محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

احراز هویت چیست؟ بررسی مفهوم Authentication و معرفی انواع آن

Authentication یا احراز هویت به فرآیندی گفته می شود که در آن ارسال کننده یا دریافت کننده اطلاعات برای همدیگر اطلاعاتی را ارائه می کنند تا مطمئن شوند آنها همانی هستند که ادعا می کنند. به نوعی در احراز هویت بررسی می شود که شخص یا ... همانی هست که ادعا می کند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
احراز هویت چیست ؟ Authentication چیست ؟ انواع احراز هویت

اگر ارسال کننده یا دریافت کننده اطلاعات نتوانند به درستی برای همدیگر احراز هویت شوند در این میان اعتمادی ایجاد نمی شود که آنها بتوانند با همدیگر تبادل اطلاعات داشته باشند. احراز هویت یا Authentication همانطور که گفتیم یک فرآیند است و این فرآیند هم می تواند بسیار بسیار ساده باشد و هم می تواند بسیار بسیار پیچیده و دشوار باشد.

ساده ترین راهکار احراز هویت که همگی ما از آن استفاده کرده ایم ساختار بسیار ساده یک کلید احراز هویت متنی است که ما آن را به عنوان پسورد یا رمز عبور می شناسیم و برای احراز هویت شدن در سیستم های مختلف از آن استفاده می کنیم. اما احراز هویت به تنهایی شامل فاکتورهای مختلفی است که برای بالا بردن سطح امنیتی آن ما این فاکتورها را به شکل زیر طبقه بندی کرده ایم ، هر چقدر شما از فاکتورهای بیشتری در احراز هویت استفاده کنید طبیعتا امنیت شما نیز بالاتر خواهد رفت :

چیزی که شما می دانید یا What you know

ساده ترین و البته ضعیف ترین فاکتور احراز هویت یا Authentication در امنیت اطلاعات چیزی است که شما می دانید . ساده ترین مثال آن را نیز همین رمز عبور یا پسوردی می توانیم تعبیر کنیم که از آن در طی روز ممکن است بارها استفاده کنیم. مهمترین نکته در خصوص این فاکتور احراز هویت این است که اگر چیزی که شما می دانید به عنوان روش احراز هویت استفاده می شود .

  • برای یادگیری و پیشرفت در حوزه امنیت اطلاعات و آموزش هک و نفوذ ، یادگیری دوره آموزش سکیوریتی پلاس Security+ ، دوره آموزش CEH ( دوره آموزشی هک قانونمند ) را حتما به عزیزان توصیه می کنم. اگر می خواهید تبدیل به یک کارشناس حرفه ای تست نفوذ و امنیت اطلاعات شوید ، پیشنهاد می کنم مقاله چگونه هکر شویم را مطالعه کنید. همچنین اگر علاقه مند به مباحث تحلیل بدافزارها و ویروس های کامپیوتری هستید ، یادگیری دوره آموزش تحلیل بدافزار را توصیه می کنم.

بنابراین اگر این چیز را شخص دیگری هم بداند ، آن شخص می تواند به جای شما احراز هویت شود. یک رمز عبور یا پسورد می تواند دزدیده شود و یا بر اساس سهل انگاری افراد در جایی یادداشت شود و لو برود که همین امر باعث می شود که هر کسی که پسورد را پیدا کند و یا بداند خودش را بتواند به جای شخص دیگری جا بزند. در بسیاری اوقات ما خودمان پسوردهایمان را در اختیار دیگران قرار می دهیم ، همین رمز عبور WiFi ای که ما استفاده می کنیم و هر کسی از راه می رسد به او می دهیم یک روش احراز هویت برای Access Point ما محسوب می شود.

انواع روش های احراز هویت ، روش های احراز هویت در امنیت اطلاعات

علاوه بر اینها پسوردها هم از درجه های امنیتی متفاوتی برخوردار هستند ، ممکن است یک پسورد بسیار ساده باشد و قابل حدس و چه بسا با استفاده از کلمات شناخته شده طراحی شده باشد و از طرفی دیگر آنقدر می تواند پیچیده باشد که به هیچ عنوان قابل حدس زدن نباشد. پسوردهای قابل حدس توسط نرم افزارهایی که برای همین کار طراحی شده اند قابل هک شدن هستند.

یکی از مهمترین مشکلاتی که در سازمان های ما وجود دارد این است که کاربران توانایی انتخاب یک پسورد قوی برای سیستم را ندارند و پسوردها معمولا بسیار ساده و قابل حدس هستند ، سعی کنیم برای پرسنل سازمان خود آموزش هایی در خصوص روش ایجاد کردن یک پسورد قوی برگزار کنیم . هر چند تجربه بنده نشان می دهد که همان رمز عبوری که در کلاس طراحی می شود به عنوان رمز عبور بیش از 50 درصد کاربرانی که آموزش دیده اند بعدها استفاده خواهد شد. کاربران به راحتی پسوردهای خودشان را فراموش می کنند. برای ایجاد کردن یک پسورد قوی به این آموزش ساده مراجعه کنید.

چیزی که شما دارید یا What you have

چیزی که شما دارید یا What you have به این معناست که شما دارای یک دستگاه فیزیکی هستید که این دستگاه شما را احراز هویت می کند و شما نیازی به حفظ کردن چیزی ندارید و صرفا با داشتن این دستگاه احراز هویت خواهید شد ، از نمونه های این دستگاه ها می توانیم به کارت های هوشمند ، توکن های امنیتی و ... اشاره کنیم.

منطقی که برای فاکتور دوم احراز هویت وجود دارد این است که اگر شما یک کارت هوشمند در کنار خود دارید بنابراین مالک آن نیز هستید و مالک دسترسی های مربوط به آن نیز خواهید بود. تصور کنید برای ورود و خروج به یک اتاق سرور یا یک محوطه امنیتی شما باید یک کارت را در دستگاه مربوطه وارد کنید و فقط کارتی می تواند وارد این محیط شود که متعلق به محمد نصیری است ، حالا اگر هر کسی این کارت را در اختیار داشته باشد می تواند محمد نصیری باشد.

مشکل اصلی در اینجاست که محمد نصیری ممکن است کارت مورد نظر را گم کند و یا کارت از او به سرقت رفته باشد و یا در شرایط بدتر خود محمد نصیری کارت را به کسی داده باشد ، حتی احتمال کپی برداری از کارت مورد نظر نیز وجود دارد ، کاربران ممکن است رمز عبور خود را فراموش کنند و اینها ممکن است کارت هوشمند و توکن خود را نیز گم کنند. اگر بحث امنیت اطلاعات را کنار بگذاریم حتی با داشتن یک کارت شناسایی گم شده امکان جعل هویت نیز وجود دارد. اما به هر حال یکی از فاکتورهای دیگر احراز هویت what you have یا چیزی که شما دارید است.

کارت هوشمند چیست ، روش های احراز هویت ، Authentication Factors
انواع روش های احراز هویت ، Authentication Factors توکن چیست

چیزی که شما هستید یا What you are

کاربران ممکن است رمز عبور خود را فراموش کنند ، کاربران ممکن است کارت هوشمند خود را گم کنند اما قطعا فراموش نمی کنند که دست و بدن خود را همراه خود به اینور و آنور ببرند. در فاکتور سوم احراز هویت از اعضا و پارامترهای فیزیکی بدن انسان برای احراز هویت استفاده می شود که برای هر فردی در دنیا منحصر به فرد است .

برای مثال در این نوع از احراز هویت از الگوی اثر انگشت ، الگوی صدای شخص ، الگوی مردمک و عنبیه چشم ، الگوی کف دست ، الگوی DNA و ... استفاده می شود. مشکلاتی که در استفاده از این روش احراز هویت وجود دارد این است که ممکن است ما مواردی false positive و مواردی false negative داشته باشیم که به معنی وجود اشتباهات در سیستم احراز هویت است .

البته این مشکل بستگی به مکانیزمی دارد که شما استفاده می کنید ، من یک نرم افزار ساده احراز هویت توسط چهره داشتم که بعد از نصب بر روی سیستم و نگاه کردن به آن به سیستم وارد می شدم ، هیچ کس نمی توانست به غیر از من توسط این نرم افزار تشخیص داده شود تا اینکه خواهرزاده 4 ساله من به نگاه کردن به وبکم موفق به ورود به سیستم شد !!!

احراز هویت بیومتریک چیست ، روش های مختلف احراز هویت

یکی دیگر از مشکلاتی که برای پیاده سازی احراز هویت با فاکتور سوم وجود دارد این است که هزینه پیاده سازی این نوع مکانیزم بسیار بسیار بیشتر از هزینه های سایر سیستم های احراز هویتی در سطح کلان می باشد. تهیه دستگاه های اسکنر اعضای بدن و قیمت های آن بسیار می تواند بالا باشد و بر حسب درجه امنیتی محل مورد نظر از سیستم هال مختلفی می تواند استفاده شود ، به فاکتور چیزی که شما هستید در اصطلاح فنی تر احراز هویت بیومتریک یا Biometric هم گفته می شود. بسیاری از افراد برای کار کردن با چنین سیستمی راحت نیستند و ترجیح می دهند از سیستم های ساده تر احراز هویت استفاده کنند.

کاری که شما می کنید یا What you do

کاری که شما می کنید یا What you do در واقع یک نوع احراز هویت بیومتریک است که جزو زیرمجموعه های فاکتور سوم به حساب می آید ، در این روش احراز هویت رفتارهایی که شما انجام می دهید تجزیه و تحلیل می شود و بر حسب آنها تشخیص داده می شود که شخص مورد نظر همانی است که ادعا می کند یا خیر ، یکی از مرسوم ترین روش هایی که در این خصوص استفاده می شود سرعت تایپ کردن پسورد شما است .

فرض کنید شما پسورد خود را در حالت عادی در عرض 15 ثانیه وارد می کنید و سیستم در صورتیکه شما در بازه زمانی 15 تا 20 ثانیه پسورد خود را وارد کنید تشخیص می دهد که خود شما هستید ، حالا فرض کنید که سیستم تشخیص می دهد که شما پسورد را درست وارد کرده اید اما بر حسب عادتی که داشته اید نبوده است و پسورد حدود 40 تا 50 ثانیه طول کشیده است تا وارد شود .

حالا با اینکه پسورد درست است اما سیستم احراز هویت تشخیص می دهد که پسورد شما به سرقت رفته است و شخصی در حال خواندن و تایپ کردن پسورد است و به شخص مورد نظر اجازه Login نخواهد داد. البته احراز هویت به این روش چندان هم دقیق نیست و به همین دلیل بیشترین استفاده از این نوع مکانیزم های احراز هویتی در لابراتوارها است و در محیط واقعی چندان کاربردی ندارند.

Multifactor Authentication چیست انواع احراز هویت

احراز هویت چند فاکتوری یا Multifactor Authentication

همانطور که از نامش هم پیداست یعنی از چندین فاکتور احراز هویت در احراز هویت افراد استفاده شود. برای مثال شما کارت بانکی که دارید دارای سیستم احراز هویت Two Factor Authentication یا احراز هویت دو فاکتوره است چون هم از شما رمز عبور پرسیده می شود و هم اینکه باید کارت بانکی را داشته باشید.

یا اینکه شما کارت شناسایی دارید که بعد از وارد کردن کارت شناسایی در دستگاه مربوطه باید اثر انگشت شما نیز تایید شود و ایندو با هم تشکیل یک سیستم احراز هویت را می دهد. اگر هر سه فاکتور با هم در یک سیستم احراز هویت استفاده شود باعث بالا رفتن حداکثری امنیت می شود اما این نکته را فراموش نکنیم که هر چقدر امنیت شما بالا برود بالطبع آن دسترسی پذیری و چه بسا عملیاتی بودن یا Functionality سیستم شما پایین می آید و امنیت دیگر به عنوان یک فاکتور مزاحم در نظر گرفته می شود تا یک فاکتور آرامش بخش ، یک مثال ساده را می زنم ، آنتی ویروس شما اگر زیادی به ویروس ها و فعالیت های سیستم شما گیر بدهد طبیعتا آن را خاموش می کنید چون دسترسی پذیری و عملکرد سیستم شما را دچار اختلال کرده است ، همین مورد برای UAC ویندوز هم صادق است.


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، بنیانگذار انجمن تخصصی فناوری اطلاعات ایران و مجموعه توسینسو ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 80 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر و ناظر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات