کاربران احراز هویت بدون رمز عبور را دوست دارند، اما برنده واقعی IT است
رمزهای عبور خیلی قدیمی شدهاند. کاربران از اینکه مجبورند برای ورود به سامانهها، رمزهای عبور را به خاطر بسپارند و بهروز کنند خسته هستند. راهبران IT نیز رمزهای عبور را دوست ندارند، زیرا آنها در 80 درصد از نقضهای داده نقش دارند که غالبا از طریق فیشینگ آغاز میشوند. زمان و زحمتی که برای حرکت به سمت احراز هویت بدون رمز عبور (Passwordless MFA) لازم است، مطمئنا ارزش رهایی از مشکلات امنیتی و سادهتر کردن فرآیند ورود به سامانهها برای کاربران را خواهد داشت. واحد IT با احراز هویت بدون رمز عبور سود زیادی خواهد برد و برنده واقعی خواهد بود.
دلایل مناسب بودن MFA بدون رمز عبور برای نیروی کار
احراز هویت چند عاملی ما را فراتر از قلمرو آنچه کاربران میدانند، یعنی نام کاربری و رمز عبور، میبرد. افزودن مراحلی مانند OTP و بیومتریک به این معنی است که آنها همچنین باید چیزی داشته باشند یا باشند، مانند تلفن همراه با اثر انگشت. شیوه MFA سنتی به طور موثر بررسی را بر روی رمزهای عبور انباشته میکند، که احراز هویت را تا حدودی ایمنتر و البته به طور تصاعدی آزاردهندهتر میکند و همچنان برای متوقف کردن فیشینگ کافی نخواهد بود.
این شیوه نمیتواند از محبوبترین و سودآورترین شیوه حملات دشمنان (فیشینگ) به صورت کامل جلوگیری کند. از این رو گام بعدی واضح، حذف کامل رمزهای عبور از معادله احراز هویت است. مهمترین دستاوردهای احراز هویت بدون رمز عبور، تجربه کاربری بهتر، کاهش ریسک و هزینه و انطباق با قوانین و الزامات بالادستی است. در ادامه خواهیم دید که چگونه، با پیادهسازی درست MFA بدون رمز عبور، به این اهداف کلیدی دست خواهید یافت.
در خصوص ارتقاء تجربه کاربری (UX) و بهرهوری، باید اشاره گردد که تخمینها نشان میدهد که کارکنان ممکن است روزانه ۱۵ دقیقه صرفاً برای احراز هویت در دستگاهها، سایتها و خدمات صرف کنند. در صورت بروز برخی مشکلات و یا فراموشی رمز عبور، این زمان میتواند بسیار بیشتر از این نیز باشد. واضح است که این میزان میتواند یک ضربه جدی به بهرهوری باشد، خصوصا وقتی آن را در تعداد زیادی از کاربران ضرب نماییم. صرف نظر از زمانی که آنها تلف میکنند، تماس با IT برای کمک به تنظیم مجدد اعتبارنامهها و رمزهای عبور نیز میتواند هم زمان کارمندان و هم تیم IT را تلف نماید.
در خصوص تهدیدات و ریسک، حتی با وجود بهبود توانایی کارمندان در تشخیص ایمیلهای فیشینگ و صفحات ورود جعلی، حقیقت تلخ امنیت همچنان پابرجاست: MFA سنتی نمیتواند جلوی فیشینگ را بگیرد. بخش IT نمیتواند به آموزشهای آگاهیسازی امنیتی که شکست خوردهاند و مقصر شناختن کاربران، تکیه کند. IT باید از همه چیز دفاع کند، در حالی که مهاجمان فقط به یک کاربر نیاز دارند که یک رمز عبور را در یک مکان اشتباه وارد کند.
با دیجیتالی شدن و امکان دورکاری کسبوکارها، موج حملات سایبری علیه کارمندان، زنجیرههای تأمین و زیرساختهای حیاتی نیز بیشتر شده است. این حملات، دولتها را بر آن داشته که قوانین و مقررات جدیدی برای اتخاذ سیاستهای اعتماد صفر وضع کنند. از جمله این موارد میتوان به MFA مقاوم در برابر فیشینگ اشاره کرد که به عنوان مثال، در ایالات متحده میبایست تا پایان سال مالی 2024 در تمامی سازمانهای دولتی پیادهسازی گردد.
بهروشها و نکات مهم در بهرهمندی IT از احراز هویت بدون رمز عبور
با توجه به چالشهای یاد شده، به نظر میرسد تمامی سازمانها ناگزیر هستند دیر یا زود به سمت احراز هویت بدون رمز عبور (MFA مقاوم به فیشینگ) حرکت کنند. اما چه موارد مهمی است که تیم IT میبایست در این زمینه مد نظر قرار دهد؟ در ادامه به برخی از آنها در این زمینه اشاره خواهیم نمود.
دشواری مدیریت رمز عبور را از دوش کاربران بردارید. در حالی که همه موافق هستند که بهتر است بدون رمز عبور کار کنیم، خود رمز عبور مشکل اصلی نیست. مشکل اصلی مدیریت رمز عبور و این واقعیت است که هنوز هم کاربر محور است. کنار گذاشتن رمز عبور، کاربران را از بازی مدیریت هویت خارج میکند و مسئولیت نگهداری از اسرار بالقوه خطرناک را به IT منتقل میکند، جایی که واقعا باید باشد. این تغییر ساده و عمیق، هدیهای به تمام سازمان خواهد بود.
از بین بردن تماسهای میز خدمت برای رمز عبور. تحقیقات جهانی نشان میدهند که به طور متوسط:
- 40 درصد یا بیشتر از تمام تماسهای میز خدمت (Help Desk) مربوط به رمز عبور است.
- تماسهای میز خدمت حدود 8 دقیقه طول میکشند و در شرکتهای اروپایی و امریکایی بین 25 تا 70 دلار هزینه دارند.
- کاربران سالانه 8 بار به دلیل قفل شدن حساب کاربری با میز خدمت تماس میگیرند.
- کاربران پس از تماس با میز خدمت، حدود 9 دقیقه طول میکشد تا دوباره تمرکز کنند و به روند عادی کار خود برگردند.
با وارد کردن این مقادیر در ماشین حساب ROI احراز هویت چندعاملی بدون رمز عبور، نتیجهگیری میشود که یک شرکت متوسط با 500 کارمند با حذف رمز عبور از احراز هویت چندعاملی کاربران، تقریباً 75 هزار دلار در سال صرفهجویی خواهد کرد. این صرفهجویی به تنهایی برای پیادهسازی راهحلهای بدون رمز عبور در سطح سازمان کافی خواهد بود. هرچند ارزش واقعی آن، آزاد کردن متخصصان IT برای انجام کارهای تخصصی IT خواهد بود.
افزایش بهرهوری کاربران. زمانهای صرف شده برای وارد کردن رمز عبور در طول روز و همچنین زمانهای لازم برای تغییر دورهای آنها در بازههای چند ماهه، خود میتواند قابل توجه باشد. یک تحقیق ساده نشان میدهد که تایپ کردن رمزهای عبور در چندین سامانه و چندین بار در طول روز، میتواند حدود 1 تا 3 درصد از زمان مفید روزانه کاربران را صرف نماید. از این رو در صورت زیاد بودن تعداد کاربران یک سازمان، جمع این میزان میتواند بسیار قابل توجه باشد.
کاهش سطح حمله. حدود 50 درصد از شرکتها سالانه با نقض امنیت سایبری مواجه میشوند. هزینه متوسط هر نقض در دنیا حدود 4 میلیون دلار است، تا زمانی که سازمانها به طور کامل بهبود یابند. نکته مهمتر آن است که حدود 80 درصد از نقضها به دلیل اعتبارنامهها و اطلاعات ورود (همچون رمز عبور) رخ میدهد. با حذف ساده اعتبارنامهها از احراز هویت کاربر، سطح حمله سازمانها بسیار کاهش مییابد و هزینههای بهبودی از نقضها نیز مطمئنا بسیار کمتر خواهد شد.
بهبود وضعیت امنیتی. پیادهسازی احراز هویت بدون رمز عبور میتواند از برند سازمان محافظت نماید. تحقیقات نشان میدهد که شرکتها تا حدود 4 ماه پس از یک نقض داده، درگیر کاهش ارزش برند خود در حدود 1 تا 15 درصد هستند. این افت ارزش میتواند تا مدتها نیز به طول بینجامد. در شرکتهای کوچکتر، ممکن است هرگز بهبودی حاصل نشود. همچنین وقوع تعداد کمتری از نقضهای نیازمند بررسی، مهار و یادگیری، باعث میشود زمان و منابع بیشتری برای شکار و مدلسازی تهدیدات، شبیهسازی حمله، تمرینات تیم قرمز و آبی و سایر کارهای مشابه برای تیم IT و امنیت فراهم گردد.
فناوری اطلاعات چابک و تحت کنترل. اگر سازمان آماده باشد، فناوری اطلاعات میتواند بدون هیچ وابستگی و بدون وقفه در فعالیتهای کاربر، زیرساخت هویت را به FIDO مدرنسازی و به آن مهاجرت کند. هماکنون و با استفاده از راهکار نشانه، مسیر سریع و کوتاهی برای حرکت به سمت شیوههای مقاوم در برابر فیشینگ، اعتماد صفر و در نهایت، دنیای بدون رمز عبور فراهم است. این کار بخش IT سازمانها را با حذف مشکلات یاده شده، در ادامه قویتر خواهد نمود.
دستیابی به احراز هویت بدون رمز عبور
پس از تمامی توضیحات ارائه شده، این سوال مطرح میشود که تیم IT باید از کجا شروع کند و اصلا چگونه میتواند این کار را انجام دهد؟ این در حالی است که ۲۵ تا ۵۰ درصد کاربران همچنان رمزهای عبور یکسانی را برای دسترسی به برنامهها تنظیم و حتی خیلی سریع آنها را فراموش میکنند. حذف رمزهای عبور از تجربه کاربر تنها در صورتی رضایتبخش و مفید است که برای همه برنامهها انجام شود. در غیر این صورت، همچنان امکان فیشینگ در سازمان باقی خواهد ماند.
گام اول که مهمترین بخش کار است، انتخاب راهکار مناسب در این زمینه است. راهکار احراز هویت بدون رمز عبور نشانه، پیشرو در حذف رمز عبور کاربر از معادله احراز هویت و سپردن کنترل این حوزه به دست IT سازمان است. راهکار نشانه، کاربران و IT سازمان را از انتخابی بین امنیت و راحتی، رها کرده و همزمان هر دو را برای آنها به ارمغان خواهند آورد. کارشناسان فنی ما، آماده ارائه هر گونه راهنمایی به واحدهای IT سازمانها در راستای حذف رمزهای عبور و دستیابی به راهکاری ساده و امن، در حوزه احراز هویت بدون گذرواژه هستند.
احراز هویت اعتماد صفر: چیست و چگونه میتوان به آن دست یافت؟
تا همین اواخر، اعتماد صفر (Zero Trust) بیشتر در تیمهای بازاریابی محبوب بود تا تیمهای امنیتی. اگرچه مفاهیم پشت آن شامل اصول امنیتی شناختهشده همچون احراز هویت قوی است، اما اصطلاحات و رویکرد آن به عنوان یک اصل سازماندهی، جذب گستردهای را تاکنون در جامعه امنیت نداشته است. با این حال، دستور اجرایی اخیر برخی دولتها همچون ایالات متحده در مورد بهبود امنیت سایبری، دید به این رویکرد را افزایش داده است. علاوهبر این، افزایش نیروی کار توزیع شده و حملات سایبری در سالهای اخیر، به وضوح نشان داده است که رویکردهای قدیمی دیگر جوابگو نیستند.
مدل امنیتی اعتماد صفر چیست؟
اصل کلیدی پشت مدل امنیتی Zero Trust، اتخاذ رویکرد “هرگز اعتماد نکن، همیشه تأیید کن” در اعطای دسترسی به دادهها و منابع است. این مدل توسط تحلیلگر جان کیندروگ در سال 2010 معرفی شد و توسط موسسه ملی استانداردها و فناوری ایالات متحده امریکا (NIST) در سند NIST-800-207 نیز به تفصیل تشریح گشت. یک معماری امنیتی اعتماد صفر فرض میکند که هیچ چیز به نام “محیط شبکه امن” وجود ندارد.
در واقع در چنین مدلی، همه چیز در داخل و خارج از محیط شبکه غیرقابل اعتماد در نظر گرفته میشود. با توجه به اینکه هر کاربر یا دستگاهی ممکن است در هر زمان به خطر بیفتد، مدل Zero Trust ایده دسترسی مداوم یا نامحدود به داراییها را رد میکند و آن را با احراز هویت سختگیرانه و مداوم اعتماد صفر (بررسی در هر دسترسی) جایگزین میکند.
نقش احراز هویت اعتماد صفر
در زیرساخت Zero Trust، هیچ محیط تعریفشدهای وجود ندارد، بنابراین اعتماد باید بر اساس هویت تأیید شده امن باشد. این مدل مبتنی بر هویت، نیاز حیاتی به احراز هویت قوی ایجاد میکند تا اطمینان حاصل شود که فقط کاربران مناسب به دلایل مناسب به منابع مناسب دسترسی پیدا میکنند. با توجه به اینکه احراز هویت به عنوان محافظ اصلی در یک مدل امنیتی Zero Trust عمل میکند، الزامات بالادستی در این زمینه، تصویب کامل احراز هویت چند عاملی (MFA) را الزامی میکند.
بهترین شیوهها همچنین تاکید میکنند که راهکار MFA انتخاب شده باید بتواند در برابر حملات فیشینگ مقاومت کند تا احراز هویت قوی Zero Trust فراهم گردد. این امر در راستای دستورالعمل NIST است که احراز هویتهای مقاوم در برابر فیشینگ مبتنی بر FIDO را برای برآورده کردن پروتکلهای احراز هویت اعتماد صفر توصیه میکند. از آنجایی که نیاز به احراز هویت با Zero Trust بین همه طرفین ثابت است، این فرآیند باید ساده باشد. در غیر این صورت، کار را کند کرده و کاربران را ناامید میکند که ممکن است به دنبال دور زدن کنترلهای امنیتی باشند.
چالشهای احراز هویت اعتماد صفر
همانند هر تغییر پارادایم امنیتی، چالشهایی نیز وجود خواهد داشت، هم از نظر فنی و هم برای خود کاربران. پذیرش گسترده امنیت اعتماد صفر به غلبه بر این مسائل بستگی دارد، که شامل موارد زیر است:
- کلمات عبور: متأسفانه، کلمات عبور هنوز هم بخشی از بسیاری از سیستمهای MFA هستند، علیرغم آسیبپذیر بودن در برابر حملاتی مانند فیشینگ، تصاحب حساب، سیمسوئیچینگ و حملات پرکردن اعتبارنامه (Credential Stuffing).
- احراز هویت اعتماد صفر از راه دور: کار از راه دور در سالهای اخیر به شدت افزایش یافته است، به این معنی که امنیت اعتماد صفر قابل اجرا برای نقاط ورود از راه دور (VPN، VDI، RDP) برای کاهش خطر حیاتی است.
- احراز هویت قوی در دسکتاپ: ورود به دسکتاپ سازمانی و سپس مجبور شدن به ورود مجدد از طریق SSO یا یک احراز هویت جداگانه برای دسترسی به منابع، یک افزونگی زمانبر ایجاد میکند. همچنین میتواند باعث ایجاد مشکلات یکپارچگی شود.
- دسترسی امن به برنامهها: یکپارچهسازی احراز هویت اعتماد صفر امن در تمام برنامههای سازمانی، به ویژه برنامههای قدیمی، میتواند مشکلات سازگاری قابل توجهی ایجاد کند.
- مسائل قابلیت استفاده: اصطکاک اضافه شده باعث ایجاد ناامیدی و مقاومت در برابر پذیرش در کاربران میشود. همچنین میتواند بر بهرهوری تأثیر بگذارد و کاربران را به تلاش برای استفاده از میانبرها در اطراف اقدامات امنیتی اعتماد صفر سوق دهد.
آیا زمان آن رسیده است که کسبوکارها احراز هویت اعتماد صفر را اتخاذ کنند؟
الزامات بالادستی غالبا به سازمانهای دولتی و پیمانکاران مرتبط به آنها اعمال میشود. با این حال، یک قانون نانوشته وجود دارد که دستورالعملهای سطح دولت به زودی در مقررات عمومیتر، چکلیستهای حسابرسی و سایر حوزههایی که بر بخش خصوصی تأثیر میگذارند، گنجانده خواهد شد. این اتفاق در کشورهای بزرگ همچون ایالات متحده بسیار رایج است. به همین دلیل، بسیاری از شرکتهای بزرگ از جمله مایکروسافت و اپل، پس از الزام NIST برای احراز هویت بدون رمز عبور، خود به سمت FIDO و پذیرش این شیوه بدون رمز عبور حرکت نمودند.
صرفنظر از فشارهای نظارتی، مزایای زیادی برای اتخاذ احراز هویت اعتماد صفر وجود دارد. اولاً، این مدل میتواند به کسبوکارها کمک کند تا چابکتر شوند. احراز هویت اعتماد صفر به کسبوکارها کمک میکند تا از فناوریهای جدید بهرهبرداری کنند.. ثانیاً، خدمات میتوانند سریعتر و ایمنتر ارائه شوند زیرا تأکید کمتری بر محل قرارگیری افراد، دادهها و خدمات و تأکید بیشتری بر هویت وجود دارد.
ایجاد موفقیتآمیز یک معماری امنیتی اعتماد صفر در مورد ادغام ابزارها و روشهای لازم و انعطافپذیر بودن برای سازگاری با یک پارادایم امنیتی در حال تغییر است. این بدان معناست که امنیت در این مدل «یک اندازه برای همه» نیست و یک سفر مداوم است نه یک محصول قابل تنظیم و سپس فراموش کردن.
راهکار احراز هویت بدون رمز عبور نشانه، شتابدهنده ابتکارات امنیتی اعتماد صفر
سنگبنای هر ابتکار امنیتی اعتماد صفر، احراز هویت چندعاملی مقاوم در برابر فیشینگ است. از آنجایی که MFA دروازهبان کل اکوسیستم امنیتی این مدل است، هر چه این دروازهبان قویتر باشد، امنیت قویتر خواهد بود. با این حال، ممکن است شکافهایی ایجاد شود، مانند نیروی کار پراکنده، کارمندان دورکار یا افرادی که اغلب سفر میکنند. اغلب، این حالتها منجر به ایجاد استثناها میشود تا اینکه این کارمندان با چندین مرحله احراز هویت اعتماد صفر مواجه شوند. این نقاط ضعف و شکافهای پذیرش میتوانند کل ابتکار اعتماد صفر شما را تضعیف کنند.
با استفاده از استانداردهای امنیتی FIDO برای پشتیبانی از احراز هویت بدون رمز عبور، سازمانها میتوانند اصول اعتماد صفر را بدون افزودن اصطکاک به تجربه کاربر اعمال کنند. این امر اعتماد مورد نیاز به هویت کاربر را ایجاد میکند، تضمین میکند که فرآیندهای احراز هویت شما با بالاترین سطح اطمینان همسو هستند و یک پایه محکم برای معماری امنیتی اعتماد صفر شما ایجاد میکند.
احراز هویت بدون رمز عبور نشانه دارای گواهی FIDO، دستگاههای هوشمند کاربران را به کلیدهای امنیتی پشتیبانیشده توسط PKI تبدیل میکند. از ماژول پلتفرم قابل اعتماد سختافزاری (TPM) و سایر ویژگیهای امنیتی سطح دستگاه و سیستمعامل برای برآورده کردن الزامات MFA مقاوم در برابر فیشینگ اعتماد صفر استفاده میکند.
ما میدانیم که پذیرش و کاهش اصطکاک عناصر حیاتی یک محیط اعتماد صفر کارآمد هستند، بنابراین راهحل بدون رمز عبور ما همچنین بر تسهیل تجربه کاربر متمرکز است، به این معنی که سامانه ما میتواند به سادگی و در عرض چند ساعت مستقر شود. این نه تنها به تحول سریعتر کمک میکند، بلکه این کار را با هزینه کمتر و با کاهش فشار بر منابع امنیتی انجام میدهد. همین امروز برای دریافت هر گونه راهنمایی در این زمینه، با کارشناسان ما در تیم نشانه تماس بگیرید.
تلاطم در حوزه بانکداری: حرکت به سوی مدیریت مخاطرات سایبری
حملات سایبری گستردهتر به بانکها در سالهای اخیر، سرمایهگذاران و موسسات مالی بزرگ و کوچک را به سمت کاهش ریسکها سوق داده است. تلاشها در این حوزه باید به گونهای باشد که نقاط کلیدی و مشترک در حملات و تهدیدات، سریعا تحت پوشش قرار گیرد. یکی از این زمینهها، حذف رمزهای عبور و جایگزینی آن با راهکارهای احراز هویت بدون رمز عبور است.
مناطق با افزایش ریسک
ریسک حمله و مواجهه برای بانکها در سه حوزه اصلی افزایش یافته است:
- فیشینگ: هکرها از هر فرصتی برای سرقت اطلاعات افراد استفاده میکنند. چه از طریق ایمیل، پیام کوتاه متنی یا حمله مرد میانی، هکرها با وانمود کردن به عنوان نماینده بانک، حملات خود را آغاز میکنند. هدف اصلی آنها جمعآوری رمز عبور برای انجام حمله اصلی است.
- مهندسی اجتماعی: هکرها خود را به عنوان یک فرد قابل اعتماد مانند همکار، نهاد نظارتی، مشتری یا حتی میز خدمت فنی معرفی میکنند. در ادامه تلاش میکنند تا اعتبارنامهها را برای ورود به بانک و انجام حمله استخراج کنند.
- حمله با جستجوی فراگیر: هکرها با استفاده از یک کتابخانه از اصطلاحات، به سرعت رایجترین رمزهای عبور و مواردی که در نقض دادهها به سرقت رفتهاند را از طریق یک تکنیک کاملاً خودکار ادامه میدهند تا زمانی که دسترسی مورد نظر دریافت شود.
دام رمز عبور
همه این روشهای حمله یک نقطه مشترک دارند که سوء استفاده از رمز عبور است. بیش از شش دهه است که رمز عبور به عنوان روش اصلی احراز هویت استفاده میشود. با گذشت زمان، چیزهایی به رمز عبور اضافه شدند تا آنها را “امنتر” کنند، مانند توکنهای سختافزاری، رمزهای یکبار مصرف و اعلانها. با این حال، اینها فقط یک مرحله دیگر را معرفی میکنند بدون اینکه محافظت زیادی را به همراه داشته باشند. بانکها و سازمانهایی که در گذشته از طریق MFA مورد حمله قرار گرفتهاند، میتوانند این مورد را تأیید کنند.
واقعیت غیرقابل انکار این است که رمزهای عبور در مقیاس بزرگ شکست خوردهاند. هر سیستمی که به رمز عبور متکی است، سازمان را در معرض خطر قرار میدهد. با اعلامیههای اخیر اپل، مایکروسافت و گوگل در حمایت از کلیدهای عبور (Passkeys)، احراز هویت بدون رمز عبور در حال گسترش سریع است. خیلیها احتمالاً در حال حاضر در برخی از حوزههای زندگی خود، از احراز هویت بدون رمز عبور استفاده کردهاند. به نحوه ورود به گوشی هوشمند خود فکر کنید. آیا از رمز عبور یا یک روش بیومتریک مانند اثر انگشت استفاده میکنید؟ مهمتر از آن، آیا میخواهید دوباره به وارد کردن رمز عبور برای ورود به تلفن خود بازگردید؟
مواردی که سازمانهای مالی میتوانند انجام دهند
تلاطم سالهای اخیر در صنعت بانکداری، طوفانی کامل برای سوءاستفاده هکرها ایجاد کرده است. در حالی که سازمانها تلاش میکنند ریسک را کاهش دهند و در عین حال مشتریان را حفظ کنند، فرصتی عالی برای بانکها برای تثبیت و تقویت موقعیت خود نیز وجود دارد.
- توجه دقیق: ایده “اگر چیزی دیدید، چیزی بگویید” در اینجا مناسب است. اگر ایمیلی، لینکی یا تماس تلفنی مشکوک به نظر میرسد، احتمالاً مشکوک است. دو برابر کردن تلاشها و انجام دقت مداوم در هر سطحی از سازمان، از سطح مدیران ارشد تا هر کارمند و مشتری، بسیار مهم است و میتواند یکی از تاثیرگذارترین حوزههایی باشد که اغلب نادیده گرفته میشود.
- کاهش مواجهه: رمزهای عبور را در همه جا حذف کنید. راهکار احراز هویت بدون رمز عبور را برای کارمندان، شرکا و مشتریان مستقر کنید و ریسک مرتبط با رمزهای عبور را کاهش دهید. با احراز هویت بدون رمز عبور، از یک راهحل احراز هویت مقاوم در برابر فیشینگ که توسط سازمانهای بزرگ جهان توصیه میشود، استفاده خواهید کرد و در مسیر همسو شدن با چارچوبهای امنیتی مانند محیط اعتماد صفر خواهید بود.
- افزایش قابلیت استفاده: راهکار احراز هویت بدون رمز عبور در سطح سازمانی (که گاهی اوقات کلیدهای عبور سازمانی نامیده میشود) تجربه ورود به سیستم را بهبود میبخشد. به جای اینکه مجبور باشید برای هر عملیاتی در طول روز با گذرواژه وارد شوید، رمزهای عبور را فراموش یا بازنشانی کنید، کلیدهای عبور سازمانی گذرواژه را حذف میکنند و تجربه کاربری بدون دردسری ایجاد مینمایند. این نه تنها امنیت احراز هویت را افزایش میدهد، بلکه سطح بهرهوری کارکنان و رضایت مشتری را نیز بالا میبرد.
- درک ارزش: حذف رمزهای عبور از احراز هویت میتواند کارایی را افزایش داده و هزینههای مرتبط، از جمله سربار میز خدمت برای بازنشانی گذرواژه و اتلاف زمان کارکنان را کاهش دهد. کاهش سطح حملات و هزینهها و جرائم احتمالی نیز به راحتی در این حالت رخ خواهد داد.
نقشه مسیر
اکنون زمان آن است که تلاشها را بیشتر کرده و مخاطرات را از معادله حذف کنیم. همیشه غلفتهایی در صنایع مختلف همچون بانکها وجود خواهد داشت که هکرها تلاش میکنند از آنها سوء استفاده کنند. آموزش کارکنان/مشتریان بانکها همراه با کاهش مخاطرات امنیتی میتواند بردارهای حملهای را که توسط هکرها مورد استفاده قرار میگیرد، ببندد. معرفی کلیدهای عبور، زمان مناسبی برای معرفی احراز هویت بدون رمز عبور به نیروی کار و مشتریان است. وقتی این تغییر مثبت در سازمانی انجام شود، آن سازمان هرگز به عقب نگاه نخواهد کرد.
راهکار احراز هویت بدون رمز عبور نشانه میتواند به شما در طی این مسیر و دستیابی به دنیایی بدون رمز عبور کمک نماید. برای دریافت هرگونه راهنمایی، با کارشناسان نشانه تماس بگیرید.
خداحافظی با رمزهای عبور: چرا آینده بدون رمز عبور است
تقریباً هر وبسایت، اپلیکیشن و پلتفرم کاربری، اکنون به نام کاربری و رمز عبور نیاز دارد. برای حفظ امنیت دادههای کاربری و پیشگیری از حملات گذرواژهها، رمزهای عبور باید قوی باشند – اکثر پلتفرمها ترکیبی از حروف بزرگ و کوچک، اعداد و کاراکترهای خاص را الزامی میکنند. پیگیری چندین رمز عبور یا تولید بیپایان عبارات عبور پس از مدتی بسیار دشوار میشود. خوشبختانه، ما در مسیر آیندهای روشن از فناوری احراز هویت بدون رمز عبور هستیم.
فناوری بدون رمز عبور چیست؟
فناوری احراز هویت بدون رمز عبور نوعی احراز هویت کاربری است که نیازی به استفاده از گذرواژه ندارد. این کار به روشهای مختلفی انجام میشود:
بیومتریک
احراز هویت بیومتریک به ضبط خودکار ویژگیهای منحصر به فرد کاربران اشاره دارد که سپس ذخیره و رمزگذاری میشوند و وارد یک سیستم امنیتی میشوند. هنگامی که کاربر وارد سیستم میشود، ویژگیهای بیومتریک او مجدداً دریافت میشود تا هویت او تأیید و دسترسی برای او فراهم شود. احراز هویت بیومتریک میتواند از هر یک از قسمتهای بدن همچون اثر انگشت، کف دست، صورت و صدا استفاده کند. این فناوری در حال استفاده به جای یا برای تکمیل گذرواژهها ساده در دستگاههای هوشمند، حمل و نقل، بانکداری و موارد دیگر است.
گواهینامهها
احراز هویت مبتنی بر دارایی از گواهینامههای شخصی استفاده میکند که برای کاربر منحصر به فرد هستند. آنها معمولاً اطلاعاتی هستند که بر روی سختافزاری ذخیره میشوند که فقط مالک دستگاه میتواند آنها را کنترل کند. برخی از نمونههای گواهینامههای مبتنی بر دارایی عبارتند از توکنهای نرمافزاری، کیتهای توسعه نرمافزار یا SDKهای توکن نرمافزاری، کارتهای هوشمند، کلیدهای امنیتی و گواهینامههای موبایل. احراز هویت گواهینامه پیچیده است و هک کردن آن دشوارتر است، هرچند همچنان امکان نفوذ به چنین سیستمهایی وجود دارد.
ایمیل OTP و SMS
اکثر وبسایتها یا اپلیکیشنها از کاربران میخواهند یک آدرس ایمیل یا شماره موبایل، اغلب هر دو، را ثبت کنند. هر زمان که سعی میکنید به حساب خود دسترسی پیدا کنید، احراز هویت دو مرحلهای فعال میشود و یک کد یکبار مصرف (OTP) به شماره موبایل یا آدرس ایمیل شما ارسال میشود. شما باید این یکبار رمز، میتوانید در مدت زمان مشخصی وارد سیستم شوید. برخی سایتها چندین OTP ارسال میکنند یا از اپلیکیشنهای احراز هویت برای تولید کدهای تصادفی استفاده میکنند. باید توجه داشت که این روشها توسط OMB، CISA و سایر سازمانها توصیه نمیشود زیرا مستعد فیشینگ و رهگیری هستند.
لینکهای جادویی
مشابه OTPها، اگر آدرس ایمیل یا شماره موبایل ثبت شدهای داشته باشید، سایت یا اپلیکیشن یک لینک جادویی ارسال میکند که به شما دسترسی به حسابتان را میدهد. مشابه OTPها، این روشها نیز میتوانند خطرات امنیتی داشته باشند.
استفاده از اعلانها (Push Notifications)
کاربران یک اعلان در دستگاه خود دریافت میکنند که به عنوان تأیید هویت آنها عمل میکند. هنگامی که کاربر روی اعلان کلیک میکند، به حساب خود دسترسی پیدا میکند.
مزایای استفاده از احراز هویت بدون رمز عبور
طبق یک مطالعه، 90 درصد از کاربران اینترنت نگران هک شدن حسابهای خود به دلیل رمزهای عبور ضعیف هستند. رمزهای عبور ضعیف به عنوان یکی از دلایل اصلی نقض دادهها در مطالعات متعدد شناسایی شدهاند. حفاظت و امنیت را میتوان با احراز هویت مشتری و نیروی کار با راهکارهای احراز هویت بدون رمز عبور بهبود بخشید. وقت آن است که سایتها و اپلیکیشنها از این شیوه برای محافظت از دادههای کاربری استفاده کنند. در ادامه مزایای چنین روشهای احراز هویتی تشریح میگردد.
محافظت امنیتی بهتر و بیشتر
بیشتر کاربران فقط یک رمز عبور برای تمام سایتها و اپلیکیشنهایی که استفاده میکنند دارند. این یک خطر امنیتی شناخته شده است، اما بسیاری همچنان این کار را انجام میدهند زیرا جایگزین آن برای آنها پیچیدهتر است. با حرفهایتر شدن هکرها، رمزهای عبور ساده یا پیچیده دیگر به عنوان محافظت قابل اعتماد نیستند. وقتی یک مهاجم سایبری یک رمز عبور را نقض میکند، چندین حساب آسیبپذیر میشوند. یک فرد میتواند به سرعت پول یا هویت خود را از دست بدهد. و وقتی این اتفاق برای یک شرکت میافتد، میتواند به میلیونها دلار خسارت منجر شود.
کاهش هزینههای بلندمدت
طبق گفته مایکروسافت، مدیریت گذرواژهها بسیار گران است. زیرا کاربران اغلب آنها را فراموش میکنند و تنظیم مجدد مداوم آنها منجر به کاهش بهرهوری میشود زمانی که کاربر نمیتواند وارد سامانه مورد نظر شود. بر اساس تجربه مایکروسافت، هزینههای واقعی نیز وجود دارد که مرتبط با زمان صرف شده توسط کارشناس میزخدمت برای کمک به یک کاربر برای تنظیم مجدد رمز عبور است.از زمان راهاندازی راهکار احراز هویت بدون رمز عبور، مایکروسافت کاهش 87 درصدی در هزینههای نرم و سخت را تجربه کرده است که به ترتیب حدود 6 میلیون دلار و 3 میلیون دلار تخمین زده میشود.
تجربه کاربری بهتر
بیشتر فناوریهای بدون رمز عبور تجربیات کاربری بهتری را ارائه میدهند. به عنوان مثال، بیومتریک، با یک لمس انگشت یا نگاهی به دوربین، به راحتی قابل انجام است. از این رو کاربران در کمترین زمان به حسابهای خود دسترسی پیدا میکنند.
انطباق با نهادهای نظارتی
نهادهای نظارتی در هر کشوری، همانند موسسه ملی استانداردها و فناوری (NIST) در ایالات متحده، مجموعه ای از استانداردهایی دارند که بازیگران صنعت باید برای کنترل دسترسی به منظور محافظت از داده های حساس، از آنها پیروی کنند. متداولترین الزامات، احراز هویت چند عاملی، رمزگذاری و هش کردن هستند. احراز هویت بدون رمز عبور به همه این موارد پاسخ مثبت میدهد.
چه چیزی را در احراز هویت بدون رمز عبور جستجو کنیم
اکنون که میدانید احراز هویت بدون رمز عبور در عصر دیجیتال چقدر مهم است، بیایید به الزامات اولیه هنگام خرید راهحلها نگاه کنیم.
MFA برای ورود به رایانههای شخصی
در حالی که بسیاری از احراز هویتهای بدون رمز عبور برای برنامههای موبایل استفاده میشوند، بهتر است به دنبال فروشندگانی باشید که دارای احراز هویت چند عاملی (MFA) برای ورود به رایانههای شخصی هستند. اولاً، اکثر کارمندان در دفتر با رایانه شخصی کار میکنند. این همچنین در پاسخ به الزامات قانونی مرتبط نیز بسیار موثر است. ورود به رایانهها باید با قابلیتهای آفلاین تکمیل شود تا کارمندان بتوانند در هنگام سفر یا کار از راه دور به دسترسی
گواهینامهها
ارائهدهندگان فناوری احراز هویت بدون رمز عبور برای اثبات اثربخشی و اعتبار خود گواهینامههای خاصی دریافت میکنند. یکی از مهمترین گواهینامهها برای این فناوری عبارت است از گواهینامه FIDO – اتحادیه Fast Identity Online (FIDO) که برای تأیید انطباق و قابلیت همکاری یک محصول از سوی این اتحادیه اعطا میشود.
راهاندازی آسان
استفاده از فناوری جدید میتواند بهرهوری را مختل کند و حتی کارمندان را دچار تردید کند. راهحلهایی را پیدا کنید که به راحتی با فضای عملیاتی شما ادغام میشوند تا بتوانید سامانههای خود را در اسرع وقت راهاندازی کنید. راهکار بدون رمز عبور با یک SDK قوی به راحتی قابل ادغام بوده و باید دارای کنترلهای امنیتی داخلی برای عملکرد بهینه باشد.
آیا دوران گذرواژهها به پایان رسیده است؟
هنوز نه، زیرا گذرواژهها هنوز در بسیاری از سایتها و برنامهها استفاده میشوند. اما آنها دیگر به تنهایی قابل اعتماد نیستند زیرا مجرمان سایبری در نقض گذرواژهها خلاقتر و پیچیدهتر میشوند. فناوری احراز هویت بدون رمز عبور دیگر یک کالای گران و لوکس محسوب نمیشود. هماکنون میتوانید به سادگی از انواع مختلف این راهکار، به سادگی و با قیمتهای مناسب، برای امن نمودن سازمان خود استفاده نمایید. راهکار احراز هویت بدون رمز عبور نشانه میتواند مسیر حرکت به سمت دنیای بدون رمز عبور را برای شما بسیار کوتاهتر و سادهتر نماید. برای دریافت راهنمایی و پاسخ سوالات خود در این حوزه، با کارشناسان ما تماس بگیرید.