توکن امنیتی چیه؟

توکن امنیتی یه دستگاه فیزیکی یا دیجیتالیه که احراز هویت دو مرحله‌ای (2FA) رو برای کاربر فراهم می کنه؛ یه شیوه تعیین هویته که برای دسترسی فیزیکی به جایی یا دسترسی به یه سیستم کامپیوتری استفاده میشه. توکن می‌تونه یه شیء بخصوص یا یه کارت باشه که حاوی اطلاعات امنیتی‌کاربره و توسط سیستم مورد تایید قرار می‌گیره.

توکن‌های امنیتی می‌تونن جایگزین و یا مکمل مناسبی برای پسورد‌ باشن. از توکن‌های امنیتی بیشتر برای دسترسی به شبکه استفاده میشه، اما میشه برای دسترسی فیزیکی به یه ساختمون یا امضای الکترونیکی اسناد
هم ازشون استفاده کرد.

تو‌کن‌های امنیتی چطور کار می‌کنن؟

توکن‌های امنیتی از طریق هر دستگاهی که می‌تونه رمز عبور تولید کنه برای دسترسی به یه سیستم،‌ احراز هویت فراهم می‌کنن. این می‌تونه شامل کارت هوشمند، کلید USB، تلفن‌همراه یا یه کارت RFID باشه. هر بار که از توکن امنیتی استفاده می‌کنیم رمز عبور جدیدی تولید می‌کنه، بنابر این میشه از طریق تایپ رمز عبور تولید شده هم میشه ازش برای دسترسی به یه سیستم کامپیوتری یا یه شبکه خصوصی استفاده کرد.

فناوری توکن امنیتی مبتنی بر استفاده از دستگاهی با قابلیت تولید عدد تصادفیه. عدد رمزگذاری و به یه سرور که حاوی اطلاعات احراز هویت کاربره ارسال میشه. سپس سرور پاسخ رمزگذاری شده رو به دستگاه ارسال میکنه که فقط توسط همون دستگاه قابل رمزگشاییه. برای هر احراز هویت مجدد از همین دستگاه استفاده میشه، بنابر این سرور مجبور نیست اطلاعات نام کاربری یا رمز عبور رو ذخیره کنه، بخاطر همین موضوع سیستم آسیب پذیری کمتری در برابر هک شدن داره.

انواع توکن امنیتی

انواع مختلفی از توکن‌های امنیتی برای ایمن سازی انواع دارایی و برنامه‌ها استفاده میشه. این موارد شامل:

• پسورد یکبار مصرف (OTP). OTP‌ها که نوعی توکن امنیتی دیجیتال هستن، تنها برای یک بار ورود به سیستم معتبرن. بعد از اولین استفاده، به سرور احراز هویت اطلاع داده میشه که این OTP نباید دوباره استفاده بشه. OTP‌ها معمولاً با استفاده از یه الگوریتم رمزنگاری به واسطه یه کلید مخفی مشترک تولید میشن. این کلید مخفی متشکل از دو عنصر داده منحصر به فرد و تصادفیه؛ یکی از این عناصر شناسه تصادفی جلسه و دیگری یه کلید مخفیه.
• توکن‌های منفصل. نوعی توکن امنیتی دیجیتال که از نظر فیزیکی یا منطقی به کامپیوتر متصل نمیشه. این دستگاه ممکنه پسورد یکبارمصرف یا انواع دیگری از اعتبارنامه تولید کنه. مثلا برنامه‌ای که یه پیام متنی‌ای رو به تلفن همراه کاربر ارسال می‌کنه تا کاربر اون رو در لاگین وارد کنه، از توکن منفصل استفاده می‌کنه.
• توکن‌های متصل. توکن متصل یه شی فیزیکیه که مستقیماً به یه کامپیوتر یا حسگر متصل میشه. دستگاه توکن رو می‌خونه و در صورت معتبر بودن به کاربر اجازه دسترسی میده. YubiKey یه نمونه از توکن متصله.
• توکن‌های بدون تماس. توکن‌های بدون تماس، بدون نیاز به اتصال فیزیکی ارتباط منطقی با کامپیوتر ایجاد می‌کنن. این توکن‌ها به صورت بی سیم به سیستم متصل میشن. به عنوان مثال، بلوتوث اغلب به عنوان روشی برای برقراری ارتباط با توکن بدون تماس استفاده میشه.
• توکن‌های نرم‌افزاری SSO (سرویس متمرکز تایید هویت ). توکن‌های نرم‌افزاری SSO اطلاعات دیجیتالی مثل نام‌کاربری و پسورد رو ذخیره می‌کنن. اونها به افرادی که از سیستم‌های کامپیوتری مختلف برای دسترسی به سامانه مورد نظر استفاده میکنن، این امکان رو میدن تا بدون نیاز به حفظ کردن چندین نام کاربری و رمز عبور به سامانه مورد نظر دسترسی داشته باشن.
• توکن‌های قابل برنامه ریزی. یه توکن‌ قابل برنامه ریزی به طور مکرر یه کد منحصر به فرد که برای یه بازه زمانی مشخص (غالباً ۳۰ ثانیه) معتبره ایجاد می‌کنه تا دسترسی کاربر رو فراهم کنه. به عنوان مثال، Amazon Web Services Security Token Service برنامه‌ایه که کدهای 2FA (احراز هویت دو مرحله‌ای) مورد نیاز سرپرست‌های IT برای دسترسی به برخی منابع ابری AWS را تولید می‌کنه.

مزایای توکن امنیتی

با اینکه پسوردها و شناسه‌های کاربری همچنان پرکاربردترین شکل احراز هویتن، توکن‌های امنیتی گزینه امن‌تری برای محافظت از شبکه‌ها و سیستم‌های دیجیتال هستن. پیشرفت ابزارهای کرک پسورد باعث آسیب‌پذیری پذیری پسوردها شده . همچنین ممکنه در جریان یه نقض داده اطلاعات مربوط به پسورد‌ها دزدیده بشه. علاوه بر این، پسوردها غالباً به راحتی قابل حدس زدن هستن، بخاطر اینکه معمولاً بر اساس اطلاعات شخصی که به راحتی قابل کشفن ساخته شدن.

از سوی دیگر، توکن‌های امنیتی از یه شناسه فیزیکی یا دیجیتالی منحصر به فرد کاربر استفاده می‌کنن. دارای انواع مختلفین که استفاده از اکثرشون آسونه.

نقاط ضعف توکن امنیتی

توکن‌های امنیتی دارای مزایای مختلفی برای کاربران و سازمان‌ها هستن، با این‌حال می‌تونن معایبی رو نیز به همراه داشته باشن.

عیب اصلی توکن‌های امنیتی فیزیکی اینه که در معرض گم شدن و سرقت هستن. به عنوان مثال، ممکنه حین سفر توکن امنیتون رو گم کنین یا توسط شخصی به سرقت برسه. در این صورت باید توکن رو غیرفعال و جایگزین کرد. تا از دسترسی افراد متفرقه به سیستم یا اطلاعات محافظت شده جلوگیری بشه.

منابع

www.investopedia.com

www.techtarget.com

www.wise-geek.com

microsoft.com