مقایسه احراز هویت بدون رمزعبور و احراز هویت چندعاملی (MFA)

امنیت سایبری در سطح سازمانی تحت هجوم تهدیدات بی‌سابقه‌ای قرار دارد. تحقیقات شرکت HP نشان می‌دهد که حجم حملات سایبری در طول همه‌گیری 238 درصد افزایش یافته است. یک نظرسنجی توسط موسسه Ponemon از رهبران فناوری اطلاعات و امنیت اطلاعات نشان داد که سرقت اعتبار (56%) و فیشینگ (48%) رایج ترین انواع حملات تجربه شده هستند. گزارش مایکروسافت نیز حملات فیشینگ را به تنهایی مسئول 70 درصد از نقض داده‌ها می‌داند. فضای فعلی نیاز به یک وضعیت امنیتی قوی‌تر، به ویژه در حوزه احراز هویت (MFA سنتی یا احراز هویت بدون رمز عبور) را روشن می‌کند. از این رو می‌بایست حتما به مقایسه MFA با احراز هویت بدون رمزعبور پرداخت تا نقاط قوت و ضعف مشخص گردد.

این وضعیت، اصطلاحات مختلف این حوزه، مانند احراز هویت چند عاملی (MFA)، احراز هویت بدون رمز عبور و MFA مقاوم در برابر فیشینگ را وارد گفتگوهای امنیتی کرده است. برای اجرای بهترین روش‌ها و کاهش ریسک، تصمیم‌گیرندگان باید از اصطلاحات فنی عبور کنند تا سیستمی را پیدا کنند که بهترین محافظت و بازده سرمایه‌گذاری را برای آن‌ها فراهم کند. در این نوشته، ما شیوه بدون رمز عبور در مقابل MFA سنتی را بررسی و تحلیل خواهیم کرد.

 

تعاریف مربوطه در احراز هویت بدون رمز عبور و MFA

اصطلاحات مختلفی در مورد مدیریت هویت و دسترسی (IAM) و پروتکل‌های احراز هویت وجود دارد، اما معنای آن‌ها چیست و به طور خاص، تفاوت‌های بین شیوه بدون رمز عبور و MFA سنتی در زمینه احراز هویت امن چیست؟ ما با تعریف دو اصطلاح شروع می‌کنیم.

احراز هویت چند عاملی (MFA) مستلزم آن است که کاربر دو یا چند عامل تأیید مستقل را برای احراز هویت ارائه دهد. این عوامل می‌توانند چیزی باشند که می‌دانید (مثلاً رمز عبور، پین، الگو)، چیزی که هستید (مثلاً اسکن شبکیه، تشخیص چهره، اثر انگشت) یا چیزی که دارید (مثلاً دستگاه هوشمند، کلید امنیتی).

رمزهای عبور آسیب‌پذیرترین جنبه احراز هویت هستند و هم هدف مورد علاقه مهاجمان و هم بزرگترین بردار حملات سایبری هستند. معرفی چندین عامل مستقل، دسترسی یک مهاجم به سیستم یا دستیابی به تصاحب حساب (Account Take Over – ATO) را دشوارتر می‌کند.

احراز هویت بدون رمز عبور، همانطور که از نام آن پیداست، هویت کاربر را بدون استفاده از رمز عبور یا عوامل مبتنی بر دانش تأیید می‌کند. می‌توان احراز هویت بدون رمز عبور تک عاملی (مثلاً یک کلید امنیتی) و MFA بدون رمز عبور (مثلاً یک راه‌حل مانند راهکار نشانه) وجود داشته باشد.

با این حال، اصطلاح “بدون رمز عبور” مبهم می‌شود زیرا برخی روش‌ها به نظر می‌رسد که رمزهای عبور را حذف می‌کنند اما در واقع هنوز از آن‌ها به نوعی در فرآیند سنجش هویت استفاده می‌کنند. به عنوان مثال، برخی از فرآیندهای احراز هویت بدون رمز عبور ممکن است از کاربر بخواهند که برای تأیید عامل “چیزی که در اختیار دارد” اثر انگشت خود را ارائه دهد، اما سپس یک رمز عبور فعال شده را برای عمل سنجش و تایید هویت در پس‌زمینه ارسال کند.

لینک‌های جادویی چه هستند؟

لینک‌های جادویی مثال دیگری هستند. به جای رمز عبور، آن‌ها با استفاده از یک توکن جاسازی‌شده در یک URL که از طریق ایمیل یا پیامک ارسال می‌شود، احراز هویت را انجام می‌دهند. اگرچه این یک عامل مبتنی بر دانش نیست، اما یک راز مشترک است که به همان روشی که یک رمز عبور عمل می‌کند، کار می‌کند و هر راز مشترک می‌تواند با مهاجمان نیز به “اشتراک گذاشته شود”.

این بدان معناست که همچنین باید تمایز بیشتری بین راه‌حل‌های کاملاً بدون رمز عبور که رازهای مشترک را کاملاً از فرآیند حذف می‌کنند و آن‌هایی که آن‌ها را فقط از تجربه کاربر پنهان می‌کنند، وجود داشته باشد. سیستم‌های کاملاً بدون رمز عبور که در هیچ مرحله‌ای از فرآیند احراز هویت از راز مشترک استفاده نمی‌کنند، اغلب MFA مقاوم در برابر فیشینگ نامیده می‌شوند.

 

مقایسه MFA با احراز هویت بدون رمزعبور

اکثریت قریب به اتفاق MFAها همچنان به رمزهای عبور به عنوان یک عامل متکی هستند، اگرچه بزرگ‌ترین شرکت‌های فناوری جهان و دولت‌ها (همچون دولت فدرال امریکا) خواستار حذف رمزهای عبور از فرآیند احراز هویت شده‌اند. از آنجایی که استقرار MFA به طور کلی بسیار پایین‌تر از سطحی است که باید باشد، بسیاری از سازمان‌ها هنوز در مرحله کشف گذار خود هستند. با این حال، این می‌تواند مثبت نیز باشد، زیرا فرصتی برای اجرای MFA بدون رمز عبور از همان ابتدا فراهم خواهد گشت. برای تصمیم‌گیری در مورد مناسب بودن این مسیر برای کسب‌وکارتان، به مقایسه MFA با احراز هویت بدون رمزعبور برای درک تفاوت‌ها در چهار حوزه کلیدی نیاز دارید.

احراز هویت

همه MFAها بدون رمز عبور نیستند و همه شیوه‌های بدون رمز عبور نیز MFA نیستند. یک راه‌حل MFA بدون رمز عبور مقاوم در برابر فیشینگ به دستورالعمل‌های موسسه ملی استانداردها و فناوری (NIST) و آژانس زیرساخت امنیت سایبری و امنیت (CISA) پایبند است. هویت با استفاده از یک ویژگی بیولوژیکی ذاتی (چیزی که هستید) همراه با کلیدهای رمزنگاری خصوصی (چیزی که دارید) تأیید می‌شود. خود فرآیند احراز هویت از رمزنگاری کلید عمومی استفاده می‌کند تا هیچ اعتبارنامه سری برای رهگیری وجود نداشته باشد و هیچ پایگاه داده‌ای از اعتبارنامه‌های ذخیره شده نیز در کار نباشد که بتواند نشت یا هک شود.

امنیت

MFA از حالت آسان تا بسیار دشوار (توکن FIDO پشتیبانی شده توسط شناسایی بیومتریک) متغیر است. اگرچه ایمن‌تر از یک رمز عبور ساده است، اما چقدر ایمن‌تر آن به عوامل تأیید مورد استفاده و خود فرآیند احراز هویت بستگی دارد. MFA سنتی اغلب از یک رمز عبور یک‌بار مصرف (OTP) ارسال شده به یک دستگاه به عنوان عامل “چیزی که دارید” استفاده می‌کند. اگرچه استفاده از شیوه سنجش هویت با OTP راحت است، اما در نهایت، مهاجمان می‌توانند به راحتی با استفاده از کیت‌های فیشینگ و سایر تکنیک‌ها آن‌ها را دور بزنند. همانطور که در بالا ذکر شد، روش احراز هویت پس‌زمینه نیز به طور قابل توجهی بر امنیت MFA تأثیر می‌گذارد؛ اگر هیچ رازی به اشتراک گذاشته نشود، هیچ چیزی برای دزدیدن وجود ندارد.

تجربه کاربری

یکی از بزرگ‌ترین موانع برای گسترش MFA، ترس از تجربه کاربری ضعیف است. از آنجایی که MFA می‌تواند نیاز به ورودی طیف گسترده‌ای از عوامل داشته باشد، برخی از آن‌ها ممکن است در هنگام ورود به سیستم نسبت به سایرین سخت‌تر باشند.

رمزهای عبور همیشه یکی از ناامیدکننده‌ترین موارد در حوزه احراز هویت کاربر بوده و هستند. اضافه کردن یک اقدام اضافی بر روی این امر تنها این مشکل را افزایش می‌دهد و می‌تواند بر بهره‌وری تأثیر منفی قابل توجهی داشته باشد. علاوه بر این، کاربران اغلب رمزهای عبور را فراموش می‌کنند یا مجبور به چرخش آن‌ها می‌شوند، که منجر به اشتراک‌گذاری رمزهای عبور یا ایجاد اسناد برای ردیابی همه رمزهای عبور می‌شود و خطرات امنیتی ایجاد می‌کند.

استقرار

استقرار MFA بسته به محیط و خود راه‌حل، از نظر پیچیدگی متفاوت است. این بیشتر یک مسئله شیوه بدون رمز عبور در مقابل MFA نیست و بیشتر وابسته به انتخاب راه‌حلی است که انعطاف‌پذیری را ارائه می‌دهد و می‌تواند با سازمان مقیاس‌پذیر باشد. سازمان‌ها باید مراقب قفل شدن فرآیند MFA خود در یک ارائه دهنده سرویس هویت (Identity Provider – IdP) یا درگاه احراز هویت یکپارچه (Single Sign On – SSO) خاص باشند، در غیر این صورت با چندین پروتکل سنجش هویت برای استقرار و مدیریت مواجه خواهند شد، چندین برنامه که می‌تواند منجر به مقاومت در همه جبهه‌ها شود.

 

راهکار احراز هویت بدون رمز عبور نشانه

تهدیدات امنیتی فزاینده در اطراف احراز هویت، مانند فیشینگ، به این معنی است که امنیت سایبری سازمانی به سیستم‌های قوی‌تری نیاز دارد. MFA مقاوم در برابر فیشینگ پاسخ این مشکل است. این امر برای تصمیم‌گیرندگان ضروری است که تفاوت بین شیوه احراز هویت بدون رمز عبور در مقابل MFA سنتی که از رمزهای عبور و سایر عوامل فیشینگ‌پذیر استفاده می‌کند را درک کنند.

راه‌حل MFA و راهکار بدون رمزعبور واقعی نشانه (توسعه داده شده در شرکت رهسا – ره‌آورد سامانه‌های امن) با استفاده از MFA مقاوم در برابر فیشینگ ساخته شده که تعادلی کامل بین امنیت و تجربه کاربری مناسب برقرار می‌نماید. جریان احراز هویت یکپارچه بر روی رایانه‌ها و تمامی سامانه‌های نرم‌افزاری به سازمان و کاربران آن اجازه می‌دهد دستگاه خود را به یک توکن FIDO تبدیل کنند و به راحتی و با تکیه بر رمزنگاری کلید عمومی، با اطمینان در تمامی سامانه‌ها احراز هویت امن انجام دهند.

برای اطلاع از اینکه چگونه راهکار بدون رمز عبور نشانه می‌تواند به ایمن‌سازی کاربران و شبکه سازمان شما کمک کند، با کارشناسان ما در تیم نشانه تماس حاصل نمایید.

مزایای FIDO برای کاربران، برنده واقعی تیم IT

رمزهای عبور خیلی قدیمی شده‌اند. کاربران از اینکه مجبورند برای ورود به سامانه‌ها، رمزهای عبور را به خاطر بسپارند و به‌روز کنند خسته هستند. راهبران و تیم IT نیز رمزهای عبور را دوست ندارند، زیرا آنها در 80 درصد از نقض‌های داده نقش دارند که غالبا از طریق فیشینگ آغاز می‌شوند. زمان و زحمتی که برای حرکت به سمت احراز هویت بدون رمز عبور (Passwordless MFA) لازم است، مطمئنا ارزش رهایی از مشکلات امنیتی و ساده‌تر کردن فرآیند ورود به سامانه‌ها برای کاربران را خواهد داشت. واحد IT با احراز هویت بدون رمز عبور (FIDO) سود زیادی خواهد برد و مزایای FIDO برای تیم IT، آنها را به برنده واقعی تبدیل خواهد نمود.

 

دلایل مناسب بودن MFA بدون رمز عبور برای نیروی کار

احراز هویت چند عاملی ما را فراتر از قلمرو آنچه کاربران می‌دانند، یعنی نام کاربری و رمز عبور، می‌برد. افزودن مراحلی مانند OTP و بیومتریک به این معنی است که آنها همچنین باید چیزی داشته باشند یا باشند، مانند تلفن همراه با اثر انگشت. شیوه MFA  سنتی به طور موثر بررسی را بر روی رمزهای عبور انباشته می‌کند، که احراز هویت را تا حدودی ایمن‌تر و البته به طور تصاعدی آزاردهنده‌تر می‌کند و همچنان برای متوقف کردن فیشینگ کافی نخواهد بود.

این شیوه نمی‌تواند از محبوب‌ترین و سودآورترین شیوه حملات دشمنان (فیشینگ) به صورت کامل جلوگیری کند. از این رو گام بعدی واضح، حذف کامل رمزهای عبور از معادله احراز هویت است. مهمترین دستاوردهای احراز هویت بدون رمز عبور، تجربه کاربری بهتر، کاهش ریسک و هزینه و انطباق با قوانین و الزامات بالادستی است. در ادامه خواهیم دید که چگونه، با پیاده‌سازی درست MFA بدون رمز عبور، به این اهداف کلیدی دست خواهید یافت.

در خصوص ارتقاء تجربه کاربری (UX) و بهره‌وری، باید اشاره گردد که تخمین‌ها نشان می‌دهد که کارکنان ممکن است روزانه ۱۵ دقیقه صرفاً برای احراز هویت در دستگاه‌ها، سایت‌ها و خدمات صرف کنند. در صورت بروز برخی مشکلات و یا فراموشی رمز عبور، این زمان می‌تواند بسیار بیشتر از این نیز باشد. واضح است که این میزان می‌تواند یک ضربه جدی به بهره‌وری باشد، خصوصا وقتی آن را در تعداد زیادی از کاربران ضرب نماییم. صرف نظر از زمانی که آنها تلف می‌کنند، تماس با IT برای کمک به تنظیم مجدد اعتبارنامه‌ها و رمزهای عبور نیز می‌تواند هم زمان کارمندان و هم تیم IT را تلف نماید.

در خصوص تهدیدات و ریسک، حتی با وجود بهبود توانایی کارمندان در تشخیص ایمیل‌های فیشینگ و صفحات ورود جعلی، حقیقت تلخ امنیت همچنان پابرجاست: MFA سنتی نمی‌تواند جلوی فیشینگ را بگیرد. بخش IT نمی‌تواند به آموزش‌های آگاهی‌سازی امنیتی که شکست خورده‌اند و مقصر شناختن کاربران، تکیه کند. IT باید از همه چیز دفاع کند، در حالی که مهاجمان فقط به یک کاربر نیاز دارند که یک رمز عبور را در یک مکان اشتباه وارد کند.

با دیجیتالی شدن و امکان دورکاری کسب‌وکارها، موج حملات سایبری علیه کارمندان، زنجیره‌های تأمین و زیرساخت‌های حیاتی نیز بیشتر شده است. این حملات، دولت‌ها را بر آن داشته که قوانین و مقررات جدیدی برای اتخاذ سیاست‌های اعتماد صفر وضع کنند. از جمله این موارد می‌توان به MFA  مقاوم در برابر فیشینگ اشاره کرد که به عنوان مثال، در ایالات متحده می‌بایست تا پایان سال مالی 2024 در تمامی سازمان‌های دولتی پیاده‌سازی گردد.

 

به‌روش‌ها و نکات مهم برای دستیابی به مزایای FIDO برای تیم IT

با توجه به چالش‌های یاد شده، به نظر می‌رسد تمامی سازمان‌ها ناگزیر هستند دیر یا زود به سمت احراز هویت بدون رمز عبور مبتنی بر FIDO (MFA مقاوم به فیشینگ) حرکت کنند. اما چه موارد مهمی است که تیم IT می‌بایست در این زمینه مد نظر قرار دهد؟ در ادامه به برخی از آنها در این زمینه اشاره خواهیم نمود.

دشواری مدیریت رمز عبور را از دوش کاربران بردارید. در حالی که همه موافق هستند که بهتر است بدون رمز عبور کار کنیم، خود رمز عبور مشکل اصلی نیست. مشکل اصلی مدیریت رمز عبور و این واقعیت است که هنوز هم کاربر محور است. کنار گذاشتن رمز عبور، کاربران را از بازی مدیریت هویت خارج می‌کند و مسئولیت نگهداری از اسرار بالقوه خطرناک را به IT منتقل می‌کند، جایی که واقعا باید باشد. این تغییر ساده و عمیق، هدیه‌ای به تمام سازمان خواهد بود.

از بین بردن تماس‌های میز خدمت برای رمز عبور. تحقیقات جهانی نشان می‌دهند که به طور متوسط:

• 40 درصد یا بیشتر از تمام تماس‌های میز خدمت (Help Desk) مربوط به رمز عبور است.
• تماس‌های میز خدمت حدود 8 دقیقه طول می‌کشند و در شرکت‌های اروپایی و امریکایی بین 25 تا 70 دلار هزینه دارند.
• کاربران سالانه 8 بار به دلیل قفل شدن حساب کاربری با میز خدمت تماس می‌گیرند.
• کاربران پس از تماس با میز خدمت، حدود 9 دقیقه طول می‌کشد تا دوباره تمرکز کنند و به روند عادی کار خود برگردند.

با وارد کردن این مقادیر در ماشین حساب ROI احراز هویت چندعاملی بدون رمز عبور، نتیجه‌گیری می‌شود که یک شرکت متوسط با 500 کارمند با حذف رمز عبور از احراز هویت چندعاملی کاربران، تقریباً 75 هزار دلار در سال صرفه‌جویی خواهد کرد. این صرفه‌جویی به تنهایی برای پیاده‌سازی راه‌حل‌های بدون رمز عبور در سطح سازمان کافی خواهد بود. هرچند ارزش واقعی و مزایای FIDO برای تیم IT، آزاد کردن متخصصان IT برای انجام کارهای تخصصی خواهد بود.

افزایش بهره‌وری کاربران. زمان‌های صرف شده برای وارد کردن رمز عبور در طول روز و همچنین زمان‌های لازم برای تغییر دوره‌ای آنها در بازه‌های چند ماهه، خود می‌تواند قابل توجه باشد. یک تحقیق ساده نشان می‌دهد که تایپ کردن رمزهای عبور در چندین سامانه و چندین بار در طول روز، می‌تواند حدود 1 تا 3 درصد از زمان مفید روزانه کاربران را صرف نماید. از این رو در صورت زیاد بودن تعداد کاربران یک سازمان، جمع این میزان می‌تواند بسیار قابل توجه باشد.

کاهش سطح حمله. حدود 50 درصد از شرکت‌ها سالانه با نقض امنیت سایبری مواجه می‌شوند. هزینه متوسط هر نقض در دنیا حدود 4 میلیون دلار است، تا زمانی که سازمان‌ها به طور کامل بهبود یابند. نکته مهمتر آن است که حدود 80 درصد از نقض‌ها به دلیل اعتبارنامه‌ها و اطلاعات ورود (همچون رمز عبور) رخ می‌دهد. با حذف ساده اعتبارنامه‌ها از احراز هویت کاربر، سطح حمله سازمان‌ها بسیار کاهش می‌یابد و هزینه‌های بهبودی از نقض‌ها نیز مطمئنا بسیار کمتر خواهد شد.

بهبود وضعیت امنیتی. پیاده‌سازی احراز هویت بدون رمز عبور می‌تواند از برند سازمان محافظت نماید. تحقیقات نشان می‌دهد که شرکت‌ها تا حدود 4 ماه پس از یک نقض داده، درگیر کاهش ارزش برند خود در حدود 1 تا 15 درصد هستند. این افت ارزش می‌تواند تا مدت‌ها نیز به طول بینجامد. در شرکت‌های کوچک‌تر، ممکن است هرگز بهبودی حاصل نشود. همچنین وقوع تعداد کمتری از نقض‌های نیازمند بررسی، مهار و یادگیری، باعث می‌شود زمان و منابع بیشتری برای شکار  و مدل‌سازی تهدیدات، شبیه‌سازی حمله، تمرینات تیم قرمز و آبی و سایر کارهای مشابه برای تیم IT و امنیت فراهم گردد.

فناوری اطلاعات چابک و تحت کنترل. اگر سازمان آماده باشد، فناوری اطلاعات می‌تواند بدون هیچ وابستگی و بدون وقفه در فعالیت‌های کاربر، زیرساخت هویت را به FIDO مدرن‌سازی و به آن مهاجرت کند. هم‌اکنون و با استفاده از راهکار نشانه، مسیر سریع و کوتاهی برای حرکت به سمت شیوه‌های مقاوم در برابر فیشینگ، اعتماد صفر و در نهایت، دنیای بدون رمز عبور فراهم است. این کار بخش IT سازمان‌ها را با حذف مشکلات یاده شده، در ادامه قوی‌تر خواهد نمود.

 

دستیابی به احراز هویت بدون رمز عبور

پس از تمامی توضیحات ارائه شده، این سوال مطرح می‌شود که برای دستیابی به مزایای FIDO برای تیم IT، این تیم باید از کجا شروع کند و اصلا چگونه می‌تواند این کار را انجام دهد؟ این در حالی است که ۲۵ تا ۵۰ درصد کاربران همچنان رمزهای عبور یکسانی را برای دسترسی به برنامه‌ها تنظیم و حتی خیلی سریع آنها را فراموش می‌کنند. حذف رمزهای عبور از تجربه کاربر تنها در صورتی رضایت‌بخش و مفید است که برای همه برنامه‌ها انجام شود. در غیر این صورت، همچنان امکان فیشینگ در سازمان باقی خواهد ماند.

گام اول که مهمترین بخش کار است، انتخاب راهکار مناسب در این زمینه است. راهکار احراز هویت بدون رمز عبور نشانه که در شرکت رهسا (ره‌آورد سامانه‌های امن) توسعه داده شده است، پیشرو در حذف رمز عبور کاربر از معادله احراز هویت و سپردن کنترل این حوزه به دست IT سازمان است. راهکار نشانه، کاربران و IT سازمان را از انتخابی بین امنیت و راحتی، رها کرده و همزمان هر دو را برای آنها به ارمغان خواهند آورد. کارشناسان فنی ما، آماده ارائه هر گونه راهنمایی به واحدهای IT سازمان‌ها در راستای حذف رمزهای عبور و دستیابی به راهکاری ساده و امن، در حوزه احراز هویت بدون گذرواژه هستند.

احراز هویت اعتماد صفر (Zero Trust)

تا همین اواخر، اعتماد صفر (Zero Trust) بیشتر در تیم‌های بازاریابی محبوب بود تا تیم‌های امنیتی. اگرچه مفاهیم پشت آن شامل اصول امنیتی شناخته‌شده همچون احراز هویت قوی است، اما اصطلاحات و رویکرد آن به عنوان یک اصل سازماندهی، جذب گسترده‌ای را تاکنون در جامعه امنیت نداشته است. با این حال، دستور اجرایی اخیر برخی دولت‌ها همچون ایالات متحده در مورد بهبود امنیت سایبری، دید به این رویکرد را افزایش داده است. علاوه‌بر این، افزایش نیروی کار توزیع شده و حملات سایبری در سالهای اخیر، به وضوح نشان داده است که رویکردهای قدیمی دیگر جوابگو نیستند.

 

مدل امنیتی اعتماد صفر (Zero Trust) چیست؟

اصل کلیدی پشت مدل امنیتی Zero Trust اتخاذ رویکرد “هرگز اعتماد نکن، همیشه تأیید کن” در اعطای دسترسی به داده‌ها و منابع است. این مدل توسط تحلیلگر جان کیندروگ در سال 2010 معرفی شد و توسط موسسه ملی استانداردها و فناوری ایالات متحده امریکا (NIST) در سند NIST-800-207 نیز به تفصیل تشریح گشت. یک معماری امنیتی اعتماد صفر فرض می‌کند که هیچ چیز به نام “محیط شبکه امن” وجود ندارد. از این رو سازمان همواره موظف به بررسی تمامی دسترسی‌ها به منابع و داده‌های خود خواهد بود. 

در واقع در چنین مدلی، همه چیز در داخل و خارج از محیط شبکه غیرقابل اعتماد در نظر گرفته می‌شود. با توجه به اینکه هر کاربر یا دستگاهی ممکن است در هر زمان به خطر بیفتد، مدل Zero Trust ایده دسترسی مداوم یا نامحدود به دارایی‌ها را رد می‌کند و آن را با احراز هویت سختگیرانه و مداوم اعتماد صفر (بررسی در هر دسترسی) جایگزین می‌کند. چنین مدلی، به سازمان کمک می‌کند تا با بررسی مداوم دسترسی‌ها، خود را از بسیاری از تهدیدات به دور نگه دارد.

 

نقش احراز هویت اعتماد صفر (Zero Trust)

در زیرساخت Zero Trust هیچ محیط تعریف‌شده‌ای وجود ندارد، بنابراین اعتماد باید بر اساس هویت تأیید شده امن باشد. این مدل مبتنی بر هویت، نیاز حیاتی به احراز هویت قوی ایجاد می‌کند تا اطمینان حاصل شود که فقط کاربران مناسب به دلایل مناسب به منابع مناسب دسترسی پیدا می‌کنند. با توجه به اینکه احراز هویت به عنوان محافظ اصلی در یک مدل امنیتی Zero Trust عمل می‌کند، الزامات بالادستی در این زمینه، تصویب کامل احراز هویت چند عاملی (MFA) را الزامی می‌کند.

بهترین شیوه‌ها همچنین تاکید می‌کنند که راهکار MFA انتخاب شده باید بتواند در برابر حملات فیشینگ مقاومت کند تا احراز هویت قوی Zero Trust فراهم گردد. این امر در راستای دستورالعمل NIST است که احراز هویت‌های مقاوم در برابر فیشینگ مبتنی بر FIDO را برای برآورده کردن پروتکل‌های احراز هویت اعتماد صفر توصیه می‌کند. از آنجایی که نیاز به احراز هویت با Zero Trust بین همه طرفین ثابت است، این فرآیند باید ساده باشد. در غیر این صورت، کار را کند کرده و کاربران را ناامید می‌کند که ممکن است به دنبال دور زدن کنترل‌های امنیتی باشند.

 

چالش‌های احراز هویت اعتماد صفر (Zero Trust)

همانند هر تغییر پارادایم امنیتی، چالش‌هایی نیز وجود خواهد داشت، هم از نظر فنی و هم برای خود کاربران. پذیرش گسترده امنیت اعتماد صفر به غلبه بر این مسائل بستگی دارد. از این جمله می‌توان به استفاده از کلمات عبور، چگونگی انجام احراز هویت اعتماد صفر از راه دور، احراز هویت قوی در دسکتاپ، دسترسی امن به برنامه‌ها و مسائل مرتبط با قابلیت استفاده اشاره نمود. این موارد در ادامه به اختصار تشریح شده اند.

• کلمات عبور: متأسفانه، کلمات عبور هنوز هم بخشی از بسیاری از سیستم‌های MFA هستند، علی‌رغم آسیب‌پذیر بودن در برابر حملاتی مانند فیشینگ، تصاحب حساب، سیم‌سوئیچینگ و حملات پرکردن اعتبارنامه (Credential Stuffing).
• احراز هویت اعتماد صفر از راه دور: کار از راه دور در سال‌های اخیر به شدت افزایش یافته است، به این معنی که امنیت اعتماد صفر قابل اجرا برای نقاط ورود از راه دور (VPN – VDI – RDP) برای کاهش خطر حیاتی است.
• احراز هویت قوی در دسکتاپ: ورود به دسکتاپ سازمانی و سپس مجبور شدن به ورود مجدد از طریق SSO یا یک احراز هویت جداگانه برای دسترسی به منابع، یک افزونگی زمان‌بر ایجاد می‌کند. همچنین می‌تواند باعث ایجاد مشکلات یکپارچگی شود. 
• دسترسی امن به برنامه‌ها: یکپارچه‌سازی احراز هویت اعتماد صفر امن در تمام برنامه‌های سازمانی، به ویژه برنامه‌های قدیمی، می‌تواند مشکلات سازگاری قابل توجهی ایجاد کند.
• مسائل قابلیت استفاده: اصطکاک اضافه شده باعث ایجاد ناامیدی و مقاومت در برابر پذیرش در کاربران می‌شود. همچنین می‌تواند بر بهره‌وری تأثیر بگذارد و کاربران را به تلاش برای استفاده از میانبرها در اطراف اقدامات امنیتی اعتماد صفر سوق دهد.

 

آیا زمان آن رسیده است که کسب‌وکارها احراز هویت اعتماد صفر را اتخاذ کنند؟

الزامات بالادستی غالبا به سازمان‌های دولتی و پیمانکاران مرتبط به آن‌ها اعمال می‌شود. با این حال، یک قانون نانوشته وجود دارد که دستورالعمل‌های سطح دولت به زودی در مقررات عمومی‌تر، چک‌لیست‌های حسابرسی و سایر حوزه‌هایی که بر بخش خصوصی تأثیر می‌گذارند، گنجانده خواهد شد. این اتفاق در کشورهای بزرگ همچون ایالات متحده بسیار رایج است. به همین دلیل، بسیاری از شرکت‌های بزرگ از جمله مایکروسافت و اپل، پس از الزام NIST برای احراز هویت بدون رمز عبور، خود به سمت FIDO و پذیرش این شیوه بدون رمز عبور حرکت نمودند. 

صرف‌نظر از فشارهای نظارتی، مزایای زیادی برای اتخاذ احراز هویت اعتماد صفر وجود دارد. اولا، این مدل می‌تواند به کسب‌وکارها کمک کند تا چابک‌تر شوند و از فناوری‌های جدید بهره‌برداری کنند. ثانیا، خدمات می‌توانند سریع‌تر و ایمن‌تر ارائه شوند زیرا تأکیدی بر محل قرارگیری افراد و داده‌ها نبوده و هویت آنها مهم است. ایجاد موفقیت‌آمیز معماری اعتماد صفر در مورد ادغام ابزارها و روش‌های لازم و انعطاف‌پذیر بودن برای سازگاری با این پارادایم است. این بدان معناست که امنیت در این مدل «برای همه یک اندازه» نیست و یک سفر مداوم است نه یک محصول قابل تنظیم.

 

راهکار نشانه شتاب‌دهنده ابتکارات امنیتی اعتماد صفر

سنگ‌بنای اعتماد صفر، احراز هویت چندعاملی مقاوم در برابر فیشینگ است. از آنجایی که MFA دروازه‌بان کل اکوسیستم این مدل است، هرچه این دروازه‌بان قوی‌تر باشد، امنیت قوی‌تر خواهد بود. ممکن است شکاف‌هایی ایجاد شود، مانند نیروی کار پراکنده یا کارمندان دورکار. اغلب، این حالت‌ها منجر به ایجاد استثناها می‌شود تا اینکه این کارمندان با چندین مرحله احراز هویت مواجه شوند. این نقاط ضعف و شکاف‌ها می‌توانند کل ابتکار اعتماد صفر را تضعیف کنند. با استفاده از استاندارد FIDO برای احراز هویت بدون رمزعبور، سازمان‌ها می‌توانند اصول اعتماد صفر را بدون افزودن اصطکاک به تجربه کاربری اعمال کنند.

این امر اعتماد مورد نیاز به هویت کاربر را ایجاد می‌کند، تضمین می‌کند که فرآیندهای احراز هویت شما با بالاترین سطح اطمینان همسو هستند و یک پایه محکم برای معماری امنیتی اعتماد صفر شما ایجاد می‌کند. احراز هویت بدون رمز عبور نشانه دارای گواهی FIDO و محصول شرکت رهسا (ره‌آورد سامانه‌های امن)، دستگاه‌های هوشمند کاربران را به کلیدهای امنیتی پشتیبانی‌شده توسط PKI تبدیل می‌کند. از ماژول پلتفرم قابل اعتماد سخت‌افزاری (TPM) و سایر ویژگی‌های امنیتی سطح دستگاه و سیستم‌عامل برای برآورده کردن الزامات MFA مقاوم در برابر فیشینگ اعتماد صفر استفاده می‌کند.

ما می‌دانیم که پذیرش و کاهش اصطکاک عناصر حیاتی یک محیط اعتماد صفر کارآمد هستند، بنابراین راه‌حل بدون رمز عبور ما همچنین بر تسهیل تجربه کاربر متمرکز است، به این معنی که سامانه ما می‌تواند به سادگی و در عرض چند ساعت مستقر شود. این نه تنها به تحول سریع‌تر کمک می‌کند، بلکه این کار را با هزینه کمتر و با کاهش فشار بر منابع امنیتی انجام می‌دهد. همین امروز برای دریافت هر گونه راهنمایی در این زمینه، با کارشناسان ما در تیم نشانه تماس بگیرید.

تلاطم در حوزه احراز هویت بانکی برای مدیریت مخاطرات

حملات سایبری گسترده‌تر به حوزه احراز هویت بانکی در سال‌های اخیر، سرمایه‌گذاران و موسسات مالی بزرگ و کوچک را به سمت کاهش ریسک‌ها سوق داده است. تلاش‌ها در این حوزه باید به گونه‌ای باشد که نقاط کلیدی و مشترک در حملات و تهدیدات، سریعا تحت پوشش قرار گیرد. یکی از این زمینه‌ها، حذف رمزهای عبور و جایگزینی آن با راهکارهای احراز هویت بدون رمز عبور است.

 

مناطق با افزایش ریسک

ریسک حمله و مواجهه برای احراز هویت بانکی در سه حوزه اصلی افزایش یافته است:

• فیشینگ: هکرها از هر فرصتی برای سرقت اطلاعات افراد استفاده می‌کنند. چه از طریق ایمیل، پیام کوتاه متنی یا حمله مرد میانی، هکرها با وانمود کردن به عنوان نماینده بانک، حملات خود را آغاز می‌کنند. هدف اصلی آن‌ها جمع‌آوری رمز عبور برای انجام حمله اصلی است.
• مهندسی اجتماعی: هکرها خود را به عنوان یک فرد قابل اعتماد مانند همکار، نهاد نظارتی، مشتری یا حتی میز خدمت فنی معرفی می‌کنند. در ادامه تلاش می‌کنند تا اعتبارنامه‌ها را برای ورود به بانک و انجام حمله استخراج کنند.
• حمله با جستجوی فراگیر: هکرها با استفاده از یک کتابخانه از اصطلاحات، به سرعت رایج‌ترین رمزهای عبور و مواردی که در نقض داده‌ها به سرقت رفته‌اند را از طریق یک تکنیک کاملاً خودکار ادامه می‌دهند تا زمانی که دسترسی مورد نظر دریافت شود.

 

حذف رمزهای عبور

همه این روش‌های حمله یک نقطه مشترک دارند که سوء استفاده از رمز عبور است. بیش از شش دهه است که رمز عبور به عنوان روش اصلی احراز هویت استفاده می‌شود. با گذشت زمان، چیزهایی به رمز عبور اضافه شدند تا آن‌ها را “امن‌تر” کنند، مانند توکن‌های سخت‌افزاری، رمزهای یکبار مصرف و اعلان‌ها. با این حال، این‌ها فقط یک مرحله دیگر را معرفی می‌کنند بدون اینکه محافظت زیادی را به همراه داشته باشند. بانکها و سازمان‌هایی که در گذشته از طریق MFA مورد حمله قرار گرفته‌اند، می‌توانند این مورد را تأیید کنند.

واقعیت غیرقابل انکار این است که رمزهای عبور در مقیاس بزرگ شکست خورده‌اند. هر سیستمی که به رمز عبور متکی است، سازمان را در معرض خطر قرار می‌دهد. با اعلامیه‌های اخیر اپل، مایکروسافت و گوگل در حمایت از کلیدهای عبور (Passkeys)، احراز هویت بدون رمز عبور در حال گسترش سریع است. خیلی‌ها احتمالاً در حال حاضر در برخی از حوزه‌های زندگی خود، برای حذف رمزهای عبور، از احراز هویت بدون رمز عبور استفاده کرده‌اند. به نحوه ورود به گوشی هوشمند خود فکر کنید. آیا از رمز عبور یا یک روش بیومتریک مانند اثر انگشت استفاده می‌کنید؟ مهم‌تر از آن، آیا می‌خواهید دوباره به وارد کردن رمز عبور برای ورود به تلفن خود بازگردید؟

 

مواردی که سازمان‌های مالی می‌توانند انجام دهند

تلاطم سال‌های اخیر در صنعت بانکداری، طوفانی کامل برای سوءاستفاده هکرها ایجاد کرده است. در حالی که سازمان‌ها تلاش می‌کنند ریسک را کاهش دهند و در عین حال مشتریان را حفظ کنند، فرصتی عالی در حوزه احراز هویت بانکی برای تثبیت و تقویت موقعیت نیز وجود دارد.

• توجه دقیق: ایده “اگر چیزی دیدید، چیزی بگویید” در اینجا مناسب است. اگر ایمیلی، لینکی یا تماس تلفنی مشکوک به نظر می‌رسد، احتمالاً مشکوک است. دو برابر کردن تلاش‌ها و انجام دقت مداوم در هر سطحی از سازمان، از سطح مدیران ارشد تا هر کارمند و مشتری، بسیار مهم است و می‌تواند یکی از تاثیرگذارترین حوزه‌هایی باشد که اغلب نادیده گرفته می‌شود.
• کاهش مواجهه: حذف رمزهای عبور از همه جا. راهکار احراز هویت بدون رمز عبور را برای کارمندان، شرکا و مشتریان مستقر کنید و ریسک مرتبط با رمزهای عبور را کاهش دهید. با احراز هویت بدون رمز عبور، از یک راه‌حل احراز هویت مقاوم در برابر فیشینگ که توسط سازمان‌های بزرگ جهان توصیه می‌شود، استفاده خواهید کرد و در مسیر همسو شدن با چارچوب‌های امنیتی مانند محیط اعتماد صفر خواهید بود.
• افزایش قابلیت استفاده: راهکار احراز هویت بدون رمز عبور در سطح سازمانی (که گاهی اوقات کلیدهای عبور سازمانی نامیده می‌شود) تجربه ورود به سیستم را بهبود می‌بخشد. به جای اینکه مجبور باشید برای هر عملیاتی در طول روز با گذرواژه وارد شوید، رمزهای عبور را فراموش یا بازنشانی کنید، کلیدهای عبور سازمانی گذرواژه را حذف می‌کنند و تجربه کاربری بدون دردسری ایجاد می‌نمایند. این نه تنها امنیت احراز هویت را افزایش می‌دهد، بلکه سطح بهره‌وری کارکنان و رضایت مشتری را نیز بالا می‌برد.
• درک ارزش: حذف رمزهای عبور از احراز هویت می‌تواند کارایی را افزایش داده و هزینه‌های مرتبط، از جمله سربار میز خدمت برای بازنشانی گذرواژه و اتلاف زمان کارکنان را کاهش دهد. کاهش سطح حملات و هزینه‌ها و جرائم احتمالی نیز به راحتی در این حالت برای احراز هویت بانکی رخ خواهد داد.

نقشه مسیر احراز هویت بانکی

اکنون زمان آن است که تلاش‌ها را بیشتر کرده و مخاطرات را از معادله حذف کنیم (حذف رمزهای عبور). همیشه غلفت‌هایی در صنایع مختلف همچون بانکها وجود خواهد داشت که هکرها تلاش می‌کنند از آن‌ها سوء استفاده کنند. مهمترین مورد، حوزه احراز هویت بانکی است. آموزش کارکنان/مشتریان بانکها همراه با کاهش مخاطرات امنیتی می‌تواند بردارهای حمله‌ای را که توسط هکرها مورد استفاده قرار می‌گیرد، ببندد. معرفی کلیدهای عبور، زمان مناسبی برای معرفی احراز هویت بدون رمز عبور به نیروی کار و مشتریان است. وقتی این تغییر مثبت در سازمانی انجام شود، آن سازمان هرگز به عقب نگاه نخواهد کرد.

راهکار احراز هویت بدون رمز عبور نشانه محصول شرکت رهسا (ره‌آورد سامانه‌های امن) می‌تواند به شما در طی این مسیر و دستیابی به دنیایی بدون رمز عبور کمک نماید. برای دریافت هرگونه راهنمایی، با کارشناسان نشانه تماس بگیرید.