انواع روش‌ها و چگونگی پیاده سازی احراز هویت و اعتبار سنجی

پیش از این در خصوص روش‌شناسی احراز هویت در سطوح مختلف صحبت نمودیم و در همان پست قول دادیم در خصوص انواع روش‌ها و چگونگی پیاده سازی احراز هویت و اعتبار سنجی نیز سخن بگوییم.

احراز هویت و اعتبار سنجی مشتری یا مخاطب می‌تواند از طرق بسیار متنوعی انجام شود، این امر می‌تواند به صورت دولتی، خصوصی، مشارکتی، متمرکز و غیر متمرکز را شامل و نتایج متنوعی را در سطوح مختلف ایجاد نماید.

احراز هویت ذاتاً‌ امری حاکمیتی است زیرا از تابعیت اشخاص در یک مرز جغرافیایی - سیاسی نشات می‌گیرد، پس مواردی مانند در قید حیات بودن، جنسیت، سن و نسب از مواردی هستند که حاکمیت به طور مستقیم آن را تایید اعتبار نموده و از بدو تولد تا ممات در اختیار دولت است در صورتی که برای شناسه‌های دیگری چون نام، نام خانوادگی، نام والد و مانند آن می‌توان امر را به صورت‌های دیگری نیز متصور بود، از طرفی شناسه دار نمودن اشخاص به دو صورت کلی نیز قابل انجام است، کد ملی برای اشخاص حقیقی و شناسه ملی برای اشخاص حقوقی، این دو شناسه غیر قابل تغییر بوده و حاکمیت و نظام‌های دولتی مالک آن می‌باشند و هر تغییری در آن‌ها در صلاحیت دولت است، همچنین اطلاعات دیگری چون اطلاعات مکانی که با نام کدپستی شناخته می‌شود از مواردی است که حاکمیت به اشخاص اختصاص می‌دهد هر چند که جابه‌جایی اشخاص ارادی و اختیاری است اما این جابه‌جایی به روش‌های مختلف باید به ثبت و اطلاع حاکمیت برسد.

از این رو در احراز هویت می‌توان به دو دسته از اطلاعات و داده‌ها اشاره نمود، اطلاعات و داده‌هایی که شخص در تخصیص، اعتبار، ایجاد و امحای آن هر چند نقش تاسیسی دارد اما نقش تغییری ندارد،‌ یعنی نمی‌تواند آن را به راحتی تغییر دهد و تغییر در آن نیازمند امور قضایی و حقوقی پیچیده است، مثلاً شما نمی‌توانید در داده‌های ثبت شده زمان تولد یا جنسیت یا تخصیص کد ملی خود تغییراتی به وجود آورید مگر اینکه به حکم قضایی تغییر جنسیت داده، یا نسب خود را پس از طی مراحلی اصلاح و یا با وجود ادله‌ای تاریخ و محل تولد خود را تغییر دهید.

در مقابل اطلاعاتی وجود دارد که بر اساس شخصیت شما به شما اختصاص می‌یابد، مثلا اقامتگاه قانونی، محل زندگی، اطلاعات مالی، پزشکی، تحصیلی و کاری، اختصاص شناسه‌هایی مانند شماره تلفن، کدپستی و یا نوع خدمتی که ارائه می‌کنید (شغل) مواردی هستند که می‌تواند به تبع تصمیم و اراده شما تغییر پیدا نماید.

تجمیع اطلاعات حاکمیتی و شخصی اشخاص در کنار هم و صحت‌سنجی آنها باعث می‌شود تا میزان اعتبار اشخاص از انحای مختلف راستی آزمایی گردد، میزان حقوق دریافتی سالانه، میزان بیمه، جرایم و مجازات‌های مدنی و جزایی تخصیص یافته، فعالیت‌های اجتماعی، داوطلبی در انجام برخی از امور، نوع شغل انتخابی، میزان تحصیلات کسب شده، محل زندگی، سجل کیفری، نوع و میزان مسافرات‌ها و مانند آن مواردی است که می‌تواند اعتبار یک شخص را تعیین و یکی از سطوح (A)، (B) و (C) را به خود اختصاص دهد.

از طرفی تجمیع و تحلیل این داده ها می‌تواند به صورت متمرکز، یا از طریق استفاده از فناوری یا به صورت سنتی و مصاحبه‌ای و یا مشترک احصا گردد.

به طور مثال در بحث احراز هویت مکانی، اتصال کدپستی شخص به شماره ملی و همچنین اعتبار سنجی آن از طریق سنتی و ارسال نامه پستی، ارسال مدارک، دریافت فرم‌ها از آن آدرس، تائیدیه سازمان‌های دولتی، خصوصی و یا حاکمیتی می‌تواند انجام پذیرد، وجود قبض‌های خدماتی، ذکر نام مالک در اسناد، وجود آدرس تایید شده در دفاتر پستی یا بانکی، اجاره نامه‌ها، وجود آدرس در سربرگ‌ها و یا در روزنامه رسمی، ثبت آدرس در شهرداری‌ها یا در فرم‌های بیمارستانی و غیره، مواردی هستند که می‌تواند یک آدرس پستی را مورد تایید و اعتبار سنجی قرار دهد به گونه‌ای که در صورتی که یک بار این اعتبار سنجی انجام پذیرد این اعتبار ملاک عمل تمامی دستگاه‌ها قرار خواهد گرفت، زیرا در صورت وجود مغایرت در آخرین اطلاعات واصل شده به صورت خودکار مغایرت احصا شده برای تمامی مراکز ارسال می‌گردد حال اگر این امر به صورت متمرکز باشد اطلاعات در همه جا به روز رسانی خواهد شد و اگر غیر متمرکز باشد با دادن اطلاعات کافی جهت بروز رسانی یا صحت سنجی اخبار واصله اقدامات مقتضی صورت خواهد پذیرفت.

از اینرو می توان گفت اعتبار سنجی و صحت سنجی اطلاعات می‌تواند از جنبه‌های دیگری هم مورد بررسی قرار گیرد، اما به صورت کلی می‌توان گفت احراز هویت و اعتبار سنجی کاربران امری سیال و جاری است و همواره باید مورد بررسی و به‌روز رسانی قرار گیرد.

حال نکته کلیدی در احراز هویت، شناسایی گلوگاه‌ها برای انجام این موضوع است که در پست‌های بعدی به آن پرداخته می‌گردد.