توکنهای نرمافزار تلاشی برای تکرار مزایای امنیتی احراز هویت چند عاملی، در عین سادگی توزیع و کاهش هزینهها هستند.
شاید در تصور اغلب ما توکنها تنها به عنوان نشانههایی از انواع داراییها نقش بستهاند. این تصور اشتباهی نیست اما توکنها در دنیای دیجیتال کارکردهای بیشتری هم دارند. توکنهای نرمافزار کاربردی از این جمله هستند که اساساً نقشهای دیگری بر عهده دارند. در این مقاله به بررسی کارکرد این توکنها میپردازیم.
آنچه در این مقاله میخوانید:
- توکن نرمافزار چیست؟
- مزایای توکن نرمافزاری
- معماری توکنهای نرمافزار
توکن نرمافزار چیست؟
توکن نرمافزاری یک نشانه امنیتی مبتنی بر نرمافزار است که به جای یک توکن مبتنی بر سختافزار، مانند یک کلید فیزیکی امکان ذخیرۀ رمز نرمافزار را بر روی لپتاپ، دسکتاپ، گوشی هوشمند یا سایر دستگاههای الکترونیکی فراهم میکند. این توکنها برای اهداف احراز هویت یعنی در درجه اول، توکنهای نرمافزاری بهعنوان عامل دوم در راهحلهای احراز هویت دو مرحلهای استفاده میشود.
توکن نرمافزار یک رمز امنیتی مبتنی بر نرمافزار است که یک پین ورود یکبار مصرف ایجاد میکند و به طور معمول نشانه امنیتی یک دستگاه سختافزاری است که برای هر بار استفاده، یک پین جدید، ایمن و جداگانه تولید میکند و آن را روی یک صفحه نمایش LCD داخلی نمایش میدهد. توکنهای امنیتی معمولاً در محیطهایی با الزامات امنیتی بالاتر به عنوان بخشی از یک سیستم احراز هویت چند عاملی استفاده میشوند.
مزایای توکن نرمافزاری
توکنهای نرمافزاری مزایای زیادی نسبت به سایر جایگزینها دارند. توکن نرمافزار از جمله میتواند جایگزین رمزهای عبور شود. توکنهای نرمافزار، امنیت را افزایش میدهند و در مقایسه با روشهای دیگر از جمله احراز هویت بیومتریک مقرون به صرفه هستند.
توکنهای نرمافزار تلاشی برای تکرار مزایای امنیتی احراز هویت چند عاملی، در عین سادگی توزیع و کاهش هزینهها هستند. یک برنامه توکن نرمافزاری گوشیهای هوشمند همان وظیفه یک توکن امنیتی مبتنی بر سختافزار را انجام میدهد.
توکن نرمافزاری ممکن است برای مجوز استفاده از خدمات رایانهای هم استفاده شود.از آنجا که توکنهای نرمافزاری ماهیت فیزیکی ندارند، میتوانند در معرض تهدیداتی چون ویروسهای رایانهای و حملات نرمافزاری قرار بگیرند. هم توکنهای سختافزاری و هم نرمافزاری در برابر حملات man-in-the-middle مبتنی بر ربات یا حملات فیشینگ ساده که در آن رمز عبور یکبار مصرف ارائهشده توسط توکن درخواست میشود، آسیبپذیر هستند.
توکنهای نرمافزار ارزان هستند و راهاندازی آنها آسانتر است، زیرا کاربران فقط باید یک عامل برنامه را دانلود کنند. بهروزرسانی نرمافزار برای توکن نرمافزار نیز به صورت خودکار انجام میشود.
از توکن نرمافزار همچنین میتوان برای ساده کردن وظیفه تیم IT استفاده کرد. بر خلاف یک توکن سختافزاری ، توکنهای نرمافزاری میتوانند از راه دور بهروز شوند که به ارتقای ایمنی برای جلوگیری از آسیبپذیریهای امنیتی کمک میکند.
معماری توکنهای نرمافزار
دو معماری اصلی برای توکنهای نرمافزار وجود دارد: رمزنگاری مخفی مشترک و رمزنگاری کلید عمومی.
برای یک رمز مشترک، یک مدیر معمولاً فایل پیکربندی برای هر کاربر نهایی ایجاد میکند. این فایل شامل یک نام کاربری، یک شماره شناسایی شخصی و رمز خواهد بود. این فایل پیکربندی در اختیار کاربر قرار میگیرد.
معماری مخفی مشترک به طور بالقوه در بعضی موارد آسیبپذیر است و در صورت سرقت و کپی شدن توکن، فایل پیکربندی میتواند به خطر بیفتد. هر توکن نرمافزاری که از رمزهای مشترک استفاده میکند و پین را در کنار رمز مشترک ذخیره میکند، میتواند به سرقت رفته و در معرض حملات آفلاین قرار گیرد. توزیع توکنهای مخفی مشترک هم ممکن است دشوار باشد، زیرا هر توکن اساساً یک نرمافزار متفاوت است. به این ترتیب هر کاربر باید یک کپی از راز دریافت کند، که میتواند محدودیتهای زمانی به دنبال داشته باشد.
برخی از توکنهای نرمافزار جدیدتر به رمزنگاری کلید عمومی یا رمزنگاری نامتقارن متکی هستند. این معماری برخی از ضعفهای سنتی توکنهای نرمافزار را از بین میبرد، اما بر ضعف اولیه آنها یعنی قابلیت تکرار تأثیری نمیگذارد. یک پین را میتوان به جای استفاده از سرویس گیرنده توکن، روی یک سرور احراز هویت از راه دور ذخیره کرد که باعث میشود توکن نرمافزاری به سرقت رفته هیچ سودی نداشته باشد، مگر اینکه پین نیز شناخته شده باشد. با این حال، در هنگام حمله ویروسی، میتوان مواد رمزنگاری را کپی کرد و در نوبت بعدی که کاربر احراز هویت کرد، پین از طریق keylogging یا موارد مشابه دریافت کرد. اگر تلاشهایی برای حدس زدن پین انجام شود، میتوان آن را شناسایی و در سرور احراز هویت ثبت کرد که میتواند توکن را غیرفعال کند. استفاده از رمزنگاری نامتقارن پیادهسازی را هم ساده میکند، زیرا مشتری توکن میتواند جفت کلید خود را تولید و کلیدهای عمومی را با سرور مبادله کند.
…………………………………………………………………………….
در این ارتباط همچنین میتوانید مقالات زیر را مطالعه کنید
آشنایی با کاربردهای توکن سرمایهگذاری
……………………………………………………………………………
برای دسترسی به کیف توکن ققنوس بر روی لینک زیر کلیک کنید.
