احراز هویت در صنعت مالی: حال و آینده
صنعت مالی و انواع خدمات آن، از بانکداری خرد تا بیمه، با چالشهای مختلفی از مسیرهای مختلف مواجه است، از فشار رقابتی گرفته تا چشمانداز امنیتی و الزامات بالاستی در حال تغییر. این چالشها باید به گونهای برطرف شوند که تحول فناوری و کسب و کاری لازم را ارائه دهند. اما آیا این محیط چالشبرانگیز میتواند محرک نوآوری باشد؟ آیا میتواند یک طرح چابک برای امنیت ایجاد نموده و مقاوم در برابر امنیت و آماده برای تغییر باشد؟ نقش احراز هویت در چنین فضایی چه خواهد بود؟
پیشینه صنعت مالی
چالشهای پیش روی چشمانداز مدرن مالی بسیار و متنوع هستند، از فشارهای رقابتی گرفته تا قوانین دائما در حال تغییر. راهحلهای رقابتی – که اغلب بر مجموعه کوچکی از برنامهها یا خدمات برای کارکردهایی مانند احراز هویت، تمرکز دارند – اغلب منجر به فرآیندهای عملیاتی پیچیده و بازده ضعیف سرمایهگذاری میشوند.
اما آیا این چالشها محرکی برای رویکرد مدرنتر در زمینه امنیت و احراز هویت هستند؟
فرصتها در این حوزه نیز بسیار گسترده است. انعطافپذیری و توانایی پاسخگویی به فشار رقابتی، یک معیار کلیدی برای یک نهاد موفق در حوزه خدمات مالی است. امّا چگونه میتوان به این هدف دست یافت؟
امروزه امنیت دیگر به عنوان مانعی برای پیشرفت فنی دیده نمیشود. امنیت، زمانی که به صورت ماژولار و جداگانه اجرا شود، به سازمانها اجازه میدهد تا در فرصتهای بیشتری مشارکت کنند. این کار به پیشبرد همکاری، ادغام و به اشتراکگذاری دادهها برای کارمندان و مشتریان کمک میکند.
یک معماری امنیتی قوی و ماژولار، پایه و اساس کاهش ریسک و همچنین تعامل بهبود یافته را فراهم میکند و در نهایت درآمدزا خواهد بود.
وضعیت فعلی – در اعداد
فرصت تغییر و نیاز به استقرار یک معماری امنیتی مدرن، توسط چشمانداز تهدید در حال تکامل که اکنون در صنعت خدمات مالی وجود دارد، بیشتر احساس میشود. انواع کلاهبرداریها، تصاحب حساب، اعتبارنامههای نقض شده و سوء استفاده از حسابهای کاربری همه رایج و در حال افزایش هستند. تحقیق انجام شده توسط VansonBourne بر روی 500 تصمیمگیرنده فناوری اطلاعات در صنعت خدمات مالی در اروپا و ایالات متحده، اطلاعات جالبی در خصوص چشمانداز تهدید در حال تکامل فعلی استخراج نموده است.
۸۰ درصد از افرادی که در نظرسنجی شرکت کردند، اعلام نمودند که یک نقض اخیر مربوط به ضعف احراز هویت وجود داشته است. هزینه میانگین مرتبط با نقضهای مربوط به احراز هویت نیز حدود ۲.۱ میلیون دلار برآورد شده است که بسیار بالا بوده و به هیچ وجه نمیتوان آن را نادیده گرفت.
طبق یافتهها، حملات فیشینگ و رهگیری پیامهای کوتاه مربوط به یکبار رمزها در حال افزایش هستند و تهدید قابل توجهی برای ابزارهای احراز هویت چند عاملی موجود به حساب میآیند.
از این رو این سوال مطرح میشود که جایگزین مناسب چه خواهد بود؟ به نظر میرسد مؤلفههای احراز هویت موجود، ضعف اصلی برای ورود و ثبتنام کارمند و مشتری هستند. روند کلیدی فناوری که برای حل مشکلات کنونی برای بسیاری از مؤسسات مالی پدیدار شده است، احراز هویت بدون رمز عبور و حذف وابستگی به اسرار مشترک به طور کلی است.
همچنین یکی دیگر از نکات مهم تحقیق انجام شده، پاسخ به سوالی در خصوص مزایای احراز هویت بدون رمز عبور از ۵۰۰ تصمیمگیرنده فناوری اطلاعات مربوطه بوده که به صورت کلی با پاسخ بسیار واضح زیر مواجه شده است:
درگیری قبلی بین میزان امنیت و سادگی استفاده دیگر برای مصرفکننده امروزی قابل قبول نبوده و از نظر فنی نیز غیرقابل دستیابی نیست، زیرا این دو نگرانی به صورت همزمان به عنوان مزایای اصلی احراز هویت بدون رمز عبور دیده میشوند.
نقشهراه امنیتی
یک چشمانداز امنیتی مناسب باید بتواند برای پذیرش گسترده و پوشش فناوریهای احراز هویت بدون رمز عبور، مناسب باشد. توانایی ارائه یکسان یک تجربه بدون رمز عبور به همکاران و مشتریان، بسیار مهم است. این کار ممکن است نیاز به ادغام گزینههای بدون رمز عبور در طیف وسیعی از سامانههای سازمان داشته باشد.
همچنین ممکن است نیاز به جایگزینی مؤلفههای MFA موجود مانند کلیدهای امنیتی یا روشهای رمز عبور یکبار مصرف قدیمی، با شیوههای جدید و یا استفاده از آنها با روشهایی متفاوت داشته باشیم.
همانطور که بسیاری از سازمانهای خدمات مالی اکنون از یک رویکرد اعتماد صفر برای معماری امنیتی استفاده میکنند، توانایی ارائه یک تجربه احراز هویت مبتنی بر FIDO “انتها به انتها” یک پایه امنیتی را فراهم میکند که آیندهنگر و مبتنی بر استانداردها است.
از نقطه نظر کاربر نهایی، موارد استفاده کمی متفاوت هستند. شیوههای مدرن باید توانایی ثبتنام و ورود یکپارچه کاربر به صورت بسیار ساده را دارا باشند. همچنین در کاهش میزان حملات و کلاهبرداریها و بهبود پذیرش کلی میزان استفاده نیز عملکرد خوبی داشته باشند.
نکات نهایی
اگرچه نهادهای مالی قرنها در حال فعالیت هستند، اما همچنان در حال تکامل بوده و زیرساختهای دیجیتالی تحت حمله امروزی آنها نیز نیاز به تکامل دارند. با توجه به چشماندازهای رقابتی و فناوری چالشبرانگیز کنونی، فرصت ارائه یک بافت امنیتی مدرن و انعطافپذیر گزینهای است که نمیتوان به سادگی از آن عبور کرد و آن را نادیده گرفت.
یک مؤلفه کلیدی این بافت امنیتی، نیاز به حذف رمزهای عبور از چشمانداز کاربران است. احراز هویت بدون رمز عبور میتواند ساختاری برای یک تجربه دیجیتال آیندهنگر، ایمن و قابل استفاده برای بهبود جذب کاربر و کاهش پیچیدگی عملیاتی فراهم کند.
نشانه، راهکار احراز هویت بدون رمزعبور مبتنی بر استاندارد FIDO، که به صورت بومی توسط شرکت رهسا توسعه داده شده است، میتواند در این مسیر، به تمامی بانکها، شرکتهای بیمهای و سایر موسسات مالی کمک نماید. تلاش ما، کمک به تمامی سازمانها در راحتتر نمودن فرآیند استقرار یک راهکار بدون رمز عبور و تجربه شیرین امنیت و سادگی برای کاربران است.
مزایای احراز هویت FIDO برای سازمانها
سیستمهای مدیریت هویت و دسترسی (IAM) در حال تغییر هستند. زیرا هکرها روشهایشان را پیشرفتهتر کرده و قانونها هم برای حفاظت از اطلاعات کاربران سختگیرانهتر میشوند. روشهای قدیمی که از رمزهای عبور ساده استفاده میکنند، دیگر جوابگو نیستند. حتی روشهای جدیدتر مثل احراز هویت دو مرحلهای با پیامک هم در حال کنار گذاشته شدن است. دنیای احراز هویت در حال حرکت به سمت روشهای جدید و امنتری است. دیگر خبری از رمزهای عبور نبوده و به جای آنها، از روشهایی مثل اثر انگشت، تشخیص چهره و کلیدهای امنیتی استفاده میشود. چرا FIDO بسیار مهم است؟ چون این استاندارد، روشهای احراز هویت را سادهتر، امنتر و قابل اطمینانتر نموده است. استاندارد FIDO به جای رمزهای عبور از کلیدهای امنیتی استفاده میکند که هک کردن آنها بسیار سختتر است.
FIDO چیست؟
FIDO مجموعهای از استانداردهای باز احراز هویت است که توسط اتحاد FIDO توسعه یافته است. این اتحاد شامل شرکتهای پیشرو در فناوری مانند اپل، گوگل، مایکروسافت، سازمانهای مالی مانند Bank of America، مسترکارت و ویزا و سازمانهای نظارتی مانند NIST است. مأموریت اعلام شده آن ایجاد استانداردهای احراز هویت است که به کاهش وابستگی جهان به رمزهای عبور کمک میکند.
FIDO یک روش امن و مدرن برای ورود به حسابهای آنلاین است که به جای رمز عبور از روشهای قویتر مثل اثر انگشت یا کلید امنیتی استفاده میکند.
مزایای FIDO برای سازمانها
یکی از مزایای اصلی فرایند احراز هویت با FIDO، استفاده همزمان از عوامل مختلف مانند کلید و ویژگیهای ذاتی همچون اثرانگشت است. این کار شرایط احراز هویت چند عاملی را بدون استفاده از رمزهای عبور و بدون ایجاد مزاحمت برای کاربر برآورده میکند.
مزایای دیگری نیز در استفاده از FIDO برای احراز هویت وجود دارد، که از مهمترین آنها میتوان به هشت مزیت زیر برای سازمانها اشاره کرد.
- احراز هویت بدون رمز عبور: حملات رمز عبور همچنان بزرگترین خطر برای فضای امنیت دیجیتال است. سرقت اطلاعات ورود به سامانهها ریشه اصلی 80 درصد حملات وب و 50 درصد نقضهای داده است. آنها همچنین سکوی پرتاب برای حملات دیگر مانند باجافزار نیز هستند. استفاده از یک راهحل احراز هویت بدون رمز عبور به طور قابل توجهی دفاعها در این زمینه را تقویت و آسیبپذیری در برابر حملات فیشینگ و مهندسی اجتماعی را کاهش میدهد.
- عدم وجود راز مشترکی: مشکل رازهای مشترک این است که بیش از یک طرف آنها را میداند و میتواند از آن استفاده کند. این امر در مورد رمزهای عبور و سایر MFAهای رایج مانند پیام کوتاه (SMS) و OTPها صدق میکند. یکی از مزایای احراز هویت FIDO و رمزنگاری کلید عمومی این است که راز حیاتی، کلید خصوصی کاربر، روی دستگاه او باقی میماند. در نتیجه، هیچ راز مشترک سمت سروری برای سرقت وجود ندارد تا احتمال یک نقض موفق را افزایش دهد.
- تأمین امنیت حریم خصوصی کاربر: از جمله مزایای رمزنگاری کلید عمومی FIDO این است که جفت کلیدهای عمومی و خصوصی مورد استفاده هیچ اطلاعات شخصی را ارائه نمیدهند. همچنین این کلیدها هیچ ارتباطی بین سرورها یا حسابهای مختلف کاربر ایجاد نمیکنند. علاوه بر این، دادههای بیومتریک مورد استفاده برای گشودن قفل کلید خصوصی هرگز دستگاه کاربر را ترک نمیکند و نمیتوان آن را از سرورها یا از طریق حملات man-in-the-middle سرقت کرد.
- انطباق با قوانین و الزامات بالادستی: احراز هویت ناامن خطر عدم انطباق با مقررات امنیت و حریم خصوصی را افزایش میدهد که میتواند منجر به جریمه، از دست دادن اعتماد عمومی و افزایش هزینههای کسب و کار شود. احراز هویت مبتنی بر FIDO با استانداردهای امنیت سایبری تعیین شده توسط سازمانهای دولتی و صنعت مانند NIST 800-63B و PSD2 مطابقت دارد و حتی از آنها پیشی گرفته است. علاوه بر این، حمایت سازمانهای بزرگ دنیا به آن جایگاه قوی در زمینه روشهای پذیرفته شده برای برآورده کردن سایر الزامات نظارتی مانند PCI-DSS میدهد.
- قابلیت همکاری: پروتکل FIDO توسط گروه بزرگی از سازمانهای امنیتی، فناوری، موسسات مالی و نهادهای نظارتی توسعه و مدیریت میشود. تمام مشخصات به صورت رایگان برای بررسی و پیادهسازی در دسترس است. علاوه بر این، احراز هویت FIDO به عنوان یک استاندارد منبع باز میتواند بدون محدودیت با یک سیستم عامل، ارائه دهنده هویت (IdP) یا سرویس ورود یکپارچه (SSO) در تمام پلتفرمها بدون مشکل کار کند. این به کاربران امکان میدهد تا تمام دستگاهها و برنامههای کاربردی خود را با همان احراز هویت امن ادغام کنند.
- راحتی کاربر: مزایای استفاده از احراز هویت FIDO نه تنها به سمت توسعهدهنده محدود نیست، بلکه به سمت کاربران نیز گسترش مییابد. فرآیند احراز هویت FIDO، احراز هویت چند عاملی ایمن را در یک حرکت ساده، مثل تایید یک اعلان، امکانپذیر میکند. طیف وسیعی از دستگاهها و روشهای موجود، مانند تلفن هوشمند و کلیدهای امنیتی، یک سیستم انعطافپذیر ایجاد میکنند که میتواند نیازهای کاربران فردی و سازمانی را به سادگی برآورده کند.
- مقیاسپذیری: یکی از چالشهای اصلی برای گسترش پذیرش فرایندهای احراز هویت ایمنتر، هزینه و دشواری استقرار داراییهایی مانند کلیدهای امنیتی یا حسگرهای بیومتریک است. از دیگر مزایای FIDO این است که چگونه به کاربران اجازه میدهد تا عوامل مورد نیاز احراز هویت را با استفاده از دستگاههای موجود و فعلی خود برآورده کنند. از این جمله میتوان به تلفن همراه هوشمند، کارت شناسایی RFID یا NFC و هرگونه کلید سختافزاری اشاره نمود. همچنین، سازگاری بین پلتفرمهای FIDO، یک راهحل احراز هویت استاندارد را خیلی سریع در کل اکوسیستم سازمان قابل استقرار و مقیاسپذیر میکند.
- کاهش هزینهها: رمزهای عبور نه تنها خطر قابل توجهی برای سازمان ایجاد میکنند، بلکه یک هزینه مستقیم نیز هستند. یک گزارش تحقیقاتی از Verizon نشان میدهد که کارمندان 6-10 بار در سال به خاطر مشکلات رمز عبور با پشتیبانی فناوری اطلاعات سازمان تماس میگیرند. هزینه هر بازنشانی رمز عبور میتواند برای سازمان قابل توجه باشد. علاوه بر این، هزینه عدم ورود و در واقع عدم بهرهوری در زمانی که کارمندان به دلیل فراموشی رمز عبور امکان ورود به سیستمهای خود را ندارند نیز باید در نظر گرفت تا هزینه کامل وارده به سازمان محاسبه گردد. مزایای احراز هویت FIDO شامل حذف این هزینهها و همچنین اختلال در کسب و کار و هزینههای پاسخگویی به حوادث مرتبط با حملات مبتنی بر رمزهای عبور است.
نشانه، راهکار احراز هویت بدون رمز عبور مبتنی بر FIDO است که در شرکت رهسا و به صورت کاملا بومی توسعه داده شده است. ما در تیم توسعه نشانه تلاش میکنیم با ارائه راهکاری کارامد، به صرفه و آسان، فرآیند کنار گذاشتن رمزهای عبور و مهاجرت به دنیای امن بدون رمزعبور را برای افراد و سازمانها تسهیل کنیم. راهکار نشانه به گونهای تهیه شده است تا تمامی مزایای تشریح شده را برای سازمانها محقق گرداند. در این مسیر با معرفی نقاط ضعف روشهای موجود احراز هویت، معرفی روشهای جدید این حوزه و آخرین دستاوردهای آن و ارائه اطلاعات فنی به متخصصان، تلاش مینماییم تا نقشی هر چند کوچک در ارتقای دانش عمومی و سطح امنیت سرویسهای داخلی داشته باشیم.
احراز هویت بدون رمز عبور برای سازمانهای مالی
رهبران امنیت سایبری در سازمانهای مالی، بخش زیادی از انرژی خود را صرف تغییر مقررات، تحولات مداوم، و جریان بیپایان تهدیدهای سایبری میکنند. نکته شگفتانگیز آن است که در سالهای اخیر، مشخص شده است که بیشتر فناوریها، چه موارد حوزه فناوری اطلاعات و چه حتی فناوریهای حوزه امنیت، خود دارای مشکلات متعددی بوده و دردسرهایی را برای سازمانها به دنبال داشتهاند. در این زمینه احراز هویت چند عاملی (MFA) کمی مستنثنی بوده و توانسته خطرات سایبری ناشی از فیشینگ، باج افزار، و تصاحب حساب (ATO)را کاهش دهد، سازمانها را به Zero Trust نزدیک نموده و از انطباق در این زمینه پشتیبانی کند و همچین در خصوص همه افراد – کاربران، تیم IT، و تیمهای امنیتی – صرفهجوییهایی برای سازمانها به دنبال داشته باشد.
چه چیزی باعث میشود که MFA اینقدر ارزشمند گردد؟
کارشناسان هویت را «مرز جدید» دفاع مدرن امنیت سایبری و MFA را یک استراتژی کلیدی در بهبود تأیید هویت میدانند. هدف MFA متوقف کردن فیشینگ و سوء استفاده از اعتبار با هدف جلوگیری از عملکرد بدافزارها، باج افزارها، نشت دادهها، زنجیره تامین و سایر تهدیدات داخلی مرتبط میباشد. سازمان استاندارد ایالات متحده (NIST)، آژانس امنیت ملی (CISA) و سایر نهادهای مرتبط در این کشور، همگی اهمیت MFA را برای دستیابی به یک بینش اعتماد سطح صفر تبلیغ و ترویج میکنند. در ادامه جزئیات بیشتری در این خصوص ارائه خواهد شد.
MFA در برابر راهکارهای بدون رمز عبور
MFA تأیید هویت را در مقابل تکیه بر رمزهای عبور تقویت میکند، اما اکثر راهحلها همچنان رمزهای عبور را به عنوان اولین عامل احراز هویت حفظ میکنند. این باعث میشود که MFA بسیار کمتر از آنچه انتظار میرفت ارزش داشته باشد.
در سوی دیگر، یک رویکرد بدون رمز عبور، شیوه شروع حمله مورد علاقه مهاجمان – فیشینگ – را از بین میبرد. این کار در عین حال این اطمینان را افزایش میدهد که فردی که قصد ورود به سیستم را دارد، کاربر قانونی است که به دنبال انجام کارهای مجاز است. خلاص شدن از شر گذرواژهها (نشاندهنده «چیزی که کاربران میدانند») و ترکیب عاملهای قویتر تأیید هویت – مانند چیزی که کاربران دارند و چیزی که کاربران هستند – بیشترین میزان خطر را از جعل هویت و مهندسی اجتماعی حذف میکند. همچنین این شیوه موارد زیر را نیز رفع خواهد نمود:
- بیشتر از 80 درصد از نقضهایی که شامل اعتبارنامههای به خطر افتاده است
- حملات فیشینگ، فیشینگ بهعنوان سرویس (PhaaS) و حملات مرد میانی (MITM)
- همه شکها در خصوص کمکاری افراد مسئول برای جلوگیری از سوء استفاده از اعتبارها و به خطر افتادن آنها
اما برای پیادهسازی درست و اصولی راهکارهای بدون رمز عبور، سازمانهای خدمات مالی باید ورود امن را به همه اعضای نیروی کار و هر برنامه کاربردی، از هر دستگاه یا مکانی گسترش دهند.
آیا راهاندازی یک راهکار بدون رمز عبور دشوار است؟
راهاندازی یک راهکار بدون رمز عبور میتواند بسیار سادهتر از آن چیزی باشد که به نظر میرسد. قبل از اینکه به نکات مهم در این خصوص بپردازیم، به دو چالش بزرگ که از طریق این راهکارها بسیار ساده حل خواهد شد اشاره میکنیم:
- سریعتر نمودن فرآیندهای جذب نیرو و ادغام شرکتها: جذب نیرو و ادغام سازمان یا بخشی از آن با سایر شرکتها و یا حتی تغییر وضعیت فیزیکی واحدهای سازمانی، میتواند مشکلاتی در گردش کار ورود به سامانهها ایجاد کند. وجود یک سامانه واحد و راهکار کارآمد و ساده برای دسترسی به برنامهها و زیرساختها، راهحلی برای سازمان در چنین وضعیتهایی خواهد بود.
- امنیت مدرن برای برنامههای قدیمی: تمرکز بیشتر صنعت بانکداری بر حفاظت از دادههای مشتریان، ذخیرهسازی دادهها به صورت محلی و در زیرساختهای قدیمی را به دنبال داشته است. این کار اگرچه ممکن است ایمنتر باشد، اما حفظ سیستمهای قدیمیچالشهای خاص خود را به همراه دارد. هرچند با استفاده از راهکارهای ورود بدون رمز عبور، میتوان به طرق مختلف همچون درگاه ورود یکپارچه، فناوریهای قدیمی را نیز تحت پوشش فرآیند مدرن مدیریت هویت و دسترسی قرار داد.
فرآیند احراز هویت و دسترسی بدون رمز عبور نشانه
راهکار احراز هویت بدون رمز عبور نشانه، حداقل سه مزیت اساسی برای تمامی سازمانها از جمله سازمانهای مالی به همراه خواهد داشت:
- ورود ایمن، ساده و یکپارچه در همه جا و از همه برنامهها
- پوشش کامل گستره سازمان برای توقف فیشینگ
- کمک برای ساخت سطح اعتماد صفر (Zero Trust)
با راهکار نشانه، پوشش کامل برای مدیریت دسترسیهای برنامههای کاربردی سازمان، از داخل و راهدور فراهم خواهد شد. همه برنامهها را میتوان به سرعت و به راحتی تحت پوشش این راهکار قرار داد.
حدود 90 درصد نقضهای داده هنوز با فیشینگ شروع میشوند و حدود 90 درصد راهحلهای MFA معمولی نیز نمیتوانند جلوی فیشینگ را بگیرند. پس از یک حمله از این دست، ممکن است این سوال در سازمان به وجود بیاید که آیا رهبران امنیتی به اندازه کافی برای جلوگیری از وقوع چنین مواردی اقدام کرده اند یا خیر؟
اتخاذ راهکارهای بدون رمز عبور کمک میکند تا مشخص شود که سازمانها (از جمله سازمانهای مالی) تمام تلاش خود را برای جلوگیری و خنثی کردن حملات مبتنی بر اعتبار انجام داده است. ادامه استفاده از رمزهای عبور نیز از سوی دیگر، به وضوح ثابت میکند که تلاش حداکثری انجام نشده است.
بازدهی راهکارهای احراز هویت بدون رمز عبور
دیر یا زود، تمامی سازمانها از جمله سازمانهای مالی از راهکارهای احراز هویت بدون رمز عبور برای مدیریت هویت و دسترسی استفاده خواهند نمود. شاید اعداد و ارقام مربوط به بازدهی چنین روشهایی بتواند برای مدیران در پذیرش استفاده از چنین راهکارهایی موثر باشد:
- راهکارهای بدون رمز عبور، معمولا هزینه خود را در سال اول به سازمان برخواهند گرداند
- کاهش تماسها با واحد فناوری برای بازنشانی رمزهای عبور
- بهرهوری بیشتر افراد
- کاهش خطرات و تهدیدات
- عدم نیاز به انجام امور مرتبط با رمزهای عبور و انطباق با الزامات بالادستی
- مقاومت در برابر حملات فیشینگ تا 99 درصد افزایش خواهد یافت
- کارمندان حداقل حدود 5% بهرهوری بیشتر خواهند داشت
- عدم نیاز به رمز عبور برای ورود به سامانهها
- عدم به خاطر سپردن آنها
- درگیر نشدن با فرآیند بازنشانی رمزهای عبور
- عدم انجام کنترلهای مربوط به رمزهای عبور
- حدود 15 درصد از تماسها با واحد فناوری اطلاعات کاهش پیدا خواهد نمود
تیم نشانه تلاش دارد تا با ارائه راهکاری کارامد، به صرفه و آسان، فرآیند کنار گذاشتن رمزهای عبور و مهاجرت به دنیای امن بدون رمزعبور را برای افراد و سازمانها به ویژه سازمانهای مالی تسهیل کند. در این مسیر تیم نشانه با معرفی نقاط ضعف روشهای موجود، معرفی روشهای جدید و آخرین دستاوردها، و همچنین ارائه اطلاعات فنی به متخصصان، سعی نموده است تا نقشی هر چند کوچک در ارتقای دانش عمومی و سطح امنیت سرویسهای داخلی داشته باشد.
درگاه احراز هویت یکپارچه چیست و چگونه کار میکند؟
SSO چیست؟ Single Sign On
تصور کنید که به یک مرکز خرید میروید و در هر غرفه باید برای اولین خرید خود مجددا ثبت نام کنید و ثابت کنید که شما چه کسی هستید تا بتوانید خرید خود را کامل کنید. متأسفانه، این دقیقاً همان چیزی است که هنگام خرید برخط (online) در اینترنت اتفاق میافتد. هر وبسایت شما را وادار میکند که یک هویت جدید و منحصر به فرد ایجاد کنید. علاوه بر این، هر بار که وارد میشوید لازم است مجددا احراز اصالت کنید. سوال بزرگی که پیش میآید این است که چرا ورود به سامانهها نمیتواند مانند دنیای بیرون باشد؟ چرا نمیتوانیم هر کجا که میخواهیم برویم یک هویت یکپارچه جهانی مانند شناسنامه، گذرنامه یا گواهینامه رانندگی نشان دهیم؟ این همان مشکلی است که درگاه احراز هویت یکپارچه (Single Sign On)، برای حل آن به وجود آمده است.
در حالی که برخی از ویژگیهای وب گزینه ورود با استفاده از هویت شبکههای اجتماعی (مانند فیسبوک و گوگل) را ارائه میدهند، اکثر مشتریان هنوز باید برای دسترسی به هر ویژگی و خدمت در سطح وب ثبتنام انجام دهند. راهحلهایی وجود دارد که به مشتریان اجازه میدهد از یک هویت دیجیتال واحد به صورت یکپارچه برای ورود به چندین دامنه استفاده کنند. SSO یک نشست (session) متمرکز و خدمت احراز اصالت است که در آن میتوان از مجموعهای از اعتبارنامههای ورود برای دسترسی به چندین برنامه استفاده کرد. به زبان ساده، “SSO به مشتریان کمک میکند تا با یک بار احراز اصالت، وارد چندین دامنه یا برنامه شوند”.
برخی از پروتکلهای اصلی SSO عبارتند از:
- SAML
- JWT
- OAuth
- OpenID
راهحلهای همگامسازی گذرواژه نیز وجود دارد که اغلب در دستهبندی راهحلهای احراز هویت یکپارچه به سامانهها دستهبندی میشوند. با این حال، این راهحلها در دسته SSO که این روزها کسبوکارها به دنبال آن هستند قرار نمیگیرند.
مزایای درگاه احراز هویت یکپارچه (Single Sign on) چیست؟
هر کسب وکاری که بیش از یک وبسایت یا برنامه کاربردی گوشی تلفن همراه دارد، باید از شیوه احراز هویت یکپارچه به سامانه برای مزایای زیر استفاده کند:
- تجربه کاربری ساده و روان برای مشتریان: مشتریان میتوانند از یک هویت واحد برای پیمایش چندین دامنه وب و موبایل یا خدمات برنامههای کاربردی استفاده کنند.
- یکسان نمودن پروفایلهای مشتری: ایجاد یک نمونه واحد از دادههای مشتری، دید متمرکزی از مشتری در تمام کانالها فراهم میکند.
- کاهش هزینهها: هزینههای فناوری اطلاعات به دلیل تماسهای کمتر و درخواست راهنمایی در مورد مشکلات ناشی از گذرواژهها کمتر خواهد شد. همچنین از آنجا که مشتریان میتوانند با یک نشست فعال به همه دامنهها و خدمات دسترسی داشته باشند، منابع لازم اندکی کاهش خواهد یافت.
- کاهش تهدیدها: خطر دسترسی به سایتهای شخص ثالث با توجه به عدم ذخیره یا مدیریت گذرواژههای کاربر در فضای بیرونی، کاهش خواهد یافت.
- کاهش خستگی و سردرگمی در ورود گذرواژهها: تعدد نامهای کاربری و گذرواژهها کاهش یافته و از سردرگمی کاربران کاسته خواهد شد.
- کاهش زمان ورود: زمان صرف شده توسط مشتری برای وارد کردن مجدد گذرواژها برای یک هویت واحد کاهش مییابد.
پیادهسازی درگاه احراز هویت یکپارچه (Single Sign On)
تصمیمگیری در خصوص بهترین روش پیادهسازی به معماری فنی و نیازهای کسب و کار بستگی دارد. موارد زیر باید هنگام تصمیم گیری در مورد نحوه اجرای یک راهکار احراز هویت یکپارچه در نظر گرفته شوند:
- آیا SSO بهترین گزینه برای کسب و کار شماست؟ به عنوان مثال، آیا میخواهید وبسایتها و برنامههای شما با هم مرتبط شوند؟ آیا میخواهید مشتریان شما بتوانند از یک هویت مشترک استفاده کنند؟ یا میخواهید آنها به تمام خدمات دیجیتال وارد شوند؟
- اگر به مشتریان خود اجازه استفاده از یک هویت واحد را بدهید، کدام پایگاهها و برنامهها را میخواهید بگنجانید؟ به عنوان مثال، آیا میخواهید مشتریان شما بتوانند با هویت یکسان به تمام خدمات دیجیتال شما دسترسی داشته باشند؟ یا فقط برخی از آنها؟
- پس از مشخص شدن موار یاد شده، در مرحله بعد باید تصمیم بگیرید که کدام روش پیادهسازی برای کسب و کار شما بهترین است. به عنوان مثال، آیا میخواهید یک درگاه احراز هویت یکپارچه برای ورود به سیستم را خودتان بسازید؟ آیا تخصص و زمان لازم برای این کار را دارید؟ یا میخواهید یک راه حل حاضر و آماده را از بیرون خریداری کنید؟
سرویس احراز هویت یکپارچه بدون رمز عبور شرکت رهسا مبتنی بر فایدو
همانطور که قبلا توضیح داده شد، درگاه احراز هویت یکپارچه (Single Sign On) به مشتریان اجازه میدهد تا با یک هویت دیجیتال وارد وبسایتها یا برنامههای مرتبط شوند. این کار را میتوان با متمرکز کردن فرآیند ارائه هویت و احراز اصالت انجام داد.
اگر نتایج بررسیهای شما برای چگونگی پیادهسازی این سرویس، منجر به تصمیمگیری در خصوص استفاده از یک راهحل آماده در این زمینه گشت، شرکت رهسا (ره آورد سامانههای امن) میتواند بهترین گزینه برای کمک به شما باشد. این شرکت با توجه به داشتن محصولی به نام نشانه برای ارائه خدمات احراز اصالت بدون رمز عبور مبتنی بر استاندارد فایدو، قادر است اجرای امن، سریع و آسان این سرویس را، در یک سطح امنیتی بالاتر و سادگی بیشتر برای کاربران شما انجام دهد. در واقع با استفاده از سرویس احراز هویت یکپارچه شرکت رهسا، نه تنها تمامی قابلیتهای این سرویس برای شما فراهم خواهد شد، بلکه حتی امکان ورود بدون رمز نیز برای کاربران شما مهیا خواهد شد. از این رو تمامی ویژگیهای امنیتی استاندارد فایدو و همچنین تجربه کاربری ساده آن نیز، همزمان برای شما محقق میگردد.