باشگاه خبرنگاران جوان - فناوری اطلاعات و ارتباطات (ICT)، به ویژه اینترنت و محاسبات ابری، در حال تبدیل شدن به بستری برای فعالیت جوامع هستند. این فناوریها به افراد و سازمانها در سراسر جهان اجازه میدهند تا با هم ارتباط برقرار کنند، تبادل اطلاعات داشته و همکاری کنند. این فناوریها تأثیر عمیقی بر صنایع، سیاست و رسانهها داشته اند. همهگیری ویروس کرونا باعث تسریع تجارت، آموزش، دولت و سایر فعالیتهای اصلی به دنیای آنلاین شده است.
فنآوریهای دیجیتال امکانات بسیاری را فراهم میکنند، اما جرم را نیز به همراه دارند. اطلاعات نادرست؛ سرقت اطلاعات خصوصی، اطلاعات تجاری محرمانه و مالکیت معنوی؛ حملات سایبری و جاسوسی سایبری از جرمهایی هستند که در اینترنت رخ میدهد. شرکتهای فناوری اطلاعات و ارتباطات، برای رفع آسیبپذیریها در سخت افزار و نرم افزار خود با یکدیگر در رقابت هستند و سعی میکنند از هکرهای مخربی که دائماً راههای جدیدی برای سواستفاده از این آسیب پذیریها پیدا میکنند، جلوتر باشند.
احراز هویت آنلاین یکی از راههایی است که میتوان با استفاده از آن جلوی جرم و جنایت در اینترنت را گرفت و این محیط را امنتر کرد.
احراز هویت فرآیندی است برای تعیین اینکه آیا کسی یا چیزی در واقع کیست یا چه چیزی میگوید. فناوری احراز هویت با بررسی اینکه آیا اعتبار یک کاربر با اعتبار در پایگاه داده کاربران مجاز یا در سرور احراز هویت داده مطابقت دارد، کنترل دسترسی را برای سیستمها فراهم میکند. انجام این کار، احراز هویت سیستمهای امن، فرآیندهای امن و امنیت اطلاعات سازمانی را تضمین میکند.
کاربران معمولاً با شناسه کاربری شناسایی میشوند و احراز هویت زمانی اتفاق میافتد که کاربر اعتباری مانند رمز عبوری را که با شناسه کاربری خود مطابقت دارد، ارائه میکند. عمل نیاز به شناسه کاربری و رمز عبور به عنوان احراز هویت تک عاملی (SFA) شناخته میشود.
در سالهای اخیر، شرکتها احراز هویت را با درخواست فاکتورهای احراز هویت اضافی، مانند کد منحصر به فردی که هنگام تلاش برای ورود به سیستم از طریق دستگاه تلفن همراه به کاربر ارائه میشود یا امضای بیومتریک، مانند اسکن صورت یا اثر انگشت، تقویت کردهاند. این عمل به عنوان احراز هویت دو مرحلهای (۲FA) شناخته میشود.
فاکتورهای احراز هویت حتی میتوانند فراتر از SFA که به شناسه کاربری و رمز عبور نیاز دارند یا ۲FA که به شناسه کاربری، رمز عبور و امضای بیومتریک نیاز دارند، فراتر روند. هنگامی که از سه یا چند فاکتور تأیید هویت برای احراز هویت استفاده میشود، به عنوان مثال، شناسه کاربری و رمز عبور، امضای بیومتریک و شاید یک سؤال شخصی که کاربر باید به آن پاسخ دهد، احراز هویت چند عاملی (MFA) شکل میگیرد.
احراز هویت سازمانها را قادر میسازد تا شبکههای خود را با اجازه دادن به کاربران یا فرآیندهای احراز هویت شده برای دسترسی به منابع محافظت شده خود ایمن نگه دارند. این ممکن است شامل سیستمهای کامپیوتری، شبکهها، پایگاههای داده، وبسایتها و سایر برنامهها یا خدمات مبتنی بر شبکه باشد.
پس از احراز هویت، کاربر یا فرآیند معمولاً تحت یک سازوکار مجوزدهی قرار میگیرند تا مشخص شود که آیا اجازه دسترسی به یک منبع یا سیستم محافظت شده خاص را دارند یا خیر. یک کاربر میتواند احراز هویت شود، اما اگر به او اجازه دسترسی به منبع یا سیستم داده نشده باشد، به منبع خاصی دسترسی ندارد.
اصطلاحات احراز هویت و مجوز اغلب به جای یکدیگر استفاده میشوند. در حالی که آنها اغلب با هم اجرا میشوند و در واقع دو عملکرد مجزا هستند. احراز هویت فرآیند تأیید هویت یک کاربر یا فرآیند ثبت شده قبل از فعال کردن دسترسی به شبکهها و سیستمهای محافظت شده است. مجوز یک فرآیند دقیقتر است که تأیید میکند که کاربر یا فرآیند تأیید شده مجوز دسترسی به منبع خاصی را که درخواست کرده، دارد یا خیر. فرآیندی که در آن دسترسی به منابع به تعداد معینی از کاربران محدود میشود، کنترل دسترسی نامیده میشود. فرآیند احراز هویت همیشه قبل از فرآیند مجوز است.
در حین احراز هویت، اعتبارنامههای ارائه شده توسط کاربر با اطلاعات موجود در یک پایگاه داده از اطلاعات کاربران مجاز در سرور سیستم عامل محلی یا از طریق یک سرور احراز هویت مقایسه میشود. اگر اعتبارنامههای وارد شده با اطلاعات موجود در پرونده مطابقت داشته باشد و نهاد تأیید شده مجاز به استفاده از منبع باشد، به کاربر اجازه دسترسی داده میشود. مجوزهای کاربر تعیین میکند که کاربر به کدام منابع دسترسی پیدا کند.
احراز هویت یک کاربر با شناسه کاربری و رمز عبور معمولاً ابتداییترین نوع احراز هویت در نظر گرفته میشود و بستگی به این دارد که کاربر دو بخش از اطلاعات را بداند، شناسه کاربری یا نام کاربری و رمز عبور. از آنجایی که این نوع احراز هویت تنها به یک عامل احراز هویت متکی است، این یک نوع SFA است.
احراز هویت قوی اصطلاحی است که معمولاً برای توصیف نوعی از احراز هویت استفاده میشود که قابل اعتمادتر و در برابر حمله مقاومتر است. احراز هویت قوی معمولاً از حداقل دو نوع مختلف از فاکتورهای احراز هویت استفاده میکند و اغلب به استفاده از رمزهای عبور قوی حاوی حداقل هشت کاراکتر، ترکیبی از حروف کوچک و بزرگ، نمادها و اعداد خاص نیاز دارد. یک عامل احراز هویت بخشی از داده یا ویژگی را نشان میدهد که میتواند برای احراز هویت کاربری که درخواست دسترسی به یک سیستم را درخواست میکند، استفاده شود.
عامل دانش یا چیزی که شما میدانید: ممکن است هرگونه اعتبار احراز هویت باشد که شامل اطلاعاتی است که کاربر در اختیار دارد، از جمله شماره شناسایی شخصی (PIN)، نام کاربری، رمز عبور یا پاسخ به یک سؤال محرمانه.
عامل مالکیت یا چیزی که شما دارید: ممکن است هرگونه اعتبار مبتنی بر مواردی باشد که کاربر میتواند داشته باشد و با خود حمل کند. از جمله دستگاههای سختافزاری، مانند رمز امنیتی یا تلفن همراهی که برای پذیرش پیام متنی یا اجرای برنامه احراز هویت استفاده میشود؛ که میتواند رمز عبور یک بار مصرف (OTP) یا پین ایجاد کند.
عامل ذاتی یا چیزی که شما هستید: معمولاً براساس نوعی از شناسایی بیومتریک است، از جمله اثر انگشت، تشخیص چهره، اسکن شبکیه چشم یا هر شکل دیگری از دادههای بیومتریک.
فاکتور مکان جایی که شما هستید: فاکتور مکان گاهی اوقات به عنوان مکملی برای عوامل دیگر استفاده میشود. مکان را میتوان با دقت معقول توسط دستگاههای مجهز به سیستم موقعیت یابی جهانی یا با دقت کمتر با بررسی آدرسها و مسیرهای شبکه تعیین کرد. عامل مکان معمولاً نمیتواند به تنهایی برای احراز هویت مهم باشد، اما میتواند با ارائه ابزاری برای رد برخی درخواست ها، سایر عوامل را تکمیل کند.
عامل زمان مانند عامل مکان، فاکتور زمان یا زمانی است که شما در حال احراز هویت هستید که به خودی خود کافی نیست، اما میتواند مکانیزم تکمیلی برای از بین بردن مهاجمانی باشد. مهاجمانی که سعی میکنند به منبعی در زمانی که آن منبع در دسترس نیست، دسترسی پیدا کنند.
صیانت از حریم خصوصی کاربران در اینترنت.
تناسب بین میزان اطلاعاتی ارائه شده از هر موجودیت.
مربوط بودن اطلاعات هویتی در فضای مجازی با واقعیت.
افزایش شفافیت و کاهش ناشناس بودن افراد در فضای مجازی.
پیشگیری از جرم و جنایت در فضای مجازی و کاهش سواستفاده آنلاین.
برخی از مفسران و محققان مشاهده و اظهار نظر کردهاند که سواستفاده آنلاین و قلدری سایبری در طول همهگیری کرونا در حال افزایش بوده است، زیرا مردم بیشتر زمان خود را در فضای مجازی میگذراندند. گفته شده که میزان این سواستفاده در میان کودکان و نوجوانان بالاترین رقم را داشته است. یک گزارش به افزایش ۷۰ درصدی سخنان تنفرآمیز در حین چت آنلاین در میان جوانان اشاره داشته است. این واقعیت که به نظر میرسد این روند رو به افزایش است، تمرکز و توجه را بر رسانههای اجتماعی و نقشی که آنها در کمک به مبارزه با سخنان نفرت انگیز و قلدری سایبری ایفا میکنند، افزایش داده است.
بسیار مهم است که همه پلتفرمها همراه با دیگر بازیگران این حوزه، از جمله دولتها، مربیان و سازمانهای غیردولتی، برای رویارویی با این چالشها گام بردارند، زیرا همه آنها نقشی در مقابله با این مشکلات دارند. یادگیری ادب و رفتار با احترام نسبت به دیگران به صورت آنلاین چالش بزرگ قرن بیست و یکم است.
شاید یک ضرورت حیاتیتر این باشد که به کاربران کمک کنیم از طریق آموزش، با استفاده از پلتفرمها یا هر دو بفهمند که در واقع ناشناس نیستند و اگر آسیبی که ایجاد میکنند مجرمانه باشد، میتوانند ردیابی شوند و قانونی با آنها برخورد میشود. تصور ناشناس بودن به خودی خود مضر است و کاربرانی که به آزار و اذیت و سواستفاده روی میآورند، جان خود را به خطر میاندازند، همانطور که حمله به ساختمان کنگره ایالات متحده در ۶ ژانویه به درستی این موضوع را نشان داد، زیرا برخی از آنها اکنون با عواقب قانونی روبرو هستند. بسیاری از آنها شغل یا دوستان و عزیزان خود را به دلیل حمله به کنگره از دست داده اند.
در حالی که ریشه کن کردن کامل سواستفاده و آزار و اذیت آنلاین غیرممکن است و همچنان یک چالش مداوم باقی خواهد ماند، اما ایمنی و حریم خصوصی باید بخش مرکزی طراحی محصولات و خدمات آنلاین باشد. مقرراتی که هوشمند، متناسب و مقیاس پذیر باشد و به طور گسترده در صورت نیاز، حتی توسط سیستم عاملهای آنلاین تأیید میشود. با این حال، همه پلتفرمها با مشکلات و مسائل یکسانی مواجه نیستند و بنابراین بعید به نظر میرسد که رویکرد «یک اندازه متناسب با همه» برای دنیای آنلاین متنوعی که همه ما در آن حضور داریم، مناسب باشد.
در کنار احراز هویت و تأیید شناسه، فناوری تخمین سن، یک ابزار هوش مصنوعی قدرتمند در شناسایی و پرچمگذاری حسابهایی است که ممکن است در مورد سن کاربر تردید وجود داشته باشد. این امر به ویژه برای پلتفرمهایی که محتوایی فقط برای کاربران بالای ۱۸ سال و کاربران بسیار جوان زیر ۱۳ سال دارند، مهم است.
هوش مصنوعی مفهوم بزرگتری از رایانهها و ماشینهایی است که میتوانند رفتار انسان را شبیهسازی کنند و وظایف را به روشی «هوشمندانه» انجام دهند. با استفاده هوشمندانه، هوش مصنوعی میتواند به نظارت بر رفتارهای آنلاین و مبارزه با حسابهای جعلی کمک کند. به عنوان مثال، تعدیل و مسدود کردن خودکار ابزارهایی که به یک پلتفرم اجازه میدهند به طور خودکار کاربران مخرب را مسدود کرده و حسابهای جعلی را نظارت کنند. علاوه بر نظارت بر حسابهای جعلی، میتوان از هوش مصنوعی برای یافتن و فیلتر کردن محتوای نامناسب از طریق آموزش انسانی و یادگیری ماشینی برای از بین بردن آسیبهای آنلاین حتی قبل از رسیدن به نقطه پایانی مورد نظر استفاده کرد.
بیشتر بخوانید
کشورهای مختلف در سراسر دنیا، قوانین و مقرراتی را در حوزه احراز هویت دارند که در این گزارش به آنها اشاره شده است.
قانون حفاظت از اطلاعات شخصی و اسناد الکترونیکی (PIPEDA) قانون حریم خصوصی بخش خصوصی در کانادا است. این قانون، سازمانهایی را که فعالیتهای تجاری دارند را ملزم میکند که اطلاعات شخصی را با آگاهی و رضایت فرد جمعآوری، استفاده یا افشا کنند، مگر در شرایط خاص.
علاوه بر این، سازمانها را ملزم میکند که اهداف جمع آوری اطلاعات شخصی را مشخص کرده و جمع آوری و استفاده را به این اهداف محدود کنند. سازمانها همچنین ملزم به حفاظت از اطلاعات شخصی با پادمانهای امنیتی مناسب هستند.
طبق اصول ۴.۱.۴ و ۴.۷.۴ سازمانهای PIPEDA موظفند کارکنان را در مورد سیاستها و شیوههای حفظ حریم خصوصی سازمان آموزش دهند و کارکنان خود را از اهمیت حفظ محرمانه بودن اطلاعات شخصی آگاه کنند. به این ترتیب، سازمانها باید اطمینان حاصل کنند که همه نمایندگان خدمات مشتری، پردازشگرهای داده و سایر کارکنانی که به اطلاعات شخصی دسترسی دارند، آموزشهای مناسبی را در مورد اهمیت حفاظت از اطلاعات شخصی مشتریان، از جمله اهمیت حفاظت از آن در برابر دسترسی و افشای غیرمجاز، دریافت میکنند. سازمانها باید آموزش مداوم در مورد سیاستها و فرآیندهای احراز هویت را ارائه دهند.
همچنین، سوابق حسابرسی باید محافظت شوند، زیرا میتوانند مسیرهای دادهای را ایجاد کنند که میتواند اطلاعاتی را در مورد فرد آشکار کند. چنین ابرداده هایی، زمانی که با سایر اطلاعات شناسایی مرتبط شوند، میتوانند اطلاعات شخصی تحت PIPEDA را تشکیل دهند. تحت PIPEDA، یک سازمان مسئول اطلاعات شخصی تحت کنترل خودش است، از جمله اطلاعاتی که برای پردازش به شخص ثالث منتقل شده است.
وزارت بازرگانی آمریکا در سال ۲۰۱۱ کنفرانسی مطبوعاتی برگزار کرد تا استراتژی ملی برای هویتهای مورد اعتماد در فضای مجازی یا به اختصار NSTIC را اعلام کند. این ابتکار یک مشارکت بین دولت و بخش خصوصی برای بهبود امنیت آنلاین و تقویت اعتماد مصرف کننده به اینترنت است. علاوه بر این، این ابتکار یک استراتژی گسترده برای افزایش امنیت تراکنشهای آنلاین با دولت آمریکا است که نقش تسهیل کننده را ایفا میکند.
اثبات اینکه چه کسی در اینترنت فعال است و چه کاری انجام میدهد، کار دشواری است. نام کاربری و رمز عبور بارها و بارها در ارائه محافظت کافی شکست خورده اند. بیش از هشت میلیون بزرگسال در سال ۲۰۱۰ فقط در آمریکا قربانی کلاهبرداری یا سرقت هویت شدند. خسارات ناشی از سرقت هویت تنها در سال ۲۰۱۰ حدود ۳۷ میلیارد دلار برآورد شده است.
علیرغم سالها (و سالها) تکرار توسط کارشناسان امنیتی برای استفاده از رمزهای عبور ایمنتر و تلاش برای آموزش کاربران در مورد امنیت رمز عبور قوی تر، بارها و بارها آشکار شده که رمزهای عبور هنوز یکی از ضعیفترین حلقههای زنجیره احراز هویت هستند. نقض رمز عبور Rockyou در سال ۲۰۰۹، و نقض Gawker یک سال بعد، هر دو نشان میدهند که چگونه رمزهای عبور ضعیف باقی ماندهاند.
مایکل بارت، مدیر ارشد امنیت اطلاعات PayPal، از ابتکار NSTIC حمایت کرد. او گفت که ما به طور مداوم از این موضوع دفاع کردهایم که هویت آنلاین قابل اعتماد جزء کلیدی یک اکوسیستم اینترنتی سالم است.
شرکت مایکروسافت از چشم انداز NSTIC برای اکوسیستم هویت ارتقا یافته حریم خصوصی شهروندی پشتیبانی میکند. ایجاد این اکوسیستم انتخابهای متنوعی را برای شهروندان به منظوراحراز هویت آنلاین و در عین حال کمک به حفظ امنیت و حریم خصوصی آنها فراهم میکند. تحقق این چشم انداز مایکروسافت را به یک اینترنت امنتر و قابل اعتمادتر نزدیک میکند.
طبق نظرسنجی اعضای BCS (انجمن رایانهای انگلیس)، رسانههای اجتماعی باید شناسه کاربران را تأیید کنند تا به سواستفاده آنلاین پایان دهند. اکثر اعضای BCS حدود (۶۴ درصد) که در این نظرسنجی شرکت کردند، از پلتفرمهایی مانند توئیتر و فیسبوک میخواهند که شناسه واقعی از افراد بخواهند، تا آنها را در قبال آنچه پست میکنند پاسخگو کنند. حدود یک چهارم (۲۶ درصد) گفتند که کاربران باید تأیید نشده باقی بمانند و ۱۰ درصد هم نظری نداشتند.
بیش از نیمی از کارشناسان فناوری (۵۶ درصد) از جمله رهبران ارشد و دانشگاهیان گفتند که پیوند حسابهای رسانههای اجتماعی با هویتهای واقعی از نظر فنی قابل دستیابی است. کمی بیش از یک چهارم (۲۶ درصد) گفتند که دست یافتنی نیست و ۱۷ درصد بی طرف بودند.
نیمی از آنها (۵۰ درصد) گفتند که خود رسانههای اجتماعی باید مسئولیت اصلی کاهش سواستفاده آنلاین را بر عهده داشته باشند. ۱۹ درصد معتقد بودند که یک تنظیم کننده مستقل باید این نقش را داشته باشد. ۱۷ درصد فکر میکردند که این مسئولیت بر عهده کاربران است. ۵ درصد اظهار داشتند که وظیفه دولت رهبری در کاهش ترولینگ است و ۴ درصد معتقد بودند که باید توسط پلیس هدایت شود.
دولت کره و شرکتهای فناوری اطلاعات و ارتباطات فعال در این کشور در توسعه استراتژی خود برای احراز هویت آنلاین و دسترسی به دادهها، مجبور شدهاند چندین انتخاب دشوار داشته باشند که ارزشهای متضاد آنها را منعکس میکند.
چالشهای احراز هویت آنلاین در کره به دو بخش تقسیم میشود: شناسایی آنلاین (اعتبارسنجی کاربر) و احراز هویت آنلاین (اعتبارسنجی فعالیت). چالشهای کنترل دسترسی به دادهها نیز به دو بخش تقسیم میشود: دادههای عمومی و دادههای خصوصی.
رویکرد کره به احراز هویت آنلاین و کنترل دسترسی به دادهها چندین ویژگی منحصر به فرد اقتصاد، زیرساخت و توسعه این کشور را منعکس میکند. برای اولین بار، کره سرمایه گذاری زیادی در زیرساختهای ICT به عنوان یک اولویت ملی، ایجاد شبکههای باند پهن و گسترش دسترسی آنها به تقریباً هر خانه انجام داده است. شبکههای پهن باند کره با میانگین بیش از ۲۰۰ مگابیت در ثانیه سرعت پهنای باند ثابت، بستری قدرتمند برای نوآوری ایجاد کرده اند.
گزارش از مائده زمان فشمی
انتهای پیام/
ممنون