سایر مقالات
. زمان مطالعه: حدود 15 دقیقه

احراز هویت چیست و بر مبنای چه مفاهیمی شکل گرفته است؟

این روزها، در دنیایی که تعاملات آنلاین بیش از هر زمان دیگری گسترش یافته‌اند، تأمین امنیت اطلاعات کاربران اهمیت بسیاری پیدا کرده است. اینجاست که احراز هویت اهمیت می‌یابد و کلید ورود به دنیای دیجیتال محسوب می‌شود. احرازهویت به این مسئله می‌پردازد که چگونه می‌توان از دسترسی‌های غیرمجاز به حساب‌ها و داده‌های حساس جلوگیری کرد؛ اما این فرایند از کجا شکل گرفته است و چگونه به کار می‌رود؟ در این مطلب، به‌زبانی ساده، توضیح می‌دهیم که احراز هویت به چه معناست، چگونه شکل گرفته است و مفاهیم پایه آن را بررسی می‌کنیم.

احراز هویت چیست؟

احرازکردن هویت یا Authentication فرایندی است که در آن هویت کاربران یا دستگاه‌ها تأیید می‌شود. این فرایند به‌منظور اطمینان از این امر انجام می‌شود که فقط افراد یا دستگاه‌های مجاز به سیستم‌ها و داده‌های حساس دسترسی داشته باشند. این فرایند به‌عنوان یکی از ارکان امنیت سایبری و حریم خصوصی در دنیای دیجیتال شناخته می‌شود. با رشد روزافزون خدمات آنلاین و افزایش تهدیدات سایبری، اهمیت Authentication، به‌ویژه در صنایع حساس مانند بانکداری و فین‌تک، دوچندان شده است. در ادامه، به‌صورت مفصل، روش‌های مختلف احراز هویت و نقش آن‌ها در افزایش امنیت را بررسی کرده‌ایم.

احراز هویت آنلاین به چه معناست؟

احراز هویت آنلاین فرایندی است که طی آن هویت کاربران یا دستگاه‌ها در فضای دیجیتال ازطریق روش‌های مختلف تأیید می‌شود. این مفهوم در فین‌تک و بانکداری دیجیتال از دهه ۱۹۹۰ میلادی و با ظهور بانکداری اینترنتی شکل گرفت. 

در ابتدا استفاده از رمزهای عبور و کدهای امنیتی رایج بود. با پیشرفت فناوری، روش‌هایی مانند احراز

هویت چندعاملی (MFA) و بایومتریک وارد عرصه شدند. در دهه ۲۰۱۰ میلادی، با رشد گوشی‌های هوشمند و ظهور کیف‌پول‌های دیجیتال، احرازکردن هویت مبتنی بر رفتار و مکان نیز به کار گرفته شد. امروزه، بانک‌ها و پلتفرم‌های فین‌تک برای ارائه خدمات امن‌تر از ترکیبی از این روش‌ها استفاده می‌کنند.

نقطه‌عطف‌های کاربرد احراز هویت

نقطه‌عطف‌های احراز هویت آنلاین از این قرار است:

  • دهه ۱۹۶۰، آغاز احراز هویت دیجیتال: استفاده از رمزعبور، مانند CTSS در MIT، استفاده از رمزعبور برای تفکیک دسترسی کاربران به منابع سیستم.
  • دهه ۱۹۷۰، استانداردهای اولیه: معرفی پروتکل‌های رمزنگاری اولیه، مانند DES، برای امنیت داده‌ها، استفاده از کارت‌های مغناطیسی در محیط‌های کاری و بانکی.
  • دهه ۱۹۸۰، سیستم‌های مدرن رمزنگاری: استفاده از کلیدهای عمومی (PKI) و الگوریتم‌های RSA برای امنیت و احراز هویت، استفاده از توکن‌های سخت‌افزاری برای دسترسی امن.
  • دهه ۱۹۹۰، بانکداری اینترنتی و استفاده از رمز عبور: معرفی بانکداری آنلاین و وابستگی به رمزعبور به‌عنوان ابزار احرازهویت، کاربرد SSL برای ایجاد ارتباط امن در اینترنت معرفی و استفاده از رمزعبور یک‌بارمصرف (OTP) برای سرویس‌های مالی.
  • اوایل دهه ۲۰۰۰، احراز هویت چندعاملی (MFA): ترکیب رمزعبور با کدهای پیامکی یا توکن‌های فیزیکی، افزایش امنیت با استفاده از PKI در سیستم‌های دولتی و کسب‌وکارها و همین‌طور بیومتریک‌های تجاری.
  • اواخر دهه ۲۰۰۰، فناوری‌های بیومتریک: استفاده از اثرانگشت و اسکن عنبیه در دستگاه‌های خودپرداز و معرفی سیستم‌های احرازهویت در گوشی‌های هوشمند.
  • دهه ۲۰۱۰، احراز هویت پیشرفته و دیجیتال: استفاده از کیف‌پول‌های دیجیتال مبتنی بر بیومتریک‌ و NFC، احرازهویت مبتنی بر رفتار و مکان (استفاده از داده‌های رفتاری، مانند سرعت‌تایپ، حرکت ماوس و علاوه‌برآن مکان جغرافیایی)، بیومتریک‌های پیشرفته سرویس‌های بانکی و موبایل و همچنین رشد احرازهویت بدون رمزعبور (معرفی استاندارد FIDO برای کاهش وابستگی به رمزعبور).
  • دهه ۲۰۲۰، هوش مصنوعی و یادگیری ماشین: تشخیص تقلب و رفتارهای غیرعادی با استفاده از هوش مصنوعی، بیومتریک‌های چندوجهی، سیستم‌های مبتنی بر بلاک‌چین و همین‌طور هویت دیجیتال قابل‌تأیید، مانند پروژه‌های مبتنی بر استانداردهای W3C برای هویت‌های خودکنترل‌شونده.
  • ۲۰۲۴، روندهای نوظهور: احراز هویت پیوسته (ارزیابی مداوم رفتار کاربران)، استفاده از Generative AI برای امنیت، واقعیت‌افزوده و احراز هویت مبتنی بر مکان‌یابی دقیق و فناوری‌های واقعیت‌افزوده و تقویت قوانین جهانی حریم خصوصی.

پیشنهاد می‌کنیم درباره احراز هویت بایومتریک رفتاری هم مطالعه کنید.

مفاهیم پایه احراز هویت چیست؟

احرازکردن هویت شامل مفاهیمی پایه‌ای است که برای تأمین امنیت در سیستم‌های دیجیتال ضروری هستند. این مفاهیم عبارت‌اند از شناسایی (Identification)، احراز هویت (Authentication) و مجوزدهی (Authorization). درواقع برای درک مفهوم احراز هویت شناخت تمایز میان این مفهوم با دو مفهوم دیگر ضروری است. در ادامه این مفاهیم را به‌صورت مختصر توضیح داده‌ایم:

  • شناسایی (Identification): این فرایند شامل شناسایی اولیه کاربر یا دستگاه است و معمولاً ازطریق یک نام کاربری یا شناسه منحصربه‌فرد انجام می‌شود. شناسایی اولین مرحله در تأمین امنیت است و به سیستم کمک می‌کند تا بداند چه کسی در تلاش برای دسترسی است.
  • احراز هویت (Authentication): این فرایند به سیستم اجازه می‌دهد تا اطمینان حاصل کند فرد یا دستگاهی که خود را شناسایی کرده واقعاً همان فرد یا چیزی است که ادعا می‌کند. احرازکردن هویت با استفاده از روش‌هایی مانند رمز عبور، توکن یا ویژگی‌های بایومتریک انجام می‌شود.
  • مجوزدهی (Authorization): پس از احرازکردن هویت سیستم تعیین می‌کند کاربر چه حقوق و دسترسی‌هایی دارد. این مرحله مشخص می‌کند که آیا کاربر مجاز به دسترسی به منابع خاص است یا خیر. در انگلیسی به این فرایند Authorization گفته می‌شود و برای آن از مدل‌هایی مانند کنترل دسترسی مبتنی بر نقش (Role-Based Access Control – RBAC) یا کنترل دسترسی مبتنی بر ویژگی (Attribute-Based Access Control – ABAC) و غیره استفاده می‌شود.

این مفاهیم جغرافیای مفهومی امنیت را شکل می‌دهند که احرازکردن هویت بخش کلیدی آن به شما می‌رود.

هدف‌های اصلی احراز هویت

احراز هویت، در کنار دو بخش دیگر، در راستای تأمین سه هدف اصلی مفهوم امنیت انجام می‌شود که از این قرار است:

  • محرمانگی (Confidentiality): با محدودکردن دسترسی به افراد یا دستگاه‌های مجاز.
  • یکپارچگی (Integrity): با اطمینان از اینکه فقط افراد مجاز می‌توانند داده‌ها را تغییر دهند.
  • دسترسی‌پذیری (Availability): با فراهم‌کردن دسترسی مطمئن و پیوسته به منابع برای کاربران مجاز.

این عناصر در کنار هم عمل می‌کنند تا امنیت را در زمینه‌های مختلف تأمین کنند.

تفاوت احراز هویت و مجوزدهی

از میان مفاهیم اصلی مربوط به Authentication معمولاً مفهوم احرازکردن هویت (Authentication) با مفهوم مجوزدهی (Authorization) اشتباه گرفته می‌شود، اما این دو کاملاً متفاوت هستند. احرازکردن هویت فرایندی است که در آن سیستم بررسی می‌کند آیا کاربر همان کسی است که ادعا می‌کند یا خیر؛ درمقابل، مجوزدهی تعیین می‌کند که آیا کاربر مجاز به انجام‌دادن فعالیت‌های خاصی است یا خیر.

اصول سه‌گانه احراز هویت
اصول سه‌گانه احراز هویت

اصول سه‌گانه احرازکردن هویت

امنیت در دنیای دیجیتال یک چالش همیشگی است و Authentication، به‌عنوان یکی از پایه‌های اصلی امنیت سایبری، براساس سه اصل اساسی بنا شده است: چیزی که می‌دانید، چیزی که دارید و چیزی که هستید. 

این اصول به‌گونه‌ای طراحی شده‌اند که هر یک به‌تنهایی می‌توانند سطحی از امنیت را فراهم کنند، اما ترکیب آن‌ها (در قالب احراز هویت چندعاملی) می‌تواند به‌طور قابل‌توجهی امنیت سیستم‌ها را افزایش دهد. این سه اصل به کاربر اجازه می‌دهند هویت خود را به روش‌های مختلف اثبات کند و از دسترسی افراد غیرمجاز جلوگیری می‌کنند.

هر یک از این اصول، نقاط قوت و ضعف خاص خود را دارند و انتخاب صحیح آن‌ها بستگی به نوع سیستم و سطح حساسیت اطلاعات دارد. در ادامه هر یک از این اصول را توضیح داده‌ایم:

سه رکن احراز هویت

چیزی که می‌دانید

این اصل اطلاعاتی را در بر می‌گیرد که فقط کاربر باید بداند. مواردی مانند رمز عبور، کد PIN یا پاسخ به سؤالات امنیتی نمونه‌هایی از این نوع هستند. مزیت روش احرازکردن هویتی که صرفاً طراحی‌شده براساس این اصل باشد سادگی و سرعت استفاده است، اما درصورتی‌که این اطلاعات به سرقت برود یا افشا شود، امنیت به خطر می‌افتد؛ به‌همین دلیل، استفاده از رمزهای قوی و تغییر دوره‌ای آن‌ها اهمیت زیادی دارد.

چیزی که دارید

این اصل بر مبنای استفاده از اشیای فیزیکی یا دیجیتالی است که کاربر باید در اختیار داشته باشد. نمونه‌های رایج آن شامل کارت‌های هوشمند، توکن‌های دیجیتال یا دانگل‌ها و دستگاه‌ها یا ابزارهای آنلاین تولید کد یک‌بارمصرف (مانند Google Authenticator) هستند. این روش امنیت بالاتری در مقایسه با روش قبلی دارد؛ زیرا برای دسترسی نیاز به یک شیء فیزیکی یا ابزار آنلاین است که به‌سختی می‌توان آن را سرقت یا جعل کرد؛ بااین‌حال گم‌شدن یا خراب‌شدن یا ازدست‌دادن این اشیا یا ابزار آنلاین می‌تواند دسترسی کاربران را مختل کند.

چیزی که هستید

این اصل از ویژگی‌های منحصربه‌فرد بایومتریک کاربران استفاده می‌کند. اثر انگشت، تشخیص چهره و اسکن عنبیه از متداول‌ترین فناوری‌های این دسته هستند. این روش بسیار امن است؛ زیرا ویژگی‌های بایومتریک حدس‌زدنی یا به‌راحتی سرقت‌شدنی نیستند؛ بااین‌حال هزینه پیاده‌سازی و نگرانی‌های مربوط به حریم خصوصی ممکن است مانعی برای استفاده گسترده از این روش باشد.

این اصول پایه‌واساس بسیاری از سیستم‌های Authentication مدرن را تشکیل می‌دهند و در بسیاری از موارد به‌صورت ترکیبی برای دست‌یابی به امنیت بهینه استفاده می‌شوند؛ برای مثال، در احراز هویت چندعاملی (MFA) معمولاً ترکیبی از «چیزی که می‌دانید» و «چیزی که دارید» استفاده می‌شود؛ همچنین برای کاربردهای حساس‌تر اضافه‌کردن «چیزی که هستید» امنیت را به حداکثر می‌رساند.

راهکارهای یکپارچه احراز هویت جیبیت

جیبیت، با بهره‌گیری از فناوری‌های پیشرفته بایومتریک، راهکاری جامع و امن برای احراز هویت کاربران ارائه می‌کند. این راهکارها شناسایی چهره با دقت ۹۹.۹ درصد، تشخیص زنده‌بودن تصویر (Liveness Detection) با دقت ۹۹ درصد، تبدیل گفتار به متن (ASR) و همین‌طور تحلیل اسناد هویتی با استفاده از OCR پیشرفته را شامل است.

این خدمات به کسب‌وکارها امکان می‌دهند تا فرایندهای ورود به سیستم، ثبت‌نام و تأیید هویت کاربران را با اطمینان و کارآمدی بیشتری مدیریت کنند. این سامانه‌ها به‌صورت یکپارچه با زیرساخت‌های موجود کسب‌وکارها سازگار می‌شوند و امکان سفارشی‌سازی متناسب با نیازهای خاص هر صنعت را فراهم می‌کنند. راهکارهای جیبیت، به‌لطف طراحی کاربرمحور و استفاده از الگوریتم‌های یادگیری ماشین، نه‌تنها امنیت را افزایش می‌دهند، تجربه کاربری را نیز بهبود می‌بخشند.

برای ارتقای امنیت و ساده‌سازی فرایند احراز هویت کسب‌وکار همین امروز با جیبیت همراه شوید. جیبیت آماده است تا با ارائه مشاوره و پیاده‌سازی راهکارهای اختصاصی، مسیر شما به‌سوی یک تجربه دیجیتال امن‌تر و کارآمدتر را هموار کنیم.

برای آشنایی بیشتر با راهکارهای احراز هویت جیبیت روی این لینک کلیک کنید:

احراز هویت بایومتریک و سرویس‌های مبتنی بر هوش مصنوعی

FAQ - پرسش‌های متداول

پرسش‌های متداول

احراز هویت چیست؟

احراز هویت یا Authentication فرایندی است که طی آن یک سیستم هویت کاربران یا دستگاه‌ها تأیید می‌شود. فرایند Authentication به‌این منظور اطمینان از این امر انجام می‌شود که فقط افراد یا دستگاه‌های مجاز به سیستم‌ها و داده‌های حساس دسترسی داشته باشند.

مفاهیم اصلی امنیت چیست و احراز هویت در آن چه نقشی دارد؟

Authentication یکی از سه مفهوم اصلی شکل‌دهنده امنیت است. دو مفهوم اصلی دیگر شناسایی (Identification) و مجوزدهی (Authorization) هستند. احراز هویت پس از مرحله شناسایی و قبل از مرحله مجوزدهی انجام می‌شود.

هدف از احراز هویت کاربر یا دستگاه چیست؟

احراز هویت سه هدف اصلی را دنبال می‌کند که اهداف اصلی امنیت اطلاعات هم به شمار می‌روند: یعنی محرمانگی (Confidentiality)، یکپارچگی (Integrity) و دسترسی‌پذیری (Availability). محرمانگی اطمینان از محدودکردن دسترسی به افراد یا دستگاه‌های مجاز است، یکپارچگی اطمینان از این است که فقط افراد مجاز می‌توانند داده‌ها را تغییر دهند و دسترسی‌پذیری به‌معنای اطمینان از این امر است که کاربران مجاز به منابع دسترسی مطمئن و پیوسته دارند.

اصول احراز هویت چیست؟

Authentication بر مبنای سه رعایت سه اصل شکل می‌گیرد: چیزی که کاربر می‌داند، چیزی که کاربر دارد، چیزی که کاربر است؛ مثلاً رمز عبور چیزی است که کاربر می‌داند، دستگاهی که با آن اجازه ورود می‌خواهد چیزی است که کاربر دارد و مشخصات بایومتریک، مانند اثر انگشت، چیزی است که کاربر است. هر یک از روش‌های احراز هویت، دست‌کم، با یکی از این سه اصل ساخته می‌شوند. روش‌های پیچیده Authentication ترکیبی از هر سه اصل را در بر می‌گیرد.

Rate this post

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

تازه‌ترین مقالات

چالش‌های احراز هویت در فینتک و بانکداری چیست و چه راهکارهای دارد؟

PSD2 چیست؟ چگونه بانکداری باز و امنیت مالی اروپا را متحول کرد؟

۱۲ روش احراز هویت را بشناسید! صفر تا صد روش‌های احراز هویت