اخبار تکنولوژیبایگانی مطالب

احراز هویت توسط توکن های امنیتی

مقدمه

براي حل مشکلات مختلفی که در زمينه های گوناگون فناوري اطلاعات رخ ميده، راه حل های متفاوتی هم ارائه میشه. يکي از این راه حل ها که استفاده از اون روز به روز داره به طور چشمگيری رشد مي کنه، استفاده از وسايل امنيتی (Secure Module) مانند توکن ها است.

ماژول های امنیتی

توکن های هوشمند USB Smart Token به عنوان نسل جديدي از وسايل امنيتی، مشکل هزينه و قيمت بالاي سخت افزارهاي امنيتی HSM (Hardware Secure Module) رو حل کرده و به وسايلي فراگير تبديل شده. نام دیگر توکن “رمزیاب” هست.

معرفی کامل HSM


معرفی Security Token

تایید توسط توکن ها

نشانه امنیتی یا توکِن امنیتی (Security Token) سخت‌افزار کوچکی هستش که برای ورود کاربر به سامانه رایانه ای به‌کار می‌ره. یا اگر دقیق تر بخواهیم اونو توضیح بدیم باید گفت، توکن یک دستگاه فیزیکی هست که در اختیار کاربران مجاز قرار می‌گیره تا به راحتی بتونن برای استفاده از یک سیستم کامپیوتری احراز هویت بشن. توکن برای اثبات هویت فرد به صورت الکترونیکی استفاده می‌شه (به عنوان مثال نحوه دسترسی به حساب بانکی از راه دور). همچنین میشه به جای رمز عبور معمولی برای احراز هویت مشتری که خواهان ورود به سیستم است، استفاده بشه یا مثلا به عنوان یک کلید الکترونیکی برای دسترسی عمل کنه.
بعضی از توکن‌ها کلیدهای رمزنگاری مانند امضا دیجیتال و اطلاعات بیومتریک مثل اثرانگشت یا چهره و … در حافظشون ذخیره می‌کنن. این توکن‌ها شامل چند کلید برای وارد کردن شماره شخصی شناسایی (PIN code) و آغاز برنامه توکن برای انجام عملیات ایجاد رمز عبور هستند. طراحی مخصوصی از این توکن به صورت ارتباط USB و بلوتوث است که این روش‌ها در انتقال کلید رمز تولید شده به سیستم دخالت دارند.
در حال حاضر سازمان املاک و اسناد کشور،کانون سردفتاران و دفتریاران، برخی بانک ها و… برای شناسایی افراد و مشتریانشان از راه دور از این سیستم استفاده می کنند که امنیت بالایی دارد.


انواع توکن های امنیتی

انواع مختلفی از توکن های امنیتی وجود دارد که برای حفظ اطلاعات و سیستم ها مورد استفاده قرار می گیرند و ممکنه حتی فیزیکی نباشند که در قسمت پایین می تونید با اون ها آشنا بشید.

1- رمزهای عبور یکبار مصرف (OTPs):رمزهای عبور یکبار مصرف

One-time passwords یا OTP ها نوعی رمز امنیتی دیجیتال هستند که فقط برای یک بار ورود معتبر و قابل استفاده هستند. این مدل رمز ها پس از اولین استفاده به سرور احراز هویت اطلاع می دهند و باطل می شوند. OTP ها معمولا با استفاده از یک الگوریتم رمزنگاری از یک کلید مخفی مشترک متشکل از دو عنصر داده منحصر به فرد و تصادفی تولید می شوند. یک عنصر یک شناسه تصادفی جلسه است و دیگری یک کلید مخفی است.


Disconnected tokens -2 (توکن های بدون اتصال):توکن های بدون اتصال

توکن بدون اتصال نوعی رمز امنیتی دیجیتال است که از نظر فیزیکی به رایانه متصل نمی شود. ممکن است دستگاه یک OTP یا سایر اطلاعات کاربری ایجاد کند. یک برنامه دسکتاپ که یک پیام متنی را به تلفن همراه ارسال می کند و پس از قطع اتصال توکن، کاربر باید در آن لاگین کند.


3- Connected tokens (توکن های متصل):توکن های متصل

توکن متصل، ابزاری سخت افزاری شبیه به فلش USB هست که همانند فلش مستقیماً به یک کامپیوتر یا حسگر متصل می شود. دستگاه، توکن متصل را می خواند و دسترسی را تایید یا رد می کند. مجموعه یک کارت هوشمند و یک کارت خوان هم می توانند همانند توکن عمل کنند. در واقع وظیفه توکن این است که از اطلاعات افراد به صورت ایمن و سخت افزاری محافظت کند، به صورتی که امکان هیچ گونه حمله و رسیدن به اطلاعات از جانب فردی غیر از صاحب توکن وجود نداشته باشد. توکن‌های USB باید مستقیماً یا از طریق کابل داخلی به درگاه USB دستگاه وصل شوند. یکی از مزایای توکن USB توانایی آن در رمزگذاری ایمن فایل ها و ایمیل ها یا قراردادهای دیجیتال است.


4- Contactless tokens (توکن های بدون تماس):توکن های بدون تماس

توکن های بدون تماس، یک ارتباط با کامپیوتر بدون نیاز به اتصال فیزیکی ایجاد می کنند. این توکن ها به صورت بی سیم به سیستم متصل می شوند و از طریق آن اتصال، دسترسی را اعطا یا رد می کنند. به عنوان مثال، بلوتوث اغلب به عنوان روشی برای برقراری ارتباط با توکن بدون تماس استفاده می شود.


5- SSO software tokens (توکن‌های نرم‌افزار ورود به سیستم):توکن‌های نرم‌افزار ورود به سیستم

توکن های نرم افزار Single sign-on یا SSO اطلاعات دیجیتالی مانند نام کاربری یا رمز عبور را ذخیره می کنند. آنها افرادی که از چندین سیستم کامپیوتری و چندین سرویس شبکه استفاده می کنند را قادر می سازند تا بدون نیاز به به خاطر سپردن چندین نام کاربری و رمز عبور به هر سیستم وارد شوند.


6- Programmable tokens (توکن های قابل برنامه ریزی):توکن های قابل برنامه ریزی

یک نشانه امنیتی قابل برنامه ریزی به طور مکرر یک کد منحصر به فرد معتبر برای یک بازه زمانی مشخص، اغلب 30 ثانیه ایجاد می کند تا دسترسی کاربر را فراهم کند. به عنوان مثال، Amazon Web Services Security Token Service برنامه‌ای است که کدهای 2FA مورد نیاز مدیران فناوری اطلاعات برای دسترسی به برخی منابع ابری AWS را تولید می‌کند.


مزیت های استفاده از توکن های امنیتی

مزیت های استفاده از توکن های امنیتی

توکن های امنیتی مزایای زیادی نسبت روش های سنتی دارند، بیاید چندتا از آن ها را مرور کنیم:

سهولت در کارایی :

اتوماسیون، سرعت و شفافیت بلاک چین باعث ایجاد، انتشار و انتقال اوراق بهادار سریع تر و ارزان تر می شود. توکن های امنیتی با خودکار کردن فرآیند ها، سهولت و سرعت انجام کار ها را افزایش می دهند و در عین حال هزینه‌ها را پایین نگه می‌دارند و خطر خطاهای دستی را کاهش می‌دهند.


نقدینگی:

به لطف مالکیت کسری و بازارهای ثانویه، توکن‌های امنیتی دارایی‌های غیرنقدی سنتی مانند املاک و آثار هنری زیبا را برای صاحبان دارایی نقد می‌کنند. تقسیم مالکیت به بخش‌های کوچک – به جای اینکه فقط متعلق به یک شخص یا نهاد باشد – دسترسی سرمایه‌گذاران کوچک‌تر به خلق ثروت را امکانپذیر می‌کند.


شفافیت:

وضعیت یک تراکنش رمز امنیتی را می‌توان از آغاز تا تسویه حساب کنترل کرد و همه طرف‌های مرتبط به این زنجیره طلایی، دسترسی دارند. با ثبت یک رکورد در روز، اختلافات در مورد نگهداری سوابق و نیاز طرفین به این اسناد کاهش پیدا می کند.


کاهش خطر:

توکن‌های امنیتی، قوانین و کنترل‌ های دقیق را برای فراهم می کنند تا در آنها برنامه‌ریزی صورت بگیرد. طبیعتا با یافتن خودکار مشکلات قبل از شروع معامله، خطر اشتباه کاهش می یابد.


نقاط ضعف توکن ها

نقاط ضعف توکن های امنیتی

حالا که با نقاط قوت توکن های امنیتی آشنا شدیم بهتره با ضعف های آن هم آشنا شویم. همانطور که از نام آن پیداست، توکن های امنیتی باید اطلاعات و دیتا های حیاتی رو ایمن نگه دارند. ولی متاسفانه باز هم در برابر بعضی از خطرنات آسیب پذیر هستند. در ادامه خطر هایی که ممکن است توکن هارا تهدید کند با هم مرور خواهیم کرد:

1- فراموشی یا گم کردن:

کارت‌های کلیدی و دستگاه های USB بسیار کوچک هستند و به راحتی گم می‌شوند. اگر رمزگذاری نشده باشند یا با رمز عبور ثانویه محافظت نشده باشند، هر کسی که آنها را پیدا کند می‌تواند دسترسی داشته باشد.

ساده ترین مورد آسیب پذیری در وسایلی که شامل رمز هستند، گم شدن دستگاه است. توکن های غیرمتصل و نشانه‌هایی که از out-of-band استفاده می‌کنند، در مقابل حملات میانی آسیب پذیر هستند. در این نوع حمله، فرد کلاهبردار به عنوان یک عنصر میانی بین کاربر (نشانه) و سیستم اصلی (احراز هویت) قرار می‌گیرد. سپس مقدار نشانه را از کاربر درخواست کرده و خودش آن را به سیستم احراز هویت تحویل می‌دهد و خود را به جای کاربر نشانه جا می‌زند. تا زمانیکه مقدار نشانه از نظر ریاضی درست باشد، احراز هویت با موفقیت انجام می‌شود و فرد کلاهبردار قادر به دسترسی است. در سال ۲۰۰۶، Citibank اعلام کرد که کاربران سخت افزارهایی که بر اساس نشانه کار می‌کردند، قربانی حمله میانی توسط افراد اوکراینی گردیده‌اند.


2- سرقت:

یکی دیگر از نقاط ضعف توکن ها اینه که به راحتی قابل سرقت هستند. همانطور که از گوشی خود محافظت می کنید تا توسط افراد به سرقت نرود، از این وسیله نیز باید مواظبت کنید وگرنه طی یک حمله برنامه ریزی شده یا یک سرقت جزئی مانند از دست دادن کیف و … ممکن است اطلاعات شما در معرض خطر قرار بگیرد.


3- هک شدن:

توکن‌ها باید از کاربران در برابر بدافزار محافظت کنند و شرکت‌هایی مانند بانک‌ها اغلب به مشتریان خود می‌گویند که سیستم توکن‌ها به همین دلیل امن‌تر هستند. اما هر چیزی که الکترونیکی باشد و به شبکه متصل باشد می تواند توسط فردی با مهارت و حوصله هک شود. در حالی که توکن های امنیتی لایه دیگری از پشتیبانی را اضافه می کنند، در برابر هک نفوذ ناپذیر نیستند.


4- نقض امنیت:

هکرها می توانند در مقابل سیستم های احراز هویت قدم بگذارند و کاربران را به استفاده از کلمات کلیدی برای جمع آوری ترغیب کنند. این اتفاق برای یک سیستم بانکی بزرگ در سال 2006 رخ داد و باعث رسوایی کامل شد.

به گزارش بانکی دات‌آی‌آر؛ برخی ها در سال های اخیر باتوجه به طولانی بودن پروسه استفاده از دستگاه رمزیاب استفاده از رمزهای یک بار مصرف را برای افزایش امنیت بانک ها توصیه می کنند.

در انتها باید گفت که اهمیتی نداره که از چه سیستم امنیتی استفاده می کنید. در قدم اول باید تمام جوانب را بسنجید و هوشیار باشید. به دلیل حساس بودن این سیستم های امنیتی، در صورت مشاهده هرگونه مشکل و ایراد باید وارد عمل بشید و مشکل را برطرف کنید.


توکن های امنیتی چطور کار می کنند ؟

توکن ها چطور کار می کنند ؟

یک توکن امنیتی برای دسترسی به یک سیستم از طریق هر دستگاهی که رمز عبور تولید می کند، احراز هویت را انجام می دهد، که می تواند شامل یک کارت هوشمند، یک کارت اتوبوس، یک تلفن همراه یا یک کارت شناسایی فرکانس رادیویی باشد. هر زمانی که از دستگاه استفاده می‌شود، رمز عبور جدیدی تولید می‌کند، بنابراین می‌توان با تایپ رمز عبور تولید شده توسط توکن برای ورود به رایانه یا شبکه خصوصی مجازی استفاده کرد.

فناوری رمز امنیتی مبتنی بر استفاده از دستگاهی است که یک عدد تصادفی تولید می کند، بدین صورت آن عدد را رمزگذاری می کند و در انتها با اطلاعات احراز هویت کاربر به سرور ارسال می کند. سپس سرور یک پاسخ رمزگذاری شده را ارسال می کند که فقط توسط دستگاه قابل رمزگشایی است. این دستگاه برای هر احراز هویت مجددا استفاده می شود، بنابراین سرور مجبور نیست اطلاعات نام کاربری یا رمز عبور را ذخیره کند، تا سیستم را کمتر در برابر هک آسیب پذیر کند.


خصوصیات این نوع توکن ها

توکن های امنیتی بر حسب نوع شامل خصوصیات و مشخصاتی می شوند که در ادامه با آنها آشنا می شویم:

  1. توکن‌های متصل از انواع رابط‌ها از جمله USB، ارتباط میدان نزدیک (NFC)، شناسایی فرکانس رادیویی (RFID) یا بلوتوث استفاده می‌کنند.

  2. یک توکن USB که به آن توکن PKI نیز می‌گویند برای اثبات هویت کاربر به صورت الکترونیکی استفاده می شود و در نتیجه امنیت دیجیتال را به دلیل استفاده از رمزگذاری پیشرفته افزایش می دهد.

  3. اکثر توکن‌های USB امکانات بادوام و قابل حمل را با امنیت فراهم می‌کنند.

  4. در بیشتر موارد نیازی به درایورهای اضافی برای توکن های USB وجود ندارد.

  5. با کمک قابلیت های plug-and-play یک توکن USB، هزینه ها را می توان کاهش داد.

  6. در مورد رمزنگاری، کلید خصوصی در توکن قرار دارد و نمی‌توان آن را خارج از توکن ارسال کرد. این مسئله منجر به ایجاد امضای دیجیتال بر روی توکن در هنگام امضای عملیات می شود. استفاده از رمز محافظت شده برای دسترسی به محتویات توکن، سطح بالایی از امنیت را برای کاربران تضمین می کند. کلید خصوصی هرگز از رمز توکن USB قابل بازیابی نیست.

  7. برخی نیز ممکن است رمزهای عبور را ذخیره کنند. بعضی از توکن ها دارای بسته‌بندی مقاوم در برابر دستکاری هستند، در حالی که برخی دیگر ممکن است شامل صفحه‌کلیدهای کوچکی باشند که اجازه ورود یک پین یا یک دکمه ساده را برای شروع یک روال تولید با قابلیت نمایش برای نشان دادن یک شماره کلید تولید شده می‌دهد.

  8. همچنین برخی از توکن ها دارای قابلیت صوتی هستند که برای افراد کم بینا طراحی شده است.

جمع بندی

همانطور که در این مقاله گفتیم، وظیفه اصلی Security Tokens برای احراز هویت کاربر به سامانه های مورد نظر می باشد. در این مقاله با انواع توکن های امنیتی آشنا شدیم و همچنین کارایی آنها رو مرور کردیم. از جمله مزیت هایی که استفاده از این نوع توکن ها برای ما فراهم می کنند می توان به سهولت در نقدینگی، کاهش خطر و ریسک انجام عملیات و شفافیت اشاره کرد. همچنین به نقاط ضعف و قابل هک بودن توکن ها اشاره کردیم که با انجام موارد گفته شده می توان احتمال بروز این خطا ها رو تا حد زیادی کاهش داد.


این مقاله چطور بود ؟
+1
28
+1
15
+1
2
مشاهده بیشتر

parisa.akbari

کارشناس برق- قدرت و کارشناس ارشد کنترل. علاقه مند به سیستم های هوشمند و اینترنت اشیا. به مدت بیش از 1 سال است که در تیم سخت افزار سازان نام آور مشغول به فعالیت هستم.
دکمه بازگشت به بالا