معرفی کتاب «Authentication and Access Control : Practical Cryptography Methods and Tools» نوشتهٔ Sirapat Boonkrong، منتشرشده توسط نشر Apress : Imprint: Apress در سال 2021. این کتاب در فرمت pdf، زبان انگلیسی ارائه شده است.
در عصر دیجیتال امروز، امنیت سایبری به دغدغهای حیاتی برای افراد و سازمانها تبدیل شده است و اولین خط دفاعی در برابر حملات، احراز هویت و کنترل دسترسی است. کتاب Authentication and Access Control نوشتهٔ «سیراپات بونکرونگ» (Sirapat Boonkrong) با رویکردی عملی و بر پایهٔ مبانی رمزنگاری، راهنمایی جامع برای درک و پیادهسازی این مکانیزمهای امنیتی ارائه میدهد. این کتاب به شما کمک میکند تا از دادههای حساس خود در برابر تهدیدات سایبری محافظت کنید.
دربارهٔ کتاب —
کتاب حاضر که در سال ۲۰۲۱ توسط انتشارات معتبر «آپرس» (Apress) منتشر شده است، با معرفی مبانی نظری رمزنگاری و زیرساخت کلید عمومی (PKI) کار خود را آغاز میکند. موضوع اصلی کتاب، بررسی عمیق روشهای مختلف احراز هویت و کنترل دسترسی است که از مهمترین ارکان امنیت اطلاعات به شمار میروند. نویسنده در هشت فصل مجزا، مباحثی از جمله احراز هویت مبتنی بر رمز عبور، احراز هویت زیستی (بیومتریک)، احراز هویت چندعاملی و پروتکلهای کلیدزنی و احراز هویت را بهطور کامل پوشش میدهد. نکتهٔ برجستهٔ این اثر، رویکرد متعادل آن بین تئوری و عمل است؛ بهگونهای که مفاهیم پیچیدهٔ رمزنگاری را با زبانی قابلفهم برای مخاطبان مختلف توضیح میدهد و سپس به خطاهای رایج در طراحی این سیستمها و راهکارهای عملی برای جلوگیری از آنها میپردازد. این کتاب بهطور خاص بر روی نقاط ضعف و قوت هر روش احراز هویت تمرکز کرده است. برای مثال، در بخش احراز هویت با رمز عبور، روشهای ذخیرهسازی امن رمزهای عبور برای کاهش ریسک نفوذ توضیح داده شده است. همچنین، با توجه به محبوبیت روزافزون فناوریهای زیستی مانند اثر انگشت و تشخیص چهره، فصل مستقلی به بررسی چالشهای این روش از جمله تعیین آستانهٔ تطابق زیستی اختصاص یافته است. در پایان کتاب نیز با نگاهی به آینده، روندهای نوظهور در فناوریهای احراز هویت بررسی میشوند تا خواننده برای مقابله با تهدیدات پیشِ رو آماده باشد.
دربارهٔ نویسنده
«سیراپات بونکرونگ» (Sirapat Boonkrong) یک مدرس و محقق تماموقت در حوزهٔ فناوری اطلاعات و امنیت سایبری در دانشگاه فناوری سوراناری (Suranaree University of Technology) در کشور تایلند است. او بیش از پانزده سال سابقهٔ فعالیت در حوزهٔ امنیت اطلاعات را بهعنوان دانشجو، محقق و مدرس در کارنامهٔ خود دارد. بونکرونگ پس از تحصیلات خود تا مقطع دکترا در بریتانیا، فعالیت حرفهای خود را از سال ۲۰۰۶ بهعنوان محقق در مرکز ملی فناوری الکترونیک و کامپیوتر تایلند آغاز کرد و سپس به تدریس در دانشگاه فناوری شاهمونگکوت شمال بانکوک پرداخت. زمینههای اصلی تحقیق و تدریس او شامل امنیت سایبری، فناوریهای احراز هویت و طراحی پروتکلهای رمزنگاری است.
چرا باید — را بخوانید؟
- درک عمیق مبانی رمزنگاری: این کتاب با آموزش اصول اولیهٔ رمزنگاری، پایهای محکم برای درک جزئیات روشهای پیچیدهتر احراز هویت در اختیار شما قرار میدهد.
- بررسی جامع روشهای احراز هویت: از رمزهای عبور سنتی و گرافیکی گرفته تا سیستمهای چندعاملی و زیستی، همهٔ روشهای مهم بهطور کامل و با ذکر نقاط قوت و ضعف آنها پوشش داده شدهاند.
- شناخت خطاهای رایج و راهکارهای عملی: نویسنده با بررسی اشتباهات رایج در طراحی مکانیزمهای احراز هویت، اصول ضروری برای پیادهسازی امن آنها را در دنیای واقعی آموزش میدهد.
- پوشش پروتکلهای کلیدزنی و احراز هویت: این کتاب به شما نشان میدهد که فرایندهای احراز هویت و تبادل کلید چگونه با یکدیگر کار میکنند، که این موضوع برای درک امنیت شبکهها ضروری است.
- آشنایی با استانداردها و روندهای آینده: کتاب با معرفی استانداردهای جاری برای قابلیتهمکاری و سازگاری و همچنین روندهای نوظهور، شما را برای رویارویی با چالشهای امنیتی فردا آماده میکند.
این کتاب برای چه کسانی مناسب است؟
Authentication and Access Control منبعی ارزشمند برای طیف گستردهای از مخاطبان فعال در حوزهٔ فناوری اطلاعات و امنیت سایبری است. این کتاب بهطور ویژه برای متخصصان و فعالان حوزهٔ امنیت سایبری، محققان، مدرسان دانشگاهی و همچنین دانشجویان کارشناسی و کارشناسی ارشد که بهدنبال اطلاعات تکمیلی برای دانش خود هستند، طراحی شده است. همچنین، هر فردی که مسئولیت پیادهسازی یا مدیریت سیستمهای احراز هویت در سازمان خود را بر عهده دارد، میتواند از مطالب عملی و کاربردی این کتاب برای کاهش ریسک حملات سایبری بهره ببرد.
سوالات متداول
آیا برای درک این کتاب به دانش قبلی در زمینهٔ رمزنگاری نیاز است؟
خیر، کتاب با یک فصل مقدماتی در مورد مبانی رمزنگاری آغاز میشود که پایههای لازم را برای دنبال کردن مباحث تخصصیتر فراهم میکند. این ساختار به گونهای طراحی شده است که افراد با سطوح مختلف دانش نیز بتوانند از آن بهره ببرند.
تفاوت کلیدی این کتاب با سایر کتابهای امنیت شبکه در چیست؟
نقطهٔ قوت اصلی این کتاب، تمرکز عمیق و تخصصی آن بر روی مکانیزمهای احراز هویت و کنترل دسترسی است. در حالی که بسیاری از کتابها صرفاً به این موضوعات بهعنوان بخشی از امنیت شبکه میپردازند، این اثر بهطور اختصاصی به جزئیات فنی و چالشهای پیادهسازی هر روش احراز هویت میپردازد و رویکردی عملی و کاربردی دارد.
آیا این کتاب به روشهای نوین مانند احراز هویت زیستی نیز پرداخته است؟
بله، یکی از فصلهای کتاب به طور کامل به فناوری احراز هویت زیستی (بیومتریک) اختصاص یافته است. در این بخش، نقاط قوت و ضعف این روش، از جمله چالشهای مربوط به تعیین آستانهٔ تطابق و خطاهای احتمالی، بهخوبی تشریح شدهاند.
Cybersecurity is a critical concern for individuals and for organizations of all types and sizes. Authentication and access control are the first line of defense to help protect you from being attacked. This book begins with the theoretical background of cryptography and the foundations of authentication technologies and attack mechanisms. You will learn about the mechanisms that are available to protect computer networks, systems, applications, and general digital technologies. Different methods of authentication are covered, including the most commonly used schemes in password protection: two-factor authentication and multi-factor authentication. You will learn how to securely store passwords to reduce the risk of compromise. Biometric authentication—a mechanism that has gained popularity over recent years—is covered, including its strengths and weaknesses. Authentication and Access Control explains the types of errors that lead to vulnerabilities in authentication mechanisms. To avoid these mistakes, the book explains the essential principles for designing and implementing authentication schemes you can use in real-world situations. Current and future trends in authentication technologies are reviewed. What You Will Learn: • Understand the basic principles of cryptography before digging into the details of authentication mechanisms • Be familiar with the theories behind password generation and the different types of passwords, including graphical and grid-based passwords • Be aware of the problems associated with the use of biometrics, especially with establishing a suitable level of biometric matching or the biometric threshold value • Study examples of multi-factor authentication protocols and be clear on the principles • Know how to establish authentication and how key establishment processes work together despite their differences • Be well versed on the current standards for interoperability and compatibility • Consider future authentication technologies to solve today's problems Who This Book Is For: Cybersecurity practitioners and professionals, researchers, and lecturers, as well as undergraduate and postgraduate students looking for supplementary information to expand their knowledge on authentication mechanisms Table of Contents......Page 4 About the Author......Page 10 About the Technical Reviewer......Page 11 Acknowledgments......Page 12 Introduction......Page 13 What Is “Security”?......Page 16 The CIA Model......Page 17 Integrity......Page 18 Principles of Cryptography......Page 19 Symmetric Cryptography......Page 22 Stream Ciphers......Page 23 Block Ciphers......Page 24 AES......Page 25 Modes of Operation......Page 27 Asymmetric Cryptography......Page 29 RSA......Page 31 Hybrid Cryptosystem......Page 33 Cryptographic Hash Functions......Page 35 SHA-256......Page 38 CBC-MAC......Page 39 Digital Signatures......Page 40 RSA Digital Signature Generation and Verification......Page 43 Non-repudiation......Page 44 Bibliography......Page 45 Chapter 2: Public Key Infrastructure......Page 46 PKI’s Uses and Benefits......Page 47 PKI Framework......Page 48 Certificate Exchange......Page 51 Entity Authentication......Page 54 Digital Certificate Generation......Page 55 Digital Certificate Revocation......Page 56 Summary......Page 57 Bibliography......Page 58 What Is Authentication?......Page 59 Factors of Authentication......Page 62 Something You Know......Page 63 Something You Have......Page 64 Something You Are......Page 66 Something You Process......Page 68 Somewhere You Are......Page 70 Somebody You Know......Page 71 Threats of Authentication......Page 73 Eavesdropping......Page 74 Replay Attacks......Page 75 Password Guessing......Page 76 Credential Stuffing......Page 77 In-Person Social Engineering......Page 78 Phone Social Engineering......Page 79 Digital Social Engineering......Page 80 Bibliography......Page 83 Chapter 4: Password-Based Authentication......Page 85 Keys vs. Passwords......Page 86 Choosing a Password......Page 87 Quality of a Password......Page 88 Encrypted Passwords......Page 91 Hashed Passwords......Page 92 Salted Passwords......Page 94 Password Quality Adjustment......Page 95 Salt Placement......Page 96 How Does It All Work?......Page 98 A Working Example......Page 99 Is It Secure?......Page 101 Grid-Based Passwords......Page 102 Recognition-Based Systems......Page 103 Security Analysis......Page 106 Recall-Based Systems......Page 112 Android Pattern Lock......Page 115 Bibliography......Page 118 Chapter 5: Biometric Authentication......Page 120 What Is Biometrics?......Page 121 Categories of Biometrics......Page 122 Biometric Properties......Page 125 Biometric Authentication......Page 126 Fingerprint Authentication......Page 128 Iris Authentication......Page 129 Performance Metrics of Biometric Authentication......Page 130 Fundamental Performance Metrics......Page 131 Authentication Performance Metrics......Page 132 Biometric Threshold......Page 133 Equal Error Rate......Page 134 Finding a Biometric Threshold......Page 136 Finding Biometric Threshold: Iris Case Study......Page 137 Access Control and Clocking System......Page 140 Border Control......Page 141 Concerns and Future of Biometrics......Page 142 Bibliography......Page 144 Chapter 6: Multi-factor Authentication......Page 146 Issues with Traditional Authentication......Page 147 Two-Factor Authentication......Page 148 Common Authentication Factors......Page 149 Hardware Authentication Token......Page 150 Short Message Service (SMS)......Page 151 Software Authentication Token......Page 152 Biometrics......Page 154 Hand-Drawn Image......Page 156 Is Two-Factor Authentication More Secure?......Page 157 Healthcare......Page 159 Education......Page 160 Social Media......Page 161 Multi-factor Authentication......Page 162 Authentication Factor Generation......Page 164 Authentication......Page 165 Multi-factor Biometric-Based Authentication......Page 167 Authentication Factor Generation......Page 168 Authentication......Page 169 Multi-factor Authentication Evaluation......Page 170 Security Evaluation......Page 171 Usability Evaluation......Page 172 Summary......Page 173 Bibliography......Page 174 Chapter 7: Authentication and Key Establishment Protocols......Page 176 Authentication Protocols......Page 177 Andrew Secure RPC Protocol......Page 179 Needham–Schroeder Protocol......Page 181 Needham–Schroeder Public Key Protocol......Page 183 Secure Socket Layer (SSL)......Page 186 Kerberos......Page 191 Client Login......Page 193 Kerberos Ticket Exchange......Page 194 Designing Authentication Protocols......Page 197 Specific Principles......Page 199 Generic Principles......Page 200 Principle 2: Clear condition for protocol messages......Page 201 Principle 3: Identification of protocol principals......Page 202 Principle 4: Needs for encryption......Page 204 Principle 5: Inconclusiveness of message content knowledge......Page 205 Principle 6: Freshness of protocol messages......Page 206 Summary......Page 207 Bibliography......Page 208 The ID4D Initiative......Page 209 Identity Life Cycle......Page 210 Authentication Assurance Level 1 (AAL1)......Page 213 Authentication Assurance Level 2 (AAL2)......Page 214 Authentication Assurance Level 3 (AAL3)......Page 215 Continuous Authentication......Page 216 Conventional Approach......Page 217 Emerging Approaches......Page 218 Keystroke Dynamics......Page 221 Gaze Patterns......Page 222 Walking Patterns......Page 223 Other Interesting Methods......Page 224 Issues with Biometrics......Page 225 Characteristics of Biometric Authentication Systems......Page 226 Biometric Cryptosystems......Page 227 Biometric Salting......Page 228 Non-invertible Biometric Transformation......Page 230 Summary......Page 232 Bibliography......Page 233 Index......Page 235