احراز هویت (Authentication) و انواع آن
آموزشی
ﺯﻣﺎﻥ ﻣﻄﺎﻟﻌﻪ: 12 دقیقه

احراز هویت (Authentication) و انواع آن

Authentication یا احراز هویت به فرآیندی گفته می‌شود که در آن ارسال کننده یا دریافت کننده اطلاعات برای همدیگر اطلاعاتی را ارائه می‌کنند تا مطمئن شوند آن‌ها همانی هستند که ادعا می‌کنند. به نوعی در احراز هویت بررسی می‌شود که شخص یا‌... همانی هست که ادعا می کند. اگر ارسال کننده یا دریافت کننده اطلاعات نتوانند به درستی برای همدیگر احراز هویت شوند در این میان اعتمادی ایجاد نمی‌شود که آن‌ها بتوانند با همدیگر تبادل اطلاعات داشته باشند. احراز هویت یا Authentication همانطور که گفتیم یک فرآیند است و این فرآیند هم می‌تواند بسیار ساده باشد و هم می‌تواند بسیار پیچیده و دشوار باشد. 

ساده ترین راهکار احراز هویت که همگی ما از آن استفاده کرده‌ایم ساختار بسیار ساده یک کلید احراز هویت متنی است که ما آن را به عنوان پسورد یا رمز عبور می‌شناسیم و برای احراز هویت شدن در سیستم‌های مختلف از آن استفاده می کنیم. اما احراز هویت به تنهایی شامل فاکتورهای مختلفی است که برای بالا بردن سطح امنیتی آن، ما این فاکتورها را به شکل زیر طبقه‌بندی کرده‌ایم‌، هر چقدر شما از فاکتورهای بیشتری در احراز هویت استفاده کنید طبیعتا امنیت شما نیز بالاتر خواهد رفت‌: 

فاکتور اول: چیزی که شما می دانید (What you know) 

ساده ترین و البته ضعیف ترین فاکتور احراز هویت یا Authentication در امنیت اطلاعات چیزی است که شما می دانید‌. ساده ترین مثال آن را نیز همین رمز عبور یا پسوردی می‌توانیم تعبیر کنیم که از آن در طی روز ممکن است بارها استفاده کنیم. مهمترین نکته در خصوص این فاکتور احراز هویت این است که اگر چیزی که شما می‌دانید به عنوان روش احراز هویت استفاده می‌شود‌، بنابراین اگر این چیز را شخص دیگری هم بداند‌، آن شخص می‌تواند به جای شما احراز هویت شود.

یک رمز عبور یا پسورد می‌تواند دزدیده شود و یا بر اساس سهل‌انگاری افراد در جایی یادداشت شود و لو برود که همین امر باعث می‌شود که هر کسی که پسورد را پیدا کند و یا بداند خودش را بتواند به جای شخص دیگری جا بزند. در بسیاری اوقات ما خودمان پسوردهای‌مان را در اختیار دیگران قرار می‌دهیم‌، همین رمز عبور WiFi‌ای که ما استفاده می‌کنیم و هر کسی از راه می‌رسد به او می دهیم یک روش احراز هویت برای Access Point ما محسوب می‌شود. 
علاوه بر اینها پسوردها هم از درجه های امنیتی متفاوتی برخوردار هستند‌، ممکن است یک پسورد بسیار ساده باشد و قابل حدس و چه بسا با استفاده از کلمات شناخته شده طراحی شده باشد و از طرفی دیگر آنقدر می‌تواند پیچیده باشد که به هیچ عنوان قابل حدس زدن نباشد. پسوردهای قابل حدس توسط نرم‌افزارهایی که برای همین کار طراحی شده‌اند قابل هک شدن هستند. یکی از مهمترین مشکلاتی که در سازمان‌های ما وجود دارد این است که کاربران توانایی انتخاب یک پسورد قوی برای سیستم را ندارند و پسوردها معمولا بسیار ساده و قابل حدس هستند‌، سعی کنیم برای پرسنل سازمان خود آموزش‌هایی در خصوص روش ایجاد کردن یک پسورد قوی برگزار کنیم‌. هر چند تجربه بنده نشان می‌دهد که همان رمز عبوری که در کلاس طراحی می‌شود به عنوان رمز عبور بیش از 50 درصد کاربرانی که آموزش دیده‌اند بعدها استفاده خواهد شد. کاربران به راحتی پسوردهای خودشان را فراموش می‌کنند.  

فاکتور دوم: چیزی که شما دارید (What you have)

چیزی که شما دارید یا What you have به این معناست که شما دارای یک دستگاه فیزیکی هستید که این دستگاه شما را احراز هویت می‌کند و شما نیازی به حفظ کردن چیزی ندارید و صرفا با داشتن این دستگاه احراز هویت خواهید شد‌، از نمونه‌های این دستگاه‌ها می‌توانیم به کارت‌های هوشمند‌، توکن‌های امنیتی و‌... اشاره کنیم.

منطقی که برای فاکتور دوم احراز هویت وجود دارد این است که اگر شما یک کارت هوشمند در کنار خود دارید بنابراین مالک آن نیز هستید و مالک دسترسی‌های مربوط به آن نیز خواهید بود. تصور کنید برای ورود و خروج به یک اتاق سرور یا یک محوطه امنیتی شما باید یک کارت را در دستگاه مربوطه وارد کنید و فقط کارتی می تواند وارد این محیط شود که متعلق به حسام موسوی است‌، حالا اگر هر کسی این کارت را در اختیار داشته باشد می تواند حسام موسوی باشد.

مشکل اصلی در اینجاست که حسام موسوی ممکن است کارت مورد نظر را گم کند و یا کارت از او به سرقت رفته باشد و یا در شرایط بدتر خود حسام موسوی کارت را به کسی داده باشد‌، حتی احتمال کپی برداری از کارت مورد نظر نیز وجود دارد‌، کاربران ممکن است رمز عبور خود را فراموش کنند و این‌ها ممکن است کارت هوشمند و توکن خود را نیز گم کنند. اگر بحث امنیت اطلاعات را کنار بگذاریم حتی با داشتن یک کارت شناسایی گم شده امکان جعل هویت نیز وجود دارد. اما به هر حال یکی از فاکتورهای دیگر احراز هویت what you have یا چیزی که شما دارید است. 

فاکتور سوم : چیزی که شما هستید (What you are)

کاربران ممکن است رمز عبور خود را فراموش کنند‌، کاربران ممکن است کارت هوشمند خود را گم کنند اما قطعا فراموش نمی‌کنند که دست و بدن خود را همراه خود به اینور و آنور ببرند. در فاکتور سوم احراز هویت از اعضا و پارامترهای فیزیکی بدن انسان برای احراز هویت استفاده می‌شود که برای هر فردی در دنیا منحصر به فرد است‌. برای مثال در این نوع از احراز هویت از الگوی اثر انگشت‌، الگوی صدای شخص‌، الگوی مردمک و عنبیه چشم‌، الگوی کف دست‌، الگوی DNA و‌... استفاده می‌شود.

مشکلاتی که در استفاده از این روش احراز هویت وجود دارد این است که ممکن است ما مواردی false positive و مواردی false negative داشته باشیم که به معنی وجود اشتباهات در سیستم احراز هویت است‌، البته این مشکل بستگی به مکانیزمی دارد که شما استفاده می کنید‌، من یک نرم افزار ساده احراز هویت توسط چهره داشتم که بعد از نصب بر روی سیستم و نگاه کردن به آن به سیستم وارد می شدم‌، هیچ‌کس نمی‌توانست به غیر از من توسط این نرم‌افزار تشخیص داده شود تا اینکه خواهرزاده 4 ساله من به نگاه کردن به وبکم موفق به ورود به سیستم شد. 

یکی دیگر از مشکلاتی که برای پیاده سازی احراز هویت با فاکتور سوم وجود دارد این است که هزینه پیاده‌سازی این نوع مکانیزم بسیار بیشتر از هزینه های سایر سیستم های احراز هویتی در سطح کلان است. تهیه دستگاه‌های اسکنر اعضای بدن و قیمت های آن می‌تواند بالا باشد و بر حسب درجه امنیتی محل مورد نظر از سیستم‌های مختلفی می‌تواند استفاده شود‌، به فاکتور چیزی که شما هستید در اصطلاح فنی‌تر احراز هویت بیومتریک یا Biometric هم گفته می‌شود. بسیاری از افراد برای کار کردن با چنین سیستمی راحت نیستند و ترجیح می‌دهند از سیستم های ساده‌تر احراز هویت استفاده کنند. 

فاکتور چهارم: کاری که شما می کنید (What you do)

کاری که شما می کنید یا What you do در واقع یک نوع احراز هویت بیومتریک است که جزو زیرمجموعه های فاکتور سوم به حساب می آید‌، در این روش احراز هویت رفتارهایی که شما انجام می‌دهید تجزیه و تحلیل می‌شود و بر حسب آن‌ها تشخیص داده می‌شود که شخص مورد نظر همانی است که ادعا می‌کند یا خیر، یکی از مرسوم‌ترین روش‌هایی که در این خصوص استفاده می‌شود سرعت تایپ کردن پسورد شما است‌، فرض کنید شما پسورد خود را در حالت عادی در عرض 15 ثانیه وارد می‌کنید و سیستم در صورتیکه شما در بازه زمانی 15 تا 20 ثانیه پسورد خود را وارد کنید تشخیص می‌دهد که خود شما هستید‌، حالا فرض کنید که سیستم تشخیص می دهد که شما پسورد را درست وارد کرده اید اما بر حسب عادتی که داشته‌اید نبوده است و پسورد حدود 40 تا 50 ثانیه طول کشیده است تا وارد شود‌، حالا با اینکه پسورد درست است اما سیستم احراز هویت تشخیص می دهد که پسورد شما به سرقت رفته است و شخصی در حال خواندن و تایپ کردن پسورد است و به شخص مورد نظر اجازه Login نخواهد داد. البته احراز هویت به این روش چندان هم دقیق نیست و به همین دلیل بیشترین استفاده از این نوع مکانیزم‌های احراز هویتی در لابراتوارها است و در محیط واقعی چندان کاربردی ندارند. 

فاکتور پنجم: احراز هویت چند فاکتوری (Multifactor Authentication)    

این مورد همانطور که از نامش هم پیداست یعنی از چندین فاکتور احراز هویت در احراز هویت افراد استفاده شود. برای مثال شما کارت بانکی که دارید دارای سیستم احراز هویت Two Factor Authentication یا احراز هویت دو فاکتوره است چون هم از شما رمز عبور پرسیده می‌شود و هم اینکه باید کارت بانکی را داشته باشید. یا اینکه شما کارت شناسایی دارید که بعد از وارد کردن کارت شناسایی در دستگاه مربوطه باید اثر انگشت شما نیز تایید شود و این دو با هم تشکیل یک سیستم احراز هویت را می‌دهند.

اگر هر سه فاکتور با هم در یک سیستم احراز هویت استفاده شود باعث بالا رفتن حداکثری امنیت می‌شود اما این نکته را فراموش نکنیم که هر چقدر امنیت شما بالا برود بالطبع آن دسترسی پذیری و چه بسا عملیاتی بودن یا Functionality سیستم شما پایین می‌آید و امنیت دیگر به عنوان یک فاکتور مزاحم در نظر گرفته می‌شود تا یک فاکتور آرامش بخش‌، یک مثال ساده را می‌زنم‌، آنتی ویروس شما اگر زیادی به ویروس‌ها و فعالیت‌های سیستم شما گیر بدهد طبیعتا آن را خاموش می‌کنید چون دسترسی پذیری و عملکرد سیستم شما را دچار اختلال کرده است‌، همین مورد برای UAC ویندوز هم صادق است. 

مزایا پیاده سازی سیستم احراز هویت در اپلیکیشن

پیاده‌سازی سیستم احراز هویت در اپلیکیشن‌ها دارای مزایای متعددی است که به افزایش امنیت، بهبود تجربه کاربر و مدیریت بهتر داده‌ها کمک می‌کند. در ادامه به برخی از این مزایا اشاره شده است:

  • افزایش امنیت: احراز هویت کاربران از دسترسی‌های غیرمجاز به اطلاعات حساس و خصوصی جلوگیری می‌کند. این کار با اطمینان از اینکه فقط کاربران مجاز می‌توانند به بخش‌های خاصی از اپلیکیشن دسترسی پیدا کنند، انجام می‌شود.
  • تجربه کاربری شخصی‌سازی شده: با احراز هویت کاربران، اپلیکیشن‌ها می‌توانند تجربه‌های شخصی‌سازی شده‌ای ارائه دهند، به این معنی که اطلاعات و خدمات مرتبط با نیازها و علاقه‌مندی‌های هر کاربر به آن‌ها ارائه می‌شود.
  • مدیریت دسترسی: سیستم‌های احراز هویت امکان مدیریت دسترسی‌ها را فراهم می‌آورند، به این صورت که می‌توان تعیین کرد کدام کاربران به چه منابعی دسترسی دارند. این امر برای حفاظت از داده‌های حساس و محرمانه ضروری است.
  • کاهش تقلب و سوء استفاده: احراز هویت قوی می‌تواند به کاهش تقلب و سوء استفاده از اکانت‌های کاربری کمک کند، زیرا دسترسی بدون اجازه به حساب‌های کاربری را دشوارتر می‌سازد.
  • رعایت مقررات و استانداردها: در برخی صنایع، استفاده از سیستم‌های احراز هویت به منظور رعایت قوانین و مقررات مربوط به حفاظت از داده‌های شخصی الزامی است.
  • کاهش ریسک نشت اطلاعات: با استفاده از روش‌های احراز هویت قوی، می‌توان خطر نشت اطلاعات را کاهش داد، زیرا اطمینان حاصل می‌شود که فقط کاربران مجاز قادر به دسترسی به اطلاعات هستند.
  • بهبود اعتماد کاربران: وقتی کاربران می‌دانند که اپلیکیشن از اطلاعات آنها به خوبی محافظت می‌کند، احتمال بیشتری وجود دارد که به استفاده از آن ادامه دهند و حتی آن را به دیگران توصیه کنند.

چه امتیازی برای این مقاله میدهید؟

خیلی بد
بد
متوسط
خوب
عالی
5 از 2 رای
/@roocketir

باور ما اینست که کاربران ایرانی لایق بهترین‌ها هستند، از این رو ما تمام تلاش خود را می‌کنیم تا بتوانیم فیلم‌ها و مقالات آموزشی بروز و کاربردی را در اختیارتان قرار دهیم تا با استفاده از آنها بتوانید جزء بهترین‌ها در صنعت طراحی و برنامه‌نویسی وب شوید. ما ادعا نمی‌کنیم که بهترین هستیم ولی همیشه تمام تلاش خود را می‌کنیم بهترین عملکرد را به شما ارائه دهیم.

پست های مشابه

احراز هویت در وب: کوکی‌ها در مقابل توکن‌ها

عرفان حشمتی عرفان حشمتی
آموزشی
0
زمان مطالعه: 11 دقیقه

6 کتابخانه احراز هویت کاربر JavaScript برای 2019

عرفان کاکایی عرفان کاکایی
جاوااسکریپت
0
زمان مطالعه: 5 دقیقه

پلاگین REST Client در VS Code - تمام آنچه که برای فراخوانی‌های API نیاز است

عرفان حشمتی عرفان حشمتی
معرفی ابزار
0
زمان مطالعه: 10 دقیقه

دیدگاه و پرسش

برای ارسال دیدگاه لازم است وارد شده یا ثبت‌نام کنید ورود یا ثبت‌نام

در حال دریافت نظرات از سرور، لطفا منتظر بمانید

در حال دریافت نظرات از سرور، لطفا منتظر بمانید

پشتیبانی راکت

۵ مقاله اخیر

۵ مقاله اخیر از این قسمت برای شما در دسترس است

در خبرنامه‌های ایمیلی از HTML استفاده کنیم یا نه؟
ارسطو عباسی
زمان مطالعه: 7 دقیقه
معرفی ۵ ابزار توسعه رابط کاربری برای React Native
ارسطو عباسی
زمان مطالعه: 8 دقیقه
اصول طراحی گرافیک در وب سایت
ارسطو عباسی
زمان مطالعه: 8 دقیقه
Typescript چیست؟
ارسطو عباسی
زمان مطالعه: 10 دقیقه
بررسی تفاوت‌های SQL و NoSQL – همراه با مثال
ارسطو عباسی
زمان مطالعه: 17 دقیقه
مشاهده همه مقالات
مطالب مرتبط

شما می‌توانید مطالب مرتبط به این مطلب را اینجا مشاهده کنید

آموزش html
آموزش php
آموزش css
آموزش وردپرس
آموزش جاوا اسکریپت
آموزش پایتون
آموزش فلاتر
آموزش react
آموزش برنامه نویسی
قالب وردپرس رایگان
آموزش mysql
آموزش انگولار
آموزش زبان دارت