قبل از سال 2004 بیل گیتس گفت :اطمینان مردم به گذرواژهها(Password) در حال کاهش است و این روش دیگر برای مردم چالش برانگیز نیست. در حقیقت، گذرواژهها که متداولترین روش برای احراز هویت در دنیا بودند، در چند دهه اخیر در حال منسوخ شدن هستند. با توجه به مشکلات امنیتی بسیاری که در این دوره پیش آمد میتوان گفت که این روش احراز هویت به اندازه کافی کارآمد نبود.
به منظور حفظ استانداردهای امنیتی که حفاظت از کارکنان و تجهیزات را تضمین میکند، شرکتها باید روی روشهای احراز هویت امنتر تمرکز کنند.
بزرگترین مشکلی که گذرواؤهها دارند که آنها نمیتوانند سطح مناسب امنیت اطلاعات را تضمین کنند. مهم نیست که چقدر عجیب و غریب به نظر می رسد، بسیاری از کارکنان رمزهای عبور حساب کابری خود را روی کاغذهای یادداشت مینویسند و آنها را به صفحه نمایش مانیتورشان میچسبانند یا آنها را در کشوی میز کارشان میگذارند. کارکنان رمزهای عبور را از طریق ایمیل و ابزار چت ارسال می کنند. 25 درصد از کارکنان گفتند گاهی گذرواژههای حساب کابری خود را، برای انجام امور خاصی در اختیار همکارانشان قرار میدهند.
نمونههای متعددی وجود دارد که ثابت میکند دستیابی به گذرواژهها کار آسانیست. در سال 2017،شرکت سرویس میزبانی و اشتراکگذاری Imgur ، به دلیل پروتکل های امنیتی ضعیف، قربانی حملات سایبری شد. در نتیجه، اطلاعات 1.7 میلیون حساب کاربری منتشر شد.
محققان به تازگی جزئیات مربوط به آسیبهای بحرانی Melddown و Spectre که تقریبا تمام بخشهای پردازش سیستمها را تحت تاثیر قرار داده بود و باعث نشر گذرواژه ها در مقیاس وسیع شده بود را اعلام کردند. علاوه بر این، تحلیلگران امنیتی، بدافزار Zyklon را شناسایی کرده اند که از اپلیکیشنهای ماکروسافت برای استخراج گذرواژهها استفاده میکند.
یکی دیگر از مشکلات با گذرواژهها این است که کاربران دوست ندارند شمار زیادی از کاراکترها، عددها و علامتها را به خاطر بسپارند. سرویس های مختلف وب به طور معمول در این زمینه الزامات مختلفی دارند. بنابراین، کاربران همیشه از یک گذرواژه استفاده میکند یا آن را به یک رمز ساده تغییر میدهند. انجام این کارها ریسک افشای گذرواژه را افزایش میدهد.
سازمان های بزرگ همچنان از این گذرواژهها استفاده می کنند. با این حال، به تازگی چند متد برای احراز هویت جایگزین پیشنهاد شده است که ممکن است در آینده جایگزین گذرواژهها شود.در این مقاله چند روش احراز هویت را بررسی خواهیم کرد.
توکنهای امنیتی(Security Tokens)
توکنهای نرمافزاری و سختافزاری سطح مناسبی از امنیت را تضمین میکنند.آنها یک عنصر اضافی را در حین احراز هویت در نظر میگیرند.توکنها به اینترنت وصل نمیشوند و به جای آن،یک گذرواژه یک بار مصرف را بر اساس “seed record” با سرور مرکزی همگام میکنند. بسیاری از توکنهای مدرن حتی نیاز به کاربر برای ورود کلمه عبور به صورت دستی ندارند زیرا از فناوری NFC استفاده میکنند.
به رغم مزایای آشکار این روش، احراز هویت مبتنی بر توکن، یک پروسه خسته کننده برای تجارتهاست. اول از همه، قیمت آن بسیار گران است، با توجه به اینکه هر کارمند نیاز به یک توکن مخصوص به خود را دارد. علاوه بر این،یکی از الزامات اجباری برای استفاده از این روش،احراز هویت در سیستم سازمان است.توکن، شرکتی که مقر اصلی آن در نیویورک است،تلاش میکند احراز هویت را این روش پیادهسازی کند.
بیومتریک(Biometrics)
بیومتریک شامل استفاده از اثز انگشت، چهره نگاری و مواردی از این قبیل به منظور احراز هویت است.این متد زمانی کاملاً فراگیر شد که Apple از قابلیتهای Touch IDو Face ID در محصولات خود استفاده کرد.یکی از مزیتهای اساسی که این روش نسبت به متدهای دیگر احراز هویت دارد این است که حضور کاربر در هنگام احراز هویت ضروریست.
بیومتریک یک تجربه مناسب برای کاربران را ارئه کرد. در این متد، احراز هویت را بسیار راحت و سریع انجام میشود. بسیاری از غول های تکنولوژِی در حال حاضرراهکارهای احراز هویت مبتنی بر بیومتریک را ارائه می دهند. ویندوز مایکروسافت برای رایانه های رومیزی قابلیت احراز هویت با اثر انگشت و تشخیص چهره را فراهم کرده است. این شرکت قصد دارد ویندوز Hello را با قابلیتهای متعددی در آینده ارائه دهد.
با این وجود بیومتریک معایبی نیز دارد. بسیاری از سیستم های بیومتریک در حال حاضر بسیار گران هستند و همینطور در تشخیص چهره دقیق مشکل دارند..یک مطالعه که توسط محققان ژاپنی به تازگی انجام شده نان میدهد که در برخی موارد امکان تایید عکس با وضوع بالا به جای چهره وجود دارد.
یکی از نقاط قوت این روش این است که زیرساخت لازم برای پیادهسازی بیومتریک در سالهای اخیر غیرمتمرکز شده است یعنی دیتابیس مرکزی وجود ندارد تا هکرها بتوانند اطلاعات بیومتریک را از آن سرقت کنند.در نتیجه، درحین عملیات احراز هویت، اساساً مبادله کلید خصوصی و عمومی متوقف میشود، بنابراین هکری که این کلید را در اختیار دارد میتواند به اطلاعات شناسایی قربانی دسترسی پیدا کند اما امکان دستیابی به دادههای بیومتریک را به هیچ وجه ندارد.
با توجه به همه این عوامل خطر، جای تعجب نیست که موسسات استاندارد و فناوری استفاده از بیومتریک را به عنوان تنها روش تأیید اعتبار در یک شرکت توصیه نمی کند.
احراز هویت با تلفن همراه(phone Authentication)
این روش ترکیبی از چند متد احراز هویت است و خیلی زود به اولین انتخاب شرکتها برای احراز هویت تبدیل شد. در اینجا به بررسی سه تکنولوژی که بر این اساس پیادهسازی میشود، میپردازیم:
اپلیکیشنهایی که توانایی ارسال پیام را دارند(Applications that support push notifications)
هنگامی که کاربر از سرور پرسوجو میکند، فورا پیامی دریافت می کنند که شامل یک سوال تأیید هویت است یا به اطلاع رسانی ورود موفق است. مزیت اصلی این روش کاربر پسند بودن آن است، زیرا نیازی نیست که از گذرواژههای یک بار مصرف استفاده کند یا چند دستگاه در یک زمان در دسترس داشته باشد.این روش نیاز به واکنش کاربر بعد از دریافت پیام دارد.
توکنهای تلفن همراه(Mobile Tokens)
این روش به تغییر سختافزاری توکنها بلافاصله بعد از پیادهسازی مربوط میشود. در این متد، به جای وابتگی به دستگاه اضافی، تلفن همراه یک گذرواژه یک بار مصرف تولید میکند.این روش محاسبه شامل پارامترهایی مانند ساعت گوشی هوشمند و الگوریتم پیادهسازی شده در یک برنامه خاص در حال اجرا بر روی دستگاه است.
با این حال، این تکنیک نیز معایبی دارد. واقعیت این است که تولید گذرواژههای یک بار مصرف در دستگاهی که به اینترنت متصل است، آنها را به طور بالقوه در خطر حملات سایبری قرار میدهد.
احراز هویت با پیامک(SMS Authentication)
در این متد، یک گذرواژه یک بار مصرف برای کاربر پیامک میشود. این طرح در اصل در کنار پارامترهای دیگر قابل استفاده است.اما از آنجایی که گذرواژه را میتوان دوباره ارسال کرد، امنیت کاهش پیدا میکند. با این حال بسیاری از اپلیکیشنهای کاربردی، از این روش استفاده میکنند.
مزیت این روش این است که کاربر نیاز به نصب اپلیکیشن خاصی روی تلفن همراه خود ندارد.یکی از جدی ترین اشکالات این روش قابلیت اطمینان پایین آن است، زیرا رمزهای عبور ارسال شده از طریق پیامک ممکن است به روشهای مختلف به دستگاههای دیگری منتقل شود، یا هکرها با به کارگیری بدافزارها،به گذرواژه دسترسی پیدا کنند.
نتیجهگیری
در حقیقت امکان منسوخ شدن استفاده از گذرواژهها برای احراز هویت زیاد است. غولهای تکنولوژِی اخیراً به دنبال روش جاگزین مناسبی برای احراز هویت هستند با توجه به مزایا و معایب هر تکنیک ، شرکت ها و کاربران می توانند تصمیمات آگاهانه رادر این حوزه اتخاذ کنند..شاید روزی متد بدون نقصی برای احراز هویت ارائه شود اما در حال حاضر انتخابهای ما محدود به روشهای فوق است.
منبع:https://datafloq.com
