در شبکههای رایانه ای اصالت سنجی بدین معناست که یک سرویس دهنده بتواند تشخیص دهد کسی که تقاضایی را روی آن سیستم دارد شخص حقیقی و یا یک بد افزار است تا بدین ترتیب به گیرنده پیام اطمینان داده شود که پیام از همان مبدا ادعا شده میباشد. هر مکانیزمی که بتواند هویت واقعی یک فرد را بدون هیچ ابهامی، تایید یا رد کند سرویسی جهت احراز هویت است. این سرویس برخلاف باور عموم یکی از پیچیده ترین مباحث امنیت شبکه به شمار می رود.
تفاوت احراز هویت (Authentication) با شناسایی (Identification)
با یک مثال می توانیم به خوبی تفاوت این دو مفهوم را توضیح دهیم. وقتی در یک بانک که قبلا حساب نداشته اید، اقدام به افتتاح حساب میکنید، نیاز است با مدارک شناسایی خود به شعبه بانک مربوطه مراجعه کنید و هویت خود را معرفی کرده تا بانک هویت شما را شناسایی کند. به این فرآیند در ارائه خدمات، شناسایی مشتری یا Identification میگویند. اما بعد از آن، بابت اعمالی که می خواهید انجام دهید لازم است هربار احراز هویت (Authentication) شوید.
در مثال انتقال وجه از طریق عابر بانک، زمانی که شما کارت بانکی خود را وارد عابر بانک میکنید، سیستم بانک با استفاده از اطلاعات کارت شما، هویت شما را شناسایی میکند (شناسایی مشتری) و با وارد کردن رمز توسط شما، می فهمد که کسی که از کارت شما استفاده میکند خود شما هستید (احراز هویت).
فاکتورهای اصلی سیستم های شناسایی و احراز هویت
احراز هویت برای پاسخگویی کاربر به اعمالی است که بر روی سیستم انجام می دهد. احراز هویت فرایندی است که بر اساس آن بررسی میشود که آیا طرف مقابل ارتباط همانی است که باید باشد یا یک نفوذگر است که خود را به جای طرف واقعی جا زده است. بررسی هویت واقعی طرف مقابل ارتباط، عملی دشوار است که چند فاکتور اساسی دارد:
- چیزی که شما می دانید (What You Know):
این فاکتور، ساده ترین و ضعیف ترین فاکتور احراز هویت (Authentication) در امنیت اطلاعات است. مانند رمز دوم کارتتان. با توجه به اینکه چیزی را که شما می دانید را فرد دیگری هم می تواند بداند، پس آن شخص می تواند به جای شما احراز هویت شود؛ از این رو این فاکتور، ضعیف است و امکان حملاتی مثل فیشینگ در مثال بانک، زیاد است.
- چیزی که شما دارید (What You Have):
همانطور که از نامش پیداست، این فاکتور به معنای داشتن سخت افزارهایی مثل کارت های هوشمند، Token ها و … میباشد. اما این روش هم مانند روش قبل، چندان مناسب نیست زیرا هرکس دیگری هم به این ابزار سخت افزاری دسترسی پیدا کند، می تواند هویت شما را دارا شود. از این روش در احراز هویت حضوری مثل احراز هویت با کارت هوشمند استفاده میگردد.
- چیزی که شما هستید (What You Are):
در دو روش قبلی، امکان فراموش کردن رمز و یا گم کردن ابزار سخت افزاری زیاد بود اما قطعا همیشه اعضای فیزیکی بدن شما همه جا همراهتان هست و مثلا کسی دست شما را نمی تواند بدزدد! اثر انگشت ، نمونه DNA، الگوی مردمک و عنبیه چشم ، الگوی کف دست و صدای شخص و … نمونههایی از این فاکتور هستند که به آن در اصطلاح فنی تر احراز هویت بیومتریک (Biometric) هم گفته میشود. در این روش اطلاعات بیومتریک توسط دستگاه های بیومتریک تشخیص چهره، اسکنر اثر انگشت و … دریافت میگردد. یکی از عیب هایی که به این روش وارد است، هزینه بسیار زیاد برای پیاده سازی مکانیزم و دستگاههای مربوطه میباشد. از این روش در سامانه های احراز هویت آنلاین (احراز هویت غیر حضوری) استفاده میگردد.
- احراز هویت چند فاکتوری (Multifactor Authentication):
همانطور که از نامش هم پیداست یعنی از چندین فاکتور برای احراز هویت افراد استفاده شود. برای مثال شما کارت بانکی که دارید دارای سیستم احراز هویت Two Factor Authentication یا احراز هویت دو عامله است چون هم از شما رمز عبور پرسیده میشود و هم اینکه باید کارت بانکی را داشته باشید. یا اینکه شما کارت شناسایی دارید که بعد از وارد کردن کارت شناسایی در دستگاه مربوطه باید اثر انگشت شما نیز تایید شود و این دو با هم تشکیل یک سیستم احراز هویت دو عامله (2FA) را می دهد.
اگر هر سه فاکتور با هم در یک سیستم احراز هویت استفاده شود، سیستم دارای احراز هویت Multifactor Authentication یا احراز هویت چند عامله است که امنیت حداکثری ایجاد میشود اما امنیت حداکثری، باعث پایین آمدن دسترسی پذیری و عملیاتی بودن (Functionality) سیستم شما میشود و امنیت به عنوان یک عامل اذیت کننده محسوب میشود، یک مثال ساده آنتی ویروس است که اگر زیاد مانع فعالیت های سیستم شما شود طبیعتا شما آن را خاموش میکنید چون دسترسی پذیری و عملکرد شما را دچار اختلال کرده است.