تجربه نشان داده که روشهای امنیتی سنتی مانند نام کاربری و رمزعبور در مقابل سرقت، حملات فیشینگ و کیلاگینگ آسیبپذیر هستند و متأسفانه افراد و سازمانهای زیادی قربانی حملات هکری میشوند. دادهها نشان میدهند که هکرها سالانه حدود ۴۰۰ میلیارد دلار به تجارتهای مختلف خسارت وارد میکنند. توکن های امنیتی نوآوریهای جالبی برای جبران این خسارتهای امنیتی هستند.
برای ایجاد امنیت در سیستم، روشهای تأیید هویت زیادی وجود دارد. دادههای احراز هویت باید بین کاربر و سیستم منتقل شوند تا هویتها و دسترسیها تأیید شوند. توکن امنیتی کانال انتقال این دادههاست. در واقع توکن امنیتی یک دستگاه فیزیکی است که کاربران برای دسترسی به سیستم باید آن را داشته باشند. البته این تنها توضیحی مختصر است؛ اگر قصد دارید بهطور دقیق با نحوه کار آنها آشنا شوید، در ادامه همراه ما باشید.
توکن امنیتی چیست؟
توکن امنیتی (Security Token) یک دستگاه سختافزاری یا فیزیکی کوچک است که برای تأیید هویت کاربر و ارائه یک لایه امنیتی اضافی در فرایند ورود به سیستم استفاده میشود. این دستگاهها در کنار رمز عبور یا PIN استفاده میشوند و معمولاً در سیستمهای تأیید هویت دو مرحلهای (2FA) یا چند مرحلهای (MFA) به کار میروند. هدف این است که مطمئن شویم کاربر دسترسییافته به یک سرویس، مالک قانونی حساب است.
بیشتر بخوانید: تایید هویت دوعاملی چیست؟
این نکته را در نظر داشته باشید که در زبان انگلیسی، از عبارت Security Token در دو کاربرد و معنی مختلف استفاده میکنند:
- کاربرد اول توکن امنیتی سختافزاری است که امنیت سیستمها را افزایش میدهد و این مقاله هم درباره همین موضوع است؛
- در کاربرد دوم، به توکن اوراق بهادار هم Security Token گفته میشود.
توجه داشته باشید که این دو مفهوم با وجود تشابه نام انگلیسی آنها، ارتباطی به هم ندارند و مربوط به دو حوزه مختلف هستند.
بیشتر بخوانید: توکن اوراق بهادار چیست؟
توکنهای امنیتی سختافزاری معمولاً رمزهای عبور یکبار مصرف (OTP) یا رمزهای عبور یکبار مصرف مبتنی بر زمان (TOTP) تولید میکنند که کاربر آنها را در فرایند تأیید هویت وارد میکند. انواع رایج توکنهای سختافزاری شامل توکنهای USB، جاسوئیچیها و توکنهای بیسیم بلوتوث هستند.
به این دلیل که برای ورود به سیستم علاوه بر داشتن رمز عبور کاربر، داشتن توکن امنیتی سخت افزاری نیز لازم است، این توکنها خطر دسترسی غیرمجاز بهدلیل هک شدن یا نقض امنیت رمزهای عبور را بهطور قابلتوجهی کاهش میدهند.
این توکنها یا اطلاعاتی را که هویت فرد را تأیید میکند ذخیره میکنند، یا با یک پایگاه داده یا سیستم شخص ثالث که خدمات تأیید ارائه میدهد ارتباط برقرار میکنند.
توکن امنیتی چگونه کار میکند؟
توکنهای امنیتی معمولاً از یک الگوریتم رمزنگاری برای تولید رمز عبور یکبارمصرف یا رمز عبور یکبارمصرف مبتنی بر زمان استفاده میکنند. در ادامه مراحل عملکرد این توکنها توضیح داده شده است:
پیکربندی
در طول تنظیم اولیه، توکن امنیتی سختافزاری با سیستم احراز هویت سرویس یا منبعی که قرار است از آن محافظت کند، پیکربندی و همگامسازی میشود. توکن به یک کلید محرمانه یا مقدار اولیه منحصربهفرد مجهز میشود که برای تولید کدهای پویا استفاده میشود.
فرایند احراز هویت
هنگامی که کاربر تلاش میکند به یک سرویس یا منبع ایمن دسترسی پیدا کند، ابتدا باید نام کاربری و رمز عبور استاندارد خود را وارد کند.
درخواست احراز هویت دو عاملی یا چندعاملی
پس از تأیید اعتبار اولیه کاربر، سیستم درخواست میکند که کاربر عامل دوم تأیید هویت را وارد کند. عامل دوم احراز هویت در اینجا همان کدی است که توکن امنیتی سختافزاری تولید میکند.
تولید کد
توکن امنیتی با استفاده از کلید محرمانه و الگوریتم رمزنگاری، کدی مانند OTP یا TOTP تولید میکند. برای TOTP، توکن مقدار اولیه را با زمان جاری ترکیب میکند تا یک کد منحصربهفرد ایجاد کند که فقط برای مدت زمان کوتاهی (مثلاً ۳۰ یا ۶۰ ثانیه) معتبر است.
ورود کد توسط کاربر
کاربر کدی که روی توکن امنیتی نمایش داده شده را میخواند و آن را در سیستم احراز هویت وارد میکند.
اعتبارسنجی کد
سیستم تأیید هویت، کد وارد شده را با بازتولید همان کد از طریق کلید محرمانه مشترک و الگوریتم رمزنگاری یکسان بررسی میکند. برای TOTPها، سیستم همچنین بررسی میکند که آیا کد در محدوده زمانی مجاز هنوز معتبر است یا خیر.
اعطای دسترسی
اگر کد وارد شده با کد مورد انتظار مطابقت داشته باشد، دسترسی به سرویس یا منبع ایمن اعطا میشود. در صورت اشتباه بودن یا انقضای کد، دسترسی رد میشود و ممکن است از کاربر خواسته شود دوباره تلاش کند یا مراحل اضافی امنیتی را طی کند.
با استفاده از یک دستگاه فیزیکی که کدهای منحصربهفرد و محدود به زمان تولید میکند، توکنهای امنیتی سختافزاری لایهای اضافی از امنیت ارائه میدهند و دسترسی کاربران غیرمجاز به اطلاعات یا سیستمهای حساس را بسیار دشوار میکنند.
انواع توکنهای امنیتی
انواع مختلفی از توکنهای امنیتی سختافزاری وجود دارد که هرکدام دارای ویژگیها و تکنیکهای خاصی برای احراز هویت هستند. برخی از انواع رایج عبارتاند از:
- توکنهای متصل (Connected Tokens)
- توکنهای غیرمتصل (Disconnected Tokens)
- توکنهای بدون تماس (Contactless Tokens)
در ادامه هریک از این انواع و زیرمجموعههای آنها را بررسی میکنیم.
توکنهای متصل
کاربران باید توکن را بهصورت فیزیکی به سیستم مورد نظرشان متصل کنند. کارت هوشمند یا دستگاهی مانند Yubikey نمونه خوبی از این نوع است. کاربران دستگاه را در یک کارتخوان قرار میدهند و دستگاه اطلاعات احراز هویت را بهصورت خودکار به سیستم کامپیوتری ارسال میکند. انواع مختلف توکنهای متصل بهصورت زیر هستند:
توکنهای USB
این توکنها دستگاههای کوچکی هستند که به پورت USB کامپیوتر متصل میشوند. توکنهای USB معمولاً کلیدهای رمزنگاری و گواهینامههای دیجیتال را ذخیره میکنند. برخی از توکنهای پیشرفته USB برای امنیت بیشتر، ویژگیهای بیومتریک مانند اسکن اثر انگشت را نیز ارائه میدهند.
توکنهای کارت هوشمند
این توکنها شبیه کارتهای اعتباری بوده و دارای یک میکروپردازنده داخلی برای انجام عملیات رمزنگاری هستند. کارتهای هوشمند معمولاً با یک کارتخوان کار میکنند که میتوان آن را به کامپیوتر یا دستگاههای دیگر متصل کرد و اغلب برای امنیت بیشتر به یک PIN نیاز دارند.
توکنهای غیرمتصل
کاربران نیازی به اتصال فیزیکی چیزی به دستگاه ندارند، اما ممکن است لازم باشد کدی که توکن تولید میکند را وارد کنند. تلفن همراهی که برای احراز هویت دو مرحلهای تنظیم شده است، نمونهای از توکن غیرمتصل است. در ادامه انواع مختلف توکنهای غیرمتصل را بررسی خواهیم کرد.
توکنهای OTP
توکنهای رمز یکبار مصرف (OTP) کدهای عددی تولید میکنند که فقط یک بار قابل استفاده هستند. این کدها معمولاً بر اساس یک کلید محرمانه و الگوریتم تولید میشوند. کاربر کد نمایش داده شده را در فرایند احراز هویت وارد میکند تا به منابع محافظتشده دسترسی پیدا کند.
توکنهای TOTP
توکنهای رمز یکبار مصرف مبتنی بر زمان (TOTP) مشابه توکنهای OTP عمل میکنند، اما دارای قابلیت همگامسازی زمانی هستند. این توکنها با ترکیب یک کلید محرمانه و زمان، کدهای موقتی تولید میکنند که معمولاً پس از ۳۰ یا ۶۰ ثانیه منقضی میشوند.
توکنهای جاکلیدی
این توکنهای کوچک و قابل حمل برای قرار گرفتن در جاکلیدی طراحی شدهاند. آنها معمولاً دارای دکمه یا صفحه نمایشی هستند که با فشار دادن آن، یک کد OTP یا TOTP نمایش داده میشود که کاربر آن را در فرایند احراز هویت وارد میکند.
توکنهای بدون تماس
کاربران نیازی به اتصال فیزیکی به دستگاه ندارند و مجبور به وارد کردن کلمه عبور یا کد دسترسی اضافی نیستند. این دستگاهها بهصورت بیسیم به سیستم متصل میشوند و دسترسی بر اساس این اتصال تأیید یا رد میشود. توکنهای بلوتوث و سیستمهای ورود بدون کلید به همین روش کار میکنند. در ادامه انواع مختلف توکنهای بدون تماس را مشاهده میکنیم.
توکنهای بلوتوث
این توکنهای بیسیم با استفاده از بلوتوث به دستگاهها متصل میشوند و بهصورت خودکار و بدون نیاز به وارد کردن دستی کد، احراز هویت لازم را فراهم میکنند. توکنهای بلوتوث ممکن است شامل ویژگیهای بیومتریک مانند اثر انگشت یا تشخیص چهره باشند.
توکن NFC
توکنهای NFC با استفاده از فناوری بیسیم کوتاهبرد با دستگاههای دیگر ارتباط برقرار میکنند. این توکنها برای احراز هویت بدون تماس استفاده میشوند و با نزدیک کردن یا نگه داشتن آنها در نزدیکی یک دستگاه مجهز به NFC مانند گوشی هوشمند یا کارتخوان عمل میکنند.
توکنهای امنیتی با قابلیت سفارشیسازی طراحی شدهاند. نیازهای یک شرکت ممکن است کاملاً با نیازهای شرکت دیگر متفاوت باشد. انتخاب نسخه مناسب برای دستیابی به تعادل صحیح بین امنیت و انعطافپذیری ضروری است. سفارشیسازی توکنهای امنیتی شامل قابلیتهای زیر است:
- صفحهکلیدها: قفل کردن دادههای داخل توکن با نیاز به رمز عبور.
- دادههای بیومتریک: ذخیره اسکن عنبیه یا اثر انگشت و اتصال این دادهها به اسکنرهای موجود در محل.
- ویژگیهای مقاوم در برابر دستکاری: افزودن اقدامات امنیتی برای اطمینان از اینکه سارقان نمیتوانند کلیدها را باز کرده و دادهها را سرقت کنند.
هر نوع از توکنهای امنیتی سختافزاری با توجه به سطح امنیت مورد نیاز، نوع دستگاه یا خدمات مورد حفاظت، و همچنین ترجیحات کاربر میتواند سطحهای مختلفی از امنیت، قابلیت استفاده و راحتی را ارائه دهد.
انواع مختلف رمز عبور توکن امنیتی
رمزهای عبور توکن امنیتی کدها یا اعتبارنامههایی هستند که توکن برای احراز هویت کاربر تولید میکند. انواع مختلفی از رمزهای عبور توکن امنیتی وجود دارد که بر اساس مکانیسم کاری و سطح امنیتی که ارائه میدهند، متفاوت هستند. برخی از انواع رایج عبارتاند از:
- رمز عبور ثابت یا استاتیک
- رمز عبور یکبار مصرف
- رمز عبور یکبار مصرف مبتنی بر زمان
- رمز عبور چالش و پاسخ (Challenge-Response Passwords)
- رمز عبور پویا (Dynamic Passwords)
رمز عبور ثابت یا استاتیک (Static Passwords)
این رمزها کدهای ثابتی هستند که در توکن ذخیره شده و بهطور مکرر برای احراز هویت استفاده میشوند. اگرچه استفاده از این رمزها راحت است، اما امنیت کمتری دارند، زیرا تغییر نمیکنند و در صورت به خطر افتادن توکن ممکن است آسیبپذیر باشند.
رمز عبور یکبار مصرف
رمزهای یکبار مصرف کدهای منحصربهفردی هستند که توکن برای هر تلاش احراز هویت تولید میکند. این رمزها فقط یک بار قابل استفاده هستند و احتمال دسترسی غیرمجاز را حتی در صورت رهگیری یا افشای رمز بهشدت کاهش میدهند.
رمز عبور یکبار مصرف مبتنی بر زمان
مشابه OTPها، این رمزها بر اساس یک کلید محرمانه مشترک و زمان تولید میشوند. آنها دارای مدت زمان محدودی برای استفاده هستند (مثلاً ۳۰ یا ۶۰ ثانیه) و پس از این بازه زمانی منقضی میشوند. محدودیت این رمزها به زمان و منقضی شدن آنها در مدت زمانی کمتر از یک دقیقه باعث افزایش چشمگیر امنیت میشود.
رمز عبور چالش و پاسخ
در این روش، سیستم احراز هویت یک چالش تصادفی (مانند مجموعهای از اعداد) را به کاربر ارسال میکند. توکن امنیتی با استفاده از یک الگوریتم رمزنگاری و کلید محرمانه ذخیرهشده، یک پاسخ تولید میکند. کاربر این پاسخ را برای سیستم احراز هویت ارسال میکند و سرور با استفاده از همان الگوریتم و کلید محرمانه، آن را تأیید میکند.
با اطمینان از این که رمز توکن فقط با درخواست سرور تولید میشود و نمیتوان آن را برای احراز هویتهای آینده استفاده کرد، این روش امنیت بیشتری را فراهم میکند.
رمز عبور پویا
این رمزها در فواصل زمانی منظم تغییر میکنند که معمولاً توسط ادمین سیستم تعیین میشود (مثلاً هر چند دقیقه یا ساعت). در حالی که امنیت بیشتری نسبت به رمزهای عبور ثابت ارائه میدهند، ممکن است به اندازه رمزهای یکبار مصرف یا مبتنی بر زمان راحت نباشند، زیرا کاربران باید مدام رمز عبور جدید را پیگیری کنند.
هر نوع رمز عبور توکن امنیتی درجههای مختلفی از امنیت و راحتی را ارائه میدهد. انتخاب نوع رمز عبور معمولاً به تعادل مورد نظر بین ملاحظات امنیتی و راحتی استفاده در یک زمینه خاص احراز هویت بستگی دارد.
مزایای توکن امنیتی
توکنهای امنیتی سختافزاری مزایای زیادی برای امنیت داده و سیستمها، احراز هویت کاربران و کنترل دسترسی دارند. برخی از مزایای کلیدی عبارتند از:
- افزایش امنیت
- احراز هویت دو یا چند مرحلهای
- محافظت در برابر حملات فیشینگ و کیلاگینگ
- سادگی در استفاده
- قابلیت حمل
- مستقلبودن از دستگاههای دیگر
- دسترسی آفلاین
افزایش امنیت
با معرفی لایهای اضافی از حفاظت از طریق داشتن یک دستگاه فیزیکی، توکنهای امنیتی سختافزاری بهطور قابلتوجهی خطر دسترسی غیرمجاز بهدلیل لو رفتن رمز عبور یا سایر آسیبپذیریهای احراز هویت تکعاملی را کاهش میدهند.
احراز هویت دو یا چند مرحلهای
توکنهای امنیتی سختافزاری احراز هویت دو مرحلهای (2FA) یا چند مرحلهای (MFA) را تسهیل میکنند که در آن چیزی که کاربر میداند (مثل رمز عبور) با چیزی که کاربر دارد (توکن) ترکیب میشود. این لایه اضافی امنیتی باعث میشود دسترسی غیرمجاز به سیستم بسیار سختتر شود.
محافظت در برابر حملات فیشینگ و کیلاگینگ
رمزهای عبور یکبار مصرف و رمزهای عبور مبتنی بر زمان که توکنها تولید میکنند، یک روش احراز هویت پویا فراهم میکنند. این روش احراز هویت باعث میشود استفاده از اعتبارنامههای سرقتشده یا شنود شده برای حملهکنندگان دشوار شود، زیرا این کدها بهسرعت منقضی میشوند.
بیشتر بخوانید: فیشینگ چیست
سادگی در استفاده
بسیاری از توکنهای سختافزاری با هدف سادگی و سهولت استفاده طراحی شدهاند، بهطوری که کاربران میتوانند کدهای احراز هویت را بهسرعت و بهراحتی تولید و وارد کنند. این امر به ترویج استفاده از روشهای احراز هویت امنتر کمک میکند.
قابلیت حمل
توکنهای امنیتی سختافزاری معمولاً کوچک و قابل حمل هستند. این ویژگی آنها را برای کاربرانی که نیاز به دسترسی امن به سیستمها دارند، به ویژه برای افرادی که نیاز دارند از چندین دستگاه و مکان به منابع خود دسترسی داشته باشند، مناسب میسازد.
مستقلبودن از دستگاههای دیگر
برخلاف توکنهای نرمافزاری یا برنامههای احراز هویت موبایلی، توکنهای سختافزاری به گوشی هوشمند یا دستگاههای متصل دیگر کاربر وابسته نیستند و این ویژگی باعث کاهش تاثیر از دست دادن، سرقت یا آسیبدیدگی دستگاهها بر امنیت احراز هویت میشود.
دسترسی آفلاین
توکنهای سختافزاری میتوانند بهطور مستقل و بدون آن که به اتصال اینترنتی نیاز داشته باشند، کدهایی تولید کنند. این ویژگی امکان احراز هویت امن را حتی در سناریوهای آفلاین یا مناطقی با اتصال محدود فراهم میسازد.
معایب توکنهای امنیتی
در حالی که توکنهای امنیتی سختافزاری مزایای امنیتی قابل توجهی دارند، اما برخی ضعفها و چالشها هم در رابطه با آنها وجود دارد:
- گم شدن یا دزدیده شدن
- آسیب فیزیکی
- چالشهای تعویض و توزیع
- هزینه بالا
- نیاز به همراه داشتن توکن فیزیکی
- محدودیت سازگاری با دستگاهها
- وابستگی به عامل امنیتی واحد
گم شدن یا دزدیده شدن
از آنجا که توکنهای امنیتی سختافزاری دستگاههای فیزیکی هستند، ممکن است گم یا دزدیده شوند. در این صورت، فرد غیرمجاز ممکن است بتواند به سیستمها یا دادههای محافظتشده دسترسی پیدا کند. کاربران باید مراقب باشند که توکنهای خود را امن نگه دارند.
آسیب فیزیکی
توکنهای سختافزاری ممکن است بهدلیل برخورد فیزیکی یا عوامل محیطی مانند دماهای شدید دچار فرسایش یا حتی شکستگی شوند. این امر ممکن است باعث از کار افتادن توکن یا کاهش عمر مفید آن شود.
چالشهای تعویض و توزیع
نیاز داشتن به توزیع، تعویض یا بهروزرسانی توکنهای فیزیکی میتواند زمانبر و پرهزینه باشد، بهویژه برای سازمانهایی که کاربران زیادی دارند یا کارکنانشان بهصورت پراکنده (از لحاظ جغرافیایی) کار میکنند. صدور مجدد توکنهای گمشده یا بهروزرسانی آنها با کلیدهای رمزنگاری جدید میتواند پیچیده و وقتگیر باشد.
هزینه بالا
توکنهای امنیتی سختافزاری هزینههای تولید، ارسال و مدیریت دارند. این هزینهها میتواند قابل توجه باشد، بهویژه برای سازمانهای بزرگ با تعداد زیادی کاربر که نیاز به توکن دارند.
نیاز به همراه داشتن توکن فیزیکی
کاربران باید توکن سختافزاری خود را همراه داشته باشند تا به سیستمها یا خدمات محافظتشده دسترسی پیدا کنند. این ممکن است گاهی باعث ناراحتی شود، بهویژه اگر توکن فراموش یا گم شود.
محدودیت سازگاری با دستگاهها
برخی از توکنهای سختافزاری ممکن است با تمام دستگاهها، سیستمها یا پلتفرمها سازگار نباشند. این امر میتواند کاربرد آنها را محدود کرده و برای پیادهسازی صحیح آنها به برنامهریزی اضافی نیاز داشته باشد.
وابستگی به عامل امنیتی واحد
توکنهای سختافزاری معمولاً تنها از عامل مالکیت برای ایمنسازی دسترسی به سیستمها و اطلاعات استفاده میکنند. اگر مهاجم هم توکن و هم رمز عبور کاربر را به دست آورد، ممکن است به دسترسی غیرمجاز دست یابد. برای امنیت بیشتر، سازمانها ممکن است نیاز به پیادهسازی عوامل امنیتی اضافی مانند احراز هویت بیومتریک داشته باشند.
با وجود این ضعفها، توکنهای امنیتی سختافزاری هنوز نسبت به روشهای احراز هویت مبتنی بر رمز عبور معمولی سطح امنیت بالاتری ارائه میدهند. در بسیاری از موارد، سازمانها دریافتند که مزایای امنیت و حفاظت از دادهها بر چالشهای مدیریت و استفاده از توکنهای سختافزاری برتری دارد.
جمعبندی
توکنهای امنیتی با الزام کاربران به دسترسی فیزیکی به عامل احراز هویت، امنیت بیشتری را برای سازمانها و افراد فراهم میکند. این توکنها از حملات فیشینگ و کیلاگینگ پیشگیری میکنند. سازمانها با توجه به کاربرد خاص خود میتوانند انواع مختلفی از توکنهای امنیتی سختافزاری را انتخاب نموده و مصالحهای بین سهولت کاربری و امنیت را ایجاد کنند.
اگرچه توکنهای امنیتی معایبی از جمله آسیبپذیری فیزیکی یا سرقت را شامل میشوند اما همچنان نسبت به روشهای امنیتی سنتی برتری چشمگیری را از خود نشان میدهد.
The post توکن امنیتی چیست؟ آموزش توکن های امنیتی فیزیکی appeared first on ارزدیجیتال.
