کاربران زیادی از مزایای خدمات احراز هویت موبایل بهره میبرند. با این وجود، تهدیدات دائمی علیه حریم خصوصی افراد و نفوذ امنیتی به چشم میخورد. لذا تأمین امنیت به معنای ایمن ساختن فرآیند احراز هویت و اعتبار موبایل و پیشگیری از حملات سایبری کاربر بیش از پیش برای کابران حائز اهمیت است. با تبدیل شدن اطلاعات کاربران به قالب دیجیتال و ذخیرهسازی در فضای ابری و در فضای دیگر سرورها، برقراری امنیت دادهها و حفظ حریم خصوصی، تبدیل به یک چالش بزرگ شده است. برای مثال، پیادهسازی کد QR نیاز به دستگاه بارکد خوان، نرمافزار طراحی شده توسط شرکت سازنده و خدمات پشتیبانی شده شرکت دارد که هرکدام میتوانند هدفی برای حملات سایبری باشند. Leo Zhang کارشناس ارشد واحد پژوهش تهدیدات در Trend Microمیگوید: «به دلیل اتصال سیستم اعتبار سنجی و احراز هویت موبایل به اطلاعات شخصی افراد، کاربران نگران مسائل حریم شخصی و امنیت دادهها هستند. سازندگان نرمافزارها میتوانند اطلاعات شخصی کاربران را ذخیره کنند؛ لذا پیشگیری از سوء استفاده از این دادهها امری ضروری به شمار میرود. آسیبپذیری و مقاومت در برابر حملات سایبری بستگی به تواناییهای نرم افزار دارد.
ایمن سازی دادهها
تقویت حفاظت از دادههای شخصی از طریق کدگذاری end-to-end امری ضروری است. برای دستیابی به این هدف باید اطمینان یافت که دادهها در سمت سرور کاملاً حفاظت شدهاند و تبادل و ذخیره سازی دادهها باید به صورت کدگذاری شده و با یک فرمت امن صورت گیرد.
Zhang میافزاید: «تمامی محاسبات باید در فضای Trustzone ، فناوری امنیت مبتنی بر سختافزار که بر روی چیپ ست در سیستم جاسازی میشود، صورت گیرد. این فناوری از آن جهت مورد استفاده قرار میگیرد که شرکتهای ارائه دهندهی خدمات از اطلاعات شخصی مشتریان سوء استفاده نکنند و همچنین بدافزارهای موجود بر روی گوشی نتوانند این اطلاعات را به سرقت ببرند. همچنین تبادل اطلاعات نیز باید به طور کامل رمز گذاری شود تا این اطمینان به دست آید که دادهها حتی در حین حرکت نیز تحت حفاظت هستند.
Lee Odess، مدیر عملیات شرکتUniKey Technologies در این باره میگوید: «به منظور افزایش بیش از پیش امنیت در نقل و انتقال دادهها، پیشنهاد میشود که زیر ساخت کلید عمومی برای سیستمهای کنترل دسترسی پیاده سازی شود. با اجرای زیرساخت کلید عمومی، سیستمهای کنترل دسترسی به صورت جداگانه با هر دستگاه و کاربر تعامل خواهند کرد و به طور مشابه دادههای کدگذاری شده که به اشتراک گذاشته شدهاند نیز منحصر به فرد و فقط مختص به یک کاربر است». نگرانیها پیرامون حملات سایبری به طور روز افزون در حال افزایش است. Ryan Zlockie، معاونت بخش احراز هویت در Entrust Datacard این گونه بیان میکند: «روشی که ما در اینجا پیاده کردهایم بهرهگیری از اعتبارسنجی هویت بر پایه کارت شناسایی (کارت هوشمند) است که نمیتوان تغییری در آن ایجاد کرد و یا فرد دیگری از آن استفاده کند و هر گونه تلاش برای ایجاد تغییر منجر به بی اعتبار شدن آن میگردد.
Manoj Kumar Rai مدیر بازاریابی و توسعه تجارت خدمات موبایل و راهکارهای IoTدر شرکت Gemalto روشهای توکن امنیتی مبتنی بر سختافزار و نرم افزار را به منظور ایمن سازی ID های تلفنهای همراه پیشنهاد میدهد. وی میگوید: «منظور از توکن سخت (hard token) سیم کارتهایی است که درون تلفن همراه در جای خود ثابت نصب شدهاند. این سیم کارتها eSIM نامیده میشوند. eSIM ها در برابر آسیبهای محیطی مقاوم هستند. لذا در برابر هکرها به راحتی دچار شکست نمیشوند. منظور از توکن نرم (Soft token) یک نرمافزار تلفن همراه یا برنامهای است که بر روی یک دستگاه نصب میشود و گزینههای مختلف امنیتی را به صورت درون برنامه عرضه میکند؛ گزینههایی شامل: مکانیسم احراز هویت، حفاظت از یکپارچگی نرمافزار، مقابله با مهندسی معکوس و رمزگذاری». وی همچنین به کارگیری و اجرای یک رویکرد لایهای به منظور تأمین امنیت دادههای هویتی و اعتبار نامهها که در فضای ابری و یا سخت افزار ذخیره شدهاند را توصیه میکند.
تأمین امنیت برای اطلاعات هویت فردی و اعتبار نامهها
کاربران همواره نگران مفقود شدن تلفنهای همراه هوشمند و سوء استفاده از اطلاعات ذخیره شده در آنها توسط تبهکاران هستند. Gaoping Xiao، مدیر فروش شرکت AMAG Technology در بخش آسیا و اقیانوسیه اینگونه توضیح میدهد: «برای اطمینان از اینکه آیا گوشی همراه هوشمند در دست مالک حقیقی است یا فرد غیر مجاز، پیشنهاد میکنیم که بر روی هر دستگاه یک سیستم احراز هویت بیومتریک و یا پین کد نصب شود.
یکی از نگرانیهای کاربران، تأمین امنیت اطلاعات هویت فردی و اعتبارنامهها است. درصورت مفقود شدن گوشی، همواره این خطر وجود دارد که فرد دیگری به اطلاعات هویت فردی دسترسی یافته و از آن سوء استفاده کند. Melissa Stengerمعاون مدیریت تولید و بازاریابی در ISONAS به این نکته اشاره میکند که: «کارتهای شناسایی فیزیکی را میتوان به راحتی به سایرین انتقال داد اما اعتبارنامههای دیجیتال در گوشیهای همراه مختص سختافزار یک گوشی همراه منفرد هستند و قابل انتقال به غیر نمیباشند».
Stenger به منظور حفاظت از اطلاعات اعتبار سنجی و اعتبار نامههای ذخیره شده در تلفن همراه پیشنهاد میکند که برای هر گوشی همراه جداگانه یک کلید جلسه اختصاص داده شود تا از انتقال اعتبار نامه به فرد دوم پیشگیری کند. Wayne Jared معاونت واحد مهندسی در 3xLOGIC به منظور حفاظت از شناسههای تلفن همراه پیشنهاد میکند که کاربران ملزم شوند تا از روشهای بیومتریک و یا وارد کردن رمز ورودی به صورت دستی به عنوان یک سیستم احراز هویت دوگانه در هنگام باز کردن قفل گوشی همراه استفاده کنند. وی همچنین میافزاید: «یک نرمافزار اعتبار سنجی (حاوی اعتبار نامه) نباید به هیچ وجه دادههایی را بر روی گوشی ذخیره کند که بتوان از آنها در جای دیگر استفاده کرد.»
پارامترهای سیستمهای احراز هویت چندگانه میتواند روند سنجش و تأیید هویت را تقویت کند. Jared در ادامه میافزاید: «به کارگیری خدمات تعیین موقعیت مانند GPS سیستم را از نزدیک بودن گوشی همراه و فرد مجاز به درب ورودی در زمان ارسال درخواست دسترسی مطمئن میسازد.
Zlockie این گونه تشریح میکند: «ما به دنبال پیاده سازی نوعی از لایه امنیتی احراز هویت هستیم که دارای قابلیتهای تشخیص جعل هویت باشد. این لایه امنیتی باید بتواند مقادیر قابل توجهی از اطلاعات را پیرامون دستگاه گوشی همراه، موقعیت مکانی و دیگر مواردی که در زمان فرآیند احراز هویت رخ میدهند تحلیل کند. در سطوح امنیتی پایین یا متوسط، احراز هویت تطبیقی میتواند کافی باشد و برای سطوح امنیتی بالاتر سیستم احراز هویت را با سیستمهای بیومتریک به عنوان لایه تکمیلی ترکیب میکنند.» این روشها را میتوان در زمان تدارک کالا و نقل و انتقالات مالی مورد استفاده قرار داد و همچنین در سیستمهای کنترل دسترسی چنین رویکردی را برگزید.
سیستمهای احراز هویت بیومتریک شامل اطلاعات منحصر به فرد درباره افراد هستند که نمیتوان آنها را مشابه رمز ورود تغییر داد. برای برقراری سطوح بالای امنیتی پیاده سازی سیستمهای احراز هویت بیومتریک مانند تأیید اثر انگشت فرد از کارآمدترین روشهای افزودن یک لایه امنیتی جدید به شمار میرود.
Rob Martens، پژوهشگر آینده شناسی و معاونت استراتژی و مشارکت در شرکت Allegion این نکته را متذکر میشود: «سیستمهای بیومتریک صرفاً به تنهایی باعث افزایش سطوح امنیتی نمیشوند بلکه یک چیدمان هوشمند از لایههای امنیتی در سیستمهای کنترل دسترسی میتواند میزان درگیری میان کاربر و سیستمهای امنیتی را کاهش داده و سطح کلی امنیتی را به واسطه افزودن متغیرهای منحصر به فرد و همواره ثابت ارتقا دهد. سیستم احراز هویت مبتنی بر راه رفتن، که به منظور تعیین هویت، شیوه گام برداشتن افراد را تحلیل میکند، نقشی بی بدیل را در فرآیند احراز هویت بازی میکند. Lee Odess در پایان میافزاید: «زمانی که صحبت از بیومتریک میشود، ما همزمان به سبک راه رفتن و گام برداشتن طبیعی یک فرد نیز فکر میکنیم. هیچ دو نفری به طور یکسان راه نمیروند و به طبع آن هیچ دو نفری اعتبار نامه موبایل یکسانی نخواهند داشت».