Clicky

نشانه - راهکار احراز هویت بدون رمز عبور

با طرح رایگان نشانه، همین امروز احراز هویت بدون رمزعبور فایدو2 را تجربه کنید

ورود / ثبت نام
ثبت نام
ورود
ثبت نام
ورود
ثبت نام
ورود
استفاده از احراز هویت بدون رمز عبور برای جایگزینی رمزهای عبور (گذرواژه‌ها)
26 آبان 1403توسط Kasra Tavakoliعمومی

آینده فناوری اطلاعات فاقد رمز عبور خواهد بود

تقریباً هر وبسایت، اپلیکیشن و پلتفرم کاربری، اکنون به نام کاربری و رمز عبور نیاز دارد. برای حفظ امنیت داده‌های کاربری و پیشگیری از حملات گذرواژه‌ها، رمزهای عبور باید قوی باشند – اکثر پلتفرم‌ها ترکیبی از حروف بزرگ و کوچک، اعداد و کاراکترهای خاص را الزامی می‌کنند. پیگیری چندین رمز عبور یا تولید بی‌پایان عبارات عبور پس از مدتی بسیار دشوار می‌شود. خوشبختانه، ما در مسیر آینده‌ای روشن از فناوری احراز هویت بدون رمز عبور هستیم. مسیری که جایگزینی رمزهای عبور (گذرواژه‌ها) با شیوه‌های بهتر را نوید می‌دهد.

 

فناوری بدون رمز عبور چیست؟

فناوری احراز هویت بدون رمز عبور نوعی احراز هویت کاربری است که نیازی به استفاده از گذرواژه ندارد. در واقع جایگزینی رمزهای عبور را به روش‌های مختلفی انجام می‌دهد:

بیومتریک

احراز هویت بیومتریک به ضبط خودکار ویژگی‌های منحصر به فرد کاربران اشاره دارد که سپس ذخیره و رمزگذاری می‌شوند و وارد یک سیستم امنیتی می‌شوند. هنگامی که کاربر وارد سیستم می‌شود، ویژگی‌های بیومتریک او مجدداً دریافت می‌شود تا هویت او تأیید و دسترسی برای او فراهم شود. احراز هویت بیومتریک می‌تواند از هر یک از قسمت‌های بدن همچون اثر انگشت، کف دست، صورت و صدا استفاده کند. این فناوری جایگزینی رمزهای عبور را فراهم نموده و در دستگاه‌های هوشمند، حمل و نقل، بانکداری و غیره استفاده می‌شود.

گواهی‌نامه‌ها

احراز هویت مبتنی بر دارایی از گواهی‌نامه‌های شخصی استفاده می‌کند که برای کاربر منحصر به فرد هستند. آن‌ها معمولاً اطلاعاتی هستند که بر روی سخت‌افزاری ذخیره می‌شوند که فقط مالک دستگاه می‌تواند آنها را کنترل کند. برخی از نمونه‌های گواهی‌نامه‌های مبتنی بر دارایی عبارتند از توکن‌های نرم‌افزاری، کیت‌های توسعه نرم‌افزار یا SDKهای توکن نرم‌افزاری، کارت‌های هوشمند، کلیدهای امنیتی و گواهی‌نامه‌های موبایل. احراز هویت گواهی‌نامه پیچیده است و هک کردن آن دشوارتر است، هرچند همچنان امکان نفوذ به چنین سیستم‌هایی وجود دارد.

ایمیل OTP و SMS

اکثر وب‌سایت‌ها یا اپلیکیشن‌ها از کاربران می‌خواهند یک آدرس ایمیل یا شماره موبایل، اغلب هر دو، را ثبت کنند. هر زمان که سعی می‌کنید به حساب خود دسترسی پیدا کنید، احراز هویت دو مرحله‌ای فعال می‌شود و یک کد یک‌بار مصرف (OTP) به شماره موبایل یا آدرس ایمیل شما ارسال می‌شود. شما باید این یک‌بار رمز، می‌توانید در مدت زمان مشخصی وارد سیستم شوید. برخی سایت‌ها چندین OTP ارسال می‌کنند یا از اپلیکیشن‌های احراز هویت برای تولید کدهای تصادفی استفاده می‌کنند. باید توجه داشت که این روش‌ها توسط OMB، CISA و سایر سازمان‌ها توصیه نمی‌شود زیرا مستعد فیشینگ و رهگیری هستند. از این رو نمی‌توان آنها را گزینه مناسبی برای جایگزینی رمزهای عبور (گذرواژه‌ها) دانست.

لینک‌های جادویی

مشابه OTPها، اگر آدرس ایمیل یا شماره موبایل ثبت شده‌ای داشته باشید، سایت یا اپلیکیشن یک لینک جادویی ارسال می‌کند که به شما دسترسی به حساب‌تان را می‌دهد. مشابه OTPها، این روش‌ها نیز می‌توانند خطرات امنیتی داشته باشند.

استفاده از اعلان‌ها (Push Notifications)

کاربران یک اعلان در دستگاه خود دریافت می‌کنند که به عنوان تأیید هویت آن‌ها عمل می‌کند. هنگامی که کاربر روی اعلان کلیک می‌کند، به حساب خود دسترسی پیدا می‌کند.

 

مزایای جایگزینی رمزهای عبور با احراز هویت بدون رمز عبور

طبق یک مطالعه، 90 درصد از کاربران اینترنت نگران هک شدن حساب‌های خود به دلیل رمزهای عبور ضعیف هستند. رمزهای عبور ضعیف به عنوان یکی از دلایل اصلی نقض داده‌ها در مطالعات متعدد شناسایی شده‌اند. حفاظت و امنیت را می‌توان با احراز هویت مشتری و نیروی کار با راهکارهای احراز هویت بدون رمز عبور بهبود بخشید. وقت آن است که همه از این شیوه برای جایگزینی رمزهای عبور (گذرواژه‌ها) و محافظت از داده‌های کاربری استفاده کنند. در ادامه مزایای چنین روش‌های احراز هویتی تشریح می‌گردد.

محافظت امنیتی بهتر و بیشتر

بیشتر کاربران فقط یک رمز عبور برای تمام سایت‌ها و اپلیکیشن‌هایی که استفاده می‌کنند دارند. این یک خطر امنیتی شناخته شده است، اما بسیاری همچنان این کار را انجام می‌دهند زیرا جایگزین آن برای آن‌ها پیچیده‌تر است. با حرفه‌ای‌تر شدن هکرها، رمزهای عبور ساده یا پیچیده دیگر به عنوان محافظت قابل اعتماد نیستند. وقتی یک مهاجم سایبری یک رمز عبور را نقض می‌کند، چندین حساب آسیب‌پذیر می‌شوند. یک فرد می‌تواند به سرعت پول یا هویت خود را از دست بدهد. و وقتی این اتفاق برای یک شرکت می‌افتد، می‌تواند به میلیون‌ها دلار خسارت منجر شود.

کاهش هزینه‌های بلندمدت

طبق گفته مایکروسافت، مدیریت گذرواژه‌ها بسیار گران است. زیرا کاربران اغلب آن‌ها را فراموش می‌کنند و تنظیم مجدد مداوم آن‌ها منجر به کاهش بهره‌وری می‌شود زمانی که کاربر نمی‌تواند وارد سامانه مورد نظر شود. بر اساس تجربه مایکروسافت، هزینه‌های واقعی نیز وجود دارد که مرتبط با زمان صرف شده توسط کارشناس میزخدمت برای کمک به یک کاربر برای تنظیم مجدد رمز عبور است.از زمان راه‌اندازی راهکار احراز هویت بدون رمز عبور، مایکروسافت کاهش 87 درصدی در هزینه‌های نرم و سخت را تجربه کرده است که به ترتیب حدود 6 میلیون دلار و 3 میلیون دلار تخمین زده می‌شود.

تجربه کاربری بهتر

بیشتر فناوری‌های بدون رمز عبور تجربیات کاربری بهتری را ارائه می‌دهند. به عنوان مثال، بیومتریک، با یک لمس انگشت یا نگاهی به دوربین، به راحتی قابل انجام است. از این رو جایگزینی رمزهای عبور، به کاربران اجازه می‌دهد در کمترین زمان به حساب‌های خود دسترسی پیدا می‌کنند.

انطباق با نهادهای نظارتی

نهادهای نظارتی در هر کشوری، همانند موسسه ملی استانداردها و فناوری (NIST) در ایالات متحده، مجموعه ای از استانداردهایی دارند که بازیگران صنعت باید برای کنترل دسترسی به منظور محافظت از داده های حساس، از آن‌ها پیروی کنند. متداول‌ترین الزامات، احراز هویت چند عاملی، رمزگذاری و هش کردن هستند. احراز هویت بدون رمز عبور به همه این موارد پاسخ مثبت می‌دهد.

 

چه چیزی را در احراز هویت بدون رمز عبور جستجو کنیم

اکنون که می‌دانید احراز هویت بدون رمز عبور در عصر دیجیتال چقدر مهم است، بیایید به الزامات اولیه هنگام خرید راه‌حل‌ها نگاه کنیم.

MFA برای ورود به رایانه‌های شخصی

در حالی که بسیاری از احراز هویت‌های بدون رمز عبور برای برنامه‌های موبایل استفاده می‌شوند، بهتر است به دنبال فروشندگانی باشید که دارای احراز هویت چند عاملی (MFA) برای ورود به رایانه‌های شخصی هستند. اولاً، اکثر کارمندان در دفتر با رایانه شخصی کار می‌کنند. این همچنین در پاسخ به الزامات قانونی مرتبط نیز بسیار موثر است. ورود به رایانه‌ها باید با قابلیت‌های آفلاین تکمیل شود تا کارمندان بتوانند در هنگام سفر یا کار از راه دور به دسترسی

گواهینامه‌ها

ارائه‌دهندگان فناوری احراز هویت بدون رمز عبور برای اثبات اثربخشی و اعتبار خود گواهینامه‌های خاصی دریافت می‌کنند. یکی از مهمترین گواهینامه‌ها برای این فناوری عبارت است از گواهینامه FIDO – اتحادیه Fast Identity Online (FIDO) که برای تأیید انطباق و قابلیت همکاری یک محصول از سوی این اتحادیه اعطا می‌شود.

راه‌اندازی آسان

استفاده از فناوری جدید می‌تواند بهره‌وری را مختل کند و حتی کارمندان را دچار تردید کند. راه‌حل‌هایی را پیدا کنید که به راحتی با فضای عملیاتی شما ادغام می‌شوند تا بتوانید سامانه‌های خود را در اسرع وقت راه‌اندازی کنید. راهکار بدون رمز عبور با یک SDK قوی به راحتی قابل ادغام بوده و باید دارای کنترل‌های امنیتی داخلی برای عملکرد بهینه باشد.

 

آیا زمان جایگزینی رمزهای عبور (گذرواژه‌ها) فرا رسیده است؟

هنوز نه، زیرا گذرواژه‌ها هنوز در بسیاری از سایت‌ها و برنامه‌ها استفاده می‌شوند. اما آن‌ها دیگر به تنهایی قابل اعتماد نیستند زیرا مجرمان سایبری در نقض گذرواژه‌ها خلاق‌تر و پیچیده‌تر می‌شوند. فناوری احراز هویت بدون رمز عبور دیگر یک کالای گران و لوکس محسوب نمی‌شود. هم‌اکنون می‌توانید به سادگی از انواع مختلف این راهکار، به سادگی و با قیمت‌های مناسب، برای امن نمودن سازمان خود استفاده نمایید. راهکار احراز هویت بدون رمز عبور نشانه، محصول رهسا (ره‌آورد سامانه‌های امن) می‌تواند آغاز جایگزینی رمزهای عبور باشد. این راهکار می‌تواند مسیر حرکت به سمت دنیای بدون رمز عبور را برای شما بسیار کوتاه‌تر و ساده‌تر نماید. برای دریافت راهنمایی و پاسخ سوالات خود در این حوزه، با کارشناسان ما تماس بگیرید.

ادامه مطلب
امن سازی پروتکل دسکتاپ از راه دور (RDP) با استفاده از احراز هویت بدون رمز عبور
26 آبان 1403توسط Kasra Tavakoliعمومی

امن‌سازی پروتکل دسکتاپ از راه دور (RDP)

پروتکل دسکتاپ از راه دور (RDP) یک پروتکل اختصاصی مایکروسافت است که در دو دهه گذشته با محصولات ویندوز عرضه شده است. این پروتکل به کاربران اجازه می‌دهد تا به یک کامپیوتر دیگر، که مثلاً در یک شبکه سازمانی قرار دارد، متصل شوند و از دستگاه به صورت از راه دور استفاده کنند. این کار، این امکان را برای کاربران فراهم می‌کند تا بدون استفاده از VPN به شبکه‌ها دسترسی داشته باشند. با این حال، دسترسی که RDP به کاربران می‌دهد، می‌تواند توسط مهاجمان نیز برای نفوذ به شبکه‌ها مورد استفاده قرار گیرد. افزایش چشمگیر استفاده از پروتکل دسکتاپ از راه دور توسط کارکنان در طول قرنطینه‌های کووید-19 و ادامه کار از راه دور، به هکرها نقاط پایانی آسیب‌پذیر بیشتری برای تلاش برای نفوذ ارائه کرد. از این رو سازمان‌ها باید به امن‌سازی پروتکل دسکتاپ از راه دور (RDP) فکر کنند.

در سال ۲۰۲۰، محققان امنیتی در ESET بیش از ۲۹ میلیارد تلاش حمله به RDP را پیدا کردند، که افزایش ۷۶۸ درصدی را نسبت به سال قبل‌تر نشان داد. مرکز امنیت سایبری ملی بریتانیا اعلام کرد که پروتکل دسکتاپ از راه دور همچنان “رایج‌ترین روش حمله مورد استفاده توسط تهدیدات برای دسترسی به شبکه‌ها” است. دسترسی به نقاط پایانی RDP همچنین یکی از محبوب‌ترین اشکال موارد هک شده است، و هزاران نقطه دسترسی در هر زمان در بازارهای سیاه وب برای فروش وجود دارد. اگر یک مهاجم بخواهد به یک سازمان خاص حمله کند، می‌تواند به سادگی دسترسی RDP را که قبلاً به خطر افتاده است، خریداری کند. از آنجایی که RDP یک ابزار حیاتی برای کسب‌وکارها است، اما در صورت به خطر افتادن، می‌تواند دسترسی کامل به شبکه را به مهاجمان بدهد، تیم‌های امنیتی سازمانی باید راه‌هایی برای ایمن‌سازی RDP برای شبکه‌های خود پیدا کنند.

 

چگونه RDP را ایمن کنیم: بردارهای حمله

قبل از اینکه به بررسی نحوه ایمن‌سازی RDP بپردازیم، مهم است که درک کنیم مهاجمان چگونه در وهله اول به آن دسترسی پیدا می‌کنند.

1. دسترسی

اولین قدم در هر حمله RDP، دسترسی به یک نقطه پایانی قابل اعتماد است. از آنجایی که هر کاربر شبکه یک هدف است، مهاجمان گزینه‌های متعددی دارند، زیرا معمولاً تنها به یک نام کاربری و رمز عبور برای عبور از فرآیند احراز هویت نیاز دارند. در حملات RDP، مسیرهای اصلی برای مهاجمان برای نقض احراز هویت عبارتند از:

  • حمله با تکنیک جستجوی فراگیر: اگر مهاجمی نام کاربری داشته باشد، تلاش‌های متعددی برای ورود به سیستم با رمزهای عبور مختلف انجام می‌دهد، مانند حملات دیکشنری یا لیست رمزهای عبور رایج.
  • فیشینگ: به کاربر ایمیلی ارسال می‌شود که ظاهراً از طرف مدیر سیستم است و از او می‌خواهد برای انجام عملی مانند تغییر رمز عبور وارد سیستم شود. با این حال، لینک به یک پروکسی کنترل‌شده توسط مهاجم هدایت می‌شود که جزئیات ورود کاربر را فاش می‌کند.
  • مهندسی اجتماعی: این روش از تمایلات اجتماعی کاربر برای فریب دادن او برای تحویل رمز عبور خود سوء استفاده می‌کند. به عنوان مثال، دسترسی به حساب ایمیل یک همکار و ارسال ایمیل به قربانی برای درخواست جزئیات ورود به سیستم برای پوشش یک مورد اضطراری. رابطه اعتماد و احساس فوریت می‌تواند کاربران را به پاسخ سریع بدون فکر کردن سوق دهد.
2. شناسایی

پس از اینکه مهاجم احراز هویت را دور زده و به شبکه دسترسی پیدا کرد، اقدام به شناسایی امتیازات حساب کاربری و نحوه تشدید حمله می‌کند.

3. آماده‌سازی

همانطور که در حملاتی مانند SolarWinds دیده می‌شود، برخی از مهاجمان ماه‌ها قبل از انجام هر کاری، فقط به مشاهده ترافیک و سیستم‌ها می‌پردازند. یکی از مشکلات اصلی برای مدیرانی که به دنبال نحوه ایمن‌سازی RDP هستند، این است که تشخیص نفوذ بسیار دشوارتر است، زیرا یک شبکه RDP به طور طبیعی تعداد زیادی اتصال از مکان‌ها و کاربران مختلف دریافت می‌کند.

4. اجرای حمله

دلیل اینکه یک مهاجم به دنبال دسترسی به شبکه است، به سه چیز خلاصه می‌شود: سرقت داده، استقرار بدافزار یا تشدید حمله. پس از اینکه مهاجم شناسایی و آماده‌سازی خود را انجام داد، از دسترسی پروتکل دسکتاپ از راه دور برای انجام یکی از این سه کار استفاده می‌کند.

 

چگونه RDP را ایمن کنیم: دفاع‌ها

خوشبختانه برای هر تیمی که به دنبال نحوه ایمن‌سازی RDP برای سازمان خود است، چندین اقدام مقابله‌ای وجود دارد که می‌توانند پیاده‌سازی کنند.

·       احراز هویت چند عاملی (MFA)

از آنجایی که اصلی‌ترین مسیر دسترسی برای مهاجمان، احراز هویت است، این مورد باید تمرکز اصلی برای پیشگیری باشد. احراز هویتی که فقط به یک نام کاربری و رمز عبور نیاز دارد، اساساً هیچ محافظتی ارائه نمی‌دهد و مهاجمان به طور فعال به دنبال سیستم‌هایی هستند که به این نوع احراز هویت متکی هستند. برای کاهش این آسیب‌پذیری، هر سازمانی که به دنبال نحوه ایمن‌سازی RDP است، باید حداقل احراز هویت چند عاملی را پیاده‌سازی کند. MFA از کاربران می‌خواهد چیزی که در اختیار دارند (OTP، دستگاه، کلید امنیتی) یا چیزی که هستند (اسکن چهره، اثر انگشت) را علاوه بر یا به جای چیزی که می‌دانند (رمز عبور، پین) ارائه دهند.

·     احراز هویت بدون رمز عبور کامل

MFA سنتی حاشیه‌ای از امنیت را به استقرارهای RDP اضافه می‌کند، اما در برابر تکنیک‌های مختلف دور زدن آسیب‌پذیر است. برای ایمن‌سازی کامل RDP با MFA، باید رمزهای عبور مشترک را کاملاً از فرآیند احراز هویت حذف کنید. این کار باعث می‌شود مهاجمان نتوانند عوامل احراز هویت را حدس بزنند یا سرقت کنند و جعل هویت بسیار سخت‌تر شود. به‌طور خاص، احراز هویت بدون رمز عبور مبتنی بر استانداردهای FIDO در برابر فیشینگ، حملات مرد میانی و تلاش‌های هک مقاوم است زیرا از عوامل ناامن مانند SMS یا OTP استفاده نمی‌کند. علاوه بر این، از آنجایی که بر اساس رمزنگاری کلید عمومی است، هیچ راز مشترکی سمت سرور برای سرقت وجود ندارد تا یک نقض موفق را تشدید کند.

·       کنترل دسترسی مبتنی بر نقش (RBAC)

این شیوه دسترسی به داده‌ها را برای کاربران تنها بر اساس اصل نیاز به دانستن مجاز می‌نماید و از نظر تئوری از دسترسی گسترده یک مهاجم به شبکه پس از یک نقض احراز هویت جلوگیری می‌کند. با این حال، ممکن است چالش‌های قابل توجهی در اجرا و نظارت بر کنترل دسترسی وجود داشته باشد، زیرا نقش‌ها و نیازهای کاربران تغییر می‌کنند و نیاز به اختصاص و لغو مداوم امتیازات دارند.

·       مدیریت وصله‌ها

نسخه‌های متعددی از RDP وجود دارد که قدمت آن‌ها به دو دهه گذشته بازمی‌گردد و چندین نقص عمده در آن‌ها یافت شده است. برای ایمن‌سازی RDP، سازمان‌ها باید نسخه‌های خود را وصله کرده و به‌روز نگه دارند، زیرا مهاجمان می‌توانند به راحتی سیستم‌هایی را که هنوز از نسخه‌های آسیب‌پذیر استفاده می‌کنند، شناسایی کنند.

·       اطمینان از پیکربندی صحیح پورت

اگرچه RDP به طور پیش‌فرض از TCP 3389 و UDP 3389 استفاده می‌کند، اما پیکربندی‌های سفارشی می‌توانند منجر به باز بودن پورت‌های غیرمجاز شوند. بنابراین، نظارت و تقویت امنیت بر روی استفاده از پورت برای ایمن‌سازی شبکه‌های پروتکل دسکتاپ از راه دور ضروری است.

 

امن‌سازی پروتکل دسکتاپ از راه دور (RDP) با نشانه

پروتکل دسکتاپ از راه دور (RDP) که در سیستم‌های مایکروسافت عرضه می‌شود و استفاده از آن در سه سال گذشته به طور قابل توجهی افزایش یافته است، به کاربران اجازه می‌دهد تا از مکان‌های دور به رایانه‌های خود دسترسی کامل داشته باشند. متأسفانه، این پروتکل همچنین اصلی‌ترین روش حمله برای مهاجمان است که به دنبال دسترسی به شبکه با سوء استفاده از مسائل احراز هویت هستند. سیستم‌هایی که فقط به یک نام کاربری و رمز عبور نیاز دارند، آسیب‌پذیرترین هستند، زیرا به مهاجمان اجازه می‌دهد از حملات جستجوی فراگیر، فیشینگ و مهندسی اجتماعی برای به دست آوردن دسترسی RDP استفاده کنند.

اگر در حال بررسی نحوه امن‌سازی پروتکل دسکتاپ از راه دور (RDP) برای سازمان خود هستید، اولین قدم دفاعی شما باید استقرار سیستم‌های احراز هویت قوی باشد. ایمن‌ترین شیوه، احراز هویت بدون رمز عبور است تا تمام رازهای مشترک را کاملاً از احراز هویت RDP شما حذف نماید.

راهکار احراز هویت بدون رمز عبور نشانه (توسعه داده شده در شرکت رهسا – ره‌آورد سامانه‌های امن) به کارکنان شما اجازه می‌دهد تا با یک تجربه کاربری ساده، به طور ایمن به سیستم‌های دسترسی از راه دور، از جمله RDP، وارد شوند. برای اطلاع از اینکه چگونه نشانه می‌تواند راه‌حلی برای امن‌سازی پروتکل دسکتاپ از راه دور (RDP) برای نیروی کار شما و محافظت از دارایی‌های سازمانی شما باشد، با تیم ما تماس بگیرید.

ادامه مطلب
گامهای اساسی برای حذف رمزهای عبور در سازمانها و جایگزین با MFA مقاوم به فیشینگ
22 آبان 1403توسط Kasra Tavakoliاحراز هویت

گامهای اساسی برای حذف رمزهای عبور در سازمان‌ها

گذرواژه‌ها و اعتبارنامه‌ها همچنان بزرگترین منبع تلاش‌های حمله و حملات موفق هستند. این امر آنها را به بزرگترین تهدید امنیت سایبری برای سازمان‌ها در تمام صنایع تبدیل نموده است. طبق گزارش Verizon، 62٪ از نقض‌های موفق به سرقت اعتبارنامه‌ها یا فیشینگ مرتبط است. حملات رمز عبور در شکل‌های مختلفی وجود دارند و برای دور زدن اقدامات مقابله‌ای مانند MFA سنتی تکامل یافته‌اند. از این رو سازمان‌ها باید به دنبال گامهای اساسی برای حذف رمزهای عبور باشند.

رایج‌ترین انواع حملات رمز عبور شامل موارد زیر هستند که احتمالا تنها می‌توان با شیوه‌های احراز هویت بدون رمز عبور با آنها مقابله نمود:

  • فیشینگ: یک ترفند مهندسی اجتماعی ساده. در این ترفند، مهاجم ایمیلی برای کاربر می‌فرستد و از او می‌خواهد وارد یک سایت تقلبی کنترل‌شده توسط مهاجم شود. هکرها همچنین از فیشینگ برای استخراج رمزهای یکبار مصرف (OTP) ارسالی به کاربران در جریان احراز هویت چندعاملی استفاده می‌کنند.
  • حمله جستجوی فراگیر (Brute Force): با داشتن آدرس ایمیل یا نام حساب کاربری یک کاربر، مهاجم چندین نسخه از رمزعبور را امتحان می‌کند. این کار می‌تواند بسیار طولانی، در حد امتحان کردن تمامی ترکیبات ممکن از کلمات یک فرهنگ لغت باشد.
  • نرم‌افزار مخرب (Malware): این حالت شامل نصب یک کی‌لاگر (Key Logger) روی دستگاه کاربر است. از این طریق همه چیزهایی که کاربر وارد می‌کند ضبط و مستقیماً به مهاجم ارسال می‌شود.
  • حمله مرد میانی (Man-in-the-Middle): یک مهاجم خود را بین کاربر و سرور قرار می‌دهد و ترافیک ارسال شده را رهگیری می‌کند. حتی رمزهای عبور رمزگذاری شده که سرقت شده‌اند می‌توانند به صورت آفلاین شکسته شوند.

 

گامهای اساسی برای حذف رمزهای عبور

تهدید ناشی از حملات رمزهای عبور به حدی جدی است که آژانس امنیت ملی ایالات متحده (CISA) دستورالعمل خاصی برای آن صادر کرده است. در این دستورالعمل از همه سازمان‌ها خواسته شده که رمزهای عبور را کاملاً حذف و MFA مقاوم در برابر فیشینگ را بر اساس استانداردهای FIDO مستقر کنند. در اینجا به مراحل و گام‌های اساسی که سازمان‌ها باید برای حذف رمزهای عبور از فرآیندهای مدیریت هویت و دسترسی (IAM) خود بردارند، خواهیم پرداخت.

  1. شروع با حذف گذرواژه از رایانه‌های محلی: بسیاری از سازمان‌ها تمرکز خود را بر تلاش‌های امنیتی بر روی فرآیندهای احراز هویت برای برنامه‌های سیستمی و ورود واحد (SSO) قرار می‌دهند و اولین ورود روز، یعنی رایانه‌ها را نادیده می‌گیرند. این یک شکاف امنیتی جدی ایجاد می‌کند و دسترسی به ایستگاه‌های کاری را برای مهاجمان آسان‌تر می‌نماید که از آن می‌توان به عنوان یک مسیر حمله استفاده نمود. اولین قدم برای حذف رمزهای عبور، استقرار یک راه حل MFA بدون رمز عبور برای ایستگاه‌های کاری است. این کار سطح تهدیدات را کاهش می‌دهد و همچنین به کاهش زمانی که کارمندان در طول روز صرف وارد کردن رمزهای عبور می‌کنند، کمک می‌کند.
  2. ایجاد یک نقطه ورود یکپارچه: گام بعدی واضح، پیوستن MFA بدون رمز عبور شما از به ارائه‌دهنده یک سرویس هویت SSO (Single Sign On) است. ارائه‌دهنده SSO دسترسی به بسیاری از برنامه‌های سیستمی، VPN و داده‌ها را ارائه می‌دهد. به یاد داشته باشید، SSO بدون رمزعبور نباید از اعتبارنامه‌های ذخیره شده مرکزی یا اسرار مشترک در فرآیند تأیید استفاده کند. استفاده از SSO، یک تجربه ورود یکپارچه و بدون دردسر برای کاربران ایجاد می‌کند. این کار تعداد تماس‌های جایگزینی رمز عبور برای تیم پشتیبانی IT را نیز کاهش می‌دهد که به معنی افزایش بهره‌وری خواهد بود.
  3. حذف OTPها: یکی از اولین شیوه‌های MFA آن است که کاربر با ارائه یک شماره یا کد ارسال شده به یک ایمیل یا شماره تلفن همراه ثبت شده، هویت خود را ثابت کند. این شیوه اکنون می‌تواند به راحتی توسط مهاجمان از طریق انواع بدافزارها، شیوه سیم‌سوئیچینگ و یا کیت‌های فیشینگ اختصاصی به خطر بیفتد. یک گام مهم در حذف رمزهای عبور، کاهش وابستگی به OTPهاست. برخی از برنامه‌هایی که به SSO منتقل نشده‌اند ممکن است هنوز به OTP قدیمی نیاز داشته باشند. OTPها نه تنها ناامن هستند، بلکه زمان قابل توجهی از کارمندان را برای شروع و تکمیل ورود به سامانه‌ها می‌گیرند.
  4. حل موارد خاص احتمالی: پس از ادغام SSO و سایر سامانه‌ها با MFA بدون رمز عبور، قدم بعدی در مسیر حذف رمزهای عبور، احتمالاً تمرکز بر برنامه‌های قدیمی خواهد بود که هنوز به رمز عبور نیاز دارند. میل به تغییر با فعال شدن احراز هویت بدون رمز عبور برای سایر دارایی‌ها قابل توجه خواهد شد و کارمندان از اینکه چرا دسترسی به این برنامه‌ها بسیار کندتر است، سؤال خواهند کرد. چندین گزینه برای بهبود این وضعیت وجود دارد، مانند اضافه کردن برنامه‌ها به SSO (در صورت امکان) یا استفاده از SDK راهکار بدون رمزعبور انتخاب شده در سازمان برای ادغام مستقیم احراز هویت بدون رمز عبور در برنامه‌های مربوطه.
  5. حفظ و امتداد روند و فرآیندهای مثبت: مبارزه برای حذف رمزهای عبور به این دلیل دشوارتر می‌شود که با وجود معرفی خطرات امنیتی عظیم برای سازمان‌ها، بسیاری از فروشندگان و توسعه‌دهندگان همچنان رمزهای عبور را به‌عنوان یک راه‌حل احراز هویت قابل‌قبول می‌دانند. این می‌تواند منجر به عقب‌گرد در پیشرفت‌ها یا ایجاد استثنا برای شرایط یا کاربران خاص شود. هنگامی که در مسیر حذف رمزهای عبور هستید، نباید هیچ بازگشتی وجود داشته باشد.

 

راهکار نشانه برای خداحافظی با رمزهای عبور

رمزهای عبور شاید بزرگترین تهدید برای امنیت سازمانی باشند. حذف آنها از فرآیندهای احراز هویت بسیار مهم است. گامهای اساسی برای حذف رمزهای عبور، مشابه با آن چیزی است که در این نوشته تشریح شد. سفر به دنیای بدون گذرواژه با یک راهکار MFA بدون رمزعبور مناسب آغاز می‌شود. این راهکار باید احراز هویت بدون رمز عبور را به ایستگاه‌های کاری، SSO و تمامی برنامه‌های سازمان ارائه دهد تا برای کاربران احراز هویت مستقیم و بدون دردسر را فراهم نماید. راهکار احراز هویت بدون گذرواژه نشانه (محصول شرکت رهسا – ره‌آورد سامانه‌های امن)، همه چیزهایی را که برای حذف رمزهای عبور نیاز دارید، در اختیار شما قرار می‌دهد. استفاده از شناسه‌های بیومتریک روی کلیدهای امنیتی و یا سایر دستگاه‌های کاربران برای باز کردن یک کلید خصوصی منحصر به فرد، به معنای عدم وجود رمزعبور یا راز مشترک خواهد بود. نشانه یک راهکار گواهی شده توسط FIDO است که تمام دستورالعمل‌های احراز هویت مقاوم در برابر فیشینگ سازمان‌های امنیتی همچون CISA را برآورده می‌کند. برای اطلاع از چگونگی حذف کامل رمزهای عبور با استفاده از راهکار نشانه،  همین امروز با یکی از کارشناسان ما تماس بگیرید.

ادامه مطلب
احراز هویت بدون گذرواژه برای موسسات مالی
13 آبان 1403توسط Kasra Tavakoliعمومی

بهبود امنیت احراز هویت بانک‌ها/موسسات مالی

بانک‌ها و موسسات مالی، همواره یکی از اهداف اصلی حملات سایبری بوده و هستند. با این حال، در سال‌های اخیر، سطح تهدیدات سایبری به طور قابل توجهی افزایش نیز یافته است. با وجود سرمایه‌گذاری‌های عظیم در حوزه امنیت، صنعت مالی همچنان در معرض خطر است. به‌ویژه در زمینه آسیب‌پذیری‌های مدیریت احراز هویت و دسترسی (IAM). آمار و روندهای اخیر جهانی نشان می‌دهد که این وضعیت چقدر وخیم شده است. موارد زیر نشان دهنده نیاز به رویکردی جدید همچون احراز هویت بدون گذرواژه برای موسسات مالی می‌باشد:
• در سال 2020، طبق گزارش VMware Carbon Black، حملات سایبری علیه بانک‌ها 238 درصد افزایش یافت.
• طبق گزارش وضعیت احراز هویت صنعت مالی 2022، 80 درصد نقض‌های امنیتی ناشی از صعف‌های این حوزه بوده است.
• تقریباً 40 درصد از تمام URLهای فیشینگ، خدمات مالی را هدف قرار می‌دهند.
• 47 درصد تلاش‌های کلاهبرداری، در کانال‌های پرداخت بدون کارت صورت گرفته است. یعنی مهاجمان غالبا از کنترل‌های مدیریت هویت ضعیف در پرداخت‌های آنلاین سوء استفاده می‌کنند.

 

چالش‌های مهم امنیت سایبری در خدمات مالی

صنعت خدمات مالی، به ویژه سیستم‌های احراز هویت آن، به دلایل مختلف با خطرات فزاینده‌ای مواجه است. در سال‌های اخیر، قوانین متعددی نیز در این زمینه وضع شده است. یا در قوانین متعددی به بهبود حوزه مدیریت هویت و دسترسی اشاره شده است. می‌توان به استفاده از استاندارد FIDO در نسخه جدید PCI-DSS به عنوان نمونه یاد نمود. در ادامه به برخی از مشکلات این حوزه که غالبا بیشتر سازمان‌های مالی با آن درگیر هستند اشاره می‌نماییم.

سهولت هک شیوه‌های سنتی

احراز هویت سنتی بسیار آسیب‌پذیر در برابر حملات مختلف از جمله فیشینگ است. شیوه‌های MFA سنتی بیشتر یک مزاحمت هستند تا یک مانع برای هکرها. اکثر روش‌ها از نوعی راز مشترک به عنوان عامل احراز اصالت استفاده می‌کنند. غالبا می‌توان همه این روش‌ها را فریب داد یا راز مربوط را از آنها سرقت نمود. هنگامی که مهاجمان از مرحله احراز هویت عبور می‌کنند، می‌توانند حمله را گسترش و سطح آسیب را افزایش دهند.

پیچیدگی حملات

هم‌اکنون، فیشینگ به عنوان یک سرویس (PhaaS) با رابط‌های پیچیده، به صورت آماده برای انجام حملات فراهم است. در نتیجه مهاجمان کم‌مهارت نیز با هزینه کم، به ابزارهای لازم برای اجرای حملات علیه مشتریان بانک‌ها دسترسی خواهند داشت. برخی از این سرویس‌ها، شامل چندین لایه حمله، از جمله آپلود داده‌های شخصی از پیش جمع‌آوری‌شده هستند. از این طریق شانس موفقیت و احتمال هدف قرار دادن کاربران آسیب‌پذیرتر بالا خواهد رفت. برخی از آنها خدمات بمباران MFA برای دور زدن برنامه‌های احراز هویت MFA را نیز ارائه می‌دهند.

چالش‌های چندگانه و فرآیندهای متفاوت

بسیاری از سازمان‌های خدمات مالی از چندین ارائه دهنده هویت (IdP) استفاده می‌کنند. به ویژه آن‌هایی که از طریق ادغام با یکدیگر رشد کرده یا ایجاد شده‌اند. هر یک از این‌ها ممکن است فرآیند احراز هویت متفاوتی داشته باشد. این تفاوت ممکن است در سطوح امنیت و یا تجربیات مختلف برای کاربران باشد. از این رو ممکن است کاربران بیشتر در معرض فریب و حملات قرار بگیرند. همچنین ممکن است به استفاده از راهکارهای ناامن مانند یادداشت کردن رمزهای عبور روی بیاورند.

مقررات سختگیرانه

قوانین حفاظت از داده‌ها در جهان مانند GDPR، PCI-DSS و PSD2 به همه شرکت‌ها اعمال می‌شود. هرچند، بار نظارتی آنها بر شرکت‌های خدمات مالی بسیار سنگین‌تر از سایر صنایع است. احتمال جریمه و انتشار نقض‌ها خطر قابل توجهی برای موسسات مالی ایجاد می‌کند. این موارد ممکن است بانک‌ها و موسسات مالی را ملزم کند تا رویه‌های احراز هویت خود را تقویت کنند.

اعتماد مصرف‌کننده

موج فعلی فعالیت‌های کلاهبرداری به‌طور فعال بر روابط شرکت‌ها با مشتریانشان تأثیر می‌گذارد. مطالعه امنیت احراز هویت در صنعت مالی، نشان می‌دهد که بانک‌ها پس از نقض امنیتی، دچار کاهش مشتری می‌شوند. این مطالعه نشان می‌دهد 32 درصد بانک‌ها پس از نقض امنیتی، مشتریان خود را به رقبا از دست می‌دهند. همچنین یک مانع بزرگ، انتقال مشتریان به بانکداری موبایل و خدمات الکترونیکی است. 74 درصد از مشتریانی که از این خدمات استفاده نمی‌کنند، امنیت را به عنوان نگرانی اصلی خود ذکر می‌کنند.

 

احراز هویت بدون گذرواژه برای موسسات مالی 

یکی از مشکلات اصلی همه این مسائل، ضعف در امنیت فرآیند و شیوه مدیریت هویت است. مقررات خدمات مالی صراحتاMFA را به عنوان حداقل شیوه احراز هویت برای کارمندان و مشتریان مشخص کرده‌اند. برای بهبود امنیت فرآیند مدیریت هویت در موسسات مالی، باید به نکات مختلفی توجه نمود. از جمله این نکات، می‌توان به به عنوان نمونه به موارد مهم زیر اشاره کرد:

1. احراز هویت چند عاملی قوی (MFA): همانطور که گفته شد،MFA بهترین روش برای پوشش حداقل‌های مورد انتظار برای احراز و مدیریت هویت است. با این حال، برخی از فرآیندهای MFA مانند رمزهای یک‌بار مصرف (OTP)، قابل دور زدن هستند. از این رو باید به شیوه‌های مقاوم‌تر از احراز هویت چند عاملی روی آورد. در ادامه به برخی از این شیوه‌ها و استانداردها اشاره می‌گردد.

2. احراز هویت بدون رمز عبور برای موسسات مالی: یک راه‌حل حیاتی برای حذف آسیب‌پذیری‌های ذاتی رازهای مشترک و تقویت مدیریت دسترسی و هویت، حذف کامل رمزهای عبور است. احراز و مدیریت هویت بدون رمز عبور برای امور مالی، یک فرآیند مقاوم در برابر فیشینگ ایجاد می‌کند. این امر از مشتریان و کارمندان در برابر اکثر تلاش‌های حمله و تهدیدات محافظت خواهد نمود.

3. استاندارد Fast Identity Online (FIDO): ترس بسیاری از سازمان‌ها در انتقال به احراز هویت بدون رمز عبور، عدم اطمینان به سطح امنیت آنهاست. استاندارد FIDO یک سیستم احراز هویت متن-باز است. این استاندارد توسط اتحادیه‌ای از شرکت‌های فناوری پیشرو، سازمان‌های مالی و نهادهای نظارتی مانند NIST ایجاد شده است. استاندارد FIDO با در نظر گرفتن امنیت، تجربه کاربری و سازگاری توسعه یافته است. این کار با استفاده از دستگاه‌های کاربر همچون تلفن همراه یا کلیدهای آماده، با عوامل بیومتریک و مالکیت انجام می‌شود.

4. احراز هویت قوی برای رایانه‌ها و همچنین برنامه‌ها: اکثر سیستم‌های احراز و مدیریت هویت بر کنترل دسترسی خدمات سازمانی تمرکز دارند. دسترسی به رایانه‌ها که برای کار با دارایی‌های شرکت استفاده می‌شوند، اغلب فقط با رمز عبور محافظت می‌شود. سازمان‌هایی که MFA را برای رایانه‌ها نادیده می‌گیرند، در واقع در را به روی منابع خود باز می‌گذارند. تیم‌های امنیتی می‌توانند با فعال کردن MFA برای ورود به رایانه‌ها، میزان دفاع را تقویت کنند.

5. رمزنگاری کلید عمومی: در نهایت، رمزهای عبور آسیب‌پذیرند زیرا می‌توان آنها را فیشینگ یا سرقت کرد. ورود بدون رمزعبور ایمن برای امور مالی از رمزنگاری کلید عمومی بی‌نیاز از رمزعبورها استفاده می‌کند. برای هر کاربر یک جفت کلید عمومی-خصوصی تولید می‌شود. کلید عمومی باید در ارائه دهنده خدمت مدیریت هویت ثبت شود. در فرآیند احراز و مدیریت هویت، کاربر کلید خصوصی را روی دستگاه خود باز و داده‌های مرتبط را امضا/تأیید می‌کند. از آنجایی که کلید خصوصی به صورت محلی ذخیره می‌شود، احتمال سرقت آن به طور قابل توجهی کاهش می‌یابد.

 

احراز هویت بدون گذرواژه برای موسسات مالی با راهکار نشانه

پیچیدگی و تعدد تهدیدات، به‌ویژه در حوزه احراز و مدیریت هویت، چالش‌های بزرگی برای صنعت خدمات مالی ایجاد نموده است. راهکار نشانه از مشکلات صنعت مالی در این زمینه و قوانین مرتبط آگاه است. این راهکار محصول شرکت رهسا (ره‌آورد سامانه‌های امن) است که سال‌هاست در حوزه امنیت فعالیت می‌کند. با ارائه راه‌حلی مبتنی برFIDO، نشانه امکان ورود بدون رمز عبور را برای سازمان‌های مالی فراهم می‌کند. به‌گونه‌ای که امنیت بالاتر برای سازمان و راحتی بیشتر برای کارمندان و مشتریان فراهم گردد. نشانه امکان ورود سریع و بی‌دردسر به سامانه‌های سازمان را بصورت مقاوم در برابر فیشینگ مهیا می‌نماید. برای اطلاع بیشتر در این زمینه، با تیم نشانه تماس بگیرید.

ادامه مطلب

معرفی

نشانه، راهکار هوشمند احراز هویت بدون رمز عبور، در شرکت ره‌آورد سامانه‌های امن (رهسا) توسعه داده شده است.
ما در تلاش هستیم تا راهکارهایی مناسب برای حفظ امنیت اطلاعات اشخاص و سازمان‌ها ارائه کنیم.

Linkedin-in

دسترسی سریع

تلفن‌های تماس

پست الکترونیک

info@rsa.ir
support@neshane.co

آدرس

تهران، ناحیه نوآوری شریف، بلوار تیموری، نبش کوچه ابراهیمی، پلاک 58، ساختمان مهرنگار، طبقه دوم، واحد 10

تمامی حقوق مادی و معنوی این وب‌سایت به شرکت ره‌آورد سامانه‌های امن (رهسا) تعلق دارد.