توکن‌های نرم‌افزار تلاشی برای تکرار مزایای امنیتی احراز هویت چند عاملی، در عین سادگی توزیع و کاهش هزینه‌ها هستند.

شاید در تصور اغلب ما توکن‌ها  تنها به عنوان نشانه‌هایی از انواع دارایی‌ها نقش بسته‌اند. این تصور اشتباهی نیست اما توکن‌ها در دنیای دیجیتال کارکردهای بیشتری هم دارند. توکن‌های نرم‌افزار کاربردی از این جمله هستند که اساساً نقش‌های دیگری بر عهده دارند. در این مقاله به بررسی کارکرد این توکن‌ها می‌پردازیم.

آنچه در این مقاله می‌خوانید:

  • توکن نرم‌افزار چیست؟
  • مزایای توکن نرم‌افزاری
  • معماری توکن‌های نرم‌افزار

 

توکن نرم‌افزار چیست؟  

توکن نرم‌افزاری یک نشانه امنیتی مبتنی بر نرم‌افزار است که به جای یک توکن مبتنی بر سخت‌افزار، مانند یک کلید فیزیکی امکان ذخیرۀ رمز نرم‌افزار را بر روی لپ‌تاپ، دسکتاپ، گوشی هوشمند یا سایر دستگاه‌های الکترونیکی فراهم می‌کند. این توکن‌ها برای اهداف احراز هویت یعنی در درجه اول، توکن‌های نرم‌افزاری به‌عنوان عامل دوم در راه‌حل‌های احراز هویت دو مرحله‌ای استفاده می‌شود.

توکن نرم‌افزار یک رمز امنیتی مبتنی بر نرم‌افزار است که یک پین ورود یک‌بار مصرف ایجاد می‌کند و به طور معمول نشانه امنیتی یک دستگاه سخت‌افزاری است که برای هر بار استفاده، یک پین جدید، ایمن و جداگانه تولید می‌کند و آن را روی یک صفحه نمایش LCD داخلی نمایش می‌دهد. توکن‌های امنیتی معمولاً در محیط‌هایی با الزامات امنیتی بالاتر به عنوان بخشی از یک سیستم احراز هویت چند عاملی استفاده می‌شوند.

 

مزایای توکن نرم‌افزاری

توکن‌های نرم‌افزاری مزایای زیادی نسبت به سایر جایگزین‌ها دارند. توکن نرم‌افزار از جمله می‌تواند جایگزین رمزهای عبور شود. توکن‌های نرم‌افزار، امنیت را افزایش می‌دهند و در مقایسه با روش‌های دیگر از جمله احراز هویت بیومتریک مقرون به صرفه هستند.

توکن‌های نرم‌افزار تلاشی برای تکرار مزایای امنیتی احراز هویت چند عاملی، در عین سادگی توزیع و کاهش هزینه‌ها هستند. یک برنامه توکن نرم‌افزاری گوشی‌های هوشمند همان وظیفه یک توکن امنیتی مبتنی بر سخت‌افزار را انجام می‌دهد.

توکن نرم‌افزاری ممکن است برای مجوز استفاده از خدمات رایانه‌ای هم استفاده شود.از آنجا که توکن‌های نرم‌افزاری ماهیت فیزیکی ندارند، می‌توانند در معرض تهدیداتی چون ویروس‌های رایانه‌ای و حملات نرم‌افزاری قرار بگیرند. هم توکن‌های سخت‌افزاری و هم نرم‌افزاری در برابر حملات man-in-the-middle مبتنی بر ربات یا حملات فیشینگ ساده که در آن رمز عبور یک‌بار مصرف ارائه‌شده توسط توکن درخواست می‌شود، آسیب‌پذیر هستند.

توکن‌های نرم‌افزار ارزان هستند و راه‌اندازی آن‌ها آسان‌تر است، زیرا کاربران فقط باید یک عامل برنامه را دانلود کنند. به‌روزرسانی نرم‌افزار برای توکن نرم‌افزار نیز به صورت خودکار انجام می‌شود.

از توکن نرم‌افزار همچنین می‌توان برای ساده کردن وظیفه تیم IT استفاده کرد. بر خلاف یک توکن سخت‌افزاری ، توکن‌های نرم‌افزاری می‌توانند از راه دور به‌روز شوند که به ارتقای ایمنی برای جلوگیری از آسیب‌پذیری‌های امنیتی کمک می‌کند.

 

معماری توکن‌های نرم‌افزار

دو معماری اصلی برای توکن‌های نرم‌افزار وجود دارد: رمزنگاری مخفی مشترک و رمزنگاری کلید عمومی.

برای یک رمز مشترک، یک مدیر معمولاً  فایل پیکربندی برای هر کاربر نهایی ایجاد می‌کند. این فایل شامل یک نام کاربری، یک شماره شناسایی شخصی و رمز خواهد بود. این فایل پیکربندی در اختیار کاربر قرار می‌گیرد.

معماری مخفی مشترک به طور بالقوه در بعضی موارد آسیب‌پذیر است و در صورت سرقت و کپی شدن توکن، فایل پیکربندی می‌تواند به خطر بیفتد. هر توکن نرم‌افزاری که از رمزهای مشترک استفاده می‌کند و پین را در کنار رمز مشترک ذخیره می‌کند، می‌تواند به سرقت رفته و در معرض حملات آفلاین قرار گیرد. توزیع توکن‌های مخفی مشترک هم ممکن است دشوار باشد، زیرا هر توکن اساساً یک نرم‌افزار متفاوت است. به این ترتیب هر کاربر باید یک کپی از راز دریافت کند، که می‌تواند محدودیت‌های زمانی به دنبال داشته باشد.

برخی از توکن‌های نرم‌افزار جدیدتر به رمزنگاری کلید عمومی یا رمزنگاری نامتقارن متکی هستند. این معماری برخی از ضعف‌های سنتی توکن‌های نرم‌افزار را از بین می‌برد، اما بر ضعف اولیه آن‌ها یعنی قابلیت تکرار تأثیری نمی‌گذارد. یک پین را می‌توان به جای استفاده از سرویس گیرنده توکن، روی یک سرور احراز هویت از راه دور ذخیره کرد که باعث می‌شود توکن نرم‌افزاری به سرقت رفته هیچ سودی نداشته باشد، مگر اینکه پین نیز شناخته شده باشد. با این حال، در هنگام حمله ویروسی، می‌توان مواد رمزنگاری را کپی کرد و در نوبت بعدی که کاربر احراز هویت کرد، پین از طریق keylogging یا موارد مشابه دریافت کرد. اگر تلاش‌هایی برای حدس زدن پین انجام شود، می‌توان آن را شناسایی و در سرور احراز هویت ثبت کرد که می‌تواند توکن را غیرفعال کند. استفاده از رمزنگاری نامتقارن پیاده‌سازی را هم ساده می‌کند، زیرا مشتری توکن می‌تواند جفت کلید خود را تولید و کلیدهای عمومی را با سرور مبادله کند.

 

…………………………………………………………………………….

 در این ارتباط همچنین می‌توانید مقالات زیر را مطالعه کنید

توکن امضای دیجیتال چیست؟

توکن شبکه چه کاربردهایی دارد؟

آشنایی با کاربردهای توکن سرمایه‌گذاری

……………………………………………………………………………

 

برای دسترسی به کیف توکن ققنوس بر روی لینک زیر کلیک کنید.