احراز اصالت بدون رمز عبور LDAP

در دنیای دیجیتال امروز، اطمینان از احراز اصالت ایمن و کارآمد همچون استفاده از شیوه های احراز هویت بدون رمز عبور برای محافظت از اطلاعات حساس و حفظ یکپارچگی سامانه‌ها حیاتی است. احراز هویت LDAP (اکتیو دایرکتوری) راه‌حلی قوی برای مدیریت هویت کاربران و دسترسی آنها در برنامه‌ها و سیستم‌های مختلف است. LDAP یک رویکرد امن و متمرکز برای احراز هویت کاربران و مدیریت متمرکز آنها در زیرساخت شبکه یک سازمان فراهم می‌کند. در ادامه به مفهوم احراز اصالت در این پروتکل، ملاحظات آن، مزایا، نحوه پیاده‌سازی، بهترین شیوه‌ها و چالش‌های آن می‌پردازیم.

 

آشنایی با مبانی LDAP

LDAP یا Lightweight Directory Access Protocol یک پروتکل کاربردی است که برای دسترسی و مدیریت اطلاعات دایرکتوری‌ها استفاده می‌شود. این پروتکل یک رویکرد استاندارد برای ذخیره، بازیابی و اصلاح داده‌ها در یک ساختار دایرکتوری سلسله مراتبی ارائه می‌دهد و از آن می‌توان برای خواندن و دریافت اطلاعات از سرورهای دایرکتوری مانند Microsoft Active Directory یا OpenLDAP در شبکه استفاده کرد. این پروتکل غالبا از ارتباط با یک فراهم‌کننده هویت Identity provider مانند اکتیو دایرکتوری برای احراز هویت کاربران استفاده می‌کند. همچنین می‌توان احراز هویت چند عاملی (MFA) را به فرآیند احراز اصالت اضافه نمود تا یک مرحله امنیتی اضافی برای احراز اصالت کاربران ایجاد گردد.

LDAP روی یک مدل کلاینت/سرور جایی که مشتریان درخواست‌هایی را برای اطلاعات دایرکتوری به سرور ارسال می‌کنند، کار می‌کند. سرور که به عنوان سرور LDAP شناخته می‌شود، اطلاعات مربوط به کاربر و سامانه‌ها را در یک پایگاه داده دایرکتوری منطبق بر یک ساختار نامگذاری یکتا یا Distnguished Name (DN) برای فراهم نمودن امکان شناسایی و مکان‌یابی ورودی‌ها ذخیره می‌کند.

 

مقدمه‌ای بر احراز اصالت LDAP

احراز اصالت در LDAP (اکتیو دایرکتوری) برای تایید اعتبار کاربر در مقابل سرور دایرکتوری اصلی که به عنوان سرور شناخته می‌شود، استفاده می‌شود. برای آماده نمودن سرور  بدین منظور می‌بایست ابتدا آن را راه‌اندازی کنید. این کار شامل نصب و پیکربندی نرم‌افزار سرور مانند OpenLDAP یا Microsoft Active Directory است. هنگامی که سرور راه‌اندازی شد، باید تنظیمات احراز هویت را پیکربندی کنید. این کار شامل تعریف آدرس، پورت و جزئیات اتصال سرور در برنامه یا سامانه مورد نظر است. در انتها همچنین LDAP این امکان را فراهم می‌کند تا ویژگی‌های خاصی را از سرور داریرکتوری به پروفایل‌های کاربر در برنامه یا سامانه نگاشت شود. این نگاشت تضمین می‌کند که اطلاعات کاربر مانند نام کاربری، آدرس ایمیل و عضویت او در گروه‌ها، در حین احراز هویت از سرور واکشی شود.

 

مزایای احراز هویت LDAP

مدیریت متمرکز کاربر: احراز هویت LDAP مدیریت متمرکز کاربران را فراهم می‌کند که در آن هویت‌ها و ویژگی‌های کاربر در یک سرور دایرکتوری واحد ذخیره می‌شوند. این امر مدیریت کاربران را تسهیل می‌کند، زیرا تغییرات  ایجاد شده در سرور LDAP به همه برنامه‌ها و سیستم‌های متصل منتشر می‌شود.

امنیت بالاتر: LDAP با رمزگذاری ارتباط به سرور، احراز هویت ایمن را فراهم می‌کند. علاوه بر این، این پروتکل از ویژگی‌های امنیتی پیشرفته مانند رمزگذاری SSL/TLS و احراز اصالت مبتنی بر اعتبارنامه نیز پشتیبانی می‌کند.

مقیاس‌پذیری و انعطاف‌پذیری: این پروتکل قابلیت استقرار در مقیاس وسیع را داشته و همچنین از نظر ادغام با برنامه‌ها و سامانه‌های مختلف نیز انعطاف‌پذیری خوبی را فراهم می‌کند که نتیجه آن، امکان احراز هویت یکپارچه  در سراسر سازمان خواهد بود.

 

ملاحظات برای بهترین احراز اصالت

برای اطمینان از اجرای ایمن و کارآمد احراز اصالت، بهتر است موارد زیر در نظر گرفته شود:

به‌روزرسانی منظم: نرم‌افزار سرور LDAP بهتر است به طور مرتب با آخرین ویرایش‌ها و وصله‌ها به‌روزرسانی شود. این کار به رفع هر گونه آسیب‌پذیری کمک کرده و ثبات وقابلیت اطمینان فرآیند احراز اصالت را تضمین می‌کند.

پیاده‌سازی کانال‌های ارتباطی امن: بهتر است از رمزگذاری SSL/TLS برای ایمن‌سازی ارتباط بین کلاینت‌ها و سرورهای LDAP استفاده شود. با  این کار از دسترسی‌های غیرمجاز جلوگیری شده و از اطلاعات حساس کاربر در حین احراز اصالت محافظت می‌گردد.

نظارت و ثبت فعالیت: مکانیسم‌های نظارت و ثبت گزارش (log) برای ردیابی فعالیت می‌بایست پیاده‌سازی شوند. این کار به شناسایی و بررسی هر گونه تلاش مشکوک یا دسترسی غیرمجاز کمک کرده و به یکپارچگی فرآیند احراز اصالت کمک می‌کند.

استفاده از سیاست‌های رمز عبور قوی: توصیه می‌شود سیاست‌های رمز عبور قوی مانند حداقل طول رمز عبور، الزامات پیچیدگی و انقضای رمز عبور در سرور اعمال شود. این کار یک لایه امنیتی اضافی به فرآیند احراز اصالت اضافه می‌کند.

 

پیکربندی برای پذیرش احراز هویت مبتنی بر MFA

احراز هویت LDAP می‌تواند بامکانیسم‌های چند عاملی (MFA) برای افزایش امنیت بیشتر ادغام شود. این شیوه ممکن است شامل ترکیب LDAP با عامل‌های احراز هویت اضافی مانند رمزهای عبور یکبار مصرف (OTP) یا احراز اصالت بی‌نیاز از گذرواژه مبتنی بر فایدو و معیارهای زیست‌سنجی باشد. MFA برای LDAP در واقع راهی برای محافظت از کاربران LDAP با احراز اصالت چند عاملی با معرفی یک لایه حفاظتی اضافی در هنگام ورود کاربر به برنامه است. وجود احراز اصالت چندعاملی، همه کاربران را ملزم می‌کند که حداقل دو عامل احراز اصالت را در هر بار ورود به برنامه ارائه دهند. اولین عامل معمولا گذرواژه آنهاست. عامل دوم یکی از روش‌های احراز اصالت امن است.

نحوه فعال کردن MFA برای کاربران LDAP بسته به نوع سرویس مورد نظر، متفاوت است. بعنوان مثال می‌توان از کاربران LDAP برای ورود به سرویس‌های دسکتاپ از راه دور، VPN و برنامه‌های ابری محافظت کرد. فراهم کنندگان هویت (IdP) برای LDAP نیز شیوه خاص جهت پیکربندی MFA برای برنامه‌های LDAP و تعیین سیاست‌های مرتبط ارائه می‌دهند. بدین ترتیب هنگامی که کاربر اقدام به ثبت ورود به برنامه LDAP می‌کند، هنگامی که کاربر نام کاربری و گذرواژه خود را وارد کرد، یک اعلام فشاری (push notification) روی گوشی تلفن همراه خود دریافت خواهد کرد که به محض تایید، وارد سیستم می‌شوند.

 

استفاده از  نسل دوم پروتکل فایدو (FIDO2) برای احراز هویت LDAP

فایدو2 یک چارچوب جدید از فایدو برای احراز اصالت قوی است که شامل دو مشخصه WebAuthn (Web Authentication API) و CTAP (Client to Authenticator Protocol) است.

احراز اصالت فایدو2 از کلید عمومی به جای گذرواژه استفاده می‌کند. بنابراین سرور، کلید عمومی را به عنوان اعتبارنامه کاربر در پایگاه داده خود ذخیره می‌کند. سرور فایدو2 می‌تواند اعتبارنامه‌ها را در دایرکتوری LDAP نیز ذخیره کند. برای این منظور، اعتبارنامه هایی که مرتبط با احرازکننده ایجاد می‌شوند در دایرکتوری ou=Credentials ذخیره شده و ورودی کاربر در ou=Users ذخیره می‌گردد.

نمونه Schema LDAP برای ذخیره‌سازی اعتبارنامه‌های فایدو2 در زیر نشان داده شده است:

ویژگی Fido2CredentialID برای ذخیره credential_id استفاده شده که یک شناسه منحصربه‌فرد است که به یک کلید عمومی نگاشت شده است. ویژگی fido2PublicKey نیز برای ذخیره یک کلید عمومی که توسط احرازکننده در حین ثبت اعتبارنامه ایجاد شده، استفاده می‌شود. ویژگی fido2UserID برای ذخیره سازی user.id در مشخصات WebAuthn، استفاده می‌شود. user.id یک شناسه است که باید به ورودی اعتبار و ورودی کاربر نگاشت شود. ویژگی fido2UserID به صورت یک شناسه اتفاقی یکتا ایجاد می‌شود و همچنین به ورودی کاربر وقتی که برای اولین بار اعتبارنامه خود را ثبت می‌کند، اضافه می‌شود. با استفاده از موارد ذکر شده، البته با مقداری جزئیات بیشتر، امکان احراز هویت کاربران به LDAP بدون استفاده از گذرواژه فراهم می‌شود. این کار که در انطباق کامل با استاندارد فایدو انجام می‌پذیرد، یکی از به‌روزترین و امن‌ترین شیوه‌های احراز هویت موجود در دنیای دیجیتال است.

 

پشتیبانی از LDAP و اکتیو دایرکتوری با راهکار نشانه

راهکار احراز هویت بدون رمز عبور نشانه نیز که در شرکت رهسا توسعه داده شده است، انطباق کامل با LDAP و به ویژه اکتیو دایرکتوری دارد. استفاده از این راهکار می‌تواند به سازمان‌ها  در این زمینه کمک فراوان نماید. پیاده‌سازی بسیار ساده، امکان ارتباط با انواع سامانه‌ها و همچنین وجود درگاه احراز هویت یکپارچه، راهکار نشانه را به ابزاری پرکاربرد برای سازمان‌ها در زمینه مدیریت هویت و احراز اصالت تبدیل نموده است. امنیت بالا و تجربه کاربری بسیار ساده برای افراد، از مهمترین مزایای این راهکار است که می‌تواند فضای کاری سازمان را بسیار تغییر داده و علاوه‌بر جذابیت، از هزینه‌های سازمان نیز به میزان قابل توجهی بکاهد.

نکات کلیدی CISA و NSA در خصوص مدیریت هویت و دسترسی

در اکتبر سال 2023، آژانس امنیت سایبری و زیرساخت (CISA) و آژانس امنیت ملی (NSA) ایالات متحده، به طور مشترک دستورالعمل جدیدی را با عنوان “مدیریت هویت و دسترسی (Identity and Access Management – IAM): چالش‌های توسعه‌دهندگان و تولیدکنندگان”، منتشر کردند. این دستورالعمل به موضوع شکاف‌ها و محدودیت‌های فناوری در حوزه مدیریت هویت و دسترسی (IAM) و راهنمایی‌های لازم در این خصوص پرداخته است. در این نوشتار به اصول کلیدی و بهترین شیوه‌ها برای تقویت سازمان‌ها در برابر موج رو به گسترش تهدیدات سایبری در حوزه مدیریت هویت و دسترسی، همچون احراز هویت چند عاملی (MFA) مقاوم در برابر فیشینگ پرداخته شده است.

 

دورنمای تهدیدات IAM

یکی از مهم‌ترین روند‌های تهدید در چند سال گذشته، هدف‌گیری خاص سیستم‌ها و فرآیندهای IAM بوده است. بر اساس یک مطالعه تحقیقی اخیر، 90 درصد سازمان‌ها حداقل یک حادثه مرتبط با هویت شامل حملات فیشینگ و مرد میانی (MitM) را تجربه کرده‌اند. دستورالعمل NSA/CISA در خصوص حوزه مدیریت هویت و دسترسی، اشاره می‌کند که بویژه حملات به فناوری ورود یکپارچه به سامانه (SSO)، شایع‌تر از بقیه شده است. با به خطر انداختن‌ سامانه‌های SSO، مجرمان سایبری می‌توانند به برنامه‌ها و منابع محافظت شده متعددی در سراسر یک سازمان دسترسی پیدا کنند. سازمان‌های آسیب‌دیده معتقدند که دفاع در برابر چنین طیف وسیعی از حملات نیازمند یک راه حل جامع است.

 

نکات کلیدی از راهنمای مدیریت هویت و دسترسی NSA/CISA

سازمان‌ها باید به کل چرخه حیات هویت (Entire Identity Lifecycle) توجه داشته باشند

این راهنما بر اهمیت مدیریت کل چرخه حیات هویت و دسترسی و بالاخص رویدادهای ورود افراد به سازمان، تغییر نقش‌ها و ترک سازمان تاکید می‌کند. این گزارش به صورت ویژه به نیاز سازمان‌ها به فرآیندهای احراز هویت چند عاملی (MFA) اشاره دارد می‌نماید  و بیان می‌کند که حتی در صورت وجود چنین فرآیندهایی، بهتر است امکان ثبت‌نام خودکار کاربران محدود شود.

این دستورالعمل توصیه می‌کند که سازمان‌ها فرآیندهای ثبت‌نام امنی را توسعه دهند تا نیازهای پیچیده آنها را با ابزارهایی که در سراسر سیستم‌ها و رویدادهای چرخه حیات ورود، تغییر نقش و خروج کابران عمل می‌کنند، تامین کند. این فرآیندها همچنین باید به رویدادهای غیرمنتظره، مانند شناسایی و پاسخ به رفتارهای غیرعادی کاربر یا سایر خطرات بالقوه رسیدگی کنند.

علاوه بر این، گزارش NSA/CISA در خصوص IAM به شدت توصیه می‌کند که سازمان‌ها زنجیره شواهد را با فرآیندی که تایید داده‌ها در آن در صورت نیاز توسط افراد مسئول انجام می‌شود حفظ نمایند.

مستحکم کردن محیط سازمان در مقابل نفوذ

این راهنما به ضرورت بر مستحکم‌تر کردن محیط سازمانی در برابر نفوذ تاکید می‌کند، از جمله اطمینان از اینکه اصول و معیارهای پیاده‌سازی شیوه‌های IAM به اندازه کافی ایمن، تضمین شده و قابل اعتماد باشند.

مستحکم شدن ساختار محیطی و مولفه‌های سازمانی، نفوذ به اجزاء و نرم‌افزارهای IAM را نیز مشکل‌تر می‌کند. در حالی که برخی از توصیه‌ها به استحکام فیزیکی و پاکسازی فضای امنیت سایبری مانند تست‌های آسیب‌پذیری و انجام به‌روزرسانی‌ها، تمرکز دارند، یکی از مولفه‌های کلیدی مستحکم کردن ساختار امنیتی یک سازمان، استفاده از احراز هویت چند عاملی (MFA) قوی و مقاوم در برابر حملات فیشینگ جهت دسترسی به سامانه‌ها از جمله خود سامانه مدیریت هویت و دسترسی سازمان است. علاوه بر این، کلیدهای رمزنگاری مورد استفاده برای احراز اصالت و سایر عملکردهای IAM باید در سطوح اطمینان مناسب، ترجیحا با استفاده از روش های مبتنی بر سخت‌افزار محافظت شوند.

بهترین روش‌های احراز اصالت: MFA مقاوم در برابر حملات فیشینگ

جای شگفتی نیست که توصیه های NSA/CISA به صراحت نیاز سازمان‌ها به استقرار MFA برای کاهش حملات رایج را بیان می‌کنند. آژانس‌های NSA/CISA بین اشکال ضعیف و قوی احراز هویت چند عاملی (MFA) مقاوم در برابر حملات فیشینگ تمایز قایل شده و خاطر نشان می‌کنند که این امر تاثیر حیاتی بر امنیت سیستم‌ها دارد. برخی از اشکال MFA همچنان مستعد حملات فیشینگ، تکرار و مرد میانی و سایر حملات هستند. این راهنما به طور خاص به برنامه‌های احراز هویت بدون رمز عبور، به ویژه موارد مبتنی بر استاندارد FIDO اشاره نموده و آنها را یکی از بهترین راهکارهای موجود در حوزه مدیریت هویت و دسترسی معرفی می‌نماید.

ضعیف‌ترین تا قوی‌ترین انواع احراز هویت چند عاملی (MFA)

پاسخ به ریسک‌های روزافزون

از آنجایی که و ساختار تهدیدها پویا هستند، این راهنما به سازمان‌ها توصیه می‌کند که ساز و کار تجزیه و تحلیل خودکاری برای شناسایی و مدیریت ریسک‌ها پیاده‌سازی کنند. البته تحلیل ریسک و تبدیل آنها به عدد و رقم بستگی به سیاست‌های موجود سازمان‌ها دارد. از این رو سازمان‌ها باید خط‌مشی‌هایی که بتوانند نیاز به احراز اصالت مجدد یا انجام احراز اصالت افزایشی (نیاز به احراز اصالت با اطمینان بالاتر نسبت به حالت پیش‌فرض) کاربران در دسترسی به برنامه‌های کاربردی حساس را مشخص می‌کنند تهیه نمایند. این امر باعث انعطاف پذیری بیشتر در برخورد با فعالیت‌های پرخطر و حصول اطمینان بالاتر می‌شود، بطوریکه کاربرانی که درگیر کارهای معمولی و کم خطر هستند، با درخواست‌های مکرر MFA خسته و فرسوده نخواهند شد.

 

چگونه سازمان‌ها می‌توانند با توصیه‌های NSA/CIS IAM سازگار شوند؟

دستورالعمل جدید CISA و NSA در مورد مدیریت هویت و دسترسی، بر نقش حیاتی IAM در تقویت دفاع امنیت سایبری تاکید می‌کند. با توجه به اینکه تهدیدها همواره در حال تغییر بوده و پیچیدگی‌های خاص خود را دارند، لذا ضروری است سازمان‌ها شیوه‌های توصیه شده را به بهترین نحو رعایت کنند.

راهکار مدیریت هویت و دسترسی بدون رمز عبور شرکت رهسا با عنوان نشانه، تضمین می‌کند که امنیت IAM با راهنمایی‌های CISA/NSA همسو باشد. این محصول که مبتنی بر استاندارد FIDO است، به گونه‌ای طراحی شده تا امنیت را در کل چرخه حیات هویت ایجاد کرده و آن را با احراز اصالت مبتنی بر کلید عبور (Passkey) با تجربه کاربری بسیار ساده در اختیار سازمان‌ها قرار دهد. راهکار احراز اصالت نشانه، امن‌ترین شیوه احراز هویت چند عاملی (MFA) بر اساس استاندارد فایدو و مقاوم در برابر حملات فیشینگ است. این راهکار تضمین می‌کند که الگوهای زیست‌سنجی (همچون اثرانگشت) متصل به دستگاه مورد استفاده توسط کاربران به عنوان کلید، نگرانی‌های مربوط به حریم خصوصی و امنیتی را کاهش داده و شیوه‌های توصیه شده توسط CISA و NSA را پوشش دهد.

کلیدهای عبور (Passkeys): آینده احراز اصالت برخط

کلید عبور (Passkeys) یک روش احراز اصالت بی‌نیاز از گذرواژه است که توسط انجمن فایدو (FIDO Alliance) و کنسرسیوم وب جهانی (W3C) پشتیبانی می‌شود. کلیدهای عبور برای حذف مشکلات گذرواژه‌ها و ایمن‌تر کردن و آسان نمودن انجام فرآیند احراز هویت ایجاد شده‌اند. به خاطر سپردن گذرواژه‌ها سخت است، مخصوصا اگر پیچیده انتخاب شده باشند. علاوه بر این، افراد می‌توانند شما را فریب دهند تا گذرواژه‌های خودتان را به آنها ارائه دهید، یا حتی می‌توانند آنها را سرقت نمایند. از این رو به جای گذرواژه می‌توان از کلید عبور (Passkeys) که یک کلید دیجیتال مخصوص است که در دستگاه کاربر ذخیره می‌شود استفاده نمود. این کلیدها به عاملی که منحصرا نشان دهنده کاربر است (مانند اثر انگشت)، مرتبط می‌شوند تا به صورت ایمن‌تر و راحت‌تر از گذرواژه‌ها استفاده شوند.

گروهی از شرکت‌ها و سازمان‌ها که عضو انجمن FIDO و W3C هستند، ایده کلید عبور را مطرح کردند و برای ایجاد آن با هم مشارکت نمودند. اپل (Apple) یکی از اولین شرکت‌هایی بود که برای استفاده از کلید عبور تلاش نمود. آنها در ژوئن سال 2022 اعلام کردند که شروع به استفاده از کلیدهای عبور در دستگاه‌های خود خواهند کرد. با این حال کلیدهای عبور فقط مختص اپل نیست، شرکت‌هایی مانند مایکروسافت و گوگل نیز شروع به استفاده از آنها کرده‌اند و به مرور شرکت‌های بیشتری نیز مطمئنا به آن می‌پیوندند.

 

کلیدهای عبور چگونه کار می‌کنند؟

کلیدهای عبور وظیفه جایگزین کردن گذرواژه‌ها با روشی بهتر و ساده‌تر برای ورود به انواع سامانه‌ها و برنامه‌‌های کاربردی را برعهده دارند. نحوه کار آنها در حالت معمول بدین صورت است:
1- راه‌اندازی و تنظیم: برای ایجاد کلید عبور (Passkeys)، روش خاصی را برای ورود به سیستم انتخاب می‌کنید (مانند اثر انگشت، تشخیص چهره، پین یا کشیدن یک الگو). این کار را زمانی که برای اولین بار در یک سامانه یا برنامه کاربردی ثبت‌نام می‌کنید، انجام می‌دهید.
2- ذخیره: کلید عبور شما در دستگاه شما مانند تلفن همراه یا رایانه ذخیره می‌شود. این کلید به صورت ایمن و خصوصی نگهداری می‌شود تا فقط شما بتوانید از آن استفاده کنید.
3- ورود به سیستم: هنگامی که می‌خواهید وارد برنامه مورد نظرتان شوید، گزینه کلید عبور را انتخاب می‌کنید. دستگاه شما یک کد خاص ایجاد می‌کند که توسط کلید خصوصی در دستگاه شما رمز شده است و نشان می‌دهد شما مالک واقعی کلید عبور هستید.
4- بررسی: سامانه یا برنامه کاربردی مربوطه، کد ارسال شده توسط دستگاه شما را با کلید عمومی مرتبط باز نموده و بررسی می‌کند. اگر با کلید عبوری که قبلا ذخیره شده، مطابقت داشته باشد، برنامه به شما اجازه ورود می‌دهد.
5- استفاده در دستگاه‌های مختلف: می‌توانید از کلید عبور خود در دستگاه‌های مختلف مانند تلفن همراه و رایانه خود استفاده کنید. برخی از کلیدهای عبور نیز علاوه‌بر دستگاه شما، این قابلیت را دارند که در فضای ابری ذخیره شده و بین تمامی دستگاه‌های شما همگام‌سازی شوند.
کلیدهای عبور امن‌تر از گذرواژه‌ها هستند زیرا در دستگاه شما یا در فضایی خاص همچون HSM یا همان Hardware Security Module ذخیره می‌شوند. آنها شما را در برابر بسیاری از تهدیدات امنیتی محافظت می‌کنند، بطوریکه نفوذگرها نمی‌توانند از آنها در سامانه‌های جعلی (در انجام حملات فیشینگ) استفاده کنند. همچنین کلیدهای عبور ورود شما به سامانه‌ها و حساب‌های کاربری را آسان‌تر می‌کنند زیرا نیازی نیست که گذرواژه‌های پیچیده را به خاطر بسپارید.

 

مزایای کلیدهای عبور

کلیدهای عبور در مقایسه با گذرواژه‌های معمولی مزایای مهم زیادی دارند. در اینجا مزایای اصلی استفاده از کلیدهای عبور ذکر می‌شود:
1- امنیت قوی‌تر: بر خلاف گذرواژه‌ها که به راحتی قابل حدس زدن یا سرقت هستند، کلیدهای عبور منحصر به فرد بوده و به دستگاه خاص یا داده‌های زیست‌سنجی شما (همچون اثر انگشت) متصل می‌شوند. این امر دسترسی افراد غیرمجاز به حساب‌های شما را سخت‌تر می‌کند.
2- محافظت در برابر حملات فیشینگ: کلیدهای عبور در متوقف کردن حملات فیشینگ بسیار مناسب هستند. آنها فقط با سامانه‌ها و برنامه‌های کاربردی قابل اعتماد که پیش از این با آنها کلید رمزنگاری تبادل کرده‌اید کار می‌کنند. بنابراین شما نمی‌توانید حتی به طور تصادفی کلید عبور (Passkeys) خود را در یک سامانه جعلی استفاده نمایید. برنامه مورد نظر در زمان ورود، بررسی می‌کند که آیا کلید عبور، مرتبط با همین سامانه است (نگاشت کلید خصوصی و عمومی مورد نظر) که تنها در صورت درست بودن، فرآیند احراز هویت به درستی انجام خواهد شد.
3- استفاده راحت و کاربرپسند: استفاده از کلیدهای عبور آسان بوده و کارها را راحت‌تر می‌کند. لازم نیست گذرواژه‌های پیچیده را به خاطر بسپارید یا هر بار که می‌خواهید وارد شوید آنها را تایپ کنید. با کلیدهای عبور، می‌توانید از معیارهایی مانند اثر انگشت یا چهره خود برای ورود سریع به سیستم استفاده کنید.
4- کار کردن روی دستگاه‌های مختلف: کلیدهای عبور را می‌توان در دستگاه‌های مختلف استفاده کرد. این بدان معناست که می‌توانید بدون تنظیمات اضافی از کلید عبور (Passkeys) خود در تلفن همراه، رایانه و سایر ابزارها استفاده کنید که بدین علت در وقت شما صرفه‌جویی خواهد شد.
5- تجربه کاربری بهتر: کلیدهای عبور ثبت ورود به سیستم را آسان‌تر، سریعتر و کارامدتر می‌کند. بدین ترتیب شما دیگر نگران فراموش کردن گذرواژه‌ها نبوده و نیازی به بازنشانی آنها نخواهید داشت.
6- محافظت در برابر نفوذ به داده‌ها: کلیدهای عبور حتی در صورت نفوذ به داده‌ها به محافظت از اطلاعات شما کمک می‌کند. از آنجا که کلیدهای عبور در سرورها ذخیره نشده و فقط از یک کلید عمومی برای تایید استفاده می‌شود، در صورت نفوذ به داده‌‌ها، اطلاعاتی ارزشمندی (همچون گذرواژه‌ها) به دست نفوذگرها نخواهد افتاد.

 

آینده کلیدهای عبور

کنسرسیوم وب جهانی(W3C) و انجمن FIDO با هم کار می‌کنند تا کلیدهای عبور را محبوب‌تر کرده و به طور گسترده مورد استفاده قرار دهند. آنها از شرکت‌ها و توسعه‌دهندگان می‌خواهند که شروع به استفاده از کلیدهای عبور بجای گذرواژه‌های سنتی کنند. W3C مسئول ایجاد قوانین و دستورالعمل‌های استفاده از کلیدهای عبور در اینترنت است. آنها می‌خواهند کلیدهای عبور در پایگاه‌های وب و دستگاه‌های مختلف به صورت یکسان کار کنند تا همه بتوانند به راحتی از آنها استفاده کنند. هم W3C و هم انجمن FIDO، درنظر دارند که کلیدهای عبور را به طور کامل جایگزین گذرواژه‌ها کنند، زیرا کلیدهای عبور امن‌تر و راحت‌تر هستند. آنها امیدوارند که در آینده نزدیک افراد بیشتری برای محافظت از حساب‌های برخط خود از کلیدهای عبور استفاده کنند.

 

کلیدهای عبور شرکت رهسا (نشانه)

راه حل شرکت ره آورد سامانه‌های امن (رهسا) در خصوص کلیدهای عبور (Passkeys)، محصول “نشانه” می‌‌باشد که منطبق بر استاندارد احراز اصالت FIDO2 تهیه شده است و بطور کامل گذرواژه‌ها را از فرآیند احراز اصالت حذف کرده است. محصولات نشانه (نشانه موبایل، نشانه کارت و نشانه توکن) ساخت شرکت ره‌آورد سامانه‌های امن (رهسا) به طور قابل توجهی امنیت احراز اصالت سازمان شما را مستحکم‌تر کرده و در عین حال بهره‌وری و استفاده کاربران را بهبود می‌بخشد. این محصول با استفاده از رمزنگاری کلید عمومی و رعایت استانداردهای FIDO در همه اجزاء آن، تضمین می‌کند که هیچ رمز اشتراک‌گذاری شده‌ای در هیچ نقطه‌ای از فرآیند احراز اصالت وجود ندارد. برای آشنایی بیشتر با راه حل بی‌نیاز از گذرواژه شرکت ره‌آورد سامانه‌های امن و همچنین سایر اطلاعات مرتبط در خصوص استاندارد FIDO، می‌توانید به پایگاه وب این محصول به آدرس Https://neshane.co مراجعه نمایید.

شیوه‌های احراز اصالت آینده برای بانکداری دیجیتال و تایید پرداخت‌ها

چشم‌انداز خدمات مالی دیجیتال در دنیا به طور مداوم در حال تغییر است که به تبع آن، احراز اصالت مشتریان و شیوه‌های ورود آنها به این خدمات نیز تحت‌الشعاع قرار خواهد گرفت. فناوری‌های جدید در حوزه احراز هویت و اصالت، از یک سو امنیت و سادگی بیشتر و از سوی دیگر چالش‌های جدیدی را با خود به همراه دارند. از این رو نهادهای مالی باید فعالانه به دنبال بهترین راه‌حل‌ها بوده و از شیوه‌های نوآورانه استقبال کنند. در این زمینه به عنوان مثال می‌توان به احراز هویت بدون رمز عبور و استفاده از کلیدهای عبور (Passkeys) مبتنی بر استاندارد FIDO اشاره کرد. در ادامه دورنما و مشخصات چند شیوه نوظهور در حوزه احراز اصالت در سال‌های اخیر را تشریح خواهیم نمود.

 

1. افزایش محبوبیت کلیدهای عبور (Passkeys) مبتنی بر FIDO
از آنجایی که تعداد حملات سایبری به ویژه حملات فیشینگ همچنان در حال افزایش است، سازمان‌های مالی و بانکی، فناوری‌های احراز اصالت را دائما ارزیابی می‌کنند تا در برابر این حملات انعطاف‌پذیری بیشتری داشته باشند. FIDO نمونه بارزی از فناوری‌های نوین است. در حالی که در ابتدا، مقاومت در برابر پذیرش این فناوری قابل توجه بود، شرکت اپل اخیرا با رایج کردن کلیدهای عبور (Passkeys) بعنوان یک روش ورود بی‌نیاز از گذرواژه که از استاندارد FIDO استفاده می‌کند، منجر به پذیرش گسترده‌تری از این استاندارد شده است. با کلیدهای عبور (Passkeys)، موسسات مالی و بانکی می‌توانند تجربیات ثبت ورود شخصی‌سازی شده را در خدمات تحت وب طراحی کنند. برای مثال کلیدهای عبور (Passkeys) می‌توانند ورود به بانکداری اینترنتی را ساده کرده و امکان دسترسی راحت و بی‌دردسر، بدون نیاز به رمزهای عبور طولانی و تعویض دوره‌ای آنها را برای مشتریان فراهم کنند. همچنین کاربران می‌توانند تایید پرداخت را فقط با استفاده از تنها یک گوشی تلفن همراه بدون اینکه نیاز به سخت‌افزار یا برنامه‌ اضافی داشته باشند، انجام دهند.

2. هویت غیرمتمرکز
با رشد فزاینده مفاهیم web3، استانداردهای جدید احراز اصالت پدیدار شده‌اند (بعنوان مثال اعتبارنامه‌ها و حضور قابل تایید W3C). هویت غیرمتمرکز به طور اساسی شیوه‌های احراز اصالت موجود را تغییر داده و به کاربران قدرت بی‌سابقه‌ای بر کنترل هویت خود و ویژگی‌هایی که از خودشان با طرف‌های ثالث به اشتراک می‌گذارند، می‌دهد. به بیانی ساده، هویت غیرمتمرکز به افراد اجازه می‌دهد تا مدارک هویتی خود (اسناد شناسایی دیجیتال) را در یک برنامه کیف پول گوشی تلفن همراه (mobile wallet app) حمل کنند، تا از آن برای اثبات هویت خود هنگام دسترسی به خدمات دیجیتال و حتی خدمات فیزیکی استفاده کنند. تلاش‌های دولتی، مانند قانون آتی اتحادیه اروپا در مورد کیف هویت دیجیتالی اروپایی (EUDIW) به شدت از این روند حمایت می‌کند. کیف هویت دیجیتال اتحادیه اروپا (EU Digital Identity Wallet) در سراسر این اتحادیه قابل استفاده خواهد بود و در صورت اجباری شدن آن برای همه شرکت‌های بزرگ، مطمئنا در سمت کاربران نیز از پذیرش بیشتری برخوردار خواهد گشت. نکته جالب آن است که بانک‌ها به طور قابل توجهی از اجرای کیف پول هویت دیجیتال اتحادیه اروپا سود خواهند برد، زیرا به مشتریان این امکان را می‌دهد تا فقط در عرض چند ثانیه یک حساب بانکی جدید باز کنند یا برای وام و سایر خدمات درخواست دهند. جذب سریع‌تر مشتری و ورود به سامانه‌ها با کمترین دردسر و چالش، مزایای واضحی هستند که ارزش سرمایه‌گذاری در این زمینه را مشخص می‌کنند.

3 آماده شدن برای استاندارد جدید PSD3
اگرچه قانون PSD3 (ویرایش جدید دستورالعمل خدمات پرداخت اروپایی PSD2) هنوز در مراحل ابتدایی است، اما این ابتکار، تغییرات مهمی را در احراز اصالت و توانمندسازی مشتری (SCA) ایجاد خواهد کرد. از آنجایی که استفاده از SCA برای موسسات مالی دارای حساب‌های پرداخت اجباری است، این سازمان‌ها باید تمامی این تغییرات را در راه‌حل‌های احراز اصالتی که به مشتریان ارائه می‌دهند، منعکس کنند.

4 رمزنگاری پساکوانتومی (PQC)
رمزنگاری پایه اصلی تمامی سیستم‌های احراز اصالت جدید است. در حالی که استانداردهای موجود برای چندین دهه به خوبی کار می‌کردند و اکثر سامانه‌ها فقط به الگوریتم‌های ساده نیاز داشتند، یک تهدید جدید برای سیستم‌های رمزنگاری، ظهور رایانه‌های کوانتومی است. رایانه‌های کوانتومی بر اساس اصول محاسباتی کاملا متفاوت استوار بوده و می‌توانند الگوریتم‌های رمزنگاری نامتقارن سنتی همانند RSA را به راحتی شکست دهند. در نتیجه، اکثر مدارک هویتی پذیرفته شده کنونی (مانند امضاء الکترونیکی با استفاده از الگوریتم‌های رمزنگاری فعلی) غیرقابل اعتماد خواهند شد. در حالی که رایانه‌های کوانتومی امروزی هنوز به اندازه کافی قدرتمند نیستند که تهدیدی قابل توجه برای یک سیستم رمزنگاری مستحکم باشند، اما موسسات امنیت سایبری و نهادهای استانداردسازی آمادگی برای چنین تهدیداتی را توصیه می‌کنند. بعنوان مثال NIST اخیرا استاندادسازی سه الگوریتم جدید رمزنگاری را در سال 2024 برای آمادگی بیشتر برای مقابله در این زمینه پیشنهاد کرده است.

5 کلیدهای سخت‌افزاری
پیشرفت‌های جدید به ویژه در حوزه هوش مصنوعی در سال‌های اخیر، تهدیدات امنیتی مختلفی را به دنبال داشته است. برای مثال چهره‌ها و یا صداهای مصنوعی ساخته شده توسط هوش مصنوعی، محدودیت‌های احراز اصالت بر اساس معیارهای زیست‌سنجی از راه‌دور را به صورت جدی مورد تهدید قرار داده است. از این رو کاربران و سازمان‌هایی که به امنیت اهمیت می‌دهند به دنبال بالاترین سطح حفاظت بوده و استفاده از کلیدهای سخت‌افزاری اختصاصی جدید مبتنی بر استانداردهایی همچون FIDO را به عنوان بهترین جایگزین درنظر خواهند گرفت. احراز اصالت چند عاملی MFA به کمک کلیدهای مبتنی بر استاندارد FIDO که مسلما شاهد افزایش استفاده از آنها در آینده نزدیک خواهیم بود، به کاربران در انواع حوزه‌ها همچون بانکداری دیجیتال کمک خواهند نمود تا فرآیند احراز اصالت بسیار ساده‌تر و امن‌تری را در هنگام ورود به انواع سرویس‌ها و سامانه‌ها انجام دهند.

 

آماده ظهور فناوری‌های جدید احراز اصالت باشید

شرکت ره‌آورد سامانه‌های امن (رهسا) مفتخر است نخستین شرکتی باشد که فناوری جدید احراز اصالت مبتنی بر استاندارد FIDO را در کشور در قالب محصول نشانه تهیه کرده است.
محصول نشانه (نشانه موبایل، نشانه کارت و نشانه توکن) به طور قابل توجهی امنیت فرآیند احراز اصالت سازمان‌ها را مستحکم‌تر نموده و در عین حال بهره‌وری کاربران را نیز بهبود می‌بخشد. نشانه تلاش دارد با ارائه راه کارهای کارآمد، به صرفه و آسان، فرآیند کنار گذاشتن رمزهای عبور و مهاجرت به دنیای امن بدون رمزعبور و استفاده از کلیدهای عبور (Passkeys) را برای افراد و سازمان‌ها تسهیل نماید. این محصول با استفاده از رمزنگاری کلید عمومی و با رعایت تمامی جزئیات استاندارد FIDO پیاده‌سازی شده است که از این رو در برابر بسیاری از حملات رایج همچون فیشینگ، مقاوم است. برای آشنایی بیشتر با راهکار احراز هویت بدون رمز عبور شرکت ره‌آورد سامانه‌های امن می‌توانید به وبسایت این محصول به آدرس https://neshane.co مراجعه نمایید.