مقدمه
براي حل مشکلات مختلفی که در زمينه های گوناگون فناوري اطلاعات رخ ميده، راه حل های متفاوتی هم ارائه میشه. يکي از این راه حل ها که استفاده از اون روز به روز داره به طور چشمگيری رشد مي کنه، استفاده از وسايل امنيتی (Secure Module) مانند توکن ها است.

توکن های هوشمند USB Smart Token به عنوان نسل جديدي از وسايل امنيتی، مشکل هزينه و قيمت بالاي سخت افزارهاي امنيتی HSM (Hardware Secure Module) رو حل کرده و به وسايلي فراگير تبديل شده. نام دیگر توکن “رمزیاب” هست.
معرفی Security Token
نشانه امنیتی یا توکِن امنیتی (Security Token) سختافزار کوچکی هستش که برای ورود کاربر به سامانه رایانه ای بهکار میره. یا اگر دقیق تر بخواهیم اونو توضیح بدیم باید گفت، توکن یک دستگاه فیزیکی هست که در اختیار کاربران مجاز قرار میگیره تا به راحتی بتونن برای استفاده از یک سیستم کامپیوتری احراز هویت بشن. توکن برای اثبات هویت فرد به صورت الکترونیکی استفاده میشه (به عنوان مثال نحوه دسترسی به حساب بانکی از راه دور). همچنین میشه به جای رمز عبور معمولی برای احراز هویت مشتری که خواهان ورود به سیستم است، استفاده بشه یا مثلا به عنوان یک کلید الکترونیکی برای دسترسی عمل کنه.
بعضی از توکنها کلیدهای رمزنگاری مانند امضا دیجیتال و اطلاعات بیومتریک مثل اثرانگشت یا چهره و … در حافظشون ذخیره میکنن. این توکنها شامل چند کلید برای وارد کردن شماره شخصی شناسایی (PIN code) و آغاز برنامه توکن برای انجام عملیات ایجاد رمز عبور هستند. طراحی مخصوصی از این توکن به صورت ارتباط USB و بلوتوث است که این روشها در انتقال کلید رمز تولید شده به سیستم دخالت دارند.
در حال حاضر سازمان املاک و اسناد کشور،کانون سردفتاران و دفتریاران، برخی بانک ها و… برای شناسایی افراد و مشتریانشان از راه دور از این سیستم استفاده می کنند که امنیت بالایی دارد.
انواع توکن های امنیتی
انواع مختلفی از توکن های امنیتی وجود دارد که برای حفظ اطلاعات و سیستم ها مورد استفاده قرار می گیرند و ممکنه حتی فیزیکی نباشند که در قسمت پایین می تونید با اون ها آشنا بشید.
1- رمزهای عبور یکبار مصرف (OTPs):
One-time passwords یا OTP ها نوعی رمز امنیتی دیجیتال هستند که فقط برای یک بار ورود معتبر و قابل استفاده هستند. این مدل رمز ها پس از اولین استفاده به سرور احراز هویت اطلاع می دهند و باطل می شوند. OTP ها معمولا با استفاده از یک الگوریتم رمزنگاری از یک کلید مخفی مشترک متشکل از دو عنصر داده منحصر به فرد و تصادفی تولید می شوند. یک عنصر یک شناسه تصادفی جلسه است و دیگری یک کلید مخفی است.
Disconnected tokens -2 (توکن های بدون اتصال):
توکن بدون اتصال نوعی رمز امنیتی دیجیتال است که از نظر فیزیکی به رایانه متصل نمی شود. ممکن است دستگاه یک OTP یا سایر اطلاعات کاربری ایجاد کند. یک برنامه دسکتاپ که یک پیام متنی را به تلفن همراه ارسال می کند و پس از قطع اتصال توکن، کاربر باید در آن لاگین کند.
3- Connected tokens (توکن های متصل):
توکن متصل، ابزاری سخت افزاری شبیه به فلش USB هست که همانند فلش مستقیماً به یک کامپیوتر یا حسگر متصل می شود. دستگاه، توکن متصل را می خواند و دسترسی را تایید یا رد می کند. مجموعه یک کارت هوشمند و یک کارت خوان هم می توانند همانند توکن عمل کنند. در واقع وظیفه توکن این است که از اطلاعات افراد به صورت ایمن و سخت افزاری محافظت کند، به صورتی که امکان هیچ گونه حمله و رسیدن به اطلاعات از جانب فردی غیر از صاحب توکن وجود نداشته باشد. توکنهای USB باید مستقیماً یا از طریق کابل داخلی به درگاه USB دستگاه وصل شوند. یکی از مزایای توکن USB توانایی آن در رمزگذاری ایمن فایل ها و ایمیل ها یا قراردادهای دیجیتال است.
4- Contactless tokens (توکن های بدون تماس):
توکن های بدون تماس، یک ارتباط با کامپیوتر بدون نیاز به اتصال فیزیکی ایجاد می کنند. این توکن ها به صورت بی سیم به سیستم متصل می شوند و از طریق آن اتصال، دسترسی را اعطا یا رد می کنند. به عنوان مثال، بلوتوث اغلب به عنوان روشی برای برقراری ارتباط با توکن بدون تماس استفاده می شود.
5- SSO software tokens (توکنهای نرمافزار ورود به سیستم):
توکن های نرم افزار Single sign-on یا SSO اطلاعات دیجیتالی مانند نام کاربری یا رمز عبور را ذخیره می کنند. آنها افرادی که از چندین سیستم کامپیوتری و چندین سرویس شبکه استفاده می کنند را قادر می سازند تا بدون نیاز به به خاطر سپردن چندین نام کاربری و رمز عبور به هر سیستم وارد شوند.
6- Programmable tokens (توکن های قابل برنامه ریزی):
یک نشانه امنیتی قابل برنامه ریزی به طور مکرر یک کد منحصر به فرد معتبر برای یک بازه زمانی مشخص، اغلب 30 ثانیه ایجاد می کند تا دسترسی کاربر را فراهم کند. به عنوان مثال، Amazon Web Services Security Token Service برنامهای است که کدهای 2FA مورد نیاز مدیران فناوری اطلاعات برای دسترسی به برخی منابع ابری AWS را تولید میکند.

مزیت های استفاده از توکن های امنیتی
توکن های امنیتی مزایای زیادی نسبت روش های سنتی دارند، بیاید چندتا از آن ها را مرور کنیم:
سهولت در کارایی :
اتوماسیون، سرعت و شفافیت بلاک چین باعث ایجاد، انتشار و انتقال اوراق بهادار سریع تر و ارزان تر می شود. توکن های امنیتی با خودکار کردن فرآیند ها، سهولت و سرعت انجام کار ها را افزایش می دهند و در عین حال هزینهها را پایین نگه میدارند و خطر خطاهای دستی را کاهش میدهند.
نقدینگی:
به لطف مالکیت کسری و بازارهای ثانویه، توکنهای امنیتی داراییهای غیرنقدی سنتی مانند املاک و آثار هنری زیبا را برای صاحبان دارایی نقد میکنند. تقسیم مالکیت به بخشهای کوچک – به جای اینکه فقط متعلق به یک شخص یا نهاد باشد – دسترسی سرمایهگذاران کوچکتر به خلق ثروت را امکانپذیر میکند.
شفافیت:
وضعیت یک تراکنش رمز امنیتی را میتوان از آغاز تا تسویه حساب کنترل کرد و همه طرفهای مرتبط به این زنجیره طلایی، دسترسی دارند. با ثبت یک رکورد در روز، اختلافات در مورد نگهداری سوابق و نیاز طرفین به این اسناد کاهش پیدا می کند.
کاهش خطر:
توکنهای امنیتی، قوانین و کنترل های دقیق را برای فراهم می کنند تا در آنها برنامهریزی صورت بگیرد. طبیعتا با یافتن خودکار مشکلات قبل از شروع معامله، خطر اشتباه کاهش می یابد.

نقاط ضعف توکن های امنیتی
حالا که با نقاط قوت توکن های امنیتی آشنا شدیم بهتره با ضعف های آن هم آشنا شویم. همانطور که از نام آن پیداست، توکن های امنیتی باید اطلاعات و دیتا های حیاتی رو ایمن نگه دارند. ولی متاسفانه باز هم در برابر بعضی از خطرنات آسیب پذیر هستند. در ادامه خطر هایی که ممکن است توکن هارا تهدید کند با هم مرور خواهیم کرد:
1- فراموشی یا گم کردن:
کارتهای کلیدی و دستگاه های USB بسیار کوچک هستند و به راحتی گم میشوند. اگر رمزگذاری نشده باشند یا با رمز عبور ثانویه محافظت نشده باشند، هر کسی که آنها را پیدا کند میتواند دسترسی داشته باشد.
ساده ترین مورد آسیب پذیری در وسایلی که شامل رمز هستند، گم شدن دستگاه است. توکن های غیرمتصل و نشانههایی که از out-of-band استفاده میکنند، در مقابل حملات میانی آسیب پذیر هستند. در این نوع حمله، فرد کلاهبردار به عنوان یک عنصر میانی بین کاربر (نشانه) و سیستم اصلی (احراز هویت) قرار میگیرد. سپس مقدار نشانه را از کاربر درخواست کرده و خودش آن را به سیستم احراز هویت تحویل میدهد و خود را به جای کاربر نشانه جا میزند. تا زمانیکه مقدار نشانه از نظر ریاضی درست باشد، احراز هویت با موفقیت انجام میشود و فرد کلاهبردار قادر به دسترسی است. در سال ۲۰۰۶، Citibank اعلام کرد که کاربران سخت افزارهایی که بر اساس نشانه کار میکردند، قربانی حمله میانی توسط افراد اوکراینی گردیدهاند.
2- سرقت:
یکی دیگر از نقاط ضعف توکن ها اینه که به راحتی قابل سرقت هستند. همانطور که از گوشی خود محافظت می کنید تا توسط افراد به سرقت نرود، از این وسیله نیز باید مواظبت کنید وگرنه طی یک حمله برنامه ریزی شده یا یک سرقت جزئی مانند از دست دادن کیف و … ممکن است اطلاعات شما در معرض خطر قرار بگیرد.
3- هک شدن:
توکنها باید از کاربران در برابر بدافزار محافظت کنند و شرکتهایی مانند بانکها اغلب به مشتریان خود میگویند که سیستم توکنها به همین دلیل امنتر هستند. اما هر چیزی که الکترونیکی باشد و به شبکه متصل باشد می تواند توسط فردی با مهارت و حوصله هک شود. در حالی که توکن های امنیتی لایه دیگری از پشتیبانی را اضافه می کنند، در برابر هک نفوذ ناپذیر نیستند.
4- نقض امنیت:
هکرها می توانند در مقابل سیستم های احراز هویت قدم بگذارند و کاربران را به استفاده از کلمات کلیدی برای جمع آوری ترغیب کنند. این اتفاق برای یک سیستم بانکی بزرگ در سال 2006 رخ داد و باعث رسوایی کامل شد.
به گزارش بانکی داتآیآر؛ برخی ها در سال های اخیر باتوجه به طولانی بودن پروسه استفاده از دستگاه رمزیاب استفاده از رمزهای یک بار مصرف را برای افزایش امنیت بانک ها توصیه می کنند.
در انتها باید گفت که اهمیتی نداره که از چه سیستم امنیتی استفاده می کنید. در قدم اول باید تمام جوانب را بسنجید و هوشیار باشید. به دلیل حساس بودن این سیستم های امنیتی، در صورت مشاهده هرگونه مشکل و ایراد باید وارد عمل بشید و مشکل را برطرف کنید.
توکن های امنیتی چطور کار می کنند ؟
یک توکن امنیتی برای دسترسی به یک سیستم از طریق هر دستگاهی که رمز عبور تولید می کند، احراز هویت را انجام می دهد، که می تواند شامل یک کارت هوشمند، یک کارت اتوبوس، یک تلفن همراه یا یک کارت شناسایی فرکانس رادیویی باشد. هر زمانی که از دستگاه استفاده میشود، رمز عبور جدیدی تولید میکند، بنابراین میتوان با تایپ رمز عبور تولید شده توسط توکن برای ورود به رایانه یا شبکه خصوصی مجازی استفاده کرد.
فناوری رمز امنیتی مبتنی بر استفاده از دستگاهی است که یک عدد تصادفی تولید می کند، بدین صورت آن عدد را رمزگذاری می کند و در انتها با اطلاعات احراز هویت کاربر به سرور ارسال می کند. سپس سرور یک پاسخ رمزگذاری شده را ارسال می کند که فقط توسط دستگاه قابل رمزگشایی است. این دستگاه برای هر احراز هویت مجددا استفاده می شود، بنابراین سرور مجبور نیست اطلاعات نام کاربری یا رمز عبور را ذخیره کند، تا سیستم را کمتر در برابر هک آسیب پذیر کند.
خصوصیات این نوع توکن ها
توکن های امنیتی بر حسب نوع شامل خصوصیات و مشخصاتی می شوند که در ادامه با آنها آشنا می شویم:
- توکنهای متصل از انواع رابطها از جمله USB، ارتباط میدان نزدیک (NFC)، شناسایی فرکانس رادیویی (RFID) یا بلوتوث استفاده میکنند.
- یک توکن USB که به آن توکن PKI نیز میگویند برای اثبات هویت کاربر به صورت الکترونیکی استفاده می شود و در نتیجه امنیت دیجیتال را به دلیل استفاده از رمزگذاری پیشرفته افزایش می دهد.
- اکثر توکنهای USB امکانات بادوام و قابل حمل را با امنیت فراهم میکنند.
- در بیشتر موارد نیازی به درایورهای اضافی برای توکن های USB وجود ندارد.
- با کمک قابلیت های plug-and-play یک توکن USB، هزینه ها را می توان کاهش داد.
- در مورد رمزنگاری، کلید خصوصی در توکن قرار دارد و نمیتوان آن را خارج از توکن ارسال کرد. این مسئله منجر به ایجاد امضای دیجیتال بر روی توکن در هنگام امضای عملیات می شود. استفاده از رمز محافظت شده برای دسترسی به محتویات توکن، سطح بالایی از امنیت را برای کاربران تضمین می کند. کلید خصوصی هرگز از رمز توکن USB قابل بازیابی نیست.
- برخی نیز ممکن است رمزهای عبور را ذخیره کنند. بعضی از توکن ها دارای بستهبندی مقاوم در برابر دستکاری هستند، در حالی که برخی دیگر ممکن است شامل صفحهکلیدهای کوچکی باشند که اجازه ورود یک پین یا یک دکمه ساده را برای شروع یک روال تولید با قابلیت نمایش برای نشان دادن یک شماره کلید تولید شده میدهد.
- همچنین برخی از توکن ها دارای قابلیت صوتی هستند که برای افراد کم بینا طراحی شده است.
جمع بندی
همانطور که در این مقاله گفتیم، وظیفه اصلی Security Tokens برای احراز هویت کاربر به سامانه های مورد نظر می باشد. در این مقاله با انواع توکن های امنیتی آشنا شدیم و همچنین کارایی آنها رو مرور کردیم. از جمله مزیت هایی که استفاده از این نوع توکن ها برای ما فراهم می کنند می توان به سهولت در نقدینگی، کاهش خطر و ریسک انجام عملیات و شفافیت اشاره کرد. همچنین به نقاط ضعف و قابل هک بودن توکن ها اشاره کردیم که با انجام موارد گفته شده می توان احتمال بروز این خطا ها رو تا حد زیادی کاهش داد.
1 دیدگاه