احراز هویت دو عاملی چیست و چرا سازمانها از آن استفاده می کنند؟

هر سازمانی تصمیم می گیرد اقدامات امنیتی را به منظور ایمن سازی زیرساختهای خود به مرحله اجرا در آورد، در اغلب موارد از سه راهکار شناخته شده در حوزه امنیت تبعیت میکند. اول آنکه ضد بدافزارهای خود مثل فایروال ها را در نقاط پایانی / انتهایی و سرورها نصب می کند تا بتواند تهدیدات سایبری را شناسایی و آنها را دفع کند. دوم آنکه سعی می کند به طور منظم از اطلاعات خود نسخه پشتیبان تهیه کند تا در صورت بروز حملاتی همچون یک حمله باج افزاری اطلاعاتش برای همیشه از میان نروند و به راحتی قابل بازیابی باشند و سوم آنکه به دنبال رمزنگاری اطلاعاتی خواهد بود که روی دستگاههای مختلف مبادله می شوند. با این کار اگر هکرها موفق شوند به شبکه سازمانی نفوذ کنند، باز هم قادر نخواهند بود به اطلاعات دسترسی داشته باشند. اما به نظر میرسد برای ایمن سازی زیرساختهای ارتباطی یک شرکت به راهکارهای دیگر هم نیاز است. یکی از این راهکارهای قدرتمند به کارگیری مکانیسم احراز هویت دو عاملی است.

مشکلات مرتبط با گذر واژه ها یکی از گزینه های امنیتی که امروزه در دسترسی همه کاربران از جمله سازمان ها قرار دارد، اما هنوز هم مورد توجه بسیاری از سازمان ها قرار نگرفته است و به شکل فزاینده نیاز به آن احساس می شود، مکانیسم احراز هویت دو عاملی (FA2) است. مکانیسم احراز هویت دو عاملی ضمن آنکه قادر است از طیف گستردهای از سرویسهای آنلاین محافظت به عمل آورد، این توانایی را دارد تا هر زمان گواهی نامه های دسترسی یک سازمان در معرض خطر قرار گرفتند، از یک سازمان در مقابل سوء استفاده های هکری محافظت به عمل آورد. کارشناسان امنیتی به شرکت ها توصیه کرده اند برای در امان ماندن از حملات غیر مترقبه از مکانیسم احراز هویت دو عاملی در کنار سایر مکانیسمهای امنیتی استفاده کنند.فرقی نمی کند تاکنون چند مرتبه تلاش کرده اید در شبکه های ارتباطی کاری یا خانگی خود گذر واژه های قدرتمندی را مورد استفاده قرار دهید، واقعیت این است که بسیاری از کاربران تنها قادرند تعداد محدودی از گذرواژه های پیچیده را به یادآورند. در حالی که تعداد دیگری از کاربران سعی می کنند ساده ترین گذر واژه ای که به ذهنشان می رسد را مورد استفاده قرار دهند. درست در همین نقطه است که متخصصان امنیتی پیشنهاد می کنند کاربران از یک لایه امنیتی جدید برای پر کردن خلا ناشی از به کارگیری گذرواژه های ضعیف استفاده کنند. در حالی که امروزه کاربران به اهمیت این مکانیسم امنیتی واقف شده اند، با وجود این درصد کمی از سازمانها به دنبال پیاده سازی جدی این مکانیسم هستند. گزارشی که به تازگی از سوی شرکت امنیتی ESET منتشر شده است، نشان میدهد تنها ۱۱ درصد از سازمان های مستقر در امریکای لاتین از مکانیسم احراز هویت دو عاملی استفاده کرده اند. واقعیت این است که هیچ کاربر یا سازمانی تمایل ندارد حساب هایش در شبکه های اجتماعی، ایمیل ها یا حتی کتابخانه های نرم افزاری ذخیره شده در پلتفرم های توزیع شده بدون اجازه او در دسترسی افراد غیر مجاز قرار گیرد. به همین دلیل است که امروزه بسیاری از کاربران نهایی برای ایمن سازی حساب های خود از مکانیسم احراز هویت دو عاملی استفاده می کنند. با وجود این در دنیای کسب و کار، طیف گستردهای از کارمندانی که از طریق شبکه های خصوصی مجازی به شبکه شرکتی متصل یا به حساب های ایمیلی خود از راه دور متصل می شوند، هنوز هم برای احراز هویت تنها به نام کاربری و گذرواژه ها اکتفا می کنند. گزارشها و امارهایی که در سالهای گذشته منتشر شده اند، ناکارآمدی این ترکیب را به خوبی نشان داده اند. این ناکارآمدی عمدتا به واسطه عملکرد ضعیف کاربران در مدیریت گذرواژه ها بوده است.

حفاظت از اطلاعات عمومی اتحادیه اروپا موسوم به GDRR  یا ( European Union’s new General Data Protection Regulation) به دنبال افزایش سطح آگاهی و ملزم ساختن شرکتها در جهت به کارگیری این فناوری هستند. این رویکرد نه تنها سازمان های عضو این اتحادیه را ملزم و بیشتر ترغیب می کند چنین قوانینی را به کار گیرند، بلکه شرکت ها و افراد غیر عضو این اتحادیه که اطلاعات کاربران اتحادیه اروپا را در سرورهای سازمانی خود ذخیره سازی می کنند را ملزم می کند از چنین ساز و کاری استفاده کنند. شرکت ها برای پیاده سازی راه حل احراز هویت دو عاملی راهکارهای مختلفی در اختیار دارند، اما بسیاری از آنها ترجیح می دهند از یک پیام کوتاه خودکار یا برنامه هایی که کدهای دسترسی را تولید می کنند استفاده کنند. (البته ما در ادامه مطلب به شما خواهیم گفت چرا نباید از پیام کوتاه در ارتباط با مکانیسم احراز هویت دو عاملی استفاده کنید.) هر زمان کاربری تصمیم میگیرد به سامانه سازمانی وارد شود که مکانیسم احراز هویت دو عاملی روی آن فعال است، پس از وارد کردن گذرواژه، باید کدی که سامانه سازمان برای او ارسال کرده است را در فیلد مربوط وارد کند. البته در این بین تعدادی از سازمان ها از یک برنامه کاربردی به غیر از یک مرورگر وب به منظور وارد کردن کدها استفاده می کنند. سیستم های مبتنی بر احراز هویت دو عاملی در تعامل با سامانه های مبتنی بر گذرواژه های سنتی ایمن تر از مکانیسم های دیگری همچون اعتبارنامه ها عمل می کنند. اگر به حملاتی که در چند ماه گذشته رخ داده است نگاهی داشته باشیم، مشاهده می کنیم که اگر این سازمانها از سامانه های مبتنی بر احراز هویت دو عاملی استفاده می کردند، قربانی حملات سایبری نمی شدند. اگر سازمانی از مکانیسم احراز هویت دو عاملی استفاده کند و در عین حال هکرها نیز موفق شوند به سیستم های کامپیوتری سازمان وارد شوند، آنها را آلوده کرده و حتی گذرواژه ها را به سرقت ببرند، باز هم قادر نیستند به حساب های کاربری دست پیدا کنند. به دلیل آنکه کد امنیتی مضاعف را در اختیار ندارند. اما متأسفانه سازمان ها حتی زمانی که مشاهده می کنند چنین حملاتی دامن گیر کسب و کارهای مختلف می شود، باز هم در زمینه به کارگیری این مکانیسم امنیتی سهل انگاری می کنند.

اگر به دنبال آسایش خاطرید، از مکانیسم احراز هویت دو عاملی استفاده کنید

سازمان هایی که تنها از یک مکانیسم امنیت به منظور احراز هویت سامانه های خود استفاده می کنند، باید بدانند ممکن است در معرض خطر جدی قرار داشته باشند. برای پیشگیری از به سرقت رفتن اطلاعات یا نفوذ غیرمجاز به شبکه، برنامه های کاربردی متعددی عرضه شدهاند که قادرند مکانیسم احراز هویت دو عاملی را به خوبی در دسترس سازمان ها قرار دهند. به کارگیری این برنامه ها و افزودن یک لایه امنیتی مضاعف که مانع به سرقت رفتن اطلاعات می شود، رویکرد پیچیده و خیلی فنی نیست. این مکانیسم به سادگی مانع دسترسی غیرمجاز به شبکه داخلی یک سازمان می شود. (شکل ۲) با وجود ساده بودن به کارگیری این مکانیسم شاهد هستیم که سازمانهای است که بسیاری از سازمان ها از مزایای شاخصی که این مکانیسم در اختیار آنها قرار می دهد غافل هستند. به همین دلیل است که مجامع و سازمان های بینالمللی به ویژه اتحادیه اروپا در قالب مقررات جدید

چرا نباید از پیام کوتاه در ارتباط با مکانیسم احراز هویت دو عاملی استفاده کنیم؟
امروزه بسیاری از سرویس ها برای اعتبارسنجی کاربران خود به طور در زمان ورود به چنین سرویس هایی باید کد دریافتی را وارد کنند. اما همین دلیل باید به عنوان آخرین گزینه در زمان به کارگیری احراز هویت دو عاملی مورد استفاده قرار گیرند. در حالی که به کارگیری پیام کوتاه در ارتباط با مکانیسم احراز هویت دو عاملی بهتر از آن است که تنها به نام کاربری و گذر واژه بسنده کنیم. اما واقعیت این است که پیام های کوتاه در بعضی موارد ممکن است با مشکلات امنیتی همراه باشند.

هکرها از طریق تعویض سیم کارت شماره تلفن همراه کاربر را به سرقت می برند

سؤالی که بسیاری از کاربران مطرح می کنند این است که مکانیسم تأیید هویت مبتنی بر پیام کوتاه چگونه کار می کند؟ زمانی که تلاش می کنید به سرویسی وارد شوید، سرویس به طور پیش فرض یک پیام متنی را برای شماره تلفن همراهی که از قبل مشخص کرده اید ارسال می کند. شما این کد را دریافت می کنید و برای ورود از آن استفاده می کنید. این کد تنها برای یک بار ورود است. رویکرد احراز هویت مبتنی می شود که این امکان وجود دارد تا شخصی که شماره تلفن همراه شما را در اختیار دارد، بتواند چنین کدی را مشاهده کند؟ متأسفانه، جواب مثبت است. اگر شخصی شماره تلفن همراه شما را همراه با اطلاعات شخصی اضافی تری همچون شماره تأمین اجتماعی (کد چهار رقمی مورد استفاده در بعضی کشورها) در اختيار داشته باشد، قادر است با ارائه دهنده سرویس مخابراتی تماس برقرار و از آنها درخواست کند سیم کارت جدیدی در اختیار او قرار دهند. این اتفاقی است که دو سال پیش برای خانم اما فرانک رخ داد. او که با عدم دسترسی به شبکه روبه رو شده بود، ابتدا تصور می کرد این اتفاق به واسطه یک مشکل فنی رخ داده است. اما زمانی که با ارائه دهنده سرویس موبایل خود تماس گرفت، در کمال تعجب این پاسخ را شنید که سیم کارت او تغییر پیدا کرده است. او تصور کرد اشتباهی رخ داده است و ظرف ۲ ساعت همه چیز به روال عادی خود باز خواهد گشت. اما دو روز بعد مرکز Vodafone به او اعلام کرد که امکان بازیابی سیم کارت وجود ندارد و باید سیم کارت جدیدی را دریافت کند. خانم فرانک برای بار دوم نیز قربانی چنین حمله ای شد و این مرتبه ۱۵۰۰ پوند از  دست داده است. اگر مطالب و اخبار منتشر شده در سایت پاوان را به طور مستمر دنبال کرده باشید، به خوبی اطلاع دارید که هکرها در چند نوبت اطلاعات شخصی مربوط به مردم را از سازمانهای دولتی و غیردولتی به سرقت بردند. در حالی که عدهای از مردم اعتقاد داشتند که این اطلاعات به درد هکرها نمی خورد، اما واقعیت است که این اطلاعات در چنین زمان هایی است مورد استفاده قرار می گیرند. اطلاعاتی که از یاهو اجازه می دهد هویت کاربران را به راحتی جعل کنند. هکرها میتوانند از این اطلاعات به منظور انتقال سیم کارت استفاده کنند. تکنیکی که به نام تعویض سیم کارت (SIM SWap) از آن نام برده می شود. این فرایند درست مشابه زمانی است که دستگاه جدیدی را خریداری و شماره تلفن خود را در آن وارد می کنید. در مکانیسم تعویض سیم کارت، فردی با ارائه داده های شخصی وانمود می کند خود شما است و به این شکل این شانس را پیدا می کند تا کدهای پیام کوتاهی که برای شماره تلفن شما ارسال می شود را روی گوشی خود مشاهده کند. تاکنون گزارشهای متعددی از چنین حمله ای در کشور انگلستان به ثبت رسیده است. جایی که هکرها با به سرقت بردن شماره تلفن همراه قربانی به حساب بانکی او دسترسی پیدا کردهاند. مقامات دولتی نیویورک نیز درخصوص چنین حملاتی به شهروندان خود هشدار دادهاند. در واقع، این حمله برمبنای تکنیک مهندسی اجتماعی به مرحله اجرا درامده و سعی می کند شرکت ارائه دهنده خدمات مخابراتی را فریب دهد.

پیامهای کوتاه به شکل های مختلفی می توانند مختل شوند

جالب انکه هکرها این توانایی را دارند تا به استراق سمع پیامهای کوتاه بپردازند. هکرها میتوانند از نقاط ضعف موجود در پروتکل سیگنال تلفنی SS۷ که به اپراتورهای مختلف در سراسر جهان اجازه می دهد به مبادله داده ها پرداخته و سرویس هایی همچون رومینگ را در اختیار مشتریان خود قرار دهند نیز استفاده کنند. اما این تنها راهکار پیش روی هکرها نیست. هکرها قادرند از طریق ایستگاه های جعلی تلفن همراه نیز مسیر دریافت پیام های کوتاه را تغییر دهند. با توجه به آنکه پیام های کوتاه برای چنین مقاصدی (به کارگیری در زمینه اهداف امنیتی) طراحی نشده اند، در نتیجه نباید در ارتباط با ساز و کارهایی همچون مکانیسم احراز هویت دو عاملی مورد استفاده قرار گیرند. به عبارت دقیق تر، یک هکر با کمی دانش فنی و اطلاعات شخصی درباره شما قادر است شماره تلفن همراه شما را به سرقت ببرد و برای دسترسی به حساب های مختلف از جمله حساب های بانکی از آن استفاده کند. به همین دلیل است که مؤسسه ملی استاندارد و فناوری توصیه کرده است از پیام کوتاه در ارتباط با مکانیسم احراز هویت دو عاملی استفاده نکنید.

به جای بهرهگیری از پیام کوتاه، دستگاهها باید کد مربوط را تولید کنند

مکانیسمهای احراز هویت دو عاملی که به مکانیسم پیام کوتاه وابسته نیستند، یک برتری شاخص دارند، زیرا شرکت ارائه دهنده خدمات تلفن قادر نیستند کدهای شما را در اختیار افراد دیگر قرار دهند. مرسوم ترین گزینه ای که در این زمینه وجود دارد Google Authenticator است.  Authy نیز گزینه ایده آل دیگری در این زمینه است. به واسطه آنکه همان قابلیتهای Google Authenticator و در بعضی موارد قابلیتهای اضافی تری را در اختیار شما قرار می دهد. برنامه هایی شبیه به نمونه هایی که به انها اشاره شد قادرند کدهای یک بار مصرف را روی دستگاه شما تولید کنند. در این حالت اگر هکرها شرکت ارائه دهنده خدمات مخابراتی را متقاعد سازند تا شماره تلفن همراه شما را به آنها انتقال دهند، باز هم این توانایی را نخواهند داشت تا کدهای احراز هویت دو عاملی را مشاهده کنند. کدهایی که به این شکل روی گوشی شما تولید می شوند، به شکل ایمنی از آنها روی دستگاه شما محافظت می شود. گزینه دیگری که در این زمینه در اختیار شما قرار دارد تجهیزات سخت افزاری فیزیکی هستند که قادرند توکن های این چنینی را تولید کنند. شرکتهای بزرگی همچون گوگل و دراپ باکس از مدتها قبل یک استاندارد سخت افزار محور مبتنی بر توکن های احراز هویت دو عاملی به نام U2F را پیاده سازی کردهاند. این راهکارها در مقایسه با شماره تلفن یا شبکه های مخابراتی قدیمی ایمن ترند. اگر سازمان شما به لحاظ مالی در محدودیت قرار ندارد، بهتر است از مکانیسم احراز هویت دو عاملی مبتنی بر پیام کوتاه صرف نظر کنید. هنوز هم بسیاری از سرویس ها بر مبنای پیام کوتاه عمل می کنند. اما اگر در این زمینه نگران هستید، گزینه ایمن تر دیگری که در اختیارتان قرار دارد به کارگیری Google Voice است. در حالی که هزینه تماس های Google Voice رایگان است، اما این سرویس تنها در ایالات متحده و کانادا در دسترسی کاربران و سازمانها قرار دارد.

به کارگیری و اجرای مکانیسم احراز هویت دو عاملی چقدر هزینه بر است؟

همانند راهکارهای امنیتی مختلفی همچون به کارگیری بسته های امنیتی یا نرم افزارهای ضدبدافزاری، پیاده سازی راه حلی های مبتنی بر این مکانیسم به بودجه سازمانها بستگی دارد. اما اگر به دنبال آن هستید تا حساب های ذخیره سازی اطلاعات سازمان خود را ایمن نگه دارید، نباید درباره هزینه ها بیش از اندازه حساس شوید. به واسطه آنکه کمی هزینه بیشتر در مقایسه با از دست رفتن اعتبار و اعتماد ارزش آن را دارد. همچنین، به این نکته توجه داشته باشید، در حالی که این مکانیسم یک لایه امنیتی مضاعف را به وجود می آورد، اما عاری از خطا نیست و ممکن است هکرها موفق شوند از سد آن عبور کنند. (که البته در اغلب موارد این اتفاق به واسطه اشتباه عامل انسانی رخ میدهد.)

در نهایت در نهایت فارغ از اندازه و بزرگی یک سازمان، مکانیسم احراز هویت دو عاملی لایه امنیتی مضاعفی را برای محافظت از منابع سازمانی و کارکنانی که از راه دور به شبکه های یک سازمان متصل می شوند ارائه می کند. جالب آنکه اگر این مکانیسم به خوبی پیاده سازی شود، قادر است باعث رونق دورکاری شود و پروفایل کارمندان را در وضعیت رومینگ ایمن تر قرار دهد، عملکرد را بهبود ببخشد و خطرات را به حداقل برساند.

منبع: ماهنامه شبکه