Security

احراز هویت یا Authentication

ساده‌ ترین و البته پرکاربرد ترین روش احراز هویت استفاده از نام کاربری و رمز عبور یا همان Username و Password می باشد. احراز هویت با رمز عبور به عنوان ضعیف‌ ترین شکل حفاظت محسوب می شود. رمزهای عبور ممکن است افشا شوند و به همین دلیل بایستی از آنها محافظت شود.

مراحل احراز هویت

در بعضی موارد وسیله‌ای برای احراز هویت وجود دارد، که این وسیله معمولاً بعنوان Smartcard، در قالب قفل ها یا Token های USB و یا سایر مواردی از این قبیل می باشد. کاربر برای احراز هویت حتماً باید این وسیله را همراه خود داشته باشد. برای احراز هویت شدن در چنین روشی کاربر می بایست Smartcard یا Token خود را در دستگاهی که ویژه احراز هویت طراحی شده است وارد کند.

Token

توکِن امنیتی یا نشانه امنیتی (Security Token) سخت‌افزاری کوچک است که برای ورود کاربر یک سرویس رایانه‌ای به سامانه به‌کار می‌رود. به عبارت دیگر، این دستگاه، یک دستگاه فیزیکی است که در اختیار کاربران مجاز قرار می‌گیرد تا به راحتی هنگام استفاده از یک سیستم کامپیوتری هویت آن‌ها تشخیص داده شود. معمولا با روش دیگری، مانند کلمه عبور همزمان مورد استفاده قرار می گیرند. (Multi factor Authentication)

انواع توکن

  • توکن‌های رمز عبور ایستا
  • توکن‌های رمزهای عبور پویای همگام
  • توکن‌های رمزهای عبور پویای ناهمگام

درواقع احراز هویت با استفاده از ویژگی‌های خاص بدن شماست، چهره شما، اثر انگشت شما، DNA شما، شبکیه و مردمک چشم شما از مواردی است که جزو این عامل به حساب می آیند. قطعاً تا به حال اثبات شده است که اثر انگشت و DNA شما در کل دنیا منحصربه فرد می باشد.

برای مثال، می توان افراد را با استفاده از روش و ریتم استفاده از Keyboard و تایپ کردن توسط آن ( Dynamics KeyStroke) شناسایی و احراز هویت کرد. این یک تکنیک احراز هویت بیومتریک یا شیوه رفتاری شما می باشد و جزو دسته‌ بندی Two – Factor Authenticationها است. هر فردی زمان استفاده از کیبورد و تایپ کردن رفتار و روش استفاده خاص خود را دارد که پارامترهایی همچون زمان و نحوه فشردن کلید ها از این دسته رفتار ها می باشد.

احراز هویت چند معیاره

پروتکل های احراز هویت

1- LDAP یا Lightweight Directory Access Protocol

LDAP روش استانداردی برای دسترسی و به روزرسانی فهرست های (دایرکتوری‌ های) توزیع شده (Distributed) ارائه می‌دهد.

2- PAP یا PasswordAuthenticationProtocol

این پروتکل به عنوان راهکاری جایگزین به جای پروتکل  Serial Line Interface Protocol یا SLIP ایجاد شد تا سرورهای ریموت مثل ISP ها به شیوه ای بهتر اتصال پیدا کنند. هرچند که یک ضعف بزرگ در PAP وجود دارد و آن ارسال پسوردها یا PIN ها در شبکه به صورت متن ساده می باشد. اگر شخصی بسته های ارسالی و دریافتی را در مسیر شنود کند بدون هیچ تلاشی می تواند پسوردها را استخراج نماید.

3- SPAP یا Shiva Password Authentication Protocol

در این روش، رمزنگاری کلمه عبور انجام می شود و از این رو توسط نرم افزارهای شنود قابل مشاهده نیست. ولی راهکاری برای حملات Reply Attack ارائه نمی دهد.

جهت کسب اطلاعات بیشتر راجع به رمز نگاری متقارن و نامتقارن می توانید به مقاله مربوطه مراجعه نمایید.

انواع دیگر پروتکل ها شامل موارد زیر است:

احراز هویت بیومتریک
  1. CHAP
  2. One-Time Passwords
  3. SAML
  4. Open ID
  5. Kerberos

يك پروتكل امنيتي براي احراز هويت در شبكه است كه براي كاربران مجاز امكان ورود به شبكه پس از تاييد هويت را فراهم مي آورد. كاربران تيكت يا بليط هايي را از مركز توزيع كربروس (KDC) دريافت مي كنند. پس از آن هنگامي كه ارتباط با شبكه فراهم شد كاربران اين بليط ها را به سرور ارائه مي كنند و در صورت تاييد، مجوز ورود به شبكه فراهم مي شود. بليط هاي كربروس اعتبار كاربران شبكه را نشان مي دهند.

9-RADIUS

این پروتکل به طور متمرکز وظایف AAA را برای کاربران هنگام دسترسی به سرویس ها و منابع شبکه انجام می دهد. مورد استفاده در مدیریت کاربران از راه دور (VPN Users) است.

RADIUS

مدل های اصلی کنترل دسترسی

کنترل دسترسی اجباری (Mandatory Access Control): مدلی است ایستا که از یک سری سطوح دسترسی از پیش تعریف شده به فایل های روی سیستم تشکیل شده است و فقط  Administrator مجوز تعیین سطح دسترسی را دارد.

کنترل های دسترسی احتیاطی (Discretionary Access Control): در این نوع مدل از کنترل های دسترسی این مالک منبع است که برای دیگران سطوح دسترسی را تعیین می کند. تفاوت اصلی بینMAC و DAC استفاده از برچسب ها است که در MAC قطعا برچسب امنیت وجود دارد اما در DAC می تواند برچسبی وجود نداشته باشد.

کنترل های دسترسی بر اساس نقش (Role-Based Access Control): این نوع بر اساس نقش به کاربر این اجازه را می دهند که بر اساس یک سری سطوح دسترسی از پیش تعیین شده برای یک نقش در سازمان بتواند به منابع دسترسی داشته باشد. در این حالت هر شخص بر اساس نقشی که در یک سازمان ایفا می کند دسترسی های لازم را بدست خواهد آورد.

Attribute-based access control: در این روش می توان از مشخصات مختلف (مانند: Department, Location و .. ) در تعیین سطح دسترسی استفاده کرد.

Single Sign On

Single Sign On یا SSO

به معنای وارد شدن کاربر به برنامه ها، سایت ها و سیستم های مختلف، فقط با یک نام کاربری و رمز عبور می باشد. مشکل این روش این است که، به طور معمول کاربران برای دسترسی به سایت ها و منابع مختلف، لازم است که نام کاربری و رمز عبور جداگانه ای داشته باشند که تعداد کاراکترهای آنها گاهی به ۱۰ عدد میرسد. با زیاد شدن این اکانت ها احتمال فراموش شدن آنها نیز بیشتر می شود.

با استفاده از SSO تنها یک نام کاربری و رمز عبور برای کاربر وجود خواهد داشت.کاربر می تواند در سیستمی که از این فناوری استفاده می کند به تمامی بخش ها تنها با یک بار ورود اطلاعات، دسترسی داشته باشد. توسط این تکنولوژی، اطلاعات مربوط به تایید هویت شامل نام کاربری و رمز عبور در قسمتی امن نگهداری می شوند و پس از آن کاربر برای ورود به بخش ها و حساب های مختلف خود تنها یکبار لاگین می کند.

 در هنگام لاگین، اطلاعات ثبت شده ای که مربوط به تعیین سطح دسترسی کاربر می باشد با اطلاعات اکانت کاربر تطبیق داده می شود و در صورت احراز هویت و مطابقت، اجازه ورود صادر می شود.