در حاشیه خبر غیرحضوری شدن احراز هویت سطح 2: چند سطح احراز هویت داریم؟

ما در ایران، به‌طورکلی و مطابق قانون، ۴ سطح احراز هویت داریم که با ترتیب عددی نمایش داده می‌شوند؛ از ۱ تا ۴. سطح ۱ ساده‌ترین نوع و برای کارهایی است که میزان ریسک بیشتری را پذیرا هستند و سطح ۴ سخت‌ترین نوع و برای کارهایی است که اهمیت زیادی داشته و نمی‌توان روی آن‌ها زیاد ریسک کرد. در ادامه این ۴ سطح مختلف رو توضیح می‌دهیم و همچنین خواهیم گفت که چطور احراز هویت راحت و مطمئنی داشته باشیم.
حین این موارد، نگاهی هم به خبر خوبی که منتشر شده است می‌اندازیم!

توضیح سطوح مختلف احراز هویت

---

همان‌طور که گفتیم، ۴ سطح احراز هویت مختلف داریم. این دسته‌بندی صرفاً مختص قانون داخلی کشور ماست و اشاره‌ای به قوانین سایر کشورها ندارد؛ اما کلیت قوانین مختلف در این زمینه، به هم شبیه هستند؛ به‌خاطر این که احراز هویت غیرحضوری یک فناوری مشترک جهانی است.

احراز هویت سطح ۱

---

احراز هویت سطح ۱، ساده‌ترین روش تأیید هویت است که برای معمولاً برای کسب مجوز دسترسی به خدمات پایه استفاده می‌شود. اگر جایی این‌چنین مورد خطاب قرار گرفتید که «شما احراز هویت سطح یک نشده‌اید»، بدانید که صرفاً با ارائه اطلاعات اولیه مانند نام، شماره‌تلفن و نشانی ایمیل می‌توانید کار خود را راه بیندازید.

اگرچه تمام سطوح احراز هویت با هدف تأیید هویت فرد انجام می‌شوند، اما در سطح یک، این هویت‌سنجی در ساده‌ترین و راحت‌ترین حالت خودش اتفاق می‌افتد و طبیعتاً از نظر امنیتی هم به‌اندازه سطوح دیگر، قوی نیست؛ هرچند… لازم هم نیست! چون که این میزان امنیت برای دریافت خدمات پایه، کافی است.

روش‌های رایج احراز هویت سطح ۱

• تأیید اطلاعات: کاربر اطلاعات خود را در یک برگه آنلاین یا حضوری وارد می‌کند و سپس این اطلاعات با پایگاه‌داده‌های معتبر مانند اسناد هویتی یا سوابق اعتباری مطابقت داده می‌شود.
• تأیید ایمیل: لینکی به نشانی ایمیل کاربر ارسال می‌شود و کاربر باید با کلیک بر روی آن، ایمیل خود را تأیید کند.
• تأیید تلفن: کدی به شماره‌تلفن همراه کاربر ارسال می‌شود و کاربر باید رمز را برای تأیید هویت خود وارد کند.

سطح احراز هویت اول، مزایا و معایب خاص خودش را دارد. سادگی، مقرون‌به‌صرفه بودن، به طور گسترده دردسترس‌بودن، به‌راحتی قابل‌اجرابودن و… جزو مزایای آن هستند. از طرفی، همان‌طور که گفتیم، امنیت این روش در مقایسه با سایر سطوح، پایین‌تر است (چون جعل نام و نشانی ایمیل و شماره‌تلفن چندان کار سختی نیست).

برای چه خدماتی استفاده می‌شود؟

• ایجاد حساب کاربری در وبگاه‌ها و برنامه‌های کاربردی
• خرید آنلاین
• استفاده از خدمات بانکی آنلاین (خدمات ساده و اولیه)
• دسترسی به شبکه‌های Wi-Fi عمومی

احراز هویت سطح ۲

---

در احراز هویت سطح ۲، یک لایه امنیتی اضافی وارد فرایند می‌شود تا بتوانیم از هویت شخص اطمینان بیشتری حاصل کنیم و خدمات حساس‌تری را به‌صورت آنلاین ارائه دهیم. این روش به طور معمول شامل تأیید هویت کاربر با استفاده از یک عامل بیومتریک مانند اثر انگشت یا اسکن عنبیه است.

در بند فوق، به عبارت «به طور معمول» دقت کنید! ممکن است جایی تحت عنوان احراز هویت سطح ۱، باز هم از عامل بیومتریک استفاده شود؛ و یا جایی تحت عنوان احراز هویت سطح دوم، به رمز تأیید پیامکی اکتفا کند. منظورمان این است که مرز دقیق و مشترکی بین سطوح نیست که تمام دستگاه‌ها و شرکت‌ها مطابق آن اقدام کنند، بلکه از یک سرویس‌دهنده تا سرویس‌دهنده بعدی، ممکن است مراحل و عوامل کمی جابه‌جا شوند. حتی خدماتی که ارائه می‌شوند، گاه برای هر دو سطح یکسان هستند.
سطح احراز هویت ۲ معمولاً با هدف افزایش امنیت حساب‌های کاربری، جلوگیری از دسترسی غیرمجاز، محافظت از اطلاعات حساس و انطباق بیشتر با قوانین و مقررات برقرار می‌شود.

روش‌های رایج احراز هویت سطح ۲

• رمز تأیید (OTP): یک رمز منحصربه‌فرد به‌صورت پیامک یا ایمیل به کاربر ارسال می‌شود و کاربر باید رمز را برای تأیید هویت خود وارد کند.
• اپلیکیشن‌های احراز هویت: از یک اپلیکیشن تلفن همراه مانند Google Authenticator یا Authy برای تولید رمزهای تأیید استفاده می‌شود.
• روش‌های بیومتریک: از اثر انگشت، اسکن عنبیه یا تشخیص چهره برای تأیید هویت کاربر استفاده می‌شود.
  سؤالات امنیتی: کاربر باید به تعدادی سؤال شخصی که از قبل تعریف شده پاسخ دهد.

از مزایای احراز هویت سطح ۲ این است که در برابر حملات هک و کلاهبرداری بسیار امن‌تر از احراز هویت سطح ۱ عمل می‌کند. دقت کنید که اختلاف میزان امنیت بین سطوح ۱ تا ۴ به‌صورت مساوی نیست. با ارتقا سطح احراز هویت از ۱ به ۲، میزان امنیت خیلی بیشتر افزایش می‌یابد، نسبت به زمانی که مثلاً از سطح ۳ به ۴ می‌روید. دلیل این مسئله این است که با افزایش یک لایه امنیتی، هک شدن به‌شدت سخت می‌شود.

موضوع اختلاف میزان امنیت، به معنای بی‌ارزش بودن ارتقا سطح احراز هویت در مراحل بالاتر نیست؛ چرا که سطح احراز هویت لزوماً با هدف امنیت تعریف نشده و به خدمات نیز مربوط است. به‌عبارت‌دیگر، شاید جعل هویت و هک افراد در سطح ۳ و ۴ آن‌قدر سخت باشد که عملاً اختلافش تفاوتی حاصل نکند، اما از دیدگاه ارائه برخی خدمات، تفاوت‌ها بسیارند.

برخی خدمات احراز هویت سطح ۲

خدمات مربوط به سطح ۲ نیز تقریباً مشابه سطح ۱ هستند، صرفاً با کمی عمق و اطمینان بیشتر:

• خدمات بانکی آنلاین: برای ورود به حساب‌های بانکی آنلاین، انجام تراکنش‌های آنلاین و بازیابی رمز عبور
• خرید آنلاین: برای تأیید پرداخت‌ها و جلوگیری از کلاهبرداری
• شبکه‌های اجتماعی: برای محافظت از حساب‌های کاربری در برابر هک شدن
• پست الکترونیکی: برای ورود به حساب‌های ایمیل و بازیابی رمز عبور

قبل از این که به سراغ سطح بعدی برویم…

یک خبر خوب!

به گزارش خبرگزاری دنیای اقتصاد، احراز هویت در امضای الکترونیکی سطح دو، غیرحضوری شده است. آقای رضا جوادی‌نیا، معاون زیرساخت کلید عمومی و امنیت اطلاعات تجاری مرکز توسعه تجارت الکترونیکی (تتا)، ضمن اعلام این خبر، بیان داشت که پیش‌ازاین فقط سطح احراز هویت اول امکان اجرای غیرحضوری داشت، اما با گسترش خدمات آنلاین و به دنبال آن با افزایش کاربردهای گواهی الکترونیکی، ضرورت این اتفاق حس می‌شد و امروز تصویب شده است. وی همچنین اظهار داشت: «در این حالت استعلام کد ملی از سازمان ثبت‌احوال کشور و همچنین استعلام مالکیت سیم‌کارت از سامانه شاهکار وزارت ارتباطات و فناوری اطلاعات انجام می‌شود.»

باتوجه‌به متن خبری فوق، خبر خوب این است که امروز شما می‌توانید به‌صورت کاملاً غیرحضوری احراز هویت سطح ۱ و ۲ داشته باشید، بدون این که نیاز باشد به جایی مراجعه کنید.

احراز هویت سطح ۳

---

احراز هویت سطح ۳ نقطه مرزی فعلی ما است؛ باتوجه‌به خبر خوبی که در بخش قبلی گفتیم. از نظر امنیت، این سطح هم کمی بالاتر از سطوح قبلی بوده و به طور مشابه برای خدمات حساس‌تری استفاده می‌شود. برای احراز هویت سطح ۳ (در دریافت خدمات دولتی)، لازم است که مراجعه حضوری داشته باشید.

روش‌های رایج احراز هویت سطح ۳

• احراز هویت چندعاملی (MFA): از دو یا چند روش تأیید هویت مانند کد تأیید، بیومتریک و دانش برای تأیید هویت کاربر استفاده می‌شود.
• بیومتریک پیشرفته: از روش‌های بیومتریک مانند اسکن عنبیه، تشخیص چهره و اسکن رگ دست برای تأیید هویت کاربر استفاده می‌شود.
• بررسی اسناد: کاربر باید اسناد هویتی معتبر مانند گذرنامه، گواهینامه رانندگی یا صورت‌حساب بانکی را ارائه دهد.
• سؤالات چالشی: کاربر باید به سؤالات چالشی که فقط خود او می‌داند پاسخ دهد.
• ملاقات حضوری: کاربر باید به طور حضوری با یک نماینده معتبر ملاقات و هویت خود را تأیید کند.

با نگاهی به روش‌های رایج احراز هویت سطح ۳ به‌راحتی می‌توان متوجه شد که نفوذ به این سطح از احراز هویت بسیار دشوار و تقریباً غیرممکن است. همچنین از حساس‌ترین اطلاعات در برابر دسترسی غیرمجاز محافظت می‌کند و برای مطابقت با سخت‌گیرانه‌ترین الزامات امنیتی طراحی شده است. در طرف مقابل، واضح است که پیاده‌سازی و استفاده از آن پیچیده و پرهزینه است و همه کاربران به ابزارها یا دستگاه‌های موردنیاز آن دسترسی ندارند.

موارد استفاده از احراز هویت سطح ۳

• دسترسی به سامانه‌های مالی و بانکی: برای محافظت از حساب‌های بانکی و انجام تراکنش‌های بزرگ
• دسترسی به اطلاعات دولتی: برای ورود به درگاه‌های دولتی و مشاهده اطلاعات حساس
• محافظت از مالکیت معنوی: برای جلوگیری از سرقت هویت و سوءاستفاده از اطلاعات محرمانه
• ورود به شبکه‌های رایانه‌ای امن: برای محافظت از داده‌ها و سامانه‌های حیاتی

احراز هویت سطح ۴

---

احراز هویت سطح ۴ آخرین و پیشرفته‌ترین سطح احراز هویت است که برای ارائه حداکثر امنیت به افراد و سازمان‌ها و برای خدمات و امورات بسیار حساس طراحی شده است؛ کارهایی که حداکثر امنیت ممکن در آن‌ها لازم است. سطح احراز هویت ۴ ترکیبی از روش‌های سخت‌گیرانه تأیید هویت مانند بیومتریک پیشرفته، تجزیه‌وتحلیل رفتاری، ارزیابی اعتماد و دانش عمیق برای تأیید هویت و احراز صلاحیت کاربران است. البته در فضای فعلی کشور ما، این‌قدر سخت‌گیرانه [مانند فیلم‌های پلیسی] اجرا نمی‌شود (کمی ملایم‌تر است).

رایج‌ترین روش‌های احراز هویت سطح ۴

• بیومتریک پیچیده: از روش‌های بیومتریک پیشرفته مانند اسکن عنبیه سه‌بعدی، تشخیص چهره با تشخیص احساسات و اسکن رگ مغزی برای تأیید هویت کاربر استفاده می‌شود.
• تجزیه‌وتحلیل رفتاری: فعالیت‌ها و رفتار کاربر را در حین استفاده از سامانه تجزیه‌وتحلیل می‌کند تا هرگونه فعالیت مشکوک یا غیرعادی را شناسایی کند.
• ارزیابی اعتماد: سابقه کاربر، اعتبار آنلاین و سایر عوامل مرتبط را برای تعیین سطح اعتماد او ارزیابی می‌کند.
• دانش عمیق: از کاربر خواسته می‌شود تا به سؤالات چالش‌برانگیز و پیچیده‌ای پاسخ دهد که فقط خود او می‌داند.
• تأیید شخص ثالث: کاربر باید توسط یک شخص معتبر مانند مأمور دولتی یا نماینده بانک تأیید شود.

بالاترین سطح امنیت و محافظت از اطلاعات در سطح احراز هویت ۴ دیده می‌شود. البته همان‌طور که گفتیم، از سطح ۲ به بعد، میزان امنیت بسیار بالاست و لزوم ارتقا سطح احراز هویت از آن مرحله به بعد، بیشتر به‌خاطر نوع خدمات دریافتی توسط اشخاص است. بدیهی است که بیشترین میزان سختی اجرا یا هزینه‌های زمانی و ریالی، مربوط به این سطح می‌شود.

موارد رایج استفاده از احراز هویت سطح ۴

• محافظت از اطلاعات مالی و بانکی حساس
• واپایش دسترسی به تأسیسات هسته‌ای و موارد خطرناک
• ورود به محیط‌های با امنیت بالا مانند آزمایشگاه‌های تحقیقاتی
• معاملات مالی بزرگ و انتقال وجوه با ارزش بالا

احراز هویت راحت و مطمئن با فراشناسا

---

برای انجام یک احراز هویت راحت و مطمئن کافی است نگاهی به سامانه فراشناسا داشته باشید. این سامانه به‌عنوان جامع‌ترین ارائه‌دهنده خدمات eKYC به‌عنوان یک پل ارتباطی بین خدمت‌دهنده و خدمت گیرنده قرار می‌گیرد. احراز هویت الکترونیکی و یا امضای دیجیتال جزو رایج‌ترین خدمات عرضه شده توسط فراشناسا هستند.

همان‌طور که از جنس خدمات این حوزه مشخص است، سامانه‌ای مثل فراشناسا باید هم‌زمان خدمت‌رسان اشخاص حقیقی (افراد، مشتریان) و اشخاص حقوقی (کسب‌وکارها و سازمان‌ها) باشد. به همین منظور از دو پایانه با اشخاص در ارتباط است.

برای کسب‌وکارها…

کسب‌وکارها در هر ابعادی که باشند، از شرکت‌های کوچک شخصی تا سازمان‌های بزرگ بین‌المللی، می‌توانند از سامانه فراشناسا به‌عنوان یک بستر امن برای ارائه خدمات آنلاین به مخاطبان خود استفاده کنند و از انواع سطح احراز هویت بهره ببرند. فراشناسا باتوجه‌به نیازها و ابعاد مختلف کسب‌وکارها، برای هر خدمت، قالب‌های ارائه مختلفی را در نظر گرفته است. برای مثال، برای استفاده از خدمت احراز هویت الکترونیک:

• اِی‌پی‌آی (API)
• اِس‌دی‌کِی (SDK)
• وب (Web)
• پنل آماده

همگی جزو قالب‌های مختلف ارائه خدمت احراز هویت هستند. یک سازمان بزرگ، طبیعتاً نیازمند API اختصاصی است درحالی‌که یک کسب‌وکار کوچک می‌تواند به کمک یک پنل آماده، به‌سرعت و با هزینه‌ای بسیار ناچیز، نیاز خود را برآورده کند؛ بنابراین، کسب‌وکار شما در هر ابعادی که باشد و هر نیازی که زمینه eKYC داشته باشد، فراشناسا برایش راه‌حلی بهینه و سودمند دارد.

بیشتر بخوانید: کاربرد امضای دیجیتال در کسب و کارها

برای افراد…

اشخاص حقیقی و افراد مختلف زمانی که می‌خواهند خدمتی را از یک شرکت به‌صورت آنلاین دریافت کنند، معمولاً نیازمند انجام مراحل احراز هویت هستند؛ و یا مثلاً زمانی که می‌خواهند یک سند الکترونیکی را امضا کنند، نیازمند داشتن گواهی امضای دیجیتال هستند. در اینجا دو حالت داریم:

برخی خدمات به‌صورت پایه در اختیار کاربر نهایی قرار می‌گیرند و در واقع در بسیاری از اوقات، کاربر نهایی متوجه دریافت آن از سوی فراشناسا نمی‌شود. مثالش همان سازمان‌های بزرگی هستند که سامانه فراشناسا را در دل محصولات خود استفاده کرده‌اند و زمانی که کاربر در حین استفاده از محصول نیازمند اقدامی مثل احراز هویت است، به‌صورت نامحسوس از فناوری فراشناسا استفاده می‌کند.

برخی دیگر از خدمات باید توسط کاربر نهایی به‌صورت آگاهانه دریافت شوند. برای مثال زمانی که شما قصد دارید یک سند یا قرارداد الکترونیکی را امضا کنید و شرکت طرف حساب شما از سامانه فراشناسا به‌عنوان زیرساخت ارتباطی خود استفاده می‌کند، باید اپلیکیشن امضای دیجیتال فراشناسا را از کافه بازار نصب کنید تا بتوانید یک گواهی امضای دیجیتال تهیه نمایید. گواهی امضای دیجیتال چیزی معادل با سطح احراز هویت ۲ است.

برای اطلاعات بیشتر، می توانید از کارشناسان فراشناسا مشاوره بگیرید. صفحات مربوطه را نیز می‌توانید از منوی بالای وبگاه (سرویس ها) نیز پیدا کنید.

کلام آخر

---

امیدواریم از این مطلب استفاده کافی را برده باشید. لطفاً در بخش نظرات، آنچه در ذهنتان می‌گذرد را بنویسید. بسیار خوشحال می‌شویم اگر بتوانیم به‌صورت مستقیم با شما در ارتباط باشیم و از دانش، بینش و تجارب شما، به‌عنوان سرنخ و چراغ راه بهره ببریم تا بتوانیم به بهترین شکل خدمت‌رسان شما باشیم.