ما وراء كلمات السر.. التوثيق الأقوى الشهادات الرقمية والبطاقات الذكية بدائل أقوى من مجرد كلمة سر
|
* إعداد : محمد شاهين
تعتمد الكثير من الشركات الصغيرة اليوم على كلمات السر لضمان أمن البيانات المتعلقة بالشركة والعملاء. وعلى الرغم من أن كلمات السر تقدِّم حداً معيناً من الحماية إلا أن هناك خيارات أكثر فعالية يمكنها تحسين أمْن بيانات شركتك بشكل كبير.
وتفرض العديد من الشركات شروط وقواعد التجديد والتعقيد الخاصة بكلمة السر، وذلك لاعتقادها أن كلمات السر المكونة من سبعة أحرف رقمية تستغرق وقتاً أطول بكثير لمعرفتها مقارنة بكلمات السر الأسهل والأقصر. وعلى الرغم من أن هذا صحيح إلى حد ما، لكن الوقت الفعلي لتخمين كلمات السر من خلال استخدام أدوات فك كلمات السر؛ مثل L0phtCrack وJohn The Ripper يمكن أن يكون أقلَّ بكثير من مما تتخيَّل.
ولكن ثمة سؤال يطرح نفسه: هل يجب على الموظفين التعامل مع نظام كلمات السر المتعِب والعشرات من كلمات السر التي يتم تحديدها بشكل مستقل بالقواعد المتعارضة بخصوص التعقيد والتجديد والاستعمال؟
***
إن أغلب المستخدمين يختارون كلمات السر السهلة للتذكير؛ مثل أعياد الميلاد أو أسماء الزوج أو الزوجة أول الطفل أو فرق الألعاب الرياضية أو الحيوان الأليف.
ولإرضاء قواعد التعقيد يعرِّف العديد من المستخدمين كلمات السر من خلال تقليد معين؛ مثل تذييل رقم واحد إلى نفس الخيط الأساسي. هذه التقاليد المعروفة تستطيع جعل كلمات السر سهلة نسبياً للتخمين، وخلال زمن بسيط أيضاً، دون الحاجة إلى استخدام أدوات اكتشاف كلمات السر والشفرات.
وبالنسبة لأكثر الناس، فإن تذكُّر كلمة السر المعقَّدة التي تكون أطول من سبعة أحرف تعني كتابتها في مكان ما؛ مثل أوراق المذكرات الصغيرة، وتعليقها إلى جانب جهاز الحاسب وما إلى ذلك؛ مما يجعلها عُرضة للاكتشاف من قِبل الغير بسهولة. ويحفظ بعض الناس كلمات السر في حافظات أو ملفات البريد الإلكتروني، لكن قائمة كلمة السر غير المحمية تكون معرضة للحوادث الأمنية. وتعتبر (خزائن) كلمة السر المشفَّرة أفضل بكثير، ولكن حتى تلك البرامج تعتمد في أغلب الأحيان على كلمة سر واحدة لفتح البقية.
وبغض النظر عن طولها، فإن كلمات السر يتم تخمينها بسهولة من خلال ما يُطلق عليه الهندسة الاجتماعية. ففي الماضي، يظهر المهاجمون بمظهر موظَّفي دعم التكنولوجيا ويقومون بمساعدة الناس على حل مشكلة زائفة، وخلال هذه العملية يطلبون معرفة كلمات السر الخاصة بهم. أما اليوم، فيغرق المهاجمون صناديق البريد برسائل البريد الإلكتروني للدعايات التي تبحث عن كلمات السر، وذلك بإغراء الناس بالدخول إلى المواقع المزيَّفة على الإنترنت؛ حيث يكونون ملزمين بال(تأكيد) على المعلومات الخاصة ببريدهم الإلكتروني.
لهذه الأسباب والعديد من الأسباب الأخرى تقدِّم عمليات توثيق كلمة السر أساساً ضعيفاً للتوثيق والتحكم في الدخول، فوضع كلمة سر ضعيفة أمام خادم آمنٍ عادة، برنامج حماية أو خدمة VPN، هو مثل وضع باب حاجز أمام سرداب مصرف. ويستطيع مزوِّدو خدمة الإنترنت تقليل مخاطرهم وتوثيق ثقة عملائهم باستخدام طرق التوثيق الأقوى.
استكشاف البدائل
تتوفَّر طرق التوثيق الآمنة بسهولة منذ عدَّة سنوات، ويشمل ذلك الرموز والبطاقات الذكية والشهادات الرقمية، وحتى علم الإحصاء الحيوي.
وبينما تتفاوت هذه الطرق في التعقيد والكُلْفة والقوَّة، إلا أن لها هدفاً مشتركاً، وهو السماح للفرد بأن يثبت أنه هو الشخص الذي يزعم أنه هو من خلال عامل واحد أو أكثر.
وقد تشمل عوامل التوثيق ما يلي:
شيئاً تعرفه، مثل كلمة سر أو رقم هوية شخصية (PIN).
الشيء الذي يمثِّل مَن أنت، مثل إصبع، وجه، قزحيَّة، أو مسح صوت.
شيئاً في حيازتك، مثل رموز الأجهزة أو البطاقة الذكية.
إن عوامل الاعتماد التي تعرفها؛ مثل كلمات السر وPINS، كثيرة الاستعمال؛ لأنها رخيصة وسهلة الاستخدام. فكلمات السر مجَّانية، وأنت تستطيع الحصول عليها دون المساعدة، وكلُّ نظام تشغيل وعميل أو سيرفر يتضمن نظاماً لتوثيق كلمة السر. وفي الحقيقة، فإن المصروفات التشغيلية المهمة الوحيدة هي إعادة أو استرداد كلمة السر.
طبقاً لمجموعة بيرتن ودراسات غارتنير، فإن إعادة ضبط كلمة السر تمثِّل 30 في المائة من كلِّ مكالمات مكتب المساعدة، وتُقدِّر مجموعة ميتا أن كلَّ اتصال بمكتب المساعدة يكلِّف 25 دولاراً.
وبشكل واضح، فإن (التكلفة المخفيَّة) لتوثيق كلمة السر يمكن أن تكون كبيرة حقاً؛ فقد تصرف أكثر مما تدرك لحلٍّ قد يكون ضعيفاً نسبياً.
ورغم ذلك، فإن عوامل الاعتماد الأقوى لا تكلف أكثر فقط، بل هي أكثر صعوبة في التطبيق من كلمات السر القديمة تماماً. وبناءً على أنواع الاعتماد التي تختارها فأنت تدفع مقابل ما يلي:
تكاليف مادية: لرموز يو إس بي ونواسخ ضوئية حيوية.
تكاليف التوزيع: العملية المطلوبة لتشغيل عوامل الاعتماد وربطها بالهويَّات الفردية.
تكاليف البنية التحتية: لشراء وتركيب وصيانة سيرفر التوثيق الجديد وقواعد البيانات.
استبدال رموز أجهزة مفقودة أو مكسورة: ليس في أغلب الأحيان؛ كإعادة كلمة السر، لكن مقابل تكلفة أعلى لكل حالة.
لماذا تتعامل مع هذه المشكلة والنفقات الإضافية؟
الإجابة هي لأنك تحصل على ما تدفع ثمنه. هذه البدائل الخاصة بالتوثيق الأقوى عملياً محصَّنة ضدَّ كسر كلمة السر، وضد ما يسمى الهندسة الاجتماعية. وبينما يستطيع المستخدمون الاشتراك في كلمات السر بسهولة فإن رموز وعلم الإحصاء الحيوي يظل صعباً جداً للانتهاك في ذلك الأسلوب. وعلى خلاف كلمات السر، أنت لستَ بحاجة إلى أن تجدِّد عوامل الاعتماد هذه على فترات منتظمة لتجنُّب المساومة.
وعلى الرغم من أنك قد تحتاج إلى تعليم موظفين في بادئ الأمر، من المحتمل أن يجدوا أن عوامل الاعتماد الأقوى أسهل للاستعمال (ويتذكَّرونها ويخزِّنونها) لمدة طويلة مقارنة بكلمات السر المعقَّدة والمتغيِّرة بشكل كثير.
إذا كنتَ تبحث عن الأمن الإضافي، فإن من الأمان أيضاً الجمع بين عاملين اثنين أو أكثر. على سبيل المثال، يكون الموظفون مطالبين في أغلب الأحيان بإدخال PIN بسيط عند التوثيق من خلال الرمز، وإذا حصل مسجِّل ضربات المفاتيح على PIN المستخدم لن يعمل هذا ال PIN بدون الرمز المطابق. وفي المقابل، إذا تركت رمزاً في غرفة فندقية، هو ليس أكثر من قطعة ملوَّنة من البلاستيك دون ال PIN الخاص بك، فحلول التوثيق من خلال عاملين مثل هذا بشكل دوري يُستخدم من قِبل العديد من المنظمات المهتمَّة بالأمن.
وإذا اخترت التوثيق من خلال عاملين سوف تكون خدماتك وأنظمتك محمية بشكل أفضل ضدَّ الوصول غير المخوَّل والسرقة أو الهجوم، لكن المدَّخرات المالية يتم ربطها بتوثيق محسَّن صعب جداً للتحديد في النهاية.
كيف تقيس التكلفة المحتملة
لشيء لم يحدث؟
ادرس هذا المثال: طبقاً لتقرير عام 2004م سي إس آي لجرائم الكمبيوتر الصادر عن مكتب التحقيقات الفيدرالي والأمن هناك أربعة من بين 10 منظمات واجهت عمليات الحصول على معلومات غير مصرَّح بها السنة الماضية يؤدِّي إلى خسارة متوسطة 42.000 دولار لكلِّ مشارك في هذه الدراسة. يحتاج مالكو إس إم بي لتقييم وضعهم لكي يحددوا بالضبط نوع وكم أمْن التوثيق الذي يحتاجون إليه. ادرس المجال الذي تعمل فيه، ونوع البيانات التي تتعامل معها. هل تحتاج إلى مطابقة مواصفات الالتزام الرسمية أو الاتحادية؛ مثل إتش آي بي أي أي، أو ساربانيس أوكسلي، أو تعليمات إس إي سي؟ هل زبائنك يعتمدون عليك لإبقاء معلوماتهم الشخصية أمراً خاصاً؟ هل بالإمكان أن تتحمَّل التأثير المالي للاختراق أمنياً؟
يجب أن تدرس هذه العوامل عندما تنظر إلى خياراتك، قد تجد أن تعزيز التوثيق الأمني لديك يتركك وزبائنك تنامون بشكل أفضل في الليل.
ما وراء كلمات السر.. تطبيق الرؤية
هناك الكثير من الاختيارات أمام المنظمات التي تريد تطبيق توثيق أقوى، لديهم كمٌّ كبير من البدائل والمنتجات للاختيار منها. وللبدء، فلنحلِّل البدائل في فئات، وتحديد بضعة منتجات في كلِّ فئة.
1 الشهادات الرقمية:
الشهادات الرقمية تستند إلى المفاتيح العامَّة، وهو نظام مشفَّر؛ حيث أزواج المفاتيح مولَّدة بخاصيَّة رياضية فريدة: أيُّ شيء شُفِّر بمفتاح واحد يمكن فقط أن يُفكَّ تشفيره بالمفتاح الآخر، وفي كلِّ زوج مفتاح واحد يمكنه أن يُحمى، وهو المعروف فقط للمستعمل الشرعي. وهذا هو المفتاح الخاص. إنَّ المفتاح الآخر مُعطى بحرية إلى كلِّ شخص يريد التأكيد على هوية الحامل الرئيس الخاص، وهذا هو المفتاح العام. وإذا قمتَ بتشفير قيمة معروفة بمفتاحك الخاص فأي شخص آخر يستطيع فك شفرة تلك القيمة من خلال مفتاحك العام والمقارنة بين القيمتين، وإذا تطابقتا فأنت تعتبر المستخدم الشرعي؛ لأنك بيَّنت أنَّك تحمل المفتاح الخاص.
وللتوثيق يجب أن ترتبط هويتك بطريقةٍ ما بزوج المفاتيح الخاص بك، وهذا هو هدف الشهادات الرقمية؛ فهي شهادة تربط مفتاحاً عاماً بكيان مسمًّى وبعض المعلومات حول ذلك الكيان (مثل الشركة والولاية والدولة)، وذلك على الرغم من أن هذا الربط يمكن أن يتم تزويده إلى كلِّ مراسل خارج المجموعة، أو ترك الغرباء يقومون بتوثيق بعضهم البعض. لحلِّ هذا، يتم إصدار الشهادات من قِبل سلطات الشهادات (سي أي إس)؛ الأطراف الثالثة المؤتمنة التي تصدر و(توقِّع) الشهادات باستخدام مفاتيحهم الخاصَّة. بهذه الطريقة، يستطيع كلُّ شخص معرفة المفاتيح العامة لبضعة أطراف ثالثة مؤتمنة من سي أي إس، وقبول أيِّ شهادات صَدرت عن تلك الأطراف. وتشكِّل الشهادات الرقمية القاعدة لتوثيق خادم إس إس الكثير الاستعمال بمواقع التجارة الإلكترونية. ويتضمَّن كلُّ متصفِّح ويب قائمة الأطراف الثالثة المؤتمنة الرئيسة المعروفين. على سبيل المثال، تتضمَّن قائمة إنترنت إكسبلورير المؤتمنة شهادة ثاوت (أدناه).
وقد تشتري المؤسسات الشهادات من المشغِّلين الرئيسين المذكورين، أو يستطيعون تركيب سي أي إس خاص لتوليد وتوزيع وإبطال شهاداتهم الرقمية. وهم مجهَّزون بجهاز الأمن المدار (إم إس إس بي إس) الذي يزوِّد خدمات بي كي آي مُدارة باستعمال الأطراف الثالثة المؤتمنة المصدرة للشهادات للاستعمال من قِبل زبائنهم.
على سبيل المثال، إم إس إس بي قد تصدر شهادة طرف ثالث مؤتمن (وسيطة) إلى يوركورب، وتوقيع كلِّ شهادات مستعمل يوركورب بالمفتاح الخاص للطرف المؤتمن، وبعد ذلك تقوم يوركورب بتركيب تلك الشهادة المؤتمنة سي أي في كلِّ نظام. وعندما يريد عميل ليوركورب أن يقوم بالتوثيق يقوم بتقديم شهادته التي تم توقيعها من قِبل سي أي يوركورب وقيمة (صورة صغيرة) مشفَّرة بمفتاحها الخاص. ويستعمل المستلم المفتاح العام ليدقِّق صحة الشهادة، ثم يحصل على اسم الموضوع والمفتاح العام من الشهادة لتوثيق المستعمل. وتحدث هذه العملية بشكل شفَّاف في الخلفية، بينما تقوم بأعمال بريدك الإلكتروني أو عملك على الإنترنت.
من هذا الوصف الموجز، فإن البناء التحتي الرئيس العام يعتبر موضوعاً معقَّداً، فالشركات الأكبر حجماً يكون لديها خبرة أمنية في أغلب الأحيان وتوظِّف تكنولوجيا المعلومات لنشر بي كي آي، في حالة اختيارهم للقيام بذلك. لكن الكثير من الشركات لا تقوم بذلك، وهنا يمكن ل إم إس إس بي إس التدخُّل للمساعدة على سدِّ الفراغ. ولكي يتم تشغيل نظام الشهادات المعتمدة يبدأ ببرنامج عمل بي كي آي المتوفر من العديد من المصادر، ويتضمن ذلك:
كمبيوتر أسويشيتس.
سيبيرتروست/ بيتروستيد.
ديجي سين.
يأتمن.
كيبيرباس.
مايكروسوفت.
مشروع أوبينكا.
نيتسكاب/ ريدهات.
فيريسيجن.
ولتعَلُّم المزيد حول الشهادات الرقمية وتشغيل بي كي آي راجع المواقع على الإنترنت لهؤلاء الباعة ومواقع الغير مثل صفحة بي كي آي هذه. واليوم، الشهادات الرقمية كثيرة الاستعمال لتوثيق السيرفر. على سبيل المثال، يُحدَّد موقع لتحديد موقع توثيق بوَّابة في بي إن، كما يمكنهم تزويد توثيق المستعمل القوي أيضاً. على سبيل المثال، في شبكات الاتصالات المحلية اللاسلكية يستعمل 802.1 إكس مع إي أي بي تي إل إس.
وعلى أية حال، فإن العديد من الشركات ابتعدت بسبب تعقيد وكلفة بي كي آي. وحتى اليوم، اتبعت أكثر الشركات خيارات أخرى للحصول على توثيق أقوى من توثيق مستعمل كلمة السر.
كلمات السر التي تُستخدم
لمرة واحدة
دعنا ننتقل إلى الطرف الآخر من التعقيد (والأمن) لدراسة كلمات السر التي تُستخدم لمرة واحدة. يعتمد كاسرو كلمة السر على الأشخاص الذين يستعملون نفس كلمة السر مرة أخرى. ولذلك، فإن كسر كلمة السر التي تُستعمل لمرة واحدة ذات قيمة عملية قليلة. وتخلق كلمات السر التي تُستخدم لمرة واحدة نظاماً للتوثيق؛ حيث يمكن لكلِّ كلمة سر أن تقدَّم للتوثيق فقط مرة واحدة، وبعد استخدامها لمرة واحدة لا يمكن استعمالها أبداً مرة أخرى (أو على الأقل ليس على المدى القصير).
وتعتمد أنظمة توثيق كلمات السر التي تُستخدم لمرة واحدة على علاقة وتزامن بين خادم التوثيق والمستعمل. ومن أنظمة كلمات السر التي تُستخدم لمرة واحدة نظام S/KEY الذي طُوِّر من قِبل بيلكور في التسعينيات كقاعدة لآر إف سي 2289 اللجنة الخاصة لنظام الإنترنت الخاصة بمعيار كلمات السر التي تُستخدم لمرة واحدة.
ويقوم المستعمل بتزويد عدد من كلمات السر لإصدارها، ويقوم مولِّد كلمة السر بإصدار قائمة منظَّمة من كلمات السر. وعندما يحاول المستعمل التوثيق تُرسل كلمة السر التي تُستخدم لمرة واحدة إلى الخادم. وفي حالة التوثيق يُعدِّل الخادم عدَّاد كلمات سر المستعمل لكي يقوم في المرة القادمة باستخدام كلمة السر التالية على القائمة، وهكذا.
وتتوفر برامج S/KEY بحرية لكل نظام تشغيل تقريباً، ويتضمن ذلك:
دوس/ وين 32
فري بي إس دي.
جافا.
لاينكس.
ماكاوس.
بالماوس.
كما أن البرنامج التالي لS/KEY، وهو OPIE، متوفر أيضاً من العديد من المصادر. وتتوفر العديد من الوصلات في هذه القائمة على موقع NASA على الإنترنت. وتشمل بعض منتجات التداول عن بُعد توثيق S/KEY كخيار. على سبيل المثال، مولِّد أو تي بي الشركات غوتوميبك سيتريكس على الإنترنت يوضِّح ذلك.
ومثل كلمات السر (المنتظمة) يعتمد أمْن كلمات السر التي تُستخدم لمرة واحدة على قوَّة (طول وعشوائية) السرِّ الأصلي (ويطلق عليه عبارة المرور أيضاً). وتنصح آر إف سي 2289 بالبدء بعبارات المرور التي لا تقل عن 10 حروف، وبحدٍّ يصل إلى 63 حرفاً. وعلى الرغم من أن كلمات السر التي تُستخدم لمرة واحدة ليست معرَّضة للهجوم السلبي، لكنها يمكن أن تكون عرضة لهجوم السباق؛ حيث يقوم شخص بالاستماع إلى سلسلة كلمات السر التي تُستخدم لمرة واحدة ويقوم بتخمين الكلمات التالية لكي يسبق المستخدم لاستكمال التوثيق التالي. ويجب أن تُتاح الفرصة للمهاجم لمشاهدة نفس المستخدم وهو يدخل عدة مرات متتالية لكي يقوم بهذا الهجوم، ويجب على النظام الاعتماد على كلمات السر التي تُستخدم لمرة واحدة كعامل وحيد للتوثيق. ويمكن أن يكون نظاما S/KEY وopie طريقةً غير مكلِّفة لتحسين أمْن التوثيق الذي يعتمد على كلمات السر. ويمكن أن تكون برامج العميل والخادم مجانية، وليس هناك معدَّات يقوم العميل بشرائها. ومع ذلك، فإن من أحد أسباب عدم استخدام الشركات لنظامي S/KEY وOPIE هو أنهما غير عمليين بالنسبة للمستخدم النهائي.
رموز الأجهزة
تعتبر رموز الأجهزة الأكثر شعبية لعاملي التوثيق قيد الاستعمال اليوم. وتأخذ الرموز التقليدية مفهوم جيل كلمة السر التي تُستخدم لمرة واحدة إلى مستوى جديد بالكامل بدمج ذلك مع عامل التوثيق الثاني. وتميل رموز الأجهزة الأحدث إلى الجمع بين أنواع مختلفة من عوامل الاعتماد، وتجاهل كلمات السر بشكل كامل. وعلى الرغم من توفُّر التوثيق من خلال الرموز أيضاً كبرمجيَّات للعملاء، لكن أكثرها يُباع كقطعة صغيرة من الأجهزة؛ مثل حلقة سلسلة المفاتيح وبطاقة PIN بحجم بطاقة الائتمان أو وسيلة UBS على سبيل المثال، هذا الرقم يصوِّر الرموز المستخدمة في شركة RSA SECURITY ويظهر الرمزان رقم وهذا عملياً كلمة سر تُستخدم لمرة واحدة.
وعلى أية حال، بدلاً من أن يتم إصدارها بخوارزمية مثل S/KEY يتم إصدار رقم عشوائي زائف جديد كلَّ 60 ثانية بفاعلية، ولذلك لا يمكن تخمين الرقم القادم إلا باستخدام خادم التوثيق الذي يشغِّل الرمز. بعد التهيئة، حينما يحاول المستعمل التوثيق يتم تشغيل (passcode) في المقابل، يقوم المستخدم بطباعة الرقم الموجود على الرمز، ويلي ذلك رقم هويته الشخصية (بي آي إن). وهذا التفاعل مشابه لتوثيق كلمة السر (الطبيعي)؛ لذا يلائم العديد من الاتفاقيات والتطبيقات بشكل جيد. وعندما يصل المستخدم إلى نهاية فترة 60 ثانية يدفع لpasscode آخر، وبالطبع لا يستطيع التوثيق إذا قام بترك رمزه بشكل عارض في البيت. استبدال رمز مفقود ليس فورياً كإعادة كلمة سر منسيَّة. على أية حال، تعتبر العديد من المنظمات ذلك على أنه مصدر إزعاج بسيط في ضوء التوثيق القوي الذي تقدِّمه هذه الرموز الثنائية.
ومؤخراً، كان هناك نمو كبير في رموز أجهزة يو إس بي (USB) ويمكن لبعض رموز يو إس بي العمل بأسلوب مشابه لذلك الذي تم وصفه أعلاه، وتدعم أشكال التوثيق القوية الأخرى (غير التفاعلية). على سبيل المثال، يخزن USB KEY الخاص ب ActivCard المفاتيح الشخصية للمستخدمين وكلمات السر والبيانات الخاصة بهم للولوج إلى شبكة الإنترنت؛ حيث تقوم بإدخال المفتاح في بوابة USB في الكمبيوتر الخاص بك وتدخل رقم التعريف الخاص بك PIN، وبعد ذلك يمكن توثيقك باستخدام أي من عوامل التوثيق المخزنة على المفتاح. وتعمل مفاتيح USB مع برمجيات العميل التي يتم تركيبها على جهاز كمبيوتر المستخدم، وهو في هذا المثال ACTIVCARD GOLD.
ويبيع العديد من المورِّدين رموز التوثيق، ويبيع معظمهم سلسلة من الأجهزة، بما في ذلك السلاسل والمفاتيح ومجموعات يو إس بي، بينما يبيع البعض برمجيَّات مولِّد passcode أيضاً لإدارة الأجهزة الصغيرة؛ مثل PDA أو سمارت فون على شكل رموز.
هذا، وتنطوي عملية تخصيص الرموز، واستبدال الرموز المتضرِّرة أو المفقودة، وشراء برمجيَّات خادم التوثيق المرتبط بها على تكلفة عالية. وعلى سبيل المثال، فإن برمجيَّات 2004م للبنية التحتية ومسح إدارة الأنظمة التي نشرتها سوسكيهانا المالية ذكرت أن متوسط سعر البيع لنظام RSA الأمني يساوي تقريباً 40 دولاراً لكلِّ رمز، مع صلاحية استعمال تتراوح من ثلاث إلى أربع سنوات.
ويتنافس الباعة بشدَّة على التسعير الرمزي؛ حيث يقدِّمون تخفيضات في الحجم، ولذلك يجب أن تعتبر ذلك مثالاً واحداً فقط، وأن تقوم بعملية التسوق الخاصة بك.
البطاقات الذكية
بوصول رموز يو إس بي أصبح التمييز بين البطاقات والرموز الذكية غير واضح. ولكن البطاقات الذكية التقليدية هي كما تتصورها بدون شك بطاقة بلاستيكية بنفس حجم معظم بطاقات الائتمان، مع رقاقة إلكترونية ضُمِّنت يميناً في البطاقة. تحتوي الرقاقة على معلومات حول حامل البطاقة الذي يمكن قراءتها فقط بواسطة قارئ البطاقات. وعلى الرغم من أن البطاقات الذكية لها العديد من الاستعمالات الممكنة، على سبيل المثال كبطاقة للدفع في نقطة البيع أو كبطاقة يتم ارتداؤها لدخول المرافق الآمنة، إلا أنها يمكن استخدامها أيضاً لتوثيق الشبكة.
بشكل خاص، الرقاقة تستطيع تخزين الشهادة الرقمية لحامل البطاقة وزوج المفاتيح. على سبيل المثال، نبيِّن فيما يلي VASCO DGIPASS GO2، وهو قارئ بطاقات يقبل البطاقات الذكية المتنوعة والمتوافقة. ولاحظ أن بعض بطاقات الاعتماد المصرفي التي يتم إصدارها حالياً هي في الحقيقة بطاقات ذكية. لاستعمال هذه الأداة تُدخل بطاقتك وتُدخل رقم هوية شخصية في القارئ. وفيما بعد، تستطيع الردَّ على تعليمات خادم توثيق ديجيباس حتى يتم إزالة البطاقة من القارئ.
وليس من الضروري أن تكون قارئات البطاقات الذكية أدوات تُستخدم بمفردها. إنَّ قارئ ACTIVCARD PCMCIA (أدناه) قادر على قراءة المعلومات المشمولة في الرقاقة على البطاقة الذكية ل ACTIVCARD CORPORATE ACESS المجاورة. وإذا كنت تستطيع إدخال بطاقتك الذكية في شقِّ PCMCIA، فلمَ لا تستعمل بوابة يو إس بي؟ وذلك، في الحقيقة، هو وضع العديد من مفاتيح USB؛ بطاقات ذكية بصيغة عامل USB. ويعتبر عامل الشكل ذا أهمية قليلة للمستعملين؛ لذا أنت تحتاج لأن تختار بعناية عندما تقرِّر ما نوع عوامل اعتماد الأجهزة للإصدار مع خدمة التوثيق الممتازة.
ويجب أن تأخذ في الاعتبار أين وكيف يعمل موظفوك، والأجهزة التي يحملونها، وقابلية نقل عوامل التوثيق (على سبيل المثال: هل هم بحاجة إلى التوثيق من خلال جهاز كمبيوتر عام؟). ومن المنظور الأمني، يجب أن تدرس بعناية أيَّ العوامل التي تدعمها البطاقة الذكية وأمْن الرمز/ البطاقة/ القارئ والعميل المرتبط/ برمجيَّات خادم، وتوافق في الخدمات وتطبيقات الشبكة التي سيتم الدخول إليها.
علم الإحصاء الحيوي
تعتبر الشهادات، كلمات السر التي تُستخدم لمرة واحدة، الرموز والبطاقات الذكية (شيء لديك). وتُعرف وسائل التوثيق التي تستخدم هذا العامل بأنها إحصائيات حيوية. ويقوم توثيق الإحصائيات الحيوية بفحص الخصائص المادية ويستخدمها للتأكد من صحة هوية المستخدم.
وربَّما تكون الطريقة الحيوية الأكثر شهرة هي تحليل بصمة الإصبع. ويحصل توثيق بصمة الإصبع على صورة بصمة إصبع المستعمل، ثم يميِّز نقاطاً فريدة ويقارنها مع النموذج الحيوي الذي تم الحصول عليه مسبقاً (وعرف بأنه صحيح) من خلال مسح بصمة إصبع المستعمل. على سبيل المثال، تبيع تقنيات سيليكس العديد من مجسات بصمة الإصبع.
ويعتبر التعرف على الوجه طريقة أخرى حيوية مفهومة بشكل جيد. على سبيل المثال، صندوق عدَّة فيسيكيوريتي بيوميتريسفايو يترجم صورة الوجه إلى العينات الرقمية التي يمكن أن تُستعمل في عمليات المسح اللاحقة لتوثيق هوية ذلك الشخص. ويجب أن تكون منتجات التعرف على الوجه قادرة على التغلَّب على العوامل التي تغيِّر في مظهر الشخص؛ مثل الإضاءة وحلاقة الشعر والنظَّارات والتقدُّم في السِّن.
كما يمكن أيضاً استخدام خطِّ اليد (التوقيع) للتوثيق الحيوي. والتحليل يأخذ في الحسبان شكل ومظهر توقيع الشخص، ومعايير مثل الضغط والتوقيت يمكن أيضاً أن يُقاسا عندما يقوم شخص بتوقيع اسمه. والتوثيق خلال مسح القزحيَّة ممكن؛ لأن كلَّ قزحيَّة (الحلقة الملوَّنة حول بؤبؤ عينك) له نمط فريد يتكون أثناء السَّنة الأولى من حياة الإنسان ويبقى دون تغيير فيما بعد. وتتميز قزحية العين بخصائص فريدة يمكن أن تُمسح من على بُعد بضعة أقدام بآلة تصوير بدرجة وضوح عالية. ومثل بصمات الأصابع، فإن صُور القزحيَّة يمكن أن تُخطَّط وتُخزَّن كبيانات حيوية للمقارنة المستقبلية أثناء التوثيق. ويُعتقد بأن مسح قزحية العين عالي الموثوقية، على الرغم من أنه أعلى تكلفةً قليلاً من الطرق الحيوية الأخرى.
ويعتبر مسح شبكيَّة العين مشابهاً لمسح القزحيَّة، لكنه يحلِّل الأنماط التي شكَّلتها الأوعية الدموية في خلفية العين. ومثل مسح القزحيَّة تُمسح شبكيَّة العين بآلات تصوير دقيقة جداً، لكن تتطلَّب منطقة قريبة إلى العين، وبذلك تصبح أكثر تدخُّلاً. بالمقارنة يُعتبر التوثيق من خلال بصمة الصوت وسيلة سهلة وغير تطفلية؛ حيث يتم تسجيل عينات الصوت بسهولة وتُقارن، وعُمل على تقييم خصائص مثل النغمة والدرجة والإيقاع. من الناحية الأخرى، يتغيَّر صوت الشخص أثناء فترة حياته، ويتضمن ذلك التغييرات المؤقتة بسبب المرض والعوامل البيئية؛ مثل الضوضاء والمسافة الخلفية من مكبِّر الصوت، فهما تؤثِّران في عينات الصوت بسهولة.
هذه فقط بعض طرق ومنتجات التوثيق الحيوية المتوفرة الآن. ويُعتبر التوثيق ببصمة الإصبع الطريقة الأكثر شيوعاً في شبكات العمل.
وفي النهاية، فإن تقرير متى وكيفية تطبيق أو رفع كفاءة نظام التوثيق في شركتك يتطلَّب دراسة متأنِّية لاحتياجات عملك والتكاليف والمنافع المرتبطة بها. ونتمنَّى أن تكون هذه المقدِّمة قد أعطتك غذاءً للفكر حول الحاجة للتوثيق من خلال وسائل أفضل من كلمات السر، والأماكن التي يمكن من خلالها معرفة المزيد عن منتجات وخدمات التوثيق.
.....
الرجوع
.....
|
|
|
|
توجه جميع المراسلات التحريرية والصحفية الى
chief@al-jazirah.com عناية رئيس التحرير
توجه جميع المراسلات الفنية الى
admin@al-jazirah.com عناية مدير وحدة الانترنت
Copyright 2002, Al-Jazirah Corporation, All rights Reserved
|