روندهای احراز هویت کنونی دنیا

روندهای احراز هویت مدتهاست به عنوان یک عنصر کلیدی در امنیت سازمان‌های مدرن در حال تغییر است. چرا که قوانین سخت‌تر شده‌اند و تهدیدات سایبری نیز به طور فزاینده‌ای توسط هوش مصنوعی تقویت گشته‌اند. فناوری‌های نوظهور، الگوهای جدید حملات و مقررات جدید همگی در حال تأثیرگذاری بر نحوه تأیید هویت‌ها در سازمان‌ها هستند. روش‌های سنتی تأیید هویت و احراز هویت دیگر کافی نیستند. رواج شیوه‌های کار ترکیبی (دورکاری و در محل)، پیشرفت تکنیک‌های تقلب و تقاضا برای تجربه کاربری یکپارچه، موجب تغییر به سمت تأیید هویت مستمر و زمینه‌محور شده است. با ورود به سال جاری، به چالش‌های کلیدی و روندهای احراز هویت جدید همچون هویت غیرمتمرکز و تایید هویت چندعاملی و تأثیرات آنها بر امنیت محل کار نگاهی خواهیم داشت. 

 

افزایش تقلب در مصاحبه و استخدام

در سال اخیر و البته به احتمال زیاد در سال جدید، به طور فزاینده‌ای، سازمان‌ها متوجه می‌شوند که فردی که فکر می‌کردند برای یک شغل استخدام کرده‌اند، در واقع همان فردی نیست که وارد سازمان شده است.  شاید برای برخی کشورها همچون ایران که جذب افراد خارجی در آن دشوار است، چنین موضوعی کمتر رخ دهد.  اما به طور مثال، اف‌بی‌آی و سایر آژانس‌ها در سال گذشته، چندین هشدار در مورد کارکنان IT تقلبی از کره شمالی که با استفاده از هویت‌های جعلی وارد شرکت‌های ایالات متحده شده‌اند، صادر کردند. 

آخرین بیانیه اف‌بی‌آی هشدار داد که خطرات این موضوع بیشتر شده است، به طوری که کارکنان IT کره شمالی با نگه داشتن داده‌ها و کدهای اختصاصی دزدیده شده به عنوان گروگان، شرکت‌ها را مجبور به پرداخت باج می‌کنند.  با این حال، تمرکز بر تهدیدات از سوی کره شمالی، هرچند که به وضوح جدی است، باعث پنهان شدن گستردگی و شدت رو به رشد این مشکل شده است. 

مجرمان از همه‌گیری کار از راه دور برای اجرای فریب و تغییر استفاده می‌کنند و از دیپ‌فیک‌ها برای جعل شخصیت نامزدهای شغلی در هنگام مصاحبه و فرآیندهای تأیید هویت بهره می‌برند.  فردی که در روز اول وارد سازمان می‌شود و دسترسی به سیستم‌ها را دریافت می‌کند، همان فردی نیست که از فیلتر اولیه عبور کرده است.  انگیزه‌ها از موارد نسبتا بی‌ضرر (برای مثال، تلاش برای به دست آوردن شغلی که فرد واجد شرایط آن نیست) تا تلاش‌های بدخواهانه برای دسترسی به سیستم‌های سازمانی متغیر است. 

 

حملات مهندسی اجتماعی به میز خدمت با استفاده از هوش مصنوعی

بازنشانی اعتبارها همچنان یک آسیب‌پذیری عمده است، زیرا مهاجمان با فریب دادن عوامل میز خدمت قادر به دور زدن پروتکل‌های امنیتی می‌شوند.  بیشتر میزهای خدمات IT با کارکنان محدودی فعالیت می‌کنند و حجم بالایی از تماس‌ها را مدیریت می‌کنند که بسیاری از آنها شامل مشکلات مربوط به رمز عبور یا احراز هویت چندعاملی (MFA) هستند.  مهاجمان اغلب از طبیعت انسانی و اطلاعات عمومی موجود برای فریب دادن کارکنان میز خدمات استفاده کرده و در نهایت به اعتبارهای قانونی دسترسی پیدا می‌کنند. 

پس از ورود به سیستم، آنها می‌توانند به سیستم‌های حساس دسترسی پیدا کرده، امتیازات را افزایش دهند و به صورت افقی در سازمان حرکت کنند — اغلب بدون اینکه هشدارهای امنیتی را فعال کنند.  این حملات بسیار خطرناک هستند زیرا از کنترل‌های امنیتی سنتی عبور می‌کنند.  حتی با وجود سیاست‌های قوی احراز هویت، یک حمله مهندسی اجتماعی به خوبی اجرا شده می‌تواند به مهاجم همان دسترسی‌ای را بدهد که یک کارمند مجاز دارد. 

مجرمان سایبری از تاکتیک‌هایی مانند ایجاد احساس اضطرار، ادعای نقش مقامات عالی رتبه یا استفاده از اطلاعات داخلی مانند اطلاعات سرقت شده از منابع عمومی برای معتبر نشان دادن درخواست‌های خود استفاده می‌کنند.  هوش مصنوعی مولد این طرح‌ها را حتی قانع‌کننده‌تر کرده است و به مهاجمان این امکان را می‌دهد که الگوهای گفتاری را شبیه‌سازی کرده، ایمیل‌های واقعی بنویسند یا حتی در زمان واقعی صدای دیپ‌فیک تولید کنند. 

 

پذیرش تایید هویت چندعاملی (Multi-Factor Verification – MFV)

افزایش حملات به آسیب‌پذیری‌های سیستم‌های نیروی کار نیاز مبرم به پیاده‌سازی روش‌های احراز هویت تطبیقی و قدرتمند را نشان می‌دهد که قادر به شناسایی و خنثی کردن این تهدیدات پیچیده باشند.  تایید هویت چندعاملی (MFV) به عنوان تکامل منطقی احراز هویت چندعاملی سنتی (MFA) ظهور کرده است.  به جای تکیه بر احراز هویت به عنوان دروازه‌بان اصلی،MFV احراز هویت تطبیقی و مبتنی بر ریسک را به بخش جدایی‌ناپذیر فرآیندهای دسترسی روزانه تبدیل می‌کند. 

این روش عواملی مانند رفتار، بیومتریک و سیگنال‌های متنی را برای اعتبارسنجی مستمر هویت کاربر در طول نشست یکپارچه می‌کند.  شیوه MFV می‌تواند نقاط ضعف در فرآیندهای بحرانی مانند بازیابی اعتبار و ثبت دستگاه را که به طور سنتی از روش‌های ناامن مانند پاسخ‌های مبتنی بر دانش و تماس با خدمات پشتیبانی استفاده می‌کنند، برطرف کند. 

برای مثال، تصور کنید که یک کاربر از یک دستگاه مورد اعتماد وارد سیستم می‌شود اما رفتاری غیرمنتظره از خود نشان می‌دهد، مانند دسترسی به فایل‌هایی که معمولاً برای نقش او نیست یا کار کردن از یک مکان مختلف.  بر اساس این سیگنال‌های ریسک، تایید هویت چندعاملی (MFV) به صورت بلادرنگ تنظیم می‌شود و سطح احراز هویت مورد نیاز را افزایش می‌دهد.  با اطمینان از اینکه احراز هویت با تهدید و ریسک موقعیتی تطابق دارد، تایید هویت چندعاملی (MFV) نه تنها خطر ناشی از اعتبارهای سرقتی را کاهش می‌دهد بلکه فرآیند را سریع‌تر و کمتر مزاحم‌گونه می‌کند. 

 

دستورالعمل NIST 800-63-4: افزایش سطح احراز و تایید هویت

پیش‌نویس دستورالعمل‌های NIST SP 800-63-4 که قرار است در سال 2025 منتشر شوند، به‌روزرسانی‌های قابل توجهی را برای تقویت استانداردهای اثبات و احراز هویت معرفی می‌کنند.  این تغییرات شامل مقررات سختگیرانه‌تری برای اثبات هویت از راه دور است، که روش‌های پیشرفته‌ای مانند تطابق بیومتریک و احراز هویت مدارک زنده برای ورود از راه دور را شامل می‌شود.  دستورالعمل‌های پیش‌نویس همچنین تأکید بر ارزیابی ریسک دارند و سازمان‌ها را تشویق می‌کنند تا سطح ریسک هر تراکنش مرتبط با هویت را ارزیابی کرده و اقدامات احراز هویت را بر اساس آن اعمال کنند. 

تشخیص تقلب نیز یکی از حوزه‌های مهم است که نیاز به شناسایی و کاهش تقلب‌های احتمالی در فرآیندهای احراز هویت دارد.  این دستورالعمل‌ها بر تغییر به سمت احراز هویت مداوم به عنوان جزء حیاتی از فرآیند احراز هویت تأکید دارند.  سازمان‌هایی که به دنبال همراستایی با NIST 800-63-4 هستند باید راه‌حل‌های دقیق و مقیاس‌پذیری را برای تقویت امنیت و برآوردن نیازهای انطباقی اتخاذ کنند. 

 

ظهور هویت غیرمتمرکز

سیستم‌های هویت غیرمتمرکز از سال 2025 شروع به جذب توجه در محیط‌های کاری خواهند کرد. سازمان‌ها می‌توانند با ادغام مدارک قابل تایید مانند اعتبارنامه‌های Microsoft Verified ID در فرآیندهای هویتی خود، فرآیندهایی مانند استخدام و بازیابی اعتبارنامه‌ها را به طور قابل توجهی ساده و ایمن کنند. یک روند تأیید هویت غیرمتمرکز مدرن ممکن است شامل مراحل زیر باشد:

1. هویت کارمند با استفاده از روش‌های پیشرفته اثبات هویت مانند ضبط مدارک، تشخیص حضور و تأیید کارفرما نهایی و تایید می‌شود. 
2. پس از تایید، کارمند یک اعتبارنامه امن و قابل تایید که به کیف پول دیجیتال او ارسال شده است، دریافت می‌کند. 
3. این اعتبارنامه به کارمند این امکان را می‌دهد که کارهایی مانند تخصیص کلمات عبور، ثبت‌نام در مزایا یا بازنشانی اعتبارنامه‌ها را انجام دهد، بدون اینکه به ذخیره‌سازی هویت متمرکز نیاز داشته باشد. 

این رویکرد غیرمتمرکز نه تنها جریان‌های کاری را ساده‌تر می‌کند، بلکه با کاهش وابستگی به سیستم‌های متمرکز، امنیت را نیز تقویت می‌کند. 

 

آماده‌سازی برای روندهای احراز هویت در آینده

با تکامل روندهای احراز هویت، سازمان‌ها باید خود را برای حفظ امنیت و رقابت‌پذیری تطبیق دهند.  تأیید هویت چندعاملی (MFV)، دفاع‌های قوی در برابر مهندسی اجتماعی و هماهنگی با استانداردهای در حال ظهور مانند NIST 800-63-4 برای حفظ امنیت ضروری هستند.  راه‌حل‌های هویت غیرمتمرکز پیشرفت‌های امیدوارکننده‌ای در ساده‌سازی و ایمن‌سازی فرآیندهای نیروی کار ارائه می‌دهند، اما تنها زمانی که با شیوه‌های معتبر اثبات هویت همراه باشند. 

راهکار احراز هویت بدون رمز عبور نشانه، به‌طور خاص برای کمک به سازمان‌ها در عبور از این چالش‌ها طراحی شده است.  نشانه که محصول شرکت رهسا (ره‌آورد سامانه‌های امن) است، احراز هویت بدون رمز عبور مقاوم در برابر فیشینگ را در یک جریان دسترسی ساده و کاربرپسند ادغام می‌کند.  این راهکار به سازمان‌ها این امکان را می‌دهد که فرآیندهای تأیید هویت را متناسب با محیط‌ها و موارد استفاده خاص خود سفارشی کنند.  برای اطلاع از نحوه کمک نشانه به سازمان شما، با همکاران ما در تیم فروش یا پشتیبانی در تماس باشید.