احراز هویت دوعاملی در CRM چیست؟ راهنمای OTP و افزایش امنیت ورود

احراز هویت دوعاملی در نرم‌افزار CRM یکی از مهم‌ترین راهکارهای افزایش امنیت دسترسی به اطلاعات سازمانی است. در سیستم‌های مدیریت ارتباط با مشتری، حجم زیادی از داده‌های حساس مانند اطلاعات مالی، قیمت‌گذاری‌ها، مذاکرات فروش و تصمیمات مدیریتی ذخیره می‌شود. بنابراین استفاده از رمز عبور ثابت به‌تنهایی نمی‌تواند امنیت کافی را فراهم کند و سازمان‌ها نیازمند مکانیزم‌های امنیتی پیشرفته‌تری مانند رمز یک‌بار مصرف (OTP) هستند.

برای مثال بی‌تردید تصمیماتی که در هیأت مدیره یک شرکت گرفته می‌شوند یا قیمت خدمات و کالاهای قابل ارائه در آن شرکت یا ... همه جزء اطلاعات حساس و حیاتی آن به حساب می‌آیند، آیا یک گذر واژه چند کاراکتری ساده و ثابت که با ساده‌ترین ابزار مثلا  Keylogger قابل استخراج است برای حفاظت از چنین اطلاعات حساسی می تواند مناسب و امن باشد؟ قطعا نه! یکی از راه‌حل‌های بسیار مناسب که پیاده‌سازی آن نیازمند به‌کارگیری پیش‌نیاز خاصی نیست، استفاده از سامانه‌های مبتنی بر رمز یک‌بار مصرف می‌باشد.

از دیرباز تکنولوژی‌های مبتنی بر احراز هویت چندعاملی یکی از کاربردی‌ترین روش‌های تشخیص اصالت و احراز هویت کاربران در محیط‌های مجازی بوده است و تکنولوژی استفاده از رمز یک‌بار مصرف یا (OTP (One Time Password یا استفاده از توکن، با توجه به سادگی استفاده و هزینه کم پیاده‌سازی آن، یکی از رایج‌ترین و کارآمدترین روش‌ها بوده است. این روش نه تنها به سیستم‌ها کمک می‌کند که کاربران خود را احراز هویت کنند بلکه روشی کارآمد برای جلوگیری از سرقت رمز عبور نیز می‌باشد.

با توجه به گستردگی استفاده از توکن‌های تولید رمز یک‌بار مصرف و نیاز بازار به استانداردسازی و پرهیز از الگوریتم‌های خاص (Black Box)، نیاز به تدوین استاندارد قدرت‌مندی برای احراز هویت در فضای مجازی به شدت احساس می‌شد. در سال 2004 شرکت Verisign، به‌عنوان یکی از برترین شرکت‌های حوزه امنیت در دنیا، اقدام به تعریف و تدوین یک استاندارد آزاد (Open Standard) در این حوزه نمود که به خلاصه OATH یا OpenAuthentication نامیده شد. 

احراز هویت دوعاملی در CRM چیست؟

راه‌حل OTP، مکانیزمی جهت ورود به شبکه یا سرویس‌های مختلف با استفاده از یک گذرواژه یکتا و یک‌بار مصرف را فراهم می‌کنند. این ابزار با اطمینان از این موضوع که گذر واژه مجددا مورد استفاده قرار نمی‌گیرد، می‌تواند جلوی بسیاری از انواع دزدی هویت را بگیرد. در این سیستم‌ها معمولا نام کاربری یکسان باقی‌مانده و گذرواژه تغییر می‌کند. احراز هویت قدرت‌مند فراهم‌شده توسط این تکنولوژی سطح امنیت بالاتری را برای کاربردهای مختلفی هم‌چون حساب‌های بانکی آنلاین، شبکه‌های کامپیوتری و سیستم‌های حاوی داده‌های حساس فراهم می‌کند. امروزه استفاده از گذر واژه‌های ایستا به‌دلیل وجود تهدیدات و حملات امنیتی از قبیل سرقت هویت با استفاده از فیشینگ، رویدادنگاری صفحه کلید و حملات مردی در میان مناسب نیست. سیستم‌های احراز هویت قوی نظیرOTP، محدودیت‌های گذر واژه‌های ایستا را پوشش داده و مشخصه‌های امنیتی دیگری را به سیستم‌ها اضافه می‌کنند. برای مثال یک گذرواژه یک‌بارمصرف موقتی می‌تواند برای حفاظت از دسترسی به شبکه و احراز هویت دیجیتال کاربران نهایی استفاده شود. این تکنولوژی لایه‌ای از حفاظت را به سیستم اضافه کرده و دسترسی غیرمجاز به اطلاعات، شبکه و حساب‌های آنلاین را مشکل‌تر می‌کند.

OTP چیست و چگونه کار می‌کند؟

ورود به سامانه‌ها یا پرتال‌ها از طریق احراز هویت دوعاملی، مشکلات امنیتی استفاده از رمز ثابت برای ورود به سامانه‌ها یا پرتال‌های سازمان را برطرف خواهد کرد. به عنوان مثال ممکن است فردی هنگام ورود فردی به سامانه بتواند از روی صفحه کلید رمز او را مشاهده نماید، در این صورت آن فرد به‌راحتی می تواند در وقتی دیگر به جای او در سامانه‌ها یا پرتال‌های سازمان وارد شود و اطلاعاتی را سرقت یا از آن سوء استفاده نماید.

حتی به‌راحتی می‌تواند به جای او، نامه یا دستوراتی را به افراد دیگر سازمان ارسال کند. با استفاده از دستگاه‌های تولید رمز یک‌بار مصرف (OTP) در هر بار ورود به سیستم رمز جدیدی برای کاربر تولید می‌شود، که این رمز یک‌بار مصرف بوده و پس از استفاده‌ی کاربر، فرد دیگری نمی‌تواند با استفاده مجدد از آن وارد سیستم شود. این دستگاه‌ها دارای شماره سریال و رمز داخلی منحصربه‌فرد بوده که برای هر دستگاه به طور مجزا تعریف شده‌است.

از خصوصیات این روش امکان فعال‌سازی سریع و آسان در سامانه‌های سازمان می‌باشد. همچنین هزینه پیاده‌سازی و فعال‌سازی آن برای سازمان نسبت به روش‌های احراز هویت دیگر بسیار اندک است.

•  دستگاه OTP 

OTP معمولا با یک سخت افزار Token در ارتباط است. به هر کاربر یک Token شخصی داده می‌شود که دارای یک کد منحصر‌به فرد می باشد (OTP Serial Number)، همچنین داخل هر دستگاه OTP کلید محرمانه (SEED) منحصربه‌فردی تعبیه شده‌است که بسته به نوع OTP با استفاده از الگوریتم استاندارد جهانی OATH از این کلید محرمانه و فاکتورهای دیگر برای تولید رمز یک‌بار مصرف استفاده می‌شود. بسته به مدل OTP سخت‌افزار آن تک دکمه‌ای (OTP های مبتنی بر زمان (Time Base) و مبتنی بر شمارنده (Event Base)) یا دارای صفحه کلید(مدل پرسش و پاسخ (Challenge & Response)) می‌باشد.

در محیط‌های سازمانی که کاربران متعددی به CRM دسترسی دارند، فعال‌سازی احراز هویت دوعاملی (2FA) می‌تواند از حملاتی مانند فیشینگ، Keylogger و Replay جلوگیری کند. حتی اگر رمز عبور ثابت کاربر افشا شود، بدون دسترسی به رمز پویا امکان ورود به سیستم وجود نخواهد داشت.

مزایای استفاده از OTP در امنیت CRM

گذرواژه‌های یک‌بار مصرف (OTP) می‌توانند به روش‌های مختلفی تولید شوند که هر یک ویژگی‌های خاصی از نظر امنیت، هزینه و دقت دارند. یکی از مهم‌ترین مزیت‌های OTP نسبت به کلمات عبور سنتی، مقاومت در برابر حملات Replay است. در این نوع حمله، مهاجم تلاش می‌کند با استفاده مجدد از رمز عبوری که در یک تراکنش قبلی شنود شده، به‌صورت غیرمجاز وارد سیستم شود.

در صورت استفاده از تکنولوژی OTP، حتی اگر رمز عبور در حین یک عملیات ورود یا تراکنش شنود شود، به دلیل یک‌بار مصرف بودن و انقضای سریع آن، امکان استفاده مجدد از آن وجود نخواهد داشت. این ویژگی نقش مهمی در حفاظت از اطلاعات حساس موجود در نرم‌افزار CRM ایفا می‌کند.

از دیگر خصوصیات مهم رمزهای یک‌بار مصرف می‌توان به غیرقابل پیش‌بینی بودن آن‌ها اشاره کرد. الگوریتم‌های تولید OTP معمولاً بر پایه اعداد تصادفی یا شبه‌تصادفی و با استفاده از کلیدهای محرمانه منحصربه‌فرد طراحی می‌شوند تا امکان پیش‌بینی رمزهای بعدی از طریق تحلیل رمزهای قبلی وجود نداشته باشد.

روش‌های متداول تولید OTP شامل مدل‌های مبتنی بر زمان (Time-Based)، مبتنی بر شمارنده (Event-Based) و مدل‌های چالش و پاسخ (Challenge & Response) هستند. در هر یک از این روش‌ها، رمز تولیدشده تنها برای یک بازه محدود معتبر است و پس از استفاده یا پایان زمان اعتبار، منقضی می‌شود.

در محیط‌های سازمانی که کاربران متعددی به سیستم CRM دسترسی دارند، فعال‌سازی احراز هویت دوعاملی باعث می‌شود حتی در صورت افشای رمز عبور ثابت، دسترسی غیرمجاز به اطلاعات مشتریان، قیمت‌گذاری‌ها و سوابق فروش امکان‌پذیر نباشد.

از جمله مزایای استفاده از OTP در سازمان می‌توان به موارد زیر اشاره کرد:

• احراز هویت دوعاملی قوی و مطمئن از طریق رمز پویا
• جلوگیری از سوءاستفاده از رمزهای افشاشده
• انقضای خودکار رمز پس از مدت زمان مشخص
• افزایش اطمینان از هویت کاربران هنگام ورود به سیستم
• امکان فعال‌سازی سریع و ساده در بستر سازمانی
• مقاومت در برابر حملات فیشینگ و Replay
• قابلیت یکپارچگی با زیرساخت‌های احراز هویت مانند RADIUS Server
• عدم نیاز به نصب نرم‌افزار اضافی در سمت کاربر
• استفاده آسان و قابل حمل بودن توکن‌های سخت‌افزاری یا نرم‌افزاری

نحوه پیاده‌سازی احراز هویت دوعاملی در سازمان

در نرم‌افزارهای سازمانی مانند CRM، فعال‌سازی احراز هویت دوعاملی می‌تواند به‌صورت یکپارچه با ساختار دسترسی کاربران، نقش‌ها و سطح مجوزها انجام شود. این موضوع به سازمان‌ها کمک می‌کند علاوه بر کنترل دسترسی، ریسک نفوذ به اطلاعات حساس مشتریان را به حداقل برسانند.
دستگاه‌های رمزیاب و سرور احراز هویت هر دو از استاندارد OATH که استاندارد جهانی مربوط به حوزه احراز هویت دوعاملی می‌باشد، پشتیبانی می‌کنند. در ابتدا یک‌بار دستگاه‌های مذکور با سرور احراز هویت همزمان (synch) شده و پس از آن سرور و توکن رمزعبوری که بر اساس الگوریتم استاندارد OATH تولید می‌شود را می‌دانند. در زمان لاگین، کاربر موظف به وارد کردن کلمه کاربری و رمز عبور ثابت و رمز عبور پویا (که از دستگاه رمزیاب دریافت می‌کند) می باشد. در صورتی‌که اطلاعات واردشده صحیح نبوده یا کاربر دستگاه مذکور را در اختیار نداشته باشد امکان دسترسی به خدمات مورد نظر را نخواهد یافت. بدین ترتیب اگر شخصی از کلمه کاربری و رمز عبور ثابت نیز مطلع گردد نمی تواند از خدماتی که برای وی مجاز نیست، استفاده نماید.