اگرام فنی نحوه عملکرد احراز هویت وب با WebAuthn و ارتباط مرورگر با توکن

احراز هویت وب با WebAuthn چیست؟ خداحافظی با رمز عبور در neshane.co

| 5 دقیقه برای مطالعه
امنیت مبتنی بر دانش (مانند رمز عبور) دهه‌هاست که پاشنه آشیل اینترنت محسوب می‌شود. نشت اطلاعات، حملات فیشینگ و مدیریت دشوار گذرواژه‌ها، صنایع امنیتی را به سمت استانداردهای جدیدی سوق داده است که در آن «هویت» جایگزین «حافظه» می‌شود. احراز هویت وب با WebAuthn پاسخی قدرتمند و استاندارد شده از سوی کنسرسیوم جهانی وب (W3C) به این نیاز حیاتی است. این فناوری به عنوان بخشی از پروژه FIDO2، به توسعه‌دهندگان وب و مدیران امنیت اجازه می‌دهد تا با حذف کامل رمز عبور، از طریق توکن‌های امنیتی یا بیومتریک دستگاه، دسترسی کاربران را مدیریت کنند. در این مقاله فنی، معماری WebAuthn، نقش مرورگرها و نحوه پیاده‌سازی سازمانی آن در محصولات شرکت رهسا را بررسی می‌کنیم.

معماری WebAuthn و جایگاه آن در امنیت مدرن

پروتکل WebAuthn (Web Authentication) یک API جاوااسکریپت است که مرورگرهای مدرن از آن برای برقراری ارتباط با تأییدکننده‌های هویت (Authenticators) استفاده می‌کنند. این API در واقع پلی میان وب‌سایت شما (Relying Party) و دستگاه احراز هویت کاربر (مانند حسگر اثر انگشت موبایل یا توکن سخت‌افزاری) می‌سازد. برخلاف روش‌های سنتی که رمز عبور را به سمت سرور ارسال می‌کنند، احراز هویت وب با WebAuthn بر پایه رمزنگاری کلید عمومی (Public Key Cryptography) بنا شده است.

زمانی که کاربر قصد ثبت‌نام یا ورود دارد، سرور یک چالش (Challenge) تصادفی تولید می‌کند. مرورگر این چالش را به تأییدکننده هویت (مثلاً «نشانه موبایل» یا یک کلید امنیتی) تحویل می‌دهد. تأییدکننده با استفاده از کلید خصوصی خود که هرگز از دستگاه خارج نمی‌شود، چالش را امضا کرده و پاسخ را بازمی‌گرداند. سرور با داشتن کلید عمومی کاربر، امضا را راستی‌آزمایی می‌کند. این فرآیند تضمین می‌کند که هیچ دیتای حساسی در شبکه رد و بدل نمی‌شود و حمله فیشینگ عملاً غیرممکن می‌گردد. برای درک عمیق‌تر تفاوت میان این پروتکل‌ها و سایر روش‌های شناسایی، پیشنهاد می‌کنیم راهنمای جامع تعاریف و مفاهیم احراز هویت را مطالعه کنید تا با ادبیات فنی این حوزه و زیرساخت‌های آن کاملاً آشنا شوید.

نقش مرورگرها و پلتفرم‌ها در اکوسیستم FIDO2

پیاده‌سازی موفق WebAuthn نیازمند هماهنگی کامل میان سیستم‌عامل، مرورگر و سخت‌افزار است. خوشبختانه امروزه تمامی مرورگرهای اصلی از جمله Google Chrome، Microsoft Edge، Mozilla Firefox و Apple Safari از این استاندارد پشتیبانی می‌کنند. این پشتیبانی بومی به این معناست که وب‌اپلیکیشن‌ها می‌توانند بدون نیاز به نصب هیچ‌گونه افزونه یا نرم‌افزار جانبی روی سیستم کاربر، درخواست احراز هویت وب با WebAuthn را صادر کنند.

تعامل Chrome و Edge با سخت‌افزار

مرورگرهای مبتنی بر هسته کرومیوم (مانند کروم و اج) پیشروترین پشتیبانی را از پروتکل‌های FIDO2 ارائه می‌دهند. این مرورگرها مستقیماً با لایه سخت‌افزاری سیستم‌عامل (مانند Windows Hello یا Android KeyStore) ارتباط برقرار می‌کنند. زمانی که وب‌سایت neshane.co درخواست احراز هویت ارسال می‌کند، مرورگر پنجره‌ای سیستمی باز کرده و از کاربر می‌خواهد تا توکن خود را لمس کند یا به دوربین نگاه کند. این یکپارچگی باعث می‌شود تجربه کاربری (UX) بسیار روان و در عین حال امن باشد.

فرآیند Attestation و Assertion

در ادبیات فنی WebAuthn، دو عملیات اصلی وجود دارد: ثبت‌نام (Registration) و تصدیق (Authentication). در مرحله ثبت‌نام، دستگاه کاربر یک جفت کلید تولید می‌کند و کلید عمومی را به همراه یک گواهی اصالت (Attestation) به سرور می‌فرستد. این گواهی به سامانه IAM نشانه ثابت می‌کند که کلید تولید شده واقعاً توسط یک سخت‌افزار امن و مورد تایید (مثلاً یک توکن FIDO رهسا) ایجاد شده است و شبیه‌سازی نرم‌افزاری نیست. در مرحله ورود یا Assertion، سرور تنها امضای دیجیتال را بررسی می‌کند. این مکانیزم دقیقاً همان چیزی است که امنیت سازمانی را تضمین می‌کند.

پیاده‌سازی عملیاتی در سامانه IAM نشانه

شرکت رهسا با توسعه سامانه مدیریت هویت و دسترسی (IAM) «نشانه»، پیچیدگی‌های فنی پیاده‌سازی احراز هویت وب با WebAuthn را برای سازمان‌ها برطرف کرده است. این سامانه به عنوان یک پلتفرم جامع، تمام مراحل تولید چالش، بررسی امضای دیجیتال و مدیریت کلیدهای عمومی کاربران را بر عهده می‌گیرد. سازمان‌ها می‌توانند بدون درگیر شدن با جزئیات سطح پایین رمزنگاری، وب‌سایت‌ها و پورتال‌های سازمانی خود را به این سامانه متصل کنند.

امنیت فراتر از رمز عبور با توکن‌های سخت‌افزاری

سامانه نشانه به گونه‌ای طراحی شده که از طیف وسیعی از دستگاه‌ها پشتیبانی کند. کاربران می‌توانند از «نشانه توکن» (کلید سخت‌افزاری FIDO) برای محیط‌های با امنیت بسیار بالا استفاده کنند. در این حالت، کلید خصوصی درون یک چیپ امن (Secure Element) ایزوله می‌شود که حتی در صورت آلوده بودن سیستم‌عامل کامپیوتر به بدافزار، امکان سرقت آن وجود ندارد. این سطح از امنیت برای زیرساخت‌های حیاتی و بانکداری اینترنتی ایده‌آل است.

تجربه کاربری یکپارچه با نشانه موبایل

علاوه بر توکن‌های فیزیکی، محصول «نشانه موبایل» گوشی هوشمند کارمندان را به یک تصدیق‌کننده امن تبدیل می‌کند. سامانه IAM نشانه با بهره‌گیری از WebAuthn، درخواستی را به گوشی کاربر ارسال می‌کند. کاربر تنها با استفاده از بیومتریک گوشی (اثر انگشت یا تشخیص چهره) تایید را انجام می‌دهد. این روش هزینه‌های خرید سخت‌افزار را کاهش داده و فرآیند ورود را تسریع می‌کند. همچنین با قابلیت Single Sign-On (SSO)، کاربر تنها یک بار احراز هویت می‌شود و به تمام سامانه‌های مجاز دسترسی پیدا می‌کند.

نتیجه‌گیری

گذار از رمز عبور به احراز هویت وب با WebAuthn یک انتخاب لوکس نیست، بلکه ضرورتی اجتناب‌ناپذیر برای مقابله با تهدیدات سایبری مدرن است. استاندارد FIDO2 با حذف ضعف‌های انسانی و تکیه بر رمزنگاری نامتقارن، ایمن‌ترین روش ورود حال حاضر جهان را ارائه می‌دهد. سامانه نشانه با بومی‌سازی این فناوری و ارائه راهکارهای منطبق با نیازهای سازمانی، مسیری هموار برای پیاده‌سازی این امنیت پیشرفته فراهم کرده است.

🟦 مشاوره امنیتی رایگان

جهت نیازسنجی فنی و دریافت مشاوره تخصصی برای پیاده‌سازی WebAuthn و حذف رمز عبور در سازمان خود، با کارشناسان ما تماس بگیرید.

محصولات نشانه موبایل و نشانه توکن راهکارهای پیشرفته احراز هویت بدون گذرواژه هستند که کاملاً بر پایه استاندارد جهانی فایدو (FIDO) طراحی شده‌اند. این ابزارها با ارتقای چشمگیر سطح امنیت سایبری سازمان‌ها و همزمان ساده‌سازی فرآیند ورود برای کاربران، تجربه‌ای نوین را رقم می‌زنند. اگر قصد دارید سازمان خود را به سرعت به دنیای امن و بدون رمز عبور منتقل کنید، برای دریافت جزئیات بیشتر و مشاوره فنی، با تیم متخصص نشانه از طریق شماره تلفن ۹۱۰۹۶۵۵۱-۰۲۱ در تماس باشید.

📞 دریافت مشاوره امنیتی رایگان از متخصصان 91096551-021

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

ثبت نام
ثبت نام
ورود
ورود
پیمایش به بالا