شرکت مایکروسافت در بهار امسال نسخه اولیه پلتفرم احراز هویت جدید خود را راهاندازی میکند. این سیستم درحالحاضر در سرویس ملی بهداشت و سلامت انگلستان آزمایش شده است.
سالهاست شرکتهای فناوری از تکنولوژی بلاکچین بهعنوان ابزاری برای توسعه سیستمهای هویتی امن و غیرمتمرکز استفاده میکنند. هدف ساختن بستری است که بتواند اطلاعات مربوط به دادههای رسمی را بدون داشتن اسناد یا اطلاعات واقعی در خود ذخیره کند. مثلا به جای اینکه فقط اسکن شناسه خود را ذخیره کنید، یک سیستم شناسایی غیرمتمرکز میتواند یک رمز معتبر را ذخیره کند که اطلاعات موجود در آن را تایید میکند. سپس هنگامی که نیاز به اثبات تابعیت خود دارید میتوانید آن شناسه از پیش تایید شده را به جای سند یا داده واقعی به اشتراک بگذارید. مایکروسافت یکی از پیشروان این مدل احراز هویت بوده است و اکنون درحالارائه جزئیات پیشرفتهای ملموس خود در مورد شناسه دیجیتال غیرمتمرکز نسبت به چشمانداز ترسیم شده است.
کارکرد سیستم هویت غیرمتمرکز
این شرکت در کنفرانس ایگنایت خود اعلام کرد که بهار امسال پیش نمایش عمومی گواهینامههای قابل تایید دایرکتوری آزور خود را راهاندازی میکند. این پلتفرم را مانند یک کیف پول دیجیتالی چون Apple Pay یا google Pay در نظر بگیرید که به جای کارتهای اعتباری برای شناسههاست. مایکروسافت با مواردی چون کارنامههای دانشگاهی، مدرک تحصیلی، دیپلمها و مدارک حرفهای کار خود را شروع کرده که به شما امکان میدهد آنها را به همراه کدهای دو عاملی به Microsoft Authenticator خود اضافه کنید. مایکروسافت درحال آزمایش این سیستم در دانشگاه کیو (Keio ) توکیو و با دولت فلندر در بلژیک و خدمات بهداشت ملی انگلستان است. جوی چیک (Joy Chik) ، معاون بخش هویت سازمانی مایکروسافت میگوید: اگر شناسه غیرمتمرکز داشته باشید میتوانم تایید کنم که کجا به مدرسه رفتهاید و دیگر نیازی نیست همه مدارک خود را برای من ارسال کنید، تمام چیزی که نیاز دارم این است که اعتبارنامه دیجیتال را داشته باشم و چون قبلا تایید شده میتوانم به آن اعتماد کنم. مایکروسافت در هفتههای آینده یک کیت توسعه نرمافزار منتشر میکند که سازمانها میتوانند با استفاده از آن اپلیکیشنهایی بسازند که قادر به صدور و درخواست شناسه هستند. این شرکت امیدوار است در بلندمدت این سیستم بتواند در سراسر جهان برای همه چیز از اجازه آپارتمان گرفته تا احراز هویت برای پناهندگان بدون اسناد و مدارک، مورد استفاده قرار گیرد.
بهعنوان مثال در طرح آزمایشی خدمات سلامت ملی انگلستان NHS، ارائهدهندگان خدمات بهداشتی درمانی میتوانند درخواست دسترسی به گواهینامههای حرفهای کارکنان خدمات سلامت ملی ارائه دهند وکارکنان میتوانند دسترسی به این مدارک را انتخاب کرده و روند انتقال به مرکز دیگر که قبلا به رفت و آمد بیشتری نیاز داشت را ساده تر کنند.
به گفته چیک، در سیستم NHS هر کدام از کارکنان مراقبتهای بهداشتی بیمارستان ماهها تلاش میکنند تا اعتبارنامه خود را تایید کنند، حالا اما نام نویسی و شروع به کار در بیمارستان تنها پنج دقیقه طول میکشد.
یکی از موانع بزرگ برای استفاده گسترده از طرح شناسایی غیرمتمرکز قابلیت همکاری سیستمهای کامپیوتری است. وجود ۱۰ چارچوب کاری، کار را برای کسی آسان نمیکند. درحالحاضر برخی رقبای بالقوه چون پیشنهادی از سوی مسترکارد Mastercard که هنوز در مرحله آزمایش است، هم وجود دارند. اما فراگیر بودن مایکروسافت به این شرکت کمک کرده تا تعداد قابل ملاحظهای از کاربران را جمع کند. این امر میتواند پذیرفتن این پلتفرم را برای مشتریان آسانتر کند و سایر غولهای فناوری نیز از استفاده از آن در محصولات خود پشتیبانی کنند. درحالحاضر مایکروسافت درحال کار با شرکتهای هویت دیجیتال Acuant، Au ۱۰tix، Idemia، Jumio، Socure، Onfido و Vu Security برای آزمایش این پلتفرم است و چیک میگوید هدف این است که این لیست را در طول زمان گسترش دهند: برای انجام این کار به همکاری کل جامعه نیازمندیم.
مایکروسافت رسما کار خود را روی طرح هویت غیرمتمرکز در سال ۲۰۱۷ آغاز کرد و در چند سال گذشته به آرامی زیرساختهای آن را ایجاد کرده است. این سیستم مبتنی بر بلاکچین بیتکوین( Bitcoin blockchain) است و از یک پروتکل باز به نام Sidetree برای افزودن سوابق معاملات به بلاکچین، که در این مورد تایید هویت است، استفاده میکند. مایکروسافت ادعا میکند که گواهینامههای قابل تایید دایرکتوری آزور از یک منبع اجرایی مرسوم از Sidetree به نام Identity Overly Network استفاده میکند. سازمانها قادر خواهند بود ION خود را برای تایید و ذخیره شناسه برای اعضای خود چون شهروندان، دانشحویان یا کارمندان اجرا کنند. چیک میگوید: ما میدانیم که این اتفاق یک شبه نخواهد افتاد اما فکر میکنیم برای کاربران و سازمانها جذاب باشد. اینطور نیست که هر سازمانی بخواهد متولی اطلاعات شخصی باشد، ولی آنها برای تایید اطلاعات یا انجام معاملات تجاری به آن نیازمندند؛ این به یک مسوولیت تبدیل میشود ولی گزینهای جذاب برای سازمانهایی است که تنها به تایید اطلاعات نیاز دارند.
چالشهای سیستم هویتی جدید
اگرچه مایکروسافت در قالب طرح هویت غیرمتمرکز مستقیما هیچ دادهای از کاربران را نگهداری نمیکند، اما احتمالا رویکرد جدید این شرکت میتواند جذابیت حسابهای کاربری برای حملات هکری را افزایش دهد. رخنه به دادههای شرکت سولارویندز و مجموعه حملاتی که در مدت اخیر جنجال زیادی بهپا کرد، به خوبی نمایانگر چالشهایی هستند که شرکت برای مدیریت هویت اکانتهای مایکروسافت و حفظ امنیتشان با آن روبهرو است. در مجموعه حملات هکری مذکور، هکرها از دسترسی به دادههای شرکت سولارویندز که یکی از شرکتهای خدماتی همکار مایکروسافت است، برای هدف قراردادن طعمهها استفاده کردند. هکرها همچنین در بسیاری موارد با دستکاری نواقصی که در سیستم دسترسی این سازمانها به دایرکتوریهایشان در مایکروسافت وجود داشت، تلاش کردند تا به سیستمهای ایمیل و فایلهای ذخیره شده شرکتها در فضای ابری Azure دسترسی پیدا کنند. حملات هکرها محدود به این موارد نبود و حتی با اجرای حملاتی مستقیما خود شرکت مایکروسافت را نیز هدف قرار دادند و سعی کردند تا بهشماری از سورسکدهای این شرکت دسترسی پید ا کنند.
جورج کورتز، مدیرعامل شرکت CrowdStrike در جلسهای که هفته پیش در کنگره برگزار شد، با استناد به محدودیتهای معماری احرازهویت در دایرکتوری اصلی مایکروسافت و دایرکتوری Azure این شرکت اظهار کرد: «هکرها با استفاده از ضعف سیستماتیک ساختار احراز هویت ویندوز توانسته بودند به اهداف موردنظر دست پیدا کنند.» حال مایکروسافت معتقد است که پلتفرم هویت غیرمتمرکز جدید این شرکت، بهگونهای طراحی شده که حتی در صورتی که حسابهای کاربری در معرض خطر قرار گیرند، هکرها نتوانند از مدارک تاییدشده برای کسب امتیازات خاص طی خرید یا وامها استفاده کنند. در این سیستم جدید افزون بر کنترل بهتر دسترسیها، توسعهدهندگان میتوانند با رمزنگاری دادههای کاربران از طریق کلیدهای امنیتی حاصل از روشهای احراز هویت غیرمتمرکز، امنیت دادههای کاربران را افزایش دهند. بر اساس گفتوگوی یکی از کارکنان مایکروسافت با Wired، با رویکرد جدیدی که در این سیستم پیش گرفته شده، حتی اگر سارقان بتوانند به حسابها دسترسی پیدا کنند، بدون در اختیار داشتن کلیدهای امنیتی که تنها در اختیار کاربر اصلی است-بهخاطر رمزنگاریشدن دادهها- امکان استفاده از دادهها را نخواهند داشت. در نتیجه سازمانهایی که از سیستم مدارک قابل تایید در دایرکتوری Azure خود استفاده کنند، میتوانند تنظیمات سیستم را به گونهای انجام دهند که برای ایجاد دسترسی، اعتبارسنجیهای بیشتری (مثلا یک توکن فیزیکی) نیز اعمال شود.
از آنجاکه روشهای اجرایی سازمانهای مختلف ممکن است اندکی با یکدیگر تفاوت داشته باشد، حفاظتی که از دادههای هر سازمان انجام میگیرد میتواند متفاوت باشد. یکی از چالشهای پربحث طرح هویت غیرمتمرکز آن است که با وجود آنکه با اجرای این طرح جدید، ممکن است میزان برخی انواع حملات سایبری کاهش یابد، اما این طرح، اکانتها را در معرض انواع جدیدی از حملات نیز قرار خواهد داد که ممکن است مدیریت آنها از نمونههای پیشین دشوارتر باشد.
دستیابی همزمان به حریم خصوصی، تمرکززدایی و امنیت میتواند بسیار دشوار باشد. امین گونسیرر، از محققان امنیت کامپیوتری دانشگاه کورنل، میگوید: درست است که فناوری بلاکچین موجب بهبود حریم خصوصی افراد شده و با تمرکززدایی، امکان شناسایی مدارک مهم دشوارتر خواهد شد، اما نباید فراموش کرد که مهمتر از تمام اینها آنست که مفهوم «هویت»، مورد بازبینی قرار گیرد. وی معتقد است از آنجا که عموما مدلهای کسبوکاری بسیاری از شرکتها، مبتنی بر آن است که از ذره ذره دادههایی که از کاربران در اختیار دارند کسب درآمد کنند، روشهای جدید میتواند قدرت آنها را در عرضههای تجاری موردنظرشان تضعیف کند. وی میافزاید: این بدان معنی نیست که ایجاد یک پلتفرم هویت غیرمتمرکز که کارآیی کافی نیز داشته باشد غیرممکن است و قطعا شرکتی با قدرت مایکروسافت میتواند گامهای بزرگی در توسعه چنین تکنولوژیهای جدیدی بردارد؛ اما مساله آنست که مجاب کردن شرکتها و افراد برای بهکارگیری چنین سیستم جدیدی میتواند دشوار باشد، زیرا طبیعتا شرکتها تمایلی به توقف جمعآوری دادهها از کاربران ندارند و افراد نیز عموما در مقابل پذیرش تکنولوژیهای جدید از خود مقاومت نشان میدهند.
گون سیرر، با تاکید بر اینکه اجرای راهکاری برای احراز هویت دیجیتال غیرمتمرکز که بهدرستی نیز پیادهسازی شده باشد، میتواند کنترل کاربران را بهبود دهد میگوید: مطمئنا بعید است که تغییر بنیادینی که در ایجاد روشی موفق برای احراز هویت انتظار میرود، توسط یکی از شرکتهای فعال در حوزه نرمافزارهای متمرکز معرفی شود.