احراز هویت چند عاملی (Multi-factor Authentication)

پسوردها با وجود این که به راحتی قابل هک شدن می‌باشند ولی درحال حاضر یکی از رایج ترین ابزارهای احراز هویت کاربران به حساب می‌آیند که توسط سازمان ها برای ارتقاء سطوح امنیتی برنامه های کاربردی استفاده می‌شود. تجربه ثابت کرده است که اکثر کاربران در حفظ کلمه عبور خود بسیار بی دقت می‌باشند و اکثرا از رمزهای عبور تکراری و ضعیف برای حساب های کاربری خود استفاده می‌کنند. علاوه بر این اغلب کاربران رمزهای عبور خود را با دیگران به اشتراک می‌گذارند. به همین دلیل احراز هویت چند عاملی یک معیار امنیتی مهم و مورد نیاز برای همه سازمان‌هاست.

طبق نظرسنجی اخیرموسسه Centrify از متخصصان IT، حدود 26 درصد از پسوردهای برنامه‌های مختلف توسط کاربران به صورت اشتراکی استفاده می‌شوند. همچنین 78 درصد از کاربران حداقل یک بار قربانی حمله فیشینگ از طریق ایمیل شده‌اند. مطالعه دیگری توسط موسسه Forrester با اسپانسری Centrify از 203 شرکت امنیتی IT نشان می‌دهد دو سوم از سازمان‌ها در دو سال گذشته به طور متوسط تجریه حداقل 5 مورد نقض قوانین امنیتی را داشته‌اند. طبق گزارشات ارایه شده هکرها تنها در سال 2016 بیش از یک میلیارد رکورد اطلاعات مربوط به هویت کاربران را به سرقت برده‌اند.

رونق گرفتن احراز هویت چند عاملی

در سال‌های اخیر سازمان‌های بیشتری برای پایان دادن به نگرانی های امنیتی خود، به متدهای مختلف احراز هویت چند عاملی روی آورده‌اند. طبق نظرسنجی انجام شده در سال 2019 بین 350 تصمیم گیرنده ارشد از سازمان های مختلف، مشخص شد که 37 درصد سازمان‌ها از احراز هویت چند عاملی برای تایید هویت کارکنان خود استفاده می‌کنند. این آمار در مقایسه با 2018 30 درصد افزایش داشته است.

طبق برآوردهای استراتژیست های MRC احتمال می‌رود که حجم بازار مربوط به محصولات امنیتی مربوط به احراز هویت چند عاملی (MFA) تا سال 2022 به بالای 13.59 بیلیون دلار برسد. عمده دلیل رونق گرفتن این بازار رشد تجارت الکترونیک، افزایش معاملات آنلاین و تهدیدات امنیتی و الزامات قانونی بوده است. طبق تحقیقات Orbis سیستم‌های بانکداری، خدمات مالی و صنایع بیمه از بزرگترین متقاضیان این سرویس می‌باشند.

احراز هویت چند عاملی (MFA)

احراز هویت چند عاملی یا MFA صرفا یک اصطلاح کلیدی برای تایید هویت کاربران با پسورد و حداقل با استفاده از فرم دیگری از احراز هویت می‌باشد. در ابتدا ارایه دهندگان راهکارهای امنیتی، متدهای احراز هویت دو عاملی را به بازار ارایه کردند. احراز هویت دو عاملی که عنوان احراز هویت دوگانه یا 2FA نیز برای آن استفاده می‌شود، در واقع سطح دیگری از احراز هویت را به شناسه کاربری و پسورد اضافه می‌کند. ارایه متدهای مختلف احراز هویت دو عاملی و استفاده گسترده از این متدها باعث شد تا اکثر ارایه دهندگان محصولات امنیتی متدهای جدیدی برای احراز هویت کاربران ارایه دهند. از این متدها برای احراز هویت چند عاملی و لایه بندی شده استفاده می‌شود.

طبق اعلام شورای استانداردهای امنیتی PCI، احراز هویت چند عاملی (MFA) باید حداقل ترکیبی از دو روش از سه روش زیر باشد:

  • چیزی که شما می دانید
  • چیزی که شما دارید
  • چیزی که شما هستید

احراز هویت چند عاملی

MFAها همچنین ممکن است ازعوامل دیگری مانند موقعیت جغرافیایی کاربران و یا ماژول زمانی نیز برای احراز هویت کاربران استفاده کنند.

مثال‌هایی از روش احراز هویت چند عاملی

در زیرتعدادی از گزینه‌هایی موجود برای دستیابی به متدهای مختلف احراز هویت آورده شده است. به طور معمول، “چیزی که شما می‌دانید” می‌تواند به سادگی یک شناسه کاربری و پسورد باشد. راه حل ها و متدهای MFA می‌توانند احراز هویت کاربر را با الزام کردن او به فرستادن یک پین و یا پاسخ به یک سوال چالشی امن نماید.

“چیزهایی که شما دارید” معمولا به صورت توکن‌های فیزیکی می‌باشند که همیشه همراه شما هستند. این توکن‌ها به صورت یک کلید رمزنگاری الکترونیکی عمل می‌کنند که می‌تواند دستگاه یا برنامه ی کاربردی خاصی را با استفاده از یک پسورد رمزگذاری شده و یا داده‌های بیومتریک باز کرده و اجرا نماید. Tokenها به طور کلی با عناوین “متصل” یا “غیر متصل” شناخته می‌شوند. توکن‌های متصل اکثرا داخل یک سخت افزار ذخیره می‌شوند که از یک گواهی، کلید یا داده‌های بیومتریک حفاظت می‌کند. این سخت افزار می تواند یک SD کارت داخل یک تلفن همراه، یک تگ USB، مجوزهای نگهداری شده در کارت های هوشمند و یا یک FOB مربوط به یک کارمند باشد. تگ‌های “غیر متصل” به طور کلی کاربرد یک بار مصرف دارند و می‌توانند از طریق RFID، بلوتوث یا به صورت دستی توسط کاربر نهایی وارد کامپیوتر شوند.

متدهای احراز هویت چند عاملی

با توجه به اینکه سرویس‌های تحت وب تا حد زیادی خود را با متدهای MFA سازگار کرده اند، به همین دلیل ویژگی “چیزی که دارید” تا جایی گسترش یافته که احراز هویت کاربران با استفاده از کارت‌های اعتباری یا تلفن همراه نیز انجام شود. در روش احراز هویت با استفاده از تلفن همراه رمز عبور یک بار مصرف (OTP) یا PIN تولید شده از طریق پیامک بر روی گوشی تلفن هوشمند کاربر ارسال می‌گردد. بنابراین با استفاده از متد OTP یا یک گواهی یا کلید ذخیره شده در تلفن همراه می توان یک لایه امنیتی برای احراز هویت کاربران ایجاد کرد. احراز هویت با استفاده از تلفن همراه اغلب جایگزینی ارزان و آسان برای احراز هویت بیومتریک می‌باشد.

احراز هویت بیومتریک

احراز هویت با استفاده از”چیزی که شما هستید” یا احراز هویت بیومتریک، بیشتر بر روی ویژگی‌های فیزیکی و رفتاری استوار است. ویژگی‌های فیزیکی شامل اسکن شبکیه چشم، اسکن iris، شناسایی چهره، اثر انگشت، شناسایی صدا، هندسه دست، گوش و الگوهای رگهای دست می‌باشد. همچنین خصوصیات رفتاری می‌تواند شامل ویژگی‌های داینامیک مانند شناسایی الگوی مربوط به نحوه تایپ کاربر، میزان سرعت و یا میزان توقف بر روی یک کلید خاص باشد. با توجه به ویژگی‌های احراز هویت بیومتریکی، این متد ممکن است به تجهیزات خاصی نیاز داشته باشد. اما بسیاری از متدهای بیومتریک به راحتی از سنسورهای موجود در گوشی های هوشمند همراه استفاده می‌کنند.

احراز هویت بیومتریک

با وجود اینکه متدهای احراز هویت بیومتریک روشی امن برای احراز هویت کاربران به حساب می‌آیند، اما این متدها بدون مشکل هم نمی‌باشند. برای مثال ممکن است انگشتان دست برخی افراد نقاط کافی برای برداشتن اسکن نداشته باشند. این موضوع در افرادی که با دست های خود کارهای سنگین و فیزیکی انجام می‌دهند و یا بیماری‌های پوستی دارند بیشتر دیده می‌شود. همچنین اسکنرها نیز می‌توانند هنگام برداشتن اثر انگشت دچار اشتباه شوند. در زیر لیستی از تامین کنندگان روش‌های بیومتریک آورده شده است.

تامین کنندگان روش‌های احراز هویت بیومتریک

  • 3M
  • Early Warning’s Authentify Platform
  • Daon’s DaonEngine
  • Crossmatch DigitalPersona’s Pro Enterprise system
  • M2SYS’ Hybrid Biometric Platform
  • Nymi
  • Plurilock’s BioTracker
  • Precise Biometrics’ Tactivo
  • Realtime North America’s Biolock
  • Voice Biometrics Group VSP

احراز هویت دو عاملی

یکی ازرایج ترین نوع MFAها احراز هویت دوعاملی است که اغلب با عناوین احراز هویت دوگانه، تائید صحت دو مرحله‌ای یا 2FA نیز شناخته می‌شود. در واقع احراز هویت دو عاملی، ترکیبی از شناسه کاربری و رمز عبور به همراه متدی مبتنی بر یکی از دو روش دیگر (“چیزی که دارید” و “چیزی که شما هستید”) برای اطمینان از احراز هویت کاربر می‌باشد. معمولا یکی از متدهای رایج برای روش 2FA استفاده از شماره کارت اعتباری یا ارسال رمز عبور یک بار مصرف (OTP) از طریق SMS بر روی تلفن همراه کاربرمی‌باشد. توییتر، گوگل، مایکروسافت، اپل، فیس بوک و آمازون همه از SMS به منظور پشتیبانی از احراز هویت دو عاملی استفاده می‌کنند. احراز هویت دو عاملی معمولا برای ارتقاء امنیت تلفن‌های همراه و همچنین توسط شرکت‌های حوزه اینترنت اشیاء از قبیل Nest برای تامین امنیت دستگاه های loT استفاده می‌شود.

احراز هویت دو عاملی(2FA)

طبق نظرسنجی SecureAuth در سال 2017 مشخص شد که روش احراز هویت دو عاملی نیز در برابر حملات شکننده می‌باشد. طبق این نظرسنجی 74 درصد از شرکت کنندگان اعلام داشتند که کاربرانشان در مورد استفاده از روش 2FA اعلام نارضایتی کرده‌اند و نه درصد افراد از این روش متنفراند.

موارد استفاده از احراز هویت چند عاملی

نکته مهم در مورد استفاده از متدهای MFA برای احراز هویت کاربران این است که از این روش‌ها فقط برای امن کردن سایت های تجارت الکترونیک یا احراز هویت کاربران سازمان‌ها استفاده می شود. توصیه می‌شود قبل ازهر تصمیمی برای انتخاب متدی برای احراز هویت چند عاملی کاربران سرویس مدنظر خود، به سناریوها زیر و مسائل مربوط به آنها توجه کنید.

  • تامین کنندگان B2B: دولت آمریکا اخیرا قوانین مالی جدیدی را وضع کرده است که بانک‌ها، شرکت‌های بیمه و دیگر شرکت‌های خدمات مالی را ملزم به توسعه و نگهداری از برنامه های امنیتی سایبری شامل استانداردهای امنیتی خاص می‌کند. برای مثال این قوانین سازمان‌ها را مجبور به بررسی امنیت شرکای تجاری و حفاظت از اطلاعات آنها نیز می‌نماید. با وجود الزامات قانونی و طبق نظرسنجی جهانی NAVEX هنوز 32 درصد از متخصصان فناوری اطلاعات، تامین کنندگان شخص ثالث را از نظر امنیتی ارزیابی نمی‌کنند. امیدواریم که شما از این دسته افراد نباشید. کارشناسان امنیتی اغلب به متخصصان IT خود توصیه می‌کنند تا همیشه از کلیه کانال‌های انتقال اطلاعات حافظت کنند. زیرا تامین کنندکان Fourth-party میتوانند ریسک امنیتی آنها را افزایش دهند. یکی از روش های کاهش این نوع ریسک‌ها استفاده از احراز هویت چند عاملی می‌باشد.
  • VPN Authentication: با وجود اینکه که بیشتر کارمندان سازمان به صورت راه دور و از طریق VPN به سرویس‌ها و اطلاعات سازمان دسترسی پیدا می‌کنند، اما همچنان با ریسک امنیتی زیادی مواجه می‌باشند. به همین دلیل توصیه می‌شود هنگام ارزیابی متدهای MFA مطمئن شوید که حتما احراز هویت VPNها نیز شامل این متدها باشند.

احراز هویت چند عاملی

  • MFA for services: روش‌های سنتی log in کاربران و ارتباطات VPN برای دسترسی‌های راه دور، تنها کانال‌های ارتباطی نیستند که هکرها با دسترسی به آنها می‌توانند به اطلاعات حساس سازمان دسترسی پیدا کنند. به همین دلیل سازمان‌ها بایستی علاوه بر احراز هویت کاربران راه دورخود با استفاده از متدهای احراز هویت دو عاملی، از این متدها برای ایجاد لایه جدیدی از احراز هویت برای سرویس های خود نیز استفاده نمایند. “اگر شما از متدهای احراز هویت دو عاملی برای احراز هویت کاربران راه دور سازمان استفاده می‌کنید، دلیلی ندارد که از این متد برای احراز هویت کاربران سرویس‌های سازمان استفاده نکنید.”
  • Independece of the authentication: در صورتی که مسائل امنیتی مربوط به احراز هویت کاربران شما را نگران کرده است، توصیه می‌شود از روش‌های احراز هویت خارج از باند (Out of band authentication) برای احراز هویت کاربران خود استفاده نمایید. از آنجایی که احراز هویت خارج از باند (OOB) از شبکه‌ای متفاوت یا کانالی مجزا برای احراز هویت کاربران استفاده می‌کند، به همین دلیل با این کار، لایه امنیتی دیگری برای متد احراز هویت ایجاد می‌شود.

موارد استفاده احراز هویت چند عاملی

راهکارهای احراز هویت چند عاملی

بسیاری از ارایه دهنده گان سرویس‌ها و محصولات فناوری اطلاعات، از جمله Apple، IBM و مایکروسافت، راهکارهایی در حوزه احراز هویت دو عاملی برای محصولات خود ارائه کرده اند. همچنین بیشتر تامین کننده گان سرویس‌های این حوزه، بازارهای خاصی مانند دولت را هدف قرار داده‌اند. در زیر تعدادی از تامین کنندگان کلیدی ارائه دهنده راه حل‌های MFA لیست شده است:

  • 3M Company
  • CA Technologies
  • Cross Match Technologies
  • DeepNet Security
  • Fujitsu
  • Gemalto/SafeNet Authentication Service
  • Hid Global Corporation
  • IBM
  • Microsoft Azure MFA
  • MitoKen Solutions
  • NEC Corporation
  • Nok Nok Labs S3 Authentication Suite
  • PistolStar PortalGuard
  • RSA Security Authentication Manager
  • Safran SA
  • SecurStar
  • Suprema
  • Swivel Secure
  • Symantec VIP
  • Vasco Identikey Authorization Server + Digipass for Mobile
  • Voice Biometrics Group VSP
  • Yubico Yubikey