4/1
احراز هویت چندعاملی (Multi-factor authentication) یا MFA عبارتست از یک فرآیند امنیتی که کاربران را ملزم میکند تا قبل از اینکه بتوانند به شبکهها یا دیگر برنامههای آنلاین دسترسی یابند به درخواستهای تأیید هویت خود پاسخ بدهند. احراز هویت چندعاملی ممکن است از دانش/اطلاعات (knowledge)، مالکیت اشیاء فیزیکی، یا مکانهای جغرافیایی یا شبکه برای تأیید هویت استفاده کند.
احراز هویت چندعاملی (Multi-factor authentication) یا MFA عبارتست از یک فرآیند امنیتی که کاربران را ملزم میکند تا قبل از اینکه بتوانند به شبکهها یا دیگر برنامههای آنلاین دسترسی یابند به درخواستهای تأیید هویت خود پاسخ بدهند. احراز هویت چندعاملی ممکن است از دانش/اطلاعات (knowledge)، مالکیت اشیاء فیزیکی، یا مکانهای جغرافیایی یا شبکه برای تأیید هویت استفاده کند.
از آنجا که سازمانها عملیاتها را دیجیتال میکنند و مسئولیت بیشتری برای ذخیرهی دادههای مشتری بر عهده دارند، ریسکها و نیاز به امنیت افزایش پیدا میکند. از آنجا که مهاجمان (attackers) مدتهاست از دادههای ورود به سیستم (لاگین/login) کاربر برای ورود به سیستمهای بسیار مهم استفاده میکنند، تأیید هویت کاربر به امری ضروری تبدیل شده است.
احراز هویت بر اساس نامهای کاربری و رمزهای عبور به تنهایی نامعتبر و ناکارآمد است، چون کاربران ممکن است در ذخیره، به خاطرسپاری و مدیریت آنها در چند حساب با مشکل روبرو شوند و بسیاری از افراد رمزهای عبور را در دیگر سرویسها دوباره استفاده میکنند و رمزهای عبور فاقد پیچیدگی را ایجاد میکنند. رمزهای عبور، به خاطر سهولت در دستیابی از طریق هک (hacking)، فیشینگ (phishing) و بدافزار (malware)، امنیت ضعیفی دارند.
رایجترین نمونه از احراز هویت چندعاملی عبارتست از فرآیند استفاده از دستگاه خودپرداز یا ATM در بانک. کاربران برای دسترسی به حسابهای خود باید یک کارت بانکی (یک عامل فیزیکی) و یک کد عبور یا PIN (عامل دانش) را وارد کنند.
نمونهی آشنای دیگر عبارتست از روش رمز عبور یک بار مصرف مبتنی بر زمان (TOTP) که از سوی مؤسسات مالی و سایر شرکتهای بزرگ برای ایمنسازی گردشکارها، برنامههای کاربردی و حسابها استفاده میشود. پس از درخواست ورود به سیستم/لاگین، از کاربران خواسته میشود تا کلمهی عبور موقتی (temporary passcode) که از طریق پیام متنی، تماس تلفنی یا ایمیل برایشان ارسال شده را وارد کنند.
احراز هویت چندعاملی به ابزارهای تأییدی نیاز دارد که کاربران غیرمجاز در اختیار ندارند. از آنجا که کلمههای عبور برای تأیید هویت کافی نیستند، احراز هویت چندعاملی برای تأیید هویت به شواهد متعددی نیاز دارد. رایجترین نوع احراز هویت چندعاملی عبارتست از احراز هویت دومرحلهای (two-factor authentication) یا 2FA. اصل کلی اینست که حتی اگر عوامل تهدید بتوانند هویت کاربر را با یک مدرک جعل کنند، نمیتوانند دو یا چند مدرک را ارائه دهند.
احراز هویت چندعاملیِ مناسب، عواملی از حداقل دو دستهی مختلف را به کار میبرد. استفاده از دو مورد از یک دستهی هدف، احراز هویت چندعاملی را محقق نخواهد کرد. علیرغم استفادهی گسترده از ترکیب کلمهی عبور/سؤال امنیتی، هر دو عامل از دستهی دانش هستند و به عنوان احراز هویت چندعاملی واجد شرایط نیستند. رمز عبور و کلمهی عبور موقت واجد شرایط هستند چون کلمهی عبور یک عامل مالکیت (possession factor) است و مالکیت یک حساب ایمیل خاص یا دستگاه تلفن همراه را تأیید میکند.
احراز هویت چندعاملی یک یا دو مرحلهی اضافی در طول فرآیند ورود به سیستم را ارائه میدهد، ولی پیچیده نیست. صنعت امنیت در حال ایجاد راهکارهایی برای سادهسازی فرآیند احراز هویت چندعاملی است و تکنولوژی احراز هویت با تکامل آن شهودیتر خواهد شد.
برای مثال، عوامل بیومتریک (biometric factors) همچون اثر انگشت (fingerprints) و اسکن صورت (face scans) ورود به سیستم سریع و معتبر را فراهم میکنند. تکنولوژیهای جدیدی که از ویژگیهای دستگاه تلفن همراه مانند GPS، دوربین و میکروفون به عنوان عوامل احراز هویت استفاده میکنند، بهبود بیشتر فرآیند تأیید هویت را نوید میدهند. روشهای سادهای مثل اعلانهای فشاری (push notifications)، برای تأیید هویت فقط به یک ضربهزدن روی تلفن هوشمند یا ساعت هوشمند کاربر نیاز دارند.
بسیاری از سیستم عاملها، ارائهدهندگان خدمات و پلتفرمهای مبتنی بر حساب، احراز هویت چندعاملی را در تنظیمات امنیتی خود دارند. برای کاربران مجزا یا مشاغل کوچک، استفاده از احراز هویت چندعاملی به سادگی و راحتی رفتن به تنظیمات سیستم عاملها، پلتفرمهای وب و ارائهدهندگان خدمات و فعالسازی این ویژگیها است.
سازمانهای بزرگتر که پورتالهای شبکهی خود و چالشهای پیچیدهی مدیریت کاربران را دارند، ممکن است به استفاده از یک برنامهی احراز هویت مانند Duo نیاز داشته باشند، که یک مرحلهی احراز هویت اضافی حین ورود به سیستم را اضافه میکند.
احراز هویت چندعاملی، یک ارتقاء امنیتی است در حالیکه احراز هویت یکپارچه (single sign-on) یا SSO یک سیستم برای بهبود بهرهوری است که به کاربران امکان میدهد برای دسترسی به سیستمها و برنامههای متعدد، از یک مجموعه اعتبارنامههای ورود به سیستم (login credentials) استفاده کنند. ممکن است هر کدام از این برنامهها قبلاً به ورود به سیستم خاص خودشان نیاز داشتند.
در حالیکه احراز هویت یکپارچه به همراه احراز هویت چندعاملی کار میکند، اما جایگزین آن نمیشود. شرکتها ممکن است به احراز هویت یکپارچه نیاز داشته باشند؛ بنابراین علاوه بر احراز هویت چند عاملی از نامهای ایمیل شرکتی برای ورود به سیستم استفاده میشود. احراز هویت یکپارچه، با احراز هویت چندعاملی این کاربران را تأیید میکند و سپس با استفاده از توکنهای نرمافزاری (software tokens)، احراز هویت را با چند برنامهی کاربردی به اشتراک میگذارد.
در احراز هویت تطبیقی، قوانین احراز هویت همواره بر اساس متغیرهای زیر تنظیم میشوند:
هزینههای حملات هک و فیشینگ ممکن است زیاد باشد. از آنجا که احراز هویت چندعاملی به ایمنسازی سیستمها در برابر کاربران غیرمجاز و تهدیدات مرتبط با آنها کمک میکند، سازمان کلاً امنتر میشود.
اگر سازمانها در درخواست از کاربران برای رعایت امنیت سفت و سختتر مردّد باشند، بایستی در نظر داشته باشند که خود کاربران و به ویژه مشتریان ممکن است از امنیت بیشتر برای دادههایشان استقبال کنند. وقتی مشتریان به حفاظتهای امنیتی (security protections) فروشنده اعتماد میکنند، به احتمال زیاد به سازمان اعتماد خواهند کرد؛ و این امر به این معناست که احراز هویت چندعاملی به یک مزیت رقابتی مهم تبدیل میشود.
-------------------------------------------------------------------------------------
دفاعهای موفق در برابر حملات میتوانند بازگشت سرمایه را فراهم کنند که هزینههای یک راهکار احراز هویت چندعاملی را پوشش میدهد؛ به عنوان مثال، جلوگیری از حملهی پرهزینه و مخرب به منابع شبکه. احراز هویت چندعاملی حتی بدون جلوگیری از حملات میتواند با فراهم آوردن امکان برای بخشهای IT جهت استقرار منابع به منظور حفاظت از سایر بخشهای شبکه در برابر تهدیدات مختلف، در هزینهی سازمانها صرفهجویی کند.
-------------------------------------------------------------------------------------
با پیشرفت تکنولوژی احراز هویت چندعاملی و استفادهی بیشتر از روشهای غیرفعال مانند بیومتریک و توکنهای نرمافزار، این روش کاربرپسندتر خواهد شد. فرآیندهای احراز هویت چندعاملی آسان به کاربران کمک میکند تا سریعتر وارد سیستم شوند، بنابراین کارمندان میتوانند بهرهوری بیشتری داشته باشند.
در تجارت الکترونیک (e-commerce)، مشکلات ورود به سیستم میتواند به معنای از دست رفتن فروش باشد. فرآیندهای احراز هویت چندعاملی کاربرپسند که تجربهی کاربر را بهبود میبخشند، میتوانند به مشتریان کمک کنند تا وارد سیستم شوند و در نهایت محصولات را خریداری کنند.
دانش (معمولاً رمز عبور)، متداولترین ابزار مورد استفاده در راهکارهای احراز هویت چندعاملی است. اما، رمزهای عبور در عین سادگی به یک مشکل امنیتی تبدیل شده و بهرهوری را کاهش میدهند.
امروزه، کاربران رمزهای عبور بسیار زیادی دارند؛ کاربران برای سهولت مدیریت رمزهای عبور، رمزهای عبوری ایجاد میکنند که ایمن نیستند یا به طور مکرر در پلتفرمها استفاده میشوند. یکی دیگر از معایب اینست که دانش ممکن است فراموش شود یا اگر در جایی ذخیره شود ممکن است به سرقت برود.
سؤال امنیتی (روش دانش دیگری که به طور گسترده استفاده میشود، اما مورد توجه قرار نمیگیرد) از کاربر میخواهد که پاسخ یک سؤال شخصی را در پروفایل خود ذخیره کند و سپس آن را حین ورود به سیستم وارد کند. بسیاری از کاربران، این فرآیند را به دلیل نیاز به وارد کردن مکرر دادهها و ذخیره و مدیریت پاسخها دشوار میدانند.
سؤال امنیتی پویا که مؤثرتر و کاربرپسندتر است معمولاً اطلاعات زمینهای را درخواست میکند که کاربر به آنها دسترسی دارد مانند تراکنش مالی اخیر.
-------------------------------------------------------------------------------------
عوامل فیزیکی (که عوامل مالکیت نیز نامیده میشوند) از توکنهایی مانند دانگل USB یا یک دستگاه قابلحمل استفاده میکنند که یک کد QR (quick response/پاسخ سریع) موقت تولید میکند. استفاده از تلفنهای همراه بسیار رایج است، چون این مزیت را دارند که در اکثر موقعیتها به سهولت در دسترس باشند.
جنبهی مثبت اینست که عوامل فیزیکی خارج از شبکه قرار دارند و معمولاً جعل آنها دشوار است. اما دستگاههایی مانند تلفنها ممکن است گم شوند یا به سرقت بروند و شبکههای سیار ممکن است آسیبپذیریهای امنیتیشان را نشان دهند.
توکنهای مجازی "نرم (soft)" عبارتند از یک کوکی (cookie) یا کد ذخیرهشده به نحوی که یک دستگاه را اساساً به یک توکن فیزیکی تبدیل میکنند. ممکن است توکنهای نرم برای همهی کاربران مناسب نباشند چون برای استفادهی صحیح به نرمافزار و تخصص نیاز دارند. بعلاوه، توکنهای نرم را میتوان کپی کرد، و این امر ممکن است به استفادهی غیرمجاز منجر شود.
استاندارد U2F یک توکن USB یا ارتباط میدان نزدیک (near-field communication یا NFC) را با یک برنامهی کاربردی استاندارد باز (open-standard application) ترکیب میکند و یک روش ساده برای استفاده از عوامل احراز هویت اضافی با پلتفورمهایی که از آنها پشتیبانی میکنند را ارائه میدهد.
-------------------------------------------------------------------------------------
این دسته شامل بیومتریکهایی مانند اسکن اثر انگشت، صورت و شبکیهی چشم است. با پیشرفت تکنولوژی، ممکن است ID صوتی یا سایر دروندادهای رفتاری مانند متریکهای ضربه زدن به کلید را هم شامل شوند. ازآنجاکه عوامل ذاتی بسیار منحصر به فرد، همیشه حاضر و ایمن هستند، این دسته آیندهی درخشانی دارد.
اما، تمام دستگاهها از نرمافزار، قدرت پردازش و ویژگیهای سختافزاری لازم (مانند میکروفون و دوربین) برخوردار نیستند، بنابراین بعضی از کاربران ممکن است نتوانند از این پیشرفتها در قابلیت استفاده و امنیت احراز هویت چندعاملی استفاده کنند.
-------------------------------------------------------------------------------------
سیستمهای احراز هویت میتوانند از مختصات GPS، پارامترهای شبکه و فراداده (metadata) برای شبکهی مورد استفاده و تشخیص دستگاه برای احراز هویت چندعاملی استفاده کنند. احراز هویت تطبیقی این نقاط داده را با دادههای کاربری تاریخی (historical) یا زمینهای (contextual) ترکیب میکند.
این عوامل از این مزیت برخوردارند که در پسزمینه فعالیت میکنند و درونداد بسیار اندکی از سوی کاربران نیاز است؛ به این معنا که مانع بهرهوری نمیشوند. اما، چون استفاده از آنها به نرمافزار و تخصص نیاز دارد، بیشتر برای سازمانهای بزرگی مناسب هستند که منابعی برای مدیریت آنها در اختیار دارند.
رمز عبور یکبار مصرف مبتنی بر زمان معمولاً در احراز هویت دومرحلهای یا 2FA استفاده میشود، ولی میتواند برای هر روش احراز هویت چندعاملی اعمال شود که هنگام ورود به سیستم و پس از تکمیل مرحلهی اول، یک مرحلهی دوم به صورت پویا ارائه میدهد. زمان انتظار برای مرحلهی دوم (که در آن رمزهای عبور موقت از طریق پیام کوتاه یا ایمیل ارسال میشود) معمولاً کوتاه است و استفاده از این فرآیند برای طیف وسیعی از کاربران و دستگاهها آسان و راحت است. این روش در حال حاضر به طور گسترده استفاده میشود.
در بخش عملیاتی، احراز هویت دومرحلهای به استفاده از نرمافزار یا یک فروشندهی خارجی برای ارائهی خدمات نیاز دارد. همانند استفاده از دستگاههای تلفن همراه به عنوان توکنهای فیزیکی، شبکههای سیار میتوانند مسائل امنیتی خودشان را داشته باشند.
کلید امنیتی معمولاً یک کد QR است که کاربر با یک دستگاه سیار اسکن میکند تا یک سری اعداد را تولید کند. سپس کاربر آن اعداد را در وبسایت یا برنامهی کاربردی وارد میکند تا به آن دسترسی یابد. کلمات عبور پس از مدت زمان مشخصی منقضی میشوند و دفعهی بعد که کاربر به حساب کاربری خود وارد میشود، کلمهی عبور جدید ایجاد میشود.
-------------------------------------------------------------------------------------
در این مورد، کاربر به وبسایت اجازه میدهد تا از نام کاربری و رمز عبور رسانههای اجتماعی وی برای ورود به سیستم استفاده کند. این یک فرآیند ورود به سیستم/لاگین آسان است، و به طور کلی برای همهی کاربران در دسترس است.
اما شبکههای رسانههای اجتماعی غالباً هدف مجرمان آنلاین هستند چون منبعی غنی از دادههای کاربران را ارائه میدهند. بعلاوه، بعضی از کاربران ممکن است دغدغهها و نگرانیهایی در خصوص پیامدهای امنیتی و حریم خصوصی به اشتراکگذاری لاگینها با شبکههای رسانههای اجتماعی داشته باشند.
-------------------------------------------------------------------------------------
احراز هویت مبتنی بر ریسک که گاهی احراز هویت چندعاملی تطبیقی نامیده میشود، احراز هویت تطبیقی و الگوریتمهای محاسبهکنندهی ریسک و کنترلکنندهی بافت درخواستهای ورود به سیستم /لاگین خاص را ترکیب میکند. هدف این روش کاهش لاگینهای بیش از حد و ارائهی گردشکار کاربرپسندتر است.
برای کاربرانی که تعداد زیادی لاگین برای سیستمهای مختلف دارند، احراز هویت مبتنی بر ریسک میتواند یک صرفهجویی در زمان پراهمیت باشد. اما، احراز هویت مبتنی بر ریسک به نرمافزاری نیاز دارد که نحوهی تعامل کاربران با یک سیستم و تخصص IT را برای استقرار و مدیریت بیاموزد.
-------------------------------------------------------------------------------------
احراز هویت دومرحلهای مبتنی بر فشار ضمن اینکه سهولت استفاده را بهبود میبخشد، با افزودن لایههای امنیتی افزوده روی SMS و TOTP 2FA توسعه مییابد. احراز هویت دومرحلهای مبتنی بر فشار، هویت کاربر را با چند عامل احراز هویت تأیید میکند که روشهای دیگر نمیتوانند انجام دهند. ازآنجاکه احراز هویت دومرحلهای مبتنی بر فشار اعلانهایی را از طریق شبکههای داده مانند تلفن همراه یا Wi-Fi ارسال میکند، کاربران برای استفاده از قابلیت احراز هویت دومرحلهای باید به دادههای روی دستگاههای سیار خود دسترسی داشته باشند.
نظرات کاربران: