافی و تصویر صورت فرد با رزولوشن پایین است تا امکان شناسایی و مقایسه‌ی دستی را تسهیل کند.
    اگرچه مستندات QR کُد نسبت به کارت‌های هوشمند ارزان‌تر است، اما این مکانیزم ایمنی پایین‌تری نیز دارد. به عنوان مثال عکسی که برای QR کد گرفته می‌شود را می‌توان دستکاری کرد. ضمناً میزان اطلاعات ذخیره شده بر روی بارکدها با توجه به فضای فیزیکی اشغال شده از سوی آنها کمتر خواهد بود. هرچه بارکد تراکم بالاتری داشته باشد، احتمال خراش یا آسیب‌های دیگر اثر بیشتری بر توانایی خواندن داده‌ها بدون خطا خواهد داشت.
    به عنوان مثال ذخیره‌ی الگوی اثرانگشت روی QR کد احتمالاً باعث متراکم‌تر شدن آن شده و آن را در معرض احتمال تکثیر قرار می‌دهد. از جمله چالش‌های مهم دیگر در هنگام استفاده از بارکدها به عنوان فاکتور احراز هویت در محیط‌های آفلاین، مدیریت کلیدهای رمزگشایی است. اگر یک کلید رمزگشایی بصورت گسترده در دسترس باشد، آنگاه فرد مهاجم به سادگی قادر خواهد بود بارکدی قابل اجرا را به منظور ایجاد یک کارت اعتباری جعلی بسازد.
نیازمند تجهیزات دیگری به جز ارائه‌ی خود مدارک نخواهد بود. هرگونه مدارک فیزیکی که دارای برخی اطلاعاتی است (مثلاً عکس یا امضا) که می‌تواند مورد مقایسه قرار گیرد. مقایسه‌ی چشمی فرد با مدارک ارائه شده دستی
تجهیزات ورودی (کارت‌خوان‌ها، پدهای متنی، اسکنرهای اثرانگشت و غیره) در کنار سیستم‌های محلی که قادر به تطبیق و احراز هویت هستند. کارت‌های فیزیکی یا مجازی (مثلاً روی تلفن هوشمند) یا مدارک و سیستم‌هایی با بارکدهای دوبعدی (مثلاً PIN یا بیومتریک) مقایسه از طریق سیستم‌های احراز هویت که بر روی بارکد دوبُعدی تعبیه شده‌اند. دیجیتال
تجهیزات ورودی (کارت‌خوان‌ها، پدهای متنی، اسکنرهای اثرانگشت و غیره) کارت‌های هوشمند و سیستم‌های احراز هویت (PIN یا بیومتریک) مقایسه‌ با مواردی که بر روی تراشه‌ی کارت هوشمند ذخیره شده

احراز هویت آنلاین

چنانچه طرفین و کاربران تراکنش به اینترنت یا ارتباطات شبکه‌ی تلفن همراه دسترسی داشته باشند، آنگاه می‌توان از احراز هویت آنلاین برای تراکنش‌های حضوری یا از راه دور بهره گرفت. این روش باعث افزایش مکانیزم‌های بالقوه جهت احراز هویت آنلاین و قابلیت استناد به سایر سیستم‌ها همانند سرورهای از راه دور، داده‌های ذخیره شده در فضای ابری و برنامه‌های کاربردی مبتنی بر وب و تلفن‌های هوشمند خواهد شد که این موارد به صورت خلاصه در جدول زیر نشان داده شده‌اند.

در نهایت احراز هویت به صورت آنلاین باعث افزایش ایمنی نیز خواهد شد چرا که در آن فاکتورهای احراز هویت بیشتری به صورت زنده قابل استفاده هستند. ضمناً پشتیبانی بالاتر از داده در مقابل ریسک‌های امنیت سایبری از جمله قابلیت‌های دیگر این روش است.

سطح اطمینان از احراز هویت در مکانیزم‌های آنلاین با توجه به مدارک، سیستم‌ها و پروتکل‌های مورد استفاده متفاوت است. کسانی که از این روش استفاده می‌کنند جدا از انتخاب روش‌های احراز هویت با سطح اطمینان مناسب برای تراکنش، بایستی قابلیت و راحتی دسترسی بویژه برای افراد آسیب‌پذیر و کسانی که دارای اینترنت یا ارتباطات موبایلی ناایمن هستند را نیز مد نظر قرار داد.

به عنوان مثال احراز هویت مبتنی بر کارت برای تراکنش‌های از راه دور (مثلاً معاملات الکترونیکی) نیازمند در اختیار داشتن سیستم‌های کارت‌خوان یا بیومتریک برای هر فرد خواهد بود که می‌تواند مانعی عمده برای استفاده از این روش به شمار بیاید.

تجهیزات ورودی (صفحه کلید یا اسکنر) و شبکه ارتباطی ایمن متکی بر سیستم مرکزی اعداد، نام‌های کاربری و غیره در کنار سیستم‌های احراز هویت (PIN، بیومتریک، گذرواژه) مقایسه‌ی عوامل احراز هویت با منابع ذخیره شده در سیستم مرکزی مطابقت با پایه داده (شناسه‌ی روی ابر)
تجهیزات ورودی (کارت‌خوان، اسکنر، پد متنی) و اتصال شبکه ایمن متکی بر سیستم مرکزی کارت هوشمند، کارت‌هایی با بارکد دوبُعدی، سیم کارت یا تجهیزات موبایلی در کنار سیستم‌های احراز هویت استفاده از رمزگذاری با کلید عمومی برای تأیید اعتبار در مقابل سرور مبتنی بر زیرساخت کلید عمومی (PKI)
زیرساخت OTP و اتصال شبکه ایمن متکی بر سیستم مرکزی تجهیزات دریافت کننده‌ی گذرواژه (مثلاً پیامک یا ایمیل برای ساخت OTP) گذرواژه یا PIN ایجاد شده جهت استفاده یکباره گذرواژه‌های یکبار مصرف (OTP)
تلفن هوشمند دارای مجوز FIDO و سیستم‌های جانبی همانند کلید امنیتی FIDO و اتصال شبکه ایمن متکی بر سیستم مرکزی تلفن‌های هوشمند دارای مجوز FIDO (اندروید یا ویندوز) و سیستم‌های جانبی همانند کلید امنیت FIDO، در کنار تجهیزات احراز هویت تطابق از طریق دستگاه (اثرانگشت، عنبیه، چهره، PIN) با استفاده از یک کلید خصوصی احراز هویت FIDO

فدراسیون

فدراسیون به معنای توانایی سازمان برای پذیرش اعتبار هویتی سازمان دیگر و احراز این هویت براساس اعتماد بین سازمانی است. سازمانی که مورد اعتماد قرار می‌گیرد بایستی مطمئن شود که ارائه کننده‌ی هویت دارای سیاست‌های مورد قبولی بوده و این سیاست‌ها دنبال می‌شوند. پروتکل‌ها و چارچوب‌های ایمنی فدراسیون منجر به تسهیل در احراز هویت دیجیتال میان سازمان‌ها می‌شود.

برای اینکه این روش به خوبی مورد استفاده قرار گیرد، توافقاتی با چارچوب‌های ایمنی تعریف شده از سوی ISO ایجاد شده و استانداردهای مهمی اتخاذ می‌شوند. فدراسیون در سطوح مختلفی وقوع می‌یابد:

  • یک سازمان معتمد می‌تواند مدارکی را برای سازمان صادر کننده تهیه و ارسال کند به شکلی که امکان احراز هویت آنها وجود داشته باشد. پس از احراز هویت مدارک، سازمان صادر کننده‌ی این مدارک تأییدیه‌ای به شکل بله یا خیر ارسال کرده و یا در صورت موافقت مجموعه‌ای از اطلاعات درباره‌ی فرد را با استفاده از پروتکل‌هایی همانند SAML (زبان نشانه‌گذاری تضمین امنیت) ارسال نماید. به عنوان مثال ارائه دهندگان خدمات در انگلستان می‌توانند مدارک مختلفی را از طریق سیستم تأییدیه‌ی GOV.UK بپذیرند.
  • یک سازمان معتمد می‌تواند مدارک صادر شده از سوی سازمان دیگر را بپذیرد، اما خودش اقدام به احراز هویت آنها کند. به عنوان مثال پاسپورت‌های صادره از سوی یک کشور، در کشور پذیرنده بعنوان مدرکی معتبر پذیرفته می‌شوند. در عین حال اداره‌ی مهاجرت کشور پذیرنده هنوز نیازمند احراز هویت از دارنده‌ی پاسپورت و ارائه‌ی ویزای مسافرتی خواهد بود.
  • سازمان معتمد می‌تواند ویژگی‌های خاصی را که از سوی سازمان دیگر برای افراد تعیین شده را بپذیرد. به عنوان مثال بانک ممکن است به جای حفظ پرونده‌های اطلاعات اعتباری، یک حساب را از دفتر اعتباری دریافت کند.
  • یک سازمان معتمد می‌توان تصمیمات احراز هویت سازمان دیگری را بپذیرد. به عنوان مثال گواهینامه‌ی رانندگی که به شخص امکان می‌دهد در یک مکان معین به رانندگی بپردازد، ممکن است در مکان دیگری نیز قابل قبول باشد.

به منظور ایجاد چارچوبی برای فدراسیون، می‌بایست اقدامات زیر را به انجام رساند:

  • ایجاد یک چارچوب اعتماد یعنی مجموعه‌ای از مشخصات، قواعد و توافقنامه‌هایی که از لحاظ قانونی قابل اجرا بوده و تحت حاکمیت سیستمی چند طرفه قرار دارد که قواعد حقوقی و عملیاتی را تعریف می‌کند.
  • تعیین پروتکل‌های مورد استفاده در فدراسیون
  • تعیین ویژگی‌هایی که باید از سوی طرفین به اشتراک گذاشته شده و مورد احراز قرار بگیرد.
  • ایجاد یک کانال ارتباطی ایمن بین ارائه دهنده‌ی خدمات و ارائه دهنده‌ی هویت به منظور فعالسازی جریان احراز هویت میان برنامه‌های کاربردی طرفین. این کار معمولاً با استفاده از گواهینامه‌های دیجیتال به منظور ایجاد ارتباطات ایمن انجام شده و ممکن است نیازمند گذروژه (یک رمز مشترک) برای احراز هویت باشد.
  • مدیریت مدارک دیجیتال از جمله تاریخ انقضا، ابطال و تمدید آنها.
برای امتیاز دادن کلیک کنید!
[تعداد نظر: ۰ میانگین: ۰]

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

نوشته های مرتبط