‫احراز هویت دوعاملی در CRM

اصول مدیریت ارتباط با مشتری یا CRM) Customer Relationship Management)، چگونگی ایجاد موفق یک سیستم و اجرای آن را برای ارتباط با مشتریان از شروع و اجرای اولیه یک چنین سیستمی تا نگه‌داری آن در زمان‌های مختلف بیان می‌کند، بدون شک با وجود چنین سامانه‌ای در یک مجموعه بزرگ یا حتی کوچک مخاطرات و ریسک‌هایی هم‌چون دستیابی اشخاص غیرمجاز به اطلاعات بسیار حساس و حیاتی سازمان وجود دارد و طبیعتا مدیران یک مجموعه موفق همیشه به‌دنبال راهکارهایی برای حفظ و حراست اطلاعات درون سازمانی خود هستند،

برای مثال بی‌تردید تصمیماتی که در هیأت مدیره یک شرکت گرفته می‌شوند یا قیمت خدمات و کالاهای قابل ارائه در آن شرکت یا ... همه جزء اطلاعات حساس و حیاتی آن به حساب می‌آیند، آیا یک گذر واژه چند کاراکتری ساده و ثابت که با ساده‌ترین ابزار مثلا  Keylogger قابل استخراج است برای حفاظت از چنین اطلاعات حساسی می تواند مناسب و امن باشد؟ قطعا نه! یکی از راه‌حل‌های بسیار مناسب که پیاده‌سازی آن نیازمند به‌کارگیری پیش‌نیاز خاصی نیست، استفاده از سامانه‌های مبتنی بر رمز یک‌بار مصرف می‌باشد.

از دیرباز تکنولوژی‌های مبتنی بر احراز هویت چندعاملی یکی از کاربردی‌ترین روش‌های تشخیص اصالت و احراز هویت کاربران در محیط‌های مجازی بوده است و تکنولوژی استفاده از رمز یک‌بار مصرف یا (OTP (One Time Password یا استفاده از توکن، با توجه به سادگی استفاده و هزینه کم پیاده‌سازی آن، یکی از رایج‌ترین و کارآمدترین روش‌ها بوده است. این روش نه تنها به سیستم‌ها کمک می‌کند که کاربران خود را احراز هویت کنند بلکه روشی کارآمد برای جلوگیری از سرقت رمز عبور نیز می‌باشد.

با توجه به گستردگی استفاده از توکن‌های تولید رمز یک‌بار مصرف و نیاز بازار به استانداردسازی و پرهیز از الگوریتم‌های خاص (Black Box)، نیاز به تدوین استاندارد قدرت‌مندی برای احراز هویت در فضای مجازی به شدت احساس می‌شد. در سال 2004 شرکت Verisign، به‌عنوان یکی از برترین شرکت‌های حوزه امنیت در دنیا، اقدام به تعریف و تدوین یک استاندارد آزاد (Open Standard) در این حوزه نمود که به خلاصه OATH یا OpenAuthentication نامیده شد. 

در ادامه به توضیح و تشریح روش احراز هویت دوعاملی، کاربردها، مزایا، ویژگی‌ها و ... می‌پردازیم.

• راه‌حل OTP، مکانیزمی جهت ورود به شبکه یا سرویس‌های مختلف با استفاده از یک گذرواژه یکتا و یک‌بار مصرف را فراهم می‌کنند. این ابزار با اطمینان از این موضوع که گذر واژه مجددا مورد استفاده قرار نمی‌گیرد، می‌تواند جلوی بسیاری از انواع دزدی هویت را بگیرد. در این سیستم‌ها معمولا نام کاربری یکسان باقی‌مانده و گذرواژه تغییر می‌کند. احراز هویت قدرت‌مند فراهم‌شده توسط این تکنولوژی سطح امنیت بالاتری را برای کاربردهای مختلفی هم‌چون حساب‌های بانکی آنلاین، شبکه‌های کامپیوتری و سیستم‌های حاوی داده‌های حساس فراهم می‌کند. امروزه استفاده از گذر واژه‌های ایستا به‌دلیل وجود تهدیدات و حملات امنیتی از قبیل سرقت هویت با استفاده از فیشینگ، رویدادنگاری صفحه کلید و حملات مردی در میان مناسب نیست. سیستم‌های احراز هویت قوی نظیرOTP، محدودیت‌های گذر واژه‌های ایستا را پوشش داده و مشخصه‌های امنیتی دیگری را به سیستم‌ها اضافه می‌کنند. برای مثال یک گذرواژه یک‌بارمصرف موقتی می‌تواند برای حفاظت از دسترسی به شبکه و احراز هویت دیجیتال کاربران نهایی استفاده شود. این تکنولوژی لایه‌ای از حفاظت را به سیستم اضافه کرده و دسترسی غیرمجاز به اطلاعات، شبکه و حساب‌های آنلاین را مشکل‌تر می‌کند.
• OTP چیست ؟

ورود به سامانه‌ها یا پرتال‌ها از طریق احراز هویت دوعاملی، مشکلات امنیتی استفاده از رمز ثابت برای ورود به سامانه‌ها یا پرتال‌های سازمان را برطرف خواهد کرد. به عنوان مثال ممکن است فردی هنگام ورود فردی به سامانه بتواند از روی صفحه کلید رمز او را مشاهده نماید، در این صورت آن فرد به‌راحتی می تواند در وقتی دیگر به جای او در سامانه‌ها یا پرتال‌های سازمان وارد شود و اطلاعاتی را سرقت یا از آن سوء استفاده نماید.

حتی به‌راحتی می‌تواند به جای او، نامه یا دستوراتی را به افراد دیگر سازمان ارسال کند. با استفاده از دستگاه‌های تولید رمز یک‌بار مصرف (OTP) در هر بار ورود به سیستم رمز جدیدی برای کاربر تولید می‌شود، که این رمز یک‌بار مصرف بوده و پس از استفاده‌ی کاربر، فرد دیگری نمی‌تواند با استفاده مجدد از آن وارد سیستم شود. این دستگاه‌ها دارای شماره سریال و رمز داخلی منحصربه‌فرد بوده که برای هر دستگاه به طور مجزا تعریف شده‌است.

از خصوصیات این روش امکان فعال‌سازی سریع و آسان در سامانه‌های سازمان می‌باشد. همچنین هزینه پیاده‌سازی و فعال‌سازی آن برای سازمان نسبت به روش‌های احراز هویت دیگر بسیار اندک است.

•  دستگاه OTP 

OTP معمولا با یک سخت افزار Token در ارتباط است. به هر کاربر یک Token شخصی داده می‌شود که دارای یک کد منحصر‌به فرد می باشد (OTP Serial Number)، همچنین داخل هر دستگاه OTP کلید محرمانه (SEED) منحصربه‌فردی تعبیه شده‌است که بسته به نوع OTP با استفاده از الگوریتم استاندارد جهانی OATH از این کلید محرمانه و فاکتورهای دیگر برای تولید رمز یک‌بار مصرف استفاده می‌شود. بسته به مدل OTP سخت‌افزار آن تک دکمه‌ای (OTP های مبتنی بر زمان (Time Base) و مبتنی بر شمارنده (Event Base)) یا دارای صفحه کلید(مدل پرسش و پاسخ (Challenge & Response)) می‌باشد.

مزایای استفاده از دستگاه OTP

گذر واژه‌های یک‌بار مصرف می‌توانند به روش‌های مختلفی ایجاد شوند که هر یک خصوصیات مخصوص به خود را در بخش‌های امنیت، هزینه و دقت دارند. یکی از مهم‌ترین مزیت‌های OTP ها نسبت به کلمات عبور سنتی، مقاوم بودن در برابر حملات Replay می‌باشد. در این نوع از حملات فرد مهاجم کلمه عبور موردنظر خود را از طریق تراکنش‌های قبلی بدست‌آورده و سعی در استفاده مجدد از آن به‌صورت غیرمجاز دارد. در صورت استفاده از تکنولوژی OTP ، کلمه عبور شنود شده که از قبل در یک عملیات ورود به یک حساب یا اجرای یک تراکنش مورد استفاده قرار گرفته است، در اختیار مهاجم قرار می‌گیرد.

در این حالت مهاجم به‌دلیل یک‌بار مصرف‌بودن کلمه عبور موردنظر و منقضی‌شدن آن، امکان سوء استفاده از رمز عبور سرقت شده را نخواهد داشت. از دیگر خصوصیات این کلمات عبور یک‌بار مصرف، می‌توان به طولانی بودن آن‌ها و سخت‌بودن به خاطرسپاری آن توسط انسان اشاره کرد. به همین دلیل تکنولوژی‌های دیگری برای کار با این کلمه عبور مورد نیاز است.

الگوریتم‌های تولید OTP معمولا از اعداد تصادفی و یا شبه تصادفی برای تولید کلمات عبور یک‌بارمصرف استفاده می‌کنند. استفاده از این اعداد برای جلوگیری از پیش‌بینی کلمات‌ عبور بعدی از طریق مشاهده کلمات عبور قبلی مورد نیاز می‌باشد. رویکردهای متفاوتی برای تولید کلمات عبور یک‌بار مصرف وجود دارد که از آن‌ها می‌توان به موارد زیر اشاره کرد.

با استفاده از ایجاد همزمانی بین سرور شناسایی و سرویس‌گیرنده صاحب کلمه عبور (این نوع از کلمات عبور تنها برای دوره کوتاهی معتبر است) در داخل این توکن ساعت دقیقی وجود دارد که با ساعت سرور شناسایی به‌صورت همزمان تنظیم شده است. در این ابزارها کلمه عبور جدید با توجه به دو عامل زمان کنونی و کلمه عبور یا کلید محرمانه قبلی تولید می‌شود.

روش بعدی استفاده از الگوریتم‌های ریاضی برای تولید کلمه عبور جدید بر مبنای کلمات عبور سابق است، این الگوریتم‌ها به‌گونه‌ای طراحی شده‌اند که محاسبه کلمه عبور برای سایر افراد غیرممکن بوده و امکان افشای کلید وجود ندارد.

در نهایت استفاده از الگوریتم‌های ریاضی و تولید کلمه عبور جدید بر مبنای یک چالش، در این روش کاربر باید پاسخی برای چالش ایجاد شده فراهم کند. برای جلوگیری از تکرار، این روش امکان استفاده از شمارنده را نیز فراهم می‌نماید به‌طوری‌که در صورت دریافت تکراری یک چالش، به‌دلیل متفاوت‌بودن شمارنده، کلمه عبور تولید شده متفاوت خواهد بود.

جهت انجام احراز هویت دو عاملی، می‌بایست هر کاربر یک دستگاه رمزیاب (OTP Token) داشته باشد،

از جمله مزایای استفاده از دستگاه OTP می توان به موارد زیر اشاره کرد:

• احراز هویت دوعاملی قوی و مطمئن از طریق تکنولوژی رمز پویا
• غیرقابل استفاده شدن رمز تصادفی تولید شده پس از زمان مشخص
• حصول اطمینان از هویت کاربران در ورود به سیستم‌های مختلف
• امکان فعال‌سازی سریع و آسان
• مقاوم بودن در برابر حملات Reply
• پشتیبانی از سامانه‌های پشتیبان RADIUS Server
• دارای پورتال کاربری برای سهولت کار کاربران و مدیر سیستم 
• بدون نیاز به اتصال به کامپیوتر
• بدون نیاز به نصب نرم‌افزار در سمت کاربر
• استفاده آسان و قابل حمل بودن

کاربردهای دستگاه OTP

از دستگاه‌های OTP می‌توان در موارد زیر استفاده کرد:

• سامانه‌های بانک‌داری الکترونیکی
• سامانه‌ها و نرم‌افزارهای مالی و حسابداری
• سامانه‌های یکپارچه‌سازمان‌ها (اتوماسیون اداری، ERP ،CRM و ...)
• سامانه‌های ارائه دهنده خدمات آنلاین
• احراز هویت کاربران سیستم عامل‌های لینوکس و ویندوز و ...
• ورود کاربر و مدیرسیستم به شبکه‌های کامپیوتری

و ...

نصب و راه‌اندازی

دستگاه‌های رمزیاب و سرور احراز هویت هر دو از استاندارد OATH که استاندارد جهانی مربوط به حوزه احراز هویت دوعاملی می‌باشد، پشتیبانی می‌کنند. در ابتدا یک‌بار دستگاه‌های مذکور با سرور احراز هویت همزمان (synch) شده و پس از آن سرور و توکن رمزعبوری که بر اساس الگوریتم استاندارد OATH تولید می‌شود را می‌دانند. در زمان لاگین، کاربر موظف به وارد کردن کلمه کاربری و رمز عبور ثابت و رمز عبور پویا (که از دستگاه رمزیاب دریافت می‌کند) می باشد. در صورتی‌که اطلاعات واردشده صحیح نبوده یا کاربر دستگاه مذکور را در اختیار نداشته باشد امکان دسترسی به خدمات مورد نظر را نخواهد یافت. بدین ترتیب اگر شخصی از کلمه کاربری و رمز عبور ثابت نیز مطلع گردد نمی تواند از خدماتی که برای وی مجاز نیست، استفاده نماید.

منبع: مجموعه مقالات شرکت سامانه‌های مدیریت