امروزه تقریباً در تمامی شرکتها و سازمانها، دستگاهها و نرم افزارهای حضور و غیاب الکترونیکی برای ثبت دقیق تردد کارکنان و مهمانان استفاده میشوند. با افزایش وابستگی به این سیستمها، نگرانیها دربارهٔ امنیت و احتمال هک کردن سیستم حضور و غیاب نیز افزایش یافته است.
هدف این مطلب ارائهٔ بررسی گونهای از تهدیدهای رایج (از جعل اثر انگشت و فریب تشخیص چهره تا نفوذ در سیستمهای کارتی) و معرفی راهکارهای عملی برای کاهش آسیبپذیریهاست — نه آموزش روشهای نفوذ یا هک. در ادامه با انواع آسیبپذیریها، ریسکهای مرتبط و بهترین روشهای پیشگیری آشنا میشوید تا مدیران و تیمهای IT بتوانند تصمیمهای آگاهانهتری برای افزایش امنیت بگیرند.
انواع روش های هک کردن دستگاه های حضور و غیاب
امکان هک کردن دستگاه حضور و غیاب یکی از مهمترین موارد امنیتی قبل از خرید دستگاه های حضور و غیاب است. اگرچه با پیشرفت تکنولوژی امکان دور زدن و هک کردن سیستم کنترل تردد سخت تر به نظر می رسد اما به همین نسبت هکرها نیز از فناوری های به روزتری جهت دور زدن یا تقلب در دستگاه حضور و غیاب استفاده می کنند. با آگاهی و شناخت انواع دستگاه های کنترل تردد و روش های هک دستگاه حضور غیاب به راحتی می توان امکان تقلب در این نوع دستگاه ها را کنترل کرده و امنیت بیشتری برای دستگاه های حضور و غیاب ایجاد کرد.
هک کردن سیستم حضور و غیاب اثر انگشتی
درحال حاضر یکی از پرفروش ترین دستگاه ها که در اکثر مراکز استفاده می شود، دستگاه حضور و غیاب اثر انگشتی است. این نوع دستگاه کنترل تردد به دلیل اینکه قیمت متوسطی دارد. (گران تر از دستگاه کارتی و ارزان تر از دستگاه تشخیص چهره) مورد استقبال زیادی قرار می گیرد. بنابراین بهتر است ابتدا نگاهی به اساس کار این دستگاه داشته باشیم.
هنگام نصب دستگاه حضور غیاب اثر انگشتی، برای هر پرسنل یک یا دو اثر انگشت تعریف می شود. شیارهایی که در انگشت وجود دارند، به وسیله دستگاه تبدیل به کد شده و برای دستگاه قابل شناسایی می شوند. هنگام استفاده فرد از سامانه حضور و غیاب، دستگاه اثر انگشت فرد را با اثر انگشت موجود در پایگاه داده خود مطابقت می دهد و تردد فرد ثبت می شود.
با توجه به توضیحات بالا، هرکسی که بتواند یک کپی از اثر انگشت فرد مورد نظر داشته باشد. قادر به هک کردن دستگاه حضور و غیاب اثر انگشت خواهد بود. روش ها و آموزش های زیادی هم برای جعل اثر انگشت وجود دارد. که با مواد مختلفی مانند بتونه و ژلاتین انجام می شود و تنها با یک جستجوی ساده در اینترنت می توان به آن ها دست یافت. و به هیچ دانش خاصی هم نیاز ندارد.
اما شاید بپرسید که اگر چنین باشد، دستگاه حضور و غیاب اثر انگشتی چه فایده ای خواهد داشت؟
نکته اصلی این است که امروزه تقریبا اکثر شرکت های تولیدکننده دستگاه حضور و غیاب به تکنولوژی خاصی دست یافته اند. که هیچکدام از روش های جعل و کپی اثر انگشت بر روی آن ها اثر ندارد. این تکنولوژی دارای الگوریتم هایی است که به شکل شیارهای اثر انگشت اکتفا نکرده و تنها با تشخیص بافت زنده پوست انگشت، مجوز تردد را صادر می کند.
در واقع فرد حتما باید روبروی دستگاه قرار گرفته و انگشت خود را بر روی سنسور قرار دهد تا دستگاه مجوز تردد او را صادر نماید. در نتیجه حتی اگر انگشت فرد قطع و در دستگاه استفاده شود، بازهم نمی توان الگوریتم آن را فریب داد چرا که دستگاه تنها به بافت زنده بدن پاسخ مثبت می دهد و نه بافت مرده.
حتی برای امنیت بیشتر، دستگاه پس از نصب و تعریف اولیه اثرات انگشت پرسنل، رمزنگاری های لازم را انجام داده و سپس اثرات انگشت را حذف می کند تا کسی امکان دسترسی به آنها را نداشته باشد.
بیشتر بخوانید: واقعیت افزوده چیست؟ به بهانه معرفی هدست واقعیت افزوده vision pro جدید
هک کردن سیستم حضور و غیاب تشخیص چهره
در سیستم های تشخیص چهره نیز روش های مختلفی برای جعل و تقلب وجود دارد. برخی سیستم های ضعیف را می توان تنها با داشتن عکسی از فرد مورد نظر فریب داد. البته عمر این سیستم ها کم بود و سریعا بهبود یافتند. اما هکرها روش بهتری برای تقلب در تشخیص چهره یافتند که آن هم استفاده از ویدیوی ضبط شده از فرد موردنظر بود!
اگر کیفیت ویدیو خوب باشد، می تواند دستگاه حضور و غیاب تشخیص چهره را فریب دهد. رفته رفته با پیشرفت الگوریتم های تشخیص چهره، امکان استفاده از عکس و ویدیو برای فریب سیستم بسیار کاهش یافت. اما افرادی حرفه ای تر بازهم توانستند با استفاده از پرینت سه بعدی از چهره و سر فرد مورد نظر، سیستم های تشخیص چهره را فریب دهند.
البته گفتنی است که امروزه الگوریتم های تشخیص چهره بسیار پیشرفت کرده اند و مانند دستگاه حضور و غیاب اثر انگشت، دستگاه حضور و غیاب تشخیص چهره نیز به سختی فریب می خورد و بسیار قابل اعتماد است. حتی برندهای معروف دستگاه حضور و غیاب بازار مانند ویردی و سوپریما دارای تائیدیه امنیتی از سازمان FBI ایالات متحده هستند که نشانی از امن بودن سیستم تشخیص آن هاست.
هک کردن سیستم حضور و غیاب کارتی
دستگاه حضور و غیاب کارتی یکی از سادهترین و مقرونبهصرفهترین مدلهای موجود در بازار است. این دستگاهها به دلیل قیمت پایینتر، بیشتر مورد توجه شرکتهای کوچک و استارتاپهایی قرار میگیرند که در ابتدای مسیر توسعه هستند و بهدنبال ثبت دقیق ساعات کاری و سرعت بیشتر در فرایند حضور و غیاب میباشند.
با این حال، سطح امنیت سیستمهای کارتی نسبت به دستگاههای بیومتریک (مانند اثر انگشتی یا تشخیص چهره) پایینتر است و احتمال سوءاستفاده یا تقلب در آنها بیشتر وجود دارد. البته این موضوع به معنای ناکارآمد بودن دستگاه کارتی نیست؛ بلکه باید توجه داشت که هر سازمان باید متناسب با بودجه، نیاز و سطح امنیت مورد انتظار خود انتخاب کند.
به طور خلاصه:
برای شرکتهای کوچک: دستگاه حضور و غیاب کارتی، انتخابی اقتصادی و مناسب برای افزایش دقت و نظم است.
برای سازمانهای بزرگ یا مجموعههایی با اولویت امنیت بالا: استفاده از دستگاههای بیومتریک توصیه میشود.
هک کردن سیستم حضور و غیاب تشخیص صدا
در برخی دستگاههای حضور و غیاب مبتنی بر تشخیص صدا، احراز هویت بر پایهٔ ویژگیهای صوتی کاربر انجام میشود؛ برای نمونه کاربر با تکرار یک عبارت یا پاسخ به یک فراخوان (challenge) هویت خود را ثبت میکند. در نمونههای قدیمی یا دستگاههای با الگوریتم ضعیف، امکان جعل یا «بازپخش» (replay) یک صوت ضبطشده وجود دارد، زیرا دستگاه بهدرستی تشخیص زندهبودن صدا (liveness) یا تفاوت بین صدای ضبطشده و صدای واقعی را انجام نمیدهد. این نوع خطا در مدلهای قدیمی بیشتر بوده و ریسک تقلب را افزایش میدهد.
با پیشرفت الگوریتمها و بهبود سختافزار، بسیاری از محصولات جدید مکانیسمهای ضد جعل، تشخیص زندهبودن صدا و تحلیل ویژگیهای پیچیدهتر صوتی را به کار میگیرند؛ بنابراین احتمال تقلب در دستگاههای روزآمد بهطور چشمگیری کاهش یافته است. برای کاهش ریسک در پیادهسازیهای واقعی توصیه میشود این سیستمها همراه با روشهای تکمیلی (مثلاً احراز هویت چندعاملی یا مکانیزمهای challenge-response پیشرفته) و بهروزرسانی منظم نرم افزار استفاده شوند.
سیستم حضور و غياب تشخیص عنبیه چشم و دور زدن یا تقلب در دستگاه حضور غیاب
سیستمهای حضور و غیاب مبتنی بر تشخیص عنبیه چشم از دقیقترین و امنترین فناوریهای کنترل تردد به شمار میآیند. به دلیل سطح بالای امنیت، این دستگاهها بیشتر در مراکز حساس مانند سازمانهای نظامی، فرودگاهها و گمرکها برای احراز هویت افراد بهکار گرفته میشوند. ترکیب این سیستم با مدارک شناسایی رسمی (مانند پاسپورت) احتمال تقلب یا جعل هویت را به حداقل میرساند.
با وجود این مزایا، باید توجه داشت که نور شدید خورشید میتواند بر عملکرد حسگرهای تشخیص عنبیه تأثیر منفی بگذارد و دقت سیستم را کاهش دهد. خوشبختانه این چالش با انتخاب مکان مناسب برای نصب دستگاه بهراحتی قابل حل است.
به طور کلی، در صورت نصب صحیح و استفاده از نسخههای بهروز، دستگاه حضور و غیاب تشخیص عنبیه چشم را میتوان جزو امنترین و مطمئنترین روشهای کنترل تردد دانست؛ روشی که هم سرعت بالایی در احراز هویت دارد و هم امنیتی فراتر از سایر فناوریهای مشابه ارائه میدهد.
امنیت دستگاه حضور و غیاب در مقابل هک کردن
امروزه دستگاهها و تجهیزات کنترل تردد نقش مهمی در مدیریت منابع انسانی و نظم سازمانها ایفا میکنند. این سیستمها علاوه بر ثبت دقیق ورود و خروج کارکنان، امکان تهیه گزارشهای مدیریتی را نیز فراهم میسازند. با این حال، از آنجا که دادههای ذخیرهشده در دستگاه حضور و غیاب شامل اطلاعات محرمانه پرسنل است، امنیت این تجهیزات اهمیت ویژهای پیدا میکند و بیتوجهی به آن میتواند خسارتهای جبرانناپذیری به سازمان وارد کند.
برای ارتقای امنیت دستگاه حضور و غیاب، مجموعهای از اقدامات ضروری است، از جمله:
رمزنگاری دادهها برای جلوگیری از دسترسی غیرمجاز.
استفاده از روشهای بیومتریک مانند اثر انگشت یا تشخیص چهره بهعنوان راهکارهای دقیقتر در شناسایی کارکنان.
محدودسازی سطح دسترسی کاربران بر اساس نقش و جایگاه سازمانی.
نظارت مداوم بر ورود و خروج و ثبت لاگ تغییرات.
بهکارگیری کارتهای هوشمند RFID برای افزایش سرعت و دقت ثبت تردد.
ذخیرهسازی ایمن اطلاعات و بهروزرسانی نرمافزاری منظم برای رفع حفرههای امنیتی.
رمز نگاری داده های دستگاه حضور و غیاب
روشهای شناسایی اثر انگشت و چهره، به عنوان یکی از روشهای پر کاربرد در امنیت دستگاه حضور و غیاب به حساب میآید. در این روشها، اثر انگشت و چهره کارکنان به عنوان یک الگوی بیولوژیکی شناسایی میشوند. در روش شناسایی اثر انگشت، اطلاعات اثر انگشت کاربر به صورت دیجیتال ذخیره میشود و در هنگام شناسایی، اثر انگشت کاربر با اطلاعات از پیش ذخیره شده، در معرض مقایسه قرار میگیرد.
در صورت تطابق اثر انگشت، کاربر شناسایی شده و مجوز دسترسی به دستگاه حضور و غیاب را خواهد داشت. در روش شناسایی چهره، عکس چهره کاربر به صورت دیجیتال ذخیره میشود و در هنگام شناسایی، چهره کاربر با عکس ذخیره شده مقایسه شده و اگر یکسان باشد، مجوز دسترسی صادر میشود. اما برای جلوگیری از تزریق تصویر قبلی و همچنین دزدی اطلاعات، باید دادههای اثر انگشت و چهره رمز نگاری شوند. در این روش، دادههای حاوی الگوی اثر انگشت یا چهره کاربر با استفاده از الگوریتمهای رمزنگاری به یک شیوه غیر قابل خواندن تبدیل شده و فقط با استفاده از کلید رمز، قابلیت بازگشت به حالت اصلی را دارند.
اساس کار سیستم حضور غیاب اثر انگشتی
سیستم حضور و غیاب انگشتی برای ثبت و ردیابی حضور و غیاب کارکنان در یک سازمان استفاده میشود. این سیستم با استفاده از تکنولوژی اثر انگشتی، اطلاعاتی را از کارکنان جمع آوری کرده و آنها را در یک پایگاه داده ذخیره میکند. اساس کار این سیستم به این صورت است که ابتدا کارکنان باید اطلاعات اثر انگشتی خود را در سیستم وارد کنند. سپس در هر بار حضور یا غیاب، کارکنان با قرار دادن انگشت خود بر روی دستگاه اثر انگشتی، حضور خود را به سیستم اعلام میکنند.
محدود کردن دسترسی کاربران به دستگاه حضور و غیاب
محدود کردن دسترسی کاربران به دستگاه حضور و غیاب، یکی از مهم ترین اقداماتی است که برای افزایش امنیت این دستگاهها انجام میشود. با محدود کردن دسترسی کاربران، میتوان از نفوذ کاربران نامعتبر و دسترسی به اطلاعات مهم و حساس جلوگیری کرد. یکی از راهکارهایی که برای محدود کردن دسترسی کاربران به دستگاه حضور و غیاب انجام میشود، استفاده از سطوح دسترسی متفاوت است. با تعریف سطوح دسترسی متفاوت برای کاربران، میتوان به هر کاربر دسترسی مجاز به بخشهای مختلف دستگاه را داد.
محدود کردن دستگاه با استفاده از یک رمز عبور نیز ممکن است که با اینکار، فقط کاربرانی که دارای رمز عبور معتبر باشند، میتوانند به دستگاه دسترسی پیدا کنند. همچنین، از روشهای شناسایی بیومتریکی مانند تشخیص اثر انگشت و چهره نیز برای محدود کردن دسترسی کاربران به دستگاه حضور و غیاب نیز استفاده میشود. محدود کردن ساعات دسترسی هم یکی از روشهای کاربردی است. طوری که دسترسی کاربران به دستگاه حضور و غیاب را به ساعات خاصی محدود کنید؛ به عنوان مثال، میتوانید استفاده از دستگاه را فقط با ساعات کاری شرکت، هماهنگ کنید.
نظارت بر دسترسی به دستگاه حضور و غیاب
یکی از جنبههای مهم امنیتی، نظارت بر دسترسی به این دستگاهها در این سیستم است. ثبت ورود و خروج کارکنان یکی از روشهای پایهای برای نظارت بر دستگاه حضور و غیاب به حساب میآید. با ثبت ورود و خروج هر فرد، میتوان دسترسی او به سیستم را مدیریت کرد. اگر از روشهای تشخیص چهره یا اثر انگشت برای شناسایی کارکنان استفاده میکنید، میتوانید با ثبت لحظهای تصاویر کارکنان به عنوان شواهد استفاده نمایید.
یکی دیگر از این روشها، استفاده از سیستمهای پیام رسانی است که شما را از ورود و خروج افراد آگاه میکند. نصب دوربینهای بسته و سامانههای تشخیص حرکت، به مدیران این اجازه را میدهد تا به صورت زنده یا ضبط شده، بر دسترسیهای موجود بر دستگاه نظارت داشته باشند.
بیشتر بخوانید: لیست قیمت دوربین مداربسته
پشتیبانی از ورود به سیستم با استفاده از کارت های RFID
FRID کارت یا کارتهای شناسایی بی سیم، نسخه پیشرفته کارتهای مغناطیسی بوده که یکی از روشهای کاربردی در سیستمهای حضور و غیاب جهت شناسایی کاربران هستند. با استفاده از این کارتها، کاربران میتوانند به سادگی و با کمترین زمان، وارد سیستم شده و حضور یا غیاب خود را ثبت کنند. استفاده از این کارتها مزایای بسیاری دارد که این مزایا عبارتند از:
- سرعت بالا در ورود و خروج کاربران از سیستم حضور و غیاب
- کاهش احتمال خطا در ورود و خروج کاربان از سیستم
- امکان ثبت دقیق حضور و غیاب با توجه به اطلاعات دقیق و مشخص ذخیره شده روی FRID کارتها
- کاهش هزینه و زمان مورد نیاز برای مدیریت و ثبت حضور و غیاب کارکنان
استفاده از کارتهای FRID، در کارایی سیستم حضور و غیاب موثر است و عملکرد سازمان یا شرکت شما را تا حد بسیار زیادی، بهبود میبخشد.
امضای دیجیتال در دستگاه حضور و غیاب
هنگامی که کاربر حاضر در دستگاه حضور و غیاب، اطلاعات خود را وارد میکند یک امضای دیجیتال بر روی اطلاعات وارد شده ایجاد میگردد. این امضا، توسط یک کلید خصوصی که توسط مدیر سیستم مدیریت حضور و غیاب تعیین شده است، تولید شده و با اطلاعات به سرور فرستاده میشود. در مرحله بعد، سرور با استفاده از یک کلید عمومی که در اختیار همه کاربران است، امضای دیجیتال را تایید میکند. در صورتی که امضای دیجیتال تایید شود، اطلاعات ورودی معتبر شناخته شده و به پایگاه حضور و غیاب اضافه میشود. این روش امکان تقلب و تغییر اطلاعات ورودی را کاهش میدهد و امنیت دستگاه را بهبود میبخشد.
ردیابی تغییرات در تنظیمات دستگاه حضور و غیاب
با رصد ثبت و تغییرات در تنظیمات، مدیران از نقصها و خطاهایی که ممکن است در تنظیمات وجود داشته باشد، آگاه شوند و نسبت به رفع آنها اقدام کنند. برای ردیابی تغییرات در تنظیمات دستگاه حضور و غیاب و گیت ورود خروج پرسنل، میتوان از روشهای مختلفی استفاده کرد. یکی از این روشها، استفاده از یک سیستم لاگ گیری است. با استفاده از این سیستم، تمامی تغییراتی که در تنظیمات دستگاه ایجاد میشود، به صورت اتوماتیک ثبت و ذخیره میشود.
به علاوه، میتوان یک پایگاه داده ایجاد کرد که تمامی تغییرات را در آن ثبت کند تا مدیران بتوانند به راحتی آنها را مرور کنند. روش دیگری که میتوان از آن برای ردیابی تغییرات در تنظیمات استفاده کرد، بررسی دورهای تنظیمات دستگاه است.
به عنوان مثال، مدیران قادرند هر هفته یک بار، تمامی تنظیمات دستگاه را بررسی کرده و از این طریق از تغییراتی که در تنظیمات صورت گرفته، آگاه شوند. ردیابی تغییرات تنظیمات سیستم میبایست به صورت منظم انجام شود تا خطاهای موجود در سیستم را حل نمایند.
اهمیت امنیت در دستگاه حضور و غیاب
امنیت یکی از مهم ترین مواردی است که میبایست در طراحی بهترین دستگاه حضور و غیاب مورد توجه قرار بگیرد. این دستگاه همانند دیگر سیستمهای امنیتی و حضور و غیاب، برای محافظت از منافع و اموال سازمانها و شرکتها مورد استفاده است. با توجه به اینکه اطلاعات حضور و غیاب کارکنان، در صورت ورود به دست افراد ناشایست، میتواند به مشکلات متعددی منجر شود، امنیت در این دستگاهها از اهمیت زیادی دارد.
همان طور که تا به اینجای مطلب خواندید، روشهای متعددی مانند رمز گذاری اطلاعات، امضای دیجیتال، تایید هویت دو مرحلهای، محدود کردن دسترسی، تشخیص عنبیه یا صدا و… برای تامین امنیت دستگاه حضور و غیاب استفاده میشود. بهتر است برای جلوگیری از هک شدن دستگاه، به روزرسانیهای مداوم نرم افزار دستگاه صورت بگیرد تا از بروز مشکلات جلوگیری کند.
نتیجه گیری
همانطور که دیدیم، هک کردن سیستم حضور و غیاب ممکن است در دستگاههای مختلف (اثر انگشت، تشخیص چهره، کارت یا صدا) رخ دهد، اما با استفاده از فناوریهای نوین بیومتریک، رمزنگاری دادهها، احراز هویت چندمرحلهای و نظارت مستمر، میتوان ریسک سوءاستفاده را به حداقل رساند.
در نهایت، امنیت واقعی زمانی حاصل میشود که سازمانها فقط به خرید دستگاه بسنده نکنند و سیاستهای داخلی، آموزش کارکنان و بهروزرسانی مداوم سیستم را هم جدی بگیرند. با این ترکیب، دستگاه حضور و غیاب هم دقیق و هم امن خواهد بود.
سوالات متداول درباره هک کردن دستگاه حضور و غیاب
1. آیا امکان هک کردن سیستم حضور و غیاب وجود دارد؟
بله، دستگاههای حضور و غیاب میتوانند در معرض هک و سوءاستفاده قرار گیرند، اما با فناوریهای نوین بیومتریک، رمزنگاری دادهها و احراز هویت چندمرحلهای، ریسک این نفوذ به حداقل میرسد.
2. چه انواع دستگاههای حضور و غیاب در بازار وجود دارد؟
دستگاه اثر انگشتی
دستگاه تشخیص چهره
دستگاه کارتی (RFID)
دستگاه تشخیص صدا
دستگاه تشخیص عنبیه چشم
3. دستگاه اثر انگشتی چگونه کار میکند و چقدر امن است؟
هر پرسنل یک یا چند اثر انگشت خود را ثبت میکند. دستگاه این اثر انگشتها را با الگوریتمهای پیشرفته تشخیص بافت زنده پردازش میکند. حتی اگر کسی اثر انگشت فرد را کپی کند، الگوریتم دستگاه اجازه تقلب نمیدهد.
4. آیا دستگاه تشخیص چهره قابل فریب است؟
در گذشته، سیستمهای ضعیف را میشد با عکس یا ویدیو فریب داد. اما اکنون با الگوریتمهای پیشرفته و تکنولوژی پرینت سه بعدی، دستگاههای تشخیص چهره معتبر بسیار امن و قابل اعتماد هستند.
5.چه اقداماتی امنیت دستگاه حضور و غیاب را افزایش میدهد؟
رمزنگاری دادهها
احراز هویت بیومتریک (اثر انگشت، چهره، عنبیه)
محدود کردن دسترسی کاربران بر اساس نقش
نظارت و ثبت لاگ تغییرات
استفاده از کارتهای RFID
امضای دیجیتال برای دادهها
بهروزرسانی مداوم نرمافزار