گامهای اساسی برای حذف رمزهای عبور در سازمان‌ها

گذرواژه‌ها و اعتبارنامه‌ها همچنان بزرگترین منبع تلاش‌های حمله و حملات موفق هستند. این امر آنها را به بزرگترین تهدید امنیت سایبری برای سازمان‌ها در تمام صنایع تبدیل نموده است. طبق گزارش Verizon، 62٪ از نقض‌های موفق به سرقت اعتبارنامه‌ها یا فیشینگ مرتبط است. حملات رمز عبور در شکل‌های مختلفی وجود دارند و برای دور زدن اقدامات مقابله‌ای مانند MFA سنتی تکامل یافته‌اند. از این رو سازمان‌ها باید به دنبال گامهای اساسی برای حذف رمزهای عبور باشند.

رایج‌ترین انواع حملات رمز عبور شامل موارد زیر هستند که احتمالا تنها می‌توان با شیوه‌های احراز هویت بدون رمز عبور با آنها مقابله نمود:

• فیشینگ: یک ترفند مهندسی اجتماعی ساده. در این ترفند، مهاجم ایمیلی برای کاربر می‌فرستد و از او می‌خواهد وارد یک سایت تقلبی کنترل‌شده توسط مهاجم شود. هکرها همچنین از فیشینگ برای استخراج رمزهای یکبار مصرف (OTP) ارسالی به کاربران در جریان احراز هویت چندعاملی استفاده می‌کنند.
• حمله جستجوی فراگیر (Brute Force): با داشتن آدرس ایمیل یا نام حساب کاربری یک کاربر، مهاجم چندین نسخه از رمزعبور را امتحان می‌کند. این کار می‌تواند بسیار طولانی، در حد امتحان کردن تمامی ترکیبات ممکن از کلمات یک فرهنگ لغت باشد.
• نرم‌افزار مخرب (Malware): این حالت شامل نصب یک کی‌لاگر (Key Logger) روی دستگاه کاربر است. از این طریق همه چیزهایی که کاربر وارد می‌کند ضبط و مستقیماً به مهاجم ارسال می‌شود.
• حمله مرد میانی (Man-in-the-Middle): یک مهاجم خود را بین کاربر و سرور قرار می‌دهد و ترافیک ارسال شده را رهگیری می‌کند. حتی رمزهای عبور رمزگذاری شده که سرقت شده‌اند می‌توانند به صورت آفلاین شکسته شوند.

 

گامهای اساسی برای حذف رمزهای عبور

تهدید ناشی از حملات رمزهای عبور به حدی جدی است که آژانس امنیت ملی ایالات متحده (CISA) دستورالعمل خاصی برای آن صادر کرده است. در این دستورالعمل از همه سازمان‌ها خواسته شده که رمزهای عبور را کاملاً حذف و MFA مقاوم در برابر فیشینگ را بر اساس استانداردهای FIDO مستقر کنند. در اینجا به مراحل و گام‌های اساسی که سازمان‌ها باید برای حذف رمزهای عبور از فرآیندهای مدیریت هویت و دسترسی (IAM) خود بردارند، خواهیم پرداخت.

1. شروع با حذف گذرواژه از رایانه‌های محلی: بسیاری از سازمان‌ها تمرکز خود را بر تلاش‌های امنیتی بر روی فرآیندهای احراز هویت برای برنامه‌های سیستمی و ورود واحد (SSO) قرار می‌دهند و اولین ورود روز، یعنی رایانه‌ها را نادیده می‌گیرند. این یک شکاف امنیتی جدی ایجاد می‌کند و دسترسی به ایستگاه‌های کاری را برای مهاجمان آسان‌تر می‌نماید که از آن می‌توان به عنوان یک مسیر حمله استفاده نمود. اولین قدم برای حذف رمزهای عبور، استقرار یک راه حل MFA بدون رمز عبور برای ایستگاه‌های کاری است. این کار سطح تهدیدات را کاهش می‌دهد و همچنین به کاهش زمانی که کارمندان در طول روز صرف وارد کردن رمزهای عبور می‌کنند، کمک می‌کند.
2. ایجاد یک نقطه ورود یکپارچه: گام بعدی واضح، پیوستن MFA بدون رمز عبور شما از به ارائه‌دهنده یک سرویس هویت SSO (Single Sign On) است. ارائه‌دهنده SSO دسترسی به بسیاری از برنامه‌های سیستمی، VPN و داده‌ها را ارائه می‌دهد. به یاد داشته باشید، SSO بدون رمزعبور نباید از اعتبارنامه‌های ذخیره شده مرکزی یا اسرار مشترک در فرآیند تأیید استفاده کند. استفاده از SSO، یک تجربه ورود یکپارچه و بدون دردسر برای کاربران ایجاد می‌کند. این کار تعداد تماس‌های جایگزینی رمز عبور برای تیم پشتیبانی IT را نیز کاهش می‌دهد که به معنی افزایش بهره‌وری خواهد بود.
3. حذف OTPها: یکی از اولین شیوه‌های MFA آن است که کاربر با ارائه یک شماره یا کد ارسال شده به یک ایمیل یا شماره تلفن همراه ثبت شده، هویت خود را ثابت کند. این شیوه اکنون می‌تواند به راحتی توسط مهاجمان از طریق انواع بدافزارها، شیوه سیم‌سوئیچینگ و یا کیت‌های فیشینگ اختصاصی به خطر بیفتد. یک گام مهم در حذف رمزهای عبور، کاهش وابستگی به OTPهاست. برخی از برنامه‌هایی که به SSO منتقل نشده‌اند ممکن است هنوز به OTP قدیمی نیاز داشته باشند. OTPها نه تنها ناامن هستند، بلکه زمان قابل توجهی از کارمندان را برای شروع و تکمیل ورود به سامانه‌ها می‌گیرند.
4. حل موارد خاص احتمالی: پس از ادغام SSO و سایر سامانه‌ها با MFA بدون رمز عبور، قدم بعدی در مسیر حذف رمزهای عبور، احتمالاً تمرکز بر برنامه‌های قدیمی خواهد بود که هنوز به رمز عبور نیاز دارند. میل به تغییر با فعال شدن احراز هویت بدون رمز عبور برای سایر دارایی‌ها قابل توجه خواهد شد و کارمندان از اینکه چرا دسترسی به این برنامه‌ها بسیار کندتر است، سؤال خواهند کرد. چندین گزینه برای بهبود این وضعیت وجود دارد، مانند اضافه کردن برنامه‌ها به SSO (در صورت امکان) یا استفاده از SDK راهکار بدون رمزعبور انتخاب شده در سازمان برای ادغام مستقیم احراز هویت بدون رمز عبور در برنامه‌های مربوطه.
5. حفظ و امتداد روند و فرآیندهای مثبت: مبارزه برای حذف رمزهای عبور به این دلیل دشوارتر می‌شود که با وجود معرفی خطرات امنیتی عظیم برای سازمان‌ها، بسیاری از فروشندگان و توسعه‌دهندگان همچنان رمزهای عبور را به‌عنوان یک راه‌حل احراز هویت قابل‌قبول می‌دانند. این می‌تواند منجر به عقب‌گرد در پیشرفت‌ها یا ایجاد استثنا برای شرایط یا کاربران خاص شود. هنگامی که در مسیر حذف رمزهای عبور هستید، نباید هیچ بازگشتی وجود داشته باشد.

 

راهکار نشانه برای خداحافظی با رمزهای عبور

رمزهای عبور شاید بزرگترین تهدید برای امنیت سازمانی باشند. حذف آنها از فرآیندهای احراز هویت بسیار مهم است. گامهای اساسی برای حذف رمزهای عبور، مشابه با آن چیزی است که در این نوشته تشریح شد. سفر به دنیای بدون گذرواژه با یک راهکار MFA بدون رمزعبور مناسب آغاز می‌شود. این راهکار باید احراز هویت بدون رمز عبور را به ایستگاه‌های کاری، SSO و تمامی برنامه‌های سازمان ارائه دهد تا برای کاربران احراز هویت مستقیم و بدون دردسر را فراهم نماید. راهکار احراز هویت بدون گذرواژه نشانه (محصول شرکت رهسا – ره‌آورد سامانه‌های امن)، همه چیزهایی را که برای حذف رمزهای عبور نیاز دارید، در اختیار شما قرار می‌دهد. استفاده از شناسه‌های بیومتریک روی کلیدهای امنیتی و یا سایر دستگاه‌های کاربران برای باز کردن یک کلید خصوصی منحصر به فرد، به معنای عدم وجود رمزعبور یا راز مشترک خواهد بود. نشانه یک راهکار گواهی شده توسط FIDO است که تمام دستورالعمل‌های احراز هویت مقاوم در برابر فیشینگ سازمان‌های امنیتی همچون CISA را برآورده می‌کند. برای اطلاع از چگونگی حذف کامل رمزهای عبور با استفاده از راهکار نشانه،  همین امروز با یکی از کارشناسان ما تماس بگیرید.