احراز هویت چند عاملی چیست؟

در این مقاله میخوانید

احراز هویت چند عاملی (Multi-Factor Authentication – به اختصار MFA)، یک سازوکار اعتبارسنجی امنیتی است. در MFA قبل از دسترسی  کاربر به سامانه، هویت او با چند روش احراز شده و از این طریق از دسترسی غیرمجاز به سامانه جلوگیری می‌شود. به عبارت دیگر، این سازوکار علاوه بر بررسی صحت نام کاربری و رمز عبور وارد شده، اطلاعات دیگری نظیر کد پیامک شده به گوشی کاربر، توکن (Token)، اثر انگشت، تشخیص چهره و یا مواردی از این دست را نیز برای احراز هویت درخواست می‌کند. بنابراین اطلاع مهاجم از نام کاربری و رمز عبور او را قادر به دسترسی به سامانه نخواهد کرد. MFA سازمان‌ها را قادر می‌سازد تا هویت کاربران را قبل از ورود به سیستم‌های حیاتی به نحوی سختگیرانه اصالت‌سنجی کنند.

چرا احراز هویت چند عاملی مورد نیاز است؟

با دیجیتالی شدن بسیاری از فرایندهای کسب‌وکار، خطرات و نیازمندی به حفظ امنیت افزایش یافته و سازمان‌ها مسئولیت سنگین‌تری برای حفاظت از داده‌های مشتریان بر عهده دارند. مهاجمان مدت‌هاست به روش‌های مختلف تلاش می‌کنند تا با دستیابی به رمز عبور کاربران از آن‌ها برای ورود به سیستم‌های حیاتی سازمان‌ها سوءاستفاده کنند.
احراز هویت بر اساس نام کاربری و رمز عبور به تنهایی روشی غیرقابل اعتماد و ناکارامد است، زیرا کاربران ممکن است در ذخیره، به خاطر سپردن و مدیریت آنها در چندین حساب با مشکل مواجه شوند. همچنین ممکن است کاربران بسیاری از رمزهای عبور را در سرویس‌های مختلف مورد استفاده مجدد قرار دهند و یا رمزهای عبور ساده و فاقد پیچیدگی بکار گیرند. از این رو مهاجمان قادر هستند به سهولت از طریق هک، فیشینگ، بدافزار یا حملات موسوم به «سعی و خطا» (Brute-force attack) به رمزهای عبور دست یابند.
به منظور پیشگیری از حملات سایبری بکارگیری برنامه‌های احراز هویت چند عاملی ضرورتی اجتناب‌ناپذیر است؛ MFA قابلیت‌های زیر را برای کاربران فراهم می‌کند:

  • هویت کاربر را در چند ثانیه تأیید می‌کند.
  • از هر برنامه‌ای در هر دستگاهی و از هر مکانی محافظت می‌کند.
  • MFA را می‌توان به هر شبکه‌ای اضافه نمود.

احراز هویت چند عاملی چگونه کار می‌کند؟

MFA به ابزارها یا رسانه‌هایی برای تأیید نیاز دارد که کاربران غیرمجاز به آن دسترسی نخواهند داشت. از آنجایی که رمزهای عبور به تنهایی برای تأیید هویت کافی نیستند، احراز هویت چند عاملی برای تأیید هویت به شواهد متعددی نیاز دارد. رایج‌ترین نوع MFA احراز هویت دو عاملی (Two-Factor Authentication – به اختصار 2FA) است. استدلال این است که حتی اگر مهاجمان بتوانند با یک رمز عبور هویت کاربر را جعل کنند، نمی‌توانند دو یا چند مدرک دیگر را جهت احراز هویت ارائه دهند.

تفاوت 2fa با mfa

یک احراز هویت چند عاملی مناسب، حداقل از دو عامل مختلف استفاده می‌کند. بکارگیری دو عامل از یک دسته یکسان، هدف MFA را برآورده نمی‌نماید. علی‌رغم استفاده گسترده از ترکیب رمزعبور / سوال امنیتی، هر دو عامل از دسته دانش (Knowledge Factor) هستند و واجد شرایط بکارگیری در MFA نمی‌باشند. اما رمز عبور و رمز یکبارمصرف برای MFA قابل استفاده هستند زیرا رمز یکبار مصرف به دستگاهی ارسال می‌شود که در مالکیت کاربر است.

آیا بکارگیری احراز هویت چند عاملی پیچیده است؟

احراز هویت چند عاملی یک یا دو مرحله مضاعف را در طول فرآیند ورود به سیستم استفاده می‌کند، اما به هیچ عنوان پیچیده نیست. حوزه امنیت در حال ایجاد و بکارگیری راهکارهایی جهت ساده‌سازی پروسه MFA است و فناوری احراز هویت با تکامل آن بصری‌تر و کاربر پسندتر می‌شود.

به عنوان مثال، فاکتورهای بیومتریک مانند اثر انگشت، اسکن و تشخیص چهره، ورود سریع و قابل اعتمادی را ارائه می‌دهند. فناوری‌های جدیدی که از ویژگی‌های دستگاه تلفن همراه مانند GPS، دوربین‌ها و میکروفون‌ها به‌عنوان فاکتورهای احراز هویت استفاده می‌کنند، نویدبخش بهبود بیشتر در پروسه تأیید هویت هستند. روش‌های ساده‌ای مانند Push Notification جهت تأیید هویت تنها به زدن یک ضربه بر روی تلفن هوشمند یا ساعت هوشمند کاربر نیاز دارند.

چگونه سازمان ها از MFA استفاده می‌کنند؟

بسیاری از سیستم‌های عامل، ارائه‌دهندگان خدمات و پلتفرم‌های مبتنی بر حساب کاربری، MFA را در تنظیمات امنیتی خود گنجانده‌اند. برای کاربران مستقل یا مشاغل کوچک، استفاده از احراز هویت چند عاملی به سادگی رفتن به تنظیمات سیستم‌های عامل، پلتفرم‌های وب یا ارائه‌دهندگان خدمات و فعال کردن قابلیت‌های آن است.

ولی سازمان‌های بزرگ‌تر که دارای پورتال‌های شبکه اختصاصی هستند و با چالش‌های پیچیده مدیریت کاربران مواجه می‌باشند، ممکن است به یک برنامه احراز هویت نیاز داشته باشند تا یک مرحله احراز هویت مضاعف را در حین ورود به سیستم کاربران اضافه ‌کند.

استفاده از احراز هویت چند عاملی در سازمان

MFA و SSO چه تفاوتی دارند؟

MFA یک مکانیزم جهت ارتقاء امنیت سایبری است در حالی که شناسایی یگانه (Single Sign On – به اختصار SSO) قابلیتی است که به کاربران اجازه می‌دهد از یک مجموعه اطلاعات اصالت‌سنجی مشترک (مانند نام کاربری و رمز عبور یکسان) برای ورود و دسترسی به چندین سیستم‌ و برنامه‌های کاربردی متعدد – که ممکن است هر کدام به لاگین مجزا نیاز داشته باشد -، استفاده کنند.
با این که SSO نیز همانند MFA یکی از ابزارهای مدیریت هویت و دسترسی است اما هرگز نمی‌تواند جایگزین آن شود. شرکت‌ها و سازمان‌ها ممکن است به SSO نیاز داشته باشند بنابراین علاوه بر احراز هویت چند عاملی از نام‌های ایمیل سازمانی برای ورود به سیستم استفاده می‌شود. در سامانه‌های SSO، کاربران با MFA احراز هویت می‌شوند و سپس با استفاده از توکن‌های نرم‌افزاری، احراز هویت را با چندین برنامه به اشتراک می‌گذارند.

تفاوت sso و mfa

احراز هویت تطبیقی چیست؟

در احراز هویت تطبیقی (Adaptive Authentication)، قوانین احراز هویت به طور مداوم بر اساس متغیرهای زیر تنظیم می‌شوند:

  • توسط کاربر یا گروهی از کاربران؛ بر اساس نقش (Role)، مسئولیت (Responsibility) یا بخش (Department).
  • از طریق روش‌های مختلف احراز هویت؛ به عنوان مثال احراز هویت کاربران از طریق Push Notification اما نه از طریق پیامک.
  • بر اساس برنامه کاربردی؛ برای اعمال روش‌های امن‌تر MFA مانند Push Notification یا Universal 2nd Factor – به اختصار U2F –  برای برنامه‌ها و سرویس‌های حیاتی.
  • بر اساس موقعیت جغرافیایی؛ محدودسازی دسترسی به منابع سازمان بر اساس موقعیت فیزیکی کاربر، یا تنظیم سیاست‌های مشروط جهت محدود کردن بکارگیری روش‌های احراز هویت خاص تنها در برخی از مکان‌ها.
  • بر اساس اطلاعات شبکه؛ بررسی اطلاعات نشانی‌های IP به عنوان یک عامل احراز هویت و مسدودسازی تلاش‌ها جهت احراز هویت از شبکه‌های ناشناس مانند Tor، پراکسی‌ها و VPN.

مزایای احراز هویت چند عاملی

مزایای احراز هویت چند عاملی

جلب اعتماد بیشتر

هک و حملات فیشینگ اغلب هزینه‌های هنگفتی را به سازمان‌ها تحمیل می‌کند. از آنجایی که MFA به ایمن‌سازی سیستم‌ها در برابر کاربران غیرمجاز و تهدیدات مرتبط با آنها کمک می‌کند، سامانه‌های سازمان‌ها به طور کلی امن‌تر خواهند شد. اگر سازمان‌ها در اعمال MFA و ملزم نمودن کاربران به رعایت قوانین امنیتی شدیدتر تردید دارند، باید در نظر داشته باشند که خود کاربران - به ویژه مشتریان - از این امنیت مضاعف برای داده‌هایشان خشنود شده و قدردانی می‌کنند. هنگامی که مشتریان به راهکارهای حفاظتی سازنده اعتماد می‌کنند، به احتمال زیاد به سازمان نیز اعتماد خواهند کرد؛ از این رو MFA به یک مزیت رقابتی مهم تبدیل می‌شود.

کاهش هزینه‌ها

دفاع موفقیت‌آمیز در برابر حملات مخرب به منابع شبکه، می‌تواند بازگشت سرمایه (هزینه‌های راهکار MFA) را تامین کند. حتی بدون جلوگیری از حملات، MFA می‌تواند با فراهم نمودن قابلیت استقرار منابع در بخش‌های IT سازمان از سایر بخش‌های شبکه در برابر تهدیدات مختلف محافظت نموده و از این طریق در هزینه‌های سازمان‌ صرفه‌جویی نماید.

ورود آسان‌تر

با پیشرفت فناوری احراز هویت چند عاملی، استفاده بیشتر از روش‌های غیرفعال مانند بیومتریک و توکن‌های نرم‌افزاری، کاربر پسندتر می‌شود. MFA با کاربری آسان به کاربران کمک می‌کند که سریعتر وارد سیستم شوند، بنابراین کارکنان می‌توانند کارایی و بازدهی بیشتری داشته باشند. در تجارت الکترونیک، مشکلات ورود به سیستم می‌تواند به معنای از دست رفتن امتیازات فروش خدمات یا کالا باشد. MFA که به واسطه سهولت در استفاده، تجربه کاربر را بهبود می‌بخشد می‌تواند به مشتریان کمک کند تا سریع‌تر و امن‌تر وارد سیستم شده و محصولات را خریداری کنند.

روش‌های احراز هویت چند عاملی چیست؟

mfa چگونه عمل میکند؟

عامل دانش

عامل دانش (Knowledge Factor) که متداول‌ترین ابزار مورد استفاده در راهکارهای احراز هویت چند عاملی است، معمولاً همان رمز عبور می‌باشد. با این حال با وجود سادگی، رمزهای عبور به یک مشکل امنیتی تبدیل شده‌اند و بهره‌وری را کاهش می‌دهند. امروزه کاربران رمزهای عبور زیادی دارند. برای سهولت مدیریت خود اغلب اقدام به ایجاد رمزهای عبوری می‌کنند که ایمن نیستند یا به طور مکرر در پلتفرم‌ها مورد استفاده قرار گرفته‌اند. یکی دیگر از معایب این است که این نوع MFA (عامل دانش) به سادگی فراموش می‌شود یا اگر در جایی ذخیره شود، به سرقت خواهد رفت. سؤال امنیتی یکی دیگر از موارد بکارگرفته شده در عامل دانش است که به طور گسترده مورد استفاده قرار می‌گیرد؛ سوال امنیتی کاربر را ملزم می‌کند که پاسخ یک سؤال شخصی را در پروفایل خود ذخیره کند و سپس آن را در حین ورود به حساب کاربری وارد کند. این پروسه توسط بسیاری از کاربران به دلیل نیاز به وارد کردن مکرر داده‌ها و ذخیره و مدیریت پاسخ‌های آنها سخت تلقی می‌شود. سؤال امنیتی پویا اغلب مؤثرتر و کاربرپسندتر است؛ معمولاً اطلاعات زمینه‌ای مانند تراکنش مالی اخیر که کاربر به آنها دسترسی دارد را درخواست می‌کند.

عامل فیزیکی

عامل فیزیکی (Physical) - که عامل مالکیت نیز نامیده می‌شود - از مواردی نظیر دانگل USB یا یک دستگاه قابل حمل استفاده می‌کند که یک کد QR موقت (پاسخ سریع) تولید می‌نماید. در این نوع احراز هویت چند عاملی، معمولاً تلفن‌های همراه هوشمند مورد استفاده قرار می‌گیرند زیرا این مزیت را دارند که در اکثر موقعیت‌ها به راحتی در دسترس می‌باشند. مزیت مثبت دیگر آن این است که عامل فیزیکی خارج از شبکه است و معمولاً جعل کردن آنها برای مهاجمان دشوار است. اما دستگاه‌هایی مانند تلفن‌ همراه ممکن است گم شده یا سرقت شوند. همچنین تلفن‌های همراه آسیب‌پذیری‌های امنیتی خود را نیز دارا می‌باشند. توکن‌های مجازی «نرم» (Virtual Soft Token) یک کوکی یا قطعه کد ذخیره شده هستند که به طور موثر یک دستگاه را به یک توکن فیزیکی تبدیل می‌کنند. توکن‌های نرم ممکن است برای تمامی کاربران مناسب نباشند زیرا بکارگیری صحیح از آنها به نرم‌افزار و تخصص نیاز دارد. علاوه بر این، رمزهای نرم را می‌توان کپی کرد که این امر می‌تواند منجر به سوءاستفاده از آنها شود. استاندارد U2F یک توکن ارتباطی USB یا Near-Field Communication - به اختصار NFC - را با یک برنامه استاندارد کدباز ترکیب می‌کند و گزینه‌ای ساده برای بکارگیری فاکتورهای احراز هویت مضاعف در پلتفرم‌هایی که از آنها پشتیبانی می‌کنند، ارائه می‌دهد.

عامل ذاتی

عامل ذاتی (Inherent) همان اطلاعات بیومتریک‌ مربوط به ماهیت کاربر مانند اسکن اثر انگشت، صورت و شبکیه چشم است. برنامه احراز هویت این اطلاعات را در مرحله ثبت‌نام همراه با رمز عبور دریافت و ذخیره می‌کند. با پیشرفت فناوری، ممکن است تشخیص صدا یا سایر ورودی‌های رفتاری مانند ضربه به کلید را نیز شامل شود. از آنجایی که عوامل ذاتی به طور قابل اعتمادی منحصر به فرد می‌باشند، همیشه موجود و امن هستند. با این حال تمامی دستگاه‌ها، نرم‌افزار، قدرت پردازش و ویژگی‌های سخت‌افزاری (مانند میکروفون و دوربین) لازم را ندارند، بنابراین برخی از کاربران ممکن است نتوانند از این پیشرفت‌ها در احراز هویت چند عاملی استفاده کنند.

عامل مبتنی بر مکان و زمان

سیستم‌های احراز هویت می‌توانند جهت MFA از مختصات GPS، پارامترهای شبکه و فراداده (Meta data) برای شبکه استفاده کنند. احراز هویت تطبیقی این نقاط داده را با داده‌های قدیمی کاربری یا داده‌های متنی ترکیب می‌کند. این فاکتورها این مزیت را دارند که در پس‌زمینه کار ‌کنند و ورودی بسیار کمی از کاربران مورد نیاز است؛ به این معنی که بهره‌وری را کاهش نمی‌دهند. با این حال، از آنجایی که بکارگیری آنها به نرم‌افزار و تخصص نیاز دارند، بیشتر برای سازمان‌های بزرگ و منابع مدیریتی آنها مناسب می‌باشند.

رمز عبر یکبار مصرف مبتنی بر زمان

رمز یکبار مصرف مبتنی بر زمان (Time-based One-time Password – به اختصار TOTP) به طور کلی در 2FA استفاده می‌شود اما با استفاده از هر یک از روش‌های احراز هویت چند عاملی- در هنگام ورود به سیستم پس از تکمیل مرحله اول - در تائید مرحله دوم به صورت پویا اعمال ‌می‌شود. مدت زمان انتظار برای تائید مرحله دوم - که در آن رمزهای عبور موقت از طریق پیامک یا ایمیل ارسال می‌شوند - معمولاً کوتاه و محدود است و استفاده از این فرآیند برای طیف گسترده‌ای از کاربران و دستگاه‌ها آسان است. این روش در حال حاضر به طور گسترده مورد استفاده قرار می‌گیرد. در بخش عملیاتی، احراز هویت دو مرحله‌ای برای ارائه خدمات نیاز به استفاده از نرم‌افزار یا یک سازنده خارجی دارد. همانند بکارگیری دستگاه‌های تلفن همراه برای Token فیزیکی، شبکه‌های تلفن همراه می‌توانند ملاحظات امنیتی خود را معرفی کنند. کلید امنیتی به طور کلی یک کد QR است که کاربر با دستگاه تلفن همراه پویش می‌کند تا یک سری اعداد تولید کند. سپس کاربر جهت ورود باید آن اعداد را در سایت یا برنامه وارد ‌کند. رمزهای عبور پس از مدت زمان مشخصی منقضی می‌شوند و دفعه بعد که کاربر به حساب کاربری وارد می‌شود، رمز عبور جدید ایجاد می‌شود.

رسانه‌های اجتماعی

در این حالت کاربر به یک سایت اجازه می‌دهد تا از نام کاربری و رمز عبور رسانه اجتماعی خود برای ورود استفاده کند. این مکانیزم ضمن ارائه نمودن قابلیت ورود آسان، به طور کلی برای تمامی کاربران در دسترس است. از طرفی مجرمان آنلاین نیز اغلب به دنبال رسانه‌های اجتماعی هستند زیرا منبع غنی از داده‌های کاربران می‌باشند. علاوه بر این، برخی از کاربران ممکن است نگرانی‌هایی در مورد پیامدهای امنیتی و حریم خصوصی اشتراک‌گذاری ورود با رسانه‌های اجتماعی داشته باشند.

احراز هویت مبتنی بر ریسک

این روش که گاهی احراز هویت چند عاملی تطبیقی نامیده می‌شود، احراز هویت تطبیقی را با الگوریتم‌های محاسبه ریسک ترکیب می‌کند تا عوامل مورد نیاز برای احراز شدن را تعیین کند. هدف این روش کاهش ورودهای اضافی و ارائه گردش کار کاربرپسندتر می‌باشد. برای کاربرانی که تعداد زیادی لاگین به سیستم‌های مختلف دارند، احراز هویت مبتنی بر ریسک می‌تواند یک صرفه‌جویی کلیدی در زمان باشد. با این حال، برای استقرار و مدیریت به نرم‌افزاری نیاز دارد که نحوه تعامل کاربران با یک سیستم و متخصص IT را بیاموزد.

2FA مبتنی بر Push Notification

2FA مبتنی بر Push Notification، لایه‌های امنیتی مضاعف و در عین حال کاربرپسند را بر مبنای رمز عبور یکبار مصرف مبتنی بر زمان (TOTP 2FA) و پیامک ایجاد می‌کند. این نوع MFA، هویت کاربر را با بکارگیری چندین عامل احراز هویت تأیید می‌کند به گونه‌ای که روش‌های دیگر قادر به انجام آن نمی‌باشند. از آنجایی که 2FA مبتنی بر Push Notification، اعلان‌ها را از طریق شبکه‌های اینترنت داده مانند تلفن همراه یا Wi-Fi ارسال می‌کند، کاربران برای بکارگیری 2FA باید بر روی دستگاه‌های تلفن همراه خود به اینترنت دسترسی داشته باشند.

آیا با وجود فعال کردن MFA باز هم امکان نفوذ مهاجمان وجود دارد؟

شاید پاسخ به این سوال کمی سخت باشد ولی باید گفت که در واقع امروزه بدافزارها و حملات فیشینیگ مخصوص سرقت از حساب های محافظت شده با MFA ها ساخته شده است. در واقع مرحله قبل از فعال سازی و حفاظت از حساب با استفاده از احراز هویت چند عاملی در امان ماندن بودن از بدافزارها، ویروس ها، حملات فیشینگ و … یکی از بهترین ابزارهای امنیتی برای حفاظت از سیستم ها در برابر این نوع بدافزارها، آنتی ویروس بیت دیفندر می باشد.

برای دریافت قیمت و خرید آنتی ویروس های سازمانی بیت دیفندر می توانید به صفحه مشاوره خرید سایت مراجعه نمایید.

مقالات مرتبط: