نکاتی پیرامون احراز هویت

ممکن است احراز هویت به عنوان مفهومی سخت تلقی شود اما ساده است: راهی برای نشان دادن این‌که شما همان کسی هستید که می‌گویید. در دنیای برون-خطی این فرآیند ساده و عمومی است. بیش‌تر کشورها فرآیند‌های مشخصی دارند تا شما با استفاده از آن‌ها گذرنامه بگیرید و بدین ترتیب در هر کجای دنیا این گذرنامه معرف هویت شماست. در دنیای رایانه‌ها، هیچ سندی وجود ندارد که بتواند به تنهایی هویت شما را هر کجا که می‌روید اثبات کند. در نتیجه بیش‌تر وب‌گاه‌ها و خدمات از روش‌های متفاوتی استفاده می‌کنند.
کارشناسان معتقدند احراز هویت به اعطای دسترسی‌ها، اجازه و گزارش‌گیری نیز مربوط است. راه‌اندازی یک فرآیند احراز هویت قوی و جامع اولین گام ضروری برای مدیریت حساب‌های مختلف است؛ اگر ندانید که فرد مورد نظر شما واقعا چه کسی است، نمی‌توانید بفهمید چه منابع یا خدماتی در اختیار فرد مورد است و مسلماً نمی‌دانید چه اعمالی را می‌تواند انجام دهد.
خود را به صورت برخط اثبات کنید
زمانی که می‌خواهید نشان دهید یک نفر در واقعیت همان کسی ‌است که ادعا می‌کند، باید عواملی را بیابید که درباره او منحصربه‏ ‏فرد باشد. برای تحقق این هدف، راه‌هایی وجود دارد. در فیلم‌ها و یا برنامه‌های تلویزیونی، اگر مساله احزار هویت یک فرد باشد، این موارد مطرح می‌شود:
۱- از فرد مورد نظر درباره چیزی بپرسید که فقط و فقط او می‌داند.
۲- از فرد مورد نظر بخواهید نشانه‌ای را ارائه کند که فقط او به همراه دارد.
۳- به دنبال ویژگی‌هایی باشید که مطمئن هستید فقط فرد مورد نظر آن‌ها را دارد.
می‌توان از نمونه‌های مشابهی نیز برای تائید کاربران در محیط برخط استفاده کرد. این سه روشی که به تائید هویت کمک می‌کند تحت عنوان «عوامل احراز هویت» شناخته می شوند.
-عامل دانش: آن‌چه فقط شما می‌دانید
این گزینه شامل اطلاعاتی است که فقط فرد مورد پرسش از آن خبر دارد.
-عامل مالکیت: چیزی که دارید
این عوامل همان چیزی که توسط فرد یا سازمان برای تصدیق هویت به فرد مورد نظر داده شده‌ است.
-عامل وجودی: چیزی که واقعا هستید
عواملی که بخشی از وجود شما هستند و معمولاً هرگز تغییر نمی‌کنند.
اگر بخواهیم درباره عامل اول صحبت کنیم، عامل‎های رایجی از جمله گذرواژه‎ها، گزاره‌ی عبور و یا پین‌کد‌ها استفاده می‌شوند. شاید بسیاری از مردم ندانند که سوالات رمزی نیز که در برخی وب‌گاه‌ها از کاربران پرسیده می‎شود و از آن‌ها خواسته ‌می‌شود این سؤال‌ها و جواب‌هایشان را به خاطر بسپارند نیز از جمله همین عوامل دانشی محسوب می‌شوند.
در مورد عوامل مالکیت، کارت اعتباری یا کارت ملی را می توان مثال زد. داشتن کارت اعتباری تنها به معنای این نیست که شما قادر هستید بدهی خود را بپردازید، بلکه نشان‎دهند‌ه‌ی این نیز هست که بانک شما، هویت‌تان را تصدیق کرده ‌است.
حتی آدرس رایانامه، شماره تماس تلفن همراه نیز می‌تواند عامل مالکیت باشد. کلید‌های دسترسی موقتی می‌توانند توسط وب‌گاه‌ها تولید و از طریق پیام‌کوتاه، تماس صوتی و یا رایانامه به شما ارسال شوند تا به عنوان اجازه دسترسی ورود از آن‌ استفاده کنید.
درباره عامل وجودی، احتمالاً بیش‌تر شما از این عامل استفاده کرده‌اید. پویشگرهای اثرانگشت در تلفن‌همراه و یا سایر ابزارها، ساخته‌ شده‌اند تا الگوی منحصربه‎فرد وجودی اثرانگشت را استفاده کنند. برخی تلفن‌‌های همراه هوشمند نیز اکنون پویشگرهای عنبیه دارند.
احتمالاً همه ما کسی را می‌شناسیم که حساب کاربری برخطش مورد نفوذ واقع شده ‌است. احراز هویتی که فقط از نام کاربری و گذرواژه استفاده می‌کند، راه‏‏ حل خوبی نیست. پژوهشگران حوزه امنیت همواره به دنبال راه ‏حل‌های جدیدی هستند تا فرآیند احزار هویت را سریع‌تر و امن‌تر انجام دهند. استفاده بیش‌ از یک عامل برای صاحبان حساب‌های کاربری اکنون به گزینه بهتری تبدیل شده ‌است.
استفاده از احزار هویت دوگانه و یا دو مرحله‎ای باعث می‌شود که حتی اگر نفوذگر اطلاعات یکی از این عوامل را داشته باشد باز هم نتواند به حساب‌ کاربری‌تان وارد شود.
برخی از ابزارهای احزار هویت نیز ممکن است وجود داشته ‌باشند بدون این‌که بدانیم:
-عامل مکانی : جایی که هستید.
-عامل رفتاری: کاری که انجام می‎دهید.
شاید به نظر عجیب برسد چرا که مردم فکر می‌کنند و رفتار‌های آن‌ها نیز در طول زمان تغییر می‌کند؛ اما کارشناسان معتقدند این عوامل مخصوصاً در ترکیب با سایر عوامل می‌توانند بسیار مفید باشند.
عوامل مکانی بدان معناست که بیش‌تر اوقات انتظار می‌رود در مکان‌های مشخصی باشید (در منزل و یا سرکار). البته که این مورد همیشه درست نیست اما می‌تواند کمک کننده باشد. اگر شما در مکان شناخته شده‌ای باشید و یا از آدرس IP و یا آدرس MAC شناخته‌ شده‎ای استفاده کنید، این عوامل می‌تواند به عنوان عامل ثانویه در کنار گذرواژه استفاده شوند. اما اگر مثلاً در مکان شناخته شده‌ نباشید از شما خواسته می‎شود از روش‎های دیگری علاوه بر گذرواژه هویت خود را ثابت کنید.
نشان داده ‌شده است که رفتارهای مشخصی مانند اثرانگشت برای هر فرد ثابت هستند. برای مثال عادات وب‌گردی ‌ما، حرکات ماوس و یا دست‌بر روی صفحه‌نمایش لمسی و یا دست‌خط.
کارشناسان امنیتی معتقدند حتی اگر هویت‌ کاربر نیز تائید شد نباید همه درهای شبکه به رویش باز شود. آن‌‌ها می‌گویند حتی اگر مطمئن هستید فرد مورد همان کسی است که ادعا می‌کند باید فقط موارد و دسترسی‌هایی که واقعاً نیاز دارد در اختیارش قرار دهید، به طوری که سرقت‌ها و یا صدمات عمدی و یا سهوی به حداقل برسد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap