راه‌های احراز هویت بدون پسورد یا کلمه عبور

احتمالا شما هم اصطلاح احراز هویت بدون پسورد یا بدون کلمه عبور را زیاد شنیده‌اید، اما ورود بدون کلمه عبور واقعاً به چه شکلی عمل می‌کند؟ این سؤال دو جواب می‌تواند داشته باشد؛ یک جواب ساده و یک جواب که کمی پیچیده‌تر است.

از این رو در این مقاله از یوآیدی ما فرآیند ورود بدون کلمه عبور را باز می‌کنیم و در مورد بهترین روش‌های ممکن برای اجرای آن صحبت خواهیم کرد.

احراز هویت بدون پسورد یا کلمه عبور به چه معنا است؟

ورود بدون کلمه عبور یک سیستم برای احراز هویت است که در آن، کاربر هویت خود را تأیید می‌کند و بدون استفاده از کلمه عبور وارد می‌شود. برای آن‌که بتوان بدون کلمه عبور وارد شد، سیستم باید از یک چیز دیگر به غیر از کلمه عبور برای تأیید کاربر استفاده کند. اما در همه موارد، از یک روش واحد و یکسان برای ورود بدون کلمه عبور استفاده نشده است.

هر چند روش‌های بسیار زیادی برای ورود بدون کلمه عبور وجود دارد، اما در احراز هویت بدون پسورد آسیب‌پذیری‌های ناشی از استفاده از کلمه عبور و سایر روش‌های خارج از رده، از تمام عملیات آن‌ها حذف شده‌اند:

• نام کاربری‌ها و کلمه عبورها
• کدها یا کلمه عبور یک بار مصرف
• لینک‌های جادویی ایمیل

حتماً باید بین روش بدون کلمه عبور ساده با روش بدون کلمه عبور اصیل تمایز قائل شوید. همه می‌توانند از احراز هویت بیومتریک به جای کلمه عبور استفاده کنند. اما فقط در روش احراز هویت بدون پسورد اصیل است که متغیرهای بالا از کل فرآیند حذف شده است. حذف کلمات عبور فقط از ورود در لایه‌ سطحی کافی نیست.

مثلاً اگر شما ایمیل‌های خود را با لینک‌های جادویی برای مشتریان ارسال کنید، باز هم از روش احراز هویت حساب‌های ایمیل آن‌ها استفاده می‌کنید. اگر در حساب ایمیل آن‌ها از کلمه عبور به عنوان بخشی از فرآیند ورود استفاده شود، این روش یک روش ورود بدون کلمه عبور اصیل نیست.

ورود بدون کلمه عبور اصیل، چگونه عمل می‌کند؟

در ورود بدون کلمه عبور اصلی از یک احراز هویت قوی استفاده می‌شود. در این روش، هرگز اطلاعات محرمانه به اشتراک گذاشته نمی‌شوند و هر آن چیزی که مربوط به شناسایی هویت یک کاربر است، به صورت خصوصی نگه داشته می‌شود. برای انجام این کار، باید از جفت کلیدهای رمزنگاری در سیستم استفاده شود.

وقتی که یک کاربر از همان ابتدا حساب جدید خود را می‌سازد، یک جفت کلید تولید می‌شود. کاربر یک کلید خصوصی دارد و هرگز مالکیت آن را از دست نمی‌دهد. کلید عمومی متناظر در اختیار همه قرار دارد. برای ورود به یک حساب خاص، همیشه لازم است که کلیدهای عمومی و خصوصی وجود داشته باشند.

هر بار که کاربر می‌خواهد به سیستم وارد شود، باید کلید خصوصی خود را با یک کار خاص دیگر مانند اسکن صورت یا اثر انگشت خود باز کند. وقتی که این کلید باز شد، با کلید عمومی که در اختیار ارائه‌دهنده سرویس قرار دارد، جفت می‌شود. سپس، دسترسی اعطا می‌شود.

مروری گام به گام بر چگونگی احراز هویت بدون پسورد

در این‌جا گام‌هایی که در ورود بدون کلمه عبور اصیل طی می‌شود را توضیح می‌دهیم تا این فرآیند را بیشتر بشناسید. اول باید بدانیم که عوامل احراز هویت به چه شکلی عمل می‌کنند و احراز هویت سنتی و یک عاملی به چه صورتی است.

سه عامل در احراز هویت وجود دارد. شما می‌توانید عوامل دیگری هم به این عوامل اضافه کنید تا اعتماد بیشتری حاصل شود. این عوامل عبارتند از :

• دانش (آن‌چه که من می‌دانم)
• مالکیت (آن‌چه که من دارم)
• ذات (آن‌چه که من هستم)

در صورتی که بیشتر از یکی از این عوامل در نظر گرفته شوند، احراز هویت را چندعاملی یا MFA می‌نامند. در این‌جا تعدادی مثال در خصوص هر یک از عوامل احراز هویت آورده‌ایم:

• مالکیت: یک توکن سخت‌افزاری، کلید USB یا دستگاه موبایلی که نرم‌افزار احراز هویت بر روی آن نصب شده است.
• دانش: کلمه عبور، شماره شناسایی شخصی (PIN) یا پاسخ به یک سؤال چالشی
• ذات: تشخیص چهره، اثر انگشت یا سایر عوامل بیومتریک دیگر

در بیشتر احراز هویت‌های تک‌عاملی، کاربر باید مشخص کند که چه کسی است (نام کاربری) و به یک سؤال دانشی (کلمه عبور) هم پاسخ دهد. در صورتی که از روش‌های دارای امنیت پایین برای احراز هویت استفاده شود، حفره‌های امنیتی به وجود می‌آید و کاربر هم تجربه خوبی نخواهد داشت.

در هر صورت، مهم‌ترین چیزی که باید در احراز هویت تک‌عاملی مد نظر قرار گیرد، احراز هویت بر اساس دانش است که در آن، فرض می‌شود که عامل محرمانه هم در اختیار کاربر و هم در اختیار ارائه‌دهنده سرویس قرار دارد. این بدان معنا است که کاربران باید به کلمه عبور خودشان با یک شرکت اعتماد داشته باشند و این مسأله، خود می‌تواند منجر به آسیب‌پذیری در برابر حملات سایبری شود. شاید هم دیگر نتوان از لو رفتن این عامل محرمانه جلوگیری کرد.

مفهوم اصطلاح “بدون کلمه عبور اصیل” به این معنا است که هیچ نام کاربری، هیچ کلمه عبور و هیچ شناسایی‌کننده هویتی بین طرف‌ها رد و بدل نمی‌شود. در ورود بدون کلمه عبور اصیل، هدف آن است که شناسایی هویت کاربر تحت کنترل خود او باشد. بهترین روش برای دستیابی به این هدف، استفاده از احراز هویت با بیومتریک چهره است.

در ادامه این روش را به صورت گام به گام توضیح می‌دهیم:

۱) ثبت‌نام

1. وقتی که کاربر در یک اپلیکیشن یا سرویس ثبت‌نام می‌کند، یک درخواست تأیید ثبت‌نام برای دستگاه او فرستاده می‌شود. کاربر این درخواست را با استفاده از ابزار خواندن بیومتریک خود تأیید می‌کند.
2. یک کلید خصوصی برای کاربر تولید می‌شود.
3. یک کلید عمومی متناظر برای اپلیکیشن یا سرویس ارسال می‌شود.
4. کلید عمومی ثبت می‌شود. تنها راه برای باز کردن کلید عمومی، استفاده از کلید خصوصی است.

۲) تأیید

1. وقتی که کاربر سعی می‌کند تا وارد شود، یک چالش برای او تولید شده و به دستگاه او فرستاده می‌شود.
2. کاربر کلید خصوصی خود را به وسیله ابزار خواندن بیومتریک باز می‌کند.
3. با استفاده از کلید خصوصی به این چالش پاسخ داده می‌شود.
4. کلید عمومی نیز مشخص می‌کند که از کلید خصوصی درست استفاده شده باشد و سپس، کاربر وارد می‌شود.

به همین سادگی! مهم‌ترین چیزی که باید به آن توجه داشت، این است که در روش احراز هویت بدون پسورد اصیل، کلید خصوصی کاربر به عنوان یک بافر بین او و ارائه‌دهنده کار می‌کند. عوامل بیومتریک نیز هیچ‌گاه از روی دستگاه برداشته نمی‌شوند. زیرا فقط برای باز کردن کلید خصوصی از آن‌ها استفاده می‌شود.

چرا باید از روش بدون کلمه عبور استفاده کنید؟

روش احراز هویت بدون پسورد مزایای مختلفی دارد:

• تجربه بهتر و یکنواخت‌تر برای کاربر: در این روش، دیگر نیازی نیست تا کاربر مرتباً کلمه عبور خود را ریست کند و خسته و فرسوده نمی‌شود. همچنین، از این‌که مرتباً نمی‌تواند وارد شود، خسته و ناامید نمی‌شود.
• امنیت بیشتر: استانداردها در این روش قوی‌تر هستند. بنابراین، مهاجمین برای جعل هویت کاربران مشروع یا سرقت اعتبارنامه‌های آن‌ها کار دشوارتری را پیش رو دارند.
• هزینه‌های بالاسری کمتر: دیگر نیازی به تولید، مدیریت یا ریست کلمات عبور وجود ندارد و ارسال تیکت‌هایی که برای کلمه عبور به میز کمک فرستاده می‌شوند، کمتر می‌شود.

اما استفاده از روش احراز هویت بدون پسورد دردسرهای خاص خودش را هم دارد. از گذشته هم پیاده‌سازی روش بدون کلمه عبور، هزینه‌های زیادی را نیاز داشته است. همچنین، تیمی از توسعه‌دهنده‌ها باید بر روی این روش کار کنند و زمان زیادی هم می‌برد. همین هزینه‌های زیرساختی و توسعه‌ای باعث شده است تا حتی سازمان‌های بزرگ هم با مشکلات عدیده‌ای برخورد کنند.

امروز به لطف یوآیدی، مسأله کلمه عبور سریع‌تر و ساده‌تر از هر زمان دیگری حل می‌شود.

سازمان‌ها با استفاده از یوآیدی می‌توانند روش بدون کلمه عبور را به سرعت اجرا کنند و تجربه شناسایی مبتنی بر مشتری را بر روی هر دستگاه، اپلیکیشن یا کانالی، از جمله کانال‌های غیردیجیتالی مانند کیوسک‌ها و مراکز تماس هم پیاده‌سازی کنند.

بر خلاف سایر روش‌هایی که برای پیاده‌سازی روش بدون کلمه عبور از آن‌ها استفاده می‌شود، یوآیدی را می‌توان به جای چند سال، ظرف مدت چند هفته یا چند ماه اجرا کرد. نیاز به کمترین کدنویسی به این معنا است که فقط یک نفر توسعه‌دهنده می‌‌تواند کدها را ظرف مدت کسری از زمان معمول بنویسد. یوآیدی با توجه به پیاده‌سازی سریع و سبکی که دارد، به عنوان گزینه‌ای کامل و بدون نقص برای اجرای سریع به حساب می‌آید.

در یوآیدی محیطی امن ایجاد می‌شود که کاربران می‌توانند ورود بدون کلمه عبور اصیل را تجربه کنند. دیگر، کاربران مجبور نیستند تا فرآیندهای طاقت‌فرسا برای ریست کلمه عبور را طی کنند و کاربرانی که بر می‌گردند هم مجبور نیستند تا با چالش‌های معمول در احراز هویت چند عاملی (MFA) دست و پنجه نرم کنند. با این کار، خستگی کمتر، رضایت بیشتر و مشتریان هم راضی‌تر خواهند بود.

ورود بدون کلمه عبور هنوز هم یک مفهوم نسبتاً جدید برای احراز هویت به حساب می‌آید، اما به سرعت در حال گسترش است و به یکی از راحت‌ترین و امن‌ترین گزینه‌های موجود تبدیل می‌شود. یوآیدی هم یک خیز شدید رو به جلو در صنعت برداشته است که هم تجربه کاربری بهتری فراهم می‌کند و هم یک سپر آهنی برای حریم خصوصی و امنیت ارائه می‌نماید.

سرویس احراز هویت یوآیدی به عنوان اولین راهکار احراز هویت دیجیتال، با استفاده از الگوریتمهای هوش مصنوعی مانند یادگیری عمیق، تشخیص چهره و تشخیص زنده بودن چهره کاربر، فرایند احراز هویت سامانه روابط کار، احراز هویت ثنا، احراز هویت سجام برای دریافت کد بورسی و همچنین احراز هویت صرافی رمز ارز را با ضریب خطای کمتر از ۰.۰۱ درصد انجام می دهد.