معرفی رویکردهای جدید احراز هویت برای حذف کلمه عبور کاربران
امروزه با وجود آنکه احراز هویت دومرحلهای و ارسال کلمات عبور یکبار مصرف از طریق پیامک یا ایمیل به یک روش استاندارد برای حفظ امنیت و جلوگیری از سوءاستفاده هکرها تبدیل شده است ولی مجرمان سایبری مثل همیشه ثابت کرده اند که تواناییهای زیادی برای شکستن این راهکارهای امنیتی داشته و با ترفندهای مختلفی می توانند آنها را دور بزنند.
شرکت Akamai که در حوزه شبکه تحویل محتوا در سطح کلاس جهانی فعالیت میکند، در وب سایت خود مطلبی منتشر کرده و در آن درباره یک حمله فیشینگ صحبت نموده که با دور زدن راهکارهای احراز هویت دومرحلهای، مشتریان بانکها را در کشور انگلیس مورد هدف قرار داده است. بر اساس تحقیقات صورت گرفته، مهاجم در این حمله سایبری ابتدا بستههای آماده فیشینگی طراحی نموده و با فروش آنها توانسته کدهای امنیتی که برای کاربران برنامههای کاربردی بانک ها در انگلیس ارسال میشده اند را دریافت کند.
در تابستان سال 2019 میلادی دو هکر به اتهام هک شناسه های کاربری تعدادی از کارمندان شرکت توئیتر جهت دسترسی به حسابهای کاربری افراد معروف بازداشت شدند. بر اساس گزارشهای منتشر شده، مهاجمان توانسته بودند به سادگی به اعلانهای ارسالی جهت احراز هویت دومرحلهای دست پیدا کنند. در این گزارش توصیه شده کاربران برای مقابله با چنین حملاتی بهتر است از راهکار کلیدهای امنیتی فیزیکی استفاده نمایند. در این مطلب از فراست، ابتدا مفهوم و شیوه عملکرد این راهکار را بیان نموده و سپس به بررسی مزایا و معایب آن میپردازیم.
روش مبتنی بر سختافزار
کلیدهای امنیتی فیزیکی تغییرات ویژه ای را در فرایند احراز هویت دومرحلهای ایجاد کرده اند. در این روش برای احراز هویت کاربران از یک کلید سختافزاری استفاده میگردد (به جای وارد نمودن کدی که به گوشی تلفن همراه کاربر ارسال میشود). این کلید، به صورت یک دانگل[1] سخت افزاری به رایانه یا دستگاه مورد نظر متصل میشود. آنگاه با فشردن یک دکمه یا پس از احراز هویت کاربر (به روشهای زیست سنجی)، یک کد منحصر به فرد برای کاربر مربوطه ایجاد میگردد.
اگرچه ممکن است بعضی از راهکارهای مورد استفاده برای احراز هویت چندمرحلهای در برابر برخی حملات آسیبپذیر باشند اما در نسل جدید کلیدهای مبتنی بر احراز هویت زیست سنجی، از استانداردهای FIDO2 و [2]WebAuthn که توسط اتحادیه [3]FIDO و کنسرسیوم وب جهان گستر[4] طراحی شدهاند برای شناسایی بهتر کاربران استفاده می شود.
کلیدهای رمزنگاری (کلید عمومی و خصوصی) تولید شده توسط FIDO2 برای هر وب سایتی یکتا و منحصر به فرد می باشند. در این روش، کلید خصوصی بر روی دستگاه مربوطه باقی مانده و کلید عمومی برای وب سایت ثبت شده ارسال می شود. از آنجا که در این روش هیچ کلمه عبوری به اشتراک گذاشته نمیشود بنابراین در صورت نفوذ امنیتی به آن وب سایت، دیگر امکان دستیابی به اطلاعات احراز هویت کاربران وجود ندارد.
استانداردهای FIDO2 و WebAuthn راهکارهایی هوشمند برای احراز هویت افراد هستند که مانع از وقوع حملات فیشینگ و تهدیدات مرتبط با تصاحب حساب کاربری (از جمله حملات پیچیدهای مثل مرد میانی که در آن مهاجم با دستکاری ترافیک شبکه یا هدایت آن به سمت یک درگاه ورود جعلی، به بررسی و تفسیر اعتبارنامههای دیجیتالی کاربران شامل نام کاربری و کلمه عبور آنها میپردازند) میشوند. از آنجا که استفاده از کلمه عبور یکی از مهمترین عوامل ایجاد آسیبپذیری است، به همین خاطر در این روش از هیچ کلمه عبوری استفاده نمیشود.
هزینه، پیچیدگی و عامل انسانی
قاعدتاً نصب و پیادهسازی صدها و هزاران نمونه از این دستگاهها در یک سازمان بزرگ، هزینه و پیچیدگیهای خاص خود را به همراه دارد. وقتی نیاز به انجام بهروزرسانیهای امنیتی وجود داشته باشد، حتماً باید از کلید جدید به جای کلید قدیمی استفاده شود؛ در غیر این صورت هیچ راهکار دیگری برای دریافت و نصب وصلههای امنیتی وجود نخواهد داشت.
علاوه بر این حتی اگر ارایهدهنده چنین راهکاری، مدل جدید این کلیدها را به صورت رایگان در اختیار شما قرار دهد باز هم فرایند توزیع آن در سطح سازمان و تشویق کاربران به استفاده از آنها میتواند چالشهایی را ایجاد نماید. اگرچه خدمات ارایه شده و همچنین پشتیبانی از این کلیدهای فیزیکی همواره رو به افزایش است ولی باید به این نکته توجه داشت که هنوز محدودیتهایی در خصوص پیاده سازی عملی این راهکار وجود دارد.
عامل انسانی نیز یکی از عوامل سخت تر شدن قابلیت استفاده از کلیدهای فیزیکی است. همه ما تجربه گم کردن یا جا گذاشتن دسته کلیدهایمان را داریم. در چنین شرایطی کلید قدیمی، منسوخ شده و کلید جدید جایگزین آن میشود. از این رو کاربر ممکن است مدت زمانی طولانی منتظر دریافت کلید جدید مانده و در این مدت به سرویس مورد نظر دسترسی نداشته باشد. در سازمانی که هزاران کارمند در آن فعالیت میکنند، گم کردن کلیدها تأثیر چشمگیری بر بهرهوری خواهد داشت.
استفاده از گوشی تلفن همراه به عنوان کلید
تبدیل گوشی تلفن همراه به کلید هم روش دیگری برای بهبود فرایند احراز هویت است. در این روش، سادگی کار با احراز هویت دومرحلهای مبتنی بر تلفن همراه هوشمند می تواند با امنیت زیاد استانداردهایی همچون FIDO2 و WebAuthn ترکیب شود. به منظور آشنایی کافی با نحوه عملکرد این روش ابتدا باید اطلاعاتی را درباره FIDO2 کسب کنیم.
سامانه FIDO2 (Fast Identity Online) یک سیستم استاندارد تعیین هویت است که شامل استانداردهای احراز هویت تحت وب (WebAuthn) استاندارد می باشد. کلیدهای امنیتی FIDO2 برای ورود کاربر به سایت مورد نظر از روشی استفاده می کنند که در آن از کلمه عبور استفاده نمی شود. لازم به ذکر است این روش از امنیت بسیار بالایی در برابر حملات فیشینگ برخوردار است.
استاندارد FIDO2، از سه بخش زیر تشکیل شده است:
- بخش اول آن شامل نام وب سایت مدنظر است که طرف مورد اعتماد (یا RP[5]) هم به آن گفته میشود.
- بخش دوم شامل مرورگر و احراز هویت کننده است که به اختصار به آن کلید هم میگویند (WebAuthn، پروتکل بین RP و مرورگر است).
- بخش سوم نیز شامل یک پروتکل کلاینت به احراز هویت کننده (CTAP[6]) است که به صورت مجزا توسط FIDO2 تعریف شده و بین مرورگر و احراز هویت کننده قرار می گیرد.
فعالیت های مهم احراز هویت مثل ثبت کلید، احراز هویت مبتنی بر چالش و غیره بین کلید و RP انجام میشود. مرورگر نیز پیامها را ارسال نموده و اطلاعات زمینهای را به آنها اضافه میکند.
سه لایه برای انجام عملیات انتقال در CTAP تعریف شده که شامل USB، بلوتوث کم مصرف و ارتباطات میدان نزدیک (NFC[7]) است. وجود یک لایه انتقال که تحت پوشش CTAP نباشد برای فراهم نمودن امکان انتقال پیامهای FIDO2 توسط مرورگر از طریق یک کانال امن برای گوشی تلفن همراه کاربران ضروری است. این ابتکار باعث شده امکان اتصال گوشیهای هوشمند به مرورگرها از طریق این کانال فراهم شود (همانگونه که کلیدهای فیزیکی با استفاده از USB با مرورگر جفت میشوند). نتیجه چنین کاری ایجاد یک راهکار ضدفیشینگ است که در آن از تلفنهای همراه هوشمند به عنوان کلید استفاده میشود که علاوه بر قدرت کافی، از راحتی لازم هم برخوردار هستند.
تجربه کاربری آسان و بیدغدغه
از آنجا که کارمندان، قبلاً هم به دفعات از گوشیهایشان برای انجام احراز هویت استفاده کرده اند در نتیجه این روش برای آنها بسیار آسان تر است. یکی از مزیتهای اصلی این روش، اضافه شدن راهکار حفاظتی FIDO2 به فرایندی آشنا و راحت بوده و خطاهای انسانی را نیز از آن حذف خواهد کرد. با اعلانهای احراز هویت چندمرحلهای فعلی، مهاجم میتواند یک اعلان دروغین برای کاربر ارسال کند که امکان تحت اختیار گرفتن حساب کاربری وی را فراهم نماید. روش احراز هویت FIDO2 با استفاده از تلفن همراه می تواند مانع از بروز این مشکل میشود.
اگرچه این روش مزایای بیشتری نسبت به اعلانهای احراز هویت چندمرحلهای سنتی و کلیدهای امنیتی فیزیکی دارد اما همچنان نیاز به یک رویکرد امنیتی جامع (از جمله مدیریت دستگاههای سیار) را برطرف نمی کند. سازمانها باید به هر آسیبپذیری که ممکن است در تلفنهای همراه هوشمند وجود داشته و همچنین تمام برنامههای کاربردی که بر روی آنها نصب شده است، توجه لازم را داشته باشند. بررسی مداوم تمامی لینکها در زنجیره امنیتی برای شناسایی آسیبپذیریهای احتمالی ضروری است چرا که مجرمان سایبری همواره در تلاش برای شناسایی و سوءاستفاده از این ضعفها می باشند.
پیاده سازی درست راهکار احراز هویت می تواند لزوم استفاده از دانگل های سختافزاری را از طریق ایجاد راهبرد مبتنی بر تلفن همراه و استفاده از استاندارد FIDO2 حذف نماید. به این ترتیب مخاطره ناشی از دور زدن روش احراز هویت چندمرحلهای برطرف خواهد شد (بدون اینکه موجب کاهش راحتی کار کاربران شود). امروزه با توجه به افزایش تعداد حملات سایبری میتوان گفت که بهترین راهکار دفاعی، ترکیب قدرت و سادگی است.
[1] در شبکه های رایانه ای، منظور از دانگل دستگاه کوچکی است که از آن برای اتصال رایانه به اینترنت، تعبیه کلیدهای رمزنگاری بر یک قطعه سخت افزاری و … استفاده می شود.
[2] Web Authentication، یک استاندارد برای ورود امنتر و سادهتر به حسابهای کاربری است. این استاندارد به سرورها امکان میدهد فرایند ثبتنام یا احراز هویت کاربران را به جای استفاده از کلمه عبور، از طریق رمزنگاری کلید عمومی انجام دهند.
[3] اتحادیه FIDO یک انجمن غیرانتفاعی است که در سال 2012 میلادی با هدف حذف کلمات عبور از طریق پیاده سازی پروتکلهای رمزنگاری تأسیس شد.
[4] این مؤسسه، استانداردهای نرمافزاری لازم را برای شبکه جهانی وب تولید میکند.
[5] Relying Party
[6] Client to Authenticator Protocol
[7] Near-Field Communication