در شبکههای رایانه ای اصالت سنجی بدین معناست که یک سرویس دهنده بتواند تشخیص دهد کسی که تقاضایی را روی آن سیستم دارد شخص حقیقی و یا یک بد افزار است تا بدین ترتیب به گیرنده پیام اطمینان داده شود که پیام از همان مبدا ادعا شده میباشد. هر مکانیزمیکه بتواند هویت واقعی یک فرد را بدون هیچ ابهامی، تایید یا رد کند سرویسی جهت احراز هویت است. این سرویس برخلاف باور عموم یکی از پیچیده ترین مباحث امنیت شبکه به شمار می رود.
برای مثال، فرض کنید می خواهید یک تراکنش کارت به کارت در نرم افزار بانک مربوطه انجام دهید، برای اینکار برنامه از شما رمز دوم، cvv2 و مشخصات دیگر مربوط به کارتتان را درخواست میکند؛ این فرایند به جهت اطمینان برنامه از درستی هویت شما به عنوان صاحب کارت است. شما با وارد کردن اطلاعات صحیح خواسته شده، اصالت هویت خود را اثبات میکنید. در اینجا یک سوال پیش می آید که در ادامه به آن میپردازیم.
احراز هویت (Authentication) با شناسایی (Identification) چه تفاوتی دارد؟
با یک مثال می توانیم به خوبی تفاوت این دو مفهوم را توضیح دهیم. وقتی در یک بانک که قبلا حساب نداشته اید، اقدام به افتتاح حساب میکنید، نیاز است با مدارک شناسایی خود به شعبه بانک مربوطه مراجعه کنید و هویت خود را معرفی کرده تا بانک هویت شما را شناسایی کند. به این فرآیند در ارائه خدمات، شناسایی مشتری یا Identification میگویند. اما بعد از آن، بابت اعمالی که می خواهید انجام دهید لازم است هربار احراز هویت (Authentication) شوید. در مثال انتقال وجه از طریق عابر بانک، زمانی که شما کارت بانکی خود را وارد عابر بانک میکنید، سیستم بانک با استفاده از اطلاعات کارت شما، هویت شما را شناسایی میکند (شناسایی مشتری) و با وارد کردن رمز توسط شما، می فهمد که کسی که از کارت شما استفاده میکند خود شما هستید (احراز هویت).
فاکتورهای اصلی سیستم های شناسایی و احراز هویت
احراز هویت برای پاسخگویی کاربر به اعمالی است که بر روی سیستم انجام می دهد. احراز هویت فرایندی است که بر اساس آن بررسی میشود که آیا طرف مقابل ارتباط همانی است که باید باشد یا یک نفوذگر است که خود را به جای طرف واقعی جا زده است. بررسی هویت واقعی طرف مقابل ارتباط، عملی دشوار است که چند فاکتور اساسی دارد:
- چیزی که شما می دانید (What You Know):
این فاکتور، ساده ترین و ضعیف ترین فاکتور احراز هویت (Authentication) در امنیت اطلاعات است. مانند رمز دوم کارتتان. با توجه به اینکه چیزی را که شما می دانید را فرد دیگری هم می تواند بداند، پس آن شخص می تواند به جای شما احراز هویت شود؛ از این رو این فاکتور، ضعیف است و امکان حملاتی مثل فیشینگ در مثال بانک، زیاد است.
- چیزی که شما دارید (What You Have):
همانطور که از نامش پیداست، این فاکتور به معنای داشتن سخت افزارهایی مثل کارت های هوشمند، Token ها و ... میباشد. اما این روش هم مانند روش قبل، چندان مناسب نیست زیرا هرکس دیگری هم به این ابزار سخت افزاری دسترسی پیدا کند، می تواند هویت شما را دارا شود.
- چیزی که شما هستید (What You Are):
در دو روش قبلی، امکان فراموش کردن رمز و یا گم کردن ابزار سخت افزاری زیاد بود اما قطعا همیشه اعضای فیزیکی بدن شما همه جا همراهتان هست و مثلا کسی دست شما را نمی تواند بدزدد! اثر انگشت ، نمونه DNA، الگوی مردمک و عنبیه چشم ، الگوی کف دست و صدای شخص و ... نمونههایی از این فاکتور هستند که به آن در اصطلاح فنی تر احراز هویت بیومتریک (Biometric) هم گفته میشود. یکی از عیب هایی که به این روش وارد است، هزینه بسیار زیاد برای پیاده سازی مکانیزم و دستگاههای مربوطه میباشد.
- احراز هویت چند فاکتوری (Multifactor Authentication)
همانطور که از نامش هم پیداست یعنی از چندین فاکتور برای احراز هویت افراد استفاده شود. برای مثال شما کارت بانکی که دارید دارای سیستم احراز هویت Two Factor Authentication یا احراز هویت دو عامله است چون هم از شما رمز عبور پرسیده میشود و هم اینکه باید کارت بانکی را داشته باشید. یا اینکه شما کارت شناسایی دارید که بعد از وارد کردن کارت شناسایی در دستگاه مربوطه باید اثر انگشت شما نیز تایید شود و این دو با هم تشکیل یک سیستم احراز هویت دو عامله (2FA) را می دهد.
اگر هر سه فاکتور با هم در یک سیستم احراز هویت استفاده شود، سیستم دارای احراز هویت Multifactor Authentication یا احراز هویت چند عامله است که امنیت حداکثری ایجاد میشود اما امنیت حداکثری، باعث پایین آمدن دسترسی پذیری و عملیاتی بودن (Functionality) سیستم شما میشود و امنیت به عنوان یک عامل اذیت کننده محسوب میشود، یک مثال ساده آنتی ویروس است که اگر زیاد مانع فعالیت های سیستم شما شود طبیعتا شما آن را خاموش میکنید چون دسترسی پذیری و عملکرد شما را دچار اختلال کرده است.
در خبر بعدی، به معرفی یکی از روش های احراز هویت، به نام (Single Sign On (SSO که از محصولات شرکت هویتا هم هست میپردازیم. در صفحه "سامانه احراز هویت متمرکز SSO تجهیز شده به درگاه امضای دیجیتال" می توانید درباره این محصول اطلاعات کسب کنید.