ايتنا - ثابت کن تو همانی؟!

یکی از متـداول‌ترین و قدیمی‌ترین روش‌هـای امنیتی، احراز اصـالت و فرایندهـای مرتبط با آن است. این فرایندهـا در اکثر سیستـم‌هـا نه تنها از اولین مراحل امنیتی هستند، بلکه در بسیاری مواقع، تنهـا راه حصول اطمینان از امنیت سیستم موردنظر بوده و اجرای آن در محیط‌هـای اجتماعی و فضـای مجـازی بسیار ضروری و کاربردی است. در واقع هر سازوکاری که بتواند یک هویت واقعی را بدون هیچ ابهـامی، تائید یا رد کند، یک فرایند احراز اصالت محسوب می‌شود. این روش از به چالش کشیدن مخاطب و درخواست پاسخ از او استفاده می‌کند که معمولاً آن را با عناوینی مانند تعیین هویت، شناسه کاربری یا نام کاربری می‌شناسیم.

گام بعدی این چالش، ارسال پیامی به کاربر با مضمون اثبات ادعـا است. در حقیقت از کاربر پشت خط، نشانه‌ای برای اثبات ادعا درخواست می‌شود تا ثابت شود که او همان کسی است که ادعایش را می‌کند؛ بنابراین انتظار می‌رود که کاربر به کمک راز مشترکی که به او مرتبط بوده و فقط برای او شناخته شده است، پاسخ دهد. درصورتی‌که کد موجود در سیستم، با کد ارسالی از سوی کاربر مربوطه منطبق باشد، کاربر در اصطلاح احراز اصـالت می‌گردد و این کاربر بعد از این، یک کاربر قانونی و مشروع نامیده می‌شود و اجازه دسترسی به منابع مورد نظر را خواهد داشت.

انواع احراز اصـالت
همان‌طور که گفته شد، احراز اصـالت بر پایه یک راز مشترک انجام می‌گیرد که عمده آن به‌صورت زیر است:
- آن‌چه به‌عنوان رازی مشترک، مانند گذرواژه‌هـا و شناسه‌هـای کاربری می‌دانید.
- آن‌چه از ابزارهـا مانند سیم‌کارت‌هـا یا کارت‌هـای اعتباری در اختیار دارید.
- آن‌چه به‌عنوان یک هویت رفتاری، توانایی تولید آن را مانند نحوه امضا یا سرعت تایپ کلمات دارید.
- آن‌چه به‌صورت هویت انسانی مثل صدا، اثرانگشت یا ساختار عنبیه در وجودتان قرار دارد.
احراز اصـالت می‌تواند یک‌طرفه و یا به‌طور همزمان برای هر دو طرف ارتباط انجام شود. این سازوکار برای موجودیت‌هـا و یا بسته‌هـا نیز به‌کار گرفته شده و در دو دسته احراز اصـالت از مبدأ و احراز اصـالت موجودیت نظیر، تقسیم‌بندی می‌شود. احراز اصـالت از مبدأ، بیشتر در ارتباطات بی‌سیم کاربرد داشته و به بررسی هویت مبدأ فرستنده، مانند آدرس IP آن می‌پردازد؛ اما احراز اصـالت موجودیت نظیر، در کاربردهـای اتصـال‌گـرا مورد استفاده قرار می‌گیرد؛ بنابراین می‌تواند در هر زمان مشخص، هویت هر دو طرف ارتباط را بررسی ‌کند.

روش‌های به‌کارگیری راز مشترک
از مهم‌ترین روش‌هـای به‌کارگیری این راز مشترک می‌توان به روش‌هـای رمزنگاری متقـارن مانند DES، 3-DES، AES (Rijndael)، Serpent؛ و نامتقـارن مانند RSA، DSA، ElGamal، Diffie-Hellman و یا استفاده از توابع درهـم‌سـاز هـَش یا کدهای احراز اصالـت پیغام (MAC) مانند SHA-1، MD5، RIPEMD، اشاره کرد. امضای دیجیتال نیز که خود یک تکنیک رمزنگاری بر پایه رمزنگاری نامتقارن است، یکی دیگر از این روش‌هـا است؛ اما چگونگی به‌کارگیری این راز مشترک که پایه احراز اصـالت است، می‌تواند مبنای قدرت این فرایند در نظر گرفته شود. این موضوع در سه دسته تقسیم بندی می‌شود.

احراز اصالت ضعیف
هنگامی که یک راز مشترک پس از یک‌بار مبادله و انجام عملیات آشکار می‌شود، احراز اصالت ضعیفی رخ داده است. دلیل این ضعف قرار گرفتن راز مشترک بر روی خط ارتباطی است که عموماً حاوی کلمات عبور هستند؛ بنابراین اگر به طریقی این راز در اختیار یک مهاجم قرار گیرد، می‌تواند تا مدت‌ها از آن سوءاستفاده کند
.
احراز اصالت قوی
درصورتی‌که در احراز اصـالت از عوامل بیشتری در اجرای فرایند استفاده کرده و در بیش از یک مرحله اجرا شود، سازوکار قوی‌تری حاصل می‌آید. به‌طور مثال، استفاده از احراز اصـالت بایـومتریک علاوه بر مبادله گذرواژه، سبب استحکام بیشتری در فرایند احراز اصـالت می‌شود. از طرف دیگر، اگر در طول اجرای پروتکل به نحوی راز آشکار نشده و یا این راز مشترک فقط یک‌بار تولید شود، موجب افزایش قدرت احراز اصالت می‌گردد. با استفاده از توکن‌ها می‌توان گذرواژه‌های یک‌بارمصرف ایجاد کرد. استفاده از تعامل مبتنی بر پرسش و پاسخ نیز یکی دیگر از راه‌کارهای افزایش قدرت این فرایند است.

احراز اصالت با آگاهی صفر
آگاهی صفر یک مفهوم در رمزنگاری است که در آن یک طرف برای محک طرف دیگر، روشی تعاملی را در پیش گرفته و به کمک آن، بدون آنکه از چگونگی تولید راز مطلع شود و یا بتواند آن را تولید کند، امکان بررسی درستی جواب را می‌یابد؛ بنابراین دریافت‌کننده یا همان تصدیق‌کننده پیام، با توجه به آگاهی نداشتن از نحوه تولید پیام، امکان فاش کردن اطلاعات محرمانه را ندارد. چراکه از اطلاعات ارسال‌کننده و نیز فرایند پروتکل او اطلاع نداشته و این امکان هم وجود ندارد که خود را به‌جای ارسال‌کننده پیام، به شخص سومی معرفی کند. از این رو، احراز اصالـت با روش آگاهی صفر، بدون انتقال اطلاعات محرمانه صورت می‌گیرد.

احراز اصالت در شبکه‌های ارتباطی
فلسفه احراز اصـالت در شبکه‌هـای داده با ارتباطات مخابراتی ‌مقداری تفاوت دارد. در شبکه‌هـای مخابرات، به‌طور معمول دستگاه مورد اعتبار سنجی و احراز اصـالت قرار می‌گیرد؛ درحالی‌که در یک شبکه داده این کاربر است که احراز اصـالت می‌شود. برای مثال، در یک GSM یا شبکه موبایلی، احراز اصـالت تلفن همراه دقیقا با شناسه بین‌المللی مشترک تلفن همراه (IMSI) و ایستگاه شبکه دیجیتال خدمات جامع تلفن همراه (MSISDN) که اطلاعات آن درون سیم‌کارت قرار گرفته است، انجام می‌شود؛ بنابراین تا زمانی که سیم‌کارت موجود با احراز اصـالت موفق همراه باشد، هرکسی می‌تواند از آن استفاده کرده و با آن تماس برقرار کند. درحالی‌که برای یک رایانه، از کاربر به‌جای دستگاه مورد استفاده احراز اصـالت می‌شود و کاربر می‌تواند از یک رایانه به یک رایانه دیگر جابه‌جا شده و همچنان از یک نرم‌افزار خاص استفاده کند.

با این حال، برای شبکه‌هـای داده کار قدری سخت‌تر است. چراکه در این شبکه‌هـا، کاربر انسانی احراز اصـالت می‌شود و او نمی‌تواند با چالش‌هـای بسیار پیچیده، مانند کلمات عبور دشوار روبرو شده و آن‌را به خاطر نگاه دارد. یک راهکار نمونه برای عبور از این مانع، که اخیراً بسیار از آن استفاده می‌شود، استفاده از تلفن همراه است. به این‌صورت که یک کد پیچیده احراز اصـالت جایگزین رمز عبور شده و به دستگاه اجازه می‌دهد تا علاوه بر خود، کاربر نیز در جریان پیچیده احراز اصـالت شرکت کند.

بدین ترتیب مسیر جدیدی برای احراز هویت در خدمات برخط ‌به‌وجود آمده است که عموماً حاصل ترکیبی از روش‌هـای چهارگانه‌ای است که در ابتدای بحث بیان شد. همچنین می‌توان از این مفاهیم مشابه، زمانی استفاده کرد که یک رفتار خطرناک در سیستم مشاهده می‌گردد؛ بنابراین کاربر ملزم به انجام یک رویه دیگر احراز اصـالت می‌شود. رویکرد تائید ورود یا احراز اصـالت دو مرحله‌ای، استفاده از گذرواژه‌هـای یک‌بار مصرف، به‌کارگیری NFC بین دستگاه‌هـا و پویش‌گرهـای اثرانگشت یا عنبیه، برخی از روش‌هـای مختلفی هستند که تاکنون طراحی و در شبکه‌های ارتباطی اجرا شده‌اند.

جمع‌بندی
امروزه یکی از اصلی‌ترین اهداف حملات طراحی شده، ربودن حساب‌هـای کاربری است. از این‌رو به دلیل کشف نارسایی‌هـا و مشکلات مختلف، روش‌هـای گوناگونی مورد استفاده قرار گرفته و تکنیک‌هـای دیگری نیز در حال شکل‌گیری هستند. یکی از متداول‌ترین این روش‌هـا، سازوکار احراز اصـالت است. روش‌هـای مختلفی تاکنون ارائه شده که قدیمی‌ترین آن‌هـا استفاده از گذرواژه‌هـا است. در سالیان اخیر، استفاده ترکیبی و همزمان از روش‌هـای مختلف احراز اصـالت و نیز ایجاد پروتکل‌های امنیتی بهبودیافته‌تر، شرایط امنیتی بسیار بهتری را مهیا کرده است؛ اما همچنان مخاطراتی از سوی مهـاجمان برای درهم شکستن این سازوکار امنیتی ایجاد می‌شود. چرا که این اشتیاق سارقان در به دست آوردن اطلاعات، ‌هیچ‌گاه از بین نخواهد رفت.

منبع: ماهنامه دنیای کامپیوتر و ارتباطات