احراز هویت بدون گذرواژه برای موسسات مالی

معرفی احراز هویت بدون گذرواژه برای موسسات مالی

| 6 دقیقه برای مطالعه

بانک‌ها و موسسات مالی، همواره یکی از اهداف اصلی حملات سایبری بوده و هستند. با این حال، در سال‌های اخیر، سطح تهدیدات سایبری به طور قابل توجهی افزایش نیز یافته است. با وجود سرمایه‌گذاری‌های عظیم در حوزه امنیت، صنعت مالی همچنان در معرض خطر است. به‌ویژه در زمینه آسیب‌پذیری‌های مدیریت احراز هویت و دسترسی (IAM). آمار و روندهای اخیر جهانی نشان می‌دهد که این وضعیت چقدر وخیم شده است. موارد زیر نشان دهنده نیاز به رویکردی جدید همچون احراز هویت بدون گذرواژه برای موسسات مالی می‌باشد:
• در سال 2020، طبق گزارش VMware Carbon Black، حملات سایبری علیه بانک‌ها 238 درصد افزایش یافت.
• طبق گزارش وضعیت احراز هویت صنعت مالی 2022، 80 درصد نقض‌های امنیتی ناشی از صعف‌های این حوزه بوده است.
• تقریباً 40 درصد از تمام URLهای فیشینگ، خدمات مالی را هدف قرار می‌دهند.
• 47 درصد تلاش‌های کلاهبرداری، در کانال‌های پرداخت بدون کارت صورت گرفته است. یعنی مهاجمان غالبا از کنترل‌های مدیریت هویت ضعیف در پرداخت‌های آنلاین سوء استفاده می‌کنند.

 

چالش‌های مهم امنیت سایبری در خدمات مالی

صنعت خدمات مالی، به ویژه سیستم‌های احراز هویت آن، به دلایل مختلف با خطرات فزاینده‌ای مواجه است. در سال‌های اخیر، قوانین متعددی نیز در این زمینه وضع شده است. یا در قوانین متعددی به بهبود حوزه مدیریت هویت و دسترسی اشاره شده است. می‌توان به استفاده از استاندارد FIDO در نسخه جدید PCI-DSS به عنوان نمونه یاد نمود. در ادامه به برخی از مشکلات این حوزه که غالبا بیشتر سازمان‌های مالی با آن درگیر هستند اشاره می‌نماییم.

سهولت هک شیوه‌های سنتی

احراز هویت سنتی بسیار آسیب‌پذیر در برابر حملات مختلف از جمله فیشینگ است. شیوه‌های MFA سنتی بیشتر یک مزاحمت هستند تا یک مانع برای هکرها. اکثر روش‌ها از نوعی راز مشترک به عنوان عامل احراز اصالت استفاده می‌کنند. غالبا می‌توان همه این روش‌ها را فریب داد یا راز مربوط را از آنها سرقت نمود. هنگامی که مهاجمان از مرحله احراز هویت عبور می‌کنند، می‌توانند حمله را گسترش و سطح آسیب را افزایش دهند.

پیچیدگی حملات

هم‌اکنون، فیشینگ به عنوان یک سرویس (PhaaS) با رابط‌های پیچیده، به صورت آماده برای انجام حملات فراهم است. در نتیجه مهاجمان کم‌مهارت نیز با هزینه کم، به ابزارهای لازم برای اجرای حملات علیه مشتریان بانک‌ها دسترسی خواهند داشت. برخی از این سرویس‌ها، شامل چندین لایه حمله، از جمله آپلود داده‌های شخصی از پیش جمع‌آوری‌شده هستند. از این طریق شانس موفقیت و احتمال هدف قرار دادن کاربران آسیب‌پذیرتر بالا خواهد رفت. برخی از آنها خدمات بمباران MFA برای دور زدن برنامه‌های احراز هویت MFA را نیز ارائه می‌دهند.

چالش‌های چندگانه و فرآیندهای متفاوت

بسیاری از سازمان‌های خدمات مالی از چندین ارائه دهنده هویت (IdP) استفاده می‌کنند. به ویژه آن‌هایی که از طریق ادغام با یکدیگر رشد کرده یا ایجاد شده‌اند. هر یک از این‌ها ممکن است فرآیند احراز هویت متفاوتی داشته باشد. این تفاوت ممکن است در سطوح امنیت و یا تجربیات مختلف برای کاربران باشد. از این رو ممکن است کاربران بیشتر در معرض فریب و حملات قرار بگیرند. همچنین ممکن است به استفاده از راهکارهای ناامن مانند یادداشت کردن رمزهای عبور روی بیاورند.

مقررات سختگیرانه

قوانین حفاظت از داده‌ها در جهان مانند GDPR، PCI-DSS و PSD2 به همه شرکت‌ها اعمال می‌شود. هرچند، بار نظارتی آنها بر شرکت‌های خدمات مالی بسیار سنگین‌تر از سایر صنایع است. احتمال جریمه و انتشار نقض‌ها خطر قابل توجهی برای موسسات مالی ایجاد می‌کند. این موارد ممکن است بانک‌ها و موسسات مالی را ملزم کند تا رویه‌های احراز هویت خود را تقویت کنند.

اعتماد مصرف‌کننده

موج فعلی فعالیت‌های کلاهبرداری به‌طور فعال بر روابط شرکت‌ها با مشتریانشان تأثیر می‌گذارد. مطالعه امنیت احراز هویت در صنعت مالی، نشان می‌دهد که بانک‌ها پس از نقض امنیتی، دچار کاهش مشتری می‌شوند. این مطالعه نشان می‌دهد 32 درصد بانک‌ها پس از نقض امنیتی، مشتریان خود را به رقبا از دست می‌دهند. همچنین یک مانع بزرگ، انتقال مشتریان به بانکداری موبایل و خدمات الکترونیکی است. 74 درصد از مشتریانی که از این خدمات استفاده نمی‌کنند، امنیت را به عنوان نگرانی اصلی خود ذکر می‌کنند.

 

احراز هویت بدون گذرواژه برای موسسات مالی 

یکی از مشکلات اصلی همه این مسائل، ضعف در امنیت فرآیند و شیوه مدیریت هویت است. مقررات خدمات مالی صراحتاMFA را به عنوان حداقل شیوه احراز هویت برای کارمندان و مشتریان مشخص کرده‌اند. برای بهبود امنیت فرآیند مدیریت هویت در موسسات مالی، باید به نکات مختلفی توجه نمود. از جمله این نکات، می‌توان به به عنوان نمونه به موارد مهم زیر اشاره کرد:

1. احراز هویت چند عاملی قوی (MFA): همانطور که گفته شد،MFA بهترین روش برای پوشش حداقل‌های مورد انتظار برای احراز و مدیریت هویت است. با این حال، برخی از فرآیندهای MFA مانند رمزهای یک‌بار مصرف (OTP)، قابل دور زدن هستند. از این رو باید به شیوه‌های مقاوم‌تر از احراز هویت چند عاملی روی آورد. در ادامه به برخی از این شیوه‌ها و استانداردها اشاره می‌گردد.

2. احراز هویت بدون رمز عبور برای موسسات مالی: یک راه‌حل حیاتی برای حذف آسیب‌پذیری‌های ذاتی رازهای مشترک و تقویت مدیریت دسترسی و هویت، حذف کامل رمزهای عبور است. احراز و مدیریت هویت بدون رمز عبور برای امور مالی، یک فرآیند مقاوم در برابر فیشینگ ایجاد می‌کند. این امر از مشتریان و کارمندان در برابر اکثر تلاش‌های حمله و تهدیدات محافظت خواهد نمود.

3. استاندارد Fast Identity Online (FIDO): ترس بسیاری از سازمان‌ها در انتقال به احراز هویت بدون رمز عبور، عدم اطمینان به سطح امنیت آنهاست. استاندارد FIDO یک سیستم احراز هویت متن-باز است. این استاندارد توسط اتحادیه‌ای از شرکت‌های فناوری پیشرو، سازمان‌های مالی و نهادهای نظارتی مانند NIST ایجاد شده است. استاندارد FIDO با در نظر گرفتن امنیت، تجربه کاربری و سازگاری توسعه یافته است. این کار با استفاده از دستگاه‌های کاربر همچون تلفن همراه یا کلیدهای آماده، با عوامل بیومتریک و مالکیت انجام می‌شود.

4. احراز هویت قوی برای رایانه‌ها و همچنین برنامه‌ها: اکثر سیستم‌های احراز و مدیریت هویت بر کنترل دسترسی خدمات سازمانی تمرکز دارند. دسترسی به رایانه‌ها که برای کار با دارایی‌های شرکت استفاده می‌شوند، اغلب فقط با رمز عبور محافظت می‌شود. سازمان‌هایی که MFA را برای رایانه‌ها نادیده می‌گیرند، در واقع در را به روی منابع خود باز می‌گذارند. تیم‌های امنیتی می‌توانند با فعال کردن MFA برای ورود به رایانه‌ها، میزان دفاع را تقویت کنند.

5. رمزنگاری کلید عمومی: در نهایت، رمزهای عبور آسیب‌پذیرند زیرا می‌توان آنها را فیشینگ یا سرقت کرد. ورود بدون رمزعبور ایمن برای امور مالی از رمزنگاری کلید عمومی بی‌نیاز از رمزعبورها استفاده می‌کند. برای هر کاربر یک جفت کلید عمومی-خصوصی تولید می‌شود. کلید عمومی باید در ارائه دهنده خدمت مدیریت هویت ثبت شود. در فرآیند احراز و مدیریت هویت، کاربر کلید خصوصی را روی دستگاه خود باز و داده‌های مرتبط را امضا/تأیید می‌کند. از آنجایی که کلید خصوصی به صورت محلی ذخیره می‌شود، احتمال سرقت آن به طور قابل توجهی کاهش می‌یابد.

 

احراز هویت بدون گذرواژه برای موسسات مالی با راهکار نشانه

پیچیدگی و تعدد تهدیدات، به‌ویژه در حوزه احراز و مدیریت هویت، چالش‌های بزرگی برای صنعت خدمات مالی ایجاد نموده است. راهکار نشانه از مشکلات صنعت مالی در این زمینه و قوانین مرتبط آگاه است. این راهکار محصول شرکت رهسا (ره‌آورد سامانه‌های امن) است که سال‌هاست در حوزه امنیت فعالیت می‌کند. با ارائه راه‌حلی مبتنی برFIDO، نشانه امکان ورود بدون رمز عبور را برای سازمان‌های مالی فراهم می‌کند. به‌گونه‌ای که امنیت بالاتر برای سازمان و راحتی بیشتر برای کارمندان و مشتریان فراهم گردد. نشانه امکان ورود سریع و بی‌دردسر به سامانه‌های سازمان را بصورت مقاوم در برابر فیشینگ مهیا می‌نماید. برای اطلاع بیشتر در این زمینه، با تیم نشانه تماس بگیرید.
اطلاعات بیشتر در خصوص احراز هویت چند عاملی و شیوه‌های نوین آن را در مقاله احراز هویت چند عاملی MFA: مزایا، معایب، آینده مطالعه کنید.

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

ثبت نام
ثبت نام
ورود
ورود
پیمایش به بالا