دنیای پس از رمزعبور چگونه خواهد بود؟

پنج‌شنبه ۴ آبان ۱۳۹۶ - ۲۲:۰۰
مطالعه 5 دقیقه
امروزه حفظ امنیت سایبری به یکی از مشکل‌های عمده‌ی شرکت‌های بزرگ تبدیل شده است. به این منظور روش‌های مختلف و جدیدی برای حفظ امنیت بیشتر ارائه شده‌اند که در این مقاله به آن‌ها می‌پردازیم.
تبلیغات

هدف بسیاری از شرکت‌ها احراز هویت مشتری و شناسه‌های کارمندی به شیوه‌ای تقریبا نامرئی است که تنها یک ثانیه زمان ببرد. برای مثال می‌توان به ورود یک خریدار به وب‌سایت، یا اجرای عملیات در پشت‌صحنه در حین فعالیت کارمندان اشاره کرد.

برای دستیابی به این هدف و توانایی بررسی دقیق هویت کارمندان و مشتریان، شرکت‌ها از فناوری‌های جدید مثل اسکن‌های بیومتریک چهره و اثر انگشت و سیستم‌های نظارت بر رفتار استفاده می‌کنند، برای مثال این سیستم‌ها نشان می‌دهند شما اخیرا از کدام برنامه بیشتر استفاده کردید.

با حرفه‌ای‌تر شدن هکرها، رمزعبورهای سنتی امنیت کمتری خواهند داشت. داده‌های اخیر سازمان گزارش اعتبار Equifax احتمال افزایش سؤال‌هایی در مورد استفاده از شماره‌های امنیت اجتماعی و داده‌های شخصی دیگر برای احراز هویت یک شخص و پیشبرد بهتر روش‌های احراز هویت را بالا می‌برد.  با این که امنیت مساله‌ی بسیار مهمی است، شرکت‌ها به دنبال ارائه‌ی یک تجربه‌ی یکپارچه برای کارمندان و مشتریانی هستند که نمی‌خواهند زیاد درگیر رمزهای عبور شوند.

شرکت مستر کارت لپ‌تاپ‌هایی را در اختیار کارمندان خود گذاشته است که مجهز به قرائت‌گرهای تعبیه‌شده‌ی اثر انگشت و یک فناوری تست هستند که چهره‌‌ی کارمندان را قبل از ورود به ساختمان اداره اسکن می‌کند. مسترکارد با بررسی یک قابلیت پیشرفته‌ی دیگر، در ماه مارس موفق به دستیابی به فناوری NuData شد که قادر به شناسایی مشتریان بر اساس نحوه‌ی گرفتن تلفن همراه و دیگر رفتارهای بیومتریک است.

مثل هر مقیاس دیگر احراز هویت، این ابزارها در معرض استراق‌سمع هکرها هم قرار می‌گیرند. یک تصویر یا انیمیشن باکیفیت یا در بعضی نمونه‌ها یک آواتار متحرک می‌تواند بعضی از سیستم‌های تشخیص چهره را فریب دهد.

به گفته‌ی ران گرین، مدیر امنیتی مسترکارد، نیروی محرکه و روبه‌جلو، حذف رمزهای عبور است.

شرکت‌ها با کار روی امنیت بدون مداخله در تجربه‌ی کاربری، قدم در یک راه باریک می‌گذارند. در صورتی که نیازی به رمز عبور نباشد، ممکن است داده‌های بعضی مشتریان از امنیت کمتری برخوردار باشند. اما اگر برنامه‌های مبتنی بر رفتار بسیار حساس باشند و بر اساس منطق مثبت کاذب مثل مسدودسازی دسترسی کاربری که حروف را اشتباه تایپ کرده عمل کنند، این مساله آزار دهنده خواهد بود.

استیو ویلسون، محقق در زمینه‌ی هویت دیجیتال و معاون و تحلیل‌گر ارشد مؤسسه‌ی تحقیقاتی Constellation می‌گوید:

با پیشرفت فناوری، تشخیص چهره هم با چالش‌های مشابهی روبه‌رو خواهد شد. برای مثال یک اتاق  کم‌نور یا صورت اصلاح نشده، ممکن است از دسترسی شخص به برنامه جلوگیری کند.

مثل هر مقیاس دیگر احراز هویت، این ابزارها در معرض استراق‌سمع هکرها هم قرار می‌گیرند. یک تصویر یا انیمیشن باکیفیت یا در بعضی نمونه‌ها یک آواتار متحرک می‌تواند بعضی از سیستم‌های تشخیص چهره را فریب دهد.

تصویر 1
کپی لینک

اپلیکیشن My Bank از Vasco از تشخیص چهره برای احراز هویت تراکنش‌های بانکداری استفاده می‌کند

شرکت‌ها روش‌های خلاقانه‌ای را برای مبارزه با این مشکل در نظر دارند. دیوید ورگارا، مدیر شرکت بازاریابی محصول جهانی، می‌گوید:

مؤسسه‌ی بین‌المللی امنیتی داده‌ی Vasco، سازنده‌ی فناوری‌های امنیت سایبری، از فناوری «کشف زنده» استفاده می‌کند که برای بررسی زنده‌بودن کاربران از آن‌ها می‌خواهد چشمک زده یا سر خود را بچرخانند.

مقیاس‌های احراز هویت بیومتریک با وجود محدودیت‌هایی مثل تشخیص چهره، مسیر اصلی خود را حفظ کرده‌اند. شرکت اپل هم اعلام کرده است از تشخیص چهره به عنوان روشی برای بازگشایی قفل آخرین تلفن هوشمند خود iPhone X استفاده کرده است که سهم زیادی در محبوبیت این فناوری داشته است.

به گفته‌ی تحلیل‌گر Forrester Reasearch، آندرس سزار:

بعضی از شرکت‌ها  برای احراز هویت کاربران در حین استفاده از یک برنامه، از سیستم‌های یادگیری ماشین استفاده می‌کنند. این مقیاس‌ها که به شدت وابسته به رفتار هستند و به الگوهای متداول رفتاری فرد در کاربرد تکنولوژی دقت می‌کنند، نسبتا جدید هستند اما توجه زیادی را به خود جلب کرده‌اند.

ورگارا نیز می‌گوید:

تحلیل خودکار الگوهای رفتاری کاربران، که می‌تواند شامل صدها نقطه‌ی داده‌ای گسسته مثل سرعت تایپ باشد، یک دستاورد بزرگ در احراز هویت به شمار می‌رود؛ زیرا به سازمان‌ها اجازه می‌دهد به جای تکیه بر یک رمزعبور مدت‌دار به نظارت امنیت در زمان واقعی بپردازند.

احراز هویت مبتنی بر رفتار، به دلیل پتانسیل بهبود تجربه‌ی کاربری و در نتیجه زیرساخت یک شرکت، در درجه‌ی اول متمرکز بر مشتری است.

مؤسسه‌ی بیمه‌ی سلامت Aetna در حال اجرای مقیاس‌های امنیتی رفتار محور برای برنامه‌های وب و موبایل خود است که شامل گزینه‌هایی برای معیارهای بیومتریک مثل ضربات انگشت است. این فناوری مشخصات اعضای Aetna از جمله انواع حرکت آن‌ها برای یک برنامه یا سرعت تایپ را جمع‌آوری کرده و داده‌ها را در یک موتور ریسک وارد می‌کند. این موتور بر اساس داده‌های مربوط به رفتار مشتری در یک برنامه و نوع دستگاه، می‌توانید تصویری از رفتار «نرمال» را در زمان تقریبی دو هفته ایجاد کند.

احراز هویت مبتنی بررفتار،  به دلیل پتانسیل بهبود تجربه‌ی کاربری و در نتیجه زیرساخت یک شرکت، در درجه‌ی اول متمرکز بر مشتری است.

 اگر رفتارهای شخصی، دارای انحراف قابل توجهی نسبت به  رفتارهای متداول او باشد، سیستم این انحراف را درنظر می‌گیرد. اگر یک مشتری تلفن خود را به دوستش بدهد، برنامه دوست او را به عنوان یک شخص دیگر شناسایی می‌کند و یک شکل دیگر از احراز هویت مثل لغزاندن انگشت روی صفحه‌ی نمایش را درخواست می‌کند.

به گفته‌ی ویلسون صدا هم در حال حاضر به یک بحث داغ در استارت‌آپ‌ها تبدیل شده است. سیستم‌های شناسایی صوتی وجود دارند که برای ساخت یک «اثر صوتی» منحصر‌به فرد می‌توانند به یادگیری و بررسی آهنگ گفتار، لهجه و تلفظ و دیگر معیارها بپردازند. بعضی شرکت‌ها نیز به ساخت الگوریتم‌هایی می‌پردازند که از صوت برای تعیین سرنخ‌های زمینه‌ای برای مثال گوینده‌ای که تحت فشار یا اجبار سخن می‌گوید، استفاده می‌کنند.

دیگر معیارهای احرازهویت بیومتریک قابل توسعه شامل ابزارهای تشخیص دست‌خط، اسکنر‌هایی که  کاربران را بر اساس شکل گوش آن‌ها شناسایی می‌کنند و حتی نشانه‌گذارهای شناسه‌ای هستند که از DNA شخص به دست می‌آیند. به گفته‌ی ویلسون صرف‌نظر از شکلی که روش‌های احراز هویت در آینده به خود می‌گیرند، موضوع حائز اهمیت دستیابی به بیومتریکی است که مشتریان بتوانند از آن استفاده کنند.

شرکت‌ها نباید به یک ابزار واحد احراز هویت وابسته باشند. کارشناسان یک روش لایه‌ای امنیتی را توصیه می‌کنند که از ترکیب روش‌های بیومتریکی، نظارت رفتار و حتی رمزهای عبور استفاده می‌کنند.

مقاله رو دوست داشتی؟
نظرت چیه؟
داغ‌ترین مطالب روز
تبلیغات

نظرات