مقابله در برابر باج‌افزارها با حذف رمزهای عبور

باج‌افزار یک تهدید رو به رشد برای امنیت سایبری جهانی است. به گونه‌ای که نهادهای امنیتی بزرگ دنیا همچون CISA، هشدارهای متعددی در سال‌های اخیر برای چگونگی دفاع در برابر آن صادر کرده‌اند. حملات باج‌افزار در سال 2023 به میزان 105% رشد داشته و از سال 2019 تاکنون تقریبا 232% افزایش یافته است. در سال‌های اخیر، سازمان‌ها در مقیاس‌های مختلف با حملات باج‌افزاری فلج شده‌اند. از مشاغل بزرگ همچون کل سیستم‌های بهداشتی انگلستان گرفته تا خاموشی و قطع تمامی سرویس‌ها در شهری همچون بالتیمور. یک حمله موفقیت‌آمیز باج‌افزار بر یک سازمان در چندین جبهه از جمله موارد زیر تأثیر منفی می‌گذارد:

• از دست دادن داده‌ها به صورت موقت یا حتی دائم
• سرقت و انتشار سوابق خصوصی
• هزینه‌های مستقیم پرداخت باج
• تعطیلی موقتی کسب و کار شامل از دست دادن فرصت‌های فروش
• هزینه‌های عملیات پاکسازی فناوری اطلاعات
• اعتماد آسیب‌دیده از سوی مصرف‌کنندگان
• جریمه‌های نظارتی احتمالی

با چنین پیامدهای عمده‌ای از حملات باج‌افزار، مهم است که سازمان‌ها نحوه وقوع آن‌ها را تشخیص داده و نحوه جلوگیری از آنها را بدانند.

 

نحوه اجرای حملات باج‌افزار

هکرها از دو روش اصلی برای راه‌اندازی یک حمله باج‌افزار بر روی یک سازمان استفاده می‌کنند. دانستن این روش‌های حمله برای درک نحوه جلوگیری از حملات باج‌افزار ضروری است. در روش اول، مهاجمان از آسیب‌پذیری‌های امنیتی برای ورود به یک سیستم و در نهایت استقرار باج‌افزار استفاده می‌کنند. این موارد می‌تواند شامل یک آسیب‌پذیری  وصله نشده، یک سیستم به‌روز نشده و یا سیستم‌های بدون پشتیبانی باشد. به عنوان مثال، بسیاری از مشاغل همچنان از ماشین‌هایی با سیستم عامل ویندوز 7 استفاده می‌کنند. با توجه به توقف به‌روزرسانی‌های امنیتی مایکروسافت، چنین مشاغلی در معرض خطر جدی هستند.

متأسفانه، جلوگیری از این نوع حملات همیشه تحت کنترل سازمان نیست. زیرا حمله می‌تواند از یک نقص روز صفر (Zero Day) جدید سوءاستفاده کند که فروشندگان نرم‌افزارها نیز از آن خبر ندارند. از این رو نمی‌توان آن را توسط اقدامات امنیتی مانند ضدبدافزارها تشخیص داد.

حالت دوم (و تاکنون رایج‌ترین مسیر دسترسی برای باج‌افزار) از رمزهای عبور یا اعتبارنامه‌های به خطر افتاده استفاده می‌کند. روش‌های اصلی بدین منظور که رمزهای عبور سرقت شده در آنها منجر به حملات موفقیت‌آمیز می‌شوند، شامل موارد زیر می‌باشند.

حمله جستجوی فراگیر (Brute force) و انباشت اعتبارنامه‌ها (Credential Stuffing): حملات جستجوی فراگیر و یا انباشت اعتبارنامه‌ها از لیست‌های رمزهای عبور سرقت شده از نقض‌های داده قبلی، و یا مجموعه کامل قابل حدس استفاده می‌کنند و آن‌ها را به طور متوالی امتحان می‌کنند تا زمانی که با استفاده از آن‌ها وارد یک سیستم شوند. آن‌ها اغلب ابزارهای خودکار و بات‌نت‌هایی را به کار می‌گیرند که به آن‌ها اجازه می‌دهد از مکانیزم‌های مسدودکننده‌ای که برای جلوگیری از چندین تلاش ناموفق ورود به سیستم طراحی شده‌اند، فرار کنند. پس از دسترسی، مهاجم در شبکه به‌طور جانبی حرکت می‌کند و سطح دسترسی را افزایش می‌دهد تا زمانی که بتواند محموله باج‌افزار را مستقر نماید.

فیشینگ: یافتن سوءاستفاده‌ها یا آسیب‌پذیری‌های پنهان در کد می‌تواند دشوار و زمان‌بر باشد، اما ارسال یک لینک و دریافت رمز عبور کاربر از خود او، بسیار آسان‌تر است. حملات فیشینگ می‌توانند به بسیاری از افراد یا به‌طور مستقیم‌تر بر اهداف با ارزش بالا و دسترسی ممتاز (فیشینگ نیزه‌ای) متمرکز شوند. پس از اینکه مهاجم اعتبارنامه‌های ورود به سیستم به خطر افتاده را در اختیار گرفت، می‌تواند به عنوان یک کاربر تأیید شده به سیستم دسترسی پیدا کند و بسته به سطح دسترسی کاربر، شروع به بارگزاری بدافزار نماید.

حملات RDP: تغییر قابل توجه به کار از خانه از آغاز همه‌گیری کرونا، منجر به تمرکز متناسب مهاجمان بر پروتکل‌های راه‌دور (RDP) شده است، یعنی آنچه سازمان‌ها برای ایجاد یک محیط “شبکه خانگی” برای کارکنان دورکار استفاده می‌کنند. سیستم‌های مختلف RDP ممکن است پروتکل‌های رمز عبور ضعیفی داشته باشند که می‌توانند با حملات جستجوی فراگیر شکسته شوند، یا مهاجمان می‌توانند از فیشینگ و مهندسی اجتماعی برای سرقت اطلاعات حساب کاربری از کارکنان و در ادامه نفوذ به سیستم و آغاز یک حمله باج‌افزار استفاده کنند.

 

چگونه از حملات باج‌افزار جلوگیری کنیم

جلوگیری از باج‌افزار نیازمند تلاش هماهنگ در سراسر طیف امنیت سایبری و کاربران سازمان است. برخی از استراتژی‌های محافظت اساسی شامل موارد زیر هستند:

• نگه‌داری وصله‌های نرم‌افزاری و درایورهای سخت‌افزار: آسیب‌پذیری‌های جدید دائماً کشف می‌شوند، بنابراین به‌روزرسانی منظم نرم‌افزارها و درایورهای سخت‌افزاری برای جلوگیری از باج‌افزار ضروری است.
• مقاوم‌سازی و به‌روزرسانی منظم سامانه‌ها: مهاجمان می‌توانند آسیب‌پذیرترین سامانه‌ها را شناسایی کنند تا بردارهای حمله خود را محدود کنند و شانس موفقیت خود را افزایش دهند. از این رو برای جلوگیری از این امر، باید تمام سامانه‌ها را مقاوم‌سازی نموده و به‌روز نگه داشت.
• غیرفعال کردن پورت‌ها و پروتکل‌های غیرضروری: هر مسیری که برای کسب‌وکار ضروری نیست نباید باز و قابل استفاده باشد، زیرا مهاجمان می‌توانند نقاط ورودی آسیب‌پذیر را استشمام و از آن سوءاستفاده کنند.
• آموزش فیشینگ: باید اطمینان حاصل نمود که تمام کارمندان نحوه تشخیص ایمیل‌ها یا مخاطبین مشکوک را می‌دانند.

 

پیشگیری از باج‌افزار با MFA مقاوم در برابر فیشینگ

با توجه به اینکه اکثریت حملات باج‌افزار از رمزهای عبور ضعیف و شیوه‌های احراز هویت با سطح امنیت پایین نشأت می‌گیرند، مهم‌ترین عنصر هر برنامه پیشگیری از باج‌افزار، اجرای احراز هویت چند عاملی قوی (MFA) است. برای پیشگیری مؤثر از باج‌افزار،MFA  سازمان باید مقاوم در برابر فیشینگ باشد، به‌ویژه برای راهبران و حساب‌های کاربری سطح بالا، که در صورت به خطر افتادن، پتانسیل افزایش قابل توجه یک حمله را دارند.

MFA  مقاوم در برابر فیشینگ برای پیشگیری از باج‌افزار حیاتی است زیرا اکثر روش‌های MFA می‌توانند توسط حملات مدرن شکست بخورند. رمزهای یک‌بار مصرف (OTP) و روش‌های احراز هویت پیام کوتاه را می‌توان با فیشینگ یا حملات مرد میانی (MitM) یا ترکیبی از هر دو، دور زد. امروزه بیش از 1200 جعبه‌ابزار فیشینگ و MitM در دسترس هستند که به مجرمان سایبری اجازه می‌دهند از MFA عبور کنند.

MFA  مقاوم در برابر فیشینگ کاملاً بدون رمز عبور است و مبتنی بر رمزنگاری کلید عمومی است؛ در هیچ مرحله‌ای از فرآیند احراز هویت اعتبارنامه یا رازها را به اشتراک نمی‌گذارد. کاربران هویت خود را از طریق روش‌های امن روی دستگاه مانند حسگرهای بیومتریک یا یک پین غیرمتمرکز تأیید می‌کنند.

به‌طور خاص، MFA  بدون رمز عبور مبتنی بر استاندارد FIDO (Fast IDentity Online) ، توسط آژانس امنیت ملی ایالات متحده (CISA) به‌عنوان استاندارد طلایی برای احراز هویت مقاوم در برابر فیشینگ در نظر گرفته شده است.

 

راهکار احراز هویت بدون رمز عبور نشانه، مقاوم در برابر فیشینگ

افزایش حجم و شدت حملات باج‌افزار، پیشگیری از باج‌افزار را به یک اولویت امنیتی برای صنایع در سراسر جهان تبدیل کرده است که منجر شده تا استفاده از یک راهکار احراز هویت بدون رمز عبور، برای امنیت سایبری مؤثر ضروری گردد. سازمان‌ها با اجرای MFA بدون رمز عبور مقاوم در برابر فیشینگ می‌توانند بخش عمده‌ای از سطح حمله باج‌افزار خود را از بین ببرند.

راهکار احراز هویت بدون رمز عبور نشانه با ارائه بالاترین سطح امنیت احراز هویت، حذف رمزهای عبور و مهم‌تر از همه، ایجاد یک فرآیند احراز هویت یکپارچه که صرفه‌جویی در زمان را نیز به دنبال خواهد داشت از اقدامات خطرناک کاربران جلوگیری نموده و بین امنیت عملیاتی و تجربه کاربری تعادل برقرار می‌کند. با حذف کامل رازهای مشترک به‌عنوان یک عامل احراز هویت و تبدیل دستگاه شخصی کاربران به توکن‌هایFIDO ، حملات باج‌افزار ناشی از فیشینگ می‌توانند در مبدا متوقف شوند.

تیم نشانه، آماده ارائه هر گونه کمک و اطلاعات بیشتر در خصوص مقاوم بودن راهکار نشانه در برابر فیشینگ و همچنین میزان ارتقا سطح امنیت سازمان‌ها و محافظت از آنها در برابر باج‌افزار است.

الزامات مهم احراز هویت در PCI DSS 4.0

استاندارد امنیت داده‌های کارت پرداخت (PCI DSS) برای محافظت از داده‌های کارت، در سالهای اخیر بروزرسانی شده به نسخه 4.0 رسیده است. این نسخه بیش از 60 الزام جدید یا به‌روز شده را معرفی می‌کند. از جمله مهم‌ترین آن‌ها، رمزهای عبور، احراز هویت چند عاملی (MFA) و احراز هویت بدون رمزعبور مبتنی بر FIDO است.

PCI DSS 4.0  چیست؟

استاندارد امنیت داده‌های کارت پرداخت (PCI DSS) که در سال 2004 معرفی شد، بر هر سازمانی که داده‌های دارنده کارت را ذخیره، پردازش یا انتقال می‌دهد، اعمال می‌شود. برای نشان دادن انطباق با PCI DSS، سازمان‌ها در تمام سیستم‌هایی که با محیط دارنده کارت تعامل دارند، ارزیابی می‌شوند.

در مارس 2022، شورا نسخه 4.0 PCI DSS را اعلام کرد که دستورالعمل‌هایی را برای بهبود امنیت داده‌های دارنده حساب و کارت پرداخت در چشم‌انداز تکامل یافته تهدیدات سایبری امروز ارائه می‌دهد. نسخه فعلی، PCI DSS 3.2.1، در مارس 2024 رسماً منسوخ خواهد شد و سازمان‌ها ملزم خواهند بود که دستورالعمل‌های نسخه جدید را به‌طور مرحله‌ای طی دوازده ماه اجرا کنند.

در حالی که نسخه 4.0 به‌طور کلی به‌روزرسانی‌هایی را ارائه می‌دهد، برخی از مهم‌ترین آن‌ها مربوط به الزامات احراز هویت قوی، به‌ویژه استفاده از رمز عبور و احراز هویت چند عاملی (MFA) هستند. شیوه‌های ضعیف احراز هویت، سازمان‌ها و داده‌ها را در برابر حملات فیشینگ و سایر حملات مرتبط با رمز عبور آسیب‌پذیر می‌کند. درک این الزامات جدید برای انطباق با PCI DSS ضروری است. پنج حوزه حیاتی و همچنین تأثیر بالقوه آن‌ها برای کسب‌وکارها، شامل موارد زیر خواهد بود.

1- الزامات رمز عبور PCI DSS 4.0

یکی از مهم‌ترین به‌روزرسانی‌ها در نسخه  PCI DSS 4.0شامل مشخصات دقیق‌تر در مورد رمزهای عبور است. الزامات اصلی رمز عبور PCI DSS 4.0 (بخش‌های 8.3.4-8.3.9) شامل موارد زیر است:

• طول و پیچیدگی: رمزهای عبور باید حداقل 12 کاراکتر طول داشته باشند و از کاراکترهای ویژه، حروف بزرگ و کوچک استفاده کنند.
• بازنشانی و استفاده مجدد: رمزهای عبور باید هر 90 روز بازنشانی شوند. استثناء در صورتی اعمال می‌شود که از احراز هویت مستمر مبتنی بر ریسک استفاده شود، جایی که وضعیت امنیتی حساب‌ها به صورت پویا تجزیه و تحلیل می‌شود و دسترسی در زمان واقعی بر این اساس تعیین می‌شود.
• محدودیت تلاش‌های ورود: طبق الزامات رمز عبور PCI DSS 4.0، پس از حداکثر 10 تلاش ناموفق ورود، کاربران باید حداقل برای 30 دقیقه یا تا زمانی که هویت خود را از طریق میز خدمت یا سایر روش‌ها تأیید کنند، قفل شوند.

رمزهای عبور طولانی‌تر برای کاربران سخت‌تر هستند و احتمال نوشتن آنها در جاهای مختلف و یا ذخیره به‌طور ناامن در فایل‌های روی یک دستگاه بیشتر است. به‌روزرسانی‌های اجباری نیز تمایل دارند رفتارهای ناامن کاربر را کاهش دهند، از این رو کمی به سمت سادگی سوق داده شده‌اند. علاوه بر این، همه این الزامات احتمالاً منجر به افزایش تماس‌های میز خدمت می‌شود. تحقیقات اخیر Forrester نشان می‌دهد که هزینه متوسط تماس با میز خدمت برای سازمان‌ها حدود 42 دلار در هر تماس است.

 

2- MFA الزامی برای تمام دسترسی‌ها به  CDE

طبق دستورالعمل‌های PCI DSS 3.2.1، MFA  فقط برای مدیرانی که به محیط داده‌های دارنده کارت (CDE) دسترسی دارند، الزامی بود. تحت قوانین جدید در بند 8.4.2 در خصوص احراز هویت چند عاملی (MFA)، تمام دسترسی‌ها به CDE باید با احراز هویت چند عاملی محدود شوند. الزامات MFA برای تمام انواع اجزای سیستم، از جمله سیستم‌های ابری و برنامه‌های محلی، دستگاه‌های امنیتی شبکه، ایستگاه‌های کاری، سرورها و نقاط انتهایی اعمال می‌شود.

احراز هویت چند عاملی به عنوان استفاده از دو عامل مستقل از دسته‌های زیر تعریف می‌شود:

• چیزی که می‌دانید، مانند رمز عبور.
• چیزی که دارید، مانند یک توکن سخت‌افزاری.
• چیزی که هستید، مانند یک عنصر بیومتریک.

نسخه 4.0 در راهنمای خود در مورد عوامل احراز هویت، به‌طور خاص می‌گوید که برای استفاده از توکن‌ها، کارت‌های هوشمند یا بیومتریک به‌عنوان عوامل احراز هویت، به استاندارد FIDO رجوع شود. در حالی که از اجباری نموددن الزام عوامل مبتنی بر FIDO کوتاه می‌آید، برخی از راهنمایی‌های دیگر آن، همانطور که در زیر مشاهده خواهید کرد، به یک ترجیح واضح اشاره می‌کند.

قوانین جدید روشن می‌کنند که هر بار که به CDE دسترسی پیدا می‌شود، باید از احراز هویت چند عاملی استفاده شود، حتی اگر کاربر قبلاً از MFA برای احراز هویت در شبکه تحت الزامات دسترسی از راه‌دور استفاده کرده باشد. این امر باعث ایجاد اصطکاک قابل توجهی برای کارکنان خواهد شد و پیامدهای بالقوه‌ای برای بهره‌وری و رضایت کارکنان خواهد داشت. علاوه بر این، اکثر سازمان‌ها، حتی اگر از نوعی MFA استفاده می‌کنند، فناوری یا سیستم‌های صحیح برای رسیدگی به الزام MFA برای دسکتاپ‌ها، ایستگاه‌های کاری و سرورها را ندارند.

 

3- PCI DSS اکنون MFA را برای تمام دسترسی‌های از راه‌دور الزامی می‌کند

قبلاً، MFA  برای دسترسی از راه‌دور به محیط داده‌های دارنده کارت الزامی بود. با این راهنمای به‌روز شده، هر کسی که از خارج از محیط شبکه امن شما وارد سیستم می‌شود، حتی اگر واقعاً به CDE دسترسی نداشته باشد، باید از احراز هویت چند عاملی استفاده کند. این شامل تمام کارمندان، هم کاربران و هم مدیران، و تمام اشخاص ثالث و فروشندگان می‌شود.

این همچنین بدان معنی است که هر دسترسی مبتنی بر وب باید از MFA استفاده کند، حتی اگر توسط کارمندان در محل سازمان استفاده شود.

در واقع این بدان معنی است که تمام نیروی کار شما که از راه‌دور، ترکیبی یا دارای نقش‌های حمایتی خارج از سازمان هستند، باید در تمام مواقع از MFA استفاده کنند. این همچنین بدان معنی است که هر کارمندی که از یک برنامه مبتنی بر وب برای دسترسی به شبکه‌ها و سیستم‌های شما استفاده می‌کند، باید از MFA استفاده کند، حتی اگر در محل سازمان باشد. علاوه بر هزینه و دردسرهای راه‌اندازی MFA، رویه‌های پیچیده آن می‌توانند تأثیر منفی بر بهره‌وری و رضایت کارکنان داشته باشند.

 

4- الزامات پیکربندی MFA در  PCI DSS

استاندارد جدید نه تنها مشخص می‌کند که چه کسی و در چه زمانی باید از MFA استفاده کند، بلکه همچنین دستورالعمل‌هایی را در مورد نحوه پیکربندی سیستم‌های MFA برای جلوگیری از سوء استفاده ارائه می‌دهد. بسیاری از راه‌حل‌های سنتی MFA در برابر حملات مرد میانی، بمباران فشار (Push Bombing) و سایر حملات که کنترل‌های MFA را دور می‌زنند، آسیب‌پذیر هستند. الزام 8.5 ضعف‌ها و پیکربندی‌های نادرست را برای ارزیابی انطباق با PCI مشخص می‌کند. این موارد عبارتند از:

• سیستم MFA شما نباید مستعد حملات تکرار (یا مرد میانی) باشد.
• MFA نباید قابل دور زدن باشد، مگر اینکه یک استثناء خاص مستند شده و توسط مدیریت مجاز باشد.
• راه‌حل MFA شما باید از دو عامل مختلف و مستقل برای احراز هویت استفاده کند.
• دسترسی نباید تا زمانی که تمام عوامل احراز هویت موفقیت‌آمیز باشند، اعطا شود.

همانطور که قبلا اشاره شد، راهنمای PCI DSS در مورد انواع عوامل احراز هویت به استاندارد FIDO اشاره می‌کند. احراز هویت FIDO مقاوم در برابر فیشینگ است، حملات تکرار را از بین می‌برد ذاتا چند عاملی است.

اگر راهکار MFA شما از SMS، OTP یا سایر روش‌های ناامن استفاده می‌کند، ممکن است با الزامات PCI مطابقت نداشته باشد.

 

5- پروتکل‌های رمزنگاری قوی

در حالی که نسخه‌های قبلی PCI DSS استفاده از پروتکل‌های رمزنگاری قوی برای محافظت از تراکنش‌ها و داده‌های دارنده کارت را الزامی می‌کرد،PCI DSS 4.0  این الزام رمزنگاری را گسترش نیز داده است. با قوانین جدید، هر داده احراز هویت حساس ذخیره شده (SAD) باید با استفاده از رمزنگاری قوی رمزگذاری شود.

با توجه به این الزام، اگر سیستم احراز هویت شما به درستی داده‌های احراز هویت را رمزگذاری و ذخیره نمی‌کند، ممکن است با الزامات PCI  مطابقت نداشته باشد.

 

انطباق با PCI DSS 4.0  با استفاده از راهکار احراز هویت نشانه

چارچوب جدید PCI DSS اکنون بسیار نزدیک‌تر با سایر دستورالعمل‌های هویت دیجیتال که از پذیرش MFA مقاوم در برابر فیشینگ مبتنی بر FIDO و یک رویکرد احراز هویت اعتماد صفر حمایت می‌کنند، همسو شده است.

راهکار احراز هویت نشانه، به سازمان‌ها کمک می‌کند تا با الزامات احراز هویت چندعاملی PCI DSS گنجانده شده در استاندارد انطباق پیدا نمایند. نشانه رویکرد سنتی مبتنی بر رمز عبور را با احراز هویت بدون رمز عبور امن جایگزین می‌کند که توسط FIDO تایید شده و بر اساس کلیدهای عبور (Passkey) است. عناصر اصلی راهکار نشانه، مانند ادغام احراز هویت بیومتریک، داشتن یک دستگاه قابل اعتماد و توکن‌های رمزنگاری ذخیره شده در TPM دستگاه، احراز هویت چند عاملی قوی و مقاوم در برابر فیشینگ را فراهم و مطابقت با الزامات PCI DSS را تضمین می‌کند.

در عین حال، نشانه تجربه کاربری را به طور قابل توجهی بهبود می‌بخشد، نیاز به رمزهای عبور طولانی و پیچیده را از بین برده و احراز هویت چند عاملی را تنها به یک حرکت ساده کاربران تبدیل می‌کند.

احراز هویت در صنعت مالی: حال و آینده

صنعت مالی و انواع خدمات آن، از بانکداری خرد تا بیمه، با چالش‌های مختلفی از مسیرهای مختلف مواجه است، از فشار رقابتی گرفته تا چشم‌انداز امنیتی و الزامات بالاستی در حال تغییر. این چالش‌ها باید به گونه‌ای برطرف شوند که تحول فناوری و کسب و کاری لازم را ارائه دهند. اما آیا این محیط چالش‌برانگیز می‌تواند محرک نوآوری باشد؟ آیا می‌تواند یک طرح چابک برای امنیت ایجاد نموده و مقاوم در برابر امنیت و آماده برای تغییر باشد؟ نقش احراز هویت در چنین فضایی چه خواهد بود؟

پیشینه صنعت مالی

چالش‌های پیش روی چشم‌انداز مدرن مالی بسیار و متنوع هستند، از فشارهای رقابتی گرفته تا قوانین دائما در حال تغییر. راه‌حل‌های رقابتی – که اغلب بر مجموعه کوچکی از برنامه‌ها یا خدمات برای کارکردهایی مانند احراز هویت، تمرکز دارند – اغلب منجر به فرآیندهای عملیاتی پیچیده و بازده ضعیف سرمایه‌گذاری می‌شوند.

اما آیا این چالش‌ها محرکی برای رویکرد مدرن‌تر در زمینه امنیت و احراز هویت هستند؟

فرصت‌ها در این حوزه نیز بسیار گسترده است. انعطاف‌پذیری و توانایی پاسخگویی به فشار رقابتی، یک معیار کلیدی برای یک نهاد موفق در حوزه خدمات مالی است. امّا چگونه می‌توان به این هدف دست یافت؟

امروزه امنیت دیگر به عنوان مانعی برای پیشرفت فنی دیده نمی‌شود. امنیت، زمانی که به صورت ماژولار و جداگانه اجرا شود، به سازمان‌ها اجازه می‌دهد تا در فرصت‌های بیشتری مشارکت کنند. این کار به پیشبرد همکاری، ادغام و به اشتراک‌گذاری داده‌ها برای کارمندان و مشتریان کمک می‌کند.

یک معماری امنیتی قوی و ماژولار، پایه و اساس کاهش ریسک و همچنین تعامل بهبود یافته را فراهم می‌کند و در نهایت درآمدزا خواهد بود.

وضعیت فعلی – در اعداد

فرصت تغییر و نیاز به استقرار یک معماری امنیتی مدرن، توسط چشم‌انداز تهدید در حال تکامل که اکنون در صنعت خدمات مالی وجود دارد، بیشتر احساس می‌شود. انواع کلاهبرداری‌ها، تصاحب حساب، اعتبارنامه‌های نقض شده و سوء استفاده از حساب‌های کاربری همه رایج و در حال افزایش هستند. تحقیق انجام شده توسط VansonBourne  بر روی 500 تصمیم‌گیرنده فناوری اطلاعات در صنعت خدمات مالی در اروپا و ایالات متحده، اطلاعات جالبی در خصوص چشم‌انداز تهدید در حال تکامل فعلی استخراج نموده است.

۸۰ درصد از افرادی که در نظرسنجی شرکت کردند، اعلام نمودند که یک نقض اخیر مربوط به ضعف احراز هویت وجود داشته است. هزینه میانگین مرتبط با نقض‌های مربوط به احراز هویت نیز حدود ۲.۱ میلیون دلار برآورد شده است که بسیار بالا بوده و به هیچ وجه نمی‌توان آن را نادیده گرفت.

طبق یافته‌ها، حملات فیشینگ و رهگیری پیام‌های کوتاه مربوط به یک‌بار رمزها در حال افزایش هستند و تهدید قابل توجهی برای ابزارهای احراز هویت چند عاملی موجود به حساب می‌آیند.

از این رو این سوال مطرح می‌شود که جایگزین مناسب چه خواهد بود؟ به نظر می‌رسد مؤلفه‌های احراز هویت موجود، ضعف اصلی برای ورود و ثبت‌نام کارمند و مشتری هستند. روند کلیدی فناوری که برای حل مشکلات کنونی برای بسیاری از مؤسسات مالی پدیدار شده است، احراز هویت بدون رمز عبور و حذف وابستگی به اسرار مشترک به طور کلی است.

همچنین یکی دیگر از نکات مهم تحقیق انجام شده، پاسخ به سوالی در خصوص مزایای احراز هویت بدون رمز عبور از ۵۰۰ تصمیم‌گیرنده فناوری اطلاعات مربوطه بوده که به صورت کلی با پاسخ بسیار واضح زیر مواجه شده است:

درگیری قبلی بین میزان امنیت و سادگی استفاده دیگر برای مصرف‌کننده امروزی قابل قبول نبوده و از نظر فنی نیز غیرقابل دستیابی نیست، زیرا این دو نگرانی به صورت همزمان به عنوان مزایای اصلی احراز هویت بدون رمز عبور دیده می‌شوند.

نقشه‌راه امنیتی

یک چشم‌انداز امنیتی مناسب باید بتواند برای پذیرش گسترده و پوشش فناوری‌های احراز هویت بدون رمز عبور، مناسب باشد. توانایی ارائه یکسان یک تجربه بدون رمز عبور به همکاران و مشتریان، بسیار مهم است. این کار ممکن است نیاز به ادغام گزینه‌های بدون رمز عبور در طیف وسیعی از سامانه‌های سازمان داشته باشد.

همچنین ممکن است نیاز به جایگزینی مؤلفه‌های MFA موجود مانند کلیدهای امنیتی یا روش‌های رمز عبور یک‌بار مصرف قدیمی، با شیوه‌های جدید و یا استفاده از آنها با روش‌هایی متفاوت داشته باشیم.

همانطور که بسیاری از سازمان‌های خدمات مالی اکنون از یک رویکرد اعتماد صفر برای معماری امنیتی استفاده می‌کنند، توانایی ارائه یک تجربه احراز هویت مبتنی بر FIDO “انتها به انتها” یک پایه امنیتی را فراهم می‌کند که آینده‌نگر و مبتنی بر استانداردها است.

از نقطه نظر کاربر نهایی، موارد استفاده کمی متفاوت هستند. شیوه‌های مدرن باید توانایی ثبت‌نام و ورود یکپارچه کاربر به صورت بسیار ساده را دارا باشند. همچنین در کاهش میزان حملات و کلاهبرداری‌ها و بهبود پذیرش کلی میزان استفاده نیز عملکرد خوبی داشته باشند.

نکات نهایی

اگرچه نهادهای مالی قرن‌ها در حال فعالیت هستند، اما همچنان در حال تکامل بوده و زیرساخت‌های دیجیتالی تحت حمله امروزی آنها نیز نیاز به تکامل دارند. با توجه به چشم‌اندازهای رقابتی و فناوری چالش‌برانگیز کنونی، فرصت ارائه یک بافت امنیتی مدرن و انعطاف‌پذیر گزینه‌ای است که نمی‌توان به سادگی از آن عبور کرد و آن را نادیده گرفت.

یک مؤلفه کلیدی این بافت امنیتی، نیاز به حذف رمزهای عبور از چشم‌انداز کاربران است. احراز هویت بدون رمز عبور می‌تواند ساختاری برای یک تجربه دیجیتال آینده‌نگر، ایمن و قابل استفاده برای بهبود جذب کاربر و کاهش پیچیدگی عملیاتی فراهم کند.

نشانه، راهکار احراز هویت بدون رمزعبور مبتنی بر استاندارد FIDO، که به صورت بومی توسط شرکت رهسا توسعه داده شده است، می‌تواند در این مسیر، به تمامی بانک‌ها، شرکت‌های بیمه‌ای و سایر موسسات مالی کمک نماید. تلاش ما، کمک به تمامی سازمان‌ها در راحت‌تر نمودن فرآیند استقرار یک راهکار بدون رمز عبور و تجربه شیرین امنیت و سادگی برای کاربران است.

مزایای احراز هویت FIDO برای سازمان‌ها

سیستم‌های مدیریت هویت و دسترسی (IAM) در حال تغییر هستند. زیرا هکرها روش‌هایشان را پیشرفته‌تر کرده و قانون‌ها هم برای حفاظت از اطلاعات کاربران سخت‌گیرانه‌تر می‌شوند. روش‌های قدیمی که از رمزهای عبور ساده استفاده می‌کنند، دیگر جوابگو نیستند. حتی روش‌های جدیدتر مثل احراز هویت دو مرحله‌ای با پیامک هم در حال کنار گذاشته شدن است. دنیای احراز هویت در حال حرکت به سمت روش‌های جدید و امن‌تری است. دیگر خبری از رمزهای عبور نبوده و به جای آنها، از روش‌هایی مثل اثر انگشت، تشخیص چهره و کلیدهای امنیتی استفاده می‌شود. چرا FIDO بسیار مهم است؟ چون این استاندارد، روش‌های احراز هویت را ساده‌تر، امن‌تر و قابل اطمینان‌تر نموده است. استاندارد  FIDO به جای رمزهای عبور از کلیدهای امنیتی استفاده می‌کند که هک کردن آنها بسیار سخت‌تر است.

FIDO  چیست؟

FIDO  مجموعه‌ای از استانداردهای باز احراز هویت است که توسط اتحاد FIDO توسعه یافته است. این اتحاد شامل شرکت‌های پیشرو در فناوری مانند اپل، گوگل، مایکروسافت، سازمان‌های مالی مانند Bank of America، مسترکارت و ویزا و سازمان‌های نظارتی مانند NIST است. مأموریت اعلام شده آن ایجاد استانداردهای احراز هویت است که به کاهش وابستگی جهان به رمزهای عبور کمک می‌کند.

FIDO  یک روش امن و مدرن برای ورود به حساب‌های آنلاین است که به جای رمز عبور از روش‌های قوی‌تر مثل اثر انگشت یا کلید امنیتی استفاده می‌کند.

مزایای FIDO برای سازمان‌ها

یکی از مزایای اصلی فرایند احراز هویت با FIDO، استفاده همزمان از عوامل مختلف مانند کلید و ویژگی‌های ذاتی همچون اثرانگشت است. این کار شرایط احراز هویت چند عاملی را بدون استفاده از رمزهای عبور و بدون ایجاد مزاحمت برای کاربر برآورده می‌کند.

مزایای دیگری نیز در استفاده از FIDO  برای احراز هویت وجود دارد، که از مهم‌ترین آن‌ها می‌توان به هشت مزیت زیر برای سازمان‌ها اشاره کرد.

1. احراز هویت بدون رمز عبور: حملات رمز عبور همچنان بزرگترین خطر برای فضای امنیت دیجیتال است. سرقت اطلاعات ورود به سامانه‌ها ریشه اصلی 80 درصد حملات وب و 50 درصد نقض‌های داده است. آنها همچنین سکوی پرتاب برای حملات دیگر مانند باج‌افزار نیز هستند. استفاده از یک راه‌حل احراز هویت بدون رمز عبور به طور قابل توجهی دفاع‌ها در این زمینه را تقویت و آسیب‌پذیری در برابر حملات فیشینگ و مهندسی اجتماعی را کاهش می‌دهد.
2. عدم وجود راز مشترکی: مشکل رازهای مشترک این است که بیش از یک طرف آنها را می‌داند و می‌تواند از آن استفاده کند. این امر در مورد رمزهای عبور و سایر MFAهای رایج مانند پیام کوتاه (SMS) و OTPها صدق می‌کند. یکی از مزایای احراز هویت FIDO و رمزنگاری کلید عمومی این است که راز حیاتی، کلید خصوصی کاربر، روی دستگاه او باقی می‌ماند. در نتیجه، هیچ راز مشترک سمت سروری برای سرقت وجود ندارد تا احتمال یک نقض موفق را افزایش دهد.
3. تأمین امنیت حریم خصوصی کاربر: از جمله مزایای رمزنگاری کلید عمومی FIDO این است که جفت کلیدهای عمومی و خصوصی مورد استفاده هیچ اطلاعات شخصی را ارائه نمی‌دهند. همچنین این کلیدها هیچ ارتباطی بین سرورها یا حساب‌های مختلف کاربر ایجاد نمی‌کنند. علاوه بر این، داده‌های بیومتریک مورد استفاده برای گشودن قفل کلید خصوصی هرگز دستگاه کاربر را ترک نمی‌کند و نمی‌توان آن را از سرورها یا از طریق حملات man-in-the-middle سرقت کرد.
4. انطباق با قوانین و الزامات بالادستی: احراز هویت ناامن خطر عدم انطباق با مقررات امنیت و حریم خصوصی را افزایش می‌دهد که می‌تواند منجر به جریمه، از دست دادن اعتماد عمومی و افزایش هزینه‌های کسب و کار شود. احراز هویت مبتنی بر FIDO با استانداردهای امنیت سایبری تعیین شده توسط سازمان‌های دولتی و صنعت مانند NIST 800-63B و PSD2 مطابقت دارد و حتی از آنها پیشی گرفته است. علاوه بر این، حمایت سازمان‌های بزرگ دنیا به آن جایگاه قوی در زمینه روش‌های پذیرفته شده برای برآورده کردن سایر الزامات نظارتی مانند PCI-DSS می‌دهد.
5. قابلیت همکاری: پروتکل FIDO توسط گروه بزرگی از سازمان‌های امنیتی، فناوری، موسسات مالی و نهادهای نظارتی توسعه و مدیریت می‌شود. تمام مشخصات به صورت رایگان برای بررسی و پیاده‌سازی در دسترس است. علاوه بر این، احراز هویت FIDO به عنوان یک استاندارد منبع باز می‌تواند بدون محدودیت با یک سیستم عامل، ارائه دهنده هویت (IdP) یا سرویس ورود یکپارچه (SSO) در تمام پلتفرم‌ها بدون مشکل کار کند. این به کاربران امکان می‌دهد تا تمام دستگاه‌ها و برنامه‌های کاربردی خود را با همان احراز هویت امن ادغام کنند.
6. راحتی کاربر: مزایای استفاده از احراز هویت FIDO نه تنها به سمت توسعه‌دهنده محدود نیست، بلکه به سمت کاربران نیز گسترش می‌یابد. فرآیند احراز هویت FIDO، احراز هویت چند عاملی ایمن را در یک حرکت ساده، مثل تایید یک اعلان، امکان‌پذیر می‌کند. طیف وسیعی از دستگاه‌ها و روش‌های موجود، مانند تلفن هوشمند و کلیدهای امنیتی، یک سیستم انعطاف‌پذیر ایجاد می‌کنند که می‌تواند نیازهای کاربران فردی و سازمانی را به سادگی برآورده کند.
7. مقیاس‌پذیری: یکی از چالش‌های اصلی برای گسترش پذیرش فرایندهای احراز هویت ایمن‌تر، هزینه و دشواری استقرار دارایی‌هایی مانند کلیدهای امنیتی یا حسگرهای بیومتریک است. از دیگر مزایای FIDO این است که چگونه به کاربران اجازه می‌دهد تا عوامل مورد نیاز احراز هویت را با استفاده از دستگاه‌های موجود و فعلی خود برآورده کنند. از این جمله می‌توان به تلفن همراه هوشمند، کارت شناسایی RFID یا NFC و هرگونه کلید سخت‌افزاری اشاره نمود. همچنین، سازگاری بین پلتفرم‌های FIDO، یک راه‌حل احراز هویت استاندارد را خیلی سریع در کل اکوسیستم سازمان قابل استقرار و مقیاس‌پذیر می‌کند.
8. کاهش هزینه‌ها: رمزهای عبور نه تنها خطر قابل توجهی برای سازمان ایجاد می‌کنند، بلکه یک هزینه مستقیم نیز هستند. یک گزارش تحقیقاتی از Verizon نشان می‌دهد که کارمندان 6-10 بار در سال به خاطر مشکلات رمز عبور با پشتیبانی فناوری اطلاعات سازمان تماس می‌گیرند. هزینه هر بازنشانی رمز عبور می‌تواند برای سازمان قابل توجه باشد. علاوه بر این، هزینه عدم ورود و در واقع عدم بهره‌وری در زمانی که کارمندان به دلیل فراموشی رمز عبور امکان ورود به سیستم‌های خود را ندارند نیز باید در نظر گرفت تا هزینه کامل وارده به سازمان محاسبه گردد. مزایای احراز هویت FIDO شامل حذف این هزینه‌ها و همچنین اختلال در کسب و کار و هزینه‌های پاسخگویی به حوادث مرتبط با حملات مبتنی بر رمزهای عبور است.

نشانه، راهکار احراز هویت بدون رمز عبور مبتنی بر FIDO است که در شرکت رهسا و به صورت کاملا بومی توسعه داده شده است. ما در تیم توسعه نشانه تلاش می‌کنیم با ارائه راهکاری کارامد، به صرفه و آسان، فرآیند کنار گذاشتن رمزهای عبور و مهاجرت به دنیای امن بدون رمزعبور را برای افراد و سازمان‌ها تسهیل کنیم. راهکار نشانه به گونه‌ای تهیه شده است تا تمامی مزایای تشریح شده را برای سازمان‌ها محقق گرداند. در این مسیر با معرفی نقاط ضعف روش‌های موجود احراز هویت، معرفی روش‌های جدید این حوزه و آخرین دستاوردهای آن و ارائه اطلاعات فنی به متخصصان، تلاش می‌نماییم تا نقشی هر چند کوچک در ارتقای دانش عمومی و سطح امنیت سرویس‌های داخلی داشته باشیم.