ورود بدون رمزعبور به صرافی‌های رمزارز (نوبیتکس)

در دنیای امروز که امنیت اطلاعات از اهمیت بسیاری برخوردار است، روش‌های احراز هویت و مدیریت رمزعبور به یک موضوع حیاتی تبدیل شده‌اند. نوبیتکس، یکی از معروف‌ترین صرافی‌های رمزارز ایرانی، با توجه به نیاز کاربران به امنیت بیشتر، امکان ورود چند مرحله‌ای (MFA) را فراهم کرده است. در این نوشته، قصد داریم به شما نشان دهیم که چگونه می‌توانید با استفاده از کلید امنیتی، علاوه بر ورود چند مرحله‌ای به نوبیتکس، از مزایای ورود بدون رمزعبور ما نیز بهره‌مند شوید. این توضیحات می‌تواند به صورت کلی برای ورود بدون رمزعبور به صرافی‌های رمزارز (از هر نوعی) مورد استفاده قرار گیرد.

 

چرا ورود بدون رمزعبور؟

روش‌های ورود بدون رمزعبور، امنیت بیشتری نسبت به رمزهای عبور متداول فراهم می‌کنند. با استفاده از کلیدهای امنیتی و روش‌های احراز هویت بیومتریک، کاربران می‌توانند به راحتی و با امنیت بیشتری وارد حساب‌های کاربری خود شوند. این روش‌ها نه تنها مانع از حملات فیشینگ و دسترسی‌های غیرمجاز می‌شوند، بلکه تجربه کاربری را نیز بهبود می‌بخشند.

 

مزایای استفاده از کلید امنیتی برای ورود بدون رمزعبور به صرافی‌های رمزارز

1. افزایش امنیت:  کلیدهای امنیتی سخت‌افزاری، مانند محصولات شرکت رهسا (ره‌آورد سامانه‌های امن)، به عنوان یکی از امن‌ترین روش‌های احراز هویت شناخته می‌شوند. این کلیدها به گونه‌ای طراحی شده‌اند که فقط با حضور فیزیکی کاربر قابل استفاده هستند.
2. حفاظت از حملات فیشینگ:  با استفاده از کلید امنیتی، حتی اگر کاربر به سایت یا برنامه‌ای که برای فیشینگ طراحی شده دسترسی پیدا کند، کلید امنیتی نمی‌تواند به‌صورت نادرست استفاده شود.
3. تجربه کاربری بهتر:  کاربران می‌توانند با استفاده از کلید امنیتی، بدون نیاز به وارد کردن رمزعبور، به سرعت و به سادگی وارد حساب خود شوند.

 

افزونه مدیریت رمزعبور نشانه

نشانه، یک افزونه مدیریت رمزعبور ارائه می‌دهد که به کاربران اجازه خواهد داد تا رمزهای عبور خود را به صورت امن ذخیره کنند و هر زمان که نیاز داشته باشند، به‌طور خودکار در جاهای لازم تکمیل کنند. این افزونه به‌ویژه برای برنامه‌هایی که به صورت مستقیم، ورود بدون رمزعبور مبتنی بر FIDO را پشتیبانی نمی‌کنند، مفید است.

 

نحوه استفاده از کلید امنیتی و افزونه مدیریت رمزعبور نشانه

1. ثبت‌نام و تنظیم کلید امنیتی:  ابتدا در پنل نشانه به آدرس https://panel.neshane.co/ ثبت نام کنید و یک کاربر جدید برای خود ایجاد کنید. سپس برای کاربر ایجاد شده، یک  کلید امنیتی ثبت کنید. این کلید می‌تواند یک کلید سخت‌افزاری مانند محصولات شرکت رهسا یا یک کلید نرم‌افزاری مانند آنچه نشانه ارائه می‌دهد باشد. همچنین می‌توانید از کلیدهای بین‌المللی همچون Google Authenticator نیز استفاده نمایید.
2. نصب نرم‌افزار FCP: برای استفاده از قابلیت مدیریت رمزعبور، باید نرم‌افزار FCP نشانه را از سایت نشانه دانلود و نصب کنید.
3. نصب افزونه مدیریت رمزعبور نشانه: در ادامه، افزونه مدیریت رمزعبور نشانه را بر روی Firefox نصب کنید.
4. اضافه کردن حساب کاربری و رمزعبور نوبیتکس:  در این مرحله، می‌توانید از داخل پنل نشانه و یا مستقیما از داخل خود افزونه، نام کاربری و رمزعبور هر سامانه‌ای همچون نوبیتکس را برای استفاده‌های آتی اضافه کنید.
5. استفاده از افزونه مدیریت رمزعبور:  اگر مراحل بالا را به درستی انجام داده باشید، اکنون می‌توانید با استفاده از کلید امنیتی خود، وارد حساب کاربری نوبیتکس شوید. این مراحل می‌تواند برای ورود بدون رمزعبور به صرافی‌های رمزارز دیگر هم انجام شود. نکته مهم آن است که فرآیند نصب افزونه مدیریت رمزعبور، تنها برای برنامه یا سایتی که به صورت مستقیم، ورود بدون رمزعبور را پشتیبانی نمی‌کند، نیازمند انجام است.
6. تکمیل خودکار رمزعبور: از این پس، با استفاده از افزونه مدیریت رمزعبور، رمزهای عبور به‌طور خودکار در جاهای تعریف شده تکمیل خواهد شد که از این رو امنیت و سهولت بیشتری را برای شما به همراه خواهد آورد.

 

چگونه ورود بدون رمزعبور به صرافی‌های رمزارز امنیت به ارمغان می‌آورد؟

افزایش امنیت حساب‌های کاربری یکی از اولویت‌های اصلی هر صرافی رمزارز است. ورود بدون رمزعبور با استفاده از کلیدهای امنیتی نه تنها مانع از دسترسی‌های غیرمجاز می‌شود، بلکه از حملات فیشینگ و سرقت رمزهای عبور نیز جلوگیری می‌کند. با ترکیب این روش با ورود چند مرحله‌ای، کاربران می‌توانند از سطح امنیت بالاتری بهره‌مند شوند. علاوه بر این، استفاده از کلیدهای امنیتی به کاربران اجازه می‌دهد بدون نیاز به حفظ و مدیریت چندین رمزعبور، به سادگی و با امنیت بیشتری وارد حساب‌های خود شوند.

 

افزایش بهره‌وری و راحتی کاربران با مدیریت رمزعبور

افزونه مدیریت رمزعبور نشانه نه تنها امنیت کاربران را افزایش می‌دهد، بلکه تجربه کاربری را نیز بهبود می‌بخشد. کاربران می‌توانند رمزهای عبور خود را به صورت امن ذخیره کرده و به سرعت در جاهای لازم تکمیل کنند. این افزونه به ویژه برای کاربرانی که از چندین حساب کاربری در سایت‌ها و برنامه‌های مختلف استفاده می‌کنند، مفید است. با استفاده از افزونه مدیریت رمزعبور، کاربران نیازی به حفظ و مدیریت چندین رمزعبور ندارند و می‌توانند به راحتی و با امنیت بالاتر به حساب‌های خود دسترسی پیدا کنند.

 

پرسش‌های متداول درباره ورود بدون رمزعبور به صرافی‌های رمزارز

• آیا کلیدهای امنیتی قابل استفاده در چندین دستگاه هستند؟ بله، کلیدهای امنیتی مانند محصولات شرکت رهسا، به کاربران اجازه می‌دهند تا از یک کلید در چندین دستگاه و حساب کاربری استفاده کنند.
• آیا افزونه مدیریت رمزعبور از رمزهای عبور قوی و پیچیده پشتیبانی می‌کند؟ بله، افزونه مدیریت رمزعبور نشانه از رمزهای عبور قوی و پیچیده پشتیبانی می‌کند و به کاربران اجازه می‌دهد رمزهای عبور خود را به صورت امن و پیچیده ایجاد و ذخیره کنند.
• چگونه می‌توانم افزونه مدیریت رمزعبور را نصب و استفاده کنم؟ برای نصب و استفاده از افزونه مدیریت رمزعبور، کافیست مراحل تشریح شده در ابتدای این نوشته را دنبال کنید. پس از نصب افزونه، می‌توانید رمزهای عبور خود را به صورت امن ذخیره کرده و در جاهای لازم تکمیل کنید.

 

ورود بدون گذرواژه با راهکار نشانه

استفاده از روش‌های ورود بدون گذرواژه و کلیدهای امنیتی، امنیت و تجربه کاربری بهتری را برای کاربران فراهم می‌کند. با افزونه مدیریت رمزعبور نشانه (محصول شرکت رهسا – ره‌آورد سامانه‌های امن) می‌توانید رمزهای عبور خود را به‌طور امن ذخیره و مدیریت کنید و به راحتی وارد حساب‌های کاربری خود شوید. این راهکار برای محیط‌هایی که مستقیما از ورود بدون رمز عبور مبتنی بر FIDO پشتیبانی نمی‌کنند، بسیار عالی و کاربردی است. اگر به دنبال ارتقاء امنیت حساب‌های خود و ورود بدون رمزعبور به صرافی‌های رمراز همچون نوبیتکس و دیگر برنامه‌ها هستید، حتما این روش را امتحان کنید.

مهاجرت سازمان‌ها به دنیای بدون گذرواژه

در دنیای امروز، امنیت اطلاعات به یکی از اولویت‌های اصلی سازمان‌ها تبدیل شده است. تهدیدات سایبری همچنان رو به افزایش هستند و روش‌های قدیمی احراز هویت مبتنی بر گذرواژه دیگر توانایی کافی برای مقابله با این تهدیدات را ندارند. مواردی نظیر انتخاب رمزهای عبور ضعیف، استفاده از یک گذرواژه برای چندین حساب، و حملات فیشینگ باعث می‌شوند که این روش‌ها پرخطر و ناکارآمد باشند. در مقابل، احراز هویت بدون گذرواژه نه تنها امنیت کاربران را افزایش می‌دهد، بلکه تجربه کاربری بهتری نیز فراهم می‌کند. در این روش، کاربران نیازی به حفظ و وارد کردن گذرواژه ندارند و از ابزارهایی مانند کلیدهای امنیتی بهره‌مند می‌شوند. این فناوری نوین سازمان‌ها را از تهدیدات امنیتی حفظ کرده و کاربران را نیز از دغدغه‌های روزمره مانند فراموش کردن گذرواژه خلاص می‌کند. در ادامه، مراحل عملیاتی مهاجرت به دنیای بدون گذرواژه را بررسی می‌کنیم.

 

گام‌های مهاجرت به دنیای بدون گذرواژه

 

گام اول: بهره‌مندی از پشتیبانی سیستم‌عامل‌ها و سامانه‌های آنلاین

امروزه بسیاری از سیستم‌عامل‌ها و سامانه‌های آنلاین از ورود بدون گذرواژه با استفاده از کلیدهای امنیتی پشتیبانی می‌کنند. سیستم‌عامل‌هایی نظیر ویندوز، مک‌اواس، اندروید و حتی برخی از نسخه‌های لینوکس، قابلیت ورود بدون رمزعبور را به کمک فناوری‌هایی نظیر FIDO2 و WebAuthn ارائه می‌دهند. این فناوری‌ها امکان استفاده از کلیدهای سخت‌افزاری، مانند YubiKey، یا حتی کلیدهای بیومتریک را برای کاربران فراهم کرده‌اند.

از سوی دیگر، سرویس‌های آنلاینی نظیر گوگل، مایکروسافت و اپل نیز به کاربران این امکان را می‌دهند تا به راحتی از ورود بدون گذرواژه بهره‌مند شوند. به عنوان مثال، کاربرانی که دستگاه‌های خود را به این سرویس‌ها متصل می‌کنند، می‌توانند به سرعت از این قابلیت بهره‌برداری کنند، بدون اینکه نیازی به تغییرات بزرگ در زیرساخت‌های خود داشته باشند.

بنابراین، در اولین گام، بسیاری از سازمان‌ها می‌توانند با استفاده از همین قابلیت‌های آماده، شروع به مهاجرت به دنیای بدون گذرواژه کنند. در واقع در این گام، تنها کافی است که یک راهکار احراز هویت بدون گذرواژه، همچون نشانه را انتخاب کنید. تنها با ساخت کاربران و اضافه نمودن کلیدهای امنیتی برای آنها، تمامی سامانه‌ها و سیستم عامل‌های پشتیبانی کننده از ورود بدون رمزعبور، به سادگی آماده استفاده از این قابلیت خواهند بود.

 

گام دوم: استفاده از درگاه احراز هویت یکپارچه

در حالی که برخی از سامانه‌ها به صورت مستقیم از ورود بدون گذرواژه پشتیبانی می‌کنند، ممکن است بتوان آنها را با اتصال به درگاه احراز هویت یکپارچه، به این قابلیت مجهز نمود. برای حل این مسئله، ایجاد یا استفاده از یک درگاه احراز هویت یکپارچه بدون گذرواژه، همچون محصول نشانه، می‌تواند راهکاری موثر باشد. این درگاه، نقش یک پل ارتباطی میان سامانه‌های مختلف و کاربران را با ساخت یک نقطه ورود بدون رمزعبور ایفا می‌کند.

سازمان‌ها می‌توانند با راه‌اندازی چنین درگاهی، یا استفاده از موارد موجود در بازار، دسترسی کاربران به سامانه‌های خود را از طریق روشی امن‌تر و مدرن‌تر بدون نیاز به گذرواژه ممکن سازند. این کار نه تنها مدیریت کاربران و احراز هویت را برای مدیران فناوری اطلاعات ساده‌تر می‌کند، بلکه به کاربران اجازه می‌دهد تا تنها با استفاده از یک کلید امنیتی، به تمامی سامانه‌های موردنیاز خود دسترسی پیدا کنند.

درگاه‌های یکپارچه معمولاً با پروتکل‌های استاندارد نظیر OAuth2، SAML و OpenID Connect کار می‌کنند که امکان اتصال سامانه‌های مختلف به آن‌ها را فراهم می‌آورند. این پروتکل‌ها همچنین امکان پیاده‌سازی ساده‌تر و مدیریت متمرکز را برای سازمان‌ها به ارمغان خواهند آورد. در واقع استفاده از چنین پروتکل‌هایی، با توجه به پوشش طیف وسیعی از سامانه‌ها، یک گام بزرگ در مهاجرت به دنیای بدون گذرواژه برای سازمان‌هاست.

 

گام سوم: بهره‌گیری از افزونه مدیریت گذرواژه

در حالی که فناوری‌های مدرن به سرعت در حال گسترش هستند، هنوز ممکن است سامانه‌هایی وجود داشته باشند که نه از ورود بدون گذرواژه پشتیبانی کنند و نه قابلیت اتصال به درگاه احراز هویت یکپارچه را داشته باشند. برای چنین شرایطی، افزونه‌های مدیریت گذرواژه با استفاده از کلیدهای امنیتی، راهکاری ایده‌آل محسوب می‌شوند.

افزونه مدیریت گذرواژه نشانه به کاربران این امکان را می‌دهد تا گذرواژه‌های خود را به صورت امن ذخیره کنند و در هنگام نیاز، با استفاده از کلید امنیتی به سرعت و با امنیت بالا، این گذرواژه‌ها را در سامانه‌های موردنظر تکمیل کنند. این افزونه رمزهای عبور را در یک محیط ایمن (حافظه رمزگذاری‌شده)، نگهداری می‌کند و تنها در صورتی که کاربر از طریق احراز هویت چند عاملی (مانند کلید امنیتی یا بیومتریک) تایید شود، گذرواژه مربوطه را ارائه می‌دهد. این روش به سازمان‌ها این امکان را می‌دهد تا حتی در صورت استفاده از سامانه‌های قدیمی‌تر، همچنان از امنیت بالاتری برخوردار باشند.

 

راهکار احراز هویت بدون گذرواژه نشانه

مهاجرت به دنیای بدون گذرواژه یک قدم بزرگ و اساسی برای سازمان‌ها محسوب می‌شود. این روش، ضمن افزایش امنیت، تجربه کاربری را نیز بهبود می‌بخشد و کاربران را از چالش‌های مربوط به مدیریت گذرواژه رها می‌کند. با اجرای سه گام عملی یاد شده در این نوشته، سازمان‌ها می‌توانند به راحتی به این تحول بزرگ دست یابند. راهکار نشانه، توسعه داده شده در شرکت رهسا (ره‌آورد سامانه‌های امن)، در این مسیر در کنار شما خواهد بود تا پیمودن آن را برای آسان‌تر نماید. برای هرگونه سوال و اطلاع بیشتر از خدمات ما، و یا در صورت نیاز به مشاوره بیشتر، حتماً با کارشناسان ما در تماس باشید.

اضافه کردن کلیدهای امنیتی FIDO به سرویس‌های آنلاین

در دنیای امروز که تهدیدات سایبری روزبه‌روز پیچیده‌تر می‌شوند، امنیت حساب‌های کاربری آنلاین بیش از پیش اهمیت پیدا کرده است. یکی از بهترین روش‌ها برای محافظت از حساب‌هایتان، استفاده از احراز هویت بدون رمزعبور مبتنی بر FIDO  (Fast Identity Online) است. کلیدهای امنیتی FIDO، ابزارهای سخت‌افزاری کوچکی هستند که جایگزین رمزهای عبور سنتی شده‌اند. این کلیدها با ارائه یک لایه امنیتی قوی، از شما در برابر حملاتی مثل فیشینگ محافظت می‌کنند. در این نوشته، به شما نشان می‌دهیم که چگونه می‌توانید این کلیدها را به حساب‌های Gmail و Apple ID اضافه کنید. همچنین چند پلتفرم دیگر را که ارزش استفاده از این فناوری را دارند، معرفی می‌کنیم.

 

اضافه کردن کلید امنیتی FIDO به Gmail

Gmail یکی از محبوب‌ترین سرویس‌های ایمیل است و خوشبختانه از استاندارد FIDO پشتیبانی می‌کند. برای اضافه کردن کلید امنیتی به حساب خود، ابتدا موارد زیر را فراهم کنید:

• یک کلید امنیتی FIDO  (مثل YubiKey یا کلیدهای پیشنهادی در سایت نشانه یا رهسا)
• مرورگر مدرن (مثل Chrome یا Firefox)
• حساب Gmail با احراز هویت دو مرحله‌ای فعال

سپس مراحل زیر را دنبال کنید:

1. ورود به تنظیمات امنیتی:
   • به حساب Gmail خود وارد شوید.
   • در بالا سمت راست، روی عکس پروفایل خود کلیک کنید و گزینه “Manage your Google Account” را انتخاب کنید.
   • از منوی سمت چپ، به بخش “Security” بروید.

1. فعال‌سازی ۲FA (اگر هنوز فعال نیست):
   • در بخش “Signing in to Google”، روی “2-Step Verification” کلیک کنید.
   • اگر احراز هویت دو مرحله‌ای (2FA) فعال نیست، آن را فعال کنید و مراحل اولیه را با استفاده از شماره تلفن تکمیل کنید.
2. اضافه کردن کلید امنیتی:
   • در همان صفحه 2-Step Verification، به پایین اسکرول کنید و گزینه “Add security key” را پیدا کنید.
   • روی “Add” کلیک کنید، سپس کلید امنیتی خود را به پورت USB متصل کنید یا اگر از NFC پشتیبانی می‌کند، آن را نزدیک دستگاه خود نگه دارید.
   • دستورالعمل‌های روی صفحه را دنبال کنید (مثلاً دکمه روی کلید را فشار دهید).
   • پس از ثبت، نامی برای کلید خود انتخاب کنید (مثلاً “کلید اصلی neshane”).
3. تست و تأیید:
   • از حساب خود خارج شوید و دوباره وارد شوید. این بار پس از وارد کردن رمز عبور، از شما خواسته می‌شود کلید امنیتی را وارد کنید یا لمس کنید.

اکنون حساب Gmail شما با یک لایه امنیتی اضافی محافظت می‌شود!

 

اضافه کردن کلید امنیتی FIDO به Apple ID

اپل از iOS 16.3 و macOS Ventura 13.2 به بعد، امکان استفاده از کلیدهای امنیتی FIDO را برای Apple ID فراهم کرده است. این گزینه برای افرادی که امنیت حساب iCloud خود را جدی می‌گیرند، عالی است. برای اضافه کردن کلید امنیتی به سیستم mac یا گوشی اپل خود، ابتدا از وجود موارد زیر مطمئن شوید:

• حداقل دو کلید امنیتی FIDO (اپل اجبار می‌کند که همیشه یک کلید پشتیبان داشته باشید).
• دستگاه‌های اپل با iOS 16.3، iPadOS 16.3 یا macOS Ventura 13.2 به بالا.
• احراز هویت دو مرحله‌ای فعال برای Apple ID.

سپس مراحل زیر را برای اضافه کردن کلید دنبال کنید:

1. دسترسی به تنظیمات:
   • در iPhone یا iPad: به Settings > Account Name > Password & Security بروید.
   • در Mac: از منوی اپل به System Settings > Account Name > Password & Security بروید.
2. اضافه کردن کلیدها:
   • گزینه “Security Keys” را پیدا کنید و روی “Add” کلیک کنید.
   • دستورالعمل‌های روی صفحه را دنبال کنید: کلید اول را وصل کنید یا نزدیک دستگاه نگه دارید و آن را ثبت کنید.
   • همین کار را برای کلید دوم تکرار کنید (حداکثر ۶ کلید قابل ثبت است).
3. مدیریت دستگاه‌ها:
   • پس از ثبت، اپل از شما می‌خواهد دستگاه‌های متصل به Apple ID خود را بررسی کنید. دستگاه‌هایی که نسخه قدیمی‌تر دارند، از حساب خارج می‌شوند و باید آپدیت شوند.
4. ورود با کلید:
   • دفعه بعد که بخواهید از دستگاه جدید وارد شوید، علاوه بر رمز عبور، باید یکی از کلیدهای امنیتی را وارد کنید یا لمس کنید.

نکته مهم: اگر هر دو کلید را گم کنید و به دستگاه‌های مورد اعتماد دسترسی نداشته باشید، ممکن است حسابتان برای همیشه قفل شود. پس کلیدها را در جای امن نگه دارید!

 

پلتفرم‌های دیگر مناسب برای استفاده از کلیدهای FIDO

علاوه بر Gmail و Apple ID، چندین پلتفرم محبوب دیگر نیز از کلیدهای امنیتی FIDO پشتیبانی می‌کنند. در اینجا چند پیشنهاد داریم:

اضافه کردن کلید FIDO به حساب کاربری مایکروسافت (Microsoft Account)

• چرا؟: برای محافظت از حساب Outlook، OneDrive و ویندوز.
• چگونه؟: به account.microsoft.com > Security > Advanced security options > Add a new way to sign in بروید و کلید امنیتی را اضافه کنید.
• مزیت: امکان ورود بدون رمز عبور با FIDO2.

 اضافه کردن کلید FIDO به حساب کاربری GitHub

• چرا؟: برای توسعه‌دهندگان و برنامه‌نویسان که امنیت کدهایشان حیاتی است.
• چگونه؟: در Settings > Security > Two-factor authentication > Security keys کلید را ثبت کنید.
• مزیت: محافظت از پروژه‌ها در برابر دسترسی غیرمجاز.

اضافه کردن کلید FIDO به حساب کاربری Dropbox

• چرا؟: برای ایمن‌سازی فایل‌های ابری.
• چگونه؟: در Settings > Security > Security keys کلید را اضافه کنید.
• مزیت: کاهش ریسک سرقت داده‌ها.

 اضافه کردن کلید FIDO به حساب کاربری Facebook

• چرا؟: برای محافظت از حساب‌های اجتماعی با تعداد بالای دنبال‌کننده.
• چگونه؟: به Settings > Security and Login > Two-Factor Authentication > Security Key بروید.
• مزیت: جلوگیری از هک شدن پروفایل‌های پرمخاطب.

 

استفاده از نشانه برای تجربه ورود بدون رمزعبور

استفاده از کلیدهای امنیتی FIDO نه تنها امنیت شما را تقویت می‌کند، بلکه تجربه کاربری ساده‌تری را به ارمغان می‌آورد. نشانه، محصول شرکت رهسا (ره‌آورد سامانه‌های امن) است. رهسا علاوه‌بر ارائه راهکار ورود نرم‌افزاری با محصول نشانه، فروش و ارائه کلیدهای سخت‌افزاری را نیز برای مشتریان فراهم کرده است. برای اطلاعات بیشتر و خرید کلیدهای مناسب، به سایت ما به آدرس neshane.co سر بزنید و با ما در مسیر احراز هویت بدون رمز عبور همراه شوید.

 

الزامات احراز هویت خدمات مالی

صنعت خدمات مالی از مهمترین اهداف حملات سایبری در جهان است. این صنعت در سال ۲۰۲۳ تقریبا 20 درصد از کل حملات سایبری را متحمل شد. این امر منطقی است، زیرا موفقیت در این حملات می‌تواند مزایای مالی قابل‌توجهی داشته باشد. با وجود پیشرفت‌های امنیتی، این حملات همچنان موفقیت‌آمیز هستند. حدود 84 درصد از خدمات مالی که هدف حمله قرار گرفته‌اند، حداقل یک نقض امنیتی را تجربه کرده‌اند. نشت داده‌ها تنها بر سازمان مورد حمله تأثیر نمی‌گذارد، بلکه اعتماد به کل بخش مالی را کاهش می‌دهد. به همین دلیل، الزامات احراز هویت خدمات مالی رو به افزایش است.

صندوق بین‌المللی پول هشدار داده که ضعف امنیتی در خدمات مالی تهدیدی برای این صنعت و اقتصاد جهانی است. این تهدیدات می‌توانند از کاهش اعتماد عمومی به خدمات مالی گرفته تا بی‌ثباتی گسترده اقتصادی را شامل شوند. بدین دلیل، مقررات امنیت سایبری در جهان طی سال‌های اخیر تقویت شده‌اند تا وضعیت امنیتی این صنعت را بهبود بخشند. در ادامه، به بررسی مهم‌ترین الزامات احراز هویت اخیر برای خدمات مالی خواهیم پرداخت.

 

نیویورک – مقررات امنیت سایبری NYDFS بخش ۵۰۰

یکی از مهم‌ترین قوانین امنیت سایبری در امریکا، لایحه امنیت سایبری وزارت خدمات مالی نیویورک (NYDFS) است. این لایحه به‌طور رسمی با عنوان ۲۳ NYCRR بخش ۵۰۰ شناخته می‌شود و در سال ۲۰۱۷ اجرایی شده است. این قانون تمام شرکت‌های حوزه بانکداری، بیمه و خدمات مالی (در سراسر ایالات متحده) را تحت تأثیر قرار می‌دهد. بر اساس این قانون، شرکت‌ها باید سیاست‌هایی در زمینه‌های مدیریت داده‌ها، کنترل‌های دسترسی و حریم خصوصی مشتریان را اجرا کنند.

همچنین، این قانون روش‌های امنیتی قوی‌تر مانند احراز هویت چندعاملی(MFA)  را برای محافظت از اطلاعات، الزامی کرده است. اصلاحات جدیدی در نوامبر ۲۰۲۳ به این قانون اضافه شده است. یکی از موارد، اجبار شرکت‌ها به احراز هویت چندعاملی برای دسترسی از راه‌دور و حساب‌های دارای سطح دسترسی بالا است. همچنین سازمان‌ها باید دسترسی به اطلاعات حساس برای تمام کاربران را مورد بررسی قرار دهند. این کار شامل اسکن‌های خودکار سیستم‌های اطلاعاتی برای شناسایی آسیب‌پذیری‌ها خواهد بود.

همچنین، در اصلاحات جدید به سازمان‌ها در خصوص امنیت دسترسی و احراز هویت نیز توصیه‌هایی شده است. سازمان‌ها در این خصوص به هویت‌های تایید شده به‌صورت رمزنگاری و جلوگیری از حملات فیشینگ، توصیه شده‌اند. از این رو باید از احراز هویت چند عاملی بدون رمزعبور (passwordless)، بر اساس استاندارد FIDO استفاده کنند. این فناوری‌ها می‌توانند به شرکت‌ها در بهبود انطباق با مقررات سختگیرانه و در حال تحول مانند NYDFS  کمک کنند.

 

ایالات متحده – قانون گرام-لیچ-بلی (GLBA)

قانون گرام-لیچ-بلی (GLBA) دارای قاعده‌ای خاص در مورد حریم خصوصی اطلاعات مالی مصرف‌کنندگان است. این قانون به طور مستقیم بر امنیت سایبری خدمات مالی تأثیر می‌گذارد. اشاره این قانون به اطلاعات شخصی غیرعمومی (NPI) است که یک شرکت هنگام ارائه خدمات مالی جمع‌آوری می‌کند. جریمه‌های عدم انطباق با این قانون می‌تواند تا ۱۰۰,۰۰۰ دلار برای هر تخلف و حتی پنج سال زندان باشد. از این رو رعایت تمامی موارد آن می‌بایست در دستور کار تمامی سازمان‌ها در این حوزه قرار گیرد.

 

بریتانیا – قانون حفاظت از داده‌ها  (Data Protection Act)

پس از خروج بریتانیا از اتحادیه اروپا، DPA  به‌عنوان قانون حفاظت از داده‌ها در سال ۲۰۱۸ در بریتانیا تصویب شد. این قانون تقریباً مشابه GDPR  اتحادیه اروپا است که البته فقط برای شهروندان بریتانیایی اصلاح شده است. الزامات بسیار مشابهی در مورد امنیت داده‌ها، رضایت و گزارش‌دهی و جریمه‌ها برای عدم انطباق در این قانون وجود دارد. سایر موارد این قانون نیز، تشابه فراوانی با GDPR دارند. به نظر می‌رسد به خاطر کامل بودن GDPR موارد بسیاری بدون تغییر، از آن اقتباس گردد.

 

جهانی – استاندارد امنیت داده‌های صنعت کارت پرداخت  (PCI DSS)

استانداردPCI DSS  شامل پردازش‌کنندگان پرداخت از شرکت‌های اصلی کارت‌های اعتباری است. برای دستیابی به انطباق، برنامه‌های امنیت سایبری خدمات مالی باید چندین تعهد را برآورده کنند. از جمله می‌توان به محافظت از داده‌های دارنده کارت، رمزگذاری داده‌ها و احراز هویت و مدیریت دسترسی اشاره کرد. نقض‌های PCI DSS می‌تواند منجر به جریمه‌ها و محدودیت‌هایی در استفاده از کارت‌های اعتباری اصلی شود. نسخه جدید PCI DSS 4.0  الزامات احراز هویت قوی‌تری را به‌ویژه برای رمزعبور و احراز هویت چندعاملی وضع کرده است.

رمزهای عبور اکنون مشخصات سخت‌گیرانه‌تری دارند (برای مثال، باید هر ۹۰ روز یکبار بازنشانی شوند). الزامات MFA نیز از دسترسی مدیران به محیط داده‌های دارنده کارت فراتر رفته و به تمام اجزای سیستم رسیده است. از جمله ابر، سیستم‌های میزبانی‌شده، برنامه‌های محلی، دستگاه‌های امنیتی شبکه، ایستگاه‌های کاری، سرورها و نقاط انتهایی گسترش یافته است. برای انطباق با نسخه جدید، روش‌های خودکار و تأیید هویت امن برای بازنشانی اعتبارنامه‌ها و عوامل احراز هویت توصیه شود. این استاندارد نیاز به تأیید هویت کاربر قبل از تغییر احراز هویت دارد تا از حملات فرآیند بازنشانی جلوگیری کند.

 

سنگاپور – دستورالعمل‌های بهداشت سایبری از سوی اداره پولی سنگاپور (MAS)

اداره پولی سنگاپور (MAS) بر مؤسسات مالی در بخش‌های بانکداری، بازارهای سرمایه، بیمه و پرداخت‌های الکترونیک نظارت می‌کند. MAS مجموعه‌ای از دستورالعمل‌های بهداشت سایبری را برای سازمان‌ها در دسته‌های یاد شده صادر کرده است. این دستورالعمل‌ها شامل مجموعه‌ای از الزامات قانونی است که مؤسسات مالی باید برای کاهش تهدیدات سایبری رعایت کنند. این دستورالعمل‌ها که شامل شش حوزه کلیدی در فضای امنیت سایبری می‌شوند، موارد زیر را در بر می‌گیرند:

1. ایمن‌سازی دسترسی به حساب‌های مدیریتی
2. وصله کردن منظم آسیب‌پذیری‌ها
3. تدوین منظم استانداردها و راهنماهای امنیتی و تست آنها
4. سیستم‌های دفاع در برابر حریم خصوصی
5. محافظت در برابر بدافزارها
6. احراز هویت چندعاملی برای هر سیستمی که برای دسترسی به اطلاعات حساس استفاده می‌شود

 

ایالات متحده – قانون ساربنز-آکسلی (SOX)

قانون ساربنز-آکسلی در ابتدا برای ثبت افشاگری‌های نیازمند ارائه توسط شرکت‌ها به سرمایه‌گذاران و تعیین مجازات‌های نقض قوانین ایجاد شد. این قانون به مدیران در صورت نقض تا ۱ میلیون دلار جریمه و ۱۰ سال زندان تحمیل خواهد نمود. از آن زمان، این قانون برای در نظر گرفتن مسائل امنیت سایبری به روزرسانی شده است. اکنون، تمام شرکت‌ها موظف به اعلام انطباق با به‌روشهای امنیتی در زمینه‌هایی مانند احراز هویت و امنیت داده‌ها هستند. برای اطمینان از اثبات هویت ایمن کارکنان، احراز هویت قوی بیومتریک و تجهیز به KYE باید در سازمان‌ها اجرا شود.

 

اتحادیه اروپا – دستورالعمل خدمات پرداخت ۲ یا همان PSD2

الزام PSD2  برای تسهیل ادغام و اشتراک داده‌ها توسط شرکت‌های خدمات مالی و ایمن‌تر کردن سیستم‌های پرداخت معرفی شد. علاوه بر این، این قانون استانداردهای فنی خاصی را برای احراز هویت قوی مشتری (SCA) تعیین کرده است. این اقدامات شامل تمام شرکت‌هایی است که به مصرف‌کنندگان در اتحادیه اروپا خدمات ارائه می‌دهند. همچنین هر پرداختی که در اتحادیه اروپا آغاز، در آن عبور یا به پایان می‌رسد را نیز در برمی‌گیرد. این امر الزامات روشنی را برای امنیت سایبری خدمات مالی وضع می‌کند، حتی برای شرکت‌های خارج از اتحادیه اروپا.

نسخه به‌روز‌شده‌ای از این چارچوب، یعنی PSD3، در حال بررسی است. PSD3 تغییرات مهمی برای بانک‌ها و ارائه‌دهندگان خدمات پرداخت غیربانکی (PSP) و همچنین مصرف‌کنندگان به ارمغان خواهد آورد. این تغییرات شامل قوانین جدید احراز هویت قوی مشتری (SCA) است. قوانینی که دسترسی به داده‌ها، حفاظت از پرداخت‌ها و احراز هویت کاربران را امن‌تر خواهد کرد. انتظار می‌رود نسخه نهایی آن در پایان سال ۲۰۲۴ منتشر و در سال ۲۰۲۶ اجرایی شود.

 

ایالات متحده – استانداردهای FFIEC

کمیته ارزیابی مؤسسات مالی فدرال (FFIEC) نهاد تعیین‌کننده استانداردها برای تمام مؤسسات این حوزه است. به‌روش‌های امنیت سایبری FFIEC شامل راهنمایی‌هایی در خصوص احراز هویت مؤثر و مدیریت ریسک دسترسی است. استانداردهای احراز هویت FFIEC به‌شدت بر احراز هویت چندعاملی به‌عنوان کنترلی حیاتی برای جلوگیری از نقض داده‌ها تأکید دارند. این استانداردها کاملا مشابه با الزامات احراز هویت مشتری قوی (SCA)  در  PSD2هستند. این اسناد به استانداردهای NIST مانندSP 1800-17 و SP 800-63B اشاره دارند که راهنمایی‌های پیاده‌سازی MFA بدون رمزعبور FIDO هستند.

 

اتحادیه اروپا – دستورالعمل  NIS2

NIS2 یا دستورالعمل امنیت شبکه و اطلاعات ۲ یک مقررات به‌روز شده از اتحادیه اروپا است. این دستورالعمل برای تقویت امنیت سایبری در صنایع مختلف طراحی شده است. NIS2 با گسترش دامنه و وضع قوانین سخت‌تر در مورد شیوه‌های امنیتی و گزارش‌دهی حوادث، مجازات‌های سنگین‌تری وضع نموده است. بر اساس NIS2، بخش‌های انرژی، مالی، حمل و نقل و بهداشت، باید پروتکل‌های امنیت سایبری قوی را پیاده‌سازی کنند. این پروتکل‌ها شامل مدیریت ریسک، احراز هویت و دسترسی قوی و استانداردهای دقیق گزارش‌دهی حوادث می‌شود. این دستورالعمل همچنین استفاده از احراز هویت چندعاملی و احراز هویت پیوسته را اجباری نموده است.

 

ایالات متحده – چارچوب امنیت سایبری NIST نسخه ۲.۰

چارچوب امنیت سایبری NIST (CSF) راهنمای کسب‌وکارها برای مدیریت ریسک‌های امنیت سایبری است. نسخه جدید آن، CSF 2.0، بر تکامل فناوری برای مهاجرت به فضای ابری وSaaS  متمرکز است. این کار با افزودن مفهوم حاکمیت برای تصمیم‌گیری بهتر در مورد امنیت سایبری انجام شده است. این چارچوب به‌ویژه برای سازمان‌های مالی وابسته بهSaaS  و راه‌حل‌های ابری اهمیت زیادی دارد. این‌گونه سازمان‌ها، غالبا دارای حجم زیادی از داده‌های حساس هستند که باید از نشت داده و حملات سایبری محافظت شوند. در این چارچوب، برای تأیید هویت پیوسته کاربران، احراز هویت تطبیقی توصیه شده تا امنیت در طول نشست تضمین شود.

 

کالیفرنیا – قانون حریم خصوصی مصرف‌کنندگان کالیفرنیا (CCPA)

قانون CCPA مخفف California Consumer Privacy Act است. این قانون با هدف حفاظت از حقوق حریم خصوصی و حمایت از مصرف‌کنندگان در کالیفرنیا معرفی شده است. در واقع در ایالت کالیفرنیا، تلاش شده است تا از حقوق افراد و مصرف‌کنندگان در برای تهدیدات سایبری حفاظت شود. این قانون بر هر شرکتی با شرایط زیر که با مصرف‌کنندگان کالیفرنیایی تعامل داشته باشد تأثیر گذار خواهد بود. جریمه‌ها می‌توانند تا ۲,۵۰۰ دلار برای تخلفات غیرعمدی و ۷,۵۰۰ دلار برای تخلفات عمدی افزایش یابد. در صورت نشت داده‌ها این جریمه‌ها به ازای هر رکورد دزدیده‌شده ضرب خواهند شد.

• درآمد ناخالص بیش از ۲۵ میلیون دلار
• خرید، فروش یا دریافت داده‌های شخصی ۵۰,۰۰۰ مصرف‌کننده
• کسب بیش از نصف درآمد خود از فروش اطلاعات شخصی مصرف‌کنندگان

 

اتحادیه اروپا – قانون حفاظت از داده‌ها (GDPR)

تمام شرکت‌هایی که داده‌های شهروندان اتحادیه اروپا را پردازش می‌کنند تحت تأثیرGDPR  قرار دارند. این قانون نحوه استفاده و محافظت از داده‌ها و نحوه دریافت رضایت برای جمع‌آوری آن‌ها را تعیین می‌کند. علاوه بر استفاده از داده‌ها، گزارش‌دهی به‌موقع نقض‌ها نیز در صورتی تاثیرگذاری بر شهروندان اروپا، الزامی است. برای امنیت سایبری خدمات مالی، رعایت GDPR ضروری است. عدم رعایت آن می‌تواند منجر به جریمه‌های ۲۰ میلیون یورویی یا ۴٪ از درآمد جهانی شرکت‌ها شود. بزرگترین جریمه این قانون تاکنون برای آمازون با مبلغ ۸۸۸ میلیون دلار اعمال شده است.

 

طرح امن‌سازی زیرساخت‌های حیاتی افتا

طرح امن‌سازی از سوی مرکز راهبردی افتای ریاست جمهوری به سازمان‌های دارای زیرساخت حیاتی ابلاغ شده است. این طرح فرآیندی متشکل از هفت گام را برای انجام امور مرتبط با امن­سازی زیرساخت­های حیاتی پیشنهاد می­دهد. این فرآیند با تشکیل کمیته اجرای طرح آغاز و با ایجاد پروفایل و تعیین سطح بلوغ امنیتی موجود ادامه می‌یابد. سپس، تعیین سطح بلوغ مطلوب، تدوین برنامه عملیاتی، تایید آن توسط افتا، پیاده­سازی آن و نهایتا ممیزی آن قرار دارد.

نکته مهم در این طرح، وجود یک دامنه کامل برای احراز هویت و مدیریت دسترسی است. در این دامنه، دسته‌ای از فعالیت‌های کنترل دسترسی وجود دارد که شامل الزامات این حوزه است. یکی از موارد مهم در این دسته، اشاره به احراز هویت چندعاملی برای دسترسی‌های ویژه است. در واقع مرکز افتا، برای دسترسی‌های ویژه، شیوه‌های معمول و سنتی را قابل قبول نمی‌داند. لذا برای اطمینان از رعایت الزامات احراز هویت خدمات مالی، باید از شیوه‌های جدید، همچون ورود بدون رمزعبور استفاده شود.

 

الزامات مرکز داده سازمان پدافند غیرعامل

سازمان پدافند غیرعامل، برای مراکز داده در سطح کشور، الزامات خاصی را تدوین و بروزرسانی می‌نماید. این الزام بر ساخت مراکز داده جدید و یا امن‌سازی موارد کنونی اعمال می‌گردد. از نکات مهم این الزام، اشاره به احراز هویت چندعاملی برای دسترسی به تجهیزات مهم شبکه در مرکز داده است. در نتیجه دسترسی به مواردی همچون روترها، سرورهای مانیتورینگ و بسیاری دیگر از تجهیزات، نیازمند شیوه‌های احراز هویت چندعاملی است. رعایت الزامات احراز هویت خدمات مالی پدافند نیز به دلیل قرار گرفتن در دسته زیرساخت‌های حیاتی، اجباری می‎‌باشد.

 

دستیابی به الزامات احراز هویت خدمات مالی با راهکار نشانه

وقتی کسب‌وکارها در رعایت الزامات احراز هویت خدمات مالی کوتاهی می‌کنند، با جریمه‌های مالی و افزایش نظارت مواجه می‌شوند. نکته مهمتر آن است، که عدم رعایت این موارد، خطر وقوع حوادث امنیت سایبری را بالاتر می‌برد. علاوه بر اختلالات عملیاتی و کاهش درآمد، حوادث سایبری ممکن است ماه‌ها یا حتی سال‌ها تبعات به همراه داشته باشند. از این رو رعایت این الزامات، می‌تواند کمک بزرگی در دستیابی به ثبات برای سازمان‌ها باشد.

خدمات مالی همواره در معرض خطر بالای حملات سایبری هستند. برای مقابله با این تهدیدات، الزاماتی معرفی شده‌اند تا اطمینان حاصل کنند که به‌روش‌ها در این صنعت بکار گرفته می‌شوند. یکی از نکات مشترک در بسیاری از این الزامات، استفاده از شیوه‌های احراز هویت قوی است. راهکار نشانه با ارائه احراز هویت بدون رمزعبور، پاسخی برای ایمن‌سازی سازمان‌های مالی در این حوزه است. این محصول که در شرکت رهسا (ره‌آورد سامانه‌های امن) تولید شده، تجربه کاربری را نیز بسیار بهبود می‌بخشد. برای کسب اطلاعات بیشتر در این خصوص، با همکاران ما در تیم نشانه در تماس باشید.