باشگاه خبرنگاران جوان - فناوری اطلاعات و ارتباطات (ICT)، به ویژه اینترنت و محاسبات ابری، در حال تبدیل شدن به بستری برای فعالیت جوامع هستند. این فناوری‌ها به افراد و سازمان‌ها در سراسر جهان اجازه می‌دهند تا با هم ارتباط برقرار کنند، تبادل اطلاعات داشته و همکاری کنند. این فناوری‌ها تأثیر عمیقی بر صنایع، سیاست و رسانه‌ها داشته اند. همه‌گیری ویروس کرونا باعث تسریع تجارت، آموزش، دولت و سایر فعالیت‌های اصلی به دنیای آنلاین شده است.

فن‌آوری‌های دیجیتال امکانات بسیاری را فراهم می‌کنند، اما جرم را نیز به همراه دارند. اطلاعات نادرست؛ سرقت اطلاعات خصوصی، اطلاعات تجاری محرمانه و مالکیت معنوی؛ حملات سایبری و جاسوسی سایبری از جرم‌هایی هستند که در اینترنت رخ می‌دهد. شرکت‌های فناوری اطلاعات و ارتباطات، برای رفع آسیب‌پذیری‌ها در سخت‌ افزار و نرم‌ افزار خود با یکدیگر در رقابت هستند و سعی می‌کنند از هکر‌های مخربی که دائماً راه‌های جدیدی برای سواستفاده از این آسیب‌ پذیری‌ها پیدا می‌کنند، جلوتر باشند.

احراز هویت آنلاین یکی از راه‌هایی است که می‌توان با استفاده از آن جلوی جرم و جنایت در اینترنت را گرفت و این محیط را امن‌تر کرد.

احراز هویت چیست؟

احراز هویت فرآیندی است برای تعیین اینکه آیا کسی یا چیزی در واقع کیست یا چه چیزی می‌گوید. فناوری احراز هویت با بررسی اینکه آیا اعتبار یک کاربر با اعتبار در پایگاه داده کاربران مجاز یا در سرور احراز هویت داده مطابقت دارد، کنترل دسترسی را برای سیستم‌ها فراهم می‌کند. انجام این کار، احراز هویت سیستم‌های امن، فرآیند‌های امن و امنیت اطلاعات سازمانی را تضمین می‌کند.

انواع مختلف احراز هویت

کاربران معمولاً با شناسه کاربری شناسایی می‌شوند و احراز هویت زمانی اتفاق می‌افتد که کاربر اعتباری مانند رمز عبوری را که با شناسه کاربری خود مطابقت دارد، ارائه می‌کند. عمل نیاز به شناسه کاربری و رمز عبور به عنوان احراز هویت تک عاملی (SFA) شناخته می‌شود.

در سال‌های اخیر، شرکت‌ها احراز هویت را با درخواست فاکتور‌های احراز هویت اضافی، مانند کد منحصر به‌ فردی که هنگام تلاش برای ورود به سیستم از طریق دستگاه تلفن همراه به کاربر ارائه می‌شود یا امضای بیومتریک، مانند اسکن صورت یا اثر انگشت، تقویت کرده‌اند. این عمل به عنوان احراز هویت دو مرحله‌ای (۲FA) شناخته می‌شود.

فاکتور‌های احراز هویت حتی می‌توانند فراتر از SFA که به شناسه کاربری و رمز عبور نیاز دارند یا ۲FA که به شناسه کاربری، رمز عبور و امضای بیومتریک نیاز دارند، فراتر روند. هنگامی که از سه یا چند فاکتور تأیید هویت برای احراز هویت استفاده می‌شود، به عنوان مثال، شناسه کاربری و رمز عبور، امضای بیومتریک و شاید یک سؤال شخصی که کاربر باید به آن پاسخ دهد، احراز هویت چند عاملی (MFA) شکل می‌گیرد.

چرا احراز هویت در امنیت سایبری مهم است؟

احراز هویت سازمان‌ها را قادر می‌سازد تا شبکه‌های خود را با اجازه دادن به کاربران یا فرآیند‌های احراز هویت شده برای دسترسی به منابع محافظت شده خود ایمن نگه دارند. این ممکن است شامل سیستم‌های کامپیوتری، شبکه‌ها، پایگاه‌های داده، وب‌سایت‌ها و سایر برنامه‌ها یا خدمات مبتنی بر شبکه باشد.

پس از احراز هویت، کاربر یا فرآیند معمولاً تحت یک سازوکار مجوزدهی قرار می‌گیرند تا مشخص شود که آیا اجازه دسترسی به یک منبع یا سیستم محافظت شده خاص را دارند یا خیر. یک کاربر می‌تواند احراز هویت شود، اما اگر به او اجازه دسترسی به منبع یا سیستم داده نشده باشد، به منبع خاصی دسترسی ندارد.

اصطلاحات احراز هویت و مجوز اغلب به جای یکدیگر استفاده می‌شوند. در حالی که آن‌ها اغلب با هم اجرا می‌شوند و در واقع دو عملکرد مجزا هستند. احراز هویت فرآیند تأیید هویت یک کاربر یا فرآیند ثبت شده قبل از فعال کردن دسترسی به شبکه‌ها و سیستم‌های محافظت شده است. مجوز یک فرآیند دقیق‌تر است که تأیید می‌کند که کاربر یا فرآیند تأیید شده مجوز دسترسی به منبع خاصی را که درخواست کرده، دارد یا خیر. فرآیندی که در آن دسترسی به منابع به تعداد معینی از کاربران محدود می‌شود، کنترل دسترسی نامیده می‌شود. فرآیند احراز هویت همیشه قبل از فرآیند مجوز است.

چگونگی عملکرد احراز هویت

در حین احراز هویت، اعتبارنامه‌های ارائه شده توسط کاربر با اطلاعات موجود در یک پایگاه داده از اطلاعات کاربران مجاز در سرور سیستم عامل محلی یا از طریق یک سرور احراز هویت مقایسه می‌شود. اگر اعتبارنامه‌های وارد شده با اطلاعات موجود در پرونده مطابقت داشته باشد و نهاد تأیید شده مجاز به استفاده از منبع باشد، به کاربر اجازه دسترسی داده می‌شود. مجوز‌های کاربر تعیین می‌کند که کاربر به کدام منابع دسترسی پیدا کند.

فاکتور‌های احراز هویت چیست؟

احراز هویت یک کاربر با شناسه کاربری و رمز عبور معمولاً ابتدایی‌ترین نوع احراز هویت در نظر گرفته می‌شود و بستگی به این دارد که کاربر دو بخش از اطلاعات را بداند، شناسه کاربری یا نام کاربری و رمز عبور. از آنجایی که این نوع احراز هویت تنها به یک عامل احراز هویت متکی است، این یک نوع SFA است.

احراز هویت قوی اصطلاحی است که معمولاً برای توصیف نوعی از احراز هویت استفاده می‌شود که قابل اعتمادتر و در برابر حمله مقاوم‌تر است. احراز هویت قوی معمولاً از حداقل دو نوع مختلف از فاکتور‌های احراز هویت استفاده می‌کند و اغلب به استفاده از رمز‌های عبور قوی حاوی حداقل هشت کاراکتر، ترکیبی از حروف کوچک و بزرگ، نماد‌ها و اعداد خاص نیاز دارد. یک عامل احراز هویت بخشی از داده یا ویژگی را نشان می‌دهد که می‌تواند برای احراز هویت کاربری که درخواست دسترسی به یک سیستم را درخواست می‌کند، استفاده شود.

فاکتور‌های احراز هویت که در حال حاضر استفاده می‌شود

عامل دانش یا چیزی که شما می‌دانید: ممکن است هرگونه اعتبار احراز هویت باشد که شامل اطلاعاتی است که کاربر در اختیار دارد، از جمله شماره شناسایی شخصی (PIN)، نام کاربری، رمز عبور یا پاسخ به یک سؤال محرمانه.

عامل مالکیت یا چیزی که شما دارید: ممکن است هرگونه اعتبار مبتنی بر مواردی باشد که کاربر می‌تواند داشته باشد و با خود حمل کند. از جمله دستگاه‌های سخت‌افزاری، مانند رمز امنیتی یا تلفن همراهی که برای پذیرش پیام متنی یا اجرای برنامه احراز هویت استفاده می‌شود؛ که می‌تواند رمز عبور یک بار مصرف (OTP) یا پین ایجاد کند.

عامل ذاتی یا چیزی که شما هستید: معمولاً براساس نوعی از شناسایی بیومتریک است، از جمله اثر انگشت، تشخیص چهره، اسکن شبکیه چشم یا هر شکل دیگری از داده‌های بیومتریک.

فاکتور مکان جایی که شما هستید: فاکتور مکان گاهی اوقات به عنوان مکملی برای عوامل دیگر استفاده می‌شود. مکان را می‌توان با دقت معقول توسط دستگاه‌های مجهز به سیستم موقعیت یابی جهانی یا با دقت کمتر با بررسی آدرس‌ها و مسیر‌های شبکه تعیین کرد. عامل مکان معمولاً نمی‌تواند به تنهایی برای احراز هویت مهم باشد، اما می‌تواند با ارائه ابزاری برای رد برخی درخواست ها، سایر عوامل را تکمیل کند.

عامل زمان مانند عامل مکان، فاکتور زمان یا زمانی است که شما در حال احراز هویت هستید که به خودی خود کافی نیست، اما می‌تواند مکانیزم تکمیلی برای از بین بردن مهاجمانی باشد. مهاجمانی که سعی می‌کنند به منبعی در زمانی که آن منبع در دسترس نیست، دسترسی پیدا کنند.

هدف از احراز هویت

صیانت از حریم خصوصی کاربران در اینترنت.

تناسب بین میزان اطلاعاتی ارائه شده از هر موجودیت.

مربوط بودن اطلاعات هویتی در فضای مجازی با واقعیت.

افزایش شفافیت و کاهش ناشناس بودن افراد در فضای مجازی.

پیشگیری از جرم و جنایت در فضای مجازی و کاهش سواستفاده آنلاین.

کرونا و جرم و جنایت در اینترنت

برخی از مفسران و محققان مشاهده و اظهار نظر کرده‌اند که سواستفاده آنلاین و قلدری سایبری در طول همه‌گیری کرونا در حال افزایش بوده است، زیرا مردم بیشتر زمان خود را در فضای مجازی می‌گذراندند. گفته شده که میزان این سواستفاده در میان کودکان و نوجوانان بالاترین رقم را داشته است. یک گزارش به افزایش ۷۰ درصدی سخنان تنفرآمیز در حین چت آنلاین در میان جوانان اشاره داشته است. این واقعیت که به نظر می‌رسد این روند رو به افزایش است، تمرکز و توجه را بر رسانه‌های اجتماعی و نقشی که آن‌ها در کمک به مبارزه با سخنان نفرت انگیز و قلدری سایبری ایفا می‌کنند، افزایش داده است.

بسیار مهم است که همه پلتفرم‌ها همراه با دیگر بازیگران این حوزه، از جمله دولت‌ها، مربیان و سازمان‌های غیردولتی، برای رویارویی با این چالش‌ها گام بردارند، زیرا همه آن‌ها نقشی در مقابله با این مشکلات دارند. یادگیری ادب و رفتار با احترام نسبت به دیگران به صورت آنلاین چالش بزرگ قرن بیست و یکم است.

شاید یک ضرورت حیاتی‌تر این باشد که به کاربران کمک کنیم از طریق آموزش، با استفاده از پلتفرم‌ها یا هر دو بفهمند که در واقع ناشناس نیستند و اگر آسیبی که ایجاد می‌کنند مجرمانه باشد، می‌توانند ردیابی شوند و قانونی با آن‌ها برخورد می‌شود. تصور ناشناس بودن به خودی خود مضر است و کاربرانی که به آزار و اذیت و سواستفاده روی می‌آورند، جان خود را به خطر می‌اندازند، همانطور که حمله به ساختمان کنگره ایالات متحده در ۶ ژانویه به درستی این موضوع را نشان داد، زیرا برخی از آن‌ها اکنون با عواقب قانونی روبرو هستند. بسیاری از آن‌ها شغل یا دوستان و عزیزان خود را به دلیل حمله به کنگره از دست داده اند.

مقرراتی که به جلوگیری از جرم و جنایت کمک می‌کند

در حالی که ریشه کن کردن کامل سواستفاده و آزار و اذیت آنلاین غیرممکن است و همچنان یک چالش مداوم باقی خواهد ماند، اما ایمنی و حریم خصوصی باید بخش مرکزی طراحی محصولات و خدمات آنلاین باشد. مقرراتی که هوشمند، متناسب و مقیاس پذیر باشد و به طور گسترده در صورت نیاز، حتی توسط سیستم عامل‌های آنلاین تأیید می‌شود. با این حال، همه پلتفرم‌ها با مشکلات و مسائل یکسانی مواجه نیستند و بنابراین بعید به نظر می‌رسد که رویکرد «یک اندازه متناسب با همه» برای دنیای آنلاین متنوعی که همه ما در آن حضور داریم، مناسب باشد.

هوش مصنوعی در خدمت احراز هویت

در کنار احراز هویت و تأیید شناسه، فناوری تخمین سن، یک ابزار هوش مصنوعی قدرتمند در شناسایی و پرچم‌گذاری حساب‌هایی است که ممکن است در مورد سن کاربر تردید وجود داشته باشد. این امر به ویژه برای پلتفرم‌هایی که محتوایی فقط برای کاربران بالای ۱۸ سال و کاربران بسیار جوان زیر ۱۳ سال دارند، مهم است.

هوش مصنوعی مفهوم بزرگ‌تری از رایانه‌ها و ماشین‌هایی است که می‌توانند رفتار انسان را شبیه‌سازی کنند و وظایف را به روشی «هوشمندانه» انجام دهند. با استفاده هوشمندانه، هوش مصنوعی می‌تواند به نظارت بر رفتار‌های آنلاین و مبارزه با حساب‌های جعلی کمک کند. به عنوان مثال، تعدیل و مسدود کردن خودکار ابزار‌هایی که به یک پلتفرم اجازه می‌دهند به طور خودکار کاربران مخرب را مسدود کرده و حساب‌های جعلی را نظارت کنند. علاوه بر نظارت بر حساب‌های جعلی، می‌توان از هوش مصنوعی برای یافتن و فیلتر کردن محتوای نامناسب از طریق آموزش انسانی و یادگیری ماشینی برای از بین بردن آسیب‌های آنلاین حتی قبل از رسیدن به نقطه پایانی مورد نظر استفاده کرد.

بیشتر بخوانید

• قوانین کشورها در مقابله با انتشار اخبار جعلی

کشور‌های مختلف در سراسر دنیا، قوانین و مقرراتی را در حوزه احراز هویت دارند که در این گزارش به آن‌ها اشاره شده است.

قانون کانادا برای احراز هویت

قانون حفاظت از اطلاعات شخصی و اسناد الکترونیکی (PIPEDA) قانون حریم خصوصی بخش خصوصی در کانادا است. این قانون، سازمان‌هایی را که فعالیت‌های تجاری دارند را ملزم می‌کند که اطلاعات شخصی را با آگاهی و رضایت فرد جمع‌آوری، استفاده یا افشا کنند، مگر در شرایط خاص.

علاوه بر این، سازمان‌ها را ملزم می‌کند که اهداف جمع آوری اطلاعات شخصی را مشخص کرده و جمع آوری و استفاده را به این اهداف محدود کنند. سازمان‌ها همچنین ملزم به حفاظت از اطلاعات شخصی با پادمان‌های امنیتی مناسب هستند.

طبق اصول ۴.۱.۴ و ۴.۷.۴ سازمان‌های PIPEDA موظفند کارکنان را در مورد سیاست‌ها و شیوه‌های حفظ حریم خصوصی سازمان آموزش دهند و کارکنان خود را از اهمیت حفظ محرمانه بودن اطلاعات شخصی آگاه کنند. به این ترتیب، سازمان‌ها باید اطمینان حاصل کنند که همه نمایندگان خدمات مشتری، پردازشگر‌های داده و سایر کارکنانی که به اطلاعات شخصی دسترسی دارند، آموزش‌های مناسبی را در مورد اهمیت حفاظت از اطلاعات شخصی مشتریان، از جمله اهمیت حفاظت از آن در برابر دسترسی و افشای غیرمجاز، دریافت می‌کنند. سازمان‌ها باید آموزش مداوم در مورد سیاست‌ها و فرآیند‌های احراز هویت را ارائه دهند.

همچنین، سوابق حسابرسی باید محافظت شوند، زیرا می‌توانند مسیر‌های داده‌ای را ایجاد کنند که می‌تواند اطلاعاتی را در مورد فرد آشکار کند. چنین ابرداده هایی، زمانی که با سایر اطلاعات شناسایی مرتبط شوند، می‌توانند اطلاعات شخصی تحت PIPEDA را تشکیل دهند. تحت PIPEDA، یک سازمان مسئول اطلاعات شخصی تحت کنترل خودش است، از جمله اطلاعاتی که برای پردازش به شخص ثالث منتقل شده است.

آمریکا و قوانین احراز هویت

وزارت بازرگانی آمریکا در سال ۲۰۱۱ کنفرانسی مطبوعاتی برگزار کرد تا استراتژی ملی برای هویت‌های مورد اعتماد در فضای مجازی یا به اختصار NSTIC را اعلام کند. این ابتکار یک مشارکت بین دولت و بخش خصوصی برای بهبود امنیت آنلاین و تقویت اعتماد مصرف کننده به اینترنت است. علاوه بر این، این ابتکار یک استراتژی گسترده برای افزایش امنیت تراکنش‌های آنلاین با دولت آمریکا است که نقش تسهیل کننده را ایفا می‌کند.

اثبات اینکه چه کسی در اینترنت فعال است و چه کاری انجام می‌دهد، کار دشواری است. نام کاربری و رمز عبور بار‌ها و بار‌ها در ارائه محافظت کافی شکست خورده اند. بیش از هشت میلیون بزرگسال در سال ۲۰۱۰ فقط در آمریکا قربانی کلاهبرداری یا سرقت هویت شدند. خسارات ناشی از سرقت هویت تنها در سال ۲۰۱۰ حدود ۳۷ میلیارد دلار برآورد شده است.

علیرغم سال‌ها (و سالها) تکرار توسط کارشناسان امنیتی برای استفاده از رمز‌های عبور ایمن‌تر و تلاش برای آموزش کاربران در مورد امنیت رمز عبور قوی تر، بار‌ها و بار‌ها آشکار شده که رمز‌های عبور هنوز یکی از ضعیف‌ترین حلقه‌های زنجیره احراز هویت هستند. نقض رمز عبور Rockyou در سال ۲۰۰۹، و نقض Gawker یک سال بعد، هر دو نشان می‌دهند که چگونه رمز‌های عبور ضعیف باقی مانده‌اند.

مایکل بارت، مدیر ارشد امنیت اطلاعات PayPal، از ابتکار NSTIC حمایت کرد. او گفت که ما به طور مداوم از این موضوع دفاع کرده‌ایم که هویت آنلاین قابل اعتماد جزء کلیدی یک اکوسیستم اینترنتی سالم است.

شرکت مایکروسافت از چشم انداز NSTIC برای اکوسیستم هویت ارتقا یافته حریم خصوصی شهروندی پشتیبانی می‌کند. ایجاد این اکوسیستم انتخاب‌های متنوعی را برای شهروندان به منظوراحراز هویت آنلاین و در عین حال کمک به حفظ امنیت و حریم خصوصی آن‌ها فراهم می‌کند. تحقق این چشم انداز مایکروسافت را به یک اینترنت امن‌تر و قابل اعتمادتر نزدیک می‌کند.

انگلیس در برابر سواستفاده آنلاین

طبق نظرسنجی اعضای BCS (انجمن رایانه‌ای انگلیس)، رسانه‌های اجتماعی باید شناسه کاربران را تأیید کنند تا به سواستفاده آنلاین پایان دهند. اکثر اعضای BCS حدود (۶۴ درصد) که در این نظرسنجی شرکت کردند، از پلتفرم‌هایی مانند توئیتر و فیسبوک می‌خواهند که شناسه واقعی از افراد بخواهند، تا آن‌ها را در قبال آنچه پست می‌کنند پاسخگو کنند. حدود یک چهارم (۲۶ درصد) گفتند که کاربران باید تأیید نشده باقی بمانند و ۱۰ درصد هم نظری نداشتند.

بیش از نیمی از کارشناسان فناوری (۵۶ درصد) از جمله رهبران ارشد و دانشگاهیان گفتند که پیوند حساب‌های رسانه‌های اجتماعی با هویت‌های واقعی از نظر فنی قابل دستیابی است. کمی بیش از یک چهارم (۲۶ درصد) گفتند که دست یافتنی نیست و ۱۷ درصد بی طرف بودند.

نیمی از آن‌ها (۵۰ درصد) گفتند که خود رسانه‌های اجتماعی باید مسئولیت اصلی کاهش سواستفاده آنلاین را بر عهده داشته باشند. ۱۹ درصد معتقد بودند که یک تنظیم کننده مستقل باید این نقش را داشته باشد. ۱۷ درصد فکر می‌کردند که این مسئولیت بر عهده کاربران است. ۵ درصد اظهار داشتند که وظیفه دولت رهبری در کاهش ترولینگ است و ۴ درصد معتقد بودند که باید توسط پلیس هدایت شود.

دولت کره و تصمیماتش برای احراز هویت

دولت کره و شرکت‌های فناوری اطلاعات و ارتباطات فعال در این کشور در توسعه استراتژی خود برای احراز هویت آنلاین و دسترسی به داده‌ها، مجبور شده‌اند چندین انتخاب دشوار داشته باشند که ارزش‌های متضاد آن‌ها را منعکس می‌کند.

چالش‌های احراز هویت آنلاین در کره به دو بخش تقسیم می‌شود: شناسایی آنلاین (اعتبارسنجی کاربر) و احراز هویت آنلاین (اعتبارسنجی فعالیت). چالش‌های کنترل دسترسی به داده‌ها نیز به دو بخش تقسیم می‌شود: داده‌های عمومی و داده‌های خصوصی.

خاستگاه و تکامل یک رویکرد کره‌ای به داده‌های آنلاین

رویکرد کره به احراز هویت آنلاین و کنترل دسترسی به داده‌ها چندین ویژگی منحصر به فرد اقتصاد، زیرساخت و توسعه این کشور را منعکس می‌کند. برای اولین بار، کره سرمایه گذاری زیادی در زیرساخت‌های ICT به عنوان یک اولویت ملی، ایجاد شبکه‌های باند پهن و گسترش دسترسی آن‌ها به تقریباً هر خانه انجام داده است. شبکه‌های پهن باند کره با میانگین بیش از ۲۰۰ مگابیت در ثانیه سرعت پهنای باند ثابت، بستری قدرتمند برای نوآوری ایجاد کرده اند.

گزارش از مائده زمان فشمی

انتهای پیام/