احراز و تایید هویت دیجیتال (Digital Identification & Authentication) امنیت (Security) یادداشت

۱۰ تصور اشتباه رایج در مورد هویت دیجیتال و شیوه احراز آن

حامد اکبری، پژوهشگر سیاست‌گذاری دولت الکترونیک / گسترش فناوری‌های اطلاعاتی و ارتباطی و مهاجرت پرشتاب کسب‌وکارها و خدمات‌دهندگان به فضای دیجیتال و همچنین نفوذ و گسترش تکنولوژی‌های اطلاعاتی و ارتباطی در قالب شبکه‌های اجتماعی در میان جامعه غیر از اینکه در بسیاری از مفاهیم و فرآیندها، تغییرات اساسی ایجاد کرده مفاهیم نوظهور و جدیدی را به وجود آورده است که پرداختن و تئوریزه کردن آن بر عهده کارشناسان و عمومی‌سازی آن از وظایف شبکه‌های اجتماعی به معنای کلاسیک نگاه علوم اجتماعی آن است.

 

هویت دیجیتال چیست؟

دو مفهوم هویت دیجیتال و احراز هویت دیجیتال از مفاهیم نوظهوری است که هنوز به بلوغ خود حتی در سطح جهانی هم نرسیده و هر روزه بر کشف ابعاد، خصوصیات کارکردهای آن افزوده و همچنین نسبت آن با ارائه‌دهندگان خدمات بر بستر فضای دیجیتال تغییر و باز طراحی می‌شود. در ادبیات موجود، هویت دیجیتال که گاهی با عناوین هویت الکترونیکی یا هویت هوشمند هم از آن یاد می‌شود عبارت است از آنچه هویت منحصر به فرد و یکتای هر فرد را برای حضور در فضای مجازی نمایندگی و از حقوق افراد در آن فضا دفاع کرده و کنش‌های مربوط به بستر فضای مجازی را موجه، مشروع و قانونی می‌کند لکن ارتباط بین هویت واقعی یا فیزیکی افراد با هویت دیجیتال از طریق احراز هویت انجام می‌شود.

 

درک ما از مفهوم احراز هویت دیجیتال اشتباه است

در ادبیات تخصصی فضای دیجیتال، احراز هویت دیجیتال یا تأیید هویت الکترونیکی، حصول اطمینان از هویت حقیقی فرد به صورت الکترونیکی بر بستر اینترنت است و بدون نیاز به مراجعه حضوری فرد به محل ارائه و اظهار مدارک و اطلاعات صورت می‌پذیرد. پس از اطمینان از هویت فرد چنانچه فرآیند احراز هویت با امضای الکترونیکی توأمان شود، می‌تواند گواه این مطلب باشد که فرد صحت اطلاعات دریافت شده را پذیرفته و اصالت آن اطلاعات مورد تأیید است.

احراز هویت دیجیتال انواع مختلف دارد که بر اساس موضوع مورد ارائه، می‌تواند متفاوت باشد. به عنوان مثال عده‌ای تأیید توسط نام کاربری و رمز عبور را به مثابه احراز هویت گرفته ولی عده‌ای دیگر اثر انگشت یا پروفایل عنبیه و تصویر صورت را برای تأیید کاربر درخواست می‌کنند.

اما در این میان بنا بر تعریف جدید و پربسامد هویت دیجیتال، مناقشات متفاوتی ظهور پیدا کرده که به عقیده نگارنده از درک ناصحیح و تصور اشتباه از مفهوم، کاربردها، کارکردها و توانایی‌های هویت دیجیتال و احراز آن حاصل شده است که ذیلاً به شرح کوتاهی از آنها می‌پردازیم.

۱. مشکل اول این است که آنچه تا به‌حال به عنوان احراز هویت در فضای الکترونیکی جا افتاده و اتفاقاً از نتایج فرهنگ ایجاد شده در بانکداری الکترونیک است، اساساً احراز هویت نیست، یعنی جدا کردن احراز هویت فیزیکی در روز بازگشایی حساب و اختصاص یوزر و پسورد برای افراد و استفاده از آن‌ها برای حضور و فعالیت در فضای بانکداری دیجیتال اساساً احراز هویت نیست و عملاً همه می‌دانیم که با داشتن یوزرنیم و پسورد فرد دیگر همان اقدامات را می‌توان در فضای بانکی انجام داد. علاوه بر آن در لحظه بازگشایی حساب نیز فرآیندهای افتتاح حساب آن چنان دارای اشکالات فرآیندی است که باز کردن حساب جعلی با هویت جعلی بسیار ساده خواهد بود؛ که در مقاله‌ای که تحت عنوان «در بانکداری الکترونیک چه می‌گذرد» منتشر شده در روزنامه شرق مفصلاً به شرح آن پرداخته‌ام.

۲. اینکه یک‌بار درجایی اطلاعات مورد نیاز به هر طریق اعم از فیزیکی یا الکترونیکی دریافت شده است، از نظر متدلوژیک نه ارتباطی با تولید هویت یکتای دیجیتال (Unique Identifications) UID دارد و نه استفاده از یوزرنیم و پسورد اختصاص داده شده با دلایلی که در بند قبلی بر شمرده شد ربطی به احراز هویت دیجیتال دارد؛ و با یک تحلیل ساده می‌توان فهمید که ساختن یک هویت دیجیتال جعلی با تعاریف فعلی هم بسیار ساده خواهد بود و امکان تقلب در آن ساده‌تر از چیزی است که حتی تصور شود.

۳. احراز هویت فیزیکی و دیجیتال یک فرآیند مرتبط با زمان انجام خدمات است و در زمان دریافت یا ارائه خدمات موضوعیت پیدا می‌کند و داشتن یا اختصاص یوزرنیم و پسورد و حتی ارسال پیامک تأیید و حتی رمزهای یک‌بارمصرف فقط پروسه ایجاد هویت دیجیتال را پیچیده‌تر می‌کند و عملاً توانایی جلوگیری از تقلب را نداشته و البته در مواردی که افراد قصد تقلب ندارند صرفاً ارائه خدمات الکترونیکی پیچیده‌تر خواهد شد که با وظایف و تعاریف اولیه ارائه خدمات الکترونیکی اعم از دولتی، یا خصوصی مغایرت بنیادین دارد.

۴. خود احراز هویت فیزیکی اولیه که هم اکنون در بانک‌ها و بخش اعظمی از کسب‌وکارهای الکترونیک انجام می‌شود و بر پایه آن خدمات آتی مبتنی بر یوزرنیم و پسورد ارائه خواهد شد محل اشکال جدی و ظرفیت بسیار آماده‌ای برای تقلب و جعل دارد. این امکان از خطای انسانی و سهل‌انگاری احراز هویت کننده تا تبانی و ارتشاء بین متقلب و مسئول احراز هویت شروع شده تا استفاده از جعل فیزیکی کارت ملی و کپی‌های آن حتی گریم کردن افراد متقلب را در بر می‌گیرد.

۵. مورد دیگر این است که احراز هویت در هر مرحله‌ای چه فیزیکی و چه دیجیتال مبتنی بر کارت ملی دارای اشکال جدی است. در موضوع احراز هویت فیزیکی این فرایند با مقایسه فرد مراجعه‌کننده با کارت ملی که در بانک‌ها مرسوم است و در بند قبلی مشکلاتش شرح شد انجام می‌شود که اساساً خود این فرآیند مفسده آفرین است.

فرایند احراز هویت دیجیتال مرسوم در کسب‌وکارهای مبتنی بر فضای مجازی که در واقع با استفاده از وب‌سرویس ثبت احوال و در بعضی مواقع سامانه شاهکار انجام می‌شود هم اساساً احراز هویت نیست؛ زیرا داشتن میلیون‌ها کد ملی اساساً موضوع پیچیده‌ای نیست و صرف ارسال آن به سامانه ثبت احوال و دریافت هفت قلم اطلاعاتی اعم از نام و نام خانوادگی و نام پدر و محل و تاریخ تولد و شماره شناسنامه و بعضی مواقع تصویر با پرداخت اندکی قابل دریافت است که فعلاً ثبت احوال صرفاً به مراکز دولتی این سرویس را ارائه می‌دهد که دلیل عدم ارائه این سرویس به بخش خصوصی هم همین اشکال متدلوژیک است که شرح شد. چون اساساً این روش هیچ سطحی از احراز هویت نیست و صرفاً مقایسه اطلاعات اعلامی با اطلاعات ثبت احوال است که داشتن اطلاعات فردی افراد دیگر چندان چیز پیچیده‌ای نیست.

در موضوع سامانه شاهکار هم که کارکرد آن مقایسه کد ملی فرد و تطبیق آن با صاحب سیم‌کارت تلفن همراهی که فرد در خدمات الکترونیکی از آن استفاده می‌کند هم فقط یک مقایسه ساده است که برای کسانی که اهل تقلب نیستند فقط مسیر را سخت‌تر می‌کند و نمی‌توانند از خدمات به بهترین وجه استفاده کنند و برای کسانی که دنبال تقلب هستند به هیچ عنوان جلوگیری از تقلب را انجام نمی‌دهد و از همه مهم‌تر اینکه سامانه شاهکار صرفاً برای خدمات مبتنی بر اپلیکیشن‌های تلفن همراه شاید مقدار کمی از احراز هویت و امنیت مبادله را تضمین کند و سطح عظیمی از خدمات مبتنی بر فضای مجازی که برای سایت‌ها انجام می‌شود عملاً از سرویس شاهکار بی‌بهره و در بهترین حالت یک مرحله به مراحل استفاده از خدمات اضافه کرده و هزینه‌های عملیاتی را برای ارائه‌دهندگان خدمات و برای کاربران یک مرحله را اضافه می‌کند.

۶. آنچه در دنیا به عنوان (Single sign on (S.S.O برای استفاده از خدمات الکترونیک انجام می‌شود مبتنی بر هویت یکتای دیجیتال Unique Identifications است که با مدل فعلی عملی نیست؛ به عبارت دیگر خدمات الکترونیکی و دولت الکترونیک عملاً با هویت یکتای دیجیتال یا UID آشنا نبوده و به رسمیت نشناخته‌اند که کاربران و مردم بتوانند با یک‌بار احراز هویت دقیق در آن از وارد کردن مجدد اطلاعات و ارائه و یا آپلود هاردکپی‌ها خلاص شده و صرفاً با آن هویت دیجیتال و یک سطح از احراز liveness و همچنین image processing از آن استفاده کنند که البته امیدواریم در آینده نزدیک و به زودی همه بانک‌ها و کسب‌وکارها و دولت الکترونیک و هر مجموعه و فردی که بر بستر فضای مجازی هر فعالیتی انجام می‌دهد با استفاده از (Unique Identifications) UID از هویت دیجیتال واقعی و امن و همچنین شیوه احراز آن بهره‌مند شوند و هزینه‌های عملیاتی نیز به شدت کاهش پیدا کند.

۷. پروتکل‌های همگن و با رویه مشترک احراز هویت و هویت دیجیتال هم اکنون وجود ندارد. در واقع هر سیستمی برای خود تعریفی ناقص از احراز هویت به دست داده و از کاربران خود توقع دارد از آن استفاده کنند و عملاً مردم با صدها روش احراز هویت متفاوت در فضای مجازی مواجه‌اند و در واقع اطلاعاتشان را به دلایل ناموجه به انواع سایت‌ها و اپلیکیشن‌ها می‌دهند که غیر از تناقض با بحث امنیت اطلاعات، عملاً باز هم دردی از احراز هویت دیجیتال دوا نمی‌کند که در بالا شرح شد.

۸. اساساً هویت دیجیتال یک مفهوم واحد و تعریف شده و غیرقابل تغییر و تکمیل نیست. در واقع هویت دیجیتال یا UID در فرایندها راستی آزمایی، اعتبارسنجی و به‌روزرسانی می‌شود. در شیوه‌های بالغ شده و معتبر جهانی هم از نظر متدلوژیک و اجرایی در فرایندهای مختلف بارها چک شده و اصطلاحاً Score و امتیاز گرفته و تأیید (Verify) می‌شود؛ به عبارت دیگر رفتار دارندهٔ یک هویت دیجیتال در فرایندهای مختلف و گاه متعارض و در زمان‌های مختلف در تعیین اصالت و اعتبار یک هویت دیجیتال مؤثر است. فلذا اینکه سیاست‌گذاران و تصمیم‌گیران منتظر و داعیه ایجاد یک پلتفرم احراز هویت ملی و دفعی دارند بسیار غیر واقعی می‌نماید. هویت‌های دیجیتال در فرآیندهای متفاوت تصحیح و پالایش شده و شکل می‌گیرند.

۹. احراز هویت سطوح مختلفی دارد. به عنوان مثال یک خانم یا آقا با یک لباس معمولی از در دانشگاه تهران به راحتی می‌تواند وارد دانشگاه شود ولی با همان لباس نمی‌تواند از گیت فرودگاه رد شود و یا یک فرد می‌تواند برای استفاده از بلیط مترو یا اتوبوس به راحتی با یک کارت بانکی خرید کند ولی برای خرید یک بلیط هواپیما می‌بایست سطح کامل‌تری از احراز هویت را طی کند.

نگارنده معتقد است که درک سیاست‌گذاران از سطوح مختلف احراز هویت در ساماندهی و قانون‌گذاری برای احراز هویت دیجیتال بسیار مؤثر بوده و در بسیاری از کسب‌وکارهای اینترنتی و خدمات دولت الکترونیک می‌توان سطوح بسیار ساده‌تری از احراز هویت را مطالبه کرد و فقط در مسائل بسیار مهم و حیاتی که معمولاً تعدادشان هم بسیار کم است حد اعلای احراز هویت را در دستور کار قرار داد و با یک سیاست‌گذاری صحیح، بند از پای دولت الکترونیک و استارت‌آپ‌ها باز کرد.

۱۰. مورد آخر پیرامون موضوع احراز هویت دیجیتال و اهمیت امنیت اطلاعات شخصی است. نگارنده بر این باور است که بر اساس استدلال‌های فوق و فرآیندی بودن و دارای سطوح متفاوت بودن احراز هویت، انتشار و در دسترس بودن اطلاعات حداقلی افراد با امنیت اطلاعات نه تنها متعارض نبوده بلکه انتشار و دسترس‌پذیر بودن اطلاعات در فضای دیجیتال و آینده این جهان، ارزش ابقایی دارد و فرصت مقایسه اطلاعات و پالایش اطلاعات و عملاً فرصت ارائه خدمات احراز هویت را برای ارائه‌دهندگان خدمات ایجاد می‌کند.

روش استفاده از این ارزش ابقایی، با استفاده از (Unique Identifications) UID در دسترس خواهد بود؛ یعنی اگر کسی با یوآیدی فرآیندهای متفاوت و گاه متعارض خدمات عمومی و فضای مجازی را بتواند بدون اشکال انجام دهد، درواقع می‌توان نتیجه گرفت کیفیت اطلاعات هویت دیجیتالش بالا و به عبارت بهتر بسیار معتبر است و هم می‌توان آن هویت دیجیتال را به رسمیت شناخت.

درباره نویسنده

اتاق خبر راه پرداخت

اتاق خبر راه پرداخت همه مطالب و خبر‌های مهم فین‌تک ایران را رصد و منتشر می‌کند.

دیدگاهتان را بنویسید

/* ]]> */