رمزهای عبور آسیبپذیرترین و مورد حملهترین بخش هر سامانه احراز هویت هستند. آنها نه تنها برای امنیت احراز هویت، بلکه برای وضعیت امنیتی کل سازمان خطر ایجاد میکنند. گزارش Verizon نشان میدهد که حدود 60 درصد از حملات موفق، به اعتبارنامهها مرتبط است. این موارد شامل فیشینگ، اعتبارنامههای سرقت شده و حملات brute-force است. مشکل اصلی گذرواژهها در امکان اشتراک آنها با چند نفر یا حتی بیشتر است. طبق گفته Darkreading، اکنون بیش از 24 میلیارد اعتبارنامه دزدی شده در بازارهای وب تاریک در گردش است. بسیاری از کارشناسان امنیت معتقدند که هکرها در واقع به سیستمها نفوذ نمیکنند، بلکه براحتی به آن وارد میشوند. تنها راه برای تغییر این الگو، حذف کامل رمزهای عبور از فرآیند احراز هویت است. اینجاست که رویکردهای احراز هویت بدون گذرواژه، به ویژه راهحلهای MFA مقاوم در برابر فیشینگ، برجسته میشوند. اما احراز هویت بدون گذرواژه چیست؟
بررسی اجمالی MFA مقاوم در برابر فیشینگ
احراز هویت تک عاملی سنتی بر اثبات هویت با یک جفت نام کاربری و گذرواژه مبتنی است. احراز هویت چند عاملی (MFA) نیازمند یک یا چند عامل تأیید مستقل است. اینها میتوانند شامل آنچه میدانید (گذرواژه)، آنچه دارید (کلید امنیتی) یا آنچه هستید (ویژگی بیومتریک مانند اثر انگشت) باشد. در شیوههای MFA سنتی، این موارد معمولاً شامل یک گذرواژه به علاوه یک عامل دیگر است. اما در MFA مقاوم در برابر فیشینگ یا احراز هویت بدون گذرواژه،عامل گذرواژه حذف و فقط از عوامل “دارایی” یا “ذاتی” استفاده میشود.
چرا احراز هویت بدون گذرواژه از MFA سنتی امنتر است؟
در حالی که MFA سنتی نسبت به گذرواژه ایمنتر است، مواردی متکی به SMS OTP به راحتی دور زده میشوند. احراز هویت بدون گذرواژه، اسرار مشترک را از فرآیند احراز هویت حذف میکند و بسیار ایمنتر از MFA سنتی است. شیوه MFA مقاوم در برابر فیشینگ یا بدون گذرواژه مبتنی بر FIDO، استاندارد طلایی احراز هویت چندعاملی مقاوم در برابر فیشینگ است. نحوه عملکرد چنین شیوهای با استفاده از رمزنگاری کلید عمومی و برنامه کاربردی تلفن همراه، شامل مراحل زیر خواهد بود.
- کاربر فرآیند ورود را آغاز میکند.
- سیستم احراز هویت بدون گذرواژه عوامل شناسایی را از کاربر درخواست میکند.
- کاربر کلید خصوصی را با عامل مرتبط با احراز هویت بدون گذرواژه خود (مثلا اثر انگشت) باز میکند.
- در انتها سرور، از کلید عمومی مرتبط با کلید خصوصی کاربر، برای تأیید هویت امن او استفاده میشود.
- در صورت طی شدن درست مراحل، به کاربر اجازه ورود داده میشود.
همانطور که از فرآیند تشریح شده مشخص است، کاربر نیازی به ارائه چیزی جز کلید امنیتی یا اثرانگشت خود ندارد. کاربر بدون به خاطر سپردن یا به اشتراک گذاشتن یک رمز عبور، امکان احراز هویت خواهد داشت. به دلیل پیچیدگی رمزنگاری کلید عمومی، هیچ راز یا اعتبارنامهای با شنود یا در حملات man-in-the-middle سرقت نمیشود. و البته، یک هکر نمیتواند با حدس زدن یا فیشینگ یک رمز عبور به یک حساب دسترسی پیدا کند. فراوانی حسگرهای بیومتریک نیز به معنی فراهم بودن این راهکار به راحتی برای همه افراد و سازمانها خواهد بود.
تغییر پارادایم امنیتی: آیا MFA مقاوم در برابر فیشینگ ایمن است؟
با وجود تایید متخصصان امنیت و موسساتی همچون NIST، راهکارهای بدون رمزعبور همچنان سرعت پذیرش بالایی ندارند. سازمانها اغلب میپرسند، احراز هویت بدون گذرواژه چه چیزی را میتواند ارائه دهد که سایر شیوههای MFA نمیتوانند. حذف گذرواژه، مشکل اصلی سیستمهای احراز هویت را رفع و تأثیر مثبت بر امنیت و عملیات سازمان میگذارد. اول و مهمتر از همه، با حذف بزرگترین عامل حمله، به طور خودکار امنیت سازمانی را بهبود میبخشد.
مایکروسافت بیش از 300 میلیون تلاش ناموفق ورود به سامانهها را در روز به محصولات مختلف خود گزارش میدهد. این شرکت بیان میکند که شیوههای بدون رمز عبور مبتنی بر بیومتریک، 99 درصد حملات حسابهای کاربری را مسدود میکند. با افزایش مقررات ایمنی دادهها در جهان، استقرار MFA بدون گذرواژه همچنین به سازمانها برای انطباق با قوانین کمک میکند. مزایای دیگر شامل کاهش هزینههای بازنشانی رمز عبور است. طبق گزارش Forrester، هزینه هر بازنشانی رمز عبور، در میانگین جهانی حدود 45 دلار است. احراز هویت بدون گذرواژه همچنین میتواند تجربه کاربر را سادهتر کرده و بهرهوری را افزایش دهد.
حرکت به سوی دنیای بدون گذرواژه با نشانه
MFA مقاوم در برابر فیشینگ یا احراز هویت بدون رمز عبور، ضعیفترین حلقه این فرآیند را حذف میکند. این شیوه از این طریق، امنیت را برای کاربران، سیستمها و سازمانها بهبود میبخشد. راهکار احراز هویت بدون رمزعبور نشانه، امنیت احراز هویت شما را افزایش و بهرهوری و پذیرش کاربران را بهبود میبخشد. با رمزنگاری کلید عمومی و پایبندی به FIDO، راهکار نشانه حذف اسرار مشترک از فرآیند احراز هویت را تضمین میکند.
راهکار نشانه (محصول شرکت رهسا – رهآورد سامانههای امن)، یک فرآیند یکپارچه برای ورود بدون رمزعبور فراهم میکند. این راهکار، امنیت را به سازمان و تجربه کاربری زیبایی را به کاربران ارائه میدهد. تیم نشانه، آماده ارائه کمک و راهنمایی برای هموار نمودن مسیر حرکت سازمانها به سمت دنیای بدون گذرواژه است. برای رهایی از تمامی تهدیدات رمزهای عبور، همین امروز حرکت خود را آغاز نمایید.
اطلاعات بیشتر در خصوص احراز هویت چند عاملی و شیوههای نوین آن را در مقاله احراز هویت چند عاملی MFA: مزایا، معایب، آینده مطالعه کنید.