احراز هویت چندعاملی (MFA) چیست؟

احراز هویت چندعاملی (Multi-Factor Authentication – MFA) یک فرآیند ورود به حساب چندمرحله‌ای است که از کاربران می‌خواهد علاوه بر رمز عبور، اطلاعات بیشتری ارائه دهند. برای مثال، علاوه بر رمز عبور، ممکن است از کاربران خواسته شود کدی که به ایمیل آن‌ها ارسال شده وارد کنند، به یک سؤال مخفی پاسخ دهند یا اثر انگشت خود را اسکن کنند. یک فرم دوم احراز هویت می‌تواند از دسترسی غیرمجاز به حساب در صورتی که رمز عبور سیستم به خطر افتاده باشد، جلوگیری کند.

چرا احراز هویت چندعاملی ضروری است؟

امنیت دیجیتال در دنیای امروز حیاتی است زیرا هم کسب‌وکارها و هم کاربران اطلاعات حساس را به صورت آنلاین ذخیره می‌کنند. همه با برنامه‌ها، خدمات و داده‌هایی که در اینترنت ذخیره شده‌اند از طریق حساب‌های آنلاین تعامل دارند. نقض یا سوءاستفاده از این اطلاعات آنلاین می‌تواند پیامدهای جدی در دنیای واقعی داشته باشد، مانند سرقت مالی، اختلال در کسب‌وکار و از دست دادن حریم خصوصی.

در حالی که رمزهای عبور از دارایی‌های دیجیتال محافظت می‌کنند، به تنهایی کافی نیستند. مجرمان سایبری حرفه‌ای به طور فعال تلاش می‌کنند رمزهای عبور را پیدا کنند. با کشف یک رمز عبور، ممکن است به چندین حساب که ممکن است همان رمز عبور را استفاده کرده باشید دسترسی پیدا کنند. احراز هویت چندعاملی به عنوان یک لایه امنیتی اضافی عمل می‌کند تا از دسترسی کاربران غیرمجاز به این حساب‌ها جلوگیری کند، حتی زمانی که رمز عبور دزدیده شده باشد. کسب‌وکارها از احراز هویت چندعاملی برای تأیید هویت کاربران و ارائه دسترسی سریع و راحت به کاربران مجاز استفاده می‌کنند.

مزایای احراز هویت چندعاملی چیست؟

کاهش ریسک امنیتی: احراز هویت چندعاملی ریسک‌های ناشی از خطای انسانی، گم شدن رمزهای عبور و دستگاه‌های گم‌شده را کاهش می‌دهد.

فعال‌سازی ابتکارات دیجیتال: سازمان‌ها می‌توانند با اطمینان ابتکارات دیجیتال را دنبال کنند. کسب‌وکارها از احراز هویت چندعاملی برای محافظت از داده‌های سازمانی و کاربران استفاده می‌کنند تا بتوانند تعاملات و معاملات آنلاین را به صورت امن انجام دهند.

بهبود پاسخ امنیتی: شرکت‌ها می‌توانند یک سیستم احراز هویت چندعاملی را پیکربندی کنند تا هرگاه تلاش‌های ورود مشکوک را تشخیص دهد، به طور فعال هشدار ارسال کند. این به شرکت‌ها و افراد کمک می‌کند تا سریع‌تر به حملات سایبری پاسخ دهند، که آسیب‌های احتمالی را به حداقل می‌رساند.

احراز هویت چندعاملی چگونه کار می‌کند؟

احراز هویت چندعاملی با درخواست چندین شکل از شناسایی از کاربر در زمان ثبت‌نام حساب کار می‌کند. سیستم این شناسایی و اطلاعات کاربر را ذخیره می‌کند تا کاربر را برای ورود بعدی تأیید کند. ورود یک فرآیند چندمرحله‌ای است که اطلاعات شناسایی دیگر را همراه با رمز عبور تأیید می‌کند.

مراحل فرآیند احراز هویت چندعاملی در زیر توضیح داده شده است:

ثبت‌نام

کاربر حساب را با نام کاربری و رمز عبور ایجاد می‌کند. سپس اقلام دیگری مانند دستگاه تلفن همراه یا فوب سخت‌افزاری فیزیکی را به حساب خود متصل می‌کند. این اقلام ممکن است مجازی باشند، مانند آدرس ایمیل، شماره موبایل یا کد برنامه احراز هویت. همه این اقلام به شناسایی منحصربه‌فرد کاربر کمک می‌کنند و نباید با دیگران به اشتراک گذاشته شوند.

احراز هویت

وقتی کاربری که MFA را فعال کرده است به یک وب‌سایت وارد می‌شود، از او نام کاربری و رمز عبور (عامل اول – چیزی که می‌داند) و پاسخ احراز هویت از دستگاه MFA او (عامل دوم – چیزی که دارد) درخواست می‌شود. اگر سیستم رمز عبور را تأیید کند، به اقلام دیگر متصل می‌شود. برای مثال، ممکن است یک کد عددی به دستگاه سخت‌افزاری صادر کند یا کدی را از طریق SMS به دستگاه موبایل کاربر ارسال کند.

واکنش

کاربر فرآیند احراز هویت را با تأیید اقلام دیگر تکمیل می‌کند. برای مثال، ممکن است کدی که دریافت کرده‌اند را وارد کنند یا دکمه‌ای روی دستگاه سخت‌افزاری فشار دهند. کاربر تنها زمانی به سیستم دسترسی پیدا می‌کند که تمام اطلاعات دیگر تأیید شوند.

پیاده‌سازی فرآیند

احراز هویت چندعاملی ممکن است به روش‌های مختلفی پیاده‌سازی شود. این‌ها چند نمونه هستند:

• سیستم فقط رمز عبور و یک شناسایی دیگر را درخواست می‌کند، که به آن احراز هویت دو عاملی یا دو مرحله‌ای می‌گویند.
• به جای سیستم، یک برنامه شخص ثالث به نام احرازکننده هویت کاربر را تأیید می‌کند. کاربر رمز عبور را در احرازکننده وارد می‌کند و احرازکننده کاربر را به سیستم تأیید می‌کند.
• در طول تأیید، کاربر اطلاعات بیومتریک را با اسکن اثر انگشت، شبکیه یا سایر اعضای بدن وارد می‌کند.
• سیستم ممکن است چندین احراز هویت را فقط زمانی که برای اولین بار از یک دستگاه جدید به آن دسترسی پیدا می‌کنید درخواست کند. پس از آن، دستگاه را به خاطر می‌سپارد و فقط رمز عبور شما را درخواست می‌کند.

احراز هویت چندعاملی تطبیقی چیست؟

احراز هویت چندعاملی تطبیقی (Adaptive MFA) از قوانین کسب‌وکار و اطلاعات درباره کاربر برای تعیین اینکه کدام عوامل احراز هویت باید اعمال شوند استفاده می‌کند. کسب‌وکارها از احراز هویت تطبیقی برای ایجاد تعادل بین نیازهای امنیتی و تجربه کاربری استفاده می‌کنند.

برای مثال، راه‌حل‌های احراز هویت تطبیقی می‌توانند مراحل احراز هویت کاربر را به صورت پویا با استفاده از اطلاعات زمینه‌ای کاربر مانند موارد زیر افزایش یا کاهش دهند:

• تعداد تلاش‌های ناموفق برای ورود
• موقعیت جغرافیایی کاربر
• سرعت جغرافیایی یا فاصله فیزیکی بین تلاش‌های ورود متوالی
• دستگاه مورد استفاده برای ورود
• روز و زمان تلاش برای ورود
• سیستم عامل
• آدرس IP منبع
• نقش کاربر

هوش مصنوعی چگونه می‌تواند احراز هویت چندعاملی را بهبود دهد؟

راه‌حل‌های احراز هویت تطبیقی از هوش مصنوعی (AI) و یادگیری ماشین (ML) برای تحلیل روندها و شناسایی فعالیت‌های مشکوک در دسترسی به سیستم استفاده می‌کنند. این راه‌حل‌ها می‌توانند فعالیت کاربر را در طول زمان نظارت کنند تا الگوها را شناسایی کنند، پروفایل‌های پایه کاربر را ایجاد کنند و رفتارهای غیرمعمول را تشخیص دهند، مانند:

• تلاش‌های ورود در ساعات غیرمعمول
• تلاش‌های ورود از مکان‌های غیرمعمول
• تلاش‌های ورود از دستگاه‌های ناشناخته

الگوریتم‌های یادگیری ماشین به رویدادهای مشکوک امتیاز ریسک اختصاص می‌دهند و عوامل احراز هویت چندگانه را در زمان واقعی بر اساس سیاست‌های کسب‌وکار تنظیم می‌کنند. برای مثال، اگر رفتار به عنوان کم‌ریسک طبقه‌بندی شود، کاربر می‌تواند فقط با نام کاربری و رمز عبور وارد شود. از سوی دیگر، برای رفتار با ریسک متوسط، کاربر باید یک کد SMS وارد کند و اگر رفتار پرریسک باشد، دسترسی کاربر به طور کامل رد می‌شود.

نمونه‌هایی از احراز هویت چندعاملی چیست؟

در زیر چند نمونه از چگونگی استفاده کسب‌وکارها از احراز هویت چندعاملی آورده شده است:

دسترسی از راه دور برای کارکنان

یک شرکت می‌خواهد به کارکنان خود دسترسی به منابع از راه دور بدهد. می‌تواند احراز هویت چندعاملی را تنظیم کند که نیازمند ورود، فوب سخت‌افزاری و اسکن اثر انگشت روی لپ‌تاپ‌های صادرشده توسط شرکت باشد که کارکنان به خانه می‌برند. بر اساس آدرس IP کارمند، شرکت می‌تواند قوانینی تنظیم کند که کارمند هنگام کار از خانه به احراز هویت دو عاملی نیاز داشته باشد. با این حال، شرکت ممکن است برای کارمندانی که از هر شبکه وای‌فای دیگری کار می‌کنند، احراز هویت سه عاملی را الزامی کند.

دسترسی به سیستم فقط برای کارکنان حاضر در محل

یک بیمارستان می‌خواهد به همه کارکنان خود دسترسی به برنامه‌های بهداشتی و داده‌های بیمار بدهد. بیمارستان به کارکنان یک نشان مجاورت می‌دهد تا در محل کار به این برنامه‌ها دسترسی پیدا کنند. در شروع هر شیفت، کارمند باید وارد سیستم شود و نشان را به یک سیستم مرکزی بزند. در طول شیفت، آن‌ها می‌توانند با یک ضربه ساده به نشان به همه منابع دسترسی پیدا کنند، بدون نیاز به ورود مجدد. در پایان شیفت، حقوق دسترسی با یک ضربه پایان می‌یابد. این امر خطر دسترسی غیرمجاز به دلیل گم شدن نشان‌ها را به حداقل می‌رساند.

روش‌های احراز هویت چندعاملی چیست؟

روش‌های احراز هویت MFA بر اساس چیزی که می‌دانید، چیزی که دارید و/یا چیزی که هستید، استوار هستند. در زیر چند عامل احراز هویت رایج توضیح داده شده است:

عامل دانش

در روش عامل دانش، کاربران باید هویت خود را با افشای اطلاعاتی که هیچ‌کس دیگری نمی‌داند اثبات کنند. یک نمونه معمولی از این عامل احراز هویت، سؤالات مخفی با پاسخ‌هایی است که فقط کاربر می‌داند، مانند نام اولین حیوان خانگی یا نام خانوادگی مادر. برنامه‌ها همچنین ممکن است درخواست دسترسی به یک کد پین چهار رقمی داشته باشند. این روش‌ها تنها تا زمانی امن هستند که هیچ‌کس دیگری اطلاعات مخفی را کشف نکند. مجرمان ممکن است تاریخچه شخصی کاربر را بررسی کنند یا او را فریب دهند تا این اطلاعات را افشا کند. کدهای پین همچنین می‌توانند با استفاده از روش نیروی brute-force که هر ترکیب چهار رقمی ممکن را حدس می‌زند، شکسته شوند.

عامل مالکیت

در روش عامل مالکیت، کاربران خود را با چیزی که به طور منحصربه‌فرد مالک آن هستند شناسایی می‌کنند. در اینجا چند نمونه آورده شده است:

• دستگاه‌های فیزیکی مانند تلفن‌های همراه، توکن‌های امنیتی، کارت‌های نمایش، فوب‌های سخت‌افزاری و کلیدهای امنیتی.
• دارایی‌های دیجیتال مانند حساب‌های ایمیل و برنامه‌های احرازکننده.

سیستم یک کد مخفی را به صورت پیام دیجیتال به این دستگاه‌ها یا دارایی‌ها ارسال می‌کند که کاربر سپس آن را دوباره در سیستم وارد می‌کند. اگر دستگاه گم یا دزدیده شود، حساب ممکن است به خطر بیفتد. برخی توکن‌های امنیتی با اتصال مستقیم به سیستم این مشکل را دور می‌زنند تا به صورت دیجیتال قابل دسترسی نباشند.

عامل ذاتی

روش‌های ذاتی از اطلاعاتی استفاده می‌کنند که مختص کاربر است. این‌ها چند نمونه از عوامل احراز هویت ذاتی هستند:

• اسکن اثر انگشت
• اسکن شبکیه
• تشخیص صدا
• تشخیص چهره
• بیومتریک رفتاری مانند دینامیک‌های ضربه زدن به صفحه کلید

برنامه باید این اطلاعات را همراه با رمز عبور در طول ثبت‌نام جمع‌آوری و ذخیره کند. کسب‌وکار مدیریت‌کننده برنامه باید بیومتریک‌ها را همراه با رمزهای عبور محافظت کند.

بهترین روش‌ها برای تنظیم احراز هویت چندعاملی چیست؟

همه کسب‌وکارها باید سیاست‌های گسترده سازمانی برای محدود کردن دسترسی و ایمن‌سازی منابع دیجیتال تنظیم کنند. در زیر برخی از بهترین روش‌ها در مدیریت دسترسی آورده شده است:

ایجاد نقش‌های کاربری

می‌توانید سیاست‌های کنترل دسترسی را با گروه‌بندی کاربران در نقش‌ها تنظیم دقیق کنید. برای مثال، می‌توانید به کاربران ادمین ممتاز حقوق دسترسی بیشتری نسبت به کاربران نهایی اعطا کنید.

ایجاد سیاست‌های رمز عبور قوی

حتی اگر احراز هویت سه یا چهار عاملی داشته باشید، باید سیاست‌های قوی را اجرا کنید. می‌توانید قوانینی برای ایجاد رمزهای عبور با ترکیبی از حروف بزرگ و کوچک، کاراکترهای خاص و اعداد پیاده‌سازی کنید.

چرخش اعتبارهای امنیتی

این یک روش عالی است که از کاربران بخواهید رمزهای عبور را به طور منظم تغییر دهند. می‌توانید این فرآیند را با رد دسترسی توسط سیستم تا زمانی که رمز عبور تغییر نکرده باشد، خودکار کنید.

پیروی از سیاست حداقل امتیاز

همیشه کاربران جدید را با پایین‌ترین سطح امتیاز و حقوق دسترسی در سیستم خود شروع کنید. می‌توانید امتیاز را با مجوز دستی یا به تدریج با ایجاد اعتماد از طریق اعتبارهای تأییدشده افزایش دهید.