احراز هویت بدون رمز عبور برای سازمانهای مالی

رهبران امنیت سایبری در سازمانهای مالی، بخش زیادی از انرژی خود را صرف تغییر مقررات، تحولات مداوم، و جریان بی‌پایان تهدیدهای سایبری می‌کنند. نکته شگفت‌انگیز آن است که در سال‌های اخیر، مشخص شده است که بیشتر فناوری‌ها، چه موارد حوزه فناوری اطلاعات و چه حتی فناوری‌های حوزه امنیت، خود دارای مشکلات متعددی بوده و دردسرهایی را برای سازمان‌ها به دنبال داشته‌اند. در این زمینه احراز هویت چند عاملی (MFA) کمی مستنثنی بوده و توانسته خطرات سایبری ناشی از فیشینگ، باج افزار، و تصاحب حساب (ATO)را کاهش دهد، سازمان‌ها را به Zero Trust نزدیک نموده و از انطباق در این زمینه پشتیبانی کند و همچین در خصوص همه افراد – کاربران، تیم IT، و تیم‌های امنیتی – صرفه‌جویی‌هایی برای سازمان‌ها به دنبال داشته باشد.

چه چیزی باعث می‌شود که MFA اینقدر ارزشمند گردد؟

کارشناسان هویت را «مرز جدید» دفاع مدرن امنیت سایبری و MFA را یک استراتژی کلیدی در بهبود تأیید هویت می‌دانند. هدف MFA متوقف کردن فیشینگ و سوء استفاده از اعتبار با هدف جلوگیری از عملکرد بدافزارها، باج افزارها، نشت داده‌ها، زنجیره تامین و سایر تهدیدات داخلی مرتبط می‌باشد. سازمان استاندارد ایالات متحده (NIST)، آژانس امنیت ملی (CISA) و سایر نهادهای مرتبط در این کشور، همگی اهمیت MFA را برای دستیابی به یک بینش اعتماد سطح صفر تبلیغ و ترویج می‌کنند. در ادامه جزئیات بیشتری در این خصوص ارائه خواهد شد.

MFA در برابر راهکارهای بدون رمز عبور

MFA تأیید هویت را در مقابل تکیه بر رمزهای عبور تقویت می‌کند، اما اکثر راه‌حل‌ها همچنان رمزهای عبور را به عنوان اولین عامل احراز هویت حفظ می‌کنند. این باعث می‌شود که MFA بسیار کمتر از آنچه انتظار می‌رفت ارزش داشته باشد.

در سوی دیگر، یک رویکرد بدون رمز عبور، شیوه شروع حمله مورد علاقه مهاجمان – فیشینگ – را از بین می‌برد. این کار در عین حال این اطمینان را افزایش می‌دهد که فردی که قصد ورود به سیستم را دارد، کاربر قانونی است که به دنبال انجام کارهای مجاز است. خلاص شدن از شر گذرواژه‌ها (نشان‌دهنده «چیزی که کاربران می‌دانند») و ترکیب عامل‌های قوی‌تر تأیید هویت – مانند چیزی که کاربران دارند و چیزی که کاربران هستند – بیشترین میزان خطر را از جعل هویت و مهندسی اجتماعی حذف می‌کند. همچنین این شیوه موارد زیر را نیز رفع خواهد نمود:

• بیشتر از 80 درصد از نقض‌هایی که شامل اعتبارنامه‌های به خطر افتاده است
• حملات فیشینگ، فیشینگ به‌عنوان سرویس (PhaaS) و حملات مرد میانی (MITM)
• همه شک‌ها در خصوص کم‌کاری افراد مسئول برای جلوگیری از سوء استفاده از اعتبارها و به خطر افتادن آنها

اما برای پیاده‌سازی درست و اصولی راهکارهای بدون رمز عبور، سازمان‌های خدمات مالی باید ورود امن را به همه اعضای نیروی کار و هر برنامه کاربردی، از هر دستگاه یا مکانی گسترش دهند.

آیا راه‌اندازی یک راهکار بدون رمز عبور دشوار است؟

راه‌اندازی یک راهکار بدون رمز عبور می‌تواند بسیار ساده‌تر از آن چیزی باشد که به نظر می‌رسد. قبل از اینکه به نکات مهم در این خصوص بپردازیم، به دو چالش بزرگ که از طریق این راهکارها بسیار ساده حل خواهد شد اشاره می‌کنیم:

• سریع‌تر نمودن فرآیندهای جذب نیرو و ادغام شرکت‌ها: جذب نیرو و ادغام سازمان یا بخشی از آن با سایر شرکت‌ها و یا حتی تغییر وضعیت فیزیکی واحدهای سازمانی، می‌تواند مشکلاتی در گردش کار ورود به سامانه‌ها ایجاد کند. وجود یک سامانه واحد و راهکار کارآمد و ساده برای دسترسی به برنامه‌ها و زیرساخت‌ها، راه‌حلی برای سازمان در چنین وضعیت‌هایی خواهد بود.
• امنیت مدرن برای برنامه‌های قدیمی: تمرکز بیشتر صنعت بانکداری بر حفاظت از داده‌های مشتریان، ذخیره‌سازی داده‌ها به صورت محلی و در زیرساخت‌های قدیمی را به دنبال داشته است. این کار اگرچه ممکن است ایمن‌تر باشد، اما حفظ سیستم‌های قدیمی‌چالش‌های خاص خود را به همراه دارد. هرچند با استفاده از راهکارهای ورود بدون رمز عبور، می‌توان به طرق مختلف همچون درگاه ورود یکپارچه، فناوری‌های قدیمی را نیز تحت پوشش فرآیند مدرن مدیریت هویت و دسترسی قرار داد.

فرآیند احراز هویت و دسترسی بدون رمز عبور نشانه

راهکار احراز هویت بدون رمز عبور نشانه، حداقل سه مزیت اساسی برای تمامی سازمان‌ها از جمله سازمانهای مالی به همراه خواهد داشت:

1. ورود ایمن، ساده و یکپارچه در همه جا و از همه برنامه‌ها
2. پوشش کامل گستره سازمان برای توقف فیشینگ
3. کمک برای ساخت سطح اعتماد صفر (Zero Trust)

با راهکار نشانه، پوشش کامل برای مدیریت دسترسی‌های برنامه‌های کاربردی سازمان، از داخل و راه‌دور فراهم خواهد شد. همه برنامه‌ها را می‌توان به سرعت و به راحتی تحت پوشش این راهکار قرار داد.

حدود 90 درصد نقض‌های داده هنوز با فیشینگ شروع می‌شوند و حدود 90 درصد راه‌حل‌های MFA معمولی نیز نمی‌توانند جلوی فیشینگ را بگیرند. پس از یک حمله از این دست، ممکن است این سوال در سازمان به وجود بیاید که آیا رهبران امنیتی به اندازه کافی برای جلوگیری از وقوع چنین مواردی اقدام کرده اند یا خیر؟

اتخاذ راهکارهای بدون رمز عبور کمک می‌کند تا مشخص شود که سازمانها (از جمله سازمانهای مالی) تمام تلاش خود را برای جلوگیری و خنثی کردن حملات مبتنی بر اعتبار انجام داده است. ادامه استفاده از رمزهای عبور نیز از سوی دیگر، به وضوح ثابت می‌کند که تلاش حداکثری انجام نشده است.

بازدهی راهکارهای احراز هویت بدون رمز عبور

دیر یا زود، تمامی سازمان‌ها از جمله سازمانهای مالی از راهکارهای احراز هویت بدون رمز عبور برای مدیریت هویت و دسترسی استفاده خواهند نمود. شاید اعداد و ارقام مربوط به بازدهی چنین روش‌هایی بتواند برای مدیران در پذیرش استفاده از چنین راهکارهایی موثر باشد:

• راهکارهای بدون رمز عبور، معمولا هزینه خود را در سال اول به سازمان برخواهند گرداند
  • کاهش تماس‌ها با واحد فناوری برای بازنشانی رمزهای عبور
  • بهره‌وری بیشتر افراد
  • کاهش خطرات و تهدیدات
  • عدم نیاز به انجام امور مرتبط با رمزهای عبور و انطباق با الزامات بالادستی
• مقاومت در برابر حملات فیشینگ تا 99 درصد افزایش خواهد یافت
• کارمندان حداقل حدود 5% بهره‌وری بیشتر خواهند داشت
  • عدم نیاز به رمز عبور برای ورود به سامانه‌ها
  • عدم به خاطر سپردن آنها
  • درگیر نشدن با فرآیند بازنشانی رمزهای عبور
  • عدم انجام کنترل‌های مربوط به رمزهای عبور
• حدود 15 درصد از تماس‌ها با واحد فناوری اطلاعات کاهش پیدا خواهد نمود

تیم نشانه تلاش دارد تا با ارائه راهکاری کارامد، به صرفه و آسان، فرآیند کنار گذاشتن رمزهای عبور و مهاجرت به دنیای امن بدون رمزعبور را برای افراد و سازمان‌ها به ویژه سازمانهای مالی تسهیل کند. در این مسیر تیم نشانه با معرفی نقاط ضعف روش‌های موجود، معرفی روش‌های جدید و آخرین دستاوردها، و همچنین ارائه اطلاعات فنی به متخصصان، سعی نموده است تا نقشی هر چند کوچک در ارتقای دانش عمومی و سطح امنیت سرویس‌های داخلی داشته باشد.

درگاه احراز هویت یکپارچه چیست و چگونه کار می‌کند؟

تصور کنید که به یک مرکز خرید می‌روید و در هر غرفه باید برای اولین خرید خود مجددا ثبت نام کنید و ثابت کنید که شما چه کسی هستید تا بتوانید خرید خود را کامل کنید. متأسفانه، این دقیقاً همان چیزی است که هنگام خرید برخط (online) در اینترنت اتفاق می‌افتد. هر وب‌سایت شما را وادار می‌کند که یک هویت جدید و منحصر به فرد ایجاد کنید. علاوه بر این، هر بار که وارد می‌شوید لازم است مجددا احراز اصالت کنید. سوال بزرگی که پیش می‌آید این است که چرا ورود به سامانه‌ها نمی‌تواند مانند دنیای بیرون باشد؟ چرا نمی‌توانیم هر کجا که می‌خواهیم برویم یک هویت یکپارچه جهانی مانند شناسنامه، گذرنامه یا گواهینامه رانندگی نشان دهیم؟ این همان مشکلی است که درگاه احراز هویت یکپارچه (Single Sign On)، برای حل آن به وجود آمده است.

در حالی که برخی از ویژگی‌های وب گزینه ورود با استفاده از هویت شبکه‌های اجتماعی (مانند فیسبوک و گوگل) را ارائه می‌دهند، اکثر مشتریان هنوز باید برای دسترسی به هر ویژگی و خدمت در سطح وب ثبت‌نام انجام دهند. راه‌حل‌هایی وجود دارد که به مشتریان اجازه می‌دهد از یک هویت دیجیتال واحد به صورت یکپارچه برای ورود به چندین دامنه استفاده کنند. SSO یک نشست (session) متمرکز و خدمت احراز اصالت است که در آن می‌توان از مجموعه‌ای از اعتبارنامه‌های ورود برای دسترسی به چندین برنامه استفاده کرد. به زبان ساده، “SSO به مشتریان کمک می‌کند تا با یک بار احراز اصالت، وارد چندین دامنه یا برنامه شوند”.

برخی از پروتکل‌های اصلی SSO عبارتند از:

• SAML
• JWT
• OAuth
• OpenID

راه‌حل‌های همگام‌سازی گذرواژه نیز وجود دارد که اغلب در دسته‌بندی راه‌حل‌های احراز هویت یکپارچه به سامانه‌ها دسته‌بندی می‌شوند. با این حال، این راه‌حل‌ها در دسته SSO که این روزها کسب‌وکارها به دنبال آن هستند قرار نمی‌گیرند.

مزایای درگاه احراز هویت یکپارچه (Single Sign on) چیست؟

هر کسب ‌وکاری که بیش از یک وب‌سایت یا برنامه کاربردی گوشی تلفن همراه دارد، باید از شیوه احراز هویت یکپارچه به سامانه برای مزایای زیر استفاده کند:

1. تجربه کاربری ساده و روان برای مشتریان: مشتریان می‌توانند از یک هویت واحد برای پیمایش چندین دامنه وب و موبایل یا خدمات برنامه‌های کاربردی استفاده کنند.
2. یکسان نمودن پروفایل‌های مشتری: ایجاد یک نمونه واحد از داده‌های مشتری، دید متمرکزی از مشتری در تمام کانال‌ها فراهم می‌کند.
3. کاهش هزینه‌ها: هزینه‌های فناوری اطلاعات به دلیل تماس‌های کمتر و درخواست راهنمایی در مورد مشکلات ناشی از گذرواژه‌ها کمتر خواهد شد. همچنین از آنجا که مشتریان می‌توانند با یک نشست فعال به همه دامنه‌ها و خدمات دسترسی داشته باشند، منابع لازم اندکی کاهش خواهد یافت.
4. کاهش تهدیدها: خطر دسترسی به سایت‌های شخص ثالث با توجه به عدم ذخیره یا مدیریت گذرواژه‌های کاربر در فضای بیرونی، کاهش خواهد یافت.
5. کاهش خستگی و سردرگمی در ورود گذرواژه‌ها: تعدد نام‌های کاربری و گذرواژه‌ها کاهش یافته و از سردرگمی کاربران کاسته خواهد شد.
6. کاهش زمان ورود: زمان صرف شده توسط مشتری برای وارد کردن مجدد گذرواژها برای یک هویت واحد کاهش می‌یابد.

پیاده‌سازی درگاه احراز هویت یکپارچه (Single Sign On)

تصمیم‌‌گیری در خصوص بهترین روش پیاده‌سازی به معماری فنی و نیازهای کسب و کار بستگی دارد. موارد زیر باید هنگام تصمیم گیری در مورد نحوه اجرای یک راهکار احراز هویت یکپارچه در نظر گرفته شوند:

1. آیا SSO بهترین گزینه برای کسب و کار شماست؟ به عنوان مثال، آیا می‌خواهید وب‌سایت‌ها و برنامه‌های شما با هم مرتبط شوند؟ آیا می‌خواهید مشتریان شما بتوانند از یک هویت مشترک استفاده کنند؟ یا می‌خواهید آنها به تمام خدمات دیجیتال وارد شوند؟
2. اگر به مشتریان خود اجازه استفاده از یک هویت واحد را بدهید، کدام پایگاه‌ها و برنامه‌ها را می‌خواهید بگنجانید؟ به عنوان مثال، آیا می‌خواهید مشتریان شما بتوانند با هویت یکسان به تمام خدمات دیجیتال شما دسترسی داشته باشند؟ یا فقط برخی از آنها؟
3. پس از مشخص شدن موار یاد شده، در مرحله بعد باید تصمیم بگیرید که کدام روش پیاده‌سازی برای کسب و کار شما بهترین است. به عنوان مثال، آیا می‌خواهید یک درگاه احراز هویت یکپارچه برای ورود به سیستم را خودتان بسازید؟ آیا تخصص و زمان لازم برای این کار را دارید؟ یا می‌خواهید یک راه حل حاضر و آماده را از بیرون خریداری کنید؟

سرویس احراز هویت یکپارچه بدون رمز عبور شرکت رهسا مبتنی بر فایدو

همانطور که قبلا توضیح داده شد، درگاه احراز هویت یکپارچه (Single Sign On) به مشتریان اجازه می‌دهد تا با یک هویت دیجیتال وارد وب‌سایت‌ها یا برنامه‌های مرتبط شوند. این کار را می‌توان با متمرکز کردن فرآیند ارائه هویت و احراز اصالت انجام داد.

اگر نتایج بررسی‌های شما برای چگونگی پیاده‌سازی این سرویس، منجر به تصمیم‌گیری در خصوص استفاده از یک راه‌حل آماده در این زمینه گشت، شرکت رهسا (ره آورد سامانه‌های امن) می‌تواند بهترین گزینه برای کمک به شما باشد. این شرکت با توجه به داشتن محصولی به نام نشانه برای ارائه خدمات احراز اصالت بدون رمز عبور مبتنی بر استاندارد فایدو، قادر است اجرای امن، سریع و آسان این سرویس را، در یک سطح امنیتی بالاتر و سادگی بیشتر برای کاربران شما انجام دهد. در واقع با استفاده از سرویس احراز هویت یکپارچه شرکت رهسا، نه تنها تمامی قابلیت‌های این سرویس برای شما فراهم خواهد شد، بلکه حتی امکان ورود بدون رمز نیز برای کاربران شما مهیا خواهد شد. از این رو تمامی ویژگی‌های امنیتی استاندارد فایدو و همچنین تجربه کاربری ساده آن نیز، همزمان برای شما محقق می‌گردد.

احراز هویت چند عاملی مقاوم به حملات فیشینگ

احراز هویت چند عاملی (MFA) یک کنترل امنیتی است که کاربر را ملزم می‌کند تا ترکیبی از دو یا چند عامل مختلف (چیزی که می‌داند، چیزی که دارد یا چیزی که هست) را برای اثبات صحت هویت خود ارائه کند. MFA کار را برای حمله‌کنندگان نسبت به حالت استفاده از گذرواژه‌ها که به راحتی با حملات فیشینگ قابل سرقت هستند دشوارتر می‌کند. هنگامی که MFA فعال شده باشد، حتی با سرقت یکی از عوامل همچون گذرواژه، همچنان حمله‌کننده بدون عامل دوم، امکان دسترسی به حساب کاربر را نخواهد داشت. در ادامه ویژگی‌های احراز هویت چند عاملی مقاوم به فیشینگ یا همان بدون احراز هویت رمز عبور مبتنی بر FIDO را تشریح خواهیم نمود.

گزارش CISA در خصوص استفاده از MFA

آژانس امنیتی زیرساخت و سایبری (Cybersecurity & Infrastructure Security Agency – CISA) به طور مداوم از سازمان‌ها خواسته است که MFA را برای همه کاربران و همه خدمات، از جمله ایمیل، اشتراک‌گذاری فایل و دسترسی به حساب‌های مالی فعال کنند. MFA یک اقدام ضروری برای کاهش تهدیدات سایبری است، هرچند همه شیوه‌های آن به یک اندازه ایمن نیستند. برخی از آنها در برابر حملات فیشینگ، جابجایی سیم کارت (SIM Swap)، آسیب‌پذیری پروتکل  SS7 و بمباران اعلان‌‌ها (Push Bombing) آسیب‌پذیر هستند. این حملات در صورت موفقیت‌آمیز بودن، ممکن است به یک عامل تهدید جدی تبدیل شوند.

CISA یک نمای کلی از تهدیدات علیه حساب‌ها و سیستم‌هایی که از MFA استفاده می‌کنند، ارائه کرده است. این نهاد همچنین راهنماهایی در مورد اجرای MFA مقاوم در برابر حملات فیشینگ که امن‌ترین شکل آن است تدوین نموده است. CISA قویا اصرار دارد همه سازمان‌ها برای اجرای MFA مقاوم در برابر حملات فیشینگ به عنوان بخشی از اصول اعتماد صفر Zero Trust اقدام کنند. در حالی که هر شکلی از MFA بهتر از عدم وجود آن است و سطح حمله به سازمان را کاهش‌ می‌دهد، MFA مقاوم در برابر حملات فیشینگ بسیار موثرتر بوده و سازمان‌ها باید مهاجرت به سمت آن را در اولویت کاری خود قرار دهند.

تهدیدات سایبری احراز اصالت MFA

عوامل تهدید سایبری از روش‌های متعددی برای دسترسی به اعتبارنامه‌های MFA استفاده می‌کنند که عبارتند از:

• فیشینگ: حملات فیشینگ نوعی مهندسی اجتماعی است که در آن عوامل تهدید سایبری از ایمیل یا وبسایت‌های جعلی برای سرقت اطلاعات استفاده می‌کنند. بعنوان مثال، در یک شیوه فیشینگ که به طور گسترده مورد استفاده قرار می‌گیرد، یک عامل تهدید ایمیلی را به یک هدف ارسال می‌کند تا کاربر را متقاعد کند که از یک وبسایت جعلی و تحت کنترل وی (تقلیدشده و کاملا مشابه با صفحه وب اصلی) بازدید کند. کاربر نام کاربری و گذرواژه و همچنین عامل سوم (همچون کد چند رقمی دریافتی از برنامه احراز کننده تلفن همراه) خود را وارد می‌کند. حمله‌کننده از این اطلاعات، بلافاصله و قبل از ابطال کد مورد نظر، برای ورود به صفحه اصلی مربوطه، به جای کاربر استفاده خواهد نمود.
• بهره‌برداری از آسیب‌پذیری‌های پروتکل SS7: عوامل تهدید سایبری از آسیب‌پذیری‌های پروتکل SS7 در زیرساخت‌های ارتباطی برای دریافت کدهای MFA که از طریق پیام متنی (SMS) یا صوتی به تلفن کاربر ارسال می‌شوند، سوء استفاده می‌کنند.
• تعویض سیم‌کارت (SIM Swap) : جابجایی سیم‌ کارت شکلی از مهندسی اجتماعی است که در آن عوامل تهدید سایبری، اپراتورهای تلفن همراه را متقاعد می‌کنند که کنترل شماره تلفن کاربر را به یک سیم‌کارت کنترل شده توسط تهدیدگر منتقل کنند. بدین ترتیب این کار به حمله کننده اجازه می‌دهد تا کنترل تلفن همراه کاربر را به دست آورد.

پیاده‌سازی MFA مقاوم در برابر حملات فیشینگ

تنها شیوه احراز اصالت مقاوم در برابر حملات فیشینگ، FIDO/WebAuthn است. انجمن فایدو در ابتدا پروتکل WebAuthn را به عنوان بخشی از استانداردهای فایدو2 توسعه داد و اکنون توسط کنسرسیوم وب جهانی (W3C) منتشر شده است. پشتیبانی از WebAuthn در مرورگرهای اصلی، سیستم عامل‌ها و تلفن‌های همراه هوشمند نیز گنجانده شده است. WebAuthn با استانداردهای مرتبط با فایدو2 کار می‌کند تا یک احراز کننده مقاوم در برابر حملات فیشینگ را ارائه کند. احرازکننده‌های WebAuthn می‌تواند شامل یکی از موارد زیر باشد:

• کلیدها/توکن‌های فیزیکی که از طریق USB به سامانه متصل می‌شوند.
• گوشی‌های تلفن همراه به عنوان احرازکننده پلتفرم
• سایر دستگاه‌های دارای پروتکل NFC و یا اسمارت کارت

اجرای احراز هویت چند عاملی (MFA) مقاوم در برابر حملات فیشینگ

اولویت بندی مراحل اجرایی

آژانس CISA به مدیران IT سازمان‌ها به منظور اولویت‌بندی مهاجرت به MFA مقاوم در برابر فیشینگ توصیه‌هایی ارائه نموده است. برای این منظور سازمان‌ها باید ملاحظات زیر را در نظر داشته باشند:

• چه منابعی را قصد دارند در برابر نفوذ محافظت کنند؟ به عنوان مثال، عوامل تهدید سایبری اغلب سیستم‌های‌ ایمیل، سرورهای فایل و سیستم‌های دسترسی از راه دور به داده‌های سازمان را هدف قرار می‌دهند. آنها همچنین سعی می‌کنند سرورهای هویت مانند اکتیو دایرکتوری را به خطر بیندازند که به آنها اجازه می‌دهد حساب‌های کاربری جدید ایجاد کنند یا کنترل حساب‌های کاربری موجود را در دست بگیرند.
• کدام کاربران اهداف باارزشی هستند؟ در حالی که به خطر افتادن هر حساب کاربری می‌تواند یک رویداد امنیتی جدی ایجاد کند، هر سازمان تعداد کمی حساب کاربری دارد که دسترسی یا امتیازات بالا دارند که به ویژه برای تهدیدکننده‌های سایبری ارزشمند هستند. برای مثال اگر یک تهدیدگر سایبری بتواند حساب مدیر/راهبر سیستم را به خطر بیاندازد، ممکن است بتواند به هر سیستم و هر داده‌ای در سازمان دسترسی داشته باشد. نمونه‌‌ای دیگر از اهداف با ارزش کارکنان منابع انسانی هستند که ممکن است به سوابق پرسنل دسترسی داشته باشند.

مسائل مشترک و مسیرهای رو به جلو

هنگام شروع استقرار MFA، سازمان‌ها با موانع رایجی مواجه خواهند شد. این مسائل احتمالی پیش رو عبارتند از:

• برخی از سیستم‌ها ممکن است MFA مقاوم در برابر حملات فیشینگ را پشتیبانی نکنند. برخی محصولات شاید دیگر توسط فروشندگان پشتیبانی نشوند یا هنوز احراز اصالت MFA در اولویت برنامه‌های کاری آنها قرار نداشته باشد. از این رو CISA سازمان‌ها را تشویق می‌کند که ابتدا بر خدماتی تمرکز کنند که MFA مقاوم در برابر حملات فیشینگ را پشتیبانی می‌کنند، همچون سرورهای ایمیل و سیستم‌های SSO.
• ممکن است استقرار MFA برای همه کارکنان به طور همزمان دشوار باشد. به عنوان مثال، ممکن است آموزش، ثبت نام و پشتیبانی همه کاربران به طور همزمان غیرممکن بوده یا ملاحظات عملیاتی دیگری وجود داشته باشد که سازمان را از ارائه MFA مقاوم در برابر حملات فیشینگ به برخی گروه‌ها در مرحله اول باز دارد. از این رو باید در نظر بگیرید که چه گروه‌هایی ممکن است برای مرحله اول مناسب باشند. به عنوان مثال مدیران و کارکنان IT می‌تواند نقطه شروع خوبی بوده و از آنجا گسترش به سایر بخش‌های سازمان تحت آموزش این افراد صورت ‌گیرد.
• ممکن است نگرانی‌هایی وجود داشته باشد که کاربران در برابر مهاجرت به MFA مقاومت کنند. مدیران امنیت باید خطرات مرتبط با نداشتن MFA (یا بکارگیری MFA آسیب‌پذیر) را برای تایید به مدیران عالی و ارشد سازمان ارائه کنند. اگر مدیر ارشد سازمان تصمیم بگیرد که خطر عدم استفاده از MFA مقاوم در برابر فیشینگ بسیار زیاد است، فرصت مناسبی برای کمک گرفتن از مدیر ارشد سازمان و همچنین راضی نمودن سایر افراد فراهم خواهد شد.

راهکار مدیریت هویت و دسترسی بدون رمز عبور شرکت رهسا با عنوان نشانه، مبتنی بر استاندارد FIDO است. این راهکار طبق توضیحات بالا، یک شیوه MFA مقاوم در برابر حملات فیشینگ است. نشانه به گونه‌ای طراحی شده تا احراز اصالت را مبتنی بر کلید عبور (Passkey) با تجربه کاربری ساده در اختیار سازمان‌ها قرار دهد. راهکار احراز اصالت نشانه، تضمین می‌کند که الگوهای زیست‌سنجی (همچون اثرانگشت) به عنوان کلید، نگرانی‌های امنیتی را در حوزه مدیریت هویت و دسترسی کاهش دهد.

چرا شرکت‌های کوچک و متوسط باید به کلیدهای امنیتی روی بیاورند؟

وقتی صحبت از امنیت می‌شود، رمزهای عبور یک نقطه ضعف بزرگ محسوب می‌شوند. هکرها و مجرمان سایبری در سرقت رمزهای عبور و سوء استفاده از حفره‌های امنیتی مهارت فوق العاده‌ای پیدا کرده‌اند. این امر به ویژه برای شرکت‌های کوچک و متوسط که احتمالا منابع کافی برای سرمایه‌گذاری در حوزه امنیت ندارند، ​​نگران‌کننده‌تر نیز خواهد بود. خوشبختانه، استفاده از کلیدهای امنیتی مبتنی بر FIDO به عنوان یک راه‌حل احراز هویت قوی در بین این شرکت‌ها محبوبیت فزاینده‌ای پیدا کرده است. در این روش، رمزهای عبور با حالتی امن‌تر از احراز هویت جایگزین شده و پاسخی ساده و موثر به بسیاری از خطرات و مشکلات امنیتی فراهم خواهد شد.

آسیب‌ها و تهدیدهای مرتبط با رمزهای عبور

گذرواژه‌ها طبیعتاً آسیب‌پذیر هستند و خطرات قابل توجهی برای سازمان‌ها در هر اندازه‌ای به همراه دارند. برخی از خطرات عمده عبارتند از:

• استفاده مجدد از رمز عبور: بسیاری از افراد از رمز عبور یکسانی در چندین حساب استفاده می‌کنند و این یک اثر دومینویی ایجاد می‌کند که در آن در صورت نقض یکی از حساب‌ها، همه حساب‌ها در معرض خطر قرار می‌گیرند.

• حملات و کلاهبرداری‌های فیشینگ: فیشینگ که یکی از رایج‌ترین شکل حملات سایبری است، غالبا به فریب دادن افراد برای تحویل رمز عبور خود متکی است.

• رمزهای عبور ضعیف و ناامن: انتخاب گذرواژه‌های کوتاه و یا مواردی که به راحتی قابل حدس زدن هستند نیز یکی از بزرگترین مشکلات در این زمینه بوده که منجر به آسیب‌پذیر شدن سامانه‌های مرتبط می‌گردد.

• احراز هویت سنتی دو مرحله ای: احراز هویت سنتی و معمول دو مرحله‌ای، مانند کدهای پیامکی، نیز آسیب پذیر است، زیرا مهاجمان می‌توانند از شیوه‌های مختلف همچون مهندسی اجتماعی برای متقاعد کردن اپراتورهای تلفن همراه برای انتقال شماره تلفن کاربران به آنها استفاده کنند.

استفاده از کلیدهای امنیتی FIDO برای بهبود امنیت

استفاده از کلیدهای امنیتی دارای مزایای متعددی است که می‌تواند خطراتی مانند نقض داده‌ها را کاهش دهد. برخی از مزایا عبارتند از:

• امنیت بیشتر: کلیدهای امنیتی سطح بالاتری از امنیت را نسبت به سایر شیوه‌های احراز هویت ارائه می‌کنند. از آنجایی که احراز هویت به صورت محلی انجام می‌شود و به یک دستگاه فیزیکی متکی است، نفوذ هکرها به حساب‌های شما را دشوار می‌کند.

• احراز هویت کاربرپسند: فرآیند استفاده از کلید امنیتی بسیار کاربرپسندتر نسبت به گذرواژه‌ها است. کاربران به سادگی کلید امنیتی را به سامانه مربوطه وصل کرده و روی یک دکمه ضربه می‌زنند و به راحتی احراز هویت می‌شوند.

• هزینه و زمان کمتر: کلیدهای امنیتی به صورت گسترده در حال استفاده بوده و بسیار و مقرون به صرفه هستند. بی‌نیاز نمودن کاربران از به خاطر سپردن گذرواژه‌ها و همچنین کاهش تماس‌ها با واحد فناوری سازمان برای بازنشانی آنها، می‌تواند سرعت کار افراد را بالاتر برده و هزینه‌های سازمان را کاهش دهد.

تبدیل دستگاه‌های موجود به کلیدهای امنیتی FIDO

پروتکل‌های کلید امنیتی FIDO تضمین می‌کنند که فقط شما می‌توانید به حساب‌های خود دسترسی داشته باشید و نه هیچ کس دیگری. بنابراین، اگر کلید فیزیکی خود را گم کنید، هیچ کس دیگری نمی‌تواند از آن برای دسترسی به حساب شما استفاده کند. آنها به هیچ نرم‌افزار یا درایور اضافی نیاز ندارند و با بسیاری از سایت‌ها و برنامه‌های کاربردی محبوب کار می‌کنند.

خبر خوب این است که برای بهبود امنیت داده‌های خود لزوما نیازی به خرید دستگاه‌های جدید ندارید. راهکار احراز هویت بدون رمز عبور نشانه به شما کمک می‌کند تا از دستگاه‌هایی که هم‌اکنون در اختیار دارید، به عنوان کلیدهای امنیتی FIDO استفاده کنید. با استفاده از تلفن‌های همراه هوشمند، کارت‌های شناسایی و یا هر وسیله‌ای که دارای RFID یا NFC باشد، راهکار نشانه به شما اجازه می‌دهد تا تنها در عرض چند ثانیه، فرآیند احراز هویت خود را بدون نیاز به گذرواژه انجام داده و از داده‌های حساس سازمان خود حفاظت کنید.