نشانه - راهکار احراز هویت بدون رمز عبور

با طرح رایگان نشانه، همین امروز احراز هویت بدون رمزعبور فایدو2 را تجربه کنید

ورود / ثبت نام
ثبت نام
ورود
ثبت نام
ورود
ثبت نام
ورود
احراز هویت بدون رمز عبور برای بانک‌ها و موسسات مالی
13 آبان 1403توسط Kasra Tavakoliعمومی

بهبود امنیت احراز هویت در بانک‌ها و موسسات مالی

بانک‌ها و موسسات مالی، همواره یکی از اهداف اصلی حملات سایبری بوده و هستند. با این حال، در سال‌های اخیر، سطح تهدیدات سایبری به طور قابل توجهی افزایش نیز یافته است. با وجود سرمایه‌گذاری‌های عظیم در حوزه امنیت، صنعت مالی همچنان در معرض خطر است. به‌ویژه در زمینه آسیب‌پذیری‌های مدیریت احراز هویت و دسترسی (IAM). آمار و روندهای اخیر جهانی نشان می‌دهد که این وضعیت چقدر وخیم شده است.
• در سال 2020، طبق گزارش VMware Carbon Black، حملات سایبری علیه بانک‌ها 238 درصد افزایش یافت.
• طبق گزارش وضعیت احراز هویت صنعت مالی 2022، 80 درصد نقض‌های امنیتی ناشی از صعف‌های این حوزه بوده است.
• تقریباً 40 درصد از تمام URLهای فیشینگ، خدمات مالی را هدف قرار می‌دهند.
• 47 درصد تلاش‌های کلاهبرداری، در کانال‌های پرداخت بدون کارت صورت گرفته است. یعنی مهاجمان غالبا از کنترل‌های مدیریت هویت ضعیف در پرداخت‌های آنلاین سوء استفاده می‌کنند.

 

چالش‌های مهم امنیت سایبری در خدمات مالی
صنعت خدمات مالی، به ویژه سیستم‌های احراز هویت آن، به دلایل مختلف با خطرات فزاینده‌ای مواجه است. در سال‌های اخیر، قوانین متعددی نیز در این زمینه وضع شده است. یا در قوانین متعددی به بهبود حوزه احراز و مدیریت هویت اشاره شده است. می‌توان به استفاده از استاندارد FIDO در نسخه جدید PCI-DSS به عنوان نمونه یاد نمود. در ادامه به برخی از مشکلات این حوزه که غالبا بیشتر سازمان‌های مالی با آن درگیر هستند اشاره می‌نماییم.
سهولت هک شیوه‌های سنتی
احراز هویت سنتی بسیار آسیب‌پذیر در برابر حملات مختلف از جمله فیشینگ است. شیوه‌های MFA سنتی بیشتر یک مزاحمت هستند تا یک مانع برای هکرها. اکثر روش‌ها از نوعی راز مشترک به عنوان عامل احراز اصالت استفاده می‌کنند. غالبا می‌توان همه این روش‌ها را فریب داد یا راز مربوط را از آنها سرقت نمود. هنگامی که مهاجمان از مرحله احراز هویت عبور می‌کنند، می‌توانند حمله را گسترش و سطح آسیب را افزایش دهند.
پیچیدگی حملات
هم‌اکنون، فیشینگ به عنوان یک سرویس (PhaaS) با رابط‌های پیچیده، به صورت آماده برای انجام حملات فراهم است. در نتیجه مهاجمان کم‌مهارت نیز با هزینه کم، به ابزارهای لازم برای اجرای حملات علیه مشتریان بانک‌ها دسترسی خواهند داشت. برخی از این سرویس‌ها، شامل چندین لایه حمله، از جمله آپلود داده‌های شخصی از پیش جمع‌آوری‌شده هستند. از این طریق شانس موفقیت و احتمال هدف قرار دادن کاربران آسیب‌پذیرتر بالا خواهد رفت. برخی از آنها خدمات بمباران MFA برای دور زدن برنامه‌های احراز هویت MFA را نیز ارائه می‌دهند.
چالش‌های چندگانه و فرآیندهای متفاوت
بسیاری از سازمان‌های خدمات مالی از چندین ارائه دهنده هویت (IdP) استفاده می‌کنند. به ویژه آن‌هایی که از طریق ادغام با یکدیگر رشد کرده یا ایجاد شده‌اند. هر یک از این‌ها ممکن است فرآیند احراز هویت متفاوتی داشته باشد. این تفاوت ممکن است در سطوح امنیت و یا تجربیات مختلف برای کاربران باشد. از این رو ممکن است کاربران بیشتر در معرض فریب و حملات قرار بگیرند. همچنین ممکن است به استفاده از راهکارهای ناامن مانند یادداشت کردن رمزهای عبور روی بیاورند.
مقررات سختگیرانه
قوانین حفاظت از داده‌ها در جهان مانند GDPR، PCI-DSS و PSD2 به همه شرکت‌ها اعمال می‌شود. هرچند، بار نظارتی آنها بر شرکت‌های خدمات مالی بسیار سنگین‌تر از سایر صنایع است. احتمال جریمه و انتشار نقض‌ها خطر قابل توجهی برای موسسات مالی ایجاد می‌کند. این موارد ممکن است بانک‌ها و موسسات مالی را ملزم کند تا رویه‌های احراز هویت خود را تقویت کنند.
اعتماد مصرف‌کننده
موج فعلی فعالیت‌های کلاهبرداری به‌طور فعال بر روابط شرکت‌ها با مشتریانشان تأثیر می‌گذارد. مطالعه امنیت احراز هویت در صنعت مالی، نشان می‌دهد که بانک‌ها پس از نقض امنیتی، دچار کاهش مشتری می‌شوند. این مطالعه نشان می‌دهد 32 درصد بانک‌ها پس از نقض امنیتی، مشتریان خود را به رقبا از دست می‌دهند. همچنین یک مانع بزرگ، انتقال مشتریان به بانکداری موبایل و خدمات الکترونیکی است. 74 درصد از مشتریانی که از این خدمات استفاده نمی‌کنند، امنیت را به عنوان نگرانی اصلی خود ذکر می‌کنند.

 

بهبود امنیت احراز هویت در امور مالی
یکی از مشکلات اصلی همه این مسائل، ضعف در امنیت فرآیند و شیوه مدیریت هویت است. مقررات خدمات مالی صراحتاMFA را به عنوان حداقل شیوه احراز هویت برای کارمندان و مشتریان مشخص کرده‌اند. برای بهبود امنیت فرآیند مدیریت هویت در موسسات مالی، باید به نکات مختلفی توجه نمود. از جمله این نکات، می‌توان به به عنوان نمونه به موارد مهم زیر اشاره کرد:
1. احراز هویت چند عاملی قوی (MFA): همانطور که گفته شد،MFA بهترین روش برای پوشش حداقل‌های مورد انتظار برای احراز و مدیریت هویت است. با این حال، برخی از فرآیندهای MFA مانند رمزهای یک‌بار مصرف (OTP)، قابل دور زدن هستند. از این رو باید به شیوه‌های مقاوم‌تر از احراز هویت چند عاملی روی آورد. در ادامه به برخی از این شیوه‌ها و استانداردها اشاره می‌گردد.
2. احراز هویت بدون رمز عبور برای موسسات مالی: یک راه‌حل حیاتی برای حذف آسیب‌پذیری‌های ذاتی رازهای مشترک و تقویت مدیریت دسترسی و هویت، حذف کامل رمزهای عبور است. احراز و مدیریت هویت بدون رمز عبور برای امور مالی، یک فرآیند مقاوم در برابر فیشینگ ایجاد می‌کند. این امر از مشتریان و کارمندان در برابر اکثر تلاش‌های حمله و تهدیدات محافظت خواهد نمود.
3. استاندارد Fast Identity Online (FIDO): ترس بسیاری از سازمان‌ها در انتقال به احراز هویت بدون رمز عبور، عدم اطمینان به سطح امنیت آنهاست. استاندارد FIDO یک سیستم احراز هویت متن-باز است. این استاندارد توسط اتحادیه‌ای از شرکت‌های فناوری پیشرو، سازمان‌های مالی و نهادهای نظارتی مانند NIST ایجاد شده است. استاندارد FIDO با در نظر گرفتن امنیت، تجربه کاربری و سازگاری توسعه یافته است. این کار با استفاده از دستگاه‌های کاربر همچون تلفن همراه یا کلیدهای آماده، با عوامل بیومتریک و مالکیت انجام می‌شود.
4. احراز هویت قوی برای رایانه‌ها و همچنین برنامه‌ها: اکثر سیستم‌های احراز و مدیریت هویت بر کنترل دسترسی خدمات سازمانی تمرکز دارند. دسترسی به رایانه‌ها که برای کار با دارایی‌های شرکت استفاده می‌شوند، اغلب فقط با رمز عبور محافظت می‌شود. سازمان‌هایی که MFA را برای رایانه‌ها نادیده می‌گیرند، در واقع در را به روی منابع خود باز می‌گذارند. تیم‌های امنیتی می‌توانند با فعال کردن MFA برای ورود به رایانه‌ها، میزان دفاع را تقویت کنند.
5. رمزنگاری کلید عمومی: در نهایت، رمزهای عبور آسیب‌پذیرند زیرا می‌توان آنها را فیشینگ یا سرقت کرد. احراز هویت بدون رمزعبور ایمن برای امور مالی از رمزنگاری کلید عمومی بی‌نیاز از رمزعبورها استفاده می‌کند. برای هر کاربر یک جفت کلید عمومی-خصوصی تولید می‌شود. کلید عمومی باید در ارائه دهنده خدمت مدیریت هویت ثبت شود. در فرآیند احراز و مدیریت هویت، کاربر کلید خصوصی را روی دستگاه خود باز و داده‌های مرتبط را امضا/تأیید می‌کند. از آنجایی که کلید خصوصی به صورت محلی ذخیره می‌شود، احتمال سرقت آن به طور قابل توجهی کاهش می‌یابد.

 

احراز هویت بدون رمز عبور امن برای امور مالی با راهکار نشانه
پیچیدگی و تعدد تهدیدات، به‌ویژه در حوزه احراز و مدیریت هویت، چالش‌های بزرگی برای صنعت خدمات مالی ایجاد نموده است. راهکار نشانه از مشکلات صنعت مالی در این زمینه و قوانین مرتبط آگاه است. با ارائه راه‌حلی مبتنی برFIDO، نشانه امکان احراز هویت بدون رمز عبور را برای سازمان‌های مالی فراهم می‌کند. به‌گونه‌ای که امنیت بالاتر برای سازمان و راحتی بیشتر برای کارمندان و مشتریان فراهم گردد. نشانه امکان ورود سریع و بی‌دردسر به سامانه‌های سازمان را بصورت مقاوم در برابر فیشینگ مهیا می‌نماید. برای اطلاع بیشتر در این زمینه، با تیم نشانه تماس بگیرید.

ادامه مطلب
مدیریت دسترسی ممتاز با احراز هویت بدون رمز عبور
8 آبان 1403توسط Kasra Tavakoliعمومی

مدیریت دسترسی ممتاز در عصر احراز هویت بدون رمز عبور

شیوه کار افراد و سازمان‌ها همه روزه در حال تکامل است. در نتیجه، روش‌های احراز هویت آن‌ها در منابع و سیستم‌ها نیز در حال تغییر است. زمانی تنها اتصال به شبکه محلی دفتر کار برای انجام تمامی موارد کافی بود. اکنون محیط سازمان‌ها گسترش پیدا کرده و شامل نیروی کار دورکاری و ترکیبی است. عوامل دیگر همچون فضای ابری نیز باید در نظر گرفته شود زیرا بر نحوه دسترسی تأثیرگذار است. حتی مدیریت دسترسی ممتاز (دسترسی‌های راهبران) نیز امروزه نیازمند توجه ویژه همچون احراز هویت بدون رمز عبور است.

 

مدیریت دسترسی ممتاز (PAM) چیست؟

مدیریت دسترسی ممتاز (PAM) یک راهکار امنیتی برای مدیریت هویت است. این راهکار با نظارت، شناسایی و جلوگیری از دسترسی‌های غیرمجاز، از سازمان در برابر تهدیدات حفاظت می‌کند. PAM از طریق ترکیبی از افراد، فرآیندها و فناوری کار می‌کند. این راهکار افراد دارای حساب‌های ممتاز را شناسایی و کارهای انجام شده توسط آنها را برای سازمان مشخص می‌نماید. با نظارت و محدود کردن کاربرانی که به عملکردهای مدیریتی و راهبری دسترسی دارند، امنیت سازمان افزایش خواهد یافت. به صورت کلی، PAM، سطح امنیت را افزایش و احتمال نقض داده‌ها توسط عوامل تهدید را کاهش می‌دهد. 

 

مشکل رمزهای عبور و اعتبارنامه‌ها

  • همیشه فعال هستند: رمزهای عبور همیشه در دسترس هستند و می‌توان از آن‌ها سوءاستفاده کرد.
  • قابل سرقت هستند: هکرها می‌توانند رمزهای عبور را به روش‌های مختلفی سرقت کنند.
  • قابل حمله با روش آزمون و خطا هستند: هکرها می‌توانند با تلاش‌های مکرر برای حدس زدن رمز عبور، به حساب‌های کاربری دسترسی پیدا کنند.
  • قابل اشتراک‌گذاری هستند: افراد ممکن است رمزهای عبور خود را با دیگران به اشتراک بگذارند و امنیت را به خطر بیاندازند.
  • قابل فیشینگ هستند: مهاجمان می‌توانند با ارسال ایمیل‌های فیشینگ، کاربران را فریب دهند تا رمزهای عبور خود را وارد کنند.
  • در مکان‌های مختلف قابل استفاده هستند: یک رمزعبور می‌تواند متعلق به چندین حساب باشد، بنابراین یک حمله موفقیت‌آمیز می‌تواند به اطلاعات زیادی دسترسی پیدا کند.
  • ممکن است پشت حساب خود قفل شوید: اگر رمز عبور را اشتباه وارد کنید، ممکن است حساب کاربری شما قفل شود.
  • ممکن است رمز عبور خود را فراموش کنید: فراموشی رمز عبور می‌تواند دسترسی به حساب کاربری را دشوار کند.
  • نیاز به بازنشانی مرتب و مکرر دارند: رمزهای عبور باید به طور مرتب تغییر کنند تا امنیت آن‌ها افزایش یابد.
  • قابل یادداشت‌برداری هستند: افراد ممکن است رمزهای خود را روی کاغذ یا برچسب بنویسند، که این امر خطر سرقت را افزایش می‌دهد.

 

آیا باید ادامه دهیم؟

یکی از بزرگترین دلایل خطر رمزهای عبور این است که آن‌ها “همیشه فعال” هستند. به عبارت دیگر، آن‌ها دائماً در معرض سرقت یا استفاده برای اهداف مخرب قرار دارند. اگر به این مورد در خصوص نقش‌های راهبری (ادمین) فکر کنیم، همیشه یک نقض امنیتی در کمین خواهد بود. راهبران دسترسی‌های بیشتری به داده‌ها و سامانه‌ها دارند و از این رو سرقت حساب آنها می‌تواند جبران‌ناپذیر باشد.

نکته مهم آن است که سامانه‌های مدیریت دسترسی ممتاز (راهبران) امروزی، خود متکی به رمز عبور است. در نتیجه خود سامانه و تمامی مواردی که قرار است از آن حفاظت کند، همواره در خطر است. سامانه مدیریت دسترسی ممتاز غالبا مکانی برای ذخیره و مدیریت تمامی رمزهای عبور در سازمان است. از آنجا که دسترسی به این رمزها، خود با یک رمزعبور محقق می‌شود، لذا سطح حفاظتی سامانه بسیار ضعیف است.

 

دوران پس از رمز عبور (احراز هویت بدون گذرواژه)

مقابله با مشکل رمزهای عبور و اعتبارنامه‌ها می‌تواند به طور قابل‌توجهی خطرات موجود در احراز هویت را کاهش دهد. به عبارت ساده، اگر رمزعبور وجود نداشته باشد، امکان تبدیل شدن آن به یک نقطه حمله وجود نخواهد داشت. اینجاست که احراز هویت بدون رمز عبور مزایای عمده‌ای ارائه خواهد داد. احراز هویت بدون رمز عبور دقیقاً همان چیزی است که به نظر می‌رسد، حذف کامل رمزهای عبور.

این روش نیاز به نام کاربری و رمز عبور برای احراز هویت در منابع و سرویس‌ها را حذف می‌کند. به جای تکیه بر «چیزی که می‌دانید» (رمز عبور)، احراز هویت بدون گذرواژه بر «هویت شما» تمرکز دارد. این کار معمولاً از طریق عوامل بیومتریک یا توکن‌های سخت‌افزاری انجام می‌شود. احراز هویت بدون رمزعبور، نقطه آغاز فرآیند حذف خطرات ناشی از گذرواژه‌ها برای سازمان‌ها است.

 

چرا سامانه‌های مدیریت دسترسی ممتاز باید به احراز هویت بدون رمزعبور توجه کنند؟

مدیریت دسترسی ممتاز (PAM) غالبا رویکردی مبتنی بر رمزهای عبور را برای مدیریت دسترسی به منابع اتخاذ می‌نماید. مشکل این رویکرد تضاد بنیادی اسرار (رمزها) و مخازن اسرار (Secret Vaults) با اصل امتیاز صفر (Zero Standing Privileges)  است. برای اسرار (رمزها)، صرف وجود آن‌ها به این معنی است که شما امتیازات دائمی دارید. این امر به معنای خطری دائمی برای سازمان است که باید خود را در برابر آن محافظت نماید. در نتیجه خود سامانه مدیریت دسترسی ممتاز نیز از مشکلات رمزعبور و تهدیدات آنها در امان نخواهد بود.

مدیریت مخازن اسرار و خود اسرار نیز می‌تواند هزینه‌های قابل‌توجهی به همراه داشته باشد. در بسیاری موارد، مخازن اسرار ارائه شده توسط فروشندگان PAM تنها بخشی از زیرساخت فناوری سازمان را پوشش می‌دهند. در این شرایط، سازمان‌ها ممکن است مجبور به خرید چندین محصول شوند. این کار به طور قابل‌توجهی هزینه‌های عملیاتی، پیچیدگی و سربار مدیریت رمزها و حسابرسی دسترسی را افزایش می‌دهد. روش‌های مدرن احراز هویت، مانند احراز هویت بدون رمزعبور، در پلتفرم‌های متنوع قابل استفاده است. این محصولات برای تیم‌های IT، مشکلات گذرواژه‌ها و مدیریت آنها را کاملا حذف می‌کنند.

 

مدیریت دسترسی ممتاز با راهکار احراز هویت بدون رمزعبور نشانه

راهکار نشانه، دسترسی ساده و امن به زیرساخت‌های حیاتی را بدون نیاز به رمزعبور ارائه می‌دهد. این پلتفرم از ابتکارات احراز هویت بدون رمزعبور در راستای کمک به مدیریت دسترسی‌های ممتاز نیز استفاده می‌کند. موارد حداقلی زیر، از امکاناتی است که توسط نشانه در راستای مدیریت دسترسی‌های ممتاز به سازمان‌ها ارائه می‌شود. لازم به ذکر است که این موارد، فارغ از ویژگی‌های نشانه در ارائه خدمت احراز هویت بدون رمزعبور است.

  • پشتیبانی از پروتکل‌های پرکاربرد همچون RDP
  • احراز اصالت چند عاملی برای کاربران و راهبران سامانه
  • انجام تنظیمات و اعمال محدودیت‌ها بر روی نشست‌های دسترسی
  • تهیه و ارسال لاگ با فرمت Syslog
  • امکان ارتباط با سامانه‌های احراز هویت و اصالت دیگر همچون Active Directory و LDAP
  • امکان اعمال انواع محدودیت‌ها بر دسترسی کاربران بر اساسی عواملی همچون زمان دسترسی، مقصد دسترسی، IP مبدا، مکان جغرافیایی.
  • امکان تعریف سطوح مختلف دسترسی برای راهبران سامانه
  • گزارش‌گیری کامل از فعالیت‌های راهبران سامانه
  • امکان تعریف روال تایید (Approve) برای تایید دسترسی به سرورها و تجهیزات
  • پشتیانی از مخزن رمز عبور (Password Vault) به منظور ذخیره‌سازی امن رمزهای عبور
  • امکان تغییر خودکار رمزهای عبور بر اساس زمان‌بندی تعریف شده توسط راهبران

با نشانه، احراز هویت در سراسر زیرساخت سازمان (از جمله سیستم‌های قدیمی)، امن و بی‌نیاز از رمزعبور خواهد بود. همچنین فرآیند احراز هویت ساده‌تر و هزینه‌های سرباری آن کمتر خواهد شد. نشانه به تیم‌های IT و امنیت اجازه می‌دهد تا دسترسی را به روشی یکپارچه، امن و قابل حسابرسی ارائه کنند. همچنین قابلیت مدیریت تمامی موارد مربوط به هویت و فرآیند احراز آن نیز به صورت متمرکز فراهم خواهد بود. برای کسب اطلاعات بیشتر در مورد چگونگی کمک نشانه به شما در حل چالش‌های دسترسی، با ما تماس بگیرید.

ادامه مطلب
مقایسه MFA و احراز هویت بدون گذرواژه
5 آبان 1403توسط Kasra Tavakoliعمومی

MFA و احراز هویت بدون گذرواژه

رمزهای عبور آسیب‌پذیرترین و مورد حمله‌ترین بخش هر سامانه احراز هویت هستند. آنها نه تنها برای امنیت احراز هویت، بلکه برای وضعیت امنیتی کل سازمان خطر ایجاد می‌کنند. گزارش Verizon  نشان می‌دهد که حدود 60 درصد از حملات موفق، به اعتبارنامه‌ها مرتبط است. این موارد شامل فیشینگ، اعتبارنامه‌های سرقت شده و حملات brute-force است. مشکل اصلی گذرواژه‌ها در امکان اشتراک آنها با چند نفر یا حتی بیشتر است. طبق گفته Darkreading، اکنون بیش از 24 میلیارد اعتبارنامه دزدی شده در بازارهای وب تاریک در گردش است. بسیاری از کارشناسان امنیت معتقدند که هکرها در واقع به سیستمها نفوذ نمی‌کنند، بلکه براحتی به آن وارد می‌شوند. تنها راه برای تغییر این الگو، حذف کامل رمزهای عبور از فرآیند احراز هویت است. اینجاست که رویکردهای احراز هویت بدون گذرواژه، به ویژه راه‌حل‌های MFA مقاوم در برابر فیشینگ، برجسته می‌شوند. اما احراز هویت بدون گذرواژه چیست؟

 

بررسی اجمالی احراز هویت بدون گذرواژه

احراز هویت تک عاملی سنتی بر اثبات هویت با یک جفت نام کاربری و گذرواژه مبتنی است. احراز هویت چند عاملی (MFA) نیازمند یک یا چند عامل تأیید مستقل است. اینها می‌توانند شامل آنچه می‌دانید (گذرواژه)، آنچه دارید (کلید امنیتی) یا آنچه هستید (ویژگی بیومتریک مانند اثر انگشت) باشد. در شیوه‌های MFA سنتی، این موارد معمولاً شامل یک گذرواژه به علاوه یک عامل دیگر است. احراز هویت بدون گذرواژه، از سوی دیگر، عامل گذرواژه را حذف و فقط از عوامل “دارایی” یا “ذاتی” استفاده می‌کند.

 

چرا احراز هویت بدون گذرواژه از MFA سنتی امن‌تر است؟

در حالی که MFA سنتی نسبت به گذرواژه ایمن‌تر است، مواردی متکی به SMS OTP به راحتی دور زده می‌شوند. احراز هویت بدون گذرواژه، اسرار مشترک را از فرآیند احراز هویت حذف می‌کند و بسیار ایمن‌تر از MFA سنتی است. شیوه MFA بدون گذرواژه مبتنی بر FIDO، استاندارد طلایی احراز هویت چندعاملی مقاوم در برابر فیشینگ است. نحوه عملکرد چنین شیوه‌ای با استفاده از رمزنگاری کلید عمومی و برنامه کاربردی تلفن همراه، شامل مراحل زیر خواهد بود.

  1. کاربر فرآیند ورود را آغاز می‌کند.
  2. سیستم احراز هویت بدون گذرواژه عوامل شناسایی را از کاربر درخواست می‌کند.
  3. کاربر کلید خصوصی را با عامل مرتبط با احراز هویت بدون گذرواژه خود (مثلا اثر انگشت) باز می‌کند.
  4. در انتها سرور، از کلید عمومی مرتبط با کلید خصوصی کاربر، برای تأیید هویت امن او استفاده می‌شود.
  5. در صورت طی شدن درست مراحل، به کاربر اجازه ورود داده می‌شود.

همانطور که از فرآیند تشریح شده مشخص است، کاربر نیازی به ارائه چیزی جز کلید امنیتی یا  اثرانگشت خود ندارد. کاربر بدون به خاطر سپردن یا به اشتراک گذاشتن یک رمز عبور، امکان احراز هویت خواهد داشت. به دلیل پیچیدگی رمزنگاری کلید عمومی، هیچ راز یا اعتبارنامه‌ای با شنود یا در حملات man-in-the-middle سرقت نمی‌شود. و البته، یک هکر نمی‌تواند با حدس زدن یا فیشینگ یک رمز عبور به یک حساب دسترسی پیدا کند. فراوانی حسگرهای بیومتریک نیز به معنی فراهم بودن این راهکار به راحتی برای همه افراد و سازمان‌ها خواهد بود.

 

تغییر پارادایم امنیتی: آیا احراز هویت بدون رمز عبور ایمن است؟

با وجود تایید متخصصان امنیت و موسساتی همچون NIST، راهکارهای بدون رمزعبور همچنان سرعت پذیرش بالایی ندارند. سازمان‌ها اغلب می‌پرسند، احراز هویت بدون گذرواژه چه چیزی را می‌تواند ارائه دهد که سایر شیوه‌های MFA نمی‌توانند. حذف گذرواژه، مشکل اصلی سیستمهای احراز هویت را رفع و تأثیر مثبت بر امنیت و عملیات سازمان می‌گذارد. اول و مهم‌تر از همه، با حذف بزرگترین عامل حمله، به طور خودکار امنیت سازمانی را بهبود می‌بخشد.

مایکروسافت بیش از 300 میلیون تلاش ناموفق ورود به سامانه‌ها را در روز به محصولات مختلف خود گزارش می‌دهد. این شرکت بیان می‌کند که شیوه‌های بدون رمز عبور مبتنی بر بیومتریک، 99 درصد حملات حساب‌های کاربری را مسدود می‌کند. با افزایش مقررات ایمنی داده‌ها در جهان، استقرار MFA بدون گذرواژه همچنین به سازمان‌ها برای انطباق با قوانین کمک می‌کند. مزایای دیگر شامل کاهش هزینه‌های بازنشانی رمز عبور است. طبق گزارش Forrester، هزینه هر بازنشانی رمز عبور، در میانگین جهانی حدود 45 دلار است. احراز هویت بدون گذرواژه همچنین می‌تواند تجربه کاربر را ساده‌تر کرده و بهره‌وری را افزایش دهد.

 

حرکت به سوی دنیای بدون گذرواژه با نشانه

احراز هویت بدون رمز عبور با حذف ضعیف‌ترین حلقه این فرآیند، امنیت را برای کاربران، سیستم‌ها و سازمان‌ها بهبود می‌بخشد. راهکار احراز هویت بدون رمزعبور نشانه، امنیت احراز هویت شما را افزایش و بهره‌وری و پذیرش کاربران را بهبود می‌بخشد. با رمزنگاری کلید عمومی و پایبندی به FIDO، راهکار نشانه حذف اسرار مشترک از فرآیند احراز هویت را تضمین می‌کند.

راهکار احراز هویت نشانه، یک فرآیند یکپارچه برای ورود بدون رمزعبور برای تمامی سامانه‌های سازمان فراهم می‌کند. این راهکار، امنیت را به سازمان و تجربه کاربری زیبایی را به کاربران ارائه می‌دهد. تیم نشانه، آماده ارائه کمک و راهنمایی برای هموار نمودن مسیر حرکت سازمانها به سمت دنیای بدون گذرواژه است. برای رهایی از تمامی تهدیدات رمزهای عبور، همین امروز حرکت خود را آغاز نمایید.

ادامه مطلب
محیط اعتماد صفر (Zero Trust) و نحوه دستیابی به آن با احراز هویت بدون رمز عبور
30 مهر 1403توسط Kasra Tavakoliعمومی

محیط اعتماد (Zero Trust) صفر چیست؟

در دنیای امنیت سایبری، اصطلاحات مد روز زیادی وجود دارد و یکی از پرکاربردترین آن‌ها “اعتماد صفر” است. اما دقیقاً “اعتماد صفر” چیست و چرا اینقدر در گفتگوهای امنیت سایبری برجسته شده است؟ اعتماد صفر (Zero Trust) یک مفهوم امنیت سایبری با رویکرد “هرگز اعتماد نکنید، همیشه بررسی کنید” در دسترسی به شبکه است. محقق امنیت جیمز کیندرواگ این عبارت را در سال 2010 برای معرفی یک رویکرد جدی‌تر به یک تهدید رو به رشد ابداع کرد.

ایجاد یک محیط Zero Trust فرض می‌کند که همه کاربران و دستگاه‌ها، چه از داخل یا خارج از شبکه، تا زمانی که بررسی و تایید نشوند، غیرقابل اعتماد هستند. اعتماد صفر با پارادایم امنیت سایبری “دفاع در عمق” متفاوت است که به دنبال محافظت از داده‌ها از طریق لایه‌های متعدد موانع است. بسیاری از هکرها از بهره‌برداری از نقص‌های سیستم، مانند پورت‌های باز یا درهای پشتی فراموش شده، فاصله گرفته‌اند و در عوض سعی می‌کنند از طریق احراز هویت تقلبی وارد سازمان شوند. متأسفانه، این کار بلافاصله دسترسی قابل توجهی به داده‌ها و فرصتی برای تشدید حمله در داخل سیستم ارائه می‌دهد.

 

چرا ایجاد یک محیط اعتماد صفر ضروری است؟

در حالی که حملات پیچیده از نظر عموم مردم گسترده‌تر و غالب است، اما واقعیت نقض‌های امنیتی مدرن بسیار ساده‌تر است. در اصل، مهاجمان از بسیاری از افراد می‌خواهند که اطلاعات ورود به سامانه خود را به آن‌ها بدهند و وقتی کسی این کار را انجام داد، به حساب آن‌ها دسترسی پیدا می‌کنند و از آن برای سرقت داده‌ها یا آپلود بدافزار استفاده می‌کنند. البته، “درخواست اطلاعات ورود” خیلی هم ساده نیست. فیشینگ، حمله غالب احراز هویت، می‌تواند به عنوان مثال از صفحات وب جعلی برای شبیه‌سازی صفحات ورود معتبر استفاده کند، بنابراین قربانیان فکر می‌کنند جزئیات خود را در یک صفحه معتبر وارد می‌کنند.

با شبکه‌های گسترده امروزی و نقاط انتهایی بسیار در شبکه‌های اکثر سازمان‌ها، رویکرد “محیط امن” دیگر امکان‌پذیر نیست. بنابراین، پس از حملات عمده به زیرساخت‌های حیاتی ایالات متحده، کاخ سفید در ماه مه 2021 یک فرمان اجرایی صادر کرد که تمام آژانس‌های فدرال را ملزم به اتخاذ معماری اعتماد صفر کرد. اندکی پس از آن، دفتر مدیریت و بودجه (OMB) سند استراتژی Zero Trust فدرال را برای راهنمایی بخش‌ها و پیمانکاران صادر کرد.

کاهش ریسک دلیل دیگری برای استقرار معماری اعتماد صفر است. با معرفی قوانین سختگیرانه استفاده و حفاظت از داده‌ها در بسیاری از حوزه‌های قضایی، مانند GDPR و تنظیم مقررات سایبری NYDFS، حملات موفق می‌توانند منجر به جریمه، توبیخ عمومی، هزینه‌های پاکسازی و از دست دادن اعتماد مصرف‌کننده شوند.

 

ویژگی‌های اعتماد صفر

اعتماد صفر یک روش‌شناسی و رویکرد کلی امنیت سایبری است، نه یک تغییر واحد یا راه‌حل جادویی برای محافظت از داده‌ها. سوال “اعتماد صفر چیست” را می‌توان با نگاهی به ویژگی‌های اصلی آن پاسخ داد.

1- احراز هویت مداوم

با هدف قرار دادن کوکی‌های نشست توسط حملات و پتانسیل یک ورود موفق تقلبی، انجام احراز هویت کاربران به صورت مداوم یک ضرورت است.

2- احراز هویت چند عاملی (MFA)  مقاوم در برابر فیشینگ

به طور کلی، احراز هویت چند عاملی (MFA) یک پیشرفت نسبت به استفاده از نام کاربری و رمز عبور است. با این حال، هر MFA که از رازهای مشترک (از جمله پین‌ها، پیام‌های کوتاه، سوالات امنیتی، OTPها) استفاده می‌کند، همچنان می‌تواند توسط مهاجمان فیشینگ یا رهگیری شود. این کار تأثیر احراز هویت مداوم و نقش احراز هویت به عنوان محافظ اصلی اعتماد صفر را نفی می‌کند. به همین دلیل است که راهنمایی OMB آژانس‌های فدرال را تشویق می‌کند تا “استفاده بیشتر از احراز هویت چند عاملی بدون رمز عبور” را دنبال کنند که به طور طبیعی نمی‌توان آن را فیشینگ کرد.

3- دسترسی بر اساس حداقل امتیاز

اگرچه این مفهوم منحصر به Zero Trust نیست، اما یک استاندارد حداقل به جای بهترین عمل است. دسترسی حداقل امتیاز به این معنی است که به هر کاربر فقط حداقل دسترسی مطلق لازم برای انجام نقش خود اعطا می‌شود. دسترسی‌های همپوشانی اغلب می‌توانند باعث شوند که حساب‌های کاربری امتیازاتی را برای بخش‌ها و داده‌هایی که از نقش آن‌ها بسیار دور هستند یا هرگز استفاده نمی‌شوند در اختیار داشته باشند که می‌تواند مهاجمان را هنگام تصاحب حساب از آن‌ها بهره‌مند کند.

4- ریزتقسیم‌بندی (Micro-segmentation)

مانند دسترسی حداقل امتیاز، ریز تقسیم‌بندی شبکه شامل قرار دادن موانع سخت بین داده‌ها و مناطق سازمان است. این بدان معنی است که هر مهاجمی باید چندین نقطه دسترسی را نقض کند تا دسترسی گسترده و کافی برای یک حمله موفقیت‌آمیز داشته باشد. فهرست‌بندی داده‌های مدرن (Date Cataloging) و مجازی‌سازی به راهبران اجازه می‌دهد تا مشکلات سیلوبندی که ممکن است قبلاً توسط ریز تقسیم‌بندی ایجاد شده بود را برطرف کنند.

 

اعتماد صفر چگونه پیاده‌سازی می‌شود؟

راهنمایی در مورد اجرای اعتماد صفر را می‌توان در نشریه 800-207 مؤسسه ملی استانداردها و فناوری (NIST) یافت. این کار شامل اصول اساسی همانند موارد زیر است.

  • در نظر گرفتن تمام خدمات محاسباتی و داده‌ها به عنوان منابع
  • ایمن‌سازی تمام ارتباطات شبکه صرف نظر از مکان مبدا
  • حفظ سوابق کامل و مداوم از تمام دارایی‌ها و مکان‌های داده
  • احراز هویت پویا و سختگیرانه

بنابراین، یک معماری Zero Trust نیازمند اتخاذ یک رویکرد کاربرمحور با مکانیزم‌های حفاظتی متعدد در هر مرحله از مسیر یک کاربر در شبکه است. همچنین به سیستم‌های مدیریت هویت و دسترسی قوی نیاز دارد که می‌توان به آن‌ها به عنوان دروازه‌بان و منبع اصلی برای اثبات هویت کاربران اعتماد کرد. تنها راهی که می‌توان به طور قابل اعتماد به چنین سیستم مدیریت هویتی دست یافت، استفاده ازMFA  مقاوم در برابر فیشینگ است که با راهکارهای بدون رمز عبور محقق می‌شود. 

 

همراهی با شما برای ایجاد یک محیط اعتماد صفر

یک محیط اعتماد صفر مؤثر به یک سیستم احراز هویت نیاز دارد که بتوان بر آن تکیه کرد تا یک نقطه ورود محکم و قوی تشکیل دهد. راهکارهای ورود بدون رمز عبور با حذف گذرواژه‌ها و سایر اعتبارنامه‌های مشترک، ضعیف‌ترین حلقه‌ها در هر سیستم احراز هویت و به صورت کلی ضعیف‌ترین موانع در ایجاد یک محیط Zero Trust را از بین می‌برند. تمامی راهنماهای جهانی برای راه‌اندازی محیط‌های اعتماد صفر نیز به استفاده از راهکارهای احراز هویت بدون رمز عبور مبتنی بر استاندارد FIDO  به عنوان یک استاندارد طلایی اشاره دارند.

راهکار احراز هویت بدون رمز عبور نشانه، محصول شرکت رهسا (ره‌آورد سامانه‌های امن) که مبتنی بر استاندارد FIDO توسعه داده شده است، بهترین نقطه شروع برای ایجاد یک محیط اعتماد صفر است. تیم نشانه تلاش دارد، تا با کمک به سازمان‌های داخلی، روند حرکت به سمت حذف رمزهای عبور و تحقق یک محیط Zero Trust واقعی را بسیار کوتاه‌تر و ساده‌تر نماید. متخصصان ما، آماده ارائه هرگونه راهنمایی در این زمینه به سازمان‌ها در تمامی حوزه‌ها هستند.

ادامه مطلب

معرفی

نشانه، راهکار هوشمند احراز هویت بدون رمز عبور، در شرکت ره‌آورد سامانه‌های امن (رهسا) توسعه داده شده است.
ما در تلاش هستیم تا راهکارهایی مناسب برای حفظ امنیت اطلاعات اشخاص و سازمان‌ها ارائه کنیم.

Linkedin-in

محصولات

لینک‌های مفید

دسترسی سریع

تلفن‌های تماس

پست الکترونیک

آدرس

تهران، ناحیه نوآوری شریف، بلوار تیموری، نبش کوچه ابراهیمی، پلاک 58، ساختمان مهرنگار، طبقه دوم، واحد 10

تمامی حقوق مادی و معنوی این وب‌سایت به شرکت ره‌آورد سامانه‌های امن (رهسا) تعلق دارد.