احراز هویت کاربران گوگل با نرمافزار اختصاصی این شرکت یک گام بزرگ به پیش رفته و اطمینان خاطر بیشتری به کاربران میدهد. همزمان دیوارهای بلند بیاعتمادی که در اثر تحریمهای گسترده، نه تنها سازمانهای دولتی و شرکتها، بلکه تک تک کاربران ایرانی را محدود ساخته بود در حال فروریختن است. برخی از نرمافزارها و خدمات گوگل همچنان در دسترس کاربران ایرانی نیست اما آخرین تغییرات امنیتی برای کاربران ایرانی نیز قابل استفاده شده است. خدمات احراز هویت کاربران گوگل (Google Authenticator) از این پس در اختیار کاربران ایرانی نیز قرار دارد.
احراز هویت و گواهی دسترسی
از ابتدای ایجاد سامانههای رایانهای، تعیین رابطه استفاده کنندهای که درخواست دسترسی به امکانات سامانه را دارد، با فرد از پیش معرفی شده برای سامانهها، یک ضرورت بوده. فرآیند تعیین صحت هویت ابراز شده فرد با آنچه که قبلاً به سامانه معرفی شده را احراز هویت مینامند. احراز هویت در یک دفتر رسمی اداری مثلاً با تطبیق مشخصات ظاهری و اسناد هویتی انجام میشود؛ این عمل در یک سامانه رایانهای در سادهترین شکل خود با استفاده از یک نام کار بری و کلمه عبور صورت میگیرد. همین فرآیند در اشکال پیچیدهتر با استفاده از اطلاعات بیومتریک (مانند شکل عنبیه، اثر انگشت، صدا،…) و اضافه شده تجهیزات سختافزاری مربوطه انجام میشود.
کلمات عبور برای سالیان طولانی به عنوان راه هوشمندانه و مفید احراز هویت کاربران و پیشگیری از دسترسیهای غیر مجاز شناخته میشده است. استفاده از این کلمات عبور در تجهیزات رایانهای و خدمات و نرمافزارهای مبتنی بر آنها همچنان به نحو گستردهای در جریان است. مشکلات و نقاط ضعف این کلمات عبور، همواره مورد بحث کارشناسان بوده و تلاشهای مختلفی برای رفع آنها صورت گرفته است. جهش بزرگ دنیای تجهیزات رایانهای به ویژه پس از طهور گوشیهای هوشمند، نیاز به روشهایی برای حفظ حریم شخصی را افزایش داد. این موضوع تا زمانی که کاربران تنها نیاز به حفظ ایمیلهای خود داشتند، چندان توجهی را جلب نمیکرد، اما ایجاد شبکههای اجتماعی، و نرمافزارها و ابزارهای کاربردی که هر کاربر با دهها نمونه از آن سروکار دارد، موضوعی به نام حریم شخصی را بسیار مهم و تلاش برای حفظ آن را حیاتی ساخته است.
از سال ۲۰۰۵ الگوریتمی به نام HOTP [۱] پیادهسازی شد که با تولید کلمات عبوری که برای بازه زمانی خاص و کوتاهی قابل استفاده است، تلاش کرد که دسترسی غیرمجاز به محدودههای کاربری را تحت کنترل درآورد. در این روش چه با استفاده از تجهیزات سختافزاری کوچک در اختیار کاربر، و چه با روشهای نرمافزاری، کلمه عبور تهیه شده و اعتبار سنجی کاربر با آن انجام میشود، در صورت صحت پاسخ کاربر در محدوده زمانی مشخص (و البته کوتاه) گواهی دسترسی صادر میشود. این الگوریتم بعدتر مبنای روش بهبود یافتهای قرار گرفت که چند سالی است مورد استفاده برخی شرکتها مانند گوگل است. روش جدید را کلمات عبور یکبار مصرف زماندار TOTP [۲] مینامند. استفاده از این روش به ویژه برای نرمافزارهایی که در گوشیهای هوشمند استفاده میشوند، عمومیت بیشتری یافته است.
اهمیت استفاده از گواهیهای دسترسی زماندار
کلمات عبور گرچه عمر زیادی دارند، اما همیشه مشکلاتی را نیز فراهم ساختهاند. مهمترین این مشکلات از این قرار است:
۱- طول کلمات عبور: صرفنظر از اینکه طول این کلمات عبور میتواند برای کاربر گرفتاریهایی را در به خاطر آوردن بعدی ایجاد کند، اما کم بودن طول آنها نیز امکان بازسازی با استفاده از برخی ابزارها را فراهم میکند. افزایش سرعت و کارایی رایانهها لزوم استفاده از کلمات طولانیتر را بیشتر کرده.
۲- انتخاب ترکیب کلمات عبور نیز همواره مورد توجه بوده، یک کلمه عبور کوتاه که تنها بر اساس حروف یا ارقام باشد به سرعت شناسایی میشود، مانند dadada اما ترکیبی از حروف و ارقام، بازسازی را حتی برای رایانهها نیز با اشکال مواجه میکند، مانند این کلمه عبور W@evr5&!1X]Q
۳- امکان سرقت کلمات عبور: نیز یکی از مشکلات همیشگی بوده است. یادداشت یک کلمه عبور، شیوه نگهداری آن به نحوی که در زمان و محل لازم در دسترس باشد، اما به راحتی در اختیار سایرین نباشد موضوع مهمی است. و اغلب اوقات صاحبان آنها از اینکه کلمات عبور برای دیگران فاش شده، مطلع نمیشوند.
گرچه میتوان موارد بسیاری را در این فهرست قرار داد، اما همین چند مورد خاص نیز نشان میدهد که یافتن روش ایمنتر، یک نیاز اساسی است. این نیاز به ویژه از آنجا اهمیت بیشتری یافته است که رایانهها و گوشیهای هوشمند به ابزار اصلی دسترسی به پروندههای اطلاعات افراد، ایمیلها، حسابهای بانکی،... تبدیل شده، و این تجهیزات عموماً در معرض سرقت فیزیکی یا نفوذ و دستبردهای اطلاعاتی هستند. مشکلات سختافزاری، و نقایص نرمافزاری در کنار شیوههای رفتاری کاربران باعث شده که نفوذ گران عموماً امکان دسترسی به این وسایل را داشته و اطلاعات حیاتی و حریم خصوصی کاربران را مورد تهدید قرار دهند، از این رو شرکتها و عرضهکنندگان خدمات رایانهای برای حفظ اطلاعات کاربران و اعتبار خدمات خود تلاشهای زیادی در این زمینه میکنند.
تلاش برای استحکام بخشیدن یه زیرساختهای ارائه کننده خدمات شامل استفاده از سامانههای ارتباط ایمن، بررسی مداوم رایانههای میزبان، تحلیل شبکه دسترسی و… است اما اگر کاربران درباره کلمات عبور دقت و مراقبت لازم را به خرج ندهند، نتیجه مطلوب عاید نخواهد شد. تمام تلاشهایی که برای ایجاد و گسترش استفاده از گواهیهای دسترسی زماندار انجام میشود، با هدف کاهش اثر خطاهای کاربران در ایجاد، نگهداری، و کاربرد کلمات عبور است.
شیوه کار احراز هویت زماندار
تا پیش از این با استفاده از پیامک (SMS) تلاش میشد که دسترسی به محدوده کاربری در محیطهای کاربری چون گوگل، فیس بوک … کنترل شود، اما از آنجا که در این روش امکان نفوذ به مسیر ارتباطی وجود دارد، این روش مورد تردید قرار گرفته است.
بیشتر بخوانید: ستیز هکرها با فرآیند دسترسی دو مرحلهای ایمیل
در زمان ارسال پیامک به کاربر، شرکتهای خدمات پیامک و دولتها میتوانند در میانه این مسیر قرار گرفته و از محتوای این پیامک برای دسترسی آسان به حریم خصوصی کاربر استفاده کنند. به این ترتیب خدمات دهنده نهایی تصور میکند که دسترسی توسط کاربر اصلی انجام شده است.
برای پرهیز از بروز چنین مشکلاتی است که کدهای ارسالی به کاربر دارای طول عمر مشخص و کوتاهی است که گرچه فرصت کافی برای ورود به سامانه را به کاربر اصلی میدهد، اما این زمان برای سایرین آنقدر کوتاه است که امکان دسترسی را از بین میبرد. یکی از نمونههای استفاده از این نوع کدها در خدمات گوگل مورد استفاده قرار گرفته است. در واقع این روش در گوگل به نام کد ارزیابی دو مرحلهای (2Step Verification Code) نامیده شده به این معنا که کاربر ابتدا نام کاربری و کلمه عبور خود را وارد کرده، سپس کد دسترسی چند رقمی برای اوی تولید شده و از طریق پیامک یا تماس صوتی به گوشی کاربر ارسال میشود، کاربر باید این کد دسترسی زماندار را وارد کند تا مجاز به دسترسی به محدوده کاربری خود شود.
نرمافزار احراز هویت گوگل
این نرمافزار که استفاده از آن برای کاربران ایرانی نیز به تازگی مجاز شده است، به کاربرانی که دسترسی دو مرحلهای را فعال کردهاند اجازه میدهد که بر روی گوشی هوشمند خود حتی در صورت نبود دسترسی به اینترنت و یا خدمات تلفن همراه، قادر به تولید کد دسترسی باشند. به این ترتیب دسترسی امن به خدمات گوگل (ایمیل،…) و دیگر خدمات آنلاینی که از روش احراز هویت دو مرحلهای استفاده میکنند (فیسبوک، lastPass ، …) فراهم میشود. در حقیقت با این ابزار، احراز هویت کاربر همچنان بر مبنای روش دو مرحلهای است اما کد تولید شده برای مرحله دوم که تا این زمان با استفاده از پیامک یا تلفن به اطلاع کاربر میرسید، توسط این نرمافزار تولید میگردد. به این ترتیب بینیاز شدن از ارسال کد به یک خدمات دهنده تلفن و پیامک، امکان دستبرد را از بین میبرد. در واقع یک از نقاط قوت اساسی این نرمافزار بینیاز کردن کاربر از خدمات دهنده تلفن و پیامک است.
در این روش ضریب ایمنی با حذف یک واسطه افزایش یافته، در حالی که به دلیل بینیاز شدن از اتصال گوشی از اتصال به اینترنت، و حتی خدمات شرکت تلفن، استفاده از نرمافزار در همه حال مقدور است. به این ترتیب شما به عنوان کاربر نرمافزار احراز هویت گوگل، ابزاری در اختیار دارید (گوشی هوشمند) که همواره در دسترس است و هر زمان که با استفاده از رایانه در صدد ورود به حساب کاربری خود باشید، نرمافزار احراز هویت، برای شما کد دسترسی دو مرحلهای را تولید میکند؛ و برای این کار نیازی به متصل بودن به اینترنت و شبکه تلفن هم ندارد.
در همین زمینه:
اصل ۱۹ – راهنمای استفاده از ابزار Google Authenticator به زبان فارسی
روی تصویر زیر کلیک کنید:
۱ – برای اطلاعات بیشتر در این زمینه به این نشانی رجوع کنید.
Time-based One-time Password Algorithm (TOTP) – ۲
ویدیوهای آموزشی امن گذر را از اینـجـا ببینید.
برای دسترسی به آرشیو بخش امن گذر، اینـجا و همینطور اینـجا را کلیک کنید.