نشانه - راهکار احراز هویت بدون رمز عبور

با طرح رایگان نشانه، همین امروز احراز هویت بدون رمزعبور فایدو2 را تجربه کنید

ورود / ثبت نام
ثبت نام
ورود
ثبت نام
ورود
ثبت نام
ورود

تفاوت احراز هویت بدون رمز عبور و احراز هویت چندعاملی (MFA)

10 آذر 1403 عمومی 6 دقیقه مطالعه
مقایسه راهکار احراز هویت بدون رمز عبور و MFA سنتی

امنیت سایبری در سطح سازمانی تحت هجوم تهدیدات بی‌سابقه‌ای قرار دارد. تحقیقات HP نشان می‌دهد که حجم حملات سایبری در طول همه‌گیری 238 درصد افزایش یافته است. یک نظرسنجی توسط موسسه Ponemon از رهبران فناوری اطلاعات و امنیت اطلاعات نشان داد که سرقت اعتبار (56%) و فیشینگ (48%) رایج ترین انواع حملات تجربه شده هستند. گزارش مایکروسافت نیز حملات فیشینگ را به تنهایی مسئول 70 درصد از نقض داده‌ها می‌داند. فضای فعلی نیاز به یک وضعیت امنیتی قوی‌تر، به ویژه در حوزه احراز هویت (MFA یا احراز هویت بدون رمز عبور) را روشن می‌کند.

این وضعیت، اصطلاحات مختلف این حوزه، مانند احراز هویت چند عاملی (MFA)، احراز هویت بدون رمز عبور و MFA مقاوم در برابر فیشینگ را وارد گفتگوهای امنیتی کرده است. برای اجرای بهترین روش‌ها و کاهش ریسک، تصمیم‌گیرندگان باید از اصطلاحات فنی عبور کنند تا سیستمی را پیدا کنند که بهترین محافظت و بازده سرمایه‌گذاری را برای آن‌ها فراهم کند. در این نوشته، ما شیوه بدون رمز عبور در مقابل MFA را بررسی و تحلیل خواهیم کرد.

 

تعاریف مربوطه در احراز هویت بدون رمز عبور و MFA

اصطلاحات مختلفی در مورد مدیریت هویت و دسترسی (IAM) و پروتکل‌های احراز هویت وجود دارد، اما معنای آن‌ها چیست و به طور خاص، تفاوت‌های بین شیوه بدون رمز عبور و MFA در زمینه احراز هویت امن چیست؟ ما با تعریف دو اصطلاح شروع می‌کنیم.

احراز هویت چند عاملی (MFA) مستلزم آن است که کاربر دو یا چند عامل تأیید مستقل را برای احراز هویت ارائه دهد. این عوامل می‌توانند چیزی باشند که می‌دانید (مثلاً رمز عبور، پین، الگو)، چیزی که هستید (مثلاً اسکن شبکیه، تشخیص چهره، اثر انگشت) یا چیزی که دارید (مثلاً دستگاه هوشمند، کلید امنیتی).

رمزهای عبور آسیب‌پذیرترین جنبه احراز هویت هستند و هم هدف مورد علاقه مهاجمان و هم بزرگترین بردار حملات سایبری هستند. معرفی چندین عامل مستقل، دسترسی یک مهاجم به سیستم یا دستیابی به تصاحب حساب (Account Take Over – ATO) را دشوارتر می‌کند.

احراز هویت بدون رمز عبور، همانطور که از نام آن پیداست، هویت کاربر را بدون استفاده از رمز عبور یا عوامل مبتنی بر دانش تأیید می‌کند. می‌توان احراز هویت بدون رمز عبور تک عاملی (مثلاً یک کلید امنیتی) و MFA بدون رمز عبور (مثلاً یک راه‌حل مانند راهکار نشانه) وجود داشته باشد.

با این حال، اصطلاح “بدون رمز عبور” مبهم می‌شود زیرا برخی روش‌ها به نظر می‌رسد که رمزهای عبور را حذف می‌کنند اما در واقع هنوز از آن‌ها به نوعی در فرآیند سنجش هویت استفاده می‌کنند. به عنوان مثال، برخی از فرآیندهای احراز هویت بدون رمز عبور ممکن است از کاربر بخواهند که برای تأیید عامل “چیزی که در اختیار دارد” اثر انگشت خود را ارائه دهد، اما سپس یک رمز عبور فعال شده را برای عمل سنجش و تایید هویت در پس‌زمینه ارسال کند.

لینک‌های جادویی چه هستند؟

لینک‌های جادویی مثال دیگری هستند. به جای رمز عبور، آن‌ها با استفاده از یک توکن جاسازی‌شده در یک URL که از طریق ایمیل یا پیامک ارسال می‌شود، احراز هویت را انجام می‌دهند. اگرچه این یک عامل مبتنی بر دانش نیست، اما یک راز مشترک است که به همان روشی که یک رمز عبور عمل می‌کند، کار می‌کند و هر راز مشترک می‌تواند با مهاجمان نیز به “اشتراک گذاشته شود”.

این بدان معناست که همچنین باید تمایز بیشتری بین راه‌حل‌های کاملاً بدون رمز عبور که رازهای مشترک را کاملاً از فرآیند حذف می‌کنند و آن‌هایی که آن‌ها را فقط از تجربه کاربر پنهان می‌کنند، وجود داشته باشد. سیستم‌های کاملاً بدون رمز عبور که در هیچ مرحله‌ای از فرآیند احراز هویت از راز مشترک استفاده نمی‌کنند، اغلب MFA مقاوم در برابر فیشینگ نامیده می‌شوند.

 

بررسی تفاوت‌های شیوه بدون رمز عبور در مقابل MFA

اکثریت قریب به اتفاق MFAها همچنان به رمزهای عبور به عنوان یک عامل متکی هستند، اگرچه بزرگ‌ترین شرکت‌های فناوری جهان و دولت‌ها (همچون دولت فدرال امریکا) خواستار حذف رمزهای عبور از فرآیند احراز هویت شده‌اند.

از آنجایی که استقرار MFA به طور کلی بسیار پایین‌تر از سطحی است که باید باشد، بسیاری از سازمان‌ها هنوز در مرحله کشف گذار خود هستند. با این حال، این می‌تواند مثبت نیز باشد، زیرا فرصتی برای اجرای MFA بدون رمز عبور از همان ابتدا فراهم خواهد گشت. برای تصمیم‌گیری در مورد اینکه آیا این مسیر مناسب برای کسب‌وکار شما است یا خیر، درک تفاوت‌های شیوه احراز هویت بدون رمز عبور در مقابل MFA سنتی در چهار حوزه کلیدی بسیار مهم است.

احراز هویت

همه MFAها بدون رمز عبور نیستند و همه شیوه‌های بدون رمز عبور نیز MFA نیستند. یک راه‌حل MFA بدون رمز عبور مقاوم در برابر فیشینگ به دستورالعمل‌های موسسه ملی استانداردها و فناوری (NIST) و آژانس زیرساخت امنیت سایبری و امنیت (CISA) پایبند است. هویت با استفاده از یک ویژگی بیولوژیکی ذاتی (چیزی که هستید) همراه با کلیدهای رمزنگاری خصوصی (چیزی که دارید) تأیید می‌شود. خود فرآیند احراز هویت از رمزنگاری کلید عمومی استفاده می‌کند تا هیچ اعتبارنامه سری برای رهگیری وجود نداشته باشد و هیچ پایگاه داده‌ای از اعتبارنامه‌های ذخیره شده نیز در کار نباشد که بتواند نشت یا هک شود.

امنیت

MFA  از حالت آسان تا بسیار دشوار (توکن FIDO پشتیبانی شده توسط شناسایی بیومتریک) متغیر است. اگرچه ایمن‌تر از یک رمز عبور ساده است، اما چقدر ایمن‌تر آن به عوامل تأیید مورد استفاده و خود فرآیند احراز هویت بستگی دارد. MFA سنتی اغلب از یک رمز عبور یک‌بار مصرف (OTP) ارسال شده به یک دستگاه به عنوان عامل “چیزی که دارید” استفاده می‌کند. اگرچه استفاده از شیوه سنجش هویت با OTP راحت است، اما در نهایت، مهاجمان می‌توانند به راحتی با استفاده از کیت‌های فیشینگ و سایر تکنیک‌ها آن‌ها را دور بزنند. همانطور که در بالا ذکر شد، روش احراز هویت پس‌زمینه نیز به طور قابل توجهی بر امنیت MFA تأثیر می‌گذارد؛ اگر هیچ رازی به اشتراک گذاشته نشود، هیچ چیزی برای دزدیدن وجود ندارد.

تجربه کاربری

یکی از بزرگ‌ترین موانع برای گسترش MFA، ترس از تجربه کاربری ضعیف است. از آنجایی که MFA می‌تواند نیاز به ورودی طیف گسترده‌ای از عوامل داشته باشد، برخی از آن‌ها ممکن است در هنگام ورود به سیستم نسبت به سایرین سخت‌تر باشند.

رمزهای عبور همیشه یکی از ناامیدکننده‌ترین چیزها در مورد احراز هویت کاربر بوده و هستند. اضافه کردن یک اقدام احراز هویت اضافی بر روی این امر تنها این مشکل را افزایش می‌دهد و می‌تواند بر بهره‌وری تأثیر منفی قابل توجهی داشته باشد. علاوه بر این، کاربران اغلب رمزهای عبور را فراموش می‌کنند یا مجبور به چرخش آن‌ها می‌شوند، که منجر به اشتراک‌گذاری رمزهای عبور یا ایجاد اسناد برای ردیابی همه رمزهای عبور می‌شود و خطرات امنیتی ایجاد می‌کند.

استقرار

استقرار MFA بسته به محیط و خود راه‌حل، از نظر پیچیدگی متفاوت است. این بیشتر یک مسئله شیوه بدون رمز عبور در مقابل MFA نیست و بیشتر وابسته به انتخاب راه‌حلی است که انعطاف‌پذیری را ارائه می‌دهد و می‌تواند با سازمان مقیاس‌پذیر باشد. سازمان‌ها باید مراقب قفل شدن فرآیند MFA خود در یک ارائه دهنده سرویس هویت (Identity Provider – IdP) یا درگاه احراز هویت یکپارچه (Single Sign On – SSO) خاص باشند، در غیر این صورت با چندین پروتکل سنجش هویت برای استقرار و مدیریت مواجه خواهند شد، چندین برنامه که می‌تواند منجر به مقاومت در همه جبهه‌ها شود.

 

نتیجه‌گیری

تهدیدات امنیتی فزاینده در اطراف احراز هویت، مانند فیشینگ، به این معنی است که امنیت سایبری سازمانی به سیستم‌های قوی‌تری نیاز دارد. MFA مقاوم در برابر فیشینگ پاسخ این مشکل است، اما این اکثر رویکردهای MFA را حذف می‌کند. این امر برای تصمیم‌گیرندگان ضروری است که تفاوت بین شیوه احراز هویت بدون رمز عبور در مقابل MFA که از رمزهای عبور و سایر عوامل فیشینگ‌پذیر استفاده می‌کند را درک کنند.

راه‌حل MFA و احراز هویت بدون رمز عبور واقعی نشانه با استفاده از MFA مقاوم در برابر فیشینگ ساخته شده که تعادلی کامل بین امنیت و تجربه کاربری مناسب برقرار می‌نماید. جریان احراز هویت یکپارچه بر روی رایانه‌ها و تمامی سامانه‌های نرم‌افزاری به سازمان و کاربران آن اجازه می‌دهد دستگاه خود را به یک توکن FIDO تبدیل کنند و به راحتی و با تکیه بر رمزنگاری کلید عمومی، با اطمینان در تمامی سامانه‌ها احراز هویت امن انجام دهند.

برای اطلاع از اینکه چگونه راهکار بدون رمز عبور نشانه می‌تواند به ایمن‌سازی کاربران و شبکه سازمان شما کمک کند، با کارشناسان ما در تیم نشانه تماس حاصل نمایید.

ارسال پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

معرفی

نشانه، راهکار هوشمند احراز هویت بدون رمز عبور، در شرکت ره‌آورد سامانه‌های امن (رهسا) توسعه داده شده است.
ما در تلاش هستیم تا راهکارهایی مناسب برای حفظ امنیت اطلاعات اشخاص و سازمان‌ها ارائه کنیم.

Linkedin-in

محصولات

لینک‌های مفید

دسترسی سریع

تلفن‌های تماس

پست الکترونیک

آدرس

تهران، ناحیه نوآوری شریف، بلوار تیموری، نبش کوچه ابراهیمی، پلاک 58، ساختمان مهرنگار، طبقه دوم، واحد 10

تمامی حقوق مادی و معنوی این وب‌سایت به شرکت ره‌آورد سامانه‌های امن (رهسا) تعلق دارد.