شناسایی، تایید و احراز هویت؛ هرکدام چه معنایی دارند؟ ‏

شناسایی ، تایید و احراز هویت ؛ هرکدام چه معنایی دارند؟ ‏

امروزه موارد نقض داده، سرقت هویت و دستورالعمل‌های قانونی به معنای دشواری و اهمیت روزافزون اعتمادسازی در تراکنش‌های آنلاین است. از مرحله ساده شناسایی هویت یک مشتری گرفته تا فرآیندهای تکرار شونده برای اطمینان از هویت واقعی افراد به صورت لحظه‌ای، نیاز مبرمی به کارکرد درست و دقیق راهکارهای امنیتی وجود دارد. هر یک از خدمات شناسایی ، تایید و احراز هویت نقش مهمی را در توانایی جلوگیری از کلاهبرداری در کانال‌های آنلاین، سازگاری با قوانین شناسایی هویت (مانند KYC و AML) و ایجاد تجربه مناسب برای مشتری بازی می‌کنند. در این مطلب، ما تفاوت بین شناسایی ، تایید و احراز هویت را توضیح داده و کاربرد آنها در فعالیت‌های آنلاین را بررسی می‌کنیم.

شناسایی هویت

شناسایی هویت فرآیند ساده‌ای است که در آن، شخص خود را با یک هویت خاص معرفی می‌کند. یک فرد می‌تواند در تماس تلفنی خود را با نام «محسن» معرفی کند، کارت کتابخانه خود را به اپراتور نشان بدهد یا ایمیلی را وارد کند که پیش از علامت @ نام او نوشته شده باشد.

در فرم‌های آنلاین، کاربران با ارائه نام، آدرس ایمیل یا شماره تلفن، خود را «شناسایی» می‌کنند. هنگامی که فرد قصد خرید یک جفت کفش به صورت آنلاین را دارد، خود را با استفاده از شماره کارت اعتباری و آدرس ارسال شناسایی می‌کند. در صورت استفاده از فرآیند شناسایی هویت، افراد می‌توانند صرفا با استفاده از اطلاعات دارنده کارت اعتباری، شماره کارت و سایر اطلاعات لازم، تراکنش‌های خود را انجام بدهند.

شرکتی که صرفا از قابلیت شناسایی هویت استفاده می‌کند، به صورت غیر مستقیم این سیگنال را می‌رساند که با وجود عدم اطمینان از هویت وارد کننده اطلاعات، هیچ شکی نسبت به صحت مشخصات او ندارد. این کار مثل پرسیدن سوال «تو کی هستی؟» و قبول کردن بی چون و چرای پاسخ است. البته در تراکنش‌های کم خطر، مانند ثبت نام برای یک رویداد ورزشی یا امانت گرفتن کتاب فرآیند شناسایی کفایت می‌کند و نیازی به فرآیند «تایید هویت» نیست.

با این حال بیشتر تراکنش‌های آنلاین به چیزی بیشتر از شناسایی هویت احتیاج دارند، چراکه شناسایی هویت مانند داشتن یک نام کاربری بدون رمز عبور است. بنابراین چطور می‌توان از درست بودن هویت فردی که اطلاعات را وارد می‌کند اطمینان داشت؟ پاسخ این سوال را در فرآیند «تایید هویت» مشاهده می‌کنیم.

تایید هویت

فرآیند تایید هویت فقط با پرسیدن سوال «تو کی هستی» تمام نمی‌شود. این فرآیند یک گام جلوتر رفته و از کاربر می‌پرسد «آیا واقعا کسی هستی که گفتی؟». این به معنای افزایش درجه اطمینان از پاسخ سوال است. ایجاد یک رابطه قابل اعتماد بین اطلاعات وارد شده و هویت حقیقی فرد نیازمند فناوری «تایید هویت» است که در فرآیند ثبت نام یا ایجاد حساب کاربری استفاده می‌شود.

این فرآیند معمولا با تایید یک سند هویتی دولتی، مانند کارت شناسایی آغاز می‌شود. شرکت‌ها سپس با استفاده از فناوری‌های پیشرفته، استخراج داده خودکار و یادگیری ماشین از اصالت یا دستکاری در مدرک اطمینان حاصل می‌کنند.

تایید هویت یک فرد به صورت دقیق نیازمند تلاش قابل توجهی است. با توجه به نیاز بیشتر ارائه دهندگان خدمات آنلاین به تجربه کاربری غیر فرسایشی، برخی از شرکت‌ها دست به کاهش معیارهای امنیتی می‌زنند. برای مثال حساب‌های کاربری در شبکه‌های اجتماعی صرفا به یک نام، آدرس ایمیل، نام کاربری و کلمه عبور نیاز دارند. برای افزایش نسبی امنیت، برخی از این حساب‌ها ممکن است به شماره تلفن هم احتیاج داشته باشند.

برخی از مشاغلی که از استانداردهای دقیق‌تر بهره‌مند هستند می‌توانند از روش‌های سنتی احراز هویت، مانند جستجو در داده‌های دولتی یا احراز هویت بر اساس دانسته‌های کاربر (KBA) استفاده کنند. مشکل اینجاست که با توجه به افزایش حجم داده‌های شخصی در دارک وب، این اطلاعات اعتبار قبلی خود را از دست داده‌اند. بنابراین استفاده از این داده‌ها لزوما منجر به اطمینان از واقعی بودن هویت یا شناسایی کلاهبرداری نمی‌شود.

تایید هویت ایمن

برای افتتاح حساب بانکی آنلاین، علاوه بر اطلاعات ذکر شده احتمالا به شماره بیمه، تصویر یا پاسپورت و اثبات صحت آدرس کنونی احتیاج خواهید داشت. خطرات مرتبط با یک حساب بانکی مسلما بیشتر و جدی‌تر از خطرات یک حساب کاربری در برنامه «تیک تاک» است. به همین دلیل نیاز به تدابیر امنیتی افزایش پیدا می‌کند. در واقع بخش مالی از قوانین بی‌شماری برای مقابله با حساب‌های کاربری جعلی، پولشویی و فعالیت‌های مجرمانه برخوردار است. علاوه براین، دستورالعمل‌های سازگاری در این قوانین صرفا از روش‌های سنتی تایید هویت استفاده نمی‌کنند. همین امر منجر به حرکت مشاغل به سمت تطبیق اطلاعات مشتری با اطلاعات بیومتریک در زمان ثبت نام شده است.

شرکت گارتنر نام این فرآیند را «اثبات و تایید هویت» گذاشته است که شامل استفاده از شاخص هویتی فرد (مانند پاسپورت) و ترکیب آن با ویژگی‌های بیومتریک می‌شود (مانند اسکن ۳ بعدی صورت، اسکن شبکیه چشم و اثر انگشت). در آینده تنها با ترکیب این دو ویژگی می‌توان از صحت هویت طرف مقابل اطمینان حاصل کرد. به این ترتیب، اثبات هویت در آینده شامل چند مرحله می‌شود:

  • شناسایی هویت: من اسم خودم را به شما ارائه می‌دهم.
  • تایید هویت: شما می‌توانید هویت من را با بررسی اصالت کارت شناسایی من تایید کنید. علاوه براین، می‌توانید کارت شناسایی تایید شده را با اطلاعات بیومتریک من ترکیب کنید.
  • احراز هویت: من به پلتفرم شما دسترسی دارم و شما می‌توانید هویت کنونی و زنده من را با اطلاعات بیومتریک خود تطبیق بدهید.

احراز هویت

تایید هویت معمولا فقط یک بار انجام می‌شود، اما پس از آن هویت فرد باید در تمام دفعات دسترسی به سیستم یا منابع احراز شود. برای مثال، شما صرفا می‌توانید با نگاه کردن به کسی که او را می‌شناسید وی را «احراز هویت» کنید. با این حال از آنجا که بخش وسیعی از تراکنش‌های کنونی به صورت آنلاین و با افراد ناشناس انجام می‌شود، سازمان‌ها می‌توانند از سیستم‌هایی استفاده کنند تا از عدم جعل هویت اطمینان حاصل کنند.

در این فرآیند، از فرد درخواست می‌شود تا تطبیق هویت خود را با اطلاعات موجود در سیستم ثابت کند. در شرایط کم خطر، این امر می‌تواند به سادگی ارائه کلمه عبور برای یک نام کاربری خاص یا استفاده از سایر اطلاعات برای ورود به حساب کاربری باشد.

در موارد احراز هویت سنتی، یک فرد اطلاعات خاص یا عوامل «احراز کننده» را در اختیار دارد که در مرحله ثبت نام و تایید هویت در سیستم ارائه دهنده خدمات ثبت شده است. بیشتر سیستم‌ها از سه نوع عامل «احراز کننده» استفاده می‌کنند:

  • دانش کاربر (مانند پاسخ به سوالات امنیتی یا کلمه عبور)
  • مدارک کاربر (کارت شناسایی یا کلید رمزنگاری شده)
  • هویت کاربر (تشخیص چهره، داده بیومتریک)

تلفیق روش های احراز هویت

کارآیی سیستم‌های احراز هویت معمولا وابسته به تعداد و کیفیت عوامل بالاست. هرچقدر تعداد و کیفیت این عوامل شناسایی بیشتر باشد، سیستم احراز هویت کارکرد بهتری خواهد داشت. برای مثال، برای ورود به حساب کاربری شبکه‌های اجتماعی تنها به یک نام کاربری و کلمه عبور احتیاج دارید (دانش کاربر)، اما در زمان مراجعه به شعبه بانک باید مجموعه‌ای از فرم‌های شناسایی را به همراه داشته باشید (مدارک کاربر).

با این حال به دلیل حملات نقض داده و فاش شدن اطلاعات محرمانه، دو نوع ابتدای احراز هویت (دانش و مدارک کاربر) کارآیی و اعتبار قبلی خود را از دست داده‌اند. امروزه ایمن‌ترین سیستم‌ها به هویت شما احتیاج دارند. در این موارد، سیستم پس از ورود شما به حساب کاربری، شما را شناسایی ، تایید و احراز هویت کرده و هویت تایید شده را با اطلاعات بیومتریک قبلی تطبیق می‌دهد. پس از این مرحله، این سیستم‌ها به اطلاعاتی نیاز دارند که به صورت لحظه‌ای هویت شما را ثابت می‌کند (مانند تصویر با کیفیت از چهره).

تایید و احراز هویت: یک الگوی در حال تغییر

به دلیل گسترش موارد سرقت هویت، نقض داده و کلاهبرداری‌های اجتماعی، نیاز به شناسایی ، تایید و احراز هویت برای اطمینان از اصالت هویت‌های آنلاین در بخش‌های دولتی و خصوصی افزایش پیدا کرده است. گارتنر پیش بینی کرده است که در چند سال آینده، ۵۰ درصد از مشاغل در بازار برای ثبت نام و احراز هویت از ترکیب اسناد هویتی و فناوری بیومتریک استفاده می‌کنند.

شرکت یوآیدی در خط مقدم این تغییر قرار دارد. یوآیدی نه تنها اولین سرویس دیجیتال احراز هویت در کشور است، بلکه با چندین سازمان برای تامین نیازهای امنیتی، حفظ محرمانگی هویت مشتریان و ایمنی تراکنش‌ها همکاری می‌کند. سرویس یوآیدی، فرایند احراز هویت سامانه روابط کار، احراز هویت سجام، احراز هویت ثنا و همچنین احراز هویت صرافی رمز ارز ر ا با دقت بالای ۹۸ درصد و به صورت بلادرنگ به انجام می رساند.

برای امتیاز دادن کلیک کنید!
[تعداد نظر: ۰ میانگین: ۰]

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

نوشته های مرتبط