پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
بررسی امنیت فناوریهای جدید تشخیص هویت کاربران
صالح سپهری فر، کلیک جامجم / کمتر روزی است که خبری در مورد هک شدن سرورهای یک سامانه مهم یا انواع و اقسام کلاهبرداریهای اینترنتی نشنویم. با وجود پیشرفتهای صورت گرفته درزمینهٔ افزایش امنیت مراکز داده یا فناوریهای تشخیص هویت کاربران، هکرها نیز بیکار ننشسته و آنها نیز روشهای خود را بهروز میکنند.
گذرواژه: ساده، پرطرفدار و پرخطر
بسیاری از ما هنوز هم با وارد کردن تعدادی کاراکتر وارد حسابهای آنلاین خود میشویم. گذرواژههای کاراکتری نسبت به شیوههای دیگر تشخیص هویت، سادهتر و پرطرفدار است و به همین دلیل، بسیاری از حملات هکری با هدف شناسایی گذرواژه کاربران مختلف صورت میگیرد. با وجود استفاده از راهحلهایی نظیر کپچا (CAPTCHA) برای جلوگیری از اقدام رباتهای هکری به منظور وارد کردن یکسری گذرواژههای حدسی، هکرها باز هم با روشهای مختلف به تلاش خود ادامه میدهند.
.
اثرانگشت
بیش از یک دهه از به کارگیری فناوری تشخیص اثرانگشت در لپتاپها میگذرد. این فناوری امکان بررسی الگوهای موجود روی انگشت کاربر و تعیین هویت دقیق او را فراهم میکند. همچنین مدت زیادی نیست که این فناوری وارد دنیای گوشیهای هوشمند نیز شده و این روزها بسیاری از شرکتهای مطرح در تولید گوشی، محصولات خود را با قابلیت تشخیص اثرانگشت عرضه میکنند. اثرانگشت جزو شیوههای بیومتریک برای تشخیص هویت است، یعنی به دلیل منحصربهفرد بودن آن در افراد مختلف، امکان خطا در آن پایین بوده و در نتیجه امکان هک کردن آن نیز تقریباً غیرممکن به نظر میرسد، اما شاید همه چیز به این سادگی نباشد.
.
اثرانگشت هم قابل هک است
سال گذشته محققان در دانشگاه میشیگان با استفاده از چاپگر جوهرافشان معمولی توانستند اثرانگشتهایی را که با کیفیت بالا اسکن شده بودند به مدلی سهبعدی تبدیل کنند. این مدل سهبعدی میتوانست جایگزین انگشت برای تشخیص هویت شود و بهاینترتیب امکان باز کردن رایانه یا گوشی کاربر موردنظر بهراحتی فراهم میشد، اما در اینجا، کارشناسان به اثرانگشت تعدادی کاربر دسترسی داشتند و خود این کاربران اثرانگشت خود را در اختیار آنها قرار داده بودند. پس نباید نگران دسترسی هکرها به اثرانگشتمان باشیم؟ متأسفانه باید نگران باشیم!
مدتی پیش اعلام شد گروهی از پژوهشگران ژاپنی، اثرانگشت تعدادی از افراد را با استفاده از عکسهایشان بازسازی کردند. این افراد در عکسهای خود که کیفیت بالایی داشتند، انگشت خود را به سمت دوربین گرفته بودند. با در نظر گرفتن تعداد بالای عکسهایی که کاربران اینترنت از خود در شبکههای اجتماعی به اشتراک میگذارند، میتوان ابعاد فاجعهای را که ممکن است در انتظار آنها باشد حدس زد.
پس شاید استفاده از اثرانگشت یا هر نوع داده بیومتریک دیگر هم نتواند امنیت چندانی را برای اطلاعات دیجیتال ما به همراه داشته باشد. در این میان، برخی پژوهشگران به این فکر افتادند که شاید بتوان از دادههای بیومتریک متغیر بهعنوان ابزاری برای تعیین هویت استفاده کرد.
.
شیوه چندعاملی
برای اینکه هکرها نتوانند با هویتی تقلبی خودشان را بهعنوان کاربر جا بزنند، روش مورداستفاده توسط کاربر برای تعیین هویت باید چند عاملی باشد. بهطورکلی، روشهای تعیین هویت دارای سه عامل زیر هستند:
- اطلاعات، یعنی آنچه فقط کاربر از آن اطلاع دارد (مثلاً گذرواژه)
- چیزی فیزیکی که کاربر مالک آن است (مثلاً کارت خودپرداز)
- چیزی که بخشی از وجود کاربر است (مثلاً اثرانگشت)
هر قدر تعداد عوامل مورداستفاده بالا در شیوه تشخیص هویت بیشتر باشد، احتمال هک شدن آن کمتر است. به همین دلیل است که برای نمونه برخی وبسایتها نظیر گوگل یا برخی بانکها، از شیوه تعیین هویت دو مرحلهای استفاده میکنند که مرحله اول دربردارنده وارد کردن گذرواژه (عامل اول) و مرحله دوم نیز وارد کردن کد چهاررقمی ارسال شده به گوشی کاربر (عامل دوم) است. در این میان، شاید بتوان از یک شیوه کاملاً استثنائی برای استفاده از عامل سوم استفاده کرد. این شیوه، استفاده از فکر بهعنوان ابزار تشخیص هویت است!
.
گذر فکر
فکرعبور (passthought) راهحلی است که میتواند آینده امنیت سایبری را متحول کند. فکر عبور همانطور که از نامش پیداست در برابر رمز عبور (password) قرار میگیرد. در این فناوری، کاربر به یک چیز از پیش تعیین شده فکر کرده و بهاینترتیب هویت او توسط دستگاه تشخیص داده میشود، اما این فناوری دقیقاً چگونه کار میکند و چرا نفوذ هکرها به آن دشوار است؟ در واقع از دو عامل شماره 1 و 3 بهصورت ترکیبی برای احزار هویت استفاده میشود.
مغز انسان همیشه یک سری امواج الکتریکی تولید میکند. با استفاده از حسگرهایی خاص میتوان این امواج را شناسایی و الگوی شکلی آنها را تعیین کرد. امواج مغزی هر یک از ما در حالتهای مختلف نظیر خوابوبیداری یا هنگام فکر کردن به چیزهای مختلف با هم متفاوت است. برای نمونه وقتی به یک سیب فکر میکنید، الگوی امواج مغزی شما متفاوت با وقتی است که یک پرتقال را در ذهنتان مجسم میکنید. جالب اینجاست که الگوی مغزی افراد مختلف هنگام تصور کردن یک چیز مشخص (نظیر سیب) نیز با هم تفاوت دارد.
برای استفاده از فکر عبور کافی است حسگر ویژه جمعآوری امواج مغزی را روی سر خود قرار داده و به چیزی که از پیش تعیین کردهایم فکر کنیم. نکته جالب اینجاست که حتی اگر هکرها از چیزی که به آن فکر میکنید هم اطلاع داشته باشند، باز هم قادر به نفوذ به سیستم موردنظرتان نیستند، زیرا همانطور که گفتیم، الگوی مغزی انسانها منحصربهفرد است.
.
استفاده از لب به جای گذرواژه
گروهی از محققان هنگکنگی بتازگی موفق به یافتن شیوهای جدید برای احراز هویت کاربران شدند. در این شیوه، کاربر با تکان دادن لب خود میتواند هویت خود را اعلام کند. این پژوهشگران بر این باورند که ترکیب این شیوه با یک روش دیگر نظیر تشخیص چهره میتواند الگویی کاملاً امن برای احزار هویت باشد. آنها نام این شیوه را «گذرواژه حرکت لب» (Lip Motion Password) گذاشتند.
لب جزو معیارهای بیومتریک به شمار میرود. در واقع شکل، ساختار فرورفتگی و برجستگیهای روی آن در هر فردی متفاوت است. همچنین حرکات لب هر یک از ما هنگام تلفظ یک کلمه یا عبارت مشخص، تفاوتهایی جزئی با هم دارد. درهمآمیزی این موارد با هم سبب میشود با بررسی دقیق شکل و الگوی حرکت لب بتوان از آن بهعنوان یک معیار منحصربهفرد برای تعیین هویت استفاده کرد.
یکی از مزایای این شیوه این است که میتوان گذرواژه تعیین شده را تغییر داد. اثرانگشت یا قرنیه انسان شکل ثابتی دارد و برای نمونه پس از اینکه هکرها به هر شکلی به آن دسترسی یافتند، امکان تغییر آن وجود ندارد؛ اما گذرواژه لبی را میتوان بهراحتی تغییر داد و کافی است کلمه یا عبارتی را که برای گفتن تعیین کردهایم، تغییر دهیم. همچنین ازآنجاکه برای استفاده از این شیوه به بهرهگیری از دوربین نیاز داریم، میتوان آن را بهراحتی با فناوری تشخیص چهره ترکیب کرد. بهاینترتیب احتمال دسترسی هکرها به آن تقریباً به صفر خواهد رسید.
.
بازار پر رشد فناوریهای احراز هویت
نگرانی کاربران از افشای اطلاعات خصوصی و مالی از یک سو و افزایش قدرت هکرها در دسترسی به اطلاعات محرمانه، سبب شده بازار فناوریهای احراز هویت کاربران بسیار داغ باشد. در این میان، فناوریهای تعیین هویت بیومتریک برای گوشیهای هوشمند را میتوان پیشتاز دانست.
بر اساس پیشبینی کارشناسان، حجم این بازار از 14.2 میلیارد دلار در سال 2016 به بیش از 665 میلیارد دلار در سال 2021 خواهد رسید. به همین دلیل میتوان پیشبینی کرد در چند سال آینده، فناوریهایی پیشرفتهتر برای افزایش هرچه بیشتر امنیت در تعیین هویت به بازار وارد شوند.