کتاب Ultimate Web Authentication Handbook

کتاب Ultimate Web Authentication Handbook: Strengthen Web Security by Leveraging Cryptography and Authentication Protocols such as OAuth, SAML and FIDO (راهنمای نهایی اهراز هویت وب: تقویت امنیت وب با استفاده از پروتکل‌های رمزنگاری و احراز هویت مانند OAuth، SAML و FIDO) مبانی امنیت و رمزنگاری و ارتباط آن‌ها با صفحات وب و پیاده‌سازی صفحات امن وب را آموزش می‌دهد.

در ادامه مقدمه‌ای از کتاب Ultimate Web Authentication Handbook را از زبان نویسنده شرح خواهیم داد.

مقدمه‌ای بر کتاب Ultimate Web Authentication Handbook:

همه‌گیری COVID-۱۹ نه تنها تقریباً ۶۴۰ میلیون نفر را در سراسر جهان تحت تأثیر قرار داد، بلکه ۶. ۶ میلیون تلفات را نیز به دنبال داشت. این بیماری به هیچ کس رحم نکرد و مردم را از کشور‌های در حال توسعه گرفته تا توسعه یافته‌ترین آن‌ها تحت تأثیر قرار داد. با وجود تمام محدودیت‌ها و محدودیت‌های مسافرتی، جهان به جلو حرکت کرده است.

زندگی به بن بست نرسیده است. سرعتی که جهان با آن از فناوری‌های دیجیتال استقبال کرد، بر غلبه بر برخی نیاز‌ها به تعامل فیزیکی افزود. افراد می‌توانند از خانه کار کنند، اطلاعات شخصی و خصوصی را به اشتراک بگذارند و به برقراری ارتباط امن ادامه دهند. صنایعی که به کار از راه دور عادت ندارند به روی کارمندانی که از خانه کار می‌کنند باز می‌شوند.

اینترنت در همه این‌ها توانمندساز بزرگی بود. با این حال، توانایی اعتماد به شخصی که به منابع شرکت دسترسی دارد به همان اندازه مهم است. سازمان‌ها سیستم‌های احراز هویت را مستقر کردند و به ارائه دسترسی ایمن کمک کردند.

هند یک برنامه گسترده واکسیناسیون را برای تلقیح جمعیت ۱. ۳ میلیاردی خود راه‌اندازی کرد. تا به امروز، ۲. ۲ میلیارد دوز از این واکسن تجویز شده است. واکسیناسیون باید بر اساس اولویت با ردیابی دوز به همه افراد شایسته برسد.

یک سکوی مدیریت واکسن COWIN که توسط دولت هند توسعه یافته است برای ردیابی بیماران و پزشکان استفاده شد. احراز هویت مبتنی بر SMS برای پورتال COWIN استفاده می‌شود.

هند تنها حدود ۶۰ درصد نفوذ گوشی هوشمند دارد. یک سکوی پیچیده احراز هویت نمی‌توانست به توده‌ها برسد. همانطور که شبکه و اینترنت به نیاز دیجیتالی تبدیل شده است، نیاز روزافزونی به حفظ امنیت اطلاعات و هویت کاربران در این دنیای متصل وجود دارد. رایانه‌ها و احراز هویت کاربر همیشه با هم اجرا می‌شوند.

با این حال، فناوری‌ها به طور مداوم در حال پیشرفت هستند. امروزه تقریباً تمام معاملات ما با استفاده از وب به عنوان رابط ارتباطی انجام می‌شود. فقط تعداد کمی از کتاب‌ها یک نمای کلی از تمام پلتفرم‌های احراز هویت کاربر مرتبط با احراز هویت وب ارائه می‌دهند.

بیشتر بخوانید: کتاب Learning Digital Identity

ما تلاش می‌کنیم تا یک حسابگر آماده برای برنامه‌نویسان ارائه دهیم تا پروتکل‌های احراز هویت را درک کنند و روی آن‌ها کار کنند تا آن‌ها را در توسعه برنامه خود ادغام کنند. کتاب Ultimate Web Authentication Handbook از فصل‌های زیر تشکیل شده است:

فصل ۱ کتاب Ultimate Web Authentication Handbook: مقدمه‌ای بر احراز هویت وب: وب جهانی به طور ارگانیک تکامل یافته است. این به عنوان یک سکوی ساده برای تبادل اطلاعات آغاز شد.

با این حال، امروزه به ستون فقرات تجارت اینترنتی، کسب و کار، آموزش، حکومت و غیره تبدیل شده است. اگر بخواهیم سیستمی را پیچیده و با در نظر گرفتن قابلیت گسترش زیاد طراحی کنیم، تقریباً غیرممکن بود. پروتکل اصلی HTTP اینترنت بدون حالت است.

هیچ مدل امنیتی بومی در آن وجود نداشت. معماری حالت در لایه برنامه با استفاده از برخی ساختار‌ها مانند هدر‌ها و کوکی‌ها ایجاد شد. به طور مشابه، برای اطمینان از ایمن ماندن ارتباطات مرورگر، محدودیت‌هایی روی پروتکل اعمال می‌شود. در این فصل از کتاب Ultimate Web Authentication Handbook، برخی از جنبه‌های امنیتی کلاسیک معماری وب را بررسی خواهیم کرد.

فصل ۲ کتاب Ultimate Web Authentication Handbook: مبانی رمزنگاری: HTTP، اگرچه برای تبادل اطلاعات توسعه یافته است، اما حفاظت زیادی برای مدیریت دولت و کاربر ندارد. پروتکل‌های انتقال برای HTTP هیچ گونه حفاظت پیش فرض در تبادل اطلاعات نداشتند. TCP/IP یک بسته را بدون محدودیت به تمام دستگاه‌های شبکه ارسال می‌کند.

دستگاه شبکه که تنها گیرنده مورد نظر است، بسته شبکه را تجزیه و تحلیل می‌کند و آن را مصرف می‌کند، در حالی که دیگران آن را نادیده می‌گیرند. در چنین دنیای ارتباطی باز، برای محافظت از هرگونه اطلاعات، خود داده‌ها باید به گونه‌ای رمزگذاری شوند که مخاطبان غیرمعنا نتوانند پیام را رمزگشایی کنند. در این فصل از کتاب Ultimate Web Authentication Handbook برخی از فناوری‌های رمزگذاری را بررسی خواهیم کرد.

فصل ۳ کتاب Ultimate Web Authentication Handbook: احراز هویت با امنیت شبکه: در فصل‌های قبلی کتاب Ultimate Web Authentication Handbook، نحوه رمزگذاری اطلاعات را مورد بحث قرار دادیم. ما برنامه را در تبادل اطلاعات نشان ندادیم. خوشبختانه طراحان پروتکل شبکه به این پیچیدگی پی بردند و آن را با دو معماری متمایز حل کردند. یکی در لایه انتقال به نام Transport Layer Security (TLS) و دیگری در لایه IP به نام IPSec.

در حالی که هر دو فناوری از تکنیک‌های رمزگذاری مشابهی استفاده می‌کنند، پروتکل‌ها و استفاده از آن‌ها بسیار متفاوت است. ما در این فصل از کتاب Ultimate Web Authentication Handbook بر TLS تمرکز خواهیم کرد. HTTP بیش از TLS به عنوان حمل و نقل به عنوان HTTPS شناخته می‌شود و امروزه در بیشتر ارتباطات مرورگر استفاده می‌شود.

فصل ۴ کتاب Ultimate Web Authentication Handbook: احراز هویت فدرال-I: تا کنون، ما فقط سرویس‌هایی را که کاربران به آن‌ها متصل می‌شوند، احراز هویت و دسترسی به سیستم را مورد بحث قرار داده‌ایم.

با این حال، در یک سازمان، چندین سیستم بر اساس عملکرد یا نقش وجود دارد. یک کارمند برای درخواست مرخصی به سیستم HR، سیستم حقوق و دستمزد برای حقوق یا یک سیستم مدیریت حوادث فناوری اطلاعات برای گزارش خرابی یک لپ‌تاپ متصل می‌شود.

یک عضو تیم منابع انسانی حقوق مدیریتی بر سیستم منابع انسانی خواهد داشت، در حالی که حتی مدیر عامل ممکن است حقوقی در سطح کاربر داشته باشد. حفظ این کنترل‌های خط مشی ریز در هر سرویسی سخت است. دامنه مدیریت هویت و دسترسی (IAM) را آغاز کرد. IAM یک دامنه پیچیده است.

این برنامه به برنامه‌ها و پیکربندی‌های شبکه پاسخ می‌دهد، یکی از پیچیدگی‌های قابل توجهی که مشاهده می‌شود مربوط به برنامه‌های کاربردی وب از نظر مدیریت جلسه است.

کاربری که یک بار به سرور‌های سازمان وارد شده است، برای دسترسی به سرور دیگری نیازی به احراز هویت مجدد ندارد. به این مفهوم Single Sign-On (SSO) می‌گویند. SAML یکی از پرکاربردترین پروتکل‌ها برای وب SSO بود.

فصل ۵ کتاب Ultimate Web Authentication Handbook: احراز هویت فدرال – II (OAuth و OIDC): در حالی که SAML شروع به حل مشکل SSO برای شرکت‌ها کرد، نیاز به اعتماد متقابل بین ارائه‌دهنده خدمات (SP) و ارائه‌دهندگان هویت (IdP) وجود داشت. در دنیای وب ۲. ۰، این بسیار محدود‌کننده بود.

کاربران می‌خواستند فید‌های توییتر و فیسبوک خود را در صفحات وب خود به عنوان محتوای ترکیبی نشان دهند. در حالی که چنین محتوایی در صفحات وب قابل مشاهده است، نباید قابل ویرایش باشد.

پارادایم جدیدی از کنترل دسترسی یا مجوز برای رسیدگی به این مورد نیاز بود. در SAML، برخی از ویژگی‌ها یا عضویت در گروه‌ها به اندازه کافی خوب هستند تا کنترل دسترسی را برای کاربر ایجاد کنند. OAuth به عنوان یک پروتکل مجوز با دسترسی محدود به یک منبع توسط مالک شروع شد.

با این حال، به عنوان یک پروتکل احراز هویت با پروتکل Open Identity Connect (OIDC) گسترش یافت. برخی از جنبه‌های پروتکل‌های OAuth و OIDC را می‌بینیم و Java Web Token (JWT) را برای انتقال اطلاعات احراز هویت و مجوز بررسی می‌کنیم.

فصل ۶ کتاب Ultimate Web Authentication Handbook: احراز هویت چند عاملی: رمز‌های عبور برای حملات brute-force یا مهندسی اجتماعی باز هستند. از این رو، صنعت در تلاش است به سمت مدلی بدون رمز عبور حرکت کند. با این حال، سرمایه‌گذاری روی رمز‌های عبور به قدری قابل توجه است که دور شدن از آن ممکن است چند سال دیگر طول بکشد.

در چند دهه گذشته، سایر عوامل احراز هویت به عنوان چیزی که شما دارید (توکن‌ها) و چیزی که هستید (احراز هویت بیومتریک) ایجاد شده‌اند. آن‌ها در کنار احراز هویت مبتنی بر رمز عبور استفاده می‌شوند که لایه دیگری از احراز هویت را فراهم می‌کند. این به عنوان تأیید اعتبار چند عاملی (MFA) شناخته می‌شود.

ما یکی از این تکنیک‌ها را با گواهی‌های دیجیتال دیدیم. ما به دو استاندارد عمیق‌تر خواهیم پرداخت: احراز هویت باز (OATH) و‌شناسه سریع آنلاین (FIDO) مبتنی بر WebAuthn.

فصل ۷ کتاب Ultimate Web Authentication Handbook: روند‌های پیشرفته در احراز هویت: ما در مورد کاربرانی که برای توجیه ادعای هویت خود اعتبار تولید می‌کنند صحبت کرده‌ایم. هویت نشان دهنده یک انسان است و ویژگی‌های بیومتریک، تملک یا دانش صرفاً اعتبار هستند.

نیاز به توجیه وجود دارد که هویت توسط سوابق یا اسناد دولتی پشتیبانی شود. این فرآیند اثبات هویت نامیده می‌شود. پیش از این، سیستم‌های ضد‌شناسه به تأیید فیزیکی توسط نمایندگان و تأیید دستی بستگی داشت.

با پیشرفت در هوش مصنوعی، چنین سیستم‌هایی به استخراج خودکار ویژگی‌های اسناد، تشخیص چهره و سایر مکانیسم‌های جمع‌آوری داده‌های بیومتریک رفته‌اند. دولت‌ها شروع به توسعه پایگاه‌های اطلاعاتی‌شناسه شهروندی حاوی اطلاعات بیومتریک برای تأیید کرده‌اند.

در صنایعی که مشتری خود را بشناسید (KYC) یک الزام خط‌مشی است، سیستم‌های دیجیتال eKYC سریع‌تر استفاده می‌شوند. سیستم‌های KYC یک پایگاه داده معتبر برای هویت فراهم می‌کنند. علاوه بر این، بینش‌های شبکه و دستگاه و ارزیابی از رویه‌های امنیتی، سازمان‌ها را وادار می‌کند از امنیت شبکه Zero Trust استفاده کنند، جایی که احراز هویت در حال تبدیل شدن به ستون فقرات است.

سرفصل‌های کتاب Ultimate Web Authentication Handbook:

• Cover Page
• Title Page
• Copyright Page
• Dedication Page
• Foreword
• About the Author
• About the Reviewer
• Acknowledgement
• Preface
• Errata
• Table of Contents
• 1. Introduction to Web Authentication
• 2. Fundamentals of Cryptography
• 3. Authentication with Network Security
• 4. Federated Authentication-l
• 5. Federated Authentication – II (OAuth and OIDC)
• 6. Multifactor Authentication
• 7. Advanced Trends in Authentication
• Appendix A: The Go Programming Language Reference
• Appendix B: The Flutter Application Framework
• Appendix C: TLS Certificate Creation
• Index

جهت دانلود کتاب Ultimate Web Authentication Handbook می‌توانید پس از پرداخت، دریافت کنید.