بررسی امنیت فناوریهای جدید تشخیص هویت کاربران
از رمزهای صدادار تا صداهای رمـزگشا
کمتر روزی است که خبری در مورد هک شدن سرورهای یک سامانه مهم یا انواع و اقسام کلاهبرداریهای اینترنتی نشنویم.
با وجود پیشرفتهای صورتگرفته در زمینه افزایش امنیت مراکز داده یا فناوریهای تشخیص هویت کاربران، هکرها نیز بیکار ننشسته و آنها نیز روشهای خود را بهروز میکنند.
گـذرواژه: ساده، پرطـرفدار و پرخطر
بسیاری از ما هنوز هم با وارد کردن تعدادی کاراکتر وارد حسابهای آنلاین خود میشویم. گذرواژههای کاراکتری نسبت به شیوههای دیگر تشخیص هویت، سادهتر و پرطرفدار است و به همین دلیل، بسیاری از حملات هکری با هدف شناسایی گذرواژه کاربران مختلف صورت میگیرد. با وجود استفاده از راهحلهایی نظیر کپچا (CAPTCHA) برای جلوگیری از اقدام رباتهای هکری به منظور وارد کردن یکسری گذرواژههای حدسی، هکرها باز هم با روشهای مختلف به تلاش خود ادامه میدهند.
اثرانگشت
بیش از یک دهه از به کارگیری فناوری تشخیص اثرانگشت در لپتاپها میگذرد. این فناوری امکان بررسی الگوهای موجود روی انگشت کاربر و تعیین هویت دقیق او را فراهم میکند. همچنین مدت زیادی نیست که این فناوری وارد دنیای گوشیهای هوشمند نیز شده و این روزها بسیاری از شرکتهای مطرح در تولید گوشی، محصولات خود را با قابلیت تشخیص اثرانگشت عرضه میکنند. اثرانگشت جزو شیوههای بیومتریک برای تشخیص هویت است، یعنی به دلیل منحصر به فرد بودن آن در افراد مختلف، امکان خطا در آن پایین بوده و در نتیجه امکان هک کردن آن نیز تقریبا غیرممکن به نظر میرسد، اما شاید همه چیز به این سادگی نباشد.
اثرانگشت هم قابل هک است
سال گذشته محققان در دانشگاه میشیگان با استفاده از چاپگر جوهرافشان معمولی توانستند اثرانگشتهایی را که با کیفیت بالا اسکن شده بودند به مدلی سهبعدی تبدیل کنند. این مدل سهبعدی میتوانست جایگزین انگشت برای تشخیص هویت شود و به این ترتیب امکان باز کردن رایانه یا گوشی کاربر مورد نظر براحتی فراهم میشد، اما در اینجا، کارشناسان به اثرانگشت تعدادی کاربر دسترسی داشتند و خود این کاربران اثرانگشت خود را در اختیار آنها قرار داده بودند. پس نباید نگران دسترسی هکرها به اثرانگشتمان باشیم؟ متاسفانه باید نگران باشیم!
مدتی پیش اعلام شد گروهی از پژوهشگران ژاپنی، اثرانگشت تعدادی از افراد را با استفاده از عکسهایشان بازسازی کردند. این افراد در عکسهای خود که کیفیت بالایی داشتند، انگشت خود را به سمت دوربین گرفته بودند. با در نظر گرفتن تعداد بالای عکسهایی که کاربران اینترنت از خود در شبکههای اجتماعی به اشتراک میگذارند، میتوان ابعاد فاجعهای را که ممکن است در انتظار آنها باشد حدس زد.
پس شاید استفاده از اثرانگشت یا هر نوع داده بیومتریک دیگر هم نتواند امنیت چندانی را برای اطلاعات دیجیتال ما به همراه داشته باشد. در این میان، برخی پژوهشگران به این فکر افتادند که شاید بتوان از دادههای بیومتریک متغیر به عنوان ابزاری برای تعیین هویت استفاده کرد.
شیوه چندعاملی
برای اینکه هکرها نتوانند با هویتی تقلبی خودشان را به عنوان کاربر جا بزنند، روش مورد استفاده توسط کاربر برای تعیین هویت باید چند عاملی باشد. به طور کلی، روشهای تعیین هویت دارای سه عامل زیر هستند:
اطلاعات، یعنی آنچه فقط کاربر از آن اطلاع دارد (مثلا گذرواژه)
چیزی فیزیکی که کاربر مالک آن است (مثلا کارت خودپرداز)
چیزی که بخشی از وجود کاربر است (مثلا اثرانگشت)
هر قدر تعداد عوامل مورد استفاده بالا در شیوه تشخیص هویت بیشتر باشد، احتمال هک شدن آن کمتر است. به همین دلیل است که برای نمونه برخی وبسایتها نظیر گوگل یا برخی بانکها، از شیوه تعیین هویت دو مرحلهای استفاده میکنند که مرحله اول دربردارنده وارد کردن گذرواژه (عامل اول) و مرحله دوم نیز وارد کردن کد چهاررقمی ارسال شده به گوشی کاربر (عامل دوم) است. در این میان، شاید بتوان از یک شیوه کاملا استثنائی برای استفاده از عامل سوم استفاده کرد. این شیوه، استفاده از فکر به عنوان ابزار تشخیص هویت است!
گذرفکر
فکرعبور (passthought) راهحلی است که میتواند آینده امنیت سایبری را متحول کند. فکر عبور همان طور که از نامش پیداست در برابر رمز عبور (password) قرار میگیرد. در این فناوری، کاربر به یک چیز از پیش تعیین شده فکر کرده و بهاینترتیب هویت او توسط دستگاه تشخیص داده میشود، اما این فناوری دقیقا چگونه کار میکند و چرا نفوذ هکرها به آن دشوار است؟ در واقع از دو عامل شماره 1 و 3 به صورت ترکیبی برای احزار هویت استفاده میشود.
مغز انسان همیشه یک سری امواج الکتریکی تولید میکند. با استفاده از حسگرهایی خاص میتوان این امواج را شناسایی و الگوی شکلی آنها را تعیین کرد. امواج مغزی هر یک از ما در حالتهای مختلف نظیر خواب و بیداری یا هنگام فکر کردن به چیزهای مختلف با هم متفاوت است. برای نمونه وقتی به یک سیب فکر میکنید، الگوی امواج مغزی شما متفاوت با وقتی است که یک پرتقال را در ذهنتان مجسم میکنید. جالب اینجاست که الگوی مغزی افراد مختلف هنگام تصور کردن یک چیز مشخص (نظیر سیب) نیز با هم تفاوت دارد.
برای استفاده از فکر عبور کافی است حسگر ویژه جمعآوری امواج مغزی را روی سر خود قرار داده و به چیزی که از پیش تعیین کردهایم فکر کنیم. نکته جالب اینجاست که حتی اگر هکرها از چیزی که به آن فکر میکنید هم اطلاع داشته باشند، باز هم قادر به نفوذ به سیستم مورد نظرتان نیستند، زیرا همان طور که گفتیم، الگوی مغزی انسانها منحصربهفرد است.
استفاده از لب به جای گـذرواژه
گروهی از محققان هنگکنگی بتازگی موفق به یافتن شیوهای جدید برای احراز هویت کاربران شدند. در این شیوه، کاربر با تکان دادن لب خود میتواند هویت خود را اعلام کند. این پژوهشگران بر این باورند که ترکیب این شیوه با یک روش دیگر نظیر تشخیص چهره میتواند الگویی کاملا امن برای احزار هویت باشد. آنها نام این شیوه را «گذرواژه حرکت لب» (Lip Motion Password)
گذاشتند.
لب جزو معیارهای بیومتریک به شمار میرود. در واقع شکل، ساختار فرورفتگی و برجستگیهای روی آن در هر فردی متفاوت است. همچنین حرکات لب هر یک از ما هنگام تلفظ یک کلمه یا عبارت مشخص، تفاوتهایی جزئی با هم دارد. درهم آمیزی این موارد با هم سبب میشود با بررسی دقیق شکل و الگوی حرکت لب بتوان از آن به عنوان یک معیار منحصربهفرد برای تعیین هویت استفاده کرد.
یکی از مزایای این شیوه این است که میتوان گذرواژه تعیین شده را تغییر داد. اثرانگشت یا قرنیه انسان شکل ثابتی دارد و برای نمونه پس از اینکه هکرها به هر شکلی به آن دسترسی یافتند، امکان تغییر آن وجود ندارد. اما گذرواژه لبی را میتوان براحتی تغییر داد و کافی است کلمه یا عبارتی را که برای گفتن تعیین کردهایم، تغییر دهیم. همچنین از آنجا که برای استفاده از این شیوه به بهرهگیری از دوربین نیاز داریم، میتوان آن را براحتی با فناوری تشخیص چهره ترکیب کرد. بهاینترتیب احتمال دسترسی هکرها به آن تقریبا به صفر خواهد رسید.
بازار پر رشد فناوریهای احراز هویت
نگرانی کاربران از افشای اطلاعات خصوصی و مالی از یک سو و افزایش قدرت هکرها در دسترسی به اطلاعات محرمانه، سبب شده بازار فناوریهای احراز هویت کاربران بسیار داغ باشد. در این میان، فناوریهای تعیین هویت بیومتریک برای گوشیهای هوشمند را میتوان پیشتاز
دانست.
بر اساس پیشبینی کارشناسان، حجم این بازار از 14.2 میلیارد دلار در سال 2016 به بیش از 665 میلیارد دلار در سال 2021 خواهد رسید. به همین دلیل میتوان پیشبینی کرد درچند سال آینده، فناوریهایی پیشرفتهتر برای افزایش هرچه بیشتر امنیت در تعیین هویت به بازار وارد شوند.
صالح سپهری فر
ضمیمه کلیک جامجم
تازه ها
پیشنهاد سردبیر
سید رضا صدرالحسینی در یادداشتی اختصاصی برای جام جم آنلاین مطرح کرد
لزوم کاملتر شدن حکم قابل تحسین دادگاه لاهه
دانشیار حقوق بینالملل دانشگاه تهران در یادداشتی اختصاصی برای جام جم آنلاین مطرح کرد
تکرار اتهامات واهی علیه ایران
یک پژوهشگر روابط بینالملل در گفتگو با جام جم آنلاین مطرح کرد
بازی اروپا در پازل اسرائیل | رای شجاعانه دادگاه کیفری بینالمللی
در یادداشتی اختصاصی برای جام جم آنلاین مطرح شد
قطعنامه اتحادیه اروپا دست ایران را باز کرد
گفت و گو
در گفتوگو با امین شفیعی، دبیر جشنواره «امضای کری تضمین است» بررسی شد