جای تعجب ندارد که گذرواژهها به عنوان یک روش معتبر تأیید اعتبار از طرفداری خارج شده اند. این امر به این دلیل است که رمزهای عبور اغلب ضعیف هستند (به راحتی حدس می زنند) ، می توانند فراموش شوند ، و فروشگاه های رمز عبور به یک نقطه ضعف برای امنیت تبدیل می شوند (اگر یک متجاوز به فروشگاه رمز عبور دسترسی پیدا کند ، آنها به بار مادر ضربه می زنند). خوشبختانه ، یک روش بهتر برای تأیید اعتبار قابل اطمینان کاربران-احراز هویت مبتنی بر گواهی وجود دارد.
احراز هویت مبتنی بر گواهی چیست؟
احراز هویت مبتنی بر گواهینامه یک روش رمزنگاری است که از یک گواهی دیجیتال برای شناسایی کاربر ، دستگاه یا دستگاه قبل از دسترسی به منابع خاص استفاده می کند.
احراز هویت مبتنی بر گواهینامه جدید نیست. این مورد توسط بسیاری از پروتکل های امنیتی اینترنتی ، از جمله SSL/TLS ، یک پروتکل تقریباً جهانی که ارتباطات بین مشتری و سرور را رمزگذاری می کند ، به طور معمول مرورگرهای وب و وب سایت ها یا برنامه ها استفاده می شود. با این حال ، احراز هویت مبتنی بر گواهی برای SSL/TLS نسبت به سایر موارد استفاده کمی متفاوت است. با SSL/TLS ، سرور هویت خود را به دستگاه مشتری تأیید می کند ، اما این اتفاق برای تأیید اعتبار مبتنی بر گواهی مشتری معکوس می شود.
به عنوان مثال ، بیایید بگوییم که یک شرکت می خواهد از تأیید اعتبار مبتنی بر گواهی استفاده کند تا کارمندان به سرورهای ایمیل خود دسترسی پیدا کند. در این سناریو ، این شرکت برای دسترسی به سرورهای ایمیل ، کارمندان دارای گواهینامه های معتبر را صادر می کند و فقط به کارمندان این گواهینامه ها دسترسی پیدا می کند.
در سالهای اخیر ، احراز هویت مبتنی بر گواهینامه به عنوان جایگزینی برای احراز هویت مبتنی بر رمز عبور ، عمدتاً به عنوان راهی برای پرداختن به شکافهای امنیتی با نام کاربری و رمزهای عبور ، محبوبیت زیادی پیدا کرده است. به عنوان مثال ، احراز هویت نام کاربری/رمز عبور فقط از آنچه کاربر می داند (رمز عبور) استفاده می کند. در مقابل ، احراز هویت مبتنی بر گواهی ، با استفاده از آنچه کاربر (کلید رمزنگاری خصوصی) دارد ، لایه دیگری از امنیت را اضافه می کند.
با این گفته ، ذکر این نکته حائز اهمیت است که احراز هویت مبتنی بر گواهی به ندرت به عنوان جایگزینی برای نام های کاربری و رمزهای عبور استفاده می شود اما در عوض در رابطه با آنها استفاده می شود. با استفاده از هر دو ، شرکت ها اساساً بدون نیاز به تلاش اضافی از کاربر نهایی ، به تأیید اعتبار دو عاملی دست می یابند (به عنوان مثال از تلفن همراه خود برای دریافت یک رمز عبور یک بار (OTP)).
احراز هویت مبتنی بر گواهی چگونه کار می کند؟
قبل از پاسخ به این سؤال ، ابتدا باید بدانیم که گواهی دیجیتالی چیست. گواهی دیجیتال یک رمز عبور الکترونیکی یا پرونده ای است که صحت یک کاربر ، سرور یا دستگاه را از طریق رمزنگاری و زیرساخت های کلیدی عمومی (PKI) اثبات می کند. PKI به ابزارهایی که برای ایجاد و مدیریت کلیدهای عمومی برای رمزگذاری استفاده می شود ، اشاره دارد. این بنا در تمام مرورگرهای وب که امروزه در حال استفاده هستند ساخته شده است ، و سازمان ها همچنین از آن برای تأمین ارتباطات داخلی و اتصال ایمن دستگاه ها استفاده می کنند.
پرونده گواهی دیجیتال حاوی اطلاعات قابل شناسایی در مورد دارنده گواهینامه و یک کپی از کلید عمومی از دارنده گواهی است. این اطلاعات قابل شناسایی می تواند نام ، شرکت ، بخش و آدرس IP و شماره سریال دستگاه باشد. وقتی صحبت از کلید عمومی می شود ، کلید باید با یک کلید خصوصی مربوطه مطابقت داشته باشد تا واقعی باشد.
بنابراین ، این در عمل چگونه کار می کند؟ابتدا کاربر نهایی با استفاده از کلید خصوصی خود به صورت دیجیتالی یک قطعه از داده ها را امضا می کند. این داده ها و گواهی کاربر سپس از طریق شبکه سفر می کنند. سرور مقصد سپس داده های امضا شده (محافظت شده با یک کلید خصوصی) را با کلید عمومی موجود در گواهی مقایسه می کند. اگر کلیدها مطابقت داشته باشند ، سرور کاربر را تأیید می کند ، و آنها می توانند به منابع شبکه دسترسی پیدا کنند.
مزایای احراز هویت مبتنی بر گواهی
گواهینامه های دیجیتال امروز و به دلایل زیادی توسط سازمانها مورد استفاده قرار می گیرند. بیایید به این دلیل شیرجه بزنیم.
امنیت را تقویت کرد
رمزنگاری کلیدی عمومی ، که به عنوان رمزگذاری نامتقارن نیز شناخته می شود ، بسیار ایمن در نظر گرفته می شود. این امر به این دلیل است که تمام داده های رمزگذاری شده با کلید عمومی فقط می توانند با کلید خصوصی تطبیق رمزگشایی شوند. بنابراین ، هنگامی که دو طرف ارتباط برقرار می کنند ، فرستنده قبل از ارسال آن ، داده ها را رمزگذاری می کند (تقلا می کند) ، و گیرنده ها پس از دریافت آن ، داده ها را رمزگشایی می کند. بدون در نظر گرفتن کلیدها می تواند اتفاق بیفتد. و در حالی که در حال حمل و نقل است ، داده ها همچنان در حال تقلا هستند و به عنوان یک هکر به عنوان کلاهبرداری ظاهر می شوند.
سهولت استقرار و استفاده
راه حل های مبتنی بر گواهی نامه آسان برای استقرار و مدیریت است. آنها به طور معمول با یک بستر مدیریتی مبتنی بر ابر همراه هستند که به مدیران اجازه می دهد تا با سهولت گواهینامه هایی را برای کارمندان جدید صادر کنند. همین مورد در مورد تجدید یا ابطال گواهینامه ها نیز صادق است. علاوه بر این ، بسیاری از راه حل ها با Active Directory ادغام می شوند ، که باعث می شود روند صدور گواهینامه حتی ساده تر شود.
آنها همچنین نیازی به سخت افزار اضافی ندارند ، که برای سایر روش های احراز هویت مانند بیومتریک یا نشانه های OTP اینگونه نیست.
سرانجام ، راه حل های مبتنی بر گواهینامه بسیار کاربر پسند هستند و به حداقل درگیری کاربر نهایی نیاز دارند. کاربران برای به دست آوردن این سطح امنیتی لازم نیست که تلاش بیشتری را انجام دهند. این امر بسیار مهم است زیرا اضافه کردن اصطکاک به هرگونه اقدامات امنیتی تمایل به ناامید کردن کاربران دارد و اغلب می تواند منجر به نتایج بدتر شود. ما می بینیم که این اتفاق با گذرواژهها رخ می دهد که کاربران به طور معمول از رمزهای عبور استفاده می کنند تا بار یادآوری چندین عبارت بسیار ایمن را کاهش دهند.
به طور بومی توسط بسیاری از برنامه های سازمانی موجود پشتیبانی می شود
برنامه ها و شبکه های بی شماری شرکت به طور بومی از گواهینامه های دیجیتال X. 509 پشتیبانی می کنند - قالب معمولی که در گواهینامه های کلید عمومی استفاده می شود. این بدان معناست که شرکت ها می توانند با تأیید اعتبار مبتنی بر گواهی فقط با چند ترفند پیکربندی ، از خواب برخیزند و کار کنند.
نقص های امنیتی احراز هویت مبتنی بر گواهی
هیچ راه حلی بدون اشکالاتی آن نیست و در مورد احراز هویت مبتنی بر گواهی نامه نیز صادق است.
ترک یک کلید از یک رمز عبور بسیار سخت تر است ، اما پس از ترک خوردگی ، نتایج یکسان هستند. اگر یک کلید به خطر بیفتد ، امنیت سایبری از پنجره بیرون می رود. در اصل ، در صورت مطابقت با کلیدها ، نمی توان بین یک هکر و یک کارمند قانونی تمایز قائل شد. و این دقیقاً به همین دلیل است که باید از احراز هویت مبتنی بر گواهی در هماهنگی با سایر احراز هویت و اقدامات امنیت سایبری در هر کجا ممکن استفاده شود.
دوم ، احراز هویت مبتنی بر گواهی فقط به اندازه گواهی دیجیتال قوی است. یا به عبارت دیگر ، هرچه الگوریتم های رمزنگاری شده برای ایجاد گواهینامه ها قوی تر باشد ، احتمال حمله کننده کمتر می تواند آنها را به خطر بیندازد. به همین دلیل ، سازمان ها باید اطمینان حاصل کنند که مرجع گواهینامه معتبر و قابل اعتماد است.
افکار نهایی در مورد احراز هویت مبتنی بر گواهی
احراز هویت مبتنی بر گواهی می تواند علاوه بر این عالی برای پشته امنیت سایبری هر سازمان باشد. در حالی که بدون اشکالاتی آن نیست ، این مزایا از چالش ها فراتر می رود. احراز هویت مبتنی بر گواهینامه فقط به کاربران و دستگاه های تأیید شده اجازه می دهد تا ضمن نگه داشتن کاربران غیرمجاز و دستگاه های سرکش قفل شده ، به شبکه شما دسترسی پیدا کنند.
