توکن تضمین (Security Token) چیست؟

توکن تضمین، یک وسیلهٔ قابل حمل برای تأیید هویت یک فرد به‌صورت الکترونیکی می‌باشد که بعضی اطلاعات شخصی را در خود ذخیره می‌کند. صاحب توکن تضمین، وسیله‌ای که توکن تضمین در آن ذخیره شده را به سیستم متصل می‌کند و سپس سیستم اجازهٔ استفاده از سرویس شبکه را به او می‌دهد. در حقیقت این توکن جایگزینی برای پسورد می‌باشد و سرویس‌های توکن تضمین (STS)، این توکن‌ها را برای تأیید هویت افراد عرضه می‌کنند‌.

اصول اولیه توکن تضمین چیست؟

توکن‌های تضمین انواع مختلفی دارند، از جمله توکن‌های سخت‌افزاری، که شامل چیپست‌ها و توکن‌های USB که به درگاه‌های USB متصل می‌شوند، و توکن‌های بیسیم بلوتوث یا ریموت‌های قابل برنامه‌نویسی که بدون اتصال فعال می‌شوند.

همچنین سرویس‌های ورود یکپارچه (Single Sign-On) هم با استفاده از توکن‌های ضمانت (مرجع) به‌راحتی به کاربر اجازهٔ استفاده از وب‌سایت‌های دیگر را می‌دهد. دو مورد توکن‌های ضمانتی که به شبکه یا کامپیوتر متصل نمی‌باشند، کاربر باید اطلاعات توکن را به‌صورت دستی وارد کند. توکن‌های ضمانت متصل به‌صورت خودکار اطلاعات را انتقال می‌دهد.

نکات مهم:

توکن‌های ضمانت، هویت کاربر را به‌صورت الکترونیکی تأیید می‌کنند. این توکن‌ها بعضی اطلاعات کاربران را ذخیره می‌کنند.
این توکن‌ها توسط سرویس‌های توکن تضمین (STS) که هویت فرد را تأیید می‌کنند، ارائه می‌شوند.
این توکن‌ها ممکن است به‌جای یا به‌همراه پسورد برای تأیید هویت افراد به کار روند.
توکن‌های ضمانت همیشه ایمن نیستند و ممکن است گم، دزدیده یا هَک شوند.

مثال واقعی از یک توکن تضمین

ممکن است فردی برای دسترسی به حساب بانک خود از توکن تضمین استفاده کند تا یک لایهٔ حفاظت بیشتر ایجاد کرده باشد. در این حالت، توکن تضمین به‌همراه پسورد و سایر موارد حفاظتی برای تأیید هویت صاحب حساب استفاده خواهد شد.

همان‌طور که توکن‌های ضمانت اطلاعات هویتی افراد را ذخیره می‌کنند، قابلیت ذخیرهٔ کلیدهای رمزنگاری شده که در اکوسیستم رمز ارزها استفاده می‌شود را نیز دارند. بعضی از این سیستم‌ها از پسوردهای حساس به زمان استفاده می‌کنند که در آن توکن و شبکه در بازه‌های زمانی ثابت رمز را تغییر می‌دهند. سیستم‌های دیگری نیز وجود دارند که اطلاعات بایولوژیک، مانند اثر انگشت را ذخیره می‌کنند تا اطمینان حاصل کنند که فقط صاحب توکن تضمین به اطلاعات حفاظت شده دسترسی دارد.

برای کسب اطلاعات بیشتر در مورد رمز ارزها می‌توانید از مطلب آموزشی «رمز ارز چیست؟» دیدن نمایید.

ضعف‌های توکن‌های تضمین چیست؟

توکن‌های تضمین نیز نقطه ضعف‌هایی دارند. اگر این توکن‌ها گم شود یا به سرقت برود و یا به هر دلیل در اختیار صاحب آن نباشد، نمی‌توان به سرویس حفاظت شده به این طریق دسترسی یافت. به هر حال، کاربر این سیستم‌ها می‌توانند با گام‌هایی مانند قفل گذاشتن یا آلارم، دزدیده شدن یا گم شدن آنها را به‌حداقل برسانند. همچنین می‌توان با استفاده از تأیید هویت دو مرحله‌ای که به حضور صاحب توکن برای دسترسی به سرویس نیاز می‌باشد، توکن را برای دزد احتمالی غیرقابل استفاده کرد.

توکن‌های ضمانت همچنین قابل هَک می‌باشند. این موضوع زمانی اتفاق می‌افتد که صاحب توکن به اشتباه اطلاعات حساسی را در اختیار شخص ناشناسی قرار می‌دهد و او با ورود این اطلاعات به شبکه متصل می‌شود. به این روش هَک، کلاهبرداری واسطه‌گر می‌گویند که در هر شبکه متصل به اینترنت ممکن است رخ دهد.