شرکت ها، فروشندگان و افراد برای محافظت از حساب ها و اطلاعات آنلاین خود به احراز هویت چند عاملی روی می آورند. استفاده سنتی از رمز عبور ساده برای مهاجمان سایبری بسیار آسان شده است. احراز هویت چند عاملی با نیاز به دو یا چند اعتبار مستقل برای تأیید هویت کاربر، به کاربران و سازمانها دفاع بهتری در برابر مهاجمان سایبری میدهد.
در این مقاله از ایوسی، ما درباره چیستی MFA، چرایی اهمیت آن و نحوه عملکرد آن بحث می کنیم، سپس انواع اصلی MFA، نمونه های مفید و فناوری های MFA را به اشتراک می گذاریم.
MFA چیست؟
MFA یا احراز هویت چند عاملی (multi-factor authentication)، یک روش احراز هویت است که در آن کاربر باید دو یا چند نوع تأیید را برای دسترسی به حساب آنلاین، برنامه یا شبکه خصوصی مجازی (VPN) خود ارائه دهد. احراز هویت چند عاملی یکی از اجزای اصلی سیاست مدیریت هویت و دسترسی ایمن (IAM) است.
MFA علاوه بر نام کاربری و رمز عبور معمولی، یک لایه اضافی یا چندین لایه حفاظتی ایجاد می کند. اولین عامل تأیید، چیزی است که کاربر می داند: نام کاربری و رمز عبور. دومین عامل تأیید، چیزی است که کاربر دارد: یک کد احراز هویت یا رمز امنیتی. سومین فاکتور و سایر فاکتورهای تأیید نیز نشانههای امنیتی هستند که کاربر دارد، یا میتواند همان چیزی باشد که کاربر است، مانند تأیید بیومتریک.
مطالب مرتبط: راهنمای احراز هویت دو مرحله ای
چرا از MFA استفاده کنیم؟
ترکیب فاکتورهای تأیید امنیت حساب های کاربر را افزایش می دهد. این یک سیستم دفاعی لایهای ایجاد میکند و دسترسی افراد غیرمجاز به حساب کاربری کاربر را سختتر میکند و احتمال یک حمله سایبری موفقیتآمیز را کاهش میدهد. همچنین از دسترسی یک کاربر غیرمجاز به دستگاه محاسباتی یا اطلاعات کاربر مانند موقعیت فیزیکی، شبکه یا پایگاه داده آنها جلوگیری می کند. اگر یکی از فاکتورهای تأیید شکسته یا به خطر بیفتد، مهاجم سایبری هنوز یک یا چند مانع دارد که قبل از رسیدن به هدف خود باید از بین برود.
MFA ابزار مفیدی هم برای افراد و هم برای مشاغل است. افراد می توانند از MFA برای محافظت از اطلاعات حساس مانند حساب های بانکی آنلاین استفاده کنند. کسب و کارها می توانند از MFA استفاده کنند تا اطمینان حاصل کنند که فقط کارمندان تعیین شده می توانند به اطلاعات خاصی دسترسی داشته باشند و داده های حساس مانند اطلاعات مشتری ایمن باقی می مانند. برای کسب و کارها معمول است که هنگام دسترسی به شبکه کسب و کار، کارمندان از راه دور از MFA استفاده کنند، زیرا اتصالات اینترنتی خانگی اغلب از امنیت کمتری برخوردار هستند.
چرا MFA مهم است؟
MFA مهم است زیرا هدف اصلی آن افزایش امنیت کاربر یا سازمان است. این کار را با درخواست بیش از یک نام کاربری و رمز عبور برای شناسایی کاربران انجام می دهد. اگرچه نام کاربری و رمز عبور هنوز ضروری است، اما زمانی که افراد یا سازمان ها به تنهایی از آنها استفاده می کنند، در برابر حملات آسیب پذیر هستند.
با فاکتورهای MFA مانند نشان سخت افزار فیزیکی یا اثر انگشت بیومتریک، کاربران و سازمان های آنها اطمینان بیشتری نسبت به ایمن ماندن حساب ها، دستگاه ها و اطلاعات آنها دارند. یک طرح امنیتی کارآمد MFA می تواند به طور بالقوه سازمان ها و کاربران را از سرقت هویت، از دست دادن داده های خصوصی و زمان و هزینه ای که برای حل این مسائل صرف می کند، نجات دهد.
MFA چگونه کار می کند؟
MFA با ایجاد یک سیستم لایه لایه دفاعی کار می کند که به عوامل اضافی یا اطلاعات تأیید نیاز دارد. OTP یا رمز عبور یکبار مصرف، رایج ترین MFA است که کاربر ممکن است با آن مواجه شود. OTP کدی با چهار تا هشت رقم است که کاربر از طریق پیامک، ایمیل یا اپلیکیشن دریافت می کند. یک کد OTP جدید برای هر درخواست احراز هویت ایجاد می شود و فقط برای مدت زمان مشخصی کار می کند. کد OTP بر اساس یک شمارنده افزایشی، مقدار زمانی یا یک مقدار دانه اختصاص داده شده از ثبت نام کاربر ایجاد می شود.
مطالب مرتبط: چگونه یک تحلیلگر امنیت سایبری شویم؟
انواع اصلی MFA
سه دسته اصلی MFA وجود دارد که هر کدام بر اساس یک نوع اطلاعات است:
دانش
این دسته از اطلاعات شامل مواردی است که کاربر می داند، مانند شماره شناسایی شخصی (PIN) یا رمز عبور. نمونه هایی از احراز هویت چند عاملی دانش عبارتند از:
-
رمزهای عبور
-
پاسخ سوال امنیتی شخص
-
OTP هایی که کاربر از قبل می داند
مطالب مرتبط: کار در امنیت سایبری: تعریف، مشاغل و مهارت ها
مالکیت
این دسته از اطلاعات شامل چیزهایی است که کاربر دارد، مانند تلفن هوشمند یا نشان دیجیتال. نمونه هایی از احراز هویت چند عاملی در اختیار داشتن عبارتند از:
-
گواهینامه ها یا توکن های نرم افزاری
-
کارتهای هوشمند یا فوبها، دسترسی به نشانها یا کلیدهای امنیتی
-
دستگاه های گذرگاه سریال جهانی (USB).
-
OTP های تولید شده توسط یک برنامه
-
OTP ها از طریق ایمیل یا پیامک ارسال می شوند
ذاتی
این دسته از اطلاعات شامل مواردی است که کاربر وجود دارد، مانند بیومتریک. نمونه هایی از احراز هویت چند عاملی ذاتی عبارتند از:
-
تشخیص چهره
-
اثر انگشت
-
اسکن صدا، عنبیه یا شبکیه چشم
-
سایر بیومتریک ها
انواع دیگر MFA
روشهای MFA با ادغام با هوش مصنوعی (AI) و یادگیری ماشین پیچیدهتر میشوند. برخی از روش های جدید MFA عبارتند از:
بر اساس موقعیت مکانی
روشهای MFA مبتنی بر مکان از آدرس ارائهدهنده اینترنت (IP) و موقعیت جغرافیایی کاربر برای مسدود کردن دسترسی کاربر غیرمجاز استفاده میکنند. اگر آدرس IP و موقعیت جغرافیایی کاربر غیرمجاز با اطلاعات موجود در لیست سفید مطابقت نداشته باشد، از دسترسی آنها منع می شود. کاربران همچنین میتوانند این اطلاعات را بهعنوان فرم احراز هویت خود به همراه سایر عوامل تأیید مانند OTP یا رمز عبور برای تأیید هویت کاربر اعمال کنند.
رایجترین راه برای تأیید موقعیت جغرافیایی، استفاده از تلفن هوشمند کاربر است، زیرا اکثر کاربران یک گوشی هوشمند دارند و اکثر تلفنهای هوشمند دارای دستگاه GPS هستند. یک تلفن هوشمند با قابلیت GPS اطمینان معقولی در مورد مکان ورود به سیستم ارائه می دهد. راه دیگر برای تأیید یک مکان، از طریق یک نقطه اتصال Wi-Fi است که می تواند مکان شما را بر اساس یک سیستم موقعیت یابی Wi-Fi تعیین کند.
مطالب مرتبط: ۴ راه برای پیدا کردن آدرس IP و چرایی اهمیت آن
مبتنی بر زمان
گاهی اوقات، زمان فعلی روز یا شب یک عامل احراز هویت است. این سیستم ممکن است برنامه کاری کاربر را با شناسه کارمند آنها تأیید کند تا مطمئن شود که کاربر در تلاش برای ورود به سیستم در زمان مناسب است. سیستم ها ممکن است از MFA مبتنی بر مکان و MFA مبتنی بر زمان برای جلوگیری از ربوده شدن حساب کاربر استفاده کنند.
به عنوان مثال، یک مشتری کارت اعتباری نمی تواند از کارت اعتباری خود در شهر خود استفاده کند و سپس یک ساعت بعد از همان کارت اعتباری در یک کشور خارجی مانند ایتالیا استفاده کند. ترکیب مکان و زمان ناسازگار باعث می شود شرکت کارت اعتباری کارت را قفل کند و بانک را از کلاهبرداری احتمالی آگاه کند.
مبتنی بر ریسک
احراز هویت مبتنی بر ریسک، یا احراز هویت تطبیقی، عوامل تأیید اضافی را با در نظر گرفتن رفتار و زمینه در حین احراز هویت تحلیل میکند. سپس یک مقدار یا سطح ریسک مرتبط با تلاش برای ورود به سیستم اختصاص میدهد. به عنوان مثال:
-
آیا اتصال یک شبکه عمومی است یا یک شبکه خصوصی؟
-
کاربر از چه وسیله ای استفاده می کند؟
-
آیا همان دستگاهی است که کاربر معمولاً از آن استفاده می کند؟
-
آیا کاربر در ساعات کاری عادی سعی در دسترسی دارد؟
-
کاربر در تلاش است به چه نوع اطلاعات شرکت دست یابد؟
-
کاربر از چه مکانی سعی در دسترسی دارد؟
بسته به مقدار ریسک اختصاص داده شده به تلاش برای ورود به سیستم، سیستم می تواند تعیین کند که آیا کاربر دسترسی پیدا می کند یا درخواستی برای پاسخ دادن به عوامل احراز هویت بیشتری دریافت می کند. به عنوان مثال، اگر کاربر معمولاً هر روز صبح ساعت ۸ صبح از دفتر خود وارد حساب کاربری خود شود، ممکن است از او بخواهد که فقط نام کاربری و رمز عبور خود را وارد کند. اگر همان کاربر سعی کند در ساعت ۱۰:۰۰ شب از یک کافی شاپ وارد حساب کاربری خود شود، ممکن است از او بخواهد که یک OTP را که به تلفن هوشمند خود ارسال می کند وارد کند.
مطالب مرتبط: ۱۱ نوع شبکه های کامپیوتری توضیح داده شده: LAN، VPN و موارد دیگر
سناریوهای نمونه وزارت خارجه
در اینجا چند سناریو نمونه از احراز هویت چند عاملی معمولی آورده شده است:
-
وصل کردن یک درایو USB به رایانه برای تولید OTP، سپس استفاده از OTP برای ورود به VPN خود
-
کشیدن یک کارت دیجیتالی برنامه ریزی شده، اسکن اثر انگشت و ارائه پاسخ به یک سوال امنیتی
-
استفاده از گواهی دیجیتال معتبر برای دانلود VPN، سپس ورود به VPN قبل از اینکه به شما اجازه دسترسی به شبکه داده شود.
-
ورود به یک وب سایت با نام کاربری و رمز عبور، سپس وارد کردن یک OTP که در تلفن هوشمند یا ایمیل خود دریافت می کنید
-
استفاده از رمز عبور برای ورود به یک حساب آنلاین در تلفن، سپس استفاده از اثر انگشت برای تأیید اینکه میخواهید خرید کنید.
فناوری های MFA
به منظور پشتیبانی از سناریوهای MFA ذکر شده در بالا، فناوری های خاصی برای پشتیبانی از روش های MFA ضروری است. در اینجا شرحی از آن فناوری ها آورده شده است:
-
نشانههای امنیتی: اینها دستگاههای سختافزاری کوچکی هستند که کاربر برای تأیید هویت و دسترسی به شبکه، شخص خود را حمل میکند. به عنوان مثال می توان به کارت هوشمند، جا کلیدی یا درایو USB اشاره کرد.
-
توکنهای نرم: توکنهای نرمافزار یا توکنهای نرم، محبوبتر از توکنهای امنیتی هستند. توکنهای نرم یک برنامه امنیتی در گوشیهای هوشمند هستند که یک پین یکبار مصرف برای احراز هویت چندعاملی تلفن همراه تولید میکنند.
-
احراز هویت تلفن همراه: راه های مختلفی برای تلفن همراه یا تلفن هوشمند کاربر برای ایجاد احراز هویت چند عاملی وجود دارد، مانند پیام های متنی و تماس های تلفنی خارج از باند، برنامه های OTP، سیم کارت ها و کارت های هوشمند.
-
بیومتریک: این شامل هر نوع دستگاه بیومتریک با خواننده، پایگاه داده و نرم افزار است که می تواند داده های بیومتریک را به فرمت دیجیتال برای مقایسه داده های مشاهده شده با داده های ذخیره شده تبدیل کند.
-
GPS: اکثر گوشیهای هوشمند و بسیاری از برنامهها از یک سیستم موقعیتیابی جهانی (GPS) برای ردیابی و شناسایی مکان دستگاه استفاده میکنند که میتواند عاملی برای احراز هویت باشد.