02142922000

کاتالوگ

Menu

02142922000

احراز هویت مدرن در برابر احراز هویت پایه: چرا سازمان‌ها به سمت الگوهای جدید می‌روند؟

دسته‌ها
امنیت
فهرست مطالب

مدیریت هویت و دسترسی در شبکه‌های امروزی، چه عمومی و چه خصوصی، بسیار مهم است. در گذشته، احراز هویت پایه که فقط از نام کاربری و رمز عبور استفاده می‌کرد، برای محافظت از شبکه‌ها کافی بود، اما امروزه که شبکه‌ها و برنامه‌های تحت وب به امنیت بیشتری نیاز دارند و از روش‌های امنیتی پیشرفته‌تر مثل “اعتماد صفر” استفاده می‌کنند، این روش دیگر کافی نیست. بر اساس گزارش اخیر شرکت ورایزون، 82 درصد از نقض‌های امنیتی به دلیل اشتباهات انسانی مثل حملات مهندسی اجتماعی، خطاهای کاربری یا استفاده نادرست رخ می‌دهد. به همین دلیل، سازمان‌ها به سمت روش جدیدتری به نام احراز هویت مدرن حرکت می‌کنند.

چرا احراز هویت پایه کافی نیست؟

احراز هویت پایه برای دسترسی ساده به منابع اینترنتی طراحی شده بود.

در این روش، نام کاربری و رمز عبور در قسمتی از وب (هدر) به صورت متن ساده با کدگذاری base64 ذخیره می‌شوند و از SSL برای رمزنگاری استفاده می‌شود تا اطلاعات کاربر امن بماند، اما این روش مشکلات مختلفی دارد که برخی از آن‌ها به شرح زیر هستند:

  • سرآیندهای احراز هویت قابل مشاهده‌ هستند: هر بار کاربر به منبعی دسترسی پیدا می‌کند، این سرآیندها قابل دیدن هستند و هکرها می‌توانند به راحتی اطلاعات کاربر را بدزدند.

  • رمزهای عبور در مرورگر ذخیره می‌شوند: این کار باعث می‌شود راه دیگری برای دسترسی غیرمجاز به وجود بیاید.

  • عدم کنترل سطح دسترسی: در احراز هویت پایه، نمی‌توان دسترسی کاربران را محدود کرد. اگر کسی به یک برنامه دسترسی پیدا کند، ممکن است به تمام داده‌های آن کاربر دسترسی داشته باشد، در حالی که کاربران باید فقط به اطلاعاتی دسترسی داشته باشند که برای کارشان لازم است.

  • روش قدیمی و ناامن: به طور کلی، استفاده از نام کاربری و رمز عبور روشی قدیمی و ناکافی برای محافظت از اطلاعات مهم است.

حرکت به سمت احراز هویت مدرن

احراز هویت مدرن، روشی قوی‌تر برای مدیریت هویت است که امنیت بیشتری برای تایید هویت کاربران و کنترل دسترسی فراهم می‌کند. این روش به کاربران اجازه می‌دهد از دستگاه‌هایی مثل لپ‌تاپ یا گوشی به سرور متصل شوند و به داده‌ها دسترسی پیدا کنند. مدیران شبکه با این روش می‌توانند پالیسی‌های دسترسی را به شکلی دقیق و متمرکز تنظیم کنند، بدون اینکه لازم باشد برای هر برنامه جداگانه تنظیمات را انجام دهند. احراز هویت مدرن چند اصل اساسی دارد که باید رعایت شوند. این اصول به شرح زیر هستند:

  • احراز هویت مداوم: کاربران امروزی، به طور مثال برای بانکداری آنلاین یا استفاده از دستگاه‌های خودپرداز، انتظار تجربه‌ای روان و بدون وقفه دارند. سیستم‌های مدرن از طریق بررسی اطلاعاتی مثل مکان کاربر، دستگاه مورد استفاده و حتی سرعت تایپ، هویت کاربر را به صورت لحظه‌ای تایید می‌کنند.

  • احراز هویت تطبیقی: این سیستم می‌تواند برای کاربران کم‌خطر و افرادی که ساکن شهری هستند که دفتر مرکزی در آن واقعی شده، دسترسی سریع‌تری فراهم کند، اما برای کاربران دیگر، اطلاعات بیشتری برای تایید هویت درخواست می‌کند.

  • کنترل دسترسی مبتنی بر ویژگی‌ها: سیستم ویژگی‌های کاربر (مثل نقش شغلی) و شرایط محیطی (مثل مکان) را با قوانین دسترسی مقایسه می‌کند. اگر این ویژگی‌ها با قوانین مطابقت نداشته باشند، کاربر اجازه دسترسی پیدا نمی‌کند.

پروتکل‌های احراز هویت مدرن

احراز هویت مدرن از پروتکل‌های استانداردی استفاده می‌کند که برای برنامه‌های بزرگ و مدیریت دسترسی طراحی شده‌اند. این پروتکل‌ها به مدیران اجازه می‌دهند که ارائه‌دهنده هویت (سیستمی که هویت کاربر را تایید می‌کند) را از ارائه‌دهنده خدمات (سیستمی که کاربر می‌خواهد به آن دسترسی پیدا کند) جدا کنند. همچنین، نیازی به ارتباط مستقیم بین این دو نیست. در این زمینه پروتکل‌های مختلفی وجود دارند که از مهم‌ترین آن‌ها به موارد زیر باید اشاره کرد:

  • WS-Federation: برای تایید هویت کاربران در سرویس‌های وب استفاده می‌شود و به کاربر اجازه می‌دهد به چندین برنامه بدون نیاز به ورود مجدد دسترسی داشته باشند. این پروتکل معمولا با Microsoft Active Directory استفاده می‌شود. WS-Federation یک استاندارد مبتنی بر XML است که توسط کنسرسیوم OASIS تعریف شده و برای فعال کردن سناریوهای احراز هویت در محیط‌های توزیع‌شده طراحی شده است. مشابه SAML، هدف اصلی WS-Federation تسهیل ورود یکپارچه (SSO) و تفویض اختیار بین حوزه‌های امنیتی مختلف است. با این حال، WS-Federation بر معماری متمرکزتری تکیه دارد که در آن یک سرویس توکن امنیتی (Security Token Service – STS) نقش محوری در صدور، مدیریت و اعتبارسنجی توکن‌های امنیتی ایفا می‌کند. وقتی یک کاربر سعی می‌کند به یک منبع محافظت‌شده در یک حوزه دسترسی پیدا کند، ارائه‌دهنده سرویس (RP – Relying Party) کاربر را برای احراز هویت به STS هدایت می‌کند. STS پس از احراز هویت کاربر، یک توکن امنیتی (که می‌تواند در قالب‌های مختلفی مانند SAML باشد) صادر کرده و آن را به RP بازمی‌گرداند. RP با اعتماد به STS و بررسی توکن، دسترسی کاربر را تعیین می‌کند. WS-Federation از پروتکل‌های مختلفی مانند WS-Trust و WS-Security برای مدیریت صدور و تبادل توکن‌های امنیتی استفاده می‌کند و به ویژه در سناریوهای پیچیده سازمانی که نیاز به ادغام سیستم‌های هویتی ناهمگن وجود دارد، کاربرد دارد. در حالی که با ظهور استانداردهای مدرن‌تری مانند OAuth 2.0 و OpenID Connect، استفاده از WS-Federation تا حدودی کاهش یافته است، همچنان در برخی از زیرساخت‌های قدیمی‌تر و محیط‌های سازمانی با الزامات امنیتی خاص مورد استفاده قرار می‌گیرد.

  • SAML: ارائه‌دهنده هویت را به ارائه‌دهنده خدمات متصل می‌کند و هویت کاربر را تأیید می‌کند. این پروتکل انعطاف‌پذیری بیشتری در مدیریت فرآیند تایید هویت دارد. به بیان دقیق‌تر SAML سرنام (Security Assertion Markup Language) یک استاندارد باز مبتنی بر XML است که برای انتقال داده‌های مربوط به احراز هویت بین طرفین مختلف، به‌ویژه بین یک ارائه‌دهنده هویت IdP سرنام (Identity Provider) و یک ارائه‌دهنده سرویس (Service Provider) طراحی شده است. هدف اصلی SAML تسهیل ورود یکپارچه است، به این معنی که کاربران می‌توانند یک بار با IdP احراز هویت شوند و سپس بدون نیاز به ورود مجدد، به چندین سرویس مختلف که توسط SPهای ارائه می‌شوند، دسترسی پیدا کنند. در فرآیند SAML، وقتی کاربری سعی می‌کند به یک سرویس دسترسی پیدا کند، SP کاربر را به IdP هدایت می‌کند. IdP هویت کاربر را تایید کرده و سپس یک تأییدیه SAML Assertion که یک سند XML امضا شده دیجیتالی است و حاوی اطلاعاتی در مورد هویت کاربر و مجوزهای اوست، به SP ارسال می‌کند. SP با اعتماد به IdP و بررسی تاییدیه، دسترسی کاربر به سرویس را اعطا می‌کند. SAML امکان تبادل امن و استاندارد اطلاعات هویتی را فراهم می‌کند و نیاز به مدیریت جداگانه اعتبارنامه‌ها برای هر سرویس را از بین می‌برد، در نتیجه امنیت را بهبود بخشیده و تجربه کاربری را ساده‌تر می‌کند.

  • OAuth: به کاربران اجازه می‌دهد با ورود به یک سایت (مثل فیسبوک یا گوگل) به سایت‌های دیگر هم دسترسی پیدا کنند. OAuth یک استاندارد باز برای تفویض اختیار است که به برنامه‌های شخص ثالث اجازه می‌دهد بدون نیاز به دانستن رمز عبور شما، به منابع سرور دسترسی پیدا کنند. به زبان ساده، OAuth راهی امن و آسان برای به اشتراک گذاشتن اطلاعات حساب کاربری خود با برنامه‌های دیگر بدون افشای رمز عبور است. برای مثال، ممکن است از OAuth برای اجازه دادن به یک برنامه ویرایش عکس برای دسترسی به عکس‌های ذخیره شده در حساب گوگل خود استفاده کنید، بدون اینکه برنامه ویرایش عکس نیازی به دانستن رمز عبور گوگل شما داشته باشد.

  • OpenID Connect: نسخه استانداردشده OAuth است که حداقل استانداردهایی را برای پلتفرم‌های بزرگ تعیین می‌کند و به توسعه‌دهندگان کمک می‌کند فرآیند تایید هویت را به پلتفرم‌های قابل اعتماد بسپارند. OpenID Connect یک لایه احراز هویت است که بر روی پروتکل OAuth 2.0 ساخته شده است. در حالی که OAuth 2.0 عمدتا برای تفویض اختیار طراحی شده است، OpenID Connect یک روش استاندارد برای تایید هویت کاربران در بستر وب و برنامه‌ها ارائه می‌دهد. این کار بر مبنای مفهومی که توکن هویت (ID Token) نام دارد انجام می‌شود که یک ساختار JSON با امضای دیجیتال است و شامل اطلاعاتی در مورد کاربر احراز هویت شده، مانند نام، آدرس ایمیل و زمان احراز هویت است. وقتی کاربر می‌خواهد با استفاده از OpenID Connect وارد یک برنامه شود، برنامه، کاربر را به یک سرور هویت (Identity Provider) هدایت می‌کند. کاربر در IdP احراز هویت می‌شود (مثلا با وارد کردن نام کاربری و رمز عبور). پس از احراز هویت موفقیت‌آمیز، IdP نه تنها یک توکن دسترسی OAuth 2.0 (برای دسترسی به منابع محافظت‌شده) بلکه یک توکن هویت OpenID Connect نیز صادر می‌کند و کاربر را به برنامه بازمی‌گرداند. برنامه می‌تواند از طریق بررسی امضای دیجیتال و محتویات توکن هویت، هویت کاربر را تایید کند. مزیت کلیدی OpenID Connect این است که یک روش تعاملی و استاندارد برای احراز هویت کاربران ارائه می‌دهد. این امر نیاز به پیاده‌سازی مکانیسم‌های احراز هویت سفارشی در هر برنامه را از بین می‌برد و تجربه کاربری یکپارچه‌تری را فراهم می‌کند، زیرا کاربران می‌توانند با استفاده از یک مجموعه اعتبارنامه در چندین برنامه وارد شوند. علاوه بر این، OpenID Connect اطلاعات استاندارد و قابل اعتمادی در مورد کاربر ارائه می‌دهد که برنامه‌ها می‌توانند از آن برای شخصی‌سازی تجربه کاربری یا انجام اقدامات کنترلی دسترسی استفاده کنند. در اصل، OpenID Connect لایه احراز هویتی را به OAuth 2.0 اضافه می‌کند و آن را به یک راه‌حل جامع برای هم تفویض اختیار و هم تایید هویت تبدیل می‌کند.

تصمیم مایکروسافت برای کنار گذاشتن احراز هویت پایه

اخیرا مایکروسافت اعلام کرده که پشتیبانی از احراز هویت پایه در Exchange Online را متوقف می‌کند و مدیران شبکه باید به احراز هویت مدرن روی بیاورند.

مایکروسافت در 1 سپتامبر 2022 اعلام کرد که مشتریان تا پایان سال 2022 می‌توانند یک بار احراز هویت پایه را برای برخی پروتکل‌ها فعال کنند، اما از هفته اول ژانویه 2023 این روش به طور کامل غیرفعال خواهد شد. اکنون، این شرکت تصمیم گرفته است این فرآیند را در ارتباط با سرویس‌های دیگر نیز اعمال کند.

کلام آخر

احراز هویت مدرن و احراز هویت پایه دو رویکرد متمایز برای تایید هویت کاربران و اعطای دسترسی به منابع دیجیتال هستند که از نظر امنیت، انعطاف‌پذیری و تجربه کاربری تفاوت‌های بنیادینی دارند. احراز هویت پایه، که یکی از قدیمی‌ترین و ساده‌ترین روش‌های تایید هویت در وب به شمار می‌رود، متکی به ارسال مستقیم نام کاربری و رمز عبور در هر درخواست HTTP است که همان‌گونه که اشاره کردیم در بیشتر موارد با استفاده از کدگذاری Base64 صورت می‌گیرد. این سادگی در پیاده‌سازی، نقطه ضعف اصلی آن نیز محسوب می‌شود؛ زیرا اعتبارنامه‌ها به طور مکرر و بالقوه ناامن در شبکه منتقل می‌شوند و در صورت عدم استفاده از اتصال امن HTTPS، به راحتی در معرض استراق سمع قرار می‌گیرند.

علاوه بر این، احراز هویت پایه فاقد قابلیت‌هایی نظیر احراز هویت چندعاملی (MFA)، مدیریت متمرکز پالیسی‌های دسترسی و تفویض اختیار جزئی است، بدین معنا که پس از تایید هویت اولیه، کاربر معمولا دسترسی کاملی به تمام منابع مرتبط با حساب کاربری خود پیدا می‌کند. همچنین، امکان لغو دسترسی فوری یا محدود کردن دسترسی بر اساس زمینه (مانند مکان یا دستگاه) در احراز هویت پایه وجود ندارد، که آن را در برابر تهدیدات مدرن سایبری آسیب‌پذیر می‌سازد.

در مقابل، احراز هویت مدرن یک رویکرد جامع و چندلایه به تایید هویت است که از طریق بهره‌گیری از پروتکل‌های پیشرفته‌ای نظیر OAuth 2.0، OpenID Connect و SAML، سطح بسیار بالاتری از امنیت و انعطاف‌پذیری را ارائه می‌دهد. در این روش، به جای ارسال مستقیم اعتبارنامه‌ها در هر درخواست، از توکن‌های امنیتی کوتاه‌مدت استفاده می‌شود که پس از یک فرآیند احراز هویت اولیه با یک ارائه‌دهنده هویت صادر می‌گردند. این توکن‌ها حاوی اطلاعاتی درباره هویت کاربر و مجوزهای دسترسی او هستند و می‌توانند به طور مستقل توسط برنامه‌ها و سرویس‌های مختلف برای تأیید هویت و اعطای دسترسی مورد استفاده قرار گیرند، بدون اینکه نیاز به افشای مستقیم رمز عبور باشد.

احراز هویت مدرن به طور معمول از احراز هویت چندعاملی پشتیبانی می‌کند، که با افزودن لایه‌های امنیتی بیشتر (مانند استفاده از کد یک‌بار مصرف، اثر انگشت یا کارت هوشمند)، احتمال دسترسی غیرمجاز را به طور چشمگیری کاهش می‌دهد. همچنین، این رویکرد امکان مدیریت متمرکز پالیسی‌های دسترسی، تفویض اختیار جزئی (Granting Least Privilege) و لغو دسترسی فوری را فراهم می‌کند. علاوه بر این، احراز هویت مدرن از سناریوهای ورود یکپارچه پشتیبانی می‌کند، که به کاربران اجازه می‌دهد با یک بار ورود به سیستم، به چندین برنامه و سرویس مختلف دسترسی پیدا کنند، در نتیجه تجربه کاربری را بهبود بخشیده و نیاز به مدیریت چندین مجموعه اعتبارنامه را از بین می‌برد. به طور خلاصه، احراز هویت مدرن نه تنها امنیت را به طور قابل توجهی افزایش می‌دهد، بلکه با ارائه مکانیسم‌های انعطاف‌پذیرتر و کاربرپسندتر، به سازمان‌ها امکان می‌دهد تا پالیسی‌های امنیتی تطبیقی را بر اساس ریسک و زمینه اعمال کنند و در عین حال، تجربه کاربری بهتری را برای کاربران خود فراهم آورند.

حمیدرضا تائبی

اشتراک‌گذاری
نویسنده
تصویر حمیدرضا تائبی
حمیدرضا تائبی
مطالب مشابه
برای دریافت مشاوره و یا اطلاع از قیمت، با ما در تماس باشید.
تماس با مفتاح