روش‌های احراز هویت اولین خط دفاعی در امنیت سایبری هستند.در واقع احراز هویت فرآیند تعیین این است که آیا کاربر همان چیزی است که می‌گوید. احراز هویت صرفاً وسیله ای برای تأیید هویت دیجیتال است، بنابراین کاربران دارای سطح مجوز برای دسترسی می باشند.

تکنیک های احراز هویت بسیاری از رمزهای عبور گرفته تا اثر انگشت برای تأیید هویت کاربر قبل از اجازه دسترسی وجود دارد. بدین وسیله یک لایه محافظت اضافه می شود و از نقص های امنیتی مانند نقض داده ها جلوگیری خواهد شد. اگرچه اغلب ترکیبی از انواع مختلف روشهای احراز هویت برای امنیت بیشتر سیستم در برابر تهدیدات احتمالی استفاده می شود.

• مقایسه نشت داده ، از دست دادن داده ، نقض داده

احراز هویت دسترسی کاربران نامعتبر را از پایگاه داده، شبکه ها و سایر منابع دور نگه می دارد. درادامه چند روش احراز هویت آورده شده است.

احراز هویت تک عاملی / اولیه (Single-Factor / Primary Authentication) :

از لحاظ تاریخی رایج‌ترین شکل احراز هویت، احراز هویت تک عاملی می باشد که کمترین سطح امنیت را نیز دارد. زیرا برای دسترسی کامل به سیستم تنها به یک عامل نیاز دارد. این عامل می تواند یک نام کاربری و رمز عبور، شماره پین یا کد ساده دیگری باشد. با اینکه این سبک احراز هویت کاربر پسند می باشد، اما سیستم‌های احراز هویت تک عاملی نسبتاً آسان با فیشینگ، ثبت کلید یا حدس زدن ساده دچار نفوذ می‌شوند. از آنجایی که هیچ دروازه احراز هویت دیگری برای عبور وجود ندارد، این رویکرد امنیتی در برابر حملات سایبری بسیار آسیب پذیر است.

• کنترل دسترسی به شبکه (NAC) چیست؟
• امنیت پایگاه داده به چه معناست؟

احراز هویت دو مرحله ای (2FA)(Two-Factor Authentication) :

با افزودن عامل دوم جهت تأییدیه ورود، احراز هویت دو مرحله ای امنیت را تقویت می کند. عامل دوم یک لایه اضافه شده است که اساساً دوبار هویت کاربر را بررسی و راستی آزمایی می کند. شکستن احراز هویت دوعاملی بسیار سخت می باشد. با این روش، کاربران اعتبار احراز هویت اولیه خود را وارد می کنند (مانند نام کاربری/رمز عبور ذکر شده در بالا) و سپس باید یک قطعه ثانویه از اطلاعات شناسایی را وارد کنند.

عامل ثانویه معمولاً دشوارتر است، زیرا اغلب به چیزی نیاز دارد که کاربر معتبر به آن دسترسی داشته باشد. عوامل ثانویه احتمالی عبارتند از گذرواژه یک بار مصرف از یک برنامه احراز هویت، شماره تلفن یا دستگاهی که می‌تواند یک اعلان فشاری یا کد پیامک دریافت کند، یا یک بیومتریک مانند اثر انگشت (Touch ID) یا چهره (Face ID) یا تشخیص صدا.

2FA به طور قابل توجهی ریسک به خطر افتادن سیستم یا منبع را به حداقل می رساند. زیرا بعید است که کاربر نامعتبر هر دو عامل احراز هویت را بداند یا به آنها دسترسی داشته باشد. در حال حاضر احراز هویت دو مرحله‌ای به این دلیل به طور گسترده‌تر مورد استفاده قرار می‌گیرد.

Single Sign-On  (SSO) :

با SSO، کاربران فقط باید به یک برنامه وارد شوند و با انجام این کار، به بسیاری از برنامه های دیگر دسترسی پیدا کنند. این روش برای کاربران راحت‌تر است، زیرا تعهد به حفظ چندین مجموعه از اعتبارنامه‌ها را حذف می‌کند و تجربه یکپارچه‌تری  ایجاد می‌کند.

سازمان‌ها می‌توانند این کار را با شناسایی یک دامنه مرکزی (بهترین حالت، یک سیستم IAM) و سپس ایجاد پیوندهای امن SSO بین منابع انجام دهند. این فرآیند امکان احراز هویت کاربر تحت نظارت دامنه را فراهم می‌کند و با یک sign-off ، می‌توان اطمینان حاصل کرد که وقتی کاربران معتبر جلسه خود را به پایان می‌رسانند، با موفقیت از همه منابع و برنامه‌های مرتبط خارج می‌شوند.

(Single Sign On (SSO یک سرویس متمرکز تایید هویت است که در آن کاربر تنها با استفاده از یک حساب کاربری (نام کاربری و رمز عبور) می تواند به چندین برنامه یا سایت دسترسی داشته باشد.

به عنوان مثال هنگامی که به یکی از سرویس های گوگل مانند جیمیل وارد می شوید، امکان دسترسی به سایر سرویس ها مانند یوتیوب، گوگل درایو، گوگل داکز و … را نیز خواهید داشت. همچنین یکی از قابلیت های اصلی این سرویس ایجاد یک تونل امنیتی میان کامپیوتر کاربر و سرور مرکزی است که باعث میشود اطلاعات محرمانه کاربران، تحت پروتکل های امنیتی جابجا شوند.

احراز هویت چند عاملی (MFA) :

احراز هویت چند عاملی یک روش با اطمینان بالا است، زیرا از عوامل بی ربط بیشتری به سیستم برای مشروعیت بخشیدن به کاربران استفاده می کند. مانند 2FA، احراز هویت چند عاملی از فاکتورهایی مانند بیومتریک، تأیید مبتنی بر دستگاه، گذرواژه‌های اضافی و حتی اطلاعات مبتنی بر مکان یا رفتار (مانند الگوی فشار دادن کلید یا سرعت تایپ) برای تأیید هویت کاربر استفاده می‌کند تفاوت این است که در حالی که 2FA همیشه فقط از دو عامل استفاده می کند، MFA می تواند از دو یا سه عامل با قابلیت تغییر بین جلسات استفاده کند و یک عنصر گریزان برای کاربران نامعتبر اضافه کند.

پروتکل های احراز هویت قوانین تعیین شده برای تعامل و تأیید هستند که نقاط پایانی (لپ تاپ ها، دسکتاپ ها، تلفن ها، سرورها و غیره) یا سیستم ها برای برقراری ارتباط از آنها استفاده می کنند. برای بسیاری از برنامه های کاربردی که کاربران نیاز به دسترسی به آنها دارند، به همان اندازه استانداردها و پروتکل ها وجود دارد. انتخاب پروتکل احراز هویت مناسب برای سازمان شما برای اطمینان از عملیات ایمن و سازگاری استفاده ضروری است. در اینجا تعدادی از رایج ترین پروتکل های احراز هویت استفاده می شود.

• مدیریت دسترسی ممتاز یا PAM چیست ؟
• اینترنت اشیا چیست؟
• امنیت نقطه پایانی چیست؟

پروتکل احراز هویت رمز عبور (PAP) Password Authentication Protocol :

پروتکل PAP به دلیل عدم رمزگذاری آن ،کمترین امنیت را برای اعتبارسنجی کاربران ایجاد می کند. پروتکل احراز هویت رمز عبور اساساً یک فرآیند رایج ورود به سیستم است که برای دسترسی به یک سیستم معین به ترکیب نام کاربری و رمز عبور نیاز دارد تا اعتبار ارائه شده را تأیید نماید. در حال حاضر PAP به عنوان آخرین گزینه هنگام برقراری ارتباط بین سرور و دسکتاپ یا دستگاه راه دور استفاده می شود.

پروتکل چالش دست‌دهی تأیید هویت (CHAP) :

(CHAP (Challenge Handshake Authentication Protocol یک پروتکل تأیید هویت است که کاربر را به یک شبکه معین با استاندارد بالاتری از رمزگذاری با استفاده از تبادل سه طرفه یک «راز» تأیید می‌کند. ابتدا، روتر محلی یک “چالش” را به میزبان راه دور ارسال می کند، که سپس پاسخی را با یک تابع هش MD5 ارسال می کند. روتر با پاسخ مورد انتظار خود (مقدار هش) مطابقت دارد و بسته به اینکه آیا روتر مطابقت را تعیین می کند، یک اتصال تأیید شده  “handshake” برقرار می کند یا دسترسی را رد می کند. این پروتکل به طور ذاتی از PAP ایمن تر است، زیرا روتر می تواند در هر نقطه در طول جلسه یک چالش ارسال کند و PAP فقط بر اساس تایید احراز هویت اولیه عمل می کند.

پروتکل تأیید اعتبار قابل توسعه (EAP) :

این پروتکل انواع مختلفی از احراز هویت را پشتیبانی می کند، از رمزهای عبور یک بار مصرف گرفته تا کارت های هوشمند. هنگامی که برای ارتباطات بی سیم استفاده می شود، EAP بالاترین سطح امنیت است زیرا به یک نقطه دسترسی و دستگاه راه دور اجازه می دهد تا احراز هویت متقابل را با رمزگذاری داخلی انجام دهد. کاربران را به نقطه دسترسی که درخواست اعتبار می‌کند متصل می‌کند، هویت را از طریق یک سرور احراز هویت تأیید می‌کند، و سپس درخواست دیگری برای فرم دیگری از شناسایی کاربر برای تأیید مجدد از طریق سرور ارائه می‌کند . فرآیند را با تمام پیام‌های ارسال شده، رمزگذاری شده تکمیل می‌کند.