احراز هویت چند عاملی (Multi-factor Authentication)
پسوردها با وجود این که به راحتی قابل هک شدن میباشند ولی درحال حاضر یکی از رایجترین ابزارهای احراز هویت کاربران به حساب میآیند که توسط سازمانها برای ارتقاء سطوح امنیتی برنامههای کاربردی استفاده میشود. تجربه ثابت کرده است که اکثر کاربران در حفظ کلمه عبور خود بسیار بیدقت میباشند و اکثرا از رمزهای عبور تکراری و ضعیف برای حسابهای کاربری خود استفاده میکنند. علاوهبراین اغلب کاربران رمزهای عبور خود را با دیگران به اشتراک میگذارند. به همین دلیل احراز هویت چند عاملی یک معیار امنیتی مهم و مورد نیاز برای همه سازمانهاست.
طبق نظرسنجی اخی رموسسه Centrify از متخصصان IT، حدود 26 درصد از پسوردهای برنامههای مختلف توسط کاربران به صورت اشتراکی استفاده میشوند. همچنین 78 درصد از کاربران حداقل یک بار قربانی حمله فیشینگ از طریق ایمیل شدهاند. مطالعه دیگری توسط موسسه Forrester با اسپانسری Centrify از 203 شرکت امنیتی IT نشان میدهد دو سوم از سازمانها در دو سال گذشته به طور متوسط تجریه حداقل 5 مورد نقض قوانین امنیتی را داشتهاند. طبق گزارشات ارایه شده هکرها تنها در سال 2016 بیش از یک میلیارد رکورد اطلاعات مربوط به هویت کاربران را به سرقت بردهاند.
رونق گرفتن احراز هویت چند عاملی
در سالهای اخیر سازمانهای بیشتری برای پایان دادن به نگرانیهای امنیتی خود، به متدهای مختلف احراز هویت چند عاملی روی آوردهاند. طبق نظرسنجی انجام شده در سال 2019 بین 350 تصمیم گیرنده ارشد از سازمانهای مختلف، مشخص شد که 37 درصد سازمانها از احراز هویت چند عاملی برای تایید هویت کارکنان خود استفاده میکنند. این آمار در مقایسه با 2018، 30 درصد افزایش داشته است.
طبق برآوردهای استراتژیستهای MRC احتمال میرود که حجم بازار مربوط به محصولات امنیتی مربوط به احراز هویت چند عاملی (MFA) تا سال 2022 به بالای 13.59 بیلیون دلار برسد. عمده دلیل رونق گرفتن این بازار رشد تجارت الکترونیک، افزایش معاملات آنلاین و تهدیدات امنیتی و الزامات قانونی بوده است. طبق تحقیقات Orbis سیستمهای بانکداری، خدمات مالی و صنایع بیمه از بزرگترین متقاضیان این سرویس میباشند.
احراز هویت چند عاملی (MFA)
احراز هویت چند عاملی یا MFA صرفا یک اصطلاح کلیدی برای تایید هویت کاربران با پسورد و حداقل با استفاده از فرم دیگری از احراز هویت میباشد. در ابتدا ارایه دهندگان راهکارهای امنیتی، متدهای احراز هویت دو عاملی را به بازار ارایه کردند. احراز هویت دو عاملی که عنوان احراز هویت دوگانه یا 2FA نیز برای آن استفاده میشود، در واقع سطح دیگری از احراز هویت را به شناسه کاربری و پسورد اضافه میکند. ارایه متدهای مختلف احراز هویت دو عاملی و استفاده گسترده از این متدها باعث شد تا اکثر ارایهدهندگان محصولات امنیتی متدهای جدیدی برای احراز هویت کاربران ارایه دهند. از این متدها برای احراز هویت چند عاملی و لایهبندی شده استفاده میشود.
طبق اعلام شورای استانداردهای امنیتی PCI، احراز هویت چند عاملی (MFA) باید حداقل ترکیبی از دو روش از سه روش زیر باشد:
- چیزی که شما می دانید
- چیزی که شما دارید
- چیزی که شما هستید
MFAها همچنین ممکن است ازعوامل دیگری مانند موقعیت جغرافیایی کاربران و یا ماژول زمانی نیز برای احراز هویت کاربران استفاده کنند.
مثالهایی از روش احراز هویت چند عاملی
در زیر تعدادی از گزینههایی موجود برای دستیابی به متدهای مختلف احراز هویت آورده شده است. به طور معمول، “چیزی که شما میدانید” میتواند به سادگی یک شناسه کاربری و پسورد باشد. راه حلها و متدهای MFA میتوانند احراز هویت کاربر را با الزام کردن او به فرستادن یک پین و یا پاسخ به یک سوال چالشی امن نماید.
“چیزهایی که شما دارید” معمولا به صورت توکنهای فیزیکی میباشند که همیشه همراه شما هستند. این توکنها به صورت یک کلید رمزنگاری الکترونیکی عمل میکنند که میتواند دستگاه یا برنامه کاربردی خاصی را با استفاده از یک پسورد رمزگذاری شده و یا دادههای بیومتریک باز کرده و اجرا نماید. Tokenها به طور کلی با عناوین “متصل” یا “غیر متصل” شناخته میشوند. توکنهای متصل اکثرا داخل یک سخت افزار ذخیره میشوند که از یک گواهی، کلید یا دادههای بیومتریک حفاظت میکند. این سخت افزار میتواند یک SD کارت داخل یک تلفن همراه، یک تگ USB، مجوزهای نگهداری شده در کارتهای هوشمند و یا یک FOB مربوط به یک کارمند باشد. تگهای “غیر متصل” به طور کلی کاربرد یک بار مصرف دارند و میتوانند از طریق RFID، بلوتوث یا به صورت دستی توسط کاربر نهایی وارد کامپیوتر شوند.
با توجه به اینکه سرویسهای تحت وب تا حد زیادی خود را با متدهای MFA سازگار کردهاند، به همین دلیل ویژگی “چیزی که دارید” تا جایی گسترش یافته که احراز هویت کاربران با استفاده از کارتهای اعتباری یا تلفن همراه نیز انجام شود. در روش احراز هویت با استفاده از تلفن همراه رمز عبور یکبار مصرف (OTP) یا PIN تولید شده از طریق پیامک بر روی گوشی تلفن هوشمند کاربر ارسال میگردد. بنابراین با استفاده از متد OTP یا یک گواهی یا کلید ذخیره شده در تلفن همراه میتوان یک لایه امنیتی برای احراز هویت کاربران ایجاد کرد. احراز هویت با استفاده از تلفن همراه اغلب جایگزینی ارزان و آسان برای احراز هویت بیومتریک میباشد.
احراز هویت بیومتریک
احراز هویت با استفاده از”چیزی که شما هستید” یا احراز هویت بیومتریک، بیشتر بر روی ویژگیهای فیزیکی و رفتاری استوار است. ویژگیهای فیزیکی شامل اسکن شبکیه چشم، اسکن iris، شناسایی چهره، اثر انگشت، شناسایی صدا، هندسه دست، گوش و الگوهای رگهای دست میباشد. همچنین خصوصیات رفتاری میتواند شامل ویژگیهای داینامیک مانند شناسایی الگوی مربوط به نحوه تایپ كاربر، میزان سرعت و یا میزان توقف بر روی یک کلید خاص باشد. با توجه به ویژگیهای احراز هویت بیومتریکی، این متد ممکن است به تجهیزات خاصی نیاز داشته باشد. اما بسیاری از متدهای بیومتریک به راحتی از سنسورهای موجود در گوشیهای هوشمند همراه استفاده میکنند.
با وجود اینکه متدهای احراز هویت بیومتریک روشی امن برای احراز هویت کاربران به حساب میآیند، اما این متدها بدون مشکل هم نمیباشند. برای مثال ممکن است انگشتان دست برخی افراد نقاط کافی برای برداشتن اسکن نداشته باشند. این موضوع در افرادی که با دستهای خود کارهای سنگین و فیزیکی انجام میدهند و یا بیماریهای پوستی دارند بیشتر دیده میشود. همچنین اسکنرها نیز میتوانند هنگام برداشتن اثر انگشت دچار اشتباه شوند. در زیر لیستی از تامینکنندگان روشهای بیومتریک آورده شده است.
تامینکنندگان روشهای احراز هویت بیومتریک
- 3M
- Early Warning’s Authentify Platform
- Daon’s DaonEngine
- Crossmatch DigitalPersona’s Pro Enterprise system
- M2SYS’ Hybrid Biometric Platform
- Nymi
- Plurilock’s BioTracker
- Precise Biometrics’ Tactivo
- Realtime North America’s Biolock
- Voice Biometrics Group VSP
احراز هویت دو عاملی
یکی از رایجترین نوع MFAها احراز هویت دوعاملی است که اغلب با عناوین احراز هویت دوگانه، تائید صحت دو مرحلهای یا 2FA نیز شناخته میشود. در واقع احراز هویت دو عاملی، ترکیبی از شناسه کاربری و رمز عبور به همراه متدی مبتنی بر یکی از دو روش دیگر (“چیزی که دارید” و “چیزی که شما هستید”) برای اطمینان از احراز هویت کاربر میباشد. معمولا یکی از متدهای رایج برای روش 2FA استفاده از شماره کارت اعتباری یا ارسال رمز عبور یک بار مصرف (OTP) از طریق SMS بر روی تلفن همراه کاربرمیباشد. توییتر، گوگل، مایکروسافت، اپل، فیسبوک و آمازون همه از SMS به منظور پشتیبانی از احراز هویت دو عاملی استفاده میکنند. احراز هویت دو عاملی معمولا برای ارتقاء امنیت تلفنهای همراه و همچنین توسط شرکتهای حوزه اینترنت اشیاء از قبیل Nest برای تامین امنیت دستگاههای loT استفاده میشود.
طبق نظرسنجی SecureAuth در سال 2017 مشخص شد که روش احراز هویت دو عاملی نیز در برابر حملات شکننده میباشد. طبق این نظرسنجی 74 درصد از شرکت کنندگان اعلام داشتند که کاربرانشان در مورد استفاده از روش 2FA اعلام نارضایتی کردهاند و 9 درصد افراد از این روش متنفرند.
موارد استفاده از احراز هویت چند عاملی
نکته مهم در مورد استفاده از متدهای MFA برای احراز هویت کاربران این است که از این روشها فقط برای امن کردن سایتهای تجارت الکترونیک یا احراز هویت کاربران سازمانها استفاده میشود. توصیه میشود قبل ازهر تصمیمی برای انتخاب متدی برای احراز هویت چند عاملی کاربران سرویس مدنظر خود، به سناریوهای زیر و مسائل مربوط به آنها توجه کنید.
- تامین کنندگان B2B: دولت آمریکا اخیرا قوانین مالی جدیدی را وضع کرده است که بانکها، شرکتهای بیمه و دیگر شرکتهای خدمات مالی را ملزم به توسعه و نگهداری از برنامههای امنیتی سایبری شامل استانداردهای امنیتی خاص میکند. برای مثال این قوانین سازمانها را مجبور به بررسی امنیت شرکای تجاری و حفاظت از اطلاعات آنها نیز مینماید. با وجود الزامات قانونی و طبق نظرسنجی جهانی NAVEX هنوز 32 درصد از متخصصان فناوری اطلاعات، تامینکنندگان شخص ثالث را از نظر امنیتی ارزیابی نمیکنند. امیدواریم که شما از این دسته افراد نباشید. کارشناسان امنیتی اغلب به متخصصان IT خود توصیه میکنند تا همیشه از کلیه کانالهای انتقال اطلاعات حفاظت کنند. زیرا تامین کنندکان Fourth-party میتوانند ریسک امنیتی آنها را افزایش دهند. یکی از روشهای کاهش این نوع ریسکها استفاده از احراز هویت چند عاملی میباشد.
- VPN Authentication: با وجود اینکه که بیشتر کارمندان سازمان به صورت راه دور و از طریق VPN به سرویسها و اطلاعات سازمان دسترسی پیدا میکنند، اما همچنان با ریسک امنیتی زیادی مواجه میباشند. به همین دلیل توصیه میشود هنگام ارزیابی متدهای MFA مطمئن شوید که حتما احراز هویت VPNها نیز شامل این متدها باشند.
- MFA for services: روشهای سنتی log in کاربران و ارتباطات VPN برای دسترسیهای راه دور، تنها کانالهای ارتباطی نیستند که هکرها با دسترسی به آنها میتوانند به اطلاعات حساس سازمان دسترسی پیدا کنند. به همین دلیل سازمانها بایستی علاوه بر احراز هویت کاربران راه دور خود با استفاده از متدهای احراز هویت دو عاملی، از این متدها برای ایجاد لایه جدیدی از احراز هویت برای سرویسهای خود نیز استفاده نمایند. “اگر شما از متدهای احراز هویت دو عاملی برای احراز هویت کاربران راه دور سازمان استفاده میکنید، دلیلی ندارد که از این متد برای احراز هویت کاربران سرویسهای سازمان نیز استفاده نکنید.”
- Independece of the authentication: در صورتی که مسائل امنیتی مربوط به احراز هویت کاربران شما را نگران کرده است، توصیه میشود از روشهای احراز هویت خارج از باند (Out of band authentication) برای احراز هویت کاربران خود استفاده نمایید. از آنجایی که احراز هویت خارج از باند (OOB) از شبکهای متفاوت یا کانالی مجزا برای احراز هویت کاربران استفاده میکند، به همین دلیل با این کار، لایه امنیتی دیگری برای متد احراز هویت ایجاد میشود.
راهکارهای احراز هویت چند عاملی
بسیاری از ارایه دهندگان سرویسها و محصولات فناوری اطلاعات، از جمله Apple، IBM و مایکروسافت، راهکارهایی در حوزه احراز هویت دو عاملی برای محصولات خود ارائه کردهاند. همچنین بیشتر تامینکنندگان سرویسهای این حوزه، بازارهای خاصی مانند دولت را هدف قرار دادهاند. در زیر تعدادی از تامینکنندگان کلیدی ارائه دهنده راه حلهای MFA لیست شده است:
- 3M Company
- CA Technologies
- Cross Match Technologies
- DeepNet Security
- Fujitsu
- Gemalto/SafeNet Authentication Service
- Hid Global Corporation
- IBM
- Microsoft Azure MFA
- MitoKen Solutions
- NEC Corporation
- Nok Nok Labs S3 Authentication Suite
- PistolStar PortalGuard
- RSA Security Authentication Manager
- Safran SA
- SecurStar
- Suprema
- Swivel Secure
- Symantec VIP
- Vasco Identikey Authorization Server + Digipass for Mobile
- Voice Biometrics Group VSP
- Yubico Yubikey
دیدگاهتان را بنویسید