یک پروفسور SUTD و همکارانش یک طرح رمز عبور یکبار مصرف با الهام از درخت را پیشنهاد می کنند که ضمن پشتیبانی از تغییر محیط های کاربر، امنیت و حریم خصوصی را فراهم می کند.
“لطفا تا دو دقیقه آینده کد را وارد کنید.” مفهوم گذرواژه های یک بار مصرف (OTP) به یک پایه اصلی در رویه های ما برای تأیید ایمن کاربر در برنامه های حساس، مانند خدمات دولتی و مالی تبدیل شده است. یک OTP استاندارد که معمولاً در طرحهای احراز هویت چند عاملی یافت میشود، با اعمال محدودیت زمانی برای کاربران برای وارد کردن رمز عبور داده شده، در برابر تلاشهای هک مقاومت میکند.
با این حال، در مواجهه با افزایش تهدیدات سایبری، پروتکل های OTP فعلی به آرامی منسوخ می شوند. طراحی یک پروتکل بهتر برای اعمال امنیت و حفظ حریم خصوصی اطلاعات کاربر کار ساده ای نیست. پروفسور Zhou Jianying از دانشگاه فناوری و طراحی سنگاپور (SUTD) و همکارانش اخیراً طرح جدیدی را پیشنهاد کرده اند که برخی از کاستی های روش های OTP موجود را برطرف می کند. یافتههای این مطالعه در مقاله «گذرواژههای یکبار مصرف مبتنی بر زمان گروه پویا» منتشر شده است.
چندین رویکرد استاندارد برای اجرای طرحهای OTP وجود دارد. یکی از روشها که RFC 6238 نامیده میشود، کلیدهای متقارن را برای تولید این رمزهای عبور گذرا ذخیره میکند که قرار است با سرور مؤسسه به اشتراک گذاشته شوند. طرح دیگر، طرح Lamport'81، به دستگاه کاربر و سرور نیاز دارد که کلیدهای تأیید رمز عبور جداگانه داشته باشند. با این حال، هر رویکرد آسیبپذیریهای خاص خود را دارد – RFC 6238 در برابر نفوذ به سرور آسیبپذیر است، در حالی که طرح Lamport'81 نمیتواند از ردیابی مخرب هویت هر کاربر جلوگیری کند. این یک گنجینه جذاب برای متخلفان احتمالی است: اگر آنها بتوانند شکافی را در سرور باز کنند، اطلاعات امنیتی برای همه کاربران در اختیار آنهاست.
تحولات در صحنه رمزنگاری ابزارهای مختلفی را برای بستن درب این آسیب پذیری پیشنهاد کرده است. پروفسور ژو یک طرح گروهی خاص مبتنی بر زمان OTP (GTOTP) را که قبلاً با همکارانش پیشنهاد شده بود، برجسته کرد. این طرح شامل یک ساختار درخت مانند به هم زدن تصادفی است که کاربران برای تأیید به هر برگ درخت برچسب می زنند. پروفسور ژو گفت: «توانایی آن در ارائه حریم خصوصی هویت کاربر در حالی که امنیت و مقیاس پذیری را تضمین می کند، در بسیاری از برنامه های کاربردی دنیای واقعی مطلوب است.
ساختار الگوریتم درختی، با این حال، پس از کاشت قابل تغییر نیست. همه کاربرانی که در راستیآزمایی هویت شرکت میکنند باید از ابتدا حضور داشته باشند — آنها نه میتوانند خارج شوند و نه کاربران جدید میتوانند بپیوندند.
پروفسور ژو به اشتراک گذاشت: “ماهیت ایستا ساختارهای گروهی که توسط طرح های قبلی در نظر گرفته شده بود، منعکس کننده سیالیتی که اغلب در عضویت ها دیده می شود، چه در زمینه های تجاری، پروژه های مشارکتی، یا محیط های اجتماعی” نیست.
در آخرین کار، پروفسور ژو و همکارانش طرح جدیدی به نام GTOTP پویا (DGTOTP) را مطالعه کردند که می تواند در موقعیت های عملی پیاده سازی شود. محققان بر روی دو مانع برای غلبه بر دشواری محیطهای کاربر پویا تمرکز کردند: (1) الگوریتمهای سریع و کارآمد برای دستگاههای کوچک و (2) مدیریت گروهی مجموعه انعطافپذیر کاربران.
دستگاه های دستی مدرن معمولا کوچک هستند و قدرت محاسباتی زیادی ندارند. هر الگوریتمی که روی دستگاه اجرا می شود باید فشرده و کارآمد باشد. محققان یک رویکرد سه جانبه را برای کاهش سربار محاسباتی پیشنهاد می کنند.
پروفسور ژو توضیح داد: “طرح DGTOTP از راه حل های برون سپاری برای کارهایی مانند تولید رمز عبور و مدیریت استفاده می کند تا بار محاسباتی اعضای گروه را کاهش دهد. علاوه بر این، چالش های یکپارچه سازی ایمن را با افزایش ویژگی های احراز هویت پیام برطرف می کند.” به عنوان قطعه مقاومت، این طرح از یک استراتژی اولین مسئله و پیوستن بعد (IFJL) استفاده می کند که امکان مدیریت یکپارچه عملیات پیوستن را بدون ایجاد اختلال در ایالت های محلی دیگر اعضای گروه فراهم می کند.
این طرح پویا را می توان برای سناریوهای دنیای واقعی که در آن احراز هویت ایمن و کارآمد در تنظیمات گروه پویا بسیار مهم است، اعمال کرد. به عنوان مثال، محیطهای کاری مشترک که در آن تیمها اغلب اعضا را تغییر میدهند یا با شرکای خارجی کار میکنند، از دسترسی ایمن به منابع مشترک سود میبرند و در عین حال ورود و بارگیری امن را تسهیل میکنند. در انجمنها و انجمنهای آنلاین، مدیران ممکن است دسترسی به بخشها یا ویژگیهای خاص را محدود کنند.
پیشنهاد پروفسور ژو تنها اولین قدم برای افزایش حریم خصوصی و امنیت است که راههای زیادی برای کاوش دارد. هنوز راه هایی وجود دارد تا شاهد پذیرش گسترده باشیم.
او نتیجه میگیرد: «برای کاربردهای عملی، توسعه مفهوم ما برای یکپارچهسازی ایمن امنیت لایه حمل و نقل (TLS) و DGTOTP میتواند منجر به توسعه پروتکلی برای ایجاد کانال اعتبار تأیید شده ناشناس متقابل شود.