زمان مطالعه: 8 دقیقه
با افزایش وابستگی صنایع و زیرساختهای حیاتی سراسر جهان به فناوریهای دیجیتال، سرقتهای اینترنتی و حملات سایبری نیز در حال افزایش است؛ به طوری که طبق برآوردها، هکرها سالانه حدود ۴۰۰ میلیارد دلار به کسبوکارهای جهان خسارت وارد میکنند. بنابراین، این کسبوکارها به دنبال راههایی برای محافظت از فایلها، سرورها و اسناد حساس خود در برابر چنین تهدیداتی هستند. توکن امنیتی یا Security Token یکی از راهحلهای ارائهشده برای این مشکل است که میتواند وضعیت امنیتی سیستم را به میزان قابلتوجهی بهبود ببخشد. توکن سکیوریتی یک دستگاه فیزیکی است که در اختیار کاربران مجاز قرار میگیرد تا آنها به راحتی بتوانند هویت خود را تأیید کرده و وارد سیستم شوند. برای آشنایی بیشتر با توکن Security و نحوه کار آن، با ما در ادامه این مطلب همراه باشید.
توکن امنیتی چیست؟
توکن امنیتی یک دستگاه فیزیکی کوچک است که کاربران برای دسترسی به یک سیستم، به آن نیاز دارند. در بیشتر سیستمهای مدرن، دادههای احراز هویت باید بین کاربر و سیستم جریان داشته باشند و یک توکن سکیوریتی، مجرایی برای انتقال این دادهها و دسترسی به سیستم است.
یک توکن Security میتواند به بزرگی یک ریموت یا به کوچکی یک ریزتراشه باشد. این توکنها یا اطلاعاتی را در اختیار دارند که هویت فرد را تأیید میکنند یا با یک پایگاه داده یا سیستم شخص ثالثی که خدمات تأیید هویت را ارائه میدهد، در ارتباط هستند.
توکن سکیوریتی چگونه کار میکند؟
فرض کنید برای یک شرکت بزرگ کار میکنید و وظیفه شما، محافظت از اطلاعاتی به ارزش میلیونها دلار است. هکرها در تلاش برای دسترسی به این اطلاعات هستند و این وظیفه شما است که آنها را دور نگه دارید. برای این منظور، میتوانید از توکن امنیتی استفاده کنید.
تنظیم یک توکن سکیوریتی شامل موارد زیر است:
- تنظیم کلیدواژهها: کاربر باید رمز عبور سیستم را از حافظه توکن Security در محل مورد نظر تایپ کند. اغلب الزامات دقیقی برای تنظیم این رمز عبور وجود دارد؛ مانند داشتن تعداد معینی از کاراکترها یا سایر مشخصات.
- تنظیم کامپیوتر: هنگام ورود به سیستم، سیستم کامپیوتری پیامی را به تلفن همراه کاربر ارسال میکند. این پیام حاوی رمز عبوری است که باید وارد شود.
در ظاهر، روش کار توکن امنیتی مشابه احراز هویتی است که کاربران برای سالها از آن برای ورود به سیستمها استفاده میکردند. با این حال، تفاوتی که وجود دارد این است که توکن سکیوریتی به نوعی ابزار نیاز دارد و داشتن یک حافظه ساده کافی نیست.
انواع توکن Security
توکن Security به صورت سفارشی ساخته میشود؛ چراکه نیازهای یک شرکت میتواند کاملاً متفاوت از نیازهای یک شرکت دیگر باشد. بنابراین، نوع توکن امنیتی را باید با دقت انتخاب کرد تا تعادل مناسبی از امنیت و انعطافپذیری را ارائه دهد.
توکن های Security متصل (Connected tokens)
در این حالت، کاربران باید توکن امنیتی را به صورت فیزیکی به سیستمی که میخواهند استفاده کنند، متصل نمایند. کارت هوشمند یا کلید امنیتی Yubikey، مثال خوبی برای این نوع توکن سکیوریتی است. کاربران کارت یا دستگاه را داخل یک خوانشگر میکشند و دستگاه به طور خودکار اطلاعات احراز هویت را به سیستم منتقل میکند.
توکن های Security غیرمتصل (Disconnected tokens)
در این حالت، نیازی نیست که کاربران یک دستگاه فیزیکی را به سیستم متصل کنند، در عوض باید کد ایجادشده توسط توکن امنیتی را وارد نمایند. تلفن همراهی که به عنوان دستگاه احراز هویت دو مرحلهای و دریافت کد تنظیم شده، نمونه خوبی برای یک توکن Security غیرمتصل است.
توکن های امنیتی بدون تماس و از راه دور (Contactless tokens)
در این حالت، نیاز نیست کاربران دستگاه فیزیکی یا کلمه کلیدی و کد تولیدشده توسط توکن سکیوریتی را وارد کنند. در عوض، این دستگاهها به صورت بیسیم و بدون تماس به سیستم نزدیک میشوند و به این ترتیب، اجازه دسترسی داده میشود. توکنهای بلوتوثی (Bluetooth Tokens) نمونه خوبی برای توکن Security بدون تماس هستند.
سفارشیسازی توکن امنیتی در اینجا متوقف نمیشود. سیستم توکن سکیوریتی شما همچنین میتواند شامل موارد زیر باشد:
- صفحه کلید یا کیپد (Keypads): در صوت داشتن یک کیپد، میتوانید با تنظیم یک رمز عبور، دادههای داخل توکن Security خود را قفل کنید.
- دادههای بیومتریک: میتوانید اسکن عنبیه چشم یا اثر انگشت خود را ذخیره و آن دادهها را به اسکنرهای موجود در سیستم متصل کنید.
- کیفیت مقاوم در برابر دستکاری: شما همچنین میتوانید تدابیر امنیتی بیشتری را به توکن امنیتی خود اضافه کنید تا اطمینان حاصل شود که سارقان نمیتوانند کلیدها را جدا کنند و دادهها را به سرقت ببرند.
انواع رمز عبور برای توکن امنیتی
رمزهای عبور مختلفی را میتوان برای توکن سکیوریتی تنظیم کرد، از جمله:
- رمز عبور دائمی یا ثابت (Static passwords): این رمز عبور از رشتهای از اعداد، حروف یا هر دو تشکیل شده است و هرگز بدون دخالت مستقیم کاربر یا یک متخصص امنیتی تغییر نمیکند. اگر کاربر این رمز عبور را نداشته نباشد، نمیتواند دادهها را فراخوانی کند.
- رمزهای عبور داینامیک یا پویا (Dynamic passwords): در این حالت، سیستم امنیتی برای هر بار ورود به سیستم، یک رمز عبور جدید انتخاب و آن را به توکن Security ارسال میکند. به طور معمول، کاربر باید قبل از دسترسی به سیستم، رمز عبور ارسالی را تایپ کند. برخی از این سیستمها، از یک تایمر و الگوریتم برای تولید رمز عبور استفاده میکنند، در حالی که برخی دیگر، راهحلهای رمز عبور یک بار مصرف را به کار میگیرند.
مزایای توکن سکیوریتی
همانطور که میدانید، رمزهای عبور بسیار قابل هک شدن هستند. در واقع، محققان میگویند که رایجترین رمز عبور انتخابی توسط کاربران، ۱۲۳۴۵۶ است که در صورت به خطر افتادن امنیت سیستم، یک فاجعه بزرگ در انتظار دادهها است.
توکن امنیتی میتواند این تهدیدها را با تکمیل یا حتی با جایگزینی کامل با رمزهای عبور تنظیمشده توسط کاربر کاهش دهد. در واقع هنگامی که توکن سکیوریتی همراه با رمزهای عبور استفاده میشود، بخشی از یک راهحل احراز هویت چند عاملی (MFA) محسوب میگردد و امنیت سیستم را تقویت میکند.
استفاده انحصاری از رمز عبور، مانند محافظت از خانه فقط با ترکیبی از اعداد است؛ جواب میدهد، اما هر کسی که این ترکیب را بداند، میتواند وارد خانه شود. در مقابل، استفاده از یک توکن Security مانند این است که یک دروازه قفلشده با کلید را جلوی در خانه خود قرار دهید. در این صورت، حتی کسانی که ترکیب اعداد درب شما را میدانند نیز نمیتوانند از دروازه عبور کنند و خانه شما امن باقی میماند. بنابراین، میتوان گفت که توکن امنیتی، یک سطح محافظتی اضافی برای حفظ امنیت شما محسوب میشود.
از این رو، کاربران میتوانند از مزایای توکن سکیوریتی، برای محافظت از اطلاعات حیاتی خود، از جمله دادههای مالی، اطلاعات پسانداز، مدارک هویتی و اسناد حقوقی، بهرهمند شوند.
آسیبپذیریهای توکن Security
همانطور که از نام آن پیدا است، توکن Security باید دادههای حیاتی را ایمن نگه دارد. با این حال، متأسفانه توکنهای امنیتی نیز شکستناپذیر نیستند و گاهی در برابر خطرات و حملات آسیبپذیرند.
از جمله رایجترین آسیبپذیریهای توکن امنیتی، میتوان به موارد زیر اشاره کرد:
- گم شدن دستگاه: کارتها و دستگاههای توکن های سکیوریتی بسیار کوچک هستند و به راحتی گم میشوند. اگر آنها رمزگذاری نشوند یا رمز عبور ثانویه نداشته باشند، هر کسی که آنها را پیدا کند، میتواند به سیستم دسترسی داشته باشد.
- سرقت: دستگاه توکن Security را همچنین میتوان به سرقت ببرد؛ چه در یک حمله هدفمند و چه به عنوان بخشی از یک جنایت دیگر، مانند سرقت کیف. در این صورت نیز این دستگاهها ممکن است به دست افراد شرور بیفتند.
- هک شدن: اگرچه توکن امنیتی برای محافظت از کاربران در برابر بدافزارها طراحی شده، اما هر چیزی که الکترونیکی و متصل به یک شبکه باشد، میتواند توسط افراد خرابکار هک شود. در حالی که توکن سکیوریتی لایه دیگری از امنیت را به سیستم اضافه میکند، اما در نظر داشته باشید که در برابر هک نفوذناپذیر نیست.
- نقض امنیت: هکرها میتوانند به سیستمهای احراز هویت نفوذ کنند و به رمز عبور کاربران دسترسی داشته باشند. این اتفاق برای یک سیستم بانکی در سال ۲۰۰۶ رخ داد که باعث رسوایی بزرگی شد.
توکن امنیتی کریپتویی
معاملات ارزهای دیجیتال به اثبات مالکیت نیاز دارند و این مالکیت باید به خریدار منتقل شود. همچنین برخی از کارشناسان بر این باورند که این شکل از توکن امنیتی میتواند آینده امور مالی را شکل دهد.
خلاصه مطلب
در این مقاله به معرفی توکن امنیتی و انواع آن پرداختیم. همانطور که گفته شد، توکن سکیوریتی میتواند به شرکتها کمک کند تا داراییها و اطلاعات ارزشمند را قفل و از آنها محافظت کنند. این توکنها یک لایه محافظتی پیشرفته و اضافی را به سیستم اضافه میکنند تا اطمینان حاصل شود که مشتریان، کارمندان، شرکا و به طور کلی، یک کسبوکار، ایمن باقی میماند.
در نهایت، این نکته را در نظر داشته باشید که مهم نیست از چه سیستم امنیتیای استفاده میکنید؛ حفظ اعتدال و هوشیاری ضروری است. مطمئن شوید که سیستم شما به درستی راهاندازی شده و همه چیز طبق برنامهریزی شما پیش میرود. همیشه آماده باشید تا در صورت مشاهده هر گونه مشکلی، به سرعت وارد عمل شوید.
نوشته توکن امنیتی (Security Token) چیست و چه کاربردی دارد؟ اولین بار در کریپتوگرام. پدیدار شد.