کمیته رکن چهارم – هر سازوکاری که بتواند یک هویت واقعی را بدون هیچ ابهـامی، تائید یا رد کند، یک فرایند احراز اصالت محسوب میشود.
یکی از متـداولترین و قدیمیترین روشهـای امنیتی، احراز اصـالت و فرایندهـای مرتبط با آن است. این فرایندهـا در اکثر سیستـمهـا نه تنها از اولین مراحل امنیتی هستند، بلکه در بسیاری مواقع، تنهـا راه حصول اطمینان از امنیت سیستم موردنظر بوده و اجرای آن در محیطهـای اجتماعی و فضـای مجـازی بسیار ضروری و کاربردی است. در واقع هر سازوکاری که بتواند یک هویت واقعی را بدون هیچ ابهـامی، تائید یا رد کند، یک فرایند احراز اصالت محسوب میشود. این روش از به چالش کشیدن مخاطب و درخواست پاسخ از او استفاده میکند که معمولاً آن را با عناوینی مانند تعیین هویت، شناسه کاربری یا نام کاربری میشناسیم.
گام بعدی این چالش، ارسال پیامی به کاربر با مضمون اثبات ادعـا است. در حقیقت از کاربر پشت خط، نشانهای برای اثبات ادعا درخواست میشود تا ثابت شود که او همان کسی است که ادعایش را میکند؛ بنابراین انتظار میرود که کاربر به کمک راز مشترکی که به او مرتبط بوده و فقط برای او شناخته شده است، پاسخ دهد. درصورتیکه کد موجود در سیستم، با کد ارسالی از سوی کاربر مربوطه منطبق باشد، کاربر در اصطلاح احراز اصـالت میگردد و این کاربر بعد از این، یک کاربر قانونی و مشروع نامیده میشود و اجازه دسترسی به منابع مورد نظر را خواهد داشت.
انواع احراز اصـالت
همانطور که گفته شد، احراز اصـالت بر پایه یک راز مشترک انجام میگیرد که عمده آن بهصورت زیر است:
- آنچه بهعنوان رازی مشترک، مانند گذرواژههـا و شناسههـای کاربری میدانید.
- آنچه از ابزارهـا مانند سیمکارتهـا یا کارتهـای اعتباری در اختیار دارید.
- آنچه بهعنوان یک هویت رفتاری، توانایی تولید آن را مانند نحوه امضا یا سرعت تایپ کلمات دارید.
- آنچه بهصورت هویت انسانی مثل صدا، اثرانگشت یا ساختار عنبیه در وجودتان قرار دارد.
احراز اصـالت میتواند یکطرفه و یا بهطور همزمان برای هر دو طرف ارتباط انجام شود. این سازوکار برای موجودیتهـا و یا بستههـا نیز بهکار گرفته شده و در دو دسته احراز اصـالت از مبدأ و احراز اصـالت موجودیت نظیر، تقسیمبندی میشود. احراز اصـالت از مبدأ، بیشتر در ارتباطات بیسیم کاربرد داشته و به بررسی هویت مبدأ فرستنده، مانند آدرس IP آن میپردازد؛ اما احراز اصـالت موجودیت نظیر، در کاربردهـای اتصـالگـرا مورد استفاده قرار میگیرد؛ بنابراین میتواند در هر زمان مشخص، هویت هر دو طرف ارتباط را بررسی کند.
روشهای بهکارگیری راز مشترک
از مهمترین روشهـای بهکارگیری این راز مشترک میتوان به روشهـای رمزنگاری متقـارن مانند DES، ۳-DES، AES (Rijndael)، Serpent؛ و نامتقـارن مانند RSA، DSA، ElGamal، Diffie-Hellman و یا استفاده از توابع درهـمسـاز هـَش یا کدهای احراز اصالـت پیغام (MAC) مانند SHA-1، MD5، RIPEMD، اشاره کرد. امضای دیجیتال نیز که خود یک تکنیک رمزنگاری بر پایه رمزنگاری نامتقارن است، یکی دیگر از این روشهـا است؛ اما چگونگی بهکارگیری این راز مشترک که پایه احراز اصـالت است، میتواند مبنای قدرت این فرایند در نظر گرفته شود. این موضوع در سه دسته تقسیم بندی میشود.
احراز اصالت ضعیف
هنگامی که یک راز مشترک پس از یکبار مبادله و انجام عملیات آشکار میشود، احراز اصالت ضعیفی رخ داده است. دلیل این ضعف قرار گرفتن راز مشترک بر روی خط ارتباطی است که عموماً حاوی کلمات عبور هستند؛ بنابراین اگر به طریقی این راز در اختیار یک مهاجم قرار گیرد، میتواند تا مدتها از آن سوءاستفاده کند
احراز اصالت قوی
درصورتیکه در احراز اصـالت از عوامل بیشتری در اجرای فرایند استفاده کرده و در بیش از یک مرحله اجرا شود، سازوکار قویتری حاصل میآید. بهطور مثال، استفاده از احراز اصـالت بایـومتریک علاوه بر مبادله گذرواژه، سبب استحکام بیشتری در فرایند احراز اصـالت میشود. از طرف دیگر، اگر در طول اجرای پروتکل به نحوی راز آشکار نشده و یا این راز مشترک فقط یکبار تولید شود، موجب افزایش قدرت احراز اصالت میگردد. با استفاده از توکنها میتوان گذرواژههای یکبارمصرف ایجاد کرد. استفاده از تعامل مبتنی بر پرسش و پاسخ نیز یکی دیگر از راهکارهای افزایش قدرت این فرایند است.
احراز اصالت با آگاهی صفر
آگاهی صفر یک مفهوم در رمزنگاری است که در آن یک طرف برای محک طرف دیگر، روشی تعاملی را در پیش گرفته و به کمک آن، بدون آنکه از چگونگی تولید راز مطلع شود و یا بتواند آن را تولید کند، امکان بررسی درستی جواب را مییابد؛ بنابراین دریافتکننده یا همان تصدیقکننده پیام، با توجه به آگاهی نداشتن از نحوه تولید پیام، امکان فاش کردن اطلاعات محرمانه را ندارد. چراکه از اطلاعات ارسالکننده و نیز فرایند پروتکل او اطلاع نداشته و این امکان هم وجود ندارد که خود را بهجای ارسالکننده پیام، به شخص سومی معرفی کند. از این رو، احراز اصالـت با روش آگاهی صفر، بدون انتقال اطلاعات محرمانه صورت میگیرد.
احراز اصالت در شبکههای ارتباطی
فلسفه احراز اصـالت در شبکههـای داده با ارتباطات مخابراتی مقداری تفاوت دارد. در شبکههـای مخابرات، بهطور معمول دستگاه مورد اعتبار سنجی و احراز اصـالت قرار میگیرد؛ درحالیکه در یک شبکه داده این کاربر است که احراز اصـالت میشود. برای مثال، در یک GSM یا شبکه موبایلی، احراز اصـالت تلفن همراه دقیقا با شناسه بینالمللی مشترک تلفن همراه (IMSI) و ایستگاه شبکه دیجیتال خدمات جامع تلفن همراه (MSISDN) که اطلاعات آن درون سیمکارت قرار گرفته است، انجام میشود؛ بنابراین تا زمانی که سیمکارت موجود با احراز اصـالت موفق همراه باشد، هرکسی میتواند از آن استفاده کرده و با آن تماس برقرار کند. درحالیکه برای یک رایانه، از کاربر بهجای دستگاه مورد استفاده احراز اصـالت میشود و کاربر میتواند از یک رایانه به یک رایانه دیگر جابهجا شده و همچنان از یک نرمافزار خاص استفاده کند.
با این حال، برای شبکههـای داده کار قدری سختتر است. چراکه در این شبکههـا، کاربر انسانی احراز اصـالت میشود و او نمیتواند با چالشهـای بسیار پیچیده، مانند کلمات عبور دشوار روبرو شده و آنرا به خاطر نگاه دارد. یک راهکار نمونه برای عبور از این مانع، که اخیراً بسیار از آن استفاده میشود، استفاده از تلفن همراه است. به اینصورت که یک کد پیچیده احراز اصـالت جایگزین رمز عبور شده و به دستگاه اجازه میدهد تا علاوه بر خود، کاربر نیز در جریان پیچیده احراز اصـالت شرکت کند.
بدین ترتیب مسیر جدیدی برای احراز هویت در خدمات برخط بهوجود آمده است که عموماً حاصل ترکیبی از روشهـای چهارگانهای است که در ابتدای بحث بیان شد. همچنین میتوان از این مفاهیم مشابه، زمانی استفاده کرد که یک رفتار خطرناک در سیستم مشاهده میگردد؛ بنابراین کاربر ملزم به انجام یک رویه دیگر احراز اصـالت میشود. رویکرد تائید ورود یا احراز اصـالت دو مرحلهای، استفاده از گذرواژههـای یکبار مصرف، بهکارگیری NFC بین دستگاههـا و پویشگرهـای اثرانگشت یا عنبیه، برخی از روشهـای مختلفی هستند که تاکنون طراحی و در شبکههای ارتباطی اجرا شدهاند.
جمعبندی
امروزه یکی از اصلیترین اهداف حملات طراحی شده، ربودن حسابهـای کاربری است. از اینرو به دلیل کشف نارساییهـا و مشکلات مختلف، روشهـای گوناگونی مورد استفاده قرار گرفته و تکنیکهـای دیگری نیز در حال شکلگیری هستند. یکی از متداولترین این روشهـا، سازوکار احراز اصـالت است. روشهـای مختلفی تاکنون ارائه شده که قدیمیترین آنهـا استفاده از گذرواژههـا است. در سالیان اخیر، استفاده ترکیبی و همزمان از روشهـای مختلف احراز اصـالت و نیز ایجاد پروتکلهای امنیتی بهبودیافتهتر، شرایط امنیتی بسیار بهتری را مهیا کرده است؛ اما همچنان مخاطراتی از سوی مهـاجمان برای درهم شکستن این سازوکار امنیتی ایجاد میشود. چرا که این اشتیاق سارقان در به دست آوردن اطلاعات، هیچگاه از بین نخواهد رفت.
منبع: ماهنامه دنیای کامپیوتر و ارتباطات