امروزه موارد نقض داده، سرقت هویت و دستورالعملهای قانونی به معنای دشواری و اهمیت روزافزون اعتمادسازی در تراکنشهای آنلاین است. از مرحله ساده شناسایی هویت یک مشتری گرفته تا فرآیندهای تکرار شونده برای اطمینان از هویت واقعی افراد به صورت لحظهای، نیاز مبرمی به کارکرد درست و دقیق راهکارهای امنیتی وجود دارد. هر یک از خدمات شناسایی ، تایید و احراز هویت نقش مهمی را در توانایی جلوگیری از کلاهبرداری در کانالهای آنلاین، سازگاری با قوانین شناسایی هویت (مانند KYC و AML) و ایجاد تجربه مناسب برای مشتری بازی میکنند. در این مطلب، ما تفاوت بین شناسایی ، تایید و احراز هویت را توضیح داده و کاربرد آنها در فعالیتهای آنلاین را بررسی میکنیم.
شناسایی هویت
شناسایی هویت فرآیند سادهای است که در آن، شخص خود را با یک هویت خاص معرفی میکند. یک فرد میتواند در تماس تلفنی خود را با نام «محسن» معرفی کند، کارت کتابخانه خود را به اپراتور نشان بدهد یا ایمیلی را وارد کند که پیش از علامت @ نام او نوشته شده باشد.
در فرمهای آنلاین، کاربران با ارائه نام، آدرس ایمیل یا شماره تلفن، خود را «شناسایی» میکنند. هنگامی که فرد قصد خرید یک جفت کفش به صورت آنلاین را دارد، خود را با استفاده از شماره کارت اعتباری و آدرس ارسال شناسایی میکند. در صورت استفاده از فرآیند شناسایی هویت، افراد میتوانند صرفا با استفاده از اطلاعات دارنده کارت اعتباری، شماره کارت و سایر اطلاعات لازم، تراکنشهای خود را انجام بدهند.
شرکتی که صرفا از قابلیت شناسایی هویت استفاده میکند، به صورت غیر مستقیم این سیگنال را میرساند که با وجود عدم اطمینان از هویت وارد کننده اطلاعات، هیچ شکی نسبت به صحت مشخصات او ندارد. این کار مثل پرسیدن سوال «تو کی هستی؟» و قبول کردن بی چون و چرای پاسخ است. البته در تراکنشهای کم خطر، مانند ثبت نام برای یک رویداد ورزشی یا امانت گرفتن کتاب فرآیند شناسایی کفایت میکند و نیازی به فرآیند «تایید هویت» نیست.
با این حال بیشتر تراکنشهای آنلاین به چیزی بیشتر از شناسایی هویت احتیاج دارند، چراکه شناسایی هویت مانند داشتن یک نام کاربری بدون رمز عبور است. بنابراین چطور میتوان از درست بودن هویت فردی که اطلاعات را وارد میکند اطمینان داشت؟ پاسخ این سوال را در فرآیند «تایید هویت» مشاهده میکنیم.
تایید هویت
فرآیند تایید هویت فقط با پرسیدن سوال «تو کی هستی» تمام نمیشود. این فرآیند یک گام جلوتر رفته و از کاربر میپرسد «آیا واقعا کسی هستی که گفتی؟». این به معنای افزایش درجه اطمینان از پاسخ سوال است. ایجاد یک رابطه قابل اعتماد بین اطلاعات وارد شده و هویت حقیقی فرد نیازمند فناوری «تایید هویت» است که در فرآیند ثبت نام یا ایجاد حساب کاربری استفاده میشود.
این فرآیند معمولا با تایید یک سند هویتی دولتی، مانند کارت شناسایی آغاز میشود. شرکتها سپس با استفاده از فناوریهای پیشرفته، استخراج داده خودکار و یادگیری ماشین از اصالت یا دستکاری در مدرک اطمینان حاصل میکنند.
تایید هویت یک فرد به صورت دقیق نیازمند تلاش قابل توجهی است. با توجه به نیاز بیشتر ارائه دهندگان خدمات آنلاین به تجربه کاربری غیر فرسایشی، برخی از شرکتها دست به کاهش معیارهای امنیتی میزنند. برای مثال حسابهای کاربری در شبکههای اجتماعی صرفا به یک نام، آدرس ایمیل، نام کاربری و کلمه عبور نیاز دارند. برای افزایش نسبی امنیت، برخی از این حسابها ممکن است به شماره تلفن هم احتیاج داشته باشند.
برخی از مشاغلی که از استانداردهای دقیقتر بهرهمند هستند میتوانند از روشهای سنتی احراز هویت، مانند جستجو در دادههای دولتی یا احراز هویت بر اساس دانستههای کاربر (KBA) استفاده کنند. مشکل اینجاست که با توجه به افزایش حجم دادههای شخصی در دارک وب، این اطلاعات اعتبار قبلی خود را از دست دادهاند. بنابراین استفاده از این دادهها لزوما منجر به اطمینان از واقعی بودن هویت یا شناسایی کلاهبرداری نمیشود.
تایید هویت ایمن
برای افتتاح حساب بانکی آنلاین، علاوه بر اطلاعات ذکر شده احتمالا به شماره بیمه، تصویر یا پاسپورت و اثبات صحت آدرس کنونی احتیاج خواهید داشت. خطرات مرتبط با یک حساب بانکی مسلما بیشتر و جدیتر از خطرات یک حساب کاربری در برنامه «تیک تاک» است. به همین دلیل نیاز به تدابیر امنیتی افزایش پیدا میکند. در واقع بخش مالی از قوانین بیشماری برای مقابله با حسابهای کاربری جعلی، پولشویی و فعالیتهای مجرمانه برخوردار است. علاوه براین، دستورالعملهای سازگاری در این قوانین صرفا از روشهای سنتی تایید هویت استفاده نمیکنند. همین امر منجر به حرکت مشاغل به سمت تطبیق اطلاعات مشتری با اطلاعات بیومتریک در زمان ثبت نام شده است.
شرکت گارتنر نام این فرآیند را «اثبات و تایید هویت» گذاشته است که شامل استفاده از شاخص هویتی فرد (مانند پاسپورت) و ترکیب آن با ویژگیهای بیومتریک میشود (مانند اسکن ۳ بعدی صورت، اسکن شبکیه چشم و اثر انگشت). در آینده تنها با ترکیب این دو ویژگی میتوان از صحت هویت طرف مقابل اطمینان حاصل کرد. به این ترتیب، اثبات هویت در آینده شامل چند مرحله میشود:
- شناسایی هویت: من اسم خودم را به شما ارائه میدهم.
- تایید هویت: شما میتوانید هویت من را با بررسی اصالت کارت شناسایی من تایید کنید. علاوه براین، میتوانید کارت شناسایی تایید شده را با اطلاعات بیومتریک من ترکیب کنید.
- احراز هویت: من به پلتفرم شما دسترسی دارم و شما میتوانید هویت کنونی و زنده من را با اطلاعات بیومتریک خود تطبیق بدهید.
احراز هویت
تایید هویت معمولا فقط یک بار انجام میشود، اما پس از آن هویت فرد باید در تمام دفعات دسترسی به سیستم یا منابع احراز شود. برای مثال، شما صرفا میتوانید با نگاه کردن به کسی که او را میشناسید وی را «احراز هویت» کنید. با این حال از آنجا که بخش وسیعی از تراکنشهای کنونی به صورت آنلاین و با افراد ناشناس انجام میشود، سازمانها میتوانند از سیستمهایی استفاده کنند تا از عدم جعل هویت اطمینان حاصل کنند.
در این فرآیند، از فرد درخواست میشود تا تطبیق هویت خود را با اطلاعات موجود در سیستم ثابت کند. در شرایط کم خطر، این امر میتواند به سادگی ارائه کلمه عبور برای یک نام کاربری خاص یا استفاده از سایر اطلاعات برای ورود به حساب کاربری باشد.
در موارد احراز هویت سنتی، یک فرد اطلاعات خاص یا عوامل «احراز کننده» را در اختیار دارد که در مرحله ثبت نام و تایید هویت در سیستم ارائه دهنده خدمات ثبت شده است. بیشتر سیستمها از سه نوع عامل «احراز کننده» استفاده میکنند:
- دانش کاربر (مانند پاسخ به سوالات امنیتی یا کلمه عبور)
- مدارک کاربر (کارت شناسایی یا کلید رمزنگاری شده)
- هویت کاربر (تشخیص چهره، داده بیومتریک)
تلفیق روش های احراز هویت
کارآیی سیستمهای احراز هویت معمولا وابسته به تعداد و کیفیت عوامل بالاست. هرچقدر تعداد و کیفیت این عوامل شناسایی بیشتر باشد، سیستم احراز هویت کارکرد بهتری خواهد داشت. برای مثال، برای ورود به حساب کاربری شبکههای اجتماعی تنها به یک نام کاربری و کلمه عبور احتیاج دارید (دانش کاربر)، اما در زمان مراجعه به شعبه بانک باید مجموعهای از فرمهای شناسایی را به همراه داشته باشید (مدارک کاربر).
با این حال به دلیل حملات نقض داده و فاش شدن اطلاعات محرمانه، دو نوع ابتدای احراز هویت (دانش و مدارک کاربر) کارآیی و اعتبار قبلی خود را از دست دادهاند. امروزه ایمنترین سیستمها به هویت شما احتیاج دارند. در این موارد، سیستم پس از ورود شما به حساب کاربری، شما را شناسایی ، تایید و احراز هویت کرده و هویت تایید شده را با اطلاعات بیومتریک قبلی تطبیق میدهد. پس از این مرحله، این سیستمها به اطلاعاتی نیاز دارند که به صورت لحظهای هویت شما را ثابت میکند (مانند تصویر با کیفیت از چهره).
تایید و احراز هویت: یک الگوی در حال تغییر
به دلیل گسترش موارد سرقت هویت، نقض داده و کلاهبرداریهای اجتماعی، نیاز به شناسایی ، تایید و احراز هویت برای اطمینان از اصالت هویتهای آنلاین در بخشهای دولتی و خصوصی افزایش پیدا کرده است. گارتنر پیش بینی کرده است که در چند سال آینده، ۵۰ درصد از مشاغل در بازار برای ثبت نام و احراز هویت از ترکیب اسناد هویتی و فناوری بیومتریک استفاده میکنند.
شرکت یوآیدی در خط مقدم این تغییر قرار دارد. یوآیدی نه تنها اولین سرویس دیجیتال احراز هویت در کشور است، بلکه با چندین سازمان برای تامین نیازهای امنیتی، حفظ محرمانگی هویت مشتریان و ایمنی تراکنشها همکاری میکند. سرویس یوآیدی، فرایند احراز هویت سامانه روابط کار، احراز هویت سجام، احراز هویت ثنا و همچنین احراز هویت صرافی رمز ارز ر ا با دقت بالای ۹۸ درصد و به صورت بلادرنگ به انجام می رساند.