تولید رمز عبور چندبعدی برای احراز هویت خدمات ابری

1. مقدمه

رایانش ابری به عنوان یک فناوری تحول‌آفرین و مبتنی بر سرویس ظهور کرده است که دسترسی بر‌اساس‌تقاضا به نرم‌افزار، سخت‌افزار، زیرساخت و ذخیره‌سازی داده را از طریق اینترنت فراهم می‌کند. هدف از پذیرش آن، بهبود زیرساخت و عملکرد کسب‌وکار است. با این حال، دسترسی ایمن به این خدمات از اهمیت بالایی برخوردار است و به شدت به مکانیزم‌های احراز هویت قوی وابسته است.

روش‌های کنونی احراز هویت ابری شامل رمزهای عبور متنی، رمزهای عبور گرافیکی و رمزهای عبور سه‌بعدی می‌شود که هر یک معایب قابل توجهی دارند. رمزهای عبور متنی در برابر حملات دیکشنری و جستجوی فراگیر آسیب‌پذیر هستند. رمزهای عبور گرافیکی، اگرچه از حافظه بصری بهره می‌برند، اما اغلب از فضای رمز عبور کوچک‌تر یا پیچیدگی زمانی بالا رنج می‌برند. رمزهای عبور سه‌بعدی نیز محدودیت‌های خاص خود را دارند.

این مقاله یک تکنیک تولید رمز عبور چندبعدی را برای رفع این ضعف‌ها پیشنهاد می‌دهد. ایده اصلی، تولید یک رمز عبور قوی با ترکیب چندین پارامتر ورودی از پارادایم ابری، مانند لوگوها، تصاویر، اطلاعات متنی و امضاها است. این رویکرد هدف دارد فضای رمز عبور و پیچیدگی آن را به شدت افزایش دهد و در نتیجه احتمال موفقیت حملات جستجوی فراگیر را کاهش دهد.

2. تکنیک پیشنهادی تولید رمز عبور چندبعدی

تکنیک پیشنهادی، دسترسی به ابر را با استفاده از رمز عبوری که از چندین بُعد یا پارامتر ساخته شده است، احراز هویت می‌کند. این روش فراتر از رویکردهای تک‌عاملی (متن) یا دو عاملی رفته و به یک مدل احراز هویت جامع‌تر و آگاه از زمینه تبدیل می‌شود.

2.1 معماری و اجزاء

معماری سیستم شامل یک رابط سمت کاربر برای ورود پارامترها و یک موتور سمت سرور برای تولید و تأیید رمز عبور است. اجزاء کلیدی عبارتند از:

• ماژول ورود پارامتر: ورودی‌های متنوعی از کاربر جمع‌آوری می‌کند (مانند لوگوی سرویس انتخاب شده، یک قطعه تصویر شخصی، یک عبارت متنی، یک امضای گرافیکی).
• موتور ادغام: پارامترهای ورودی را به صورت الگوریتمی در یک توکن یکتا و با آنتروپی بالا ترکیب می‌کند.
• سرور احراز هویت: هش چندبعدی تولید شده را ذخیره کرده و تلاش‌های ورود کاربر را اعتبارسنجی می‌کند.
• درگاه سرویس ابری: پس از احراز هویت موفق، دسترسی را اعطا می‌کند.

2.2 نمودار توالی و گردش کار

توالی احراز هویت مراحل زیر را دنبال می‌کند:

1. کارگر به پورتال ابری دسترسی پیدا کرده و ورود را آغاز می‌کند.
2. سیستم رابط ورود چندبعدی را نمایش می‌دهد.
3. کاربر پارامترهای مورد نیاز را ارائه می‌دهد (مثلاً آیکون SaaS را انتخاب می‌کند، یک الگو ترسیم می‌کند، یک کلمه کلیدی وارد می‌کند).
4. ماژول سمت کاربر مجموعه پارامترها را به سرور احراز هویت ارسال می‌کند.
5. موتور ادغام سرور ورودی‌ها را پردازش کرده، یک هش تولید می‌کند و آن را با اعتبارنامه ذخیره شده مقایسه می‌کند.
6. در صورت مطابقت، دسترسی به سرویس ابری درخواستی (SaaS، IaaS، PaaS، DSaaS) اعطا می‌شود.

2.3 الگوریتم تولید رمز عبور

مقاله یک الگوریتم مفهومی را ترسیم می‌کند که در آن رمز عبور نهایی $P_{md}$ تابعی $F$ از $n$ پارامتر ورودی است: $P_{md} = F(p_1, p_2, p_3, ..., p_n)$. هر پارامتر $p_i$ متعلق به یک بُعد متفاوت (بصری، متنی، نمادین) است. تابع $F$ احتمالاً شامل الحاق، هش کردن (مانند SHA-256) و احتمالاً افزودن نمک برای تولید یک توکن رمزنگاری با طول ثابت است.

3. طراحی و پیاده‌سازی تفصیلی

3.1 طراحی رابط کاربری

رابط کاربری پیشنهادی یک فرم وب چندپانلی است. یک رابط معمولی ممکن است شامل موارد زیر باشد:

• یک شبکه از لوگوهای سرویس ابری (SaaS، IaaS، PaaS، DSaaS) برای انتخاب.
• یک بوم برای ترسیم یک امضا یا شکل ساده.
• یک فیلد متنی برای وارد کردن یک عبارت عبور.
• یک ناحیه بارگذاری تصویر برای یک عکس شخصی (با ابزار برش برای انتخاب یک ناحیه خاص).

این ترکیب برای جلسه کاربر و زمینه سرویس ابری منحصر به فرد است.

3.2 تحلیل احتمال امنیتی

یک سهم کلیدی، تحلیل نظری احتمال حمله است. اگر یک رمز عبور متنی سنتی دارای اندازه فضای $S_t$ باشد و هر بُعد اضافه شده $i$ دارای اندازه فضای $S_i$ باشد، فضای کل رمز عبور برای طرح چندبعدی می‌شود: $S_{total} = S_t \times S_1 \times S_2 \times ... \times S_n$.

احتمال موفقیت یک حمله جستجوی فراگیر با $S_{total}$ نسبت معکوس دارد: $P_{attack} \approx \frac{1}{S_{total}}$. با بزرگ کردن $S_{total}$ به صورت نجومی (مثلاً $10^{20}$+)، تکنیک پیشنهادی هدف دارد $P_{attack}$ را به سطحی ناچیز کاهش دهد، حتی در برابر حملات محاسباتی توزیع‌شده که در محیط‌های ابری امکان‌پذیر هستند.

4. نتیجه‌گیری و کار آینده

مقاله نتیجه می‌گیرد که تکنیک تولید رمز عبور چندبعدی با بهره‌گیری از ماهیت چندوجهی خود پارادایم ابری، جایگزین قوی‌تری برای روش‌های احراز هویت ابری موجود ارائه می‌دهد. این تکنیک فضای رمز عبور را به طور قابل توجهی گسترش می‌دهد و حملات جستجوی فراگیر را از نظر محاسباتی غیرممکن می‌سازد.

کارهای آینده شامل پیاده‌سازی یک نمونه اولیه کامل، انجام مطالعات کاربری برای ارزیابی قابلیت به خاطر سپردن و قابلیت استفاده، یکپارچه‌سازی با APIهای استاندارد ابری (مانند OAuth 2.0/OpenID Connect) و بررسی استفاده از یادگیری ماشین برای تشخیص الگوهای ورودی غیرعادی در حین احراز هویت است.

5. تحلیل اصیل و بینش کارشناسی

بینش اصلی: این مقاله سال 2012 یک نقص حیاتی و ماندگار در امنیت ابری - وابستگی به احراز هویت ضعیف و تک‌بعدی - را شناسایی کرده و یک راه‌حل ترکیبی پیشنهاد می‌دهد. دوراندیشی آن قابل تحسین است، زیرا حملات امروزی به طور فزاینده‌ای از قدرت محاسباتی ابر برای حملات پرکردن اعتبارنامه استفاده می‌کنند. ایده اصلی «آنتروپی زمینه‌ای» - استخراج قدرت رمز عبور از خود اکوسیستم سرویس - اکنون بیش از هر زمان دیگری مرتبط است و اصولی را پیش‌بینی می‌کند که بعدها در احراز هویت تطبیقی دیده شد.

جریان منطقی: استدلال محکم است: 1) پذیرش ابری در حال رونق است. 2) رمزهای عبور کنونی شکسته شده‌اند. 3) بنابراین، ما به یک تغییر پارادایم نیاز داریم. تغییر پیشنهادی منطقی است: مبارزه با حملات در مقیاس ابری با اسرار زمینه‌ای ابری. با این حال، این جریان با عدم مقایسه دقیق پیچیدگی تکنیک پیشنهادی با استانداردهای در حال ظهور آن دوران، مانند مفاهیم اولیه FIDO که برای حل مشکلات مشابه نیز در حال جلب توجه بودند، دچار لغزش می‌شود.

نقاط قوت و ضعف: نقطه قوت اصلی افزایش امنیت نظری است. با ضرب احتمالات مستقل، این طرح یک مانع قدرتمند ایجاد می‌کند. این با اصول رمزنگاری، که در آن فضای کلید از اهمیت بالایی برخوردار است، همسو است. ضعف مقاله حذف آشکار قابلیت استفاده است. این مقاله ایجاد رمز عبور را به عنوان یک مسئله صرفاً رمزنگاری در نظر می‌گیرد و عامل انسانی - نقطه ضعف اکثر سیستم‌های امنیتی - را نادیده می‌گیرد. مطالعات سازمان‌هایی مانند NIST و مؤسسه SANS به طور مداوم نشان می‌دهند که احراز هویت بیش از حد پیچیده منجر به راه‌حل‌های جایگزین کاربران (مانند نوشتن رمزهای عبور) می‌شود که هرگونه مزیت امنیتی را خنثی می‌کند. علاوه بر این، مقاله فاقد بحثی مشخص در مورد چگونگی انتقال ایمن و هش کردن این انواع داده‌های متنوع است که یک چالش مهندسی غیربدیهی است.

بینش‌های عملی: برای متخصصان مدرن، این مقاله یک محرک فکری است، نه یک نقشه راه. بینش عملی این است که فلسفه احراز هویت لایه‌ای و آگاه از زمینه آن را بپذیریم اما آن را با استفاده از ابزارهای مدرن و کاربرمحور پیاده‌سازی کنیم. به جای ساخت یک رابط کاربری سفارشی چندورودی، با یک ارائه‌دهنده اثبات‌شده احراز هویت چندعاملی (MFA) یکپارچه شوید. از احراز هویت مبتنی بر ریسک (RBA) استفاده کنید که زمینه (دستگاه، مکان، زمان) را به صورت خاموش در پس‌زمینه در نظر می‌گیرد. برای دسترسی با ارزش بالا، این را با کلیدهای امنیتی سخت‌افزاری (FIDO2/WebAuthn) ترکیب کنید که احراز هویت قوی مقاوم در برابر فیشینگ را بدون بارگذاری بر دوش کاربر برای به خاطر سپردن ورودی‌های چندبعدی پیچیده فراهم می‌کنند. آینده در پیچیده‌تر کردن رمزهای عبور برای ایجاد توسط انسان‌ها نیست، بلکه در روان‌تر و قوی‌تر کردن احراز هویت از طریق فناوری‌ای است که به صورت شفاف عمل می‌کند.

6. جزئیات فنی و فرمول‌بندی ریاضی

امنیت این طرح را می‌توان به صورت ریاضی مدل کرد. فرض کنید:

• $D = \{d_1, d_2, ..., d_n\}$ مجموعه ابعاد باشد (مثلاً $d_1$=لوگو، $d_2$=تصویر، $d_3$=متن).
• $V_i$ مجموعه مقادیر ممکن برای بعد $d_i$ باشد، با اندازه $|V_i|$.
• اندازه فضای کل رمز عبور است: $N = \prod_{i=1}^{n} |V_i|$.

با فرض اینکه مهاجم بتواند $G$ حدس در ثانیه بزند، زمان مورد انتظار $T$ برای شکستن رمز عبور تقریباً است: $T \approx \frac{N}{2G}$ ثانیه. برای مثال، اگر $|V_{logo}|=10$، $|V_{image}|=100$ (با در نظر گرفتن نواحی قابل انتخاب)، $|V_{text}|=10^6$ (برای یک رمز عبور متنی 6 کاراکتری)، آنگاه $N = 10 \times 100 \times 10^6 = 10^9$. اگر $G=10^9$ حدس/ثانیه (حمله تهاجمی مبتنی بر ابر)، $T \approx 0.5$ ثانیه، که ضعیف است. این نشان‌دهنده نیاز حیاتی به ورودی‌های با آنتروپی بالا در هر بعد است. مقاله پیشنهاد می‌کند که از ابعاد بیشتر یا ورودی‌های غنی‌تر (مثلاً $|V_{image}|=10^6$) استفاده شود تا $N$ به $10^{20}$ یا بیشتر برسد و $T$ را به صورت غیرعملی بزرگی درآورد.

7. نتایج آزمایشی و توصیف نمودار

در حالی که مقاله عمدتاً مفهومی است، اما تحلیل مقایسه‌ای احتمال حمله را القا می‌کند. یک نمودار استخراج شده احتمالاً اندازه فضای رمز عبور (مقیاس لگاریتمی) را در مقابل زمان تخمینی برای شکستن برای طرح‌های مختلف ترسیم می‌کند.

• خط 1 (رمز عبور متنی): یک فلات پایین را نشان می‌دهد. حتی با $10^{10}$ امکان، با رایانش ابری در عرض دقیقه‌ها/ساعت‌ها قابل شکستن است.
• خط 2 (رمز عبور گرافیکی): افزایش متوسطی را نشان می‌دهد، اما اغلب توسط اندازه‌های عملی شبکه محدود می‌شود (مثلاً شبکه 10x10 برای نقاط کلیک).
• خط 3 (چندبعدی پیشنهادی): یک صعود شیبدار و نمایی را نشان می‌دهد. با افزایش ابعاد (n) از 2 به 4، فضای رمز عبور چندین مرتبه بزرگی می‌پرد (مثلاً از $10^{12}$ به $10^{24}$)، که زمان تخمینی شکستن را از روزها به میلیاردها سال می‌رساند، حتی در سناریوهای حمله شدید.

این نمودار نظری به صورت بصری گزاره امنیتی اصلی را نشان می‌دهد: پیچیدگی ضربی منجر به دستاوردهای امنیتی نمایی می‌شود.

8. چارچوب تحلیل: مورد مثال

سناریو: یک شرکت خدمات مالی "فین‌کلود" از یک برنامه SaaS برای مدیریت سبد سرمایه‌گذاری استفاده می‌کند. آنها نگران حملات مبتنی بر اعتبارنامه هستند.

اعمال چارچوب:

1. نگاشت ابعاد: برای ورود فین‌کلود، ما 3 بعد را تعریف می‌کنیم:
   - $D_1$: زمینه سرویس (کاربر باید آیکون برنامه خاص مدیریت سبد را از بین مجموعه‌ای از 5 آیکون SaaS تأییدشده توسط شرکت انتخاب کند).
   - $D_2$: عامل دانش (کاربر یک PIN 4 رقمی وارد می‌کند: $10^4$ امکان).
   - $D_3$: عامل ذاتی (ساده‌شده) (کاربر یکی از 4 نشانه گرافیکی از پیش ثبت‌شده، مانند یک الگوی خاص نمودار سهام را انتخاب می‌کند).
2. محاسبه فضای: فضای کل رمز عبور $N = 5 \times 10^4 \times 4 = 200,000$. این هنوز کم است.
3. ارزیابی امنیتی: پیاده‌سازی خالص ضعیف است. پیاده‌سازی مدرن تقویت‌شده: $D_2$ را با یک رمز عبور یکبار مصرف مبتنی بر زمان (TOTP از یک برنامه، فضای $10^6$) جایگزین کنید. $D_3$ را با یک زیست‌سنجی رفتاری (ریتم تایپ که به صورت خاموش تحلیل می‌شود) جایگزین کنید. اکنون، $N$ به طور مؤثر حاصلضرب فضای TOTP و نرخ پذیرش کاذب زیست‌سنجی می‌شود و یک سیستم قوی، چندعاملی و آگاه از زمینه ایجاد می‌کند که کاربرپسند است.

این مورد نشان می‌دهد که چگونه مفهوم چندبعدی مقاله می‌تواند به یک استراتژی احراز هویت عملی و مدرن تکامل یابد.

9. کاربردها و جهت‌های آینده

اصول احراز هویت چندبعدی فراتر از ورود ابری سنتی گسترش می‌یابد:

• راه‌اندازی دستگاه‌های اینترنت اشیاء: احراز هویت یک دستگاه هوشمند جدید به یک پلتفرم ابری ممکن است نیاز به ترکیبی از اسکن کد QR (بُعد بصری)، یک نانس تولیدشده توسط دستگاه (بُعد داده) و فشار دادن یک دکمه فیزیکی (بُعد عمل) داشته باشد.
• مدیریت دسترسی ممتاز (PAM): دسترسی به کنسول‌های مدیریت ابر ممکن است نیاز به رمز عبور، یک گواهی (بُعد هویت ماشین) و یک بررسی حصار جغرافیایی (بُعد مکان) داشته باشد.
• هویت غیرمتمرکز (هویت خودمختار): اعتبارنامه‌های چندبعدی می‌توانند به عنوان ادعاهای قابل تأیید در یک کیف پول هویت مبتنی بر بلاکچین نمایش داده شوند، جایی که احراز هویت شامل اثبات مالکیت چندین ادعا (مانند یک اعتبارنامه از کارفرما، یک شناسه دولتی، یک مدرک دانشگاهی) بدون افشای داده‌های خام است.
• ابعاد تطبیقی مبتنی بر هوش مصنوعی: سیستم‌های آینده می‌توانند از هوش مصنوعی برای انتخاب پویای ابعادی که باید به چالش کشیده شوند، بر اساس امتیاز ریسک بلادرنگ استفاده کنند. یک ورود کم‌ریسک از یک دستگاه شناخته شده ممکن است فقط به یک بعد نیاز داشته باشد، در حالی که یک تلاش پرریسک چندین بعد، از جمله تأیید خارج از باند را فعال می‌کند.

تکامل در روان‌تر، استانداردتر و حفظ حریم خصوصی‌تر کردن این ابعاد نهفته است.

10. مراجع

1. Mell, P., & Grance, T. (2011). The NIST Definition of Cloud Computing. National Institute of Standards and Technology, SP 800-145.
2. Buyya, R., Yeo, C. S., Venugopal, S., Broberg, J., & Brandic, I. (2009). Cloud computing and emerging IT platforms: Vision, hype, and reality for delivering computing as the 5th utility. Future Generation computer systems, 25(6), 599-616.
3. SANS Institute. (2020). The Human Element in Security: Behavioral Psychology and Secure Design. InfoSec Reading Room.
4. FIDO Alliance. (2022). FIDO2: WebAuthn & CTAP Specifications. https://fidoalliance.org/fido2/
5. Bonneau, J., Herley, C., van Oorschot, P. C., & Stajano, F. (2012). The quest to replace passwords: A framework for comparative evaluation of web authentication schemes. In 2012 IEEE Symposium on Security and Privacy (pp. 553-567). IEEE.
6. OWASP Foundation. (2021). OWASP Authentication Cheat Sheet. https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html