عرضه سیستم احراز هویت جدید مایکروسافت در بهار

 شرکت مایکروسافت در بهار امسال نسخه اولیه پلت‌فرم احراز هویت جدید خود را راه‌اندازی می‌کند. این سیستم درحال‌حاضر در سرویس ملی بهداشت و سلامت انگلستان آزمایش شده است.
 
 
سال‌هاست شرکت‌های فناوری از تکنولوژی بلاک‌چین به‌عنوان ابزاری برای توسعه سیستم‌های هویتی امن و غیرمتمرکز استفاده می‌کنند. هدف ساختن بستری است که بتواند اطلاعات مربوط به داده‌های رسمی را بدون داشتن اسناد یا اطلاعات واقعی در خود ذخیره کند. مثلا به جای اینکه فقط اسکن شناسه خود را ذخیره کنید، یک سیستم شناسایی غیرمتمرکز می‌تواند یک رمز معتبر را ذخیره کند که اطلاعات موجود در آن را تایید می‌کند. سپس هنگامی که نیاز به اثبات تابعیت خود دارید می‌توانید آن شناسه از پیش تایید شده را به جای سند یا داده واقعی به اشتراک بگذارید. مایکروسافت یکی از پیشروان این مدل احراز هویت بوده است و اکنون درحال‌ارائه جزئیات پیشرفت‌های ملموس خود در مورد شناسه دیجیتال غیرمتمرکز نسبت به چشم‌انداز ترسیم شده است.
 
 کارکرد سیستم هویت غیرمتمرکز
این شرکت در کنفرانس ایگنایت خود اعلام کرد که بهار امسال پیش نمایش عمومی گواهینامه‌های قابل تایید دایرکتوری آزور  خود را راه‌اندازی می‌کند. این پلت‌فرم را مانند یک کیف پول دیجیتالی چون Apple Pay یا google Pay در نظر بگیرید که به جای کارت‌های اعتباری برای شناسه‌هاست. مایکروسافت با مواردی چون کارنامه‌های دانشگاهی، مدرک تحصیلی، دیپلم‌ها و مدارک حرفه‌ای کار خود را شروع کرده که به شما امکان می‌دهد آنها را به همراه کدهای دو عاملی به Microsoft Authenticator خود اضافه کنید. مایکروسافت درحال‌ آزمایش این سیستم در دانشگاه کیو (Keio ) توکیو و با دولت فلندر در بلژیک و خدمات بهداشت ملی انگلستان است. جوی چیک (Joy Chik) ، معاون بخش هویت سازمانی مایکروسافت می‌گوید: اگر شناسه غیرمتمرکز داشته باشید می‌توانم تایید کنم که کجا به مدرسه رفته‌اید و دیگر نیازی نیست همه مدارک خود را برای من ارسال کنید، تمام چیزی که نیاز دارم این است که اعتبارنامه دیجیتال را داشته باشم و چون قبلا تایید شده می‌توانم به آن اعتماد کنم. مایکروسافت در هفته‌های آینده یک کیت توسعه نرم‌افزار منتشر می‌کند که سازمان‌ها می‌توانند با استفاده از آن اپلیکیشن‌هایی بسازند که قادر به صدور و درخواست شناسه هستند. این شرکت امیدوار است در بلندمدت این سیستم بتواند در سراسر جهان برای همه چیز از اجازه آپارتمان گرفته تا احراز هویت برای پناهندگان بدون اسناد و مدارک، مورد استفاده قرار گیرد.
 
به‌عنوان مثال در طرح آزمایشی خدمات سلامت ملی انگلستان NHS، ارائه‌دهندگان خدمات بهداشتی درمانی می‌توانند درخواست دسترسی به گواهینامه‌های حرفه‌ای کارکنان خدمات سلامت ملی ارائه دهند وکارکنان می‌توانند دسترسی به این مدارک را انتخاب کرده و روند انتقال به مرکز دیگر که قبلا به رفت و آمد بیشتری نیاز داشت را ساده تر کنند.
 
به گفته چیک، در سیستم NHS هر کدام از کارکنان مراقبت‌های بهداشتی بیمارستان ماه‌ها تلاش می‌کنند تا اعتبارنامه خود را تایید کنند، حالا اما نام نویسی و شروع به کار در بیمارستان تنها پنج دقیقه طول می‌کشد.
 
یکی از موانع بزرگ برای استفاده گسترده از طرح شناسایی غیرمتمرکز قابلیت همکاری سیستم‌های کامپیوتری است. وجود ۱۰ چارچوب کاری، کار را برای کسی آسان نمی‌کند. درحال‌حاضر برخی رقبای بالقوه چون پیشنهادی از سوی مسترکارد Mastercard که هنوز در مرحله آزمایش است، هم وجود دارند. اما فراگیر بودن مایکروسافت به این شرکت کمک کرده تا تعداد قابل ملاحظه‌ای از کاربران را جمع کند. این امر می‌تواند پذیرفتن این پلت‌فرم را برای مشتریان آسان‌تر کند و سایر غول‌های فناوری نیز از استفاده از آن در محصولات خود پشتیبانی کنند. درحال‌حاضر مایکروسافت درحال‌ کار با شرکت‌های هویت دیجیتال  Acuant، Au ۱۰tix، Idemia، Jumio، Socure، Onfido و Vu Security برای آزمایش این پلت‌فرم است و چیک می‌گوید هدف این است که این لیست را در طول زمان گسترش دهند: برای انجام این کار به همکاری کل جامعه نیازمندیم.
 
مایکروسافت رسما کار خود را روی طرح هویت غیرمتمرکز در سال ۲۰۱۷ آغاز کرد و در چند سال گذشته به آرامی زیرساخت‌های آن را ایجاد کرده است. این سیستم مبتنی بر بلاک‌چین بیت‌کوین( Bitcoin blockchain)  است و از یک پروتکل باز به نام Sidetree برای افزودن سوابق معاملات به بلاک‌چین، که در این مورد تایید هویت است، استفاده می‌کند. مایکروسافت ادعا می‌کند که گواهینامه‌های قابل تایید دایرکتوری آزور از یک منبع اجرایی مرسوم از Sidetree به نام Identity Overly Network استفاده می‌کند. سازمان‌ها قادر خواهند بود ION خود را برای تایید و ذخیره شناسه برای اعضای خود چون شهروندان، دانشحویان یا کارمندان اجرا کنند. چیک می‌گوید: ما می‌دانیم که این اتفاق یک شبه نخواهد افتاد اما فکر می‌کنیم برای کاربران و سازمان‌ها جذاب باشد. این‌طور نیست که هر سازمانی بخواهد متولی اطلاعات شخصی باشد، ولی آنها برای تایید اطلاعات یا انجام معاملات تجاری به آن نیازمندند؛ این به یک مسوولیت تبدیل می‌شود ولی گزینه‌ای جذاب برای سازمان‌هایی است که تنها به تایید اطلاعات نیاز دارند.
 
 چالش‌های سیستم هویتی جدید
 اگرچه مایکروسافت در قالب طرح هویت غیرمتمرکز مستقیما هیچ داده‌ای از کاربران را نگهداری نمی‌کند، اما احتمالا رویکرد جدید این شرکت می‌تواند جذابیت حساب‌های کاربری برای حملات هکری را افزایش دهد. رخنه به داده‌های شرکت سولارویندز و مجموعه حملاتی که در مدت اخیر جنجال زیادی به‌پا کرد، به خوبی نمایانگر چالش‌هایی هستند که شرکت برای مدیریت هویت اکانت‌های مایکروسافت و حفظ امنیتشان با آن روبه‌رو است. در مجموعه حملات هکری مذکور، هکرها از دسترسی به داده‌های شرکت سولارویندز که یکی از شرکت‌های خدماتی همکار مایکروسافت است، برای هدف قرار‌دادن طعمه‌ها استفاده کردند. هکرها همچنین در بسیاری موارد با دستکاری نواقصی که در سیستم دسترسی این سازمان‌ها به دایرکتوری‌هایشان در مایکروسافت وجود داشت، تلاش کردند تا به سیستم‌های ایمیل و فایل‌های ذخیره شده شرکت‌ها در فضای ابری Azure دسترسی پیدا کنند. حملات هکرها محدود به این موارد نبود و حتی با اجرای حملاتی مستقیما خود شرکت مایکروسافت را نیز هدف قرار دادند و سعی کردند تا به‌شماری از سورس‌کدهای این شرکت دسترسی پید ا کنند.
 
جورج کورتز، مدیرعامل شرکت CrowdStrike در جلسه‌ای که هفته پیش در کنگره برگزار شد، با استناد به محدودیت‌های معماری احراز‌هویت در دایرکتوری اصلی مایکروسافت و دایرکتوری Azure این شرکت اظهار کرد: «هکرها با استفاده از ضعف سیستماتیک ساختار احراز هویت ویندوز توانسته بودند به اهداف مورد‌نظر دست پیدا کنند.» حال مایکروسافت معتقد است که پلت‌فرم هویت غیرمتمرکز جدید این شرکت، به‌گونه‌ای طراحی شده که حتی در صورتی که حساب‌های کاربری در معرض خطر قرار گیرند، هکرها نتوانند از مدارک تایید‌شده برای کسب امتیازات خاص طی خرید یا وام‌ها استفاده کنند. در این سیستم جدید افزون بر کنترل بهتر دسترسی‌ها، توسعه‌دهندگان می‌توانند با رمزنگاری داده‌های کاربران از طریق کلیدهای امنیتی حاصل از روش‌های احراز هویت غیرمتمرکز، امنیت داده‌های کاربران را افزایش دهند. بر اساس گفت‌وگوی یکی از کارکنان مایکروسافت با Wired، با رویکرد جدیدی که در این سیستم پیش گرفته شده، حتی اگر سارقان بتوانند به حساب‌ها دسترسی پیدا کنند، بدون در اختیار داشتن کلیدهای امنیتی که تنها در اختیار کاربر اصلی است-به‌خاطر رمزنگاری‌شدن داده‌ها- امکان استفاده از داده‌ها را نخواهند داشت. در نتیجه سازمان‌هایی که از سیستم مدارک قابل تایید در دایرکتوری Azure خود استفاده کنند، می‌توانند تنظیمات سیستم را به گونه‌ای انجام دهند که برای ایجاد دسترسی، اعتبارسنجی‌های بیشتری (مثلا یک توکن فیزیکی) نیز اعمال شود.
 
از آنجا‌که روش‌های اجرایی سازمان‌های مختلف ممکن است اندکی با یکدیگر تفاوت داشته باشد، حفاظتی که از داده‌های هر سازمان انجام می‌گیرد می‌تواند متفاوت باشد. یکی از چالش‌های پربحث طرح هویت غیرمتمرکز آن است که با وجود آنکه با اجرای این طرح جدید، ممکن است میزان برخی انواع حملات سایبری کاهش یابد، اما این طرح، اکانت‌ها را در معرض انواع جدیدی از حملات نیز قرار خواهد داد که ممکن است مدیریت آنها از نمونه‌های پیشین دشوارتر باشد.
 
دستیابی همزمان به حریم خصوصی، تمرکززدایی و امنیت می‌تواند بسیار دشوار باشد. امین گون‌سیرر، از محققان امنیت کامپیوتری دانشگاه کورنل، می‌گوید: درست است که فناوری بلاک‌چین موجب بهبود حریم خصوصی افراد شده و با تمرکززدایی، امکان شناسایی مدارک مهم دشوارتر خواهد شد، اما نباید فراموش کرد که مهم‌تر از تمام اینها آنست که مفهوم «هویت»، مورد بازبینی قرار گیرد. وی معتقد است از آنجا که عموما مدل‌های کسب‌وکاری بسیاری از شرکت‌ها، مبتنی بر آن است که از ذره ذره داده‌هایی که از کاربران در اختیار دارند کسب درآمد کنند، روش‌های جدید می‌تواند قدرت آنها را در عرضه‌های تجاری مورد‌نظرشان تضعیف کند. وی می‌افزاید: این بدان معنی نیست که ایجاد یک پلت‌فرم هویت غیرمتمرکز که کارآیی کافی نیز داشته باشد غیرممکن است و قطعا شرکتی با قدرت مایکروسافت می‌تواند گام‌های بزرگی در توسعه چنین تکنولوژی‌های جدیدی بردارد؛ اما مساله آنست که مجاب کردن شرکت‌ها و افراد برای به‌کارگیری چنین سیستم جدیدی می‌تواند دشوار باشد، زیرا طبیعتا شرکت‌ها تمایلی به توقف جمع‌آوری داده‌ها از کاربران ندارند و افراد نیز عموما در مقابل پذیرش تکنولوژی‌های جدید از خود مقاومت نشان می‌دهند.
 
گون سیرر، با تاکید بر اینکه اجرای راهکاری برای احراز هویت دیجیتال غیرمتمرکز‌ که به‌درستی نیز پیاده‌سازی شده باشد، می‌تواند کنترل کاربران را بهبود دهد می‌گوید: مطمئنا بعید است که تغییر بنیادینی که در ایجاد روشی موفق برای احراز هویت انتظار می‌رود، توسط یکی از شرکت‌های فعال در حوزه نرم‌افزارهای متمرکز معرفی شود.