نقش اعتبارنامه در احراز هویت

نقش اعتبارنامه در احراز هویت

نقش اعتبارنامه در احراز هویت چیست؟ آیا اعتبارنامه‌های دیجیتال و احراز هویت کننده‌ها می‌توانند جایگزین اعتبارنامه‌های سنتی شوند؟ اعتبارنامه‌ها و مکانیسم‌های احراز هویت که توسط سیستم شناسایی هویت پذیرفته می‌شوند نحوه استفاده مردم از این سیستم در زندگی روزمره را تعیین می‌کنند. به این ترتیب، آن‌ها نقطه مرکزی در تجربه تعامل کاربران نهایی و طرف‌های متکی با سیستم و سطح اطمینان ارائه‌شده برای تعاملات و بسیاری از قابلیت‌ها و کاربردهای آن هستند. علاوه بر این، انواع اعتبارنامه‌ها و مکانیسم‌های احراز هویت پذیرفته‌شده، نقش زیادی در تعیین هزینه کلی سیستم دارند؛ بنابراین کشورها باید تلاش کنند تا اعتبارنامه‌ها و مکانیسم‌های احراز هویتی را ارائه دهند که بتواند در عین مناسب بودن برای بافتار آن کشور، اطمینان کافی را نیز ارائه دهد [1].

نقش اعتبارنامه در احراز هویت
ملاحظات کلیدی برای نقش اعتبارنامه در احراز هویت

انواع اعتبارنامه‌ها و احراز هویت ‌کننده‌ها (Authenticators)

اعتبارنامه را می‌توان هر سند، شی‌ء یا ساختار داده‌ای دانست که هویت شخص را از طریق یک روش احراز هویت، تضمین می‌کند.به زبان ساده، اعتبارنامه چیزی است که شخص به صورت حضوری یا از راه دور برای بیان جمله «من، این شخص هستم» ارائه می‌دهد. انواع اعتبارنامه‌های صادرشده در یک سیستم شناسایی هویت در ابعاد مختلف متفاوت است. از جمله فیزیکی بودن یا نبودن آن‌ها (برای استفاده از آن‌ها باید توسط شخص حمل شود یا خیر)، دیجیتالی بودن یا نبودن (قابل خواندن توسط دستگاه هستند و بنابراین می‌توانند در محیط دیجیتال استفاده شوند یا خیر).

فرآیند احراز هویت علاوه بر خود اعتبارنامه‌ها ممکن است شامل ارائه اعتبارنامه به همراه فاکتورهای اضافی یعنی احراز هویت ‌کننده‌ها باشد که شخص را به اعتبارنامه مرتبط می‌کند و این اطمینان را می‌دهد که شخص دارای اعتبارنامه، مالک حقیقی آن است. انواع متداول اعتبارنامه‌ها و احراز هویت کننده‌ها در شکل زیر نشان داده شده است.

نمونه‌هایی از اعتبارنامه
نمونه‌هایی از اعتبارنامه‌ها و احراز هویت‌کننده‌های صادر شده توسط سیستم‌های شناسایی هویت

اعتبارنامه‌ها از نظر فرمت و عملکرد – به عنوان مثال، رسانه‌ای که اطلاعات هویتی در آن ذخیره می‌شود و توانایی آن‌ها برای احراز هویت در محیط‌های مختلف و همچنین سطوح امنیتی که آن‌ها ارائه می‌دهند و هزینه آن‌ها متفاوت هستند. از نظر تاریخی، اکثر کشورها از اسناد فیزیکی مانند کارت ملی و شناسنامه به عنوان مبنایی برای سیستم‌های هویتی اصلی خود استفاده کرده‌اند. پیشرفت در فناوری دیجیتال منجر به دیجیتالی شدن اعتبارنامه‌های فیزیکی شده است که در حال حاضر شامل نوارهای مغناطیسی، بارکدها و/ یا تراشه‌هایی است که به آن‌ها اجازه می‌دهد در محیط دیجیتالی استفاده شوند.

گواهی دیجیتال یکی از مهم‌ترین اعتبارنامه‌های دیجیتال

گواهی دیجیتال (digital certificate) یکی از انواع اعتبارنامه‌های دیجیتال است. این گواهی یک فایل یا گذرواژه الکترونیکی است که صحت یک دستگاه، سرور یا کاربر را با استفاده از رمزنگاری و زیرساخت کلید عمومی (PKI) ثابت می‌کند. احراز هویت گواهی دیجیتالی به سازمان‌ها کمک می‌کند تا اطمینان حاصل کنند که تنها دستگاه‌ها و کاربران قابل اعتماد می‌توانند به شبکه‌های آن‌ها متصل شوند. یکی دیگر از کاربردهای رایج گواهی‌های دیجیتال، تأیید صحت وب‌سایت در مرورگر وب است که به عنوان لایه سوکت‌های امن یا گواهی SSL نیز شناخته می‌شود.

یک گواهی دیجیتال شامل اطلاعات قابل شناسایی، مانند نام کاربر، شرکت یا بخش و آدرس پروتکل اینترنت (IP) دستگاه یا شماره سریال آن است. گواهی‌های دیجیتال حاوی یک کپی از کلید عمومی دارنده گواهی هستند که برای تأیید صحت آن باید با کلید خصوصی مربوطه مطابقت داشته باشد. یک گواهی کلید عمومی توسط مقامات صدور گواهی (CAها) صادر می‌شود که گواهی‌هایی را برای تأیید هویت دستگاه یا کاربر درخواست‌کننده، امضا می‌کنند [2].

بنابراین یک گواهی دیجیتال، نمایشی دیجیتالی از اطلاعات است که حداقل 1. مرجع صدور گواهی آن را صادر می‌کند 2. کاربر درخواست‌کننده خود را شناسایی می‌کند 3. حاوی کلید عمومی درخواست‌کننده است 4. دوره عملیاتی آن را مشخص می‌کند و 5. توسط مقام صدور گواهی به صورت دیجیتالی امضا می‌شود [3].

بیشتر بخوانید: سیستم ملی هویت دیجیتال

اعتبارنامه‌های دیجیتالی

با دیجیتالی شدن جوامع ما شاهد حرکت به سمت سیستم‌های شناسایی منحصراً دیجیتالی هستیم که متکی به مالکیت اعتبارنامه فیزیکی نیستند و نقش اعتبارنامه در احراز هویت را متحول می‌کنند. چنین رویکردهایی از اعتبارنامه‌هایی استفاده می‌کنند که فقط در رایانه‌ها، دستگاه‌های تلفن همراه و سرورها ذخیره می‌شوند یا در فرمت نام کاربری و شماره شناسایی هستند و برای احراز هویت به بیومتریک و سایر فاکتورها متکی هستند.

به عنوان مثال، در انگلستان – جایی که افراد قبلاً انواع اسناد فیزیکی را به منظور اثبات هویت خود برای معاملات حضوری در اختیار داشتند – سیستم GOV.UK اعتبارنامه‌های منحصراً دیجیتالی را ارائه می‌دهد که به کاربران نهایی اجازه می‌دهد خود را از راه دور از طریق چندین فاکتور (به عنوان مثال، نام کاربری و گذرواژه + احراز هویت تلفن همراه) برای خدمات آنلاین، احراز هویت کنند… سیستم‌های BankID در سوئد و نروژ لایه‌های مشابهی از احراز هویت دیجیتال برای خدمات الکترونیکی ارائه می‌دهند که به اعتبارنامه‌های فیزیکی متکی نیستند.

بیشتر بخوانید: چرخه عمر هویت دیجیتال

محدودیت‌های اعتبارنامه‌های دیجیتالی

با این حال، محدودیت‌های خاصی برای استفاده از روش منحصراً دیجیتالی برای اعتبارنامه‌ها و احراز هویت وجود دارد. برای مثال، در هندوستان، سیستم Aadhaar به افراد اجازه می‌دهد تا خود را برای معاملات حضوری و از راه دور تنها با شماره شناسایی منحصربه‌فرد خود (به نام “UID”) و اثرانگشت یا رمز عبور یکبار مصرف (OTP) احراز هویت کنند. با این وجود، احراز هویت از طریق این روش -یعنی بدون اعتبارنامه فیزیکی- مستلزم اتصال به پایگاه داده است که ممکن است در کشورهایی با پوشش اینترنتی یا موبایلی غیرقابل اعتماد یا نامناسب امکان‌پذیر نباشد، اگرچه این شکاف‌ها در طول زمان کاهش می‌یابند.

علاوه بر نگرانی مرتبط با اتصال، تجربه نشان می‌دهد که در بسیاری از زمینه‌ها، افراد ممکن است اعتبارنامه‌های فیزیکی را ترجیح دهند، زیرا استفاده از آن‌ها آسان‌تر است و/یا دارای ارزش نمادین هستند. به عنوان مثال، در هندوستان، هنوز بسیاری از مردم برای جلوگیری از به خاطر سپردن شماره 12 رقمی شناسایی خود، کارت Aadhaar (رسید کاغذی که UID روی آن چاپ شده است) را حمل می‌کنند؛ بنابراین قابلیت استفاده از شماره شناسایی به عنوان اعتبارنامه، مستلزم توجه دقیق به بافتار کشور و مشاوره‌های عمومی برای درک بهتر ترجیحات مردم است.

اعتبارنامه یا credential

معیارهای انتخاب اعتبارنامه

بنابراین، انتخاب اعتبارنامه‌ها باید بر اساس مشاوره با ذی‌نفعان مختلف و ملاحظات طراحی کاربر محور باشد تا دیدگاه کلی و موارد استفاده از سیستم شناسایی و هزینه‌ها و سایر محدودیت‌های مبتنی بر بافتار را منعکس کند. به عنوان مثال، مناطق با قابلیت اتصال کم و سطوح بالای تقلب ممکن است به اعتبارنامه‌های فیزیکی نیاز داشته باشند که می‌توانند به طور ایمن در محیط آفلاین احراز هویت شوند. در جایی که اتصال به اینترنت و/یا تلفن‌های همراه گسترده است، اعتبارنامه‌های مجازی ممکن است به عنوان یک ابزار اولیه برای احراز هویت، امکان‌پذیرتر باشند.

در حالت ایده آل، سیستم شناسایی باید امکان پذیرش آسان فناوری‌های متعدد اعتبارنامه، از جمله فناوری‌های جدیدی که ممکن است در آینده ظهور کنند را فراهم کند.با استفاده از استانداردهای باز و شیوه‌های خرید که از انحصار فروشندگان و فناوری جلوگیری می‌کند، مشاغل می‌توانند اطمینان حاصل کنند که سیستم قادر به پذیرش و استفاده از راه‌حل‌های جدید است. علاوه بر این، تعدادی از سیستم‌های شناسایی، چندین نوع اعتبارنامه (اختیاری) صادر می‌کنند (همان‌طور که در ادامه مورد بحث قرار گرفته است). قدرت انتخاب افراد روی اعتبارنامه‌هایشان، راحتی و نوآوری را در ارتباط با خدمات شناسایی افزایش می‌دهد.

بیشتر بخوانید: احراز هویت مبتنی بر توکن

نمونه‌هایی از انواع مختلف اعتبارنامه در یک کشور

اعتبارنامه‌ها ممکن است در یک کشور دارای چندین شکل باشند. به عنوان مثال، در اتریش، شناسه ملی می‌تواند به عنوان کارت شهروندی فیزیکی یا شناسه مجازی تلفن همراه صادر شود. هر دو را می‌توانند نقش اعتبارنامه در احراز هویت را داشته باشند و برای احراز هویت دیجیتال و امضای الکترونیکی مورد استفاده قرار گیرند.

در استونی افرادی که دارای کارت هوشمند ملی استاندارد (کارت شناسایی) هستند نیز می‌توانند برای کارت هوشمند مکمل به نام Digi-ID درخواست کنند که عملکرد یکسانی (احراز هویت دیجیتالی و امضای الکترونیکی) را ارائه می‌دهد؛ اما شامل تصویر شخص نیست و در نتیجه فقط برای معاملات غیرحضوری در نظر گرفته شده است. استونی همچنین دو نوع شناسه تلفن همراه برای احراز هویت دیجیتال، امضای الکترونیکی و دسترسی به خدمات آنلاین ارائه می‌دهد؛ یکی با نام Mobiil-ID که از فناوری سیم‌کارت مبتنی بر PKI استفاده می‌کند و توسط شرکت‌های تلفن همراه استونی ارائه می‌شود؛ دیگری که Smart-ID نام دارد برنامه‌ای است که می‌توان آن را در هر تلفن هوشمند دانلود کرد [4].

نویسندگان: دکتر شیوا جلالی، زهرا میرزاحسین

مراجع

[1]  “Credentials & Authentication,”. Available: https://id4d.worldbank.org/guide/credentials-authentication.

[2]  “What Is a Digital Certificate?”. Available: https://www.fortinet.com/resources/cyberglossary/digital-certificates.

[3]  “certificate,”. Available: https://csrc.nist.gov/glossary/term/certificate.

[4]  “Types of credentials and authenticators,”. Available: https://id4d.worldbank.org/guide/types-credentials-and-authenticators.

0 پاسخ

دیدگاهتان را بنویسید

می خواهید در گفت و گو شرکت کنید؟
خیالتان راحت باشد :)

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *