پشتیبانی Atlassian (جیرا) از احراز هویت بدون رمز عبور
محصولات Atlassian به طور گستردهای در صنعت توسعه نرمافزار استفاده میشود. بسیاری از تیمهایی که توسعه نرمافزار چابک را در دستور کار دارند، برای مدیریت پروژههای خود به این برنامهها متکی هستند. علاوه بر جیرا (Jira)، Git BitBucket، Bamboo، و پلتفرم همکاری تیمی Confluence نیز همگی به عنوان ابزارهای شرکت Atlassian در میان سازمانهای توسعهدهنده محصولات نرمافزاری بسیار محبوب هستند. گزارشها نشان میدهد که این شرکت هماکنون به 83 درصد از شرکتهای بزرگ و کوچک در سراسر جهان در حوزه تولید نرمافزار خدمات میدهد و بیش از 10 میلیون کاربر فعال دارد. برای کمک به ایجاد تجربه بهتر برای این کاربران، Atlassian افزونههای WebAuthn را برای پشتیبانی از استاندارد FIDO ایجاد کرده است تا احراز هویت بدون رمز عبور را برای محصولات مختلف خود ارائه کند. داشتن یک راه راحتتر و امنتر برای ورود به نمونههای Atlassian مطمئنا با استقبال تیمهای توسعه مواجه خواهد شد.
WebAuthn چگونه کار میکند
WebAuthn یک استاندارد امنیتی مبتنی بر مرورگر است که توسط کنسرسیوم وب جهانی (W3C) تهیه شده تا به برنامههای تحت وب اجازه دهد با استفاده از دستگاههای ثبتشده بهعنوان یک عامل، با کمک استاندارد FIDO، احراز هویت سادهتر و امنتری را برای کاربران فراهم کنند.
این استاندارد برای جلوگیری از حملات پیچیده فیشینگ به رمزنگاری کلید عمومی متکی است. WebAuthn بخشی از چارچوب FIDO است – فناوریهای مختلفی که در کنار هم، احراز هویت بدون رمز عبور را برای کاربرن ممکن میکنند. این استاندارد امنیتی توسط پلتفرمهای ویندوز 10 و اندروید و انواع مرورگرها همچون کروم و فایرفاکس پشتیبانی میشود.
در احراز هویت بدون رمز عبور، به جای گذرواژه، یک جفت کلید خصوصی-عمومی برای هر سایت تولید میشود. کلید خصوصی به طور ایمن در ابزار کاربر ذخیره میشود در حالی که کلید عمومی برای نگهداری ایمن به سرور احراز هویت ارسال میشود تا در ادامه از آن برای تأیید شناسه کاربر استفاده گردد. استفاده از کلید خصوصی ذخیره شده در دستگاه نیز، وابسته به یک عامل همچون کلید امنیتی سختافزاری و یا اثر انگشت کاربر خواهد بود.
مزایای استفاده از شیوههای احراز هویت بدون رمز عبور
شیوههای احراز هویت بدون رمز عبور، مزایای زیر را برای کاربران و سازمانها فراهم خواهند نمود:
سادگی: کاربران از ایجاد و به خاطر سپردن گذرواژهها یا عبارتهای عبور پیچیده در امان خواهند بود. همچنین نیازی به پیگیری گذرواژههای متعدد خود برای حسابهای مختلف آنلاین نخواهند داشت که در نهایت، روند ورود به سامانهها سریع و سادهتر خواهد شد.
کارایی: احراز هویت بدون گذرواژه همچنین زمان مورد نیاز کاربران برای وارد کردن رمزهای طولانی و پیچیده را کاهش میدهد. این کار به آنها اجازه میدهد تا به سرعت بر روی وظایف خود تمرکز کنند. علاوه بر این، 30 تا 50 درصد تماسهای میز خدمات فناوری اطلاعات، درخواست بازنشانی رمز عبور است. با حذف گذرواژهها، تیمهای فناوری اطلاعات میتوانند زمان خود را برای کارهای مهمتر آزاد کنند.
امنیت بالاتر: با احراز هویت بدون رمز عبور، مجرمان سایبری با چالش مهمتری برای دسترسی به احراز هویت کاربران مواجه میشوند. هک کردن سیستمهای بدون رمز عبور، مستلزم دسترسی فیزیکی مهاجمان به دستگاهها و داشتن اطلاعات بیومتریک کاربران مربوطه است که انجام این کار بسیار دشوار است.
اهمیت استفاده از احراز هویت بدون رمز عبور
پروژهها و دادههایی که در محصولات Atlassian (خصوصا جیرا) میزبانی و ذخیره میشوند، معمولاً از نظر مأموریت حیاتی هستند و شامل اطلاعات حساس و اختصاصی سازمان است. به عنوان مثال، مخازن Bitbucket حاوی کدهای منبع در حال تکمیل پروژهها هستند. دادههای Jira و Confluence نیز شامل مبادلات حساس و محرمانه بین کارکنان است.
به این ترتیب، بهبود امنیت این خدمات بسیار مهم است. گذرواژهها با توجه به انواع تهدیدات و مشکلات، نقطه ضعف اکثر سازمانها و راهکارهای دفاعی آنها در حوزه امنیت سایبری هستند. علیرغم درخواستها از کاربران برای استفادهاز رمزهای عبور قوی، بسیاری هنوز احتمالاً از گذرواژههای ضعیف و آسان برای به خاطر سپردن استفاده میکنند. از این رو نه تنها حل و فصل نقضها در این زمینه پرهزینه است، بلکه حملات سایبری در این حوزه میتواند برای پروژههای نرمافزاری ویرانگر بوده و با سرقت کدهای منبع، کل محصول سازمان را نابود نماید.
نکته نهایی
از آنجایی که حملات سایبری روز به روز پیچیدهتر میشوند، تیمهای توسعه نرمافزار در معرض تهدیدات و آسیبهای بیشتری قرار دارند. احراز هویت بدون رمز مبتنی بر استاندارد FIDO و WebAuthn برای جیرا و سایر نرمافزارهای مشابه، راهحل قابل اعتمادتری برای حفاظت از اطلاعات محرمانه است. خوشبختانه کاربران Atlassian در تمامی محصولات خود از جمله جیرا، هماکنون میتوانند WebAuthn را به سرعت از طریق این افزونههای جدید پیادهسازی و استفاده کنند. شما نیز میتوانید برای استفاده از چنین قابلیتی، از راهکار احراز هویت بدون رمز عبور نشانه استفاده کنید. برای دریافت هر گونه راهنمایی، با تیم نشانه تماس بگیرید.
پوشش احراز هویت بدون رمز عبور در اندروید با گواهینامه FIDO2
اگر آخرین بهروزرسانی سرویسهای Google Play را نصب کردهاید و دستگاه اندرویدی شما دارای اندروید نسخه 7 Nougat یا بالاتر است، به شما تبریک میگوییم! دستگاه شما اکنون دارای گواهینامه FIDO است و امکان احراز هویت بدون رمز عبور خواهد داشت.
این بدان معناست که به جای به خاطر سپردن گذرواژههای پیچیده برای حسابهای آنلاین خود، اکنون میتوانید از حسگر اثر انگشت داخلی یا کلیدهای امنیتی FIDO برای دسترسی ایمن بدون رمز عبور برای ورود به برنامهها و وبسایتهایی که از استاندارد فایدو پشتیبانی میکنند، استفاده کنید.
استاندارد FIDO
استاندارد FIDO (Fast Identity Online) احراز هویت بدون رمز عبور را بر اساس رمزنگاری کلید عمومی با استفاده از احراز هویتهای سختافزاری مانند کلیدهای امنیتی، تلفنهای همراه و سایر دستگاهها ارائه میدهد.
استاندارد فایدو ترکیبی از WebAuthn API W3C و پروتکل Client to Authenticator FIDO (CTAP) است که به کاربران اجازه میدهد تا احراز هویت را در مرورگرهای وب بدون رمز عبور انجام دهند.
دستگاههای دارای گواهی فایدو روی Mac OS X، ویندوز، لینوکس و Chrome OS کار میکنند و توسط همه مرورگرهای اصلی از جمله Google Chrome، Microsoft Edge، Mozilla Firefox و Apple Safari پشتیبانی میشوند.
اگرچه Android قبلاً احراز هویت بدون رمز عبور مبتنی بر FIDO را برای برنامههای نصبشده با استفاده از احراز هویت سختافزار خارجی مانند YubiKey یا Titan Security Key ارائه کرده است، بهروزرسانی جدید اکنون این قابلیت را به خدمات وب آنلاین از طریق مرورگرهای تلفن همراه نیز گسترش میدهد.
توسعه دهندگان وب اکنون میتوانند احراز هویت قوی FIDO را از طریق یک ارتباط API ساده به برنامهها و وبسایتهای خود اضافه کنند تا امنیت بدون رمز عبور و مقاوم در برابر فیشینگ را به کاربران ارائه دهند.
اگر دستگاه Android دارای گواهی FIDO شما فاقد حسگر اثر انگشت است، میتوانید از روشهای دیگر احراز هویت، مانند پین یا الگوی کشیدن انگشت که برای باز کردن قفل گوشی از آن استفاده میکنید، برای ورود به برنامهها و حسابهای آنلاین نیز استفاده کنید.
کلیدهای عبور (Passkeys) در حال ایجاد تغییرات اساسی در حوزه احراز هویت
با گسترش استفاده از شیوه احراز هویت بدون رمز عبور، اصطلاح «کلیدهای عبور» یا همان Passkeys، به سرعت در حال تبدیل شدن به یک کلمه کلیدی جدید در حوزه امنیت سایبری است. اما کلید عبور دقیقاً چیست و چرا به آن نیاز داریم؟ کلید عبور یک اعتبار دیجیتالی است که فقط توسط کاربر مجاز قابل استفاده است. این کار معمولاً مستلزم باز کردن قفل دستگاه با یک نشانگر بیومتریک (مانند اسکن صورت یا اثر انگشت) یا یک عامل منحصر به فرد (مثلاً یک پین) است. احتمالا در آینده نزدیک، گوگل، اپل و بسیاری از سامانهها از کاربران خواهند خواست که برای «ورود به سیستم» یک کلید عبور فعال کنند. این فناوری مبتنی بر استاندارد احراز هویت بدون رمز عبور FIDO است.
استفاده از کلیدهای عبور (Passkeys) در سال گذشته زمانی که غولهای فناوری مانند اپل، گوگل و مایکروسافت پشتیبانی از آنها را در محصولات خود اعلام کردند، به سرعت رشد کرد. اپل کلیدهای عبور را در آخرین نسخههای خود بهطور خودکار ایجاد کرد، مایکروسافت استفاده از کلید عبور را در ویندوز 11 گسترش داد، و گوگل آنها را در دستگاههای کروم و اندروید فعال کرد. در اکتبر 2023، گوگل شروع به ارائه کلیدهای عبور به عنوان روش پیش فرض برای ورود کاربران به حسابهای خود کرده است.
تکامل کلیدهای عبور (Passkeys)
با توجه به متفاوت بودن معنای کلید عبور برای افراد مختلف باید به جزئیات آن دقت بسیار نمود. Fast Identity Online (FIDO) را در نظر بگیرید، استاندارد احراز هویت منبع باز که راهی برای اتصال هویت به یک دستگاه و فعال کردن احراز هویت بدون رمز عبور فراهم میکند. اعتبارنامههای بدون رمز FIDO اغلب با کلیدهای عبور اشتباه گرفته میشوند، و حتی اتحادیه FIDO برای توصیف اعتبارنامههای بدون رمز FIDO از اصطلاح «کلید عبور» استفاده میکند، زیرا این واژه جذابیت زیادی پیدا کرده است.
اما FIDO یک تجربه احراز هویت چند عاملی (MFA) است که به یک تجربه بدون رمز تبدیل شده است. پشت صحنه، یک کلید رمزگذاری شده است که معمولاً در یک مخزن رمز عبور امن است. این روش جایگزین رویکرد سنتی ذخیره گذرواژهها در یک سرور متمرکز شده است که منبع بسیاری از خطرات و مشکلات همچون فیشینگ برای چندین دهه بوده است. از آنجایی که FIDO در مرورگرها و پلتفرمهای محبوب پشتیبانی میشود، به نظر میرسد پذیرش کلید عبور به طور تصاعدی رشد نماید.
چالشها و وعدههای کلیدهای عبور (Passkeys)
پیشرفتهای اخیر اکنون به کلیدهای خصوصی اجازه میدهد بین دستگاهها پرسه بزنند و قابلیت استفاده سازمانها را بهبود ببخشند، هرچند این کار خطر اشتراکگذاری آنها با بازیگران بد یا قربانی شدن در حمله فیشینگ را نیز به همراه خواهد داشت.
برای سازمانها، میتوان تعداد دستگاههایی را که میتوانند از کلید عبور استفاده کنند محدود کرد. در این مورد، کلید عبور متصل به دستگاه نیاز به تأیید صاحب دستگاه دارد، به طوری که این کلید فقط به کارکردن بر روی یک تلفن یا فقط به دستگاهی که از طریق یک توکن احراز هویت شده است محدود میشود. در حال حاضر بسیار پیچیده و تقریبا غیرممکن است که شخص دیگری از کلیدهای موجود بر روی یک دستگاه استفاده کند مگر اینکه کاربر مجاز آن را برای استفاده باز نماید.
ترکیب FIDO در سامانهها نیز بسیار آسان است و نیاز به کدنویسی بسیار ندارد. تقریبا FIDO تمامی کارها در این زمینه را خود انجام داده و بخش اندکی را برای توسعهدهندگان باقی گذاشته است. در واقع به راحتی میتوان تشخیص داد که آیا مرورگر از کلید عبور پشتیبانی میکند یا خیر و در ادامه تمام فرآیندهای تبادل دادههای لازم برای ثبت نام کاربر به سادگی انجام خواهد شد. دفعه بعد که کاربر سعی میکند وارد سامانه مربوطه شود، دستگاه از او میخواهد که از مکانیسم مناسب که آن را در زمان ثبت نام مشخص کرده است، همچون اثر انگشت، استفاده کند.
علاوه بر این، یک راهکار مبتنی بر FIDO میتواند سیاستهایی را اعمال کند که بتواند برای انطباق با سطح ریسک یک تراکنش یا برنامه اجرا شود. این توانایی نیاز به ایجاد سیاست اجرایی پایین دستی در هر برنامه را از بین میبرد.
مزیت سوم زمانی حاصل میشود که کاربران بخواهند روی برنامههای مختلف در سازمان کار کنند. داشتن یک کلید عبور واحد در تمام برنامههایی که کاربر مجاز به دسترسی به آن است، یک ورود واحد (Single Sign-On) محافظت شده با MFA را فراهم میکند.
برای فعال کردن استفاده گسترده از کلیدهای عبور (Passkeys) – چه در Apple iOS، Google Android یا مرورگرهای وب – به پلتفرمی نیاز است که از هر گونه احراز هویت FIDO پشتیبانی کند. با اجازه دادن به کاربر برای جابهجایی بین دستگاهها، از جمله توکنهای فیزیکی، با حداقل تلاش، کلیدهای عبور میتوانند نقش مهمی در حرکت سازمانها به سمت شیوه احراز هویت بدون رمز عبور داشته باشند.
