Share

احراز هویت کاربران گوگل با نرم‌افزار اختصاصی این شرکت یک گام بزرگ به پیش رفته و اطمینان خاطر بیشتری به کاربران می‌دهد. همزمان دیوارهای بلند بی‌اعتمادی که در اثر تحریم‌های گسترده، نه تنها سازمان‌های دولتی و شرکت‌ها، بلکه تک تک کاربران ایرانی را محدود ساخته بود در حال فروریختن است. برخی از نرم‌افزارها و خدمات گوگل همچنان در دسترس کاربران ایرانی نیست اما آخرین تغییرات امنیتی برای کاربران ایرانی نیز قابل استفاده شده است. خدمات احراز هویت کاربران گوگل (Google Authenticator) از این پس در اختیار کاربران ایرانی نیز قرار دارد.

2016-10-14-googleauthenticationservice-00

احراز هویت و گواهی دسترسی

از ابتدای ایجاد سامانه‌های رایانه‌ای، تعیین رابطه استفاده کننده‌ای که درخواست دسترسی به امکانات سامانه را دارد، با فرد از پیش معرفی شده برای سامانه‌ها، یک ضرورت بوده. فرآیند تعیین صحت هویت ابراز شده فرد با آنچه که قبلاً به سامانه معرفی شده را احراز هویت می‌نامند. احراز هویت در یک دفتر رسمی اداری مثلاً با تطبیق مشخصات ظاهری و اسناد هویتی انجام می‌شود؛ این عمل در یک سامانه رایانه‌ای در ساده‌ترین شکل خود با استفاده از یک نام کار بری و کلمه عبور صورت می‌گیرد. همین فرآیند در اشکال پیچیده‌تر با استفاده از اطلاعات بیومتریک (مانند شکل عنبیه، اثر انگشت، صدا،…) و اضافه شده تجهیزات سخت‌افزاری مربوطه انجام می‌شود.

کلمات عبور برای سالیان طولانی به عنوان راه هوشمندانه و مفید احراز هویت کاربران و پیشگیری از دسترسی‌های غیر مجاز شناخته می‌شده است. استفاده از این کلمات عبور در تجهیزات رایانه‌ای و خدمات و نرم‌افزارهای مبتنی بر آنها همچنان به نحو گسترده‌ای در جریان است. مشکلات و نقاط ضعف این کلمات عبور، همواره مورد بحث کارشناسان بوده و تلاش‌های مختلفی برای رفع آنها صورت گرفته است. جهش بزرگ دنیای تجهیزات رایانه‌ای به ویژه پس از طهور گوشی‌های هوشمند، نیاز به روش‌هایی برای حفظ حریم شخصی را افزایش داد. این موضوع تا زمانی که کاربران تنها نیاز به حفظ ایمیل‌های خود داشتند، چندان توجهی را جلب نمی‌کرد، اما ایجاد شبکه‌های اجتماعی، و نرم‌افزارها و ابزارهای کاربردی که هر کاربر با ده‌ها نمونه از آن سروکار دارد، موضوعی به نام حریم شخصی را بسیار مهم و تلاش برای حفظ آن را حیاتی ساخته است.

از سال ۲۰۰۵ الگوریتمی به نام HOTP [۱] پیاده‌سازی شد که با تولید کلمات عبوری که برای بازه زمانی خاص و کوتاهی قابل استفاده است، تلاش کرد که دسترسی غیرمجاز به محدوده‌های کاربری را تحت کنترل درآورد. در این روش چه با استفاده از تجهیزات سخت‌افزاری کوچک در اختیار کاربر، و چه با روش‌های نرم‌افزاری، کلمه عبور تهیه شده و اعتبار سنجی کاربر با آن انجام می‌شود، در صورت صحت پاسخ کاربر در محدوده زمانی مشخص (و البته کوتاه) گواهی دسترسی صادر می‌شود. این الگوریتم بعدتر مبنای روش بهبود یافته‌ای قرار گرفت که چند سالی است مورد استفاده برخی شرکت‌ها مانند گوگل است. روش جدید را کلمات عبور یک‌بار مصرف زمان‌دار TOTP [۲] می‌نامند. استفاده از این روش به ویژه برای نرم‌افزارهایی که در گوشی‌های هوشمند استفاده می‌شوند، عمومیت بیشتری یافته است.

2016-10-14-googleauthenticationservice-02

اهمیت استفاده از گواهی‌های دسترسی زمان‌دار

کلمات عبور گرچه عمر زیادی دارند، اما همیشه مشکلاتی را نیز فراهم ساخته‌اند. مهم‌ترین این مشکلات از این قرار است:

۱-     طول کلمات عبور: صرف‌نظر از اینکه طول این کلمات عبور می‌تواند برای کاربر گرفتاری‌هایی را در به خاطر آوردن بعدی ایجاد کند، اما کم بودن طول آنها نیز امکان بازسازی با استفاده از برخی ابزارها را فراهم می‌کند. افزایش سرعت و کارایی رایانه‌ها لزوم استفاده از کلمات طولانی‌تر را بیشتر کرده.

۲-     انتخاب ترکیب کلمات عبور نیز همواره مورد توجه بوده، یک کلمه عبور کوتاه که تنها بر اساس حروف یا ارقام باشد به سرعت شناسایی می‌شود، مانند dadada اما ترکیبی از حروف و ارقام، بازسازی را حتی برای رایانه‌ها نیز با اشکال مواجه می‌کند، مانند این کلمه عبور W@evr5&!1X]Q

۳-     امکان سرقت کلمات عبور: نیز یکی از مشکلات همیشگی بوده است. یادداشت یک کلمه عبور، شیوه نگهداری آن به نحوی که در زمان و محل لازم در دسترس باشد، اما به راحتی در اختیار سایرین نباشد موضوع مهمی است. و اغلب اوقات صاحبان آنها از اینکه کلمات عبور برای دیگران فاش شده، مطلع نمی‌شوند.

گرچه می‌توان موارد بسیاری را در این فهرست قرار داد، اما همین چند مورد خاص نیز نشان می‌دهد که یافتن روش ایمن‌تر، یک نیاز اساسی است. این نیاز به ویژه از آنجا اهمیت بیشتری یافته است که رایانه‌ها و گوشی‌های هوشمند به ابزار اصلی دسترسی به پرونده‌های اطلاعات افراد، ایمیل‌ها، حساب‌های بانکی،..تبدیل شده، و این تجهیزات عموماً در معرض سرقت فیزیکی یا نفوذ و دستبردهای اطلاعاتی هستند. مشکلات سخت‌افزاری، و نقایص نرم‌افزاری در کنار شیوه‌های رفتاری کاربران باعث شده که نفوذ گران عموماً امکان دسترسی به این وسایل را داشته و اطلاعات حیاتی و حریم خصوصی کاربران را مورد تهدید قرار دهند، از این رو شرکت‌ها و عرضه‌کنندگان خدمات رایانه‌ای برای حفظ اطلاعات کاربران و اعتبار خدمات خود تلاش‌های زیادی در این زمینه می‌کنند.

تلاش برای استحکام بخشیدن یه زیرساخت‌های ارائه کننده خدمات شامل استفاده از سامانه‌های ارتباط ایمن، بررسی مداوم رایانه‌های میزبان، تحلیل شبکه دسترسی و… است اما اگر کاربران درباره کلمات عبور دقت و مراقبت لازم را به خرج ندهند، نتیجه مطلوب عاید نخواهد شد. تمام تلاش‌هایی که برای ایجاد و گسترش استفاده از گواهی‌های دسترسی زمان‌دار انجام می‌شود، با هدف کاهش اثر خطاهای کاربران در ایجاد، نگهداری، و کاربرد کلمات عبور است.

2016-10-14-googleauthenticationservice-01

شیوه کار احراز هویت زمان‌دار

تا پیش از این با استفاده از پیامک (SMS) تلاش می‌شد که دسترسی به محدوده کاربری در محیط‌های کاربری چون گوگل، فیس بوک … کنترل شود، اما از آنجا که در این روش امکان نفوذ به مسیر ارتباطی وجود دارد، این روش مورد تردید قرار گرفته است.

بیشتر بخوانید: ستیز هکرها با فرآیند دسترسی دو مرحله‌ای ایمیل

در زمان ارسال پیامک به کاربر، شرکت‌های خدمات پیامک و دولت‌ها می‌توانند در میانه این مسیر قرار گرفته و از محتوای این پیامک برای دسترسی آسان به حریم خصوصی کاربر استفاده کنند. به این ترتیب خدمات دهنده نهایی تصور می‌کند که دسترسی توسط کاربر اصلی انجام شده است.

برای پرهیز از بروز چنین مشکلاتی است که کدهای ارسالی به کاربر دارای طول عمر مشخص و کوتاهی است که گرچه فرصت کافی برای ورود به سامانه را به کاربر اصلی می‌دهد، اما این زمان برای سایرین آن‌قدر کوتاه است که امکان دسترسی را از بین می‌برد. یکی از نمونه‌های استفاده از این نوع کدها در خدمات گوگل مورد استفاده قرار گرفته است. در واقع این روش در گوگل به نام کد ارزیابی دو مرحله‌ای (2Step Verification Code) نامیده شده به این معنا که کاربر ابتدا نام کاربری و کلمه عبور خود را وارد کرده، سپس کد دسترسی چند رقمی برای اوی تولید شده و از طریق پیامک یا تماس صوتی به گوشی کاربر ارسال می‌شود، کاربر باید این کد دسترسی زمان‌دار را وارد کند تا مجاز به دسترسی به محدوده کاربری خود شود.

2016-10-14-googleauthenticationservice-03

نرم‌افزار احراز هویت گوگل

این نرم‌افزار که استفاده از آن برای کاربران ایرانی نیز به تازگی مجاز شده است، به کاربرانی که دسترسی دو مرحله‌ای را فعال کرده‌اند اجازه می‌دهد که بر روی گوشی هوشمند خود حتی در صورت نبود دسترسی به اینترنت و یا خدمات تلفن همراه، قادر به تولید کد دسترسی باشند. به این ترتیب دسترسی امن به خدمات گوگل (ایمیل،…) و دیگر خدمات آنلاینی که از روش احراز هویت دو مرحله‌ای استفاده می‌کنند (فیسبوک، lastPass ، …) فراهم می‌شود. در حقیقت با این ابزار، احراز هویت کاربر همچنان بر مبنای روش دو مرحله‌ای است اما کد تولید شده برای مرحله دوم که تا این زمان با استفاده از پیامک یا تلفن به اطلاع کاربر می‌رسید، توسط این نرم‌افزار تولید می‌گردد. به این ترتیب بی‌نیاز شدن از ارسال کد به یک خدمات دهنده تلفن و پیامک، امکان دستبرد را از بین می‌برد. در واقع یک از نقاط قوت اساسی این نرم‌افزار بی‌نیاز کردن کاربر از خدمات دهنده تلفن و پیامک است.

در این روش ضریب ایمنی با حذف یک واسطه افزایش یافته، در حالی که به دلیل بی‌نیاز شدن از اتصال گوشی از اتصال به اینترنت، و حتی خدمات شرکت تلفن، استفاده از نرم‌افزار در همه حال مقدور است. به این ترتیب شما به عنوان کاربر نرم‌افزار احراز هویت گوگل، ابزاری در اختیار دارید (گوشی هوشمند) که همواره در دسترس است و هر زمان که با استفاده از رایانه در صدد ورود به حساب کاربری خود باشید، نرم‌افزار احراز هویت، برای شما کد دسترسی دو مرحله‌ای را تولید می‌کند؛ و برای این کار نیازی به متصل بودن به اینترنت و شبکه تلفن هم ندارد.

در همین زمینه:


اصل ۱۹ – راهنمای استفاده از ابزار Google Authenticator به زبان فارسی

روی تصویر زیر کلیک کنید:

google-authenticator-logo-c


پی‌نوشت:

۱ – برای اطلاعات بیشتر در این زمینه به این نشانی رجوع کنید.

Time-based One-time Password Algorithm (TOTP) – ۲


ویدیوهای آموزشی امن گذر را از اینـجـا ببینید.


برای دسترسی به آرشیو بخش امن گذر، اینـجا و همینطور اینـجا را کلیک کنید.

Share