سیستم احراز هویت جدید مایکروسافت
به گزارش وبلاگ املاکیا، مایکروسافت در هفته های آینده یک کیت توسعه نرم افزار منتشر می نماید که سازمان ها می توانند با استفاده از آن اپلیکیشن هایی بسازند که قادر به صدور و درخواست شناسه هستند.
شرکت مایکروسافت در بهار سال جاری نسخه اولیه پلت فرم احراز هویت جدید خود را راه اندازی می نماید. این سیستم درحال حاضر در سرویس ملی بهداشت و سلامت انگلستان آزمایش شده است.
سال هاست شرکت های فناوری از تکنولوژی بلاک چین به عنوان ابزاری برای توسعه سیستم های هویتی امن و غیرمتمرکز استفاده می نمایند.
هدف ساختن بستری است که بتواند اطلاعات مربوط به داده های رسمی را بدون داشتن اسناد یا اطلاعات واقعی در خود ذخیره کند. مثلا به جای اینکه فقط اسکن شناسه خود را ذخیره کنید، یک سیستم شناسایی غیرمتمرکز می تواند یک رمز معتبر را ذخیره کند که اطلاعات موجود در آن را تایید می نماید.
سپس هنگامی که احتیاج به اثبات تابعیت خود دارید می توانید آن شناسه از پیش تایید شده را به جای سند یا داده واقعی به اشتراک بگذارید. مایکروسافت یکی از پیشروان این مدل احراز هویت بوده است و اکنون درحال ارائه جزئیات پیشرفت های ملموس خود در خصوص شناسه دیجیتال غیرمتمرکز نسبت به چشم انداز ترسیم شده است.
این شرکت در کنفرانس ایگنایت خود گفت که بهار سال جاری پیش نمایش عمومی گواهینامه های قابل تایید دایرکتوری آزور خود را راه اندازی می نماید. این پلت فرم را مانند یک کیف پول دیجیتالی، چون Apple Pay یا google Pay در نظر بگیرید که به جای کارت های اعتباری برای شناسه هاست.
مایکروسافت با مواردی، چون کارنامه های دانشگاهی، مدرک تحصیلی، دیپلم ها و مدارک حرفه ای کار خود را شروع نموده که به شما امکان می دهد آن ها را به همراه کد های دو عاملی به Microsoft Authenticator خود اضافه کنید. مایکروسافت درحال آزمایش این سیستم در دانشگاه کیو (Keio) توکیو و با دولت فلندر در بلژیک و خدمات بهداشت ملی انگلستان است.
جوی چیک (Joy Chik)، معاون بخش هویت سازمانی مایکروسافت می گوید: اگر شناسه غیرمتمرکز داشته باشید می توانم تایید کنم که کجا به مدرسه رفته اید و دیگر احتیاجی نیست همه مدارک خود را برای من ارسال کنید، تمام چیزی که احتیاج دارم این است که اعتبارنامه دیجیتال را داشته باشم و، چون قبلا تایید شده می توانم به آن اعتماد کنم.
مایکروسافت در هفته های آینده یک کیت توسعه نرم افزار منتشر می نماید که سازمان ها می توانند با استفاده از آن اپلیکیشن هایی بسازند که قادر به صدور و درخواست شناسه هستند. این شرکت امیدوار است در بلندمدت این سیستم بتواند در سراسر دنیا برای همه چیز از اجازه آپارتمان گرفته تا احراز هویت برای پناهندگان بدون اسناد و مدارک، مورد استفاده قرار گیرد.
به عنوان مثال در طرح آزمایشی خدمات سلامت ملی انگلستان NHS، ارائه دهندگان خدمات بهداشتی درمانی می توانند درخواست دسترسی به گواهینامه های حرفه ای کارکنان خدمات سلامت ملی ارائه دهند وکارکنان می توانند دسترسی به این مدارک را انتخاب نموده و فرایند انتقال به مرکز دیگر که قبلا به رفت و آمد بیشتری احتیاج داشت را ساده تر نمایند.
به گفته چیک، در سیستم NHS هر کدام از کارکنان مراقبت های بهداشتی بیمارستان ماه ها کوشش می نمایند تا اعتبارنامه خود را تایید نمایند، حالا، اما نام نویسی و شروع به کار در بیمارستان تنها پنج دقیقه طول می کشد.
یکی از موانع عظیم برای استفاده گسترده از طرح شناسایی غیرمتمرکز قابلیت همکاری سیستم های کامپیوتری است. وجود 10 چارچوب کاری، کار را برای کسی آسان نمی نماید. درحال حاضر بعضی رقبای بالقوه، چون پیشنهادی از سوی مسترکارد Mastercard که هنوز در مرحله آزمایش است، هم وجود دارند.
اما فراگیر بودن مایکروسافت به این شرکت یاری نموده تا تعداد قابل ملاحظه ای از کاربران را جمع کند. این امر می تواند پذیرفتن این پلت فرم را برای مشتریان آسان تر کند و سایر غول های فناوری نیز از استفاده از آن در محصولات خود پشتیبانی نمایند.
درحال حاضر مایکروسافت درحال کار با شرکت های هویت دیجیتال Acuant، Au 10 tix، Idemia، Jumio، Socure، Onfido و Vu Security برای آزمایش این پلت فرم است و چیک می گوید هدف این است که این لیست را در طول زمان گسترش دهند: برای انجام این کار به همکاری کل جامعه احتیاجمندیم.
مایکروسافت رسما کار خود را روی طرح هویت غیرمتمرکز در سال 2017 شروع کرد و در چند سال گذشته به آرامی زیرساخت های آن را ایجاد نموده است.
این سیستم مبتنی بر بلاک چین بیت کوین (Bitcoin blockchain) است و از یک پروتکل باز به نام Sidetree برای افزودن سوابق معاملات به بلاک چین، که در این مورد تایید هویت است، استفاده می نماید. مایکروسافت ادعا می نماید که گواهینامه های قابل تایید دایرکتوری آزور از یک منبع اجرایی مرسوم از Sidetree به نام Identity Overly Network استفاده می نماید.
سازمان ها قادر خواهند بود ION خود را برای تایید و ذخیره شناسه برای اعضای خود، چون شهفرایندان، دانشحویان یا کارمندان اجرا نمایند. چیک می گوید: ما می دانیم که این اتفاق یک شبه نخواهد افتاد، اما فکر می کنیم برای کاربران و سازمان ها جذاب باشد.
این طور نیست که هر سازمانی بخواهد متولی اطلاعات شخصی باشد، ولی آن ها برای تایید اطلاعات یا انجام معاملات تجاری به آن احتیاجمندند؛ این به یک مسوولیت تبدیل می گردد، ولی گزینه ای جذاب برای سازمان هایی است که تنها به تایید اطلاعات احتیاج دارند.
اگرچه مایکروسافت در قالب طرح هویت غیرمتمرکز مستقیما هیچ داده ای از کاربران را نگهداری نمی نماید، اما احتمالا رویکرد جدید این شرکت می تواند جذابیت حساب های کاربری برای حملات هکری را افزایش دهد.
رخنه به داده های شرکت سولارویندز و مجموعه حملاتی که در مدت اخیر جنجال زیادی به پا کرد، به خوبی نمایانگر چالش هایی هستند که شرکت برای مدیریت هویت اکانت های مایکروسافت و حفظ امنیتشان با آن روبه رو است. در مجموعه حملات هکری مذکور، هکر ها از دسترسی به داده های شرکت سولارویندز که یکی از شرکت های خدماتی همکار مایکروسافت است، برای هدف قرار دادن طعمه ها استفاده کردند.
هکر ها همچنین در بسیاری موارد با دستکاری نواقصی که در سیستم دسترسی این سازمان ها به دایرکتوری هایشان در مایکروسافت وجود داشت، کوشش کردند تا به سیستم های ایمیل و فایل های ذخیره شده شرکت ها در فضای ابری Azure دسترسی پیدا نمایند.
حملات هکر ها محدود به این موارد نبود و حتی با اجرای حملاتی مستقیما خود شرکت مایکروسافت را نیز هدف قرار دادند و سعی کردند تا به شماری از سورس کد های این شرکت دسترسی پید ا نمایند.
جورج کورتز، مدیرعامل شرکت CrowdStrike در جلسه ای که هفته پیش در کنگره برگزار گردید، با استناد به محدودیت های معماری احراز هویت در دایرکتوری اصلی مایکروسافت و دایرکتوری Azure این شرکت اظهار کرد: هکر ها با استفاده از ضعف سیستماتیک ساختار احراز هویت ویندوز توانسته بودند به اهداف مورد نظر دست پیدا نمایند.
حال مایکروسافت معتقد است که پلت فرم هویت غیرمتمرکز جدید این شرکت، به گونه ای طراحی شده که حتی در صورتی که حساب های کاربری در معرض خطر قرار گیرند، هکر ها نتوانند از مدارک تایید شده برای کسب امتیازات خاص طی خرید یا وام ها استفاده نمایند.
در این سیستم جدید افزون بر کنترل بهتر دسترسی ها، توسعه دهندگان می توانند با رمزنگاری داده های کاربران به وسیله کلید های امنیتی حاصل از روش های احراز هویت غیرمتمرکز، امنیت داده های کاربران را افزایش دهند. بر اساس گفت وگوی یکی از کارکنان مایکروسافت با Wired، با رویکرد جدیدی که در این سیستم پیش گرفته شده، حتی اگر سارقان بتوانند به حساب ها دسترسی پیدا نمایند، بدون در اختیار داشتن کلید های امنیتی که تنها در اختیار کاربر اصلی است-به خاطر رمزنگاری شدن داده ها- امکان استفاده از داده ها را نخواهند داشت.
در نتیجه سازمان هایی که از سیستم مدارک قابل تایید در دایرکتوری Azure خود استفاده نمایند، می توانند تنظیمات سیستم را به گونه ای انجام دهند که برای ایجاد دسترسی، اعتبارسنجی های بیشتری (مثلا یک توکن فیزیکی) نیز اعمال گردد.
از آنجا که روش های اجرایی سازمان های مختلف ممکن است اندکی با یکدیگر تفاوت داشته باشد، حفاظتی که از داده های هر سازمان انجام می گیرد می تواند متفاوت باشد.
یکی از چالش های پربحث طرح هویت غیرمتمرکز آن است که با وجود آنکه با اجرای این طرح جدید، ممکن است میزان بعضی انواع حملات سایبری کاهش یابد، اما این طرح، اکانت ها را در معرض انواع جدیدی از حملات نیز قرار خواهد داد که ممکن است مدیریت آن ها از نمونه های پیشین سختتر باشد.
دستیابی همزمان به حریم خصوصی، تمرکززدایی و امنیت می تواند بسیار سخت باشد. امین گون سیرر، از محققان امنیت کامپیوتری دانشگاه کورنل، می گوید: درست است که فناوری بلاک چین موجب بهبود حریم خصوصی افراد شده و با تمرکززدایی، امکان شناسایی مدارک مهم سختتر خواهد شد، اما نباید فراموش کرد که مهم تر از تمام این ها آنست که مفهوم هویت، مورد بازبینی قرار گیرد.
وی معتقد است از آنجا که عموما مدل های کسب وکاری بسیاری از شرکت ها، مبتنی بر آن است که از ذره ذره داده هایی که از کاربران در اختیار دارند کسب درآمد نمایند، روش های جدید می تواند قدرت آن ها را در عرضه های تجاری مورد نظرشان تضعیف کند. وی می افزاید:
این بدان معنی نیست که ایجاد یک پلت فرم هویت غیرمتمرکز که کارآیی کافی نیز داشته باشد غیرممکن است و قطعا شرکتی با قدرت مایکروسافت می تواند گام های عظیمی در توسعه چنین تکنولوژی های جدیدی بردارد؛ اما مساله آنست که مجاب کردن شرکت ها و افراد برای به کارگیری چنین سیستم جدیدی می تواند سخت باشد، زیرا طبیعتا شرکت ها تمایلی به توقف جمع آوری داده ها از کاربران ندارند و افراد نیز عموما در مقابل پذیرش تکنولوژی های جدید از خود مقاومت نشان می دهند.
گون سیرر، با تاکید بر اینکه اجرای راهکاری برای احراز هویت دیجیتال غیرمتمرکز که به درستی نیز پیاده سازی شده باشد، می تواند کنترل کاربران را بهبود دهد می گوید: مطمئنا بعید است که تغییر بنیادینی که در ایجاد روشی پیروز برای احراز هویت انتظار می رود، توسط یکی از شرکت های فعال در حوزه نرم افزار های متمرکز معرفی گردد.
منبع: فرادید