فراست | اخبار و مقالات امنیت سایبری

معرفی رویکردهای جدید احراز هویت برای حذف کلمه عبور کاربران

رویکردی جدید درباره احراز هویت

امروزه با وجود آنکه احراز هویت دومرحله‌ای و ارسال کلمات عبور یکبار مصرف از طریق پیامک یا ایمیل به یک روش استاندارد برای حفظ امنیت و جلوگیری از سوءاستفاده هکرها تبدیل شده است ولی مجرمان سایبری مثل همیشه ثابت کرده اند که توانایی‌های زیادی برای شکستن این راهکارهای امنیتی داشته و با ترفندهای مختلفی می توانند آنها را دور بزنند.

شرکت Akamai که در حوزه شبکه تحویل محتوا در سطح کلاس جهانی فعالیت می‌کند، در وب سایت خود مطلبی منتشر کرده و در آن درباره یک حمله فیشینگ صحبت نموده که با دور زدن راهکارهای احراز هویت دومرحله‌ای، مشتریان بانک‌ها را در کشور انگلیس مورد هدف قرار داده است. بر اساس تحقیقات صورت گرفته، مهاجم در این حمله سایبری ابتدا بسته‌های آماده فیشینگی طراحی نموده و با فروش آنها توانسته کدهای امنیتی که برای کاربران برنامه‌های کاربردی بانک ها در انگلیس ارسال می‌شده اند را دریافت کند.

در تابستان سال ۲۰۱۹ میلادی دو هکر به اتهام هک شناسه های کاربری تعدادی از کارمندان شرکت توئیتر جهت دسترسی به حساب‌های کاربری افراد معروف بازداشت شدند. بر اساس گزارش‌های منتشر شده، مهاجمان توانسته بودند به سادگی به اعلان‌های ارسالی جهت احراز هویت دومرحله‌ای دست پیدا کنند. در این گزارش توصیه شده کاربران برای مقابله با چنین حملاتی بهتر است از راهکار کلیدهای امنیتی فیزیکی استفاده نمایند. در این مطلب از فراست، ابتدا مفهوم و شیوه عملکرد این راهکار را بیان نموده و سپس به بررسی مزایا و معایب آن می‌پردازیم.

 

روش مبتنی بر سخت‌افزار

کلیدهای امنیتی فیزیکی تغییرات ویژه ای را در فرایند احراز هویت دومرحله‌ای ایجاد کرده اند. در این روش برای احراز هویت کاربران از یک کلید سخت‌افزاری استفاده می‌گردد (به جای وارد نمودن کدی که به گوشی تلفن همراه کاربر ارسال می‌شود). این کلید، به صورت یک دانگل[۱] سخت افزاری به رایانه یا دستگاه مورد نظر متصل می‌شود. آنگاه با فشردن یک دکمه یا پس از احراز هویت کاربر (به روش‌های زیست سنجی)، یک کد منحصر به فرد برای کاربر مربوطه ایجاد می‌گردد.

اگرچه ممکن است بعضی از راهکارهای مورد استفاده برای احراز هویت چندمرحله‌ای در برابر برخی حملات آسیب‌پذیر باشند اما در نسل جدید کلیدهای مبتنی بر احراز هویت زیست سنجی، از استانداردهای FIDO2 و [۲]WebAuthn که توسط اتحادیه [۳]FIDO و کنسرسیوم وب جهان گستر[۴] طراحی شده‌اند برای شناسایی بهتر کاربران استفاده می شود.

کلیدهای رمزنگاری (کلید عمومی و خصوصی) تولید شده توسط FIDO2 برای هر وب سایتی یکتا و منحصر به فرد می باشند. در این روش، کلید خصوصی بر روی دستگاه مربوطه باقی مانده و کلید عمومی برای وب سایت ثبت شده ارسال می شود. از آنجا که در این روش هیچ کلمه عبوری به اشتراک گذاشته نمی‌شود بنابراین در صورت نفوذ امنیتی به آن وب سایت، دیگر امکان دستیابی به اطلاعات احراز هویت کاربران وجود ندارد.

استانداردهای FIDO2 و WebAuthn راهکارهایی هوشمند برای احراز هویت افراد هستند که مانع از وقوع حملات فیشینگ و تهدیدات مرتبط با تصاحب حساب کاربری (از جمله حملات پیچیده‌ای مثل مرد میانی که در آن مهاجم با دستکاری ترافیک شبکه یا هدایت آن به سمت یک درگاه ورود جعلی، به بررسی و تفسیر اعتبارنامه‌های دیجیتالی کاربران شامل نام کاربری و کلمه عبور آنها می‌پردازند) می‌شوند. از آنجا که استفاده از کلمه عبور یکی از مهمترین عوامل ایجاد آسیب‌پذیری است، به همین خاطر در این روش از هیچ کلمه عبوری استفاده نمی‌شود.

هزینه، پیچیدگی و عامل انسانی

قاعدتاً نصب و پیاده‌سازی صدها و هزاران نمونه از این دستگاه‌ها در یک سازمان بزرگ، هزینه و پیچیدگی‌های خاص خود را به همراه دارد. وقتی نیاز به انجام به‌روزرسانی‌های امنیتی وجود داشته باشد، حتماً باید از کلید جدید به جای کلید قدیمی استفاده شود؛ در غیر این صورت هیچ راهکار دیگری برای دریافت و نصب وصله‌های امنیتی وجود نخواهد داشت.

علاوه‌ بر این حتی اگر ارایه‌دهنده چنین راهکاری، مدل جدید این کلیدها را به صورت رایگان در اختیار شما قرار دهد باز هم فرایند توزیع آن در سطح سازمان و تشویق کاربران به استفاده از آنها می‌تواند چالش‌هایی را ایجاد نماید. اگرچه خدمات ارایه شده و همچنین پشتیبانی از این کلیدهای فیزیکی همواره رو به افزایش است ولی باید به این نکته توجه داشت که هنوز محدودیت‌هایی در خصوص پیاده سازی عملی این راهکار وجود دارد.

عامل انسانی نیز یکی از عوامل سخت تر شدن قابلیت استفاده از کلیدهای فیزیکی است. همه ما تجربه گم کردن یا جا گذاشتن دسته کلیدهای‌مان را داریم. در چنین شرایطی کلید قدیمی، منسوخ شده و کلید جدید جایگزین آن می‌شود. از این رو کاربر ممکن است مدت زمانی طولانی منتظر دریافت کلید جدید مانده و در این مدت به سرویس مورد نظر دسترسی نداشته باشد. در سازمانی که هزاران کارمند در آن فعالیت می‌کنند، گم کردن کلیدها تأثیر چشمگیری بر بهره‌وری خواهد داشت.

 

استفاده از گوشی تلفن همراه به عنوان کلید

تبدیل گوشی تلفن همراه به کلید هم روش دیگری برای بهبود فرایند احراز هویت است. در این روش، سادگی کار با احراز هویت دومرحله‌ای مبتنی بر تلفن همراه هوشمند می تواند با امنیت زیاد استانداردهایی همچون FIDO2 و WebAuthn ترکیب شود. به منظور آشنایی کافی با نحوه عملکرد این روش ابتدا باید اطلاعاتی را درباره FIDO2 کسب کنیم.

سامانه FIDO2 (Fast Identity Online) یک سیستم استاندارد تعیین هویت است که شامل استانداردهای احراز هویت تحت وب (WebAuthn) استاندارد می باشد. کلیدهای امنیتی FIDO2 برای ورود کاربر به سایت مورد نظر از روشی استفاده می کنند که در آن از کلمه عبور استفاده نمی شود. لازم به ذکر است این روش از امنیت بسیار بالایی در برابر حملات فیشینگ برخوردار است.

استاندارد FIDO2، از سه بخش زیر تشکیل شده است:

  1. بخش اول آن شامل نام وب سایت مدنظر است که طرف مورد اعتماد (یا RP[۵]) هم به آن گفته می‌شود.
  2. بخش دوم شامل مرورگر و احراز هویت کننده است که به اختصار به آن کلید هم می‌گویند (WebAuthn، پروتکل بین RP و مرورگر است).
  3. بخش سوم نیز شامل یک پروتکل کلاینت به احراز هویت کننده (CTAP[۶]) است که به صورت مجزا توسط FIDO2 تعریف شده و بین مرورگر و احراز هویت کننده قرار می گیرد.

فعالیت های مهم احراز هویت مثل ثبت کلید، احراز هویت مبتنی بر چالش و غیره بین کلید و RP انجام می‌شود. مرورگر نیز پیام‌ها را ارسال نموده و اطلاعات زمینه‌ای را به آنها اضافه می‌کند.

سه لایه برای انجام عملیات انتقال در CTAP تعریف شده که شامل USB، بلوتوث کم مصرف و ارتباطات میدان نزدیک (NFC[۷]) است. وجود یک لایه انتقال که تحت پوشش CTAP نباشد برای فراهم نمودن امکان انتقال پیام‌های FIDO2 توسط مرورگر از طریق یک کانال امن برای گوشی تلفن همراه کاربران ضروری است. این ابتکار باعث شده امکان اتصال گوشی‌های هوشمند به مرورگرها از طریق این کانال فراهم شود (همانگونه که کلیدهای فیزیکی با استفاده از USB با مرورگر جفت می‌شوند). نتیجه چنین کاری ایجاد یک راهکار ضدفیشینگ است که در آن از تلفن‌های همراه هوشمند به عنوان کلید استفاده می‌شود که علاوه بر قدرت کافی، از راحتی لازم هم برخوردار هستند.

تجربه کاربری آسان و بیدغدغه

از آنجا که کارمندان، قبلاً هم به دفعات از گوشی‌هایشان برای انجام احراز هویت استفاده کرده اند در نتیجه این روش برای آنها بسیار آسان تر است. یکی از مزیت‌های اصلی این روش، اضافه شدن راهکار حفاظتی FIDO2 به فرایندی آشنا و راحت بوده و خطاهای انسانی را نیز از آن حذف خواهد کرد. با اعلان‌های احراز هویت چندمرحله‌ای فعلی، مهاجم می‌تواند یک اعلان دروغین برای کاربر ارسال کند که امکان تحت اختیار گرفتن حساب کاربری وی را فراهم نماید. روش احراز هویت FIDO2 با استفاده از تلفن همراه می تواند مانع از بروز این مشکل می‌شود.

اگرچه این روش مزایای بیشتری نسبت به اعلان‌های احراز هویت چندمرحله‌ای سنتی و کلیدهای امنیتی فیزیکی دارد اما همچنان نیاز به یک رویکرد امنیتی جامع (از جمله مدیریت دستگاه‌های سیار) را برطرف نمی کند. سازمان‌ها باید به هر آسیب‌پذیری که ممکن است در تلفن‌های همراه هوشمند وجود داشته و همچنین تمام برنامه‌های کاربردی که بر روی آنها نصب شده است، توجه لازم را داشته باشند. بررسی مداوم تمامی لینک‌ها در زنجیره امنیتی برای شناسایی آسیب‌پذیری‌های احتمالی ضروری است چرا که مجرمان سایبری همواره در تلاش برای شناسایی و سوءاستفاده از این ضعف‌ها می باشند.

پیاده سازی درست راهکار احراز هویت می تواند لزوم استفاده از دانگل های سخت‌افزاری را از طریق ایجاد راهبرد مبتنی بر تلفن همراه و استفاده از استاندارد FIDO2 حذف نماید. به این ترتیب مخاطره ناشی از دور زدن روش احراز هویت چندمرحله‌ای برطرف خواهد شد (بدون اینکه موجب کاهش راحتی کار کاربران شود). امروزه با توجه به افزایش تعداد حملات سایبری می‌توان گفت که بهترین راهکار دفاعی، ترکیب قدرت و سادگی است.

 

[۱] در شبکه های رایانه ای، منظور از دانگل دستگاه کوچکی است که از آن برای اتصال رایانه به اینترنت، تعبیه کلیدهای رمزنگاری بر یک قطعه سخت افزاری و … استفاده می شود.

[۲] Web Authentication، یک استاندارد برای ورود امن‌تر و ساده‌تر به حساب‌های کاربری است. این استاندارد به سرورها امکان می‌دهد فرایند ثبت‌نام یا احراز هویت کاربران را به جای استفاده از کلمه عبور، از طریق رمزنگاری کلید عمومی انجام دهند.

[۳] اتحادیه FIDO یک انجمن غیرانتفاعی است که در سال ۲۰۱۲ میلادی با هدف حذف کلمات عبور از طریق پیاده سازی پروتکل‌های رمزنگاری تأسیس شد.

[۴] این مؤسسه، استانداردهای نرم‌افزاری لازم را برای شبکه جهانی وب تولید می‌کند.

[۵] Relying Party

[۶] Client to Authenticator Protocol

[۷] Near-Field Communication

خروج از نسخه موبایل