MFA و احراز هویت بدون گذرواژه
رمزهای عبور آسیبپذیرترین و مورد حملهترین بخش هر سامانه احراز هویت هستند. آنها نه تنها برای امنیت احراز هویت، بلکه برای وضعیت امنیتی کل سازمان خطر ایجاد میکنند. گزارش Verizon نشان میدهد که حدود 60 درصد از حملات موفق، به اعتبارنامهها مرتبط است. این موارد شامل فیشینگ، اعتبارنامههای سرقت شده و حملات brute-force است. مشکل اصلی گذرواژهها در امکان اشتراک آنها با چند نفر یا حتی بیشتر است. طبق گفته Darkreading، اکنون بیش از 24 میلیارد اعتبارنامه دزدی شده در بازارهای وب تاریک در گردش است. بسیاری از کارشناسان امنیت معتقدند که هکرها در واقع به سیستمها نفوذ نمیکنند، بلکه براحتی به آن وارد میشوند. تنها راه برای تغییر این الگو، حذف کامل رمزهای عبور از فرآیند احراز هویت است. اینجاست که رویکردهای احراز هویت بدون گذرواژه، به ویژه راهحلهای MFA مقاوم در برابر فیشینگ، برجسته میشوند. اما احراز هویت بدون گذرواژه چیست؟
بررسی اجمالی احراز هویت بدون گذرواژه
احراز هویت تک عاملی سنتی بر اثبات هویت با یک جفت نام کاربری و گذرواژه مبتنی است. احراز هویت چند عاملی (MFA) نیازمند یک یا چند عامل تأیید مستقل است. اینها میتوانند شامل آنچه میدانید (گذرواژه)، آنچه دارید (کلید امنیتی) یا آنچه هستید (ویژگی بیومتریک مانند اثر انگشت) باشد. در شیوههای MFA سنتی، این موارد معمولاً شامل یک گذرواژه به علاوه یک عامل دیگر است. احراز هویت بدون گذرواژه، از سوی دیگر، عامل گذرواژه را حذف و فقط از عوامل “دارایی” یا “ذاتی” استفاده میکند.
چرا احراز هویت بدون گذرواژه از MFA سنتی امنتر است؟
در حالی که MFA سنتی نسبت به گذرواژه ایمنتر است، مواردی متکی به SMS OTP به راحتی دور زده میشوند. احراز هویت بدون گذرواژه، اسرار مشترک را از فرآیند احراز هویت حذف میکند و بسیار ایمنتر از MFA سنتی است. شیوه MFA بدون گذرواژه مبتنی بر FIDO، استاندارد طلایی احراز هویت چندعاملی مقاوم در برابر فیشینگ است. نحوه عملکرد چنین شیوهای با استفاده از رمزنگاری کلید عمومی و برنامه کاربردی تلفن همراه، شامل مراحل زیر خواهد بود.
- کاربر فرآیند ورود را آغاز میکند.
- سیستم احراز هویت بدون گذرواژه عوامل شناسایی را از کاربر درخواست میکند.
- کاربر کلید خصوصی را با عامل مرتبط با احراز هویت بدون گذرواژه خود (مثلا اثر انگشت) باز میکند.
- در انتها سرور، از کلید عمومی مرتبط با کلید خصوصی کاربر، برای تأیید هویت امن او استفاده میشود.
- در صورت طی شدن درست مراحل، به کاربر اجازه ورود داده میشود.
همانطور که از فرآیند تشریح شده مشخص است، کاربر نیازی به ارائه چیزی جز کلید امنیتی یا اثرانگشت خود ندارد. کاربر بدون به خاطر سپردن یا به اشتراک گذاشتن یک رمز عبور، امکان احراز هویت خواهد داشت. به دلیل پیچیدگی رمزنگاری کلید عمومی، هیچ راز یا اعتبارنامهای با شنود یا در حملات man-in-the-middle سرقت نمیشود. و البته، یک هکر نمیتواند با حدس زدن یا فیشینگ یک رمز عبور به یک حساب دسترسی پیدا کند. فراوانی حسگرهای بیومتریک نیز به معنی فراهم بودن این راهکار به راحتی برای همه افراد و سازمانها خواهد بود.
تغییر پارادایم امنیتی: آیا احراز هویت بدون رمز عبور ایمن است؟
با وجود تایید متخصصان امنیت و موسساتی همچون NIST، راهکارهای بدون رمزعبور همچنان سرعت پذیرش بالایی ندارند. سازمانها اغلب میپرسند، احراز هویت بدون گذرواژه چه چیزی را میتواند ارائه دهد که سایر شیوههای MFA نمیتوانند. حذف گذرواژه، مشکل اصلی سیستمهای احراز هویت را رفع و تأثیر مثبت بر امنیت و عملیات سازمان میگذارد. اول و مهمتر از همه، با حذف بزرگترین عامل حمله، به طور خودکار امنیت سازمانی را بهبود میبخشد.
مایکروسافت بیش از 300 میلیون تلاش ناموفق ورود به سامانهها را در روز به محصولات مختلف خود گزارش میدهد. این شرکت بیان میکند که شیوههای بدون رمز عبور مبتنی بر بیومتریک، 99 درصد حملات حسابهای کاربری را مسدود میکند. با افزایش مقررات ایمنی دادهها در جهان، استقرار MFA بدون گذرواژه همچنین به سازمانها برای انطباق با قوانین کمک میکند. مزایای دیگر شامل کاهش هزینههای بازنشانی رمز عبور است. طبق گزارش Forrester، هزینه هر بازنشانی رمز عبور، در میانگین جهانی حدود 45 دلار است. احراز هویت بدون گذرواژه همچنین میتواند تجربه کاربر را سادهتر کرده و بهرهوری را افزایش دهد.
حرکت به سوی دنیای بدون گذرواژه با نشانه
احراز هویت بدون رمز عبور با حذف ضعیفترین حلقه این فرآیند، امنیت را برای کاربران، سیستمها و سازمانها بهبود میبخشد. راهکار احراز هویت بدون رمزعبور نشانه، امنیت احراز هویت شما را افزایش و بهرهوری و پذیرش کاربران را بهبود میبخشد. با رمزنگاری کلید عمومی و پایبندی به FIDO، راهکار نشانه حذف اسرار مشترک از فرآیند احراز هویت را تضمین میکند.
راهکار احراز هویت نشانه، یک فرآیند یکپارچه برای ورود بدون رمزعبور برای تمامی سامانههای سازمان فراهم میکند. این راهکار، امنیت را به سازمان و تجربه کاربری زیبایی را به کاربران ارائه میدهد. تیم نشانه، آماده ارائه کمک و راهنمایی برای هموار نمودن مسیر حرکت سازمانها به سمت دنیای بدون گذرواژه است. برای رهایی از تمامی تهدیدات رمزهای عبور، همین امروز حرکت خود را آغاز نمایید.
محیط اعتماد (Zero Trust) صفر چیست؟
در دنیای امنیت سایبری، اصطلاحات مد روز زیادی وجود دارد و یکی از پرکاربردترین آنها “اعتماد صفر” است. اما دقیقاً “اعتماد صفر” چیست و چرا اینقدر در گفتگوهای امنیت سایبری برجسته شده است؟ اعتماد صفر (Zero Trust) یک مفهوم امنیت سایبری با رویکرد “هرگز اعتماد نکنید، همیشه بررسی کنید” در دسترسی به شبکه است. محقق امنیت جیمز کیندرواگ این عبارت را در سال 2010 برای معرفی یک رویکرد جدیتر به یک تهدید رو به رشد ابداع کرد.
ایجاد یک محیط Zero Trust فرض میکند که همه کاربران و دستگاهها، چه از داخل یا خارج از شبکه، تا زمانی که بررسی و تایید نشوند، غیرقابل اعتماد هستند. اعتماد صفر با پارادایم امنیت سایبری “دفاع در عمق” متفاوت است که به دنبال محافظت از دادهها از طریق لایههای متعدد موانع است. بسیاری از هکرها از بهرهبرداری از نقصهای سیستم، مانند پورتهای باز یا درهای پشتی فراموش شده، فاصله گرفتهاند و در عوض سعی میکنند از طریق احراز هویت تقلبی وارد سازمان شوند. متأسفانه، این کار بلافاصله دسترسی قابل توجهی به دادهها و فرصتی برای تشدید حمله در داخل سیستم ارائه میدهد.
چرا ایجاد یک محیط اعتماد صفر ضروری است؟
در حالی که حملات پیچیده از نظر عموم مردم گستردهتر و غالب است، اما واقعیت نقضهای امنیتی مدرن بسیار سادهتر است. در اصل، مهاجمان از بسیاری از افراد میخواهند که اطلاعات ورود به سامانه خود را به آنها بدهند و وقتی کسی این کار را انجام داد، به حساب آنها دسترسی پیدا میکنند و از آن برای سرقت دادهها یا آپلود بدافزار استفاده میکنند. البته، “درخواست اطلاعات ورود” خیلی هم ساده نیست. فیشینگ، حمله غالب احراز هویت، میتواند به عنوان مثال از صفحات وب جعلی برای شبیهسازی صفحات ورود معتبر استفاده کند، بنابراین قربانیان فکر میکنند جزئیات خود را در یک صفحه معتبر وارد میکنند.
با شبکههای گسترده امروزی و نقاط انتهایی بسیار در شبکههای اکثر سازمانها، رویکرد “محیط امن” دیگر امکانپذیر نیست. بنابراین، پس از حملات عمده به زیرساختهای حیاتی ایالات متحده، کاخ سفید در ماه مه 2021 یک فرمان اجرایی صادر کرد که تمام آژانسهای فدرال را ملزم به اتخاذ معماری اعتماد صفر کرد. اندکی پس از آن، دفتر مدیریت و بودجه (OMB) سند استراتژی Zero Trust فدرال را برای راهنمایی بخشها و پیمانکاران صادر کرد.
کاهش ریسک دلیل دیگری برای استقرار معماری اعتماد صفر است. با معرفی قوانین سختگیرانه استفاده و حفاظت از دادهها در بسیاری از حوزههای قضایی، مانند GDPR و تنظیم مقررات سایبری NYDFS، حملات موفق میتوانند منجر به جریمه، توبیخ عمومی، هزینههای پاکسازی و از دست دادن اعتماد مصرفکننده شوند.
ویژگیهای اعتماد صفر
اعتماد صفر یک روششناسی و رویکرد کلی امنیت سایبری است، نه یک تغییر واحد یا راهحل جادویی برای محافظت از دادهها. سوال “اعتماد صفر چیست” را میتوان با نگاهی به ویژگیهای اصلی آن پاسخ داد.
1- احراز هویت مداوم
با هدف قرار دادن کوکیهای نشست توسط حملات و پتانسیل یک ورود موفق تقلبی، انجام احراز هویت کاربران به صورت مداوم یک ضرورت است.
2- احراز هویت چند عاملی (MFA) مقاوم در برابر فیشینگ
به طور کلی، احراز هویت چند عاملی (MFA) یک پیشرفت نسبت به استفاده از نام کاربری و رمز عبور است. با این حال، هر MFA که از رازهای مشترک (از جمله پینها، پیامهای کوتاه، سوالات امنیتی، OTPها) استفاده میکند، همچنان میتواند توسط مهاجمان فیشینگ یا رهگیری شود. این کار تأثیر احراز هویت مداوم و نقش احراز هویت به عنوان محافظ اصلی اعتماد صفر را نفی میکند. به همین دلیل است که راهنمایی OMB آژانسهای فدرال را تشویق میکند تا “استفاده بیشتر از احراز هویت چند عاملی بدون رمز عبور” را دنبال کنند که به طور طبیعی نمیتوان آن را فیشینگ کرد.
3- دسترسی بر اساس حداقل امتیاز
اگرچه این مفهوم منحصر به Zero Trust نیست، اما یک استاندارد حداقل به جای بهترین عمل است. دسترسی حداقل امتیاز به این معنی است که به هر کاربر فقط حداقل دسترسی مطلق لازم برای انجام نقش خود اعطا میشود. دسترسیهای همپوشانی اغلب میتوانند باعث شوند که حسابهای کاربری امتیازاتی را برای بخشها و دادههایی که از نقش آنها بسیار دور هستند یا هرگز استفاده نمیشوند در اختیار داشته باشند که میتواند مهاجمان را هنگام تصاحب حساب از آنها بهرهمند کند.
4- ریزتقسیمبندی (Micro-segmentation)
مانند دسترسی حداقل امتیاز، ریز تقسیمبندی شبکه شامل قرار دادن موانع سخت بین دادهها و مناطق سازمان است. این بدان معنی است که هر مهاجمی باید چندین نقطه دسترسی را نقض کند تا دسترسی گسترده و کافی برای یک حمله موفقیتآمیز داشته باشد. فهرستبندی دادههای مدرن (Date Cataloging) و مجازیسازی به راهبران اجازه میدهد تا مشکلات سیلوبندی که ممکن است قبلاً توسط ریز تقسیمبندی ایجاد شده بود را برطرف کنند.
اعتماد صفر چگونه پیادهسازی میشود؟
راهنمایی در مورد اجرای اعتماد صفر را میتوان در نشریه 800-207 مؤسسه ملی استانداردها و فناوری (NIST) یافت. این کار شامل اصول اساسی همانند موارد زیر است.
- در نظر گرفتن تمام خدمات محاسباتی و دادهها به عنوان منابع
- ایمنسازی تمام ارتباطات شبکه صرف نظر از مکان مبدا
- حفظ سوابق کامل و مداوم از تمام داراییها و مکانهای داده
- احراز هویت پویا و سختگیرانه
بنابراین، یک معماری Zero Trust نیازمند اتخاذ یک رویکرد کاربرمحور با مکانیزمهای حفاظتی متعدد در هر مرحله از مسیر یک کاربر در شبکه است. همچنین به سیستمهای مدیریت هویت و دسترسی قوی نیاز دارد که میتوان به آنها به عنوان دروازهبان و منبع اصلی برای اثبات هویت کاربران اعتماد کرد. تنها راهی که میتوان به طور قابل اعتماد به چنین سیستم مدیریت هویتی دست یافت، استفاده ازMFA مقاوم در برابر فیشینگ است که با راهکارهای بدون رمز عبور محقق میشود.
همراهی با شما برای ایجاد یک محیط اعتماد صفر
یک محیط اعتماد صفر مؤثر به یک سیستم احراز هویت نیاز دارد که بتوان بر آن تکیه کرد تا یک نقطه ورود محکم و قوی تشکیل دهد. راهکارهای ورود بدون رمز عبور با حذف گذرواژهها و سایر اعتبارنامههای مشترک، ضعیفترین حلقهها در هر سیستم احراز هویت و به صورت کلی ضعیفترین موانع در ایجاد یک محیط Zero Trust را از بین میبرند. تمامی راهنماهای جهانی برای راهاندازی محیطهای اعتماد صفر نیز به استفاده از راهکارهای احراز هویت بدون رمز عبور مبتنی بر استاندارد FIDO به عنوان یک استاندارد طلایی اشاره دارند.
راهکار احراز هویت بدون رمز عبور نشانه، محصول شرکت رهسا (رهآورد سامانههای امن) که مبتنی بر استاندارد FIDO توسعه داده شده است، بهترین نقطه شروع برای ایجاد یک محیط اعتماد صفر است. تیم نشانه تلاش دارد، تا با کمک به سازمانهای داخلی، روند حرکت به سمت حذف رمزهای عبور و تحقق یک محیط Zero Trust واقعی را بسیار کوتاهتر و سادهتر نماید. متخصصان ما، آماده ارائه هرگونه راهنمایی در این زمینه به سازمانها در تمامی حوزهها هستند.
مقابله در برابر باجافزارها با حذف رمزهای عبور
باجافزار یک تهدید رو به رشد برای امنیت سایبری جهانی است. به گونهای که نهادهای امنیتی بزرگ دنیا همچون CISA، هشدارهای متعددی در سالهای اخیر برای چگونگی دفاع در برابر آن صادر کردهاند. حملات باجافزار در سال 2023 به میزان 105% رشد داشته و از سال 2019 تاکنون تقریبا 232% افزایش یافته است. در سالهای اخیر، سازمانها در مقیاسهای مختلف با حملات باجافزاری فلج شدهاند. از مشاغل بزرگ همچون کل سیستمهای بهداشتی انگلستان گرفته تا خاموشی و قطع تمامی سرویسها در شهری همچون بالتیمور. یک حمله موفقیتآمیز باجافزار بر یک سازمان در چندین جبهه از جمله موارد زیر تأثیر منفی میگذارد:
- از دست دادن دادهها به صورت موقت یا حتی دائم
- سرقت و انتشار سوابق خصوصی
- هزینههای مستقیم پرداخت باج
- تعطیلی موقتی کسب و کار شامل از دست دادن فرصتهای فروش
- هزینههای عملیات پاکسازی فناوری اطلاعات
- اعتماد آسیبدیده از سوی مصرفکنندگان
- جریمههای نظارتی احتمالی
با چنین پیامدهای عمدهای از حملات باجافزار، مهم است که سازمانها نحوه وقوع آنها را تشخیص داده و نحوه جلوگیری از آنها را بدانند.
نحوه اجرای حملات باجافزار
هکرها از دو روش اصلی برای راهاندازی یک حمله باجافزار بر روی یک سازمان استفاده میکنند. دانستن این روشهای حمله برای درک نحوه جلوگیری از حملات باجافزار ضروری است. در روش اول، مهاجمان از آسیبپذیریهای امنیتی برای ورود به یک سیستم و در نهایت استقرار باجافزار استفاده میکنند. این موارد میتواند شامل یک آسیبپذیری وصله نشده، یک سیستم بهروز نشده و یا سیستمهای بدون پشتیبانی باشد. به عنوان مثال، بسیاری از مشاغل همچنان از ماشینهایی با سیستم عامل ویندوز 7 استفاده میکنند. با توجه به توقف بهروزرسانیهای امنیتی مایکروسافت، چنین مشاغلی در معرض خطر جدی هستند.
متأسفانه، جلوگیری از این نوع حملات همیشه تحت کنترل سازمان نیست. زیرا حمله میتواند از یک نقص روز صفر (Zero Day) جدید سوءاستفاده کند که فروشندگان نرمافزارها نیز از آن خبر ندارند. از این رو نمیتوان آن را توسط اقدامات امنیتی مانند ضدبدافزارها تشخیص داد.
حالت دوم (و تاکنون رایجترین مسیر دسترسی برای باجافزار) از رمزهای عبور یا اعتبارنامههای به خطر افتاده استفاده میکند. روشهای اصلی بدین منظور که رمزهای عبور سرقت شده در آنها منجر به حملات موفقیتآمیز میشوند، شامل موارد زیر میباشند.
حمله جستجوی فراگیر (Brute force) و انباشت اعتبارنامهها (Credential Stuffing): حملات جستجوی فراگیر و یا انباشت اعتبارنامهها از لیستهای رمزهای عبور سرقت شده از نقضهای داده قبلی، و یا مجموعه کامل قابل حدس استفاده میکنند و آنها را به طور متوالی امتحان میکنند تا زمانی که با استفاده از آنها وارد یک سیستم شوند. آنها اغلب ابزارهای خودکار و باتنتهایی را به کار میگیرند که به آنها اجازه میدهد از مکانیزمهای مسدودکنندهای که برای جلوگیری از چندین تلاش ناموفق ورود به سیستم طراحی شدهاند، فرار کنند. پس از دسترسی، مهاجم در شبکه بهطور جانبی حرکت میکند و سطح دسترسی را افزایش میدهد تا زمانی که بتواند محموله باجافزار را مستقر نماید.
فیشینگ: یافتن سوءاستفادهها یا آسیبپذیریهای پنهان در کد میتواند دشوار و زمانبر باشد، اما ارسال یک لینک و دریافت رمز عبور کاربر از خود او، بسیار آسانتر است. حملات فیشینگ میتوانند به بسیاری از افراد یا بهطور مستقیمتر بر اهداف با ارزش بالا و دسترسی ممتاز (فیشینگ نیزهای) متمرکز شوند. پس از اینکه مهاجم اعتبارنامههای ورود به سیستم به خطر افتاده را در اختیار گرفت، میتواند به عنوان یک کاربر تأیید شده به سیستم دسترسی پیدا کند و بسته به سطح دسترسی کاربر، شروع به بارگزاری بدافزار نماید.
حملات RDP: تغییر قابل توجه به کار از خانه از آغاز همهگیری کرونا، منجر به تمرکز متناسب مهاجمان بر پروتکلهای راهدور (RDP) شده است، یعنی آنچه سازمانها برای ایجاد یک محیط “شبکه خانگی” برای کارکنان دورکار استفاده میکنند. سیستمهای مختلف RDP ممکن است پروتکلهای رمز عبور ضعیفی داشته باشند که میتوانند با حملات جستجوی فراگیر شکسته شوند، یا مهاجمان میتوانند از فیشینگ و مهندسی اجتماعی برای سرقت اطلاعات حساب کاربری از کارکنان و در ادامه نفوذ به سیستم و آغاز یک حمله باجافزار استفاده کنند.
چگونه از حملات باجافزار جلوگیری کنیم
جلوگیری از باجافزار نیازمند تلاش هماهنگ در سراسر طیف امنیت سایبری و کاربران سازمان است. برخی از استراتژیهای محافظت اساسی شامل موارد زیر هستند:
- نگهداری وصلههای نرمافزاری و درایورهای سختافزار: آسیبپذیریهای جدید دائماً کشف میشوند، بنابراین بهروزرسانی منظم نرمافزارها و درایورهای سختافزاری برای جلوگیری از باجافزار ضروری است.
- مقاومسازی و بهروزرسانی منظم سامانهها: مهاجمان میتوانند آسیبپذیرترین سامانهها را شناسایی کنند تا بردارهای حمله خود را محدود کنند و شانس موفقیت خود را افزایش دهند. از این رو برای جلوگیری از این امر، باید تمام سامانهها را مقاومسازی نموده و بهروز نگه داشت.
- غیرفعال کردن پورتها و پروتکلهای غیرضروری: هر مسیری که برای کسبوکار ضروری نیست نباید باز و قابل استفاده باشد، زیرا مهاجمان میتوانند نقاط ورودی آسیبپذیر را استشمام و از آن سوءاستفاده کنند.
- آموزش فیشینگ: باید اطمینان حاصل نمود که تمام کارمندان نحوه تشخیص ایمیلها یا مخاطبین مشکوک را میدانند.
پیشگیری از باجافزار با MFA مقاوم در برابر فیشینگ
با توجه به اینکه اکثریت حملات باجافزار از رمزهای عبور ضعیف و شیوههای احراز هویت با سطح امنیت پایین نشأت میگیرند، مهمترین عنصر هر برنامه پیشگیری از باجافزار، اجرای احراز هویت چند عاملی قوی (MFA) است. برای پیشگیری مؤثر از باجافزار،MFA سازمان باید مقاوم در برابر فیشینگ باشد، بهویژه برای راهبران و حسابهای کاربری سطح بالا، که در صورت به خطر افتادن، پتانسیل افزایش قابل توجه یک حمله را دارند.
MFA مقاوم در برابر فیشینگ برای پیشگیری از باجافزار حیاتی است زیرا اکثر روشهای MFA میتوانند توسط حملات مدرن شکست بخورند. رمزهای یکبار مصرف (OTP) و روشهای احراز هویت پیام کوتاه را میتوان با فیشینگ یا حملات مرد میانی (MitM) یا ترکیبی از هر دو، دور زد. امروزه بیش از 1200 جعبهابزار فیشینگ و MitM در دسترس هستند که به مجرمان سایبری اجازه میدهند از MFA عبور کنند.
MFA مقاوم در برابر فیشینگ کاملاً بدون رمز عبور است و مبتنی بر رمزنگاری کلید عمومی است؛ در هیچ مرحلهای از فرآیند احراز هویت اعتبارنامه یا رازها را به اشتراک نمیگذارد. کاربران هویت خود را از طریق روشهای امن روی دستگاه مانند حسگرهای بیومتریک یا یک پین غیرمتمرکز تأیید میکنند.
بهطور خاص، MFA بدون رمز عبور مبتنی بر استاندارد FIDO (Fast IDentity Online) ، توسط آژانس امنیت ملی ایالات متحده (CISA) بهعنوان استاندارد طلایی برای احراز هویت مقاوم در برابر فیشینگ در نظر گرفته شده است.
راهکار احراز هویت بدون رمز عبور نشانه، مقاوم در برابر فیشینگ
افزایش حجم و شدت حملات باجافزار، پیشگیری از باجافزار را به یک اولویت امنیتی برای صنایع در سراسر جهان تبدیل کرده است که منجر شده تا استفاده از یک راهکار احراز هویت بدون رمز عبور، برای امنیت سایبری مؤثر ضروری گردد. سازمانها با اجرای MFA بدون رمز عبور مقاوم در برابر فیشینگ میتوانند بخش عمدهای از سطح حمله باجافزار خود را از بین ببرند.
راهکار احراز هویت بدون رمز عبور نشانه با ارائه بالاترین سطح امنیت احراز هویت، حذف رمزهای عبور و مهمتر از همه، ایجاد یک فرآیند احراز هویت یکپارچه که صرفهجویی در زمان را نیز به دنبال خواهد داشت از اقدامات خطرناک کاربران جلوگیری نموده و بین امنیت عملیاتی و تجربه کاربری تعادل برقرار میکند. با حذف کامل رازهای مشترک بهعنوان یک عامل احراز هویت و تبدیل دستگاه شخصی کاربران به توکنهایFIDO ، حملات باجافزار ناشی از فیشینگ میتوانند در مبدا متوقف شوند.
تیم نشانه، آماده ارائه هر گونه کمک و اطلاعات بیشتر در خصوص مقاوم بودن راهکار نشانه در برابر فیشینگ و همچنین میزان ارتقا سطح امنیت سازمانها و محافظت از آنها در برابر باجافزار است.
الزامات مهم احراز هویت در PCI DSS 4.0
استاندارد امنیت دادههای کارت پرداخت (PCI DSS) برای محافظت از دادههای کارت، در سالهای اخیر بروزرسانی شده به نسخه 4.0 رسیده است. این نسخه بیش از 60 الزام جدید یا بهروز شده را معرفی میکند. از جمله مهمترین آنها، رمزهای عبور، احراز هویت چند عاملی (MFA) و احراز هویت بدون رمزعبور مبتنی بر FIDO است.
PCI DSS 4.0 چیست؟
استاندارد امنیت دادههای کارت پرداخت (PCI DSS) که در سال 2004 معرفی شد، بر هر سازمانی که دادههای دارنده کارت را ذخیره، پردازش یا انتقال میدهد، اعمال میشود. برای نشان دادن انطباق با PCI DSS، سازمانها در تمام سیستمهایی که با محیط دارنده کارت تعامل دارند، ارزیابی میشوند.
در مارس 2022، شورا نسخه 4.0 PCI DSS را اعلام کرد که دستورالعملهایی را برای بهبود امنیت دادههای دارنده حساب و کارت پرداخت در چشمانداز تکامل یافته تهدیدات سایبری امروز ارائه میدهد. نسخه فعلی، PCI DSS 3.2.1، در مارس 2024 رسماً منسوخ خواهد شد و سازمانها ملزم خواهند بود که دستورالعملهای نسخه جدید را بهطور مرحلهای طی دوازده ماه اجرا کنند.
در حالی که نسخه 4.0 بهطور کلی بهروزرسانیهایی را ارائه میدهد، برخی از مهمترین آنها مربوط به الزامات احراز هویت قوی، بهویژه استفاده از رمز عبور و احراز هویت چند عاملی (MFA) هستند. شیوههای ضعیف احراز هویت، سازمانها و دادهها را در برابر حملات فیشینگ و سایر حملات مرتبط با رمز عبور آسیبپذیر میکند. درک این الزامات جدید برای انطباق با PCI DSS ضروری است. پنج حوزه حیاتی و همچنین تأثیر بالقوه آنها برای کسبوکارها، شامل موارد زیر خواهد بود.
1- الزامات رمز عبور PCI DSS 4.0
یکی از مهمترین بهروزرسانیها در نسخه PCI DSS 4.0شامل مشخصات دقیقتر در مورد رمزهای عبور است. الزامات اصلی رمز عبور PCI DSS 4.0 (بخشهای 8.3.4-8.3.9) شامل موارد زیر است:
- طول و پیچیدگی: رمزهای عبور باید حداقل 12 کاراکتر طول داشته باشند و از کاراکترهای ویژه، حروف بزرگ و کوچک استفاده کنند.
- بازنشانی و استفاده مجدد: رمزهای عبور باید هر 90 روز بازنشانی شوند. استثناء در صورتی اعمال میشود که از احراز هویت مستمر مبتنی بر ریسک استفاده شود، جایی که وضعیت امنیتی حسابها به صورت پویا تجزیه و تحلیل میشود و دسترسی در زمان واقعی بر این اساس تعیین میشود.
- محدودیت تلاشهای ورود: طبق الزامات رمز عبور PCI DSS 4.0، پس از حداکثر 10 تلاش ناموفق ورود، کاربران باید حداقل برای 30 دقیقه یا تا زمانی که هویت خود را از طریق میز خدمت یا سایر روشها تأیید کنند، قفل شوند.
رمزهای عبور طولانیتر برای کاربران سختتر هستند و احتمال نوشتن آنها در جاهای مختلف و یا ذخیره بهطور ناامن در فایلهای روی یک دستگاه بیشتر است. بهروزرسانیهای اجباری نیز تمایل دارند رفتارهای ناامن کاربر را کاهش دهند، از این رو کمی به سمت سادگی سوق داده شدهاند. علاوه بر این، همه این الزامات احتمالاً منجر به افزایش تماسهای میز خدمت میشود. تحقیقات اخیر Forrester نشان میدهد که هزینه متوسط تماس با میز خدمت برای سازمانها حدود 42 دلار در هر تماس است.
2- MFA الزامی برای تمام دسترسیها به CDE
طبق دستورالعملهای PCI DSS 3.2.1، MFA فقط برای مدیرانی که به محیط دادههای دارنده کارت (CDE) دسترسی دارند، الزامی بود. تحت قوانین جدید در بند 8.4.2 در خصوص احراز هویت چند عاملی (MFA)، تمام دسترسیها به CDE باید با احراز هویت چند عاملی محدود شوند. الزامات MFA برای تمام انواع اجزای سیستم، از جمله سیستمهای ابری و برنامههای محلی، دستگاههای امنیتی شبکه، ایستگاههای کاری، سرورها و نقاط انتهایی اعمال میشود.
احراز هویت چند عاملی به عنوان استفاده از دو عامل مستقل از دستههای زیر تعریف میشود:
- چیزی که میدانید، مانند رمز عبور.
- چیزی که دارید، مانند یک توکن سختافزاری.
- چیزی که هستید، مانند یک عنصر بیومتریک.
نسخه 4.0 در راهنمای خود در مورد عوامل احراز هویت، بهطور خاص میگوید که برای استفاده از توکنها، کارتهای هوشمند یا بیومتریک بهعنوان عوامل احراز هویت، به استاندارد FIDO رجوع شود. در حالی که از اجباری نموددن الزام عوامل مبتنی بر FIDO کوتاه میآید، برخی از راهنماییهای دیگر آن، همانطور که در زیر مشاهده خواهید کرد، به یک ترجیح واضح اشاره میکند.
قوانین جدید روشن میکنند که هر بار که به CDE دسترسی پیدا میشود، باید از احراز هویت چند عاملی استفاده شود، حتی اگر کاربر قبلاً از MFA برای احراز هویت در شبکه تحت الزامات دسترسی از راهدور استفاده کرده باشد. این امر باعث ایجاد اصطکاک قابل توجهی برای کارکنان خواهد شد و پیامدهای بالقوهای برای بهرهوری و رضایت کارکنان خواهد داشت. علاوه بر این، اکثر سازمانها، حتی اگر از نوعی MFA استفاده میکنند، فناوری یا سیستمهای صحیح برای رسیدگی به الزام MFA برای دسکتاپها، ایستگاههای کاری و سرورها را ندارند.
3- PCI DSS اکنون MFA را برای تمام دسترسیهای از راهدور الزامی میکند
قبلاً، MFA برای دسترسی از راهدور به محیط دادههای دارنده کارت الزامی بود. با این راهنمای بهروز شده، هر کسی که از خارج از محیط شبکه امن شما وارد سیستم میشود، حتی اگر واقعاً به CDE دسترسی نداشته باشد، باید از احراز هویت چند عاملی استفاده کند. این شامل تمام کارمندان، هم کاربران و هم مدیران، و تمام اشخاص ثالث و فروشندگان میشود.
این همچنین بدان معنی است که هر دسترسی مبتنی بر وب باید از MFA استفاده کند، حتی اگر توسط کارمندان در محل سازمان استفاده شود.
در واقع این بدان معنی است که تمام نیروی کار شما که از راهدور، ترکیبی یا دارای نقشهای حمایتی خارج از سازمان هستند، باید در تمام مواقع از MFA استفاده کنند. این همچنین بدان معنی است که هر کارمندی که از یک برنامه مبتنی بر وب برای دسترسی به شبکهها و سیستمهای شما استفاده میکند، باید از MFA استفاده کند، حتی اگر در محل سازمان باشد. علاوه بر هزینه و دردسرهای راهاندازی MFA، رویههای پیچیده آن میتوانند تأثیر منفی بر بهرهوری و رضایت کارکنان داشته باشند.
4- الزامات پیکربندی MFA در PCI DSS
استاندارد جدید نه تنها مشخص میکند که چه کسی و در چه زمانی باید از MFA استفاده کند، بلکه همچنین دستورالعملهایی را در مورد نحوه پیکربندی سیستمهای MFA برای جلوگیری از سوء استفاده ارائه میدهد. بسیاری از راهحلهای سنتی MFA در برابر حملات مرد میانی، بمباران فشار (Push Bombing) و سایر حملات که کنترلهای MFA را دور میزنند، آسیبپذیر هستند. الزام 8.5 ضعفها و پیکربندیهای نادرست را برای ارزیابی انطباق با PCI مشخص میکند. این موارد عبارتند از:
- سیستم MFA شما نباید مستعد حملات تکرار (یا مرد میانی) باشد.
- MFA نباید قابل دور زدن باشد، مگر اینکه یک استثناء خاص مستند شده و توسط مدیریت مجاز باشد.
- راهحل MFA شما باید از دو عامل مختلف و مستقل برای احراز هویت استفاده کند.
- دسترسی نباید تا زمانی که تمام عوامل احراز هویت موفقیتآمیز باشند، اعطا شود.
همانطور که قبلا اشاره شد، راهنمای PCI DSS در مورد انواع عوامل احراز هویت به استاندارد FIDO اشاره میکند. احراز هویت FIDO مقاوم در برابر فیشینگ است، حملات تکرار را از بین میبرد ذاتا چند عاملی است.
اگر راهکار MFA شما از SMS، OTP یا سایر روشهای ناامن استفاده میکند، ممکن است با الزامات PCI مطابقت نداشته باشد.
5- پروتکلهای رمزنگاری قوی
در حالی که نسخههای قبلی PCI DSS استفاده از پروتکلهای رمزنگاری قوی برای محافظت از تراکنشها و دادههای دارنده کارت را الزامی میکرد،PCI DSS 4.0 این الزام رمزنگاری را گسترش نیز داده است. با قوانین جدید، هر داده احراز هویت حساس ذخیره شده (SAD) باید با استفاده از رمزنگاری قوی رمزگذاری شود.
با توجه به این الزام، اگر سیستم احراز هویت شما به درستی دادههای احراز هویت را رمزگذاری و ذخیره نمیکند، ممکن است با الزامات PCI مطابقت نداشته باشد.
انطباق با PCI DSS 4.0 با استفاده از راهکار احراز هویت نشانه
چارچوب جدید PCI DSS اکنون بسیار نزدیکتر با سایر دستورالعملهای هویت دیجیتال که از پذیرش MFA مقاوم در برابر فیشینگ مبتنی بر FIDO و یک رویکرد احراز هویت اعتماد صفر حمایت میکنند، همسو شده است.
راهکار احراز هویت نشانه، به سازمانها کمک میکند تا با الزامات احراز هویت چندعاملی PCI DSS گنجانده شده در استاندارد انطباق پیدا نمایند. نشانه رویکرد سنتی مبتنی بر رمز عبور را با احراز هویت بدون رمز عبور امن جایگزین میکند که توسط FIDO تایید شده و بر اساس کلیدهای عبور (Passkey) است. عناصر اصلی راهکار نشانه، مانند ادغام احراز هویت بیومتریک، داشتن یک دستگاه قابل اعتماد و توکنهای رمزنگاری ذخیره شده در TPM دستگاه، احراز هویت چند عاملی قوی و مقاوم در برابر فیشینگ را فراهم و مطابقت با الزامات PCI DSS را تضمین میکند.
در عین حال، نشانه تجربه کاربری را به طور قابل توجهی بهبود میبخشد، نیاز به رمزهای عبور طولانی و پیچیده را از بین برده و احراز هویت چند عاملی را تنها به یک حرکت ساده کاربران تبدیل میکند.