بخش چهل‌و‌چهارم
آموزش رایگان سکیوریتی پلاس، احراز هویت چیست و چه مدل هایی را شامل می شود؟
نکته مهمی که در ارتباط با همه برنامه‌های امنیتی صدق می‌کند، این است که چگونه افراد تایید شده خود را به سیستم‌های مختلف معرفی کنند و چگونه از این اطلاعات برای تأیید این‌که افراد همان کسانی هستند که می‌گویند استفاده کنیم. فرآیند تأیید هویت یک فرد به عنوان یک مکانیزم احراز هویت شناخته می‌شود. قبل از این‌که کارکنان یک سازمان بتوانند به مناطق امن ساختمان دسترسی پیدا کنند یا به منابع روی سرور دسترسی داشته باشند، باید احراز هویت شوند.

shabake-mag.jpg

برای مطالعه بخش قبل روی این آدرس کلیک کنید. 

شناسایی مدل‌های احراز هویت

رایج‌ترین نمونه احراز هویت زمانی است که یک کارمند نام کاربری و رمز عبور را به سیستم ارائه می‌کند و سیستم آن اطلاعات را با پایگاه داده مقایسه می‌کند و تعیین کند که نام کاربری و رمز عبور وارد شده قبلا در سیستم ثبت شده است. اگر اطلاعات با آن‌چه در پایگاه داده ذخیره می‌شود مطابقت داشته باشد، کارمند احراز هویت می‌شود و به سیستم دسترسی پیدا می‌کند.

اصطلاحات احراز هویت

از شماره‌های قبلی آموختیم که کاربران باید ابتدا اطلاعات خود را در سیستم ثبت کنند تا مکانیزم احراز هویت بتواند در ورودهای بعدی هویت آن‌ها را به درستی تشخیص دهد. به عنوان مثال، هنگامی‌که کاربری یک نام کاربری را در صفحه ورود تایپ می‌کند، در حقیقت در حال معرفی هویت خود به سیستم است و هنگامی که رمز عبور را تایپ می‌کند در حالت گفتن این موضوع است که همان شخصی است که ادعا می‌کند. اکثر مکانیزم‌های احراز هویت توسط سرور انجام می‌شوند. اما از نقطه نظر امنیتی، یک سناریوی امن‌تر این است که کلاینت نیز سرور را احراز هویت کند. رویکرد فوق تضمین می‌کند که سیستم دیگری هویت سرور را برای رهگیری اطلاعات محرمانه کلاینت‌ها جعل نکرده است. اصطلاحی که برای شناسایی یک طرح احراز هویت که شامل احراز هویت هر دو طرف ارتباط است از آن استفاده می‌شود احراز هویت متقابل (mutual authentication) است.

روش‌ها و فن‌آوری‌های قابل استفاده در احراز هویت

وقتی صحبت از احراز هویت در یک سیستم یا شبکه می‌شود، می‌توان از روش‌های مختلف استفاده کرد. در زیر روش‌های رایج احراز هویت و توضیح آن‌ها ارائه شده است:

■   خدمات دایرکتوری (Directory services): سرویس دایرکتوری سیستمی است که اشیاء، مانند کاربران و گروه‌ها را همراه با ویژگی‌های مربوط به آن اشیا، مانند بخش و شهر، ذخیره می‌کند. سرویس دایرکتوری پایگاه داده‌ای از نام‌های کاربری و رمز عبور است که برای احراز هویت شخصی که سعی در دسترسی به سیستم یا شبکه دارد استفاده می‌شود. اکتیو دایرکتوری نمونه‌ای از سرویس دایرکتوری برای شبکه‌های مبتنی بر دامنه مایکروسافت است.

■   فدراسیون (Federation): سرویس‌های فدراسیون عمدتا برای احراز هویت در مقیاس سازمانی استفاده می‌شوند. به عنوان مثال، یک شرکت ممکن است یک وب‌سایت راه‌اندازی کند و به شما اجازه دهد با استفاده از حساب Google یا Facebook خود احراز هویت کنید. در شماره‌های آتی اطلاعات بیشتری در ارتباط با خدمات فدراسیون کسب خواهیم کرد.

■   تأیید گواهی (Attestation): زمانی است که شخصی برای شخص دیگری ضمانت می‌کند. یک مثال رایج در این زمینه یک گواهی دیجیتال متصل به یک حساب است که می‌توان از آن برای احراز هویت فرد استفاده کرد.

■  احراز هویت کارت هوشمند (Smartcard authentication): کارت هوشمند که به عنوان کارت PKI نیز شناخته می‌شود، کارتی است که تراشه‌ای روی آن قرار دارد و اطلاعات احراز هویت مانند گواهی دیجیتال کاربر را ذخیره می‌کند. زمانی که کاربر نیاز به احراز هویت در سیستم داشته باشد، می‌تواند کارت هوشمند را در کارت‌خوان هوشمند قرار دهد و سپس پین مربوط به کارت هوشمند را تایپ کند.

امروزه فناوری‌های مختلف می‌توانند توسط سیستم‌ها، دستگاه‌ها و شبکه‌ها برای احراز هویت استفاده شوند. در زیر چند فناوری کلیدی مورد استفاده در ارتباط با احراز هویت که برای آزمون سکیوریتی پلاس باید اطلاعاتی در مورد آن‌ها داشته باشید را بررسی می‌کنیم.

■   گذرواژه یکبار مصرف مبتنی بر زمان TOTP: یک کد رمز عبور تصادفی است که توسط یک سیستم احراز هویت تولید می‌شود که بر اساس زمان فعلی است و فقط برای مدت کوتاهی یک رمز عبور معتبر است. به عنوان مثال، یک برنامه مبتنی بر فضای ابری ممکن است یک رمز عبور را به برنامه‌ای که روی تلفن شما اجرا می‌شود ارسال کند که پس از وارد کردن نام کاربری و رمز عبور، 30 ثانیه فرصت دارید تا رمز عبور را وارد کنید.

■   گذرواژه یکبار مصرف مبتنی بر HMAC: یک الگوریتم کد احراز هویت پیام مبتنی بر هش (HMAC) است که برای تولید گذرواژه‌ها استفاده می‌شود.

■   خدمات پیام کوتاه (SMS): شامل ارسال پیام‌های متنی به دستگاه تلفن همراه شما است. به عنوان مثال، پیامک می‌تواند توسط یک برنامه با احراز هویت چند عاملی (MFA) برای ارسال کد به تلفن شما پس از وارد کردن نام کاربری و رمز عبور استفاده شود. در این روش، هنگامی که پیامک روی تلفن ظاهر شد و آن‌را در فیلد مربوطه وارد کردید، فرآیند احراز هویت را کامل کرده‌اید.

■   کلید رمزی (Token Key): کلید توکن ابزار رایجی است که توسط شبکه‌های سازمانی برای احراز هویت چند عاملی (MFA) استفاده می‌شود. پس از این‌که نام کاربری و رمز عبور خود را وارد کردید، یک عدد تصادفی روی کلید توکن که در اختیار دارید ایجاد می‌شود که می‌توانید آن عدد را به‌عنوان عامل احراز هویت دوم وارد می‌کنید.

■   کدهای ایستا: کدهای استاتیک با کدهای TOTP متفاوت هستند به این معنا که کدهای TOTP فقط برای مدت کوتاهی قبل از تغییر معتبر هستند. یک کد ایستا منقضی نمی‌شود و بنابراین تغییر نمی‌کند. زمانی‌که احراز هویت چند عاملی را تنظیم کردید، اما تلفن خود را برای دریافت پیامک همراه در اختیار ندارید، این شانس را دارید که کد بازیابی استفاده کنید. می‌توانید کد بازیابی را به‌عنوان دومین فرم احراز هویت به‌جای پیامک SMS وارد کنید.

■   برنامه‌های احراز هویت (Authentication applications): برنامه‌هایی هستند که می‌توان از آن‌ها برای احراز هویت یک فرد استفاده کرد. به عنوان مثال، برنامه Google Authenticator یک برنامه احراز هویت مبتنی بر نرم‌افزار است که از OTP مبتنی بر TOTP و HMAC استفاده می‌کند.

■   اعلان‌ها (Push notifications): به‌عنوان شکلی از احراز هویت چندعاملی (MFA) استفاده می‌شوند که شامل این موضوع می‌شود که کاربر هنگام ورود به یک وب‌سایت، دستگاه تلفن همراه خود را در اختیار داشته باشد. پس از وارد کردن نام کاربری و رمز عبور خود در سایت، وب‌سایت از کاربر می‌خواهد تا با انتخاب دکمه تأیید یا تأیید هویت که روی دستگاه فشار داده شده است، احراز هویت را از دستگاه تلفن همراه خود تأیید کند.

■   تماس تلفنی (Phone call): به‌عنوان بخشی از احراز هویت چند عاملی در یک برنامه، با نام کاربری و رمز عبور مرتبط است. اگر انتخاب کنید که تماس تلفنی دریافت کنید، سیستم احراز هویت با شماره تلفن ثبت شده تماس می‌گیرد (مثلاً با خانه شما) و سپس از شما می‌خواهد که برای تکمیل احراز هویت یک پین که به صورت تلفنی اعلام شده را وارد کنید.

ویژگی‌های احراز هویت چند عاملی

احراز هویت چند عاملی (MFA) یکی از ارکان اصلی دنیای امنیت و سیستم‌های احراز هویت شناخته می‌شود و از این‌رو، برای موفقیت در آزمون سکیوریتی پلاس باید اطلاعاتی در مورد آن داشته باشید. احراز هویت چند عاملی شامل احراز هویت توسط کاربر برای یک سیستم با استفاده از عوامل مختلفی مانند کارت PKI و پین کارت می‌شود. به‌طور کلی، MFA امنیت فرآیند احراز هویت را افزایش می‌دهد و اطمینان می‌دهد که یک فرد همان شخصی است که ادعا می‌کند. آزمون سکیوریتی‌پلاس از شما انتظار دارد با روش‌ها و مولفه‌های مختلف احراز هویت آشنا باشید.

MFA Factors

هویت یک فرد را می‌توان با استفاده از هر یک از فاکتورهای احراز هویت زیر تایید کرد:

■   ‌اطلاعاتی که دارید: رایج‌ترین معیار احراز هویت است که در آن اطلاعاتی برای اثبات هویت خود ارائه می‌کنید. یک مثال در این زمینه، اطلاع در مورد رمز عبور یا پین است.

■   چیزی که دارید: یک عامل تأیید اعتبار مشترک است و اشاره به اطلاعات محیطی دارد. به‌عنوان مثال، یک فرد ممکن است کارت خود را به سرعت بکشد یا از یک نشانه فیزیکی زیستی برای ورود به یک ساختمان استفاده کند. مثال دیگر زمانی است که یک وب‌سایت در هنگام ورود به سیستم یک پیام متنی با یک کد مجوز برای شما ارسال می‌کند. برای این منظور باید پیامکی که روی تلفن خود دریافت می‌کنید را برای به‌دست آوردن مجوز وارد کنید. این اتفاق پس از تایپ نام کاربری و رمز عبور انجام می‌شود. مشابه با کاری که اکنون بانک‌های کشور انجام می‌دهند.

 ■   چیزی که هستید: با این عامل احراز هویت پیشرفته‌تر، یک ویژگی فیزیکی از خود، مانند شبکیه چشم، اثر انگشت یا صدای خود را برای اثبات هویت خود ارسال می‌کنید. احراز هویت در یک سیستم با استفاده از این روش به عنوان بیومتریک شناخته می‌شود و امن‌ترین روش احراز هویت است.

MFA Attributes

علاوه بر معیارهای احراز هویت، ما ویژگی‌های احراز هویت داریم که می‌توان برای تعیین این‌که آیا شخصی مجاز به دسترسی به سیستم است یا خیر، استفاده کرد:

■   جایی که هستید: یک سیستم احراز هویت می‌تواند بر اساس موقعیت مکانی، شما را احراز هویت کند. این می‌تواند یک مکان GPS با استفاده از موقعیت جغرافیایی یا اطلاعات زیرشبکه IP باشد.

■   کاری که می‌توانید انجام دهید: این ویژگی فاکتور احراز هویت براساس عملکردی است که انجام می‌دهید، مانند کشیدن یا اتصال نقاط روی یک تصویر با انگشتتان.

■   چیزی که نشان می‌دهید: یک سیستم احراز هویت که از ویژگی‌های یک شخص یا الگوهای رفتاری یک شخص او را شناسایی می‌کند.

■   کسی که می‌شناسید: این ویژگی معمولاً در بازنشانی گذرواژه استفاده می‌شود، جایی که کاربر باید فردی را انتخاب کند که می‌شناسد مورد اعتماد سیستم است و می‌تواند در بازنشانی گذرواژه کاربر کمک کند.

آزمون سکیوریتی پلاس از شما انتظار دارد که فاکتورهای مختلف احراز هویت که ذکر شد را بدانید، اما همچنین از شما انتظار دارد که آنچه را که به عنوان طرح‌های احراز هویت تک مرحله‌ای، احراز هویت دو مرحله‌ای و احراز هویت سه مرحله‌ای شناخته می‌شوند، شناسایی کنید. اگر فقط با استفاده از یکی از فاکتورهای احراز هویت در سیستمی فرآیند احراز هویت را انجام می‌دهید، به این معنا است که از طرح احراز هویت تک عاملی استفاده می‌کنید. به عنوان مثال، دانستن نام کاربری و رمز عبور برای احراز هویت یک طرح احراز هویت تک عاملی است، زیرا هر دو نمونه در گروه اطلاعاتی قرار می‌گیرند که از قبل می‌دانید.

یک طرح احراز هویت دو عاملی بر اساس دو عامل احراز هویت انجام می‌دهد، مانند چیزی که شما می‌دانید و چیزی که دارید. به عنوان مثال، شما یک کارت بانکی دارید (چیزی که دارید) و پین کارت بانکی را می‌دانید. این طرح احراز هویت بسیار قوی‌تر از نیاز به داشتن کارت بانکی برای دسترسی به حساب است. اگر این‌گونه نبود، هر کسی که کارت بانکی در اختیار داشت، می‌توانست از حساب شما پول برداشت کند.

برای آزمون، بدانید که کارت‌های هوشمند احراز هویت دو مرحله‌ای هستند، زیرا باید کارت هوشمند را داشته باشید و پین را بدانید. نمونه دیگری از احراز هویت دو مرحله‌ای انجام اسکن اثر انگشت و سپس تایپ رمز عبور است. در مثال فوق، این دو عامل چیزی هستند که شما هستید و چیزی که می‌دانید.

یک طرح احراز هویت سه عاملی بر اساس هر سه عامل است، چیزی که شما می‌دانید، چیزی که دارید و چیزی که هستید. برای مثال، ممکن است از کارمند خواسته شود اسکن شبکیه چشم انجام دهد، کارت را بکشد و پین کارت را بداند.

طرح‌های احراز هویت چند عاملی

آزمون سکیوریتی پلاس دانش شما در مورد طرح‌های احراز هویت چند عاملی را آزمایش می‌کند، بنابراین مطمئن شوید که مشکلی در ارتباط با شناسایی طرح‌های احراز هویت دو مرحله‌ای و احراز هویت سه مرحله‌ای ندارید. موارد زیر نمونه‌های رایج طرح‌های احراز هویت دو مرحله‌ای هستند:

■    ‌توکن فیزیکی و رمز عبور: نمونه‌ای از احراز هویت با عاملی است که دارید و اطلاعاتی که می‌دانید.

■   کارت هوشمند و پین: نمونه‌ای از احراز هویت با چیزی است که دارید و چیزی که می‌دانید.

■   بیومتریک و رمز عبور:  یک طرح احراز هویت از چیزی که استفاده می‌کنید که با ماهیت فیزیکی شما ترکیب شده است.

آزمون سعی می‌کند با ارائه مثال‌هایی که ممکن است شبیه احراز هویت چند عاملی به نظر برسند، شما را فریب دهد، اما به این دلیل نیست که نمونه‌ها از طرح احراز هویت یکسان استفاده می‌کنند. به عنوان مثال، استفاده از اسکن شبکیه چشم و اثر انگشت برای احراز هویت هنوز هم فقط احراز هویت تک عاملی است، زیرا هر دو، نمونه‌هایی از چیزی هستند که شما هستید. نمونه دیگری از احراز هویت تک عاملی نام کاربری و رمز عبور است زیرا هر دو نمونه‌هایی از چیزی هستند که شما می‌دانید.

یک مثال رایج از احراز هویت دو مرحله‌ای که امروزه می‌بینیم، وب‌سایتی است که به گونه‌ای پیکربندی شده است که یک کد دسترسی را در طول فرآیند ورود به تلفن همراه شما ارسال کند. در این مثال، شما نام کاربری و رمز عبور معمولی خود را تایپ می‌کنید، و سپس وب‌سایت یک پیام متنی به شماره تلفن همراه مرتبط با حساب شما هنگام راه‌اندازی حساب ارسال می‌کند. این بدان معنا است که شما نه تنها باید نام کاربری و رمز عبور خود را بدانید، بلکه باید تلفن را نیز در اختیار داشته باشید تا کد احراز هویت را دریافت کنید و در صورت درخواست آن‌را در وب‌سایت تایپ کنید.

مدیریت احراز هویت

وقتی در مورد احراز هویت صحبت می‌کنیم، بیشتر ما معمولاً به محیطی فکر می‌کنیم که باید رمزهای عبور طولانی و پیچیده را در آن تایپ کنیم یا از کلیدهای رمزگذاری برای دسترسی به اطلاعات رمزگذاری شده استفاده کنیم. آزمون سکیوریتی‌پلاس انتظار دارد که شما با تعدادی از اصطلاحات و فن‌آوری‌هایی که به مدیریت این رمزهای عبور و کلیدهای رمزگذاری مرتبط هستند آشنا باشید:

■   کلید گذرواژه: یک کلید رمز یک مقدار مخفی است که کاربر برای دسترسی به یک سیستم محلی یا وب‌سایت از آن استفاده می‌کند.

   ‌محفظه رمز عبور: یک پایگاه داده رمزگذاری شده است که برای ذخیره گذرواژه‌های مختلف برای سیستم‌های محلی و وب‌سایت‌هایی که کاربر ممکن است از آن بازدید کند استفاده می‌شود. نرم‌افزار مدیریت رمز عبور، رمزهای عبور پیچیده تولید می‌کند و علاوه بر این، فرآیند ورود به سایت‌ها از طریق رمزعبور را نیز مدیریت می‌کند.

■   TPM: ماژول پلتفرم مورد اعتماد (TPM) یک تراشه رایانه‌ای روی سیستمی است که می‌تواند برای ذخیره کلیدهای رمزگذاری سیستمی که درایوهای رمزگذاری شده دارد، استفاده شود. TPM همچنین می‌تواند با Secure Boot برای اطمینان از یکپارچگی محیط بوت استفاده شود.

■   HSM: یک ماژول امنیتی سخت‌افزاری (HSM) کارتی است که می‌تواند به یک سیستم وارد شود و برای تولید و ذخیره کلیدهای رمزگذاری استفاده می‌شود. همچنین، می‌تواند در صورت نیاز رمزگذاری و رمزگشایی داده‌ها در سیستم را انجام دهد.

■   احراز هویت مبتنی بر دانش: وقتی سیستم یا شخصی که هویت شما را تأیید می‌کند از شما اطلاعاتی می‌خواهد که فقط شما می‌دانید. برای مثال، اگر با بانک خود تماس بگیرید، ممکن است از شما اطلاعاتی در مورد آخرین خرید انجام شده در حسابتان بخواهند، یا اگر با آژانس درآمد کانادا (CRA) تماس بگیرید، از شما جزئیاتی در مورد اظهارنامه مالیاتی سال گذشته می‌خواهند.

Single Sign-On

یک مفهوم مهم در مورد احراز هویت، ورود به سیستم است بر پایه مکانیزم SSO است. Single Sign-on بر مبنای این اصل است که وقتی در شبکه احراز هویت می‌کنید، می‌توانید بر اساس اطلاعات احراز هویت خود به چندین سیستم دسترسی داشته باشید. با SSO، شما نیازی به احراز هویت با هر سیستم متفاوتی که به آن دسترسی دارید، ندارید. یک‌بار احراز هویت انجام می‌دهید و سپس می‌توانید بدون احراز هویت مجدد به چندین سیستم دسترسی پیدا کنید.

چرا SSO اینقدر ارزشمند است؟ سال‌ها پیش، شما باید با هر سرور جداگانه مجبور به احراز هویت بودید. این بدان معنی است که هر سیستم یک پایگاه داده نام کاربری و رمز عبور جداگانه ذخیره می‌کرد و کاربران برای دسترسی به بیش از یک سرور باید رمزهای عبور مختلفی را به خاطر می‌سپردند. با SSO، کاربر با یک مجموعه از اعتبارنامه‌ها وارد سیستم می‌شود و سپس به سرورهای مختلف، حتی سرورهای سایر سازمان‌ها دسترسی پیدا می‌کند.

SSO این مزیت را دارد که به عنوان یک مدیر شبکه، نیازی به مدیریت چندین نام کاربری و رمز عبور برای هر سرور ندارید. با این حال، در عین حال، عیب SSO این است که اگر یک هکر حساب کاربری را هک کند، می‌تواند به چندین سرور دسترسی پیدا کند. اگر در یک محیط SSO نیستید و هکر حساب کاربری را هک می‌کند، فقط به یک سرور دسترسی خواهد داشت و برای دسترسی به سرور دیگری باید رمز دیگری را هک کند.

 

برای مطالعه تمام قسمت‌های آموزش سکوریتی پلاس اینجا کلیک کنید.


معرفی آموزشگاه شبکه و امنیت

تهران: آموزشگاه عصر رایان شبکه

مهندس اطلاعات 

تلفن: 02188549150           کانال: Asrehshabakeh@


تبلیغات لینکی: 

سایت استخدام

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟