گذرواژهها و اعتبارنامهها همچنان بزرگترین منبع تلاشهای حمله و حملات موفق هستند. این امر آنها را به بزرگترین تهدید امنیت سایبری برای سازمانها در تمام صنایع تبدیل نموده است. طبق گزارش Verizon، 62٪ از نقضهای موفق به سرقت اعتبارنامهها یا فیشینگ مرتبط است. حملات رمز عبور در شکلهای مختلفی وجود دارند و برای دور زدن اقدامات مقابلهای مانند MFA سنتی تکامل یافتهاند. از این رو سازمانها باید به دنبال گامهای اساسی برای حذف رمزهای عبور باشند.
رایجترین انواع حملات رمز عبور شامل موارد زیر هستند که احتمالا تنها میتوان با شیوههای احراز هویت بدون رمز عبور با آنها مقابله نمود:
- فیشینگ: یک ترفند مهندسی اجتماعی ساده. در این ترفند، مهاجم ایمیلی برای کاربر میفرستد و از او میخواهد وارد یک سایت تقلبی کنترلشده توسط مهاجم شود. هکرها همچنین از فیشینگ برای استخراج رمزهای یکبار مصرف (OTP) ارسالی به کاربران در جریان احراز هویت چندعاملی استفاده میکنند.
- حمله جستجوی فراگیر (Brute Force): با داشتن آدرس ایمیل یا نام حساب کاربری یک کاربر، مهاجم چندین نسخه از رمزعبور را امتحان میکند. این کار میتواند بسیار طولانی، در حد امتحان کردن تمامی ترکیبات ممکن از کلمات یک فرهنگ لغت باشد.
- نرمافزار مخرب (Malware): این حالت شامل نصب یک کیلاگر (Key Logger) روی دستگاه کاربر است. از این طریق همه چیزهایی که کاربر وارد میکند ضبط و مستقیماً به مهاجم ارسال میشود.
- حمله مرد میانی (Man-in-the-Middle): یک مهاجم خود را بین کاربر و سرور قرار میدهد و ترافیک ارسال شده را رهگیری میکند. حتی رمزهای عبور رمزگذاری شده که سرقت شدهاند میتوانند به صورت آفلاین شکسته شوند.
گامهای اساسی برای حذف رمزهای عبور
تهدید ناشی از حملات رمزهای عبور به حدی جدی است که آژانس امنیت ملی ایالات متحده (CISA) دستورالعمل خاصی برای آن صادر کرده است. در این دستورالعمل از همه سازمانها خواسته شده که رمزهای عبور را کاملاً حذف و MFA مقاوم در برابر فیشینگ را بر اساس استانداردهای FIDO مستقر کنند. در اینجا به مراحل و گامهای اساسی که سازمانها باید برای حذف رمزهای عبور از فرآیندهای مدیریت هویت و دسترسی (IAM) خود بردارند، خواهیم پرداخت.
- شروع با حذف گذرواژه از رایانههای محلی: بسیاری از سازمانها تمرکز خود را بر تلاشهای امنیتی بر روی فرآیندهای احراز هویت برای برنامههای سیستمی و ورود واحد (SSO) قرار میدهند و اولین ورود روز، یعنی رایانهها را نادیده میگیرند. این یک شکاف امنیتی جدی ایجاد میکند و دسترسی به ایستگاههای کاری را برای مهاجمان آسانتر مینماید که از آن میتوان به عنوان یک مسیر حمله استفاده نمود. اولین قدم برای حذف رمزهای عبور، استقرار یک راه حل MFA بدون رمز عبور برای ایستگاههای کاری است. این کار سطح تهدیدات را کاهش میدهد و همچنین به کاهش زمانی که کارمندان در طول روز صرف وارد کردن رمزهای عبور میکنند، کمک میکند.
- ایجاد یک نقطه ورود یکپارچه: گام بعدی واضح، پیوستن MFA بدون رمز عبور شما از به ارائهدهنده یک سرویس هویت SSO (Single Sign On) است. ارائهدهنده SSO دسترسی به بسیاری از برنامههای سیستمی، VPN و دادهها را ارائه میدهد. به یاد داشته باشید، SSO بدون رمزعبور نباید از اعتبارنامههای ذخیره شده مرکزی یا اسرار مشترک در فرآیند تأیید استفاده کند. استفاده از SSO، یک تجربه ورود یکپارچه و بدون دردسر برای کاربران ایجاد میکند. این کار تعداد تماسهای جایگزینی رمز عبور برای تیم پشتیبانی IT را نیز کاهش میدهد که به معنی افزایش بهرهوری خواهد بود.
- حذف OTPها: یکی از اولین شیوههای MFA آن است که کاربر با ارائه یک شماره یا کد ارسال شده به یک ایمیل یا شماره تلفن همراه ثبت شده، هویت خود را ثابت کند. این شیوه اکنون میتواند به راحتی توسط مهاجمان از طریق انواع بدافزارها، شیوه سیمسوئیچینگ و یا کیتهای فیشینگ اختصاصی به خطر بیفتد. یک گام مهم در حذف رمزهای عبور، کاهش وابستگی به OTPهاست. برخی از برنامههایی که به SSO منتقل نشدهاند ممکن است هنوز به OTP قدیمی نیاز داشته باشند. OTPها نه تنها ناامن هستند، بلکه زمان قابل توجهی از کارمندان را برای شروع و تکمیل ورود به سامانهها میگیرند.
- حل موارد خاص احتمالی: پس از ادغام SSO و سایر سامانهها با MFA بدون رمز عبور، قدم بعدی در مسیر حذف رمزهای عبور، احتمالاً تمرکز بر برنامههای قدیمی خواهد بود که هنوز به رمز عبور نیاز دارند. میل به تغییر با فعال شدن احراز هویت بدون رمز عبور برای سایر داراییها قابل توجه خواهد شد و کارمندان از اینکه چرا دسترسی به این برنامهها بسیار کندتر است، سؤال خواهند کرد. چندین گزینه برای بهبود این وضعیت وجود دارد، مانند اضافه کردن برنامهها به SSO (در صورت امکان) یا استفاده از SDK راهکار بدون رمزعبور انتخاب شده در سازمان برای ادغام مستقیم احراز هویت بدون رمز عبور در برنامههای مربوطه.
- حفظ و امتداد روند و فرآیندهای مثبت: مبارزه برای حذف رمزهای عبور به این دلیل دشوارتر میشود که با وجود معرفی خطرات امنیتی عظیم برای سازمانها، بسیاری از فروشندگان و توسعهدهندگان همچنان رمزهای عبور را بهعنوان یک راهحل احراز هویت قابلقبول میدانند. این میتواند منجر به عقبگرد در پیشرفتها یا ایجاد استثنا برای شرایط یا کاربران خاص شود. هنگامی که در مسیر حذف رمزهای عبور هستید، نباید هیچ بازگشتی وجود داشته باشد.
راهکار نشانه برای خداحافظی با رمزهای عبور
رمزهای عبور شاید بزرگترین تهدید برای امنیت سازمانی باشند. حذف آنها از فرآیندهای احراز هویت بسیار مهم است. گامهای اساسی برای حذف رمزهای عبور، مشابه با آن چیزی است که در این نوشته تشریح شد. سفر به دنیای بدون گذرواژه با یک راهکار MFA بدون رمزعبور مناسب آغاز میشود. این راهکار باید احراز هویت بدون رمز عبور را به ایستگاههای کاری، SSO و تمامی برنامههای سازمان ارائه دهد تا برای کاربران احراز هویت مستقیم و بدون دردسر را فراهم نماید. راهکار احراز هویت بدون گذرواژه نشانه (محصول شرکت رهسا – رهآورد سامانههای امن)، همه چیزهایی را که برای حذف رمزهای عبور نیاز دارید، در اختیار شما قرار میدهد. استفاده از شناسههای بیومتریک روی کلیدهای امنیتی و یا سایر دستگاههای کاربران برای باز کردن یک کلید خصوصی منحصر به فرد، به معنای عدم وجود رمزعبور یا راز مشترک خواهد بود. نشانه یک راهکار گواهی شده توسط FIDO است که تمام دستورالعملهای احراز هویت مقاوم در برابر فیشینگ سازمانهای امنیتی همچون CISA را برآورده میکند. برای اطلاع از چگونگی حذف کامل رمزهای عبور با استفاده از راهکار نشانه، همین امروز با یکی از کارشناسان ما تماس بگیرید.
اطلاعات بیشتر: مطالعه مقاله کلیدهای عبوری و نقش آن در جلوگیری از حملات فیشینگ