روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ الزاماتی که سرویس‌های آنلاین برای تأیید کاربر معین کردند –خواه طول پسورد باشد، خواه شماره تلفن اجباری یا چک‌های بیومتریک- اغلب توسط استانداردهای صنعت نظارت و کنترل می‌شوند. یکی از مهم‌ترین اسناد این حوزه، دستورالعمل‌های هویت دیجیتال NIST SP 800-63–توسعه‌داده‌شده توسط NIST[1]- است. این استاندارد برای همه آژانس‌های دولت آمریکا و کنتراکتورهایشان الزامی و اجباری است که در عمل این یعنی همه شرکت‌های بزرگ حوزه آی‌تی باید به این استاندار پایبند باشند و پیامدهای آن حتی از مرزهای آمریکا هم فراتر می‌رود. هر سازمانی که به طور سفت و سخت ملزم به پیروی از استاندارد NIST SP 800-63 نیست هنوز از آشنا کردن خود با این دستورالعمل‌های آپدیت‌شده بهره خواهد برد (زیرا اینها اغلب برای رگولاتورها در سایر کشورها و صنایع یک‌جور بلوپرینت هستند). آپدیت آخر که از طریق چهار دور اصلاح عمومی با متخصصین صنعت توسعه یافته است انعکاس‌دهنده جدیدترین درک از شناسایی و احراز هویت دیجیتال است. این، الزامات حریم خصوصی و امنیت را پوشش می‌دهد و رویکرد توزیع‌شده (فدرالیِ) احتمالی را لحاظ می‌کند. این استاندارد، عملی و اجرایی است و ملاحظات انسانی را در بردارد (اینکه چطور کاربران به الزامات مختلف احراز پاسخ می‌دهند).

این نسخه، مفاهیمی را فرمالیزه کرده و الزاماتی را برای موارد زیر مطرح می‌کند:

•         کلیدهای عبور (که در استاندارد به عنوان "تأیید کننده‌های قابل همگام‌سازی" نامیده می‌شود)؛
•         احراز هویت مقاوم در برابر فیشینگ؛
•         ذخیره‌سازی رمز عبور و دسترسی کاربر ("بسته‌های ویژگی")؛
•         احراز هویت مجدد منظم؛
•         توکن‌های سشن

بنابراین - چگونه می‌توان کاربران را در سال 2024 احراز هویت کرد؟

احراز پسورد

این استاندارد سه سطح از تضمین احراز[2] (AAL) را تعریف می‌کند: اولی AAL1 است که کم‌ترین محدودیت‌ها و حداقل اطمینان را از اینکه کاربر دقیقاً همانی است که ادعا می‌کند مجاز می‌داند درحالیکه AAL3 قوی‌ترین تضمین را پیشنهاد داده و احراز جدی‌تری را می‌طلبد. تنها AAL1 است که احراز تک عاملی را مجاز می‌داند- مانند پسورد تک.

این الزامات پسوردی به شرح زیر هستند:

•         فقط اسرار تأییدشده مرکزی که توسط کاربر از طریق یک کانال امن به سرور ارسال می‌شود، به عنوان رمز عبور واجد شرایط هستند. رمزهای عبوری که به صورت محلی ذخیره و تأیید می‌شوند، «اسرار فعال‌سازی» نامیده می‌شوند و الزامات مختلفی دارند.
•         گذرواژه‌های کوتاه‌تر از هشت کاراکتر ممنوع هستند و حداقل 15 کاراکتر توصیه می‌شود.
•         چرخش اجباری و برنامه‌ریزی شده رمز عبور یک عمل منسوخ تلقی شده و بنابراین ممنوع است.
•         همچنین اعمال الزامات برای ترکیب رمز عبور ممنوع است (مانند "رمز عبور شما باید دارای یک حرف، یک عدد و یک نماد باشد").
•         توصیه می‌شود اجازه استفاده از هر گونه کاراکتر ASCII قابل مشاهده، فاصله و اکثر نمادهای یونیکد (مانند ایموجی‌ها) را بدهید.
•         حداکثر طول رمز عبور، در صورت اعمال، باید حداقل 64 کاراکتر باشد.
•         کوتاه کردن گذرواژه‌ها در حین تأیید ممنوع است، اما در صورتی که با احراز هویت تداخل داشته باشد، کوتاه کردن فضای خالی اصلی/پس‌رو مجاز است.
•         استفاده و ذخیره نکات رمز عبور یا سوالات امنیتی (مانند «نام مادرتان») ممنوع است.
•         رمزهای عبور رایج باید با استفاده از فهرستی از رمزهای عبور محبوب یا لو رفته حذف شوند.
•         رمزهای عبور در معرض خطر (به عنوان مثال، ظاهر شدن در نقض داده‌ها) باید فوراً بازنشانی شوند.
•         تلاش برای ورود باید هم در میزان و هم در تعداد تلاش‌های ناموفق محدود شود.

رازهای فعالسازی

اینها پین‌ها و پسوردهای لوکالی هستند که دسترسی به ذخیره‌گاه کلیدی روی دستگاه را محدود می‌کنند و می‌توانند عددی باشند با حداقل طولِ توصیه‌شده با شش رقم- گرچه 4 رقمی مجاز است. برای AAL3، راز اصلی کریپتوگرافیک (برای مثال کلید عبور) باید در تراشه مقاوم در برابر دستکاری ذخیره شده و با استفاده از رمز فعالسازی رمزگشایی شود. برای AAL1 و AAL2 همین که کلید، دسترسی خارجی‌ها را محدود کند کافی است (به همراه محدودیت روی تلاش‌های ورودی: نباید بیش از 10 تلاش باشد). اگر از حد مجاز فراتر رفت، ذخیره‌گاه قفل می‌شود و نیاز است متود احراز جایگزین اتخاذ شود.

احراز چندعاملی (MFA)

توصیه می‌شود MFA را در هر سه سطح AAL پیاده‌سازی کنید اما گرچه این پیشنهادی است برای AAL1 ولی برای AAL2، اجباری است و تنها متودهای MFA مقاوم در برابر فیشینگ برای AAL3 قابل‌پذیرش هستند. تنها متودهای کریپتوگرافیک مقاوم به فیشینگ تلقی می‌شوند: توکن‌های USB، کلیدهای عبور و کلیدهای کریپتوگرافیک ذخیره‌شده در کیف‌پول‌های دیجیتال مطابق با SP 800-63C (سرویس‌های شناسایی و احراز هویت توزیع‌شده). همه رمزهای کریپتوگرافیک اید در سیستم‌های مقاوم به دستکاری (مانند TPM یا Secure Enclave) ذخیره شوند. همگام‌سازی کلیدهای در کل دستگاه‌ها و ذخیره‌شان در کلودها مجاز است به شرطی که هر دستگاه الزامات استاندارد را رعایت کرده باشد. این مقررات امکان استفاده از کلیدهای عبور را در اکوسیستم های اندروید و iOS فراهم می‌کند. برای اطمینان از مقاومت در برابر فیشینگ، احراز هویت باید به کانال ارتباطی (باید کانال) یا نام سرویس تأییدکننده (پیوند نام تأییدکننده) مرتبط باشد. نمونه هایی از این رویکردها عبارتند از اتصالات TLS تأیید شده توسط مشتری و پروتکل WebAuthn از مشخصات FIDO2.

به تعریف ساده‌تر، کلاینت از کریپتوگرافی برای تأیید اینکه دارند به جای سرور فیک که برای حملات AitM تنظیم‌شده با سرور قانونی ارتباط می‌گیرند استفاده می‌کند. [3]TOTP اپ‌های احرازگر، کدهای اس‌ام‌اسی و کدهای یکبار مصرف از کارت‌ها یا پاکت‌های اسکرچ[4] به فیشینگ مقاوم نیستند اما برای سرویس‌های AAL1 و AAL2 مجازند. این استاندارد مشخص می‌کند که کدام روش‌ها برای مدیریت کدهای یکبار مصرف به عنوان MFA واجد شرایط نیستند و باید از آنها اجتناب شود. کدهای یکبار مصرف نباید از طریق ایمیل یا VoIP ارسال شوند - آنها باید از طریق یک کانال ارتباطی جدا از فرآیند احراز هویت اولیه تحویل داده شوند.OTPهای ارسال شده از طریق پیامک و خطوط تلفن سنتی قابل قبول هستند — حتی اگر هر دو اتصال (مثلاً اینترنت و پیامک) در یک دستگاه باشند.

استفاده از بیومتریک‌ها

این استاندارد استفاده از بیومتریک‌ها را محدود می‌کند- ممکن است حکم فاکتور احراز را داشته باشند اما برای شناسایی، ممنوعند. چک‌های بیومتریک باید فقط بعنوان عامل مکمل در ترکیب با اثبات مالکیت (برای مثال اسمارت‌فون یا توکن- چیزی که فیزیکی مالک آن هستید) مورد استفاده قرار گیرد. تجهیزات و الگوریتم‌های بیومتریک باید نرخ تطابق کاذب (FMR) را بیش از 1 در 10 هزار تضمین ندهد و نرخ عدم تطابق کاذب هم نباید بیش از 5 درصد باشد. این نرخ‌های دقت باید در کل جمعیت‌شناسی یکسان باشد. الگوریتم تأیید همچنین باید به حملات ارائه که در آن‌ها به جای فرد زنده، حسگر یک عکس یا ویدیو نشان می‌دهد مقاوم باشد. پس از تولید و تأیید یک «اثر انگشت» رمزنگاری از داده‌های بیومتریک، استاندارد حذف فوری (صفر کردن) داده‌های بیومتریک جمع‌آوری‌شده را الزامی می‌کند. مانند سایر روش‌های احراز هویت، بررسی‌های بیومتریک باید شامل محدودیت‌هایی در نرخ ورودی و تعداد تلاش‌های ناموفق باشد.

[1]  US National Institute of Standards and Technology

[2] Authentication Assurance Levels

[3]پسوردهای یکبار مصرف مبتنی بر زمان

[4]کارتیست که دارای اطلاعات متغیر پوشیده شده با جوهر قابل خراش یا لیبل است

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.