احراز هویت چند عاملی مقاوم به حملات فیشینگ

احراز هویت چند عاملی (MFA) یک کنترل امنیتی است که کاربر را ملزم می‌کند تا ترکیبی از دو یا چند عامل مختلف (چیزی که می‌داند، چیزی که دارد یا چیزی که هست) را برای اثبات صحت هویت خود ارائه کند. MFA کار را برای حمله‌کنندگان نسبت به حالت استفاده از گذرواژه‌ها که به راحتی با حملات فیشینگ قابل سرقت هستند دشوارتر می‌کند. هنگامی که MFA فعال شده باشد، حتی با سرقت یکی از عوامل همچون گذرواژه، همچنان حمله‌کننده بدون عامل دوم، امکان دسترسی به حساب کاربر را نخواهد داشت. در ادامه ویژگی‌های احراز هویت چند عاملی مقاوم به فیشینگ یا همان بدون احراز هویت رمز عبور مبتنی بر FIDO را تشریح خواهیم نمود.

 

گزارش CISA در خصوص استفاده از MFA

آژانس امنیتی زیرساخت و سایبری (Cybersecurity & Infrastructure Security Agency – CISA) به طور مداوم از سازمان‌ها خواسته است که MFA را برای همه کاربران و همه خدمات، از جمله ایمیل، اشتراک‌گذاری فایل و دسترسی به حساب‌های مالی فعال کنند. MFA یک اقدام ضروری برای کاهش تهدیدات سایبری است، هرچند همه شیوه‌های آن به یک اندازه ایمن نیستند. برخی از آنها در برابر حملات فیشینگ، جابجایی سیم کارت (SIM Swap)، آسیب‌پذیری پروتکل  SS7 و بمباران اعلان‌‌ها (Push Bombing) آسیب‌پذیر هستند. این حملات در صورت موفقیت‌آمیز بودن، ممکن است به یک عامل تهدید جدی تبدیل شوند.

CISA یک نمای کلی از تهدیدات علیه حساب‌ها و سیستم‌هایی که از MFA استفاده می‌کنند، ارائه کرده است. این نهاد همچنین راهنماهایی در مورد اجرای MFA مقاوم در برابر حملات فیشینگ که امن‌ترین شکل آن است تدوین نموده است. CISA قویا اصرار دارد همه سازمان‌ها برای اجرای MFA مقاوم در برابر حملات فیشینگ به عنوان بخشی از اصول اعتماد صفر Zero Trust اقدام کنند. در حالی که هر شکلی از MFA بهتر از عدم وجود آن است و سطح حمله به سازمان را کاهش‌ می‌دهد، MFA مقاوم در برابر حملات فیشینگ بسیار موثرتر بوده و سازمان‌ها باید مهاجرت به سمت آن را در اولویت کاری خود قرار دهند.

تهدیدات سایبری احراز اصالت MFA

عوامل تهدید سایبری از روش‌های متعددی برای دسترسی به اعتبارنامه‌های MFA استفاده می‌کنند که عبارتند از:

• فیشینگ: حملات فیشینگ نوعی مهندسی اجتماعی است که در آن عوامل تهدید سایبری از ایمیل یا وبسایت‌های جعلی برای سرقت اطلاعات استفاده می‌کنند. بعنوان مثال، در یک شیوه فیشینگ که به طور گسترده مورد استفاده قرار می‌گیرد، یک عامل تهدید ایمیلی را به یک هدف ارسال می‌کند تا کاربر را متقاعد کند که از یک وبسایت جعلی و تحت کنترل وی (تقلیدشده و کاملا مشابه با صفحه وب اصلی) بازدید کند. کاربر نام کاربری و گذرواژه و همچنین عامل سوم (همچون کد چند رقمی دریافتی از برنامه احراز کننده تلفن همراه) خود را وارد می‌کند. حمله‌کننده از این اطلاعات، بلافاصله و قبل از ابطال کد مورد نظر، برای ورود به صفحه اصلی مربوطه، به جای کاربر استفاده خواهد نمود.
• بهره‌برداری از آسیب‌پذیری‌های پروتکل SS7: عوامل تهدید سایبری از آسیب‌پذیری‌های پروتکل SS7 در زیرساخت‌های ارتباطی برای دریافت کدهای MFA که از طریق پیام متنی (SMS) یا صوتی به تلفن کاربر ارسال می‌شوند، سوء استفاده می‌کنند.
• تعویض سیم‌کارت (SIM Swap) : جابجایی سیم‌ کارت شکلی از مهندسی اجتماعی است که در آن عوامل تهدید سایبری، اپراتورهای تلفن همراه را متقاعد می‌کنند که کنترل شماره تلفن کاربر را به یک سیم‌کارت کنترل شده توسط تهدیدگر منتقل کنند. بدین ترتیب این کار به حمله کننده اجازه می‌دهد تا کنترل تلفن همراه کاربر را به دست آورد.

 

پیاده‌سازی MFA مقاوم در برابر حملات فیشینگ

تنها شیوه احراز اصالت مقاوم در برابر حملات فیشینگ، FIDO/WebAuthn است. انجمن فایدو در ابتدا پروتکل WebAuthn را به عنوان بخشی از استانداردهای فایدو2 توسعه داد و اکنون توسط کنسرسیوم وب جهانی (W3C) منتشر شده است. پشتیبانی از WebAuthn در مرورگرهای اصلی، سیستم عامل‌ها و تلفن‌های همراه هوشمند نیز گنجانده شده است. WebAuthn با استانداردهای مرتبط با فایدو2 کار می‌کند تا یک احراز کننده مقاوم در برابر حملات فیشینگ را ارائه کند. احرازکننده‌های WebAuthn می‌تواند شامل یکی از موارد زیر باشد:

• کلیدها/توکن‌های فیزیکی که از طریق USB به سامانه متصل می‌شوند.
• گوشی‌های تلفن همراه به عنوان احرازکننده پلتفرم
• سایر دستگاه‌های دارای پروتکل NFC و یا اسمارت کارت

 

اجرای احراز هویت چند عاملی (MFA) مقاوم در برابر حملات فیشینگ

اولویت بندی مراحل اجرایی

آژانس CISA به مدیران IT سازمان‌ها به منظور اولویت‌بندی مهاجرت به MFA مقاوم در برابر فیشینگ توصیه‌هایی ارائه نموده است. برای این منظور سازمان‌ها باید ملاحظات زیر را در نظر داشته باشند:

• چه منابعی را قصد دارند در برابر نفوذ محافظت کنند؟ به عنوان مثال، عوامل تهدید سایبری اغلب سیستم‌های‌ ایمیل، سرورهای فایل و سیستم‌های دسترسی از راه دور به داده‌های سازمان را هدف قرار می‌دهند. آنها همچنین سعی می‌کنند سرورهای هویت مانند اکتیو دایرکتوری را به خطر بیندازند که به آنها اجازه می‌دهد حساب‌های کاربری جدید ایجاد کنند یا کنترل حساب‌های کاربری موجود را در دست بگیرند.
• کدام کاربران اهداف باارزشی هستند؟ در حالی که به خطر افتادن هر حساب کاربری می‌تواند یک رویداد امنیتی جدی ایجاد کند، هر سازمان تعداد کمی حساب کاربری دارد که دسترسی یا امتیازات بالا دارند که به ویژه برای تهدیدکننده‌های سایبری ارزشمند هستند. برای مثال اگر یک تهدیدگر سایبری بتواند حساب مدیر/راهبر سیستم را به خطر بیاندازد، ممکن است بتواند به هر سیستم و هر داده‌ای در سازمان دسترسی داشته باشد. نمونه‌‌ای دیگر از اهداف با ارزش کارکنان منابع انسانی هستند که ممکن است به سوابق پرسنل دسترسی داشته باشند.

 

مسائل مشترک و مسیرهای رو به جلو

هنگام شروع استقرار MFA، سازمان‌ها با موانع رایجی مواجه خواهند شد. این مسائل احتمالی پیش رو عبارتند از:

• برخی از سیستم‌ها ممکن است MFA مقاوم در برابر حملات فیشینگ را پشتیبانی نکنند. برخی محصولات شاید دیگر توسط فروشندگان پشتیبانی نشوند یا هنوز احراز اصالت MFA در اولویت برنامه‌های کاری آنها قرار نداشته باشد. از این رو CISA سازمان‌ها را تشویق می‌کند که ابتدا بر خدماتی تمرکز کنند که MFA مقاوم در برابر حملات فیشینگ را پشتیبانی می‌کنند، همچون سرورهای ایمیل و سیستم‌های SSO.
• ممکن است استقرار MFA برای همه کارکنان به طور همزمان دشوار باشد. به عنوان مثال، ممکن است آموزش، ثبت نام و پشتیبانی همه کاربران به طور همزمان غیرممکن بوده یا ملاحظات عملیاتی دیگری وجود داشته باشد که سازمان را از ارائه MFA مقاوم در برابر حملات فیشینگ به برخی گروه‌ها در مرحله اول باز دارد. از این رو باید در نظر بگیرید که چه گروه‌هایی ممکن است برای مرحله اول مناسب باشند. به عنوان مثال مدیران و کارکنان IT می‌تواند نقطه شروع خوبی بوده و از آنجا گسترش به سایر بخش‌های سازمان تحت آموزش این افراد صورت ‌گیرد.
• ممکن است نگرانی‌هایی وجود داشته باشد که کاربران در برابر مهاجرت به MFA مقاومت کنند. مدیران امنیت باید خطرات مرتبط با نداشتن MFA (یا بکارگیری MFA آسیب‌پذیر) را برای تایید به مدیران عالی و ارشد سازمان ارائه کنند. اگر مدیر ارشد سازمان تصمیم بگیرد که خطر عدم استفاده از MFA مقاوم در برابر فیشینگ بسیار زیاد است، فرصت مناسبی برای کمک گرفتن از مدیر ارشد سازمان و همچنین راضی نمودن سایر افراد فراهم خواهد شد.

راهکار مدیریت هویت و دسترسی بدون رمز عبور شرکت رهسا با عنوان نشانه، مبتنی بر استاندارد FIDO است. این راهکار طبق توضیحات بالا، یک شیوه MFA مقاوم در برابر حملات فیشینگ است. نشانه به گونه‌ای طراحی شده تا احراز اصالت را مبتنی بر کلید عبور (Passkey) با تجربه کاربری ساده در اختیار سازمان‌ها قرار دهد. راهکار احراز اصالت نشانه، تضمین می‌کند که الگوهای زیست‌سنجی (همچون اثرانگشت) به عنوان کلید، نگرانی‌های امنیتی را در حوزه مدیریت هویت و دسترسی کاهش دهد.

چرا شرکت‌های کوچک و متوسط باید به کلیدهای امنیتی روی بیاورند؟

وقتی صحبت از امنیت می‌شود، رمزهای عبور یک نقطه ضعف بزرگ محسوب می‌شوند. هکرها و مجرمان سایبری در سرقت رمزهای عبور و سوء استفاده از حفره‌های امنیتی مهارت فوق العاده‌ای پیدا کرده‌اند. این امر به ویژه برای شرکت‌های کوچک و متوسط که احتمالا منابع کافی برای سرمایه‌گذاری در حوزه امنیت ندارند، ​​نگران‌کننده‌تر نیز خواهد بود. خوشبختانه، استفاده از کلیدهای امنیتی مبتنی بر FIDO به عنوان یک راه‌حل احراز هویت قوی در بین این شرکت‌ها محبوبیت فزاینده‌ای پیدا کرده است. در این روش، رمزهای عبور با حالتی امن‌تر از احراز هویت جایگزین شده و پاسخی ساده و موثر به بسیاری از خطرات و مشکلات امنیتی فراهم خواهد شد.

 

آسیب‌ها و تهدیدهای مرتبط با رمزهای عبور

گذرواژه‌ها طبیعتاً آسیب‌پذیر هستند و خطرات قابل توجهی برای سازمان‌ها در هر اندازه‌ای به همراه دارند. برخی از خطرات عمده عبارتند از:

• استفاده مجدد از رمز عبور: بسیاری از افراد از رمز عبور یکسانی در چندین حساب استفاده می‌کنند و این یک اثر دومینویی ایجاد می‌کند که در آن در صورت نقض یکی از حساب‌ها، همه حساب‌ها در معرض خطر قرار می‌گیرند.

• حملات و کلاهبرداری‌های فیشینگ: فیشینگ که یکی از رایج‌ترین شکل حملات سایبری است، غالبا به فریب دادن افراد برای تحویل رمز عبور خود متکی است.

• رمزهای عبور ضعیف و ناامن: انتخاب گذرواژه‌های کوتاه و یا مواردی که به راحتی قابل حدس زدن هستند نیز یکی از بزرگترین مشکلات در این زمینه بوده که منجر به آسیب‌پذیر شدن سامانه‌های مرتبط می‌گردد.

• احراز هویت سنتی دو مرحله ای: احراز هویت سنتی و معمول دو مرحله‌ای، مانند کدهای پیامکی، نیز آسیب پذیر است، زیرا مهاجمان می‌توانند از شیوه‌های مختلف همچون مهندسی اجتماعی برای متقاعد کردن اپراتورهای تلفن همراه برای انتقال شماره تلفن کاربران به آنها استفاده کنند.

  

استفاده از کلیدهای امنیتی FIDO برای بهبود امنیت

استفاده از کلیدهای امنیتی دارای مزایای متعددی است که می‌تواند خطراتی مانند نقض داده‌ها را کاهش دهد. برخی از مزایا عبارتند از:

• امنیت بیشتر: کلیدهای امنیتی سطح بالاتری از امنیت را نسبت به سایر شیوه‌های احراز هویت ارائه می‌کنند. از آنجایی که احراز هویت به صورت محلی انجام می‌شود و به یک دستگاه فیزیکی متکی است، نفوذ هکرها به حساب‌های شما را دشوار می‌کند.

• احراز هویت کاربرپسند: فرآیند استفاده از کلید امنیتی بسیار کاربرپسندتر نسبت به گذرواژه‌ها است. کاربران به سادگی کلید امنیتی را به سامانه مربوطه وصل کرده و روی یک دکمه ضربه می‌زنند و به راحتی احراز هویت می‌شوند.

• هزینه و زمان کمتر: کلیدهای امنیتی به صورت گسترده در حال استفاده بوده و بسیار و مقرون به صرفه هستند. بی‌نیاز نمودن کاربران از به خاطر سپردن گذرواژه‌ها و همچنین کاهش تماس‌ها با واحد فناوری سازمان برای بازنشانی آنها، می‌تواند سرعت کار افراد را بالاتر برده و هزینه‌های سازمان را کاهش دهد.

 

تبدیل دستگاه‌های موجود به کلیدهای امنیتی FIDO

پروتکل‌های کلید امنیتی FIDO تضمین می‌کنند که فقط شما می‌توانید به حساب‌های خود دسترسی داشته باشید و نه هیچ کس دیگری. بنابراین، اگر کلید فیزیکی خود را گم کنید، هیچ کس دیگری نمی‌تواند از آن برای دسترسی به حساب شما استفاده کند. آنها به هیچ نرم‌افزار یا درایور اضافی نیاز ندارند و با بسیاری از سایت‌ها و برنامه‌های کاربردی محبوب کار می‌کنند.

خبر خوب این است که برای بهبود امنیت داده‌های خود لزوما نیازی به خرید دستگاه‌های جدید ندارید. راهکار احراز هویت بدون رمز عبور نشانه به شما کمک می‌کند تا از دستگاه‌هایی که هم‌اکنون در اختیار دارید، به عنوان کلیدهای امنیتی FIDO استفاده کنید. با استفاده از تلفن‌های همراه هوشمند، کارت‌های شناسایی و یا هر وسیله‌ای که دارای RFID یا NFC باشد، راهکار نشانه به شما اجازه می‌دهد تا تنها در عرض چند ثانیه، فرآیند احراز هویت خود را بدون نیاز به گذرواژه انجام داده و از داده‌های حساس سازمان خود حفاظت کنید.

احراز اصالت بدون رمز عبور LDAP

در دنیای دیجیتال امروز، اطمینان از احراز اصالت ایمن و کارآمد همچون استفاده از شیوه های احراز هویت بدون رمز عبور برای محافظت از اطلاعات حساس و حفظ یکپارچگی سامانه‌ها حیاتی است. احراز هویت LDAP (اکتیو دایرکتوری) راه‌حلی قوی برای مدیریت هویت کاربران و دسترسی آنها در برنامه‌ها و سیستم‌های مختلف است. LDAP یک رویکرد امن و متمرکز برای احراز هویت کاربران و مدیریت متمرکز آنها در زیرساخت شبکه یک سازمان فراهم می‌کند. در ادامه به مفهوم احراز اصالت در این پروتکل، ملاحظات آن، مزایا، نحوه پیاده‌سازی، بهترین شیوه‌ها و چالش‌های آن می‌پردازیم.

 

آشنایی با مبانی LDAP

LDAP یا Lightweight Directory Access Protocol یک پروتکل کاربردی است که برای دسترسی و مدیریت اطلاعات دایرکتوری‌ها استفاده می‌شود. این پروتکل یک رویکرد استاندارد برای ذخیره، بازیابی و اصلاح داده‌ها در یک ساختار دایرکتوری سلسله مراتبی ارائه می‌دهد و از آن می‌توان برای خواندن و دریافت اطلاعات از سرورهای دایرکتوری مانند Microsoft Active Directory یا OpenLDAP در شبکه استفاده کرد. این پروتکل غالبا از ارتباط با یک فراهم‌کننده هویت Identity provider مانند اکتیو دایرکتوری برای احراز هویت کاربران استفاده می‌کند. همچنین می‌توان احراز هویت چند عاملی (MFA) را به فرآیند احراز اصالت اضافه نمود تا یک مرحله امنیتی اضافی برای احراز اصالت کاربران ایجاد گردد.

LDAP روی یک مدل کلاینت/سرور جایی که مشتریان درخواست‌هایی را برای اطلاعات دایرکتوری به سرور ارسال می‌کنند، کار می‌کند. سرور که به عنوان سرور LDAP شناخته می‌شود، اطلاعات مربوط به کاربر و سامانه‌ها را در یک پایگاه داده دایرکتوری منطبق بر یک ساختار نامگذاری یکتا یا Distnguished Name (DN) برای فراهم نمودن امکان شناسایی و مکان‌یابی ورودی‌ها ذخیره می‌کند.

 

مقدمه‌ای بر احراز اصالت LDAP

احراز اصالت در LDAP (اکتیو دایرکتوری) برای تایید اعتبار کاربر در مقابل سرور دایرکتوری اصلی که به عنوان سرور شناخته می‌شود، استفاده می‌شود. برای آماده نمودن سرور  بدین منظور می‌بایست ابتدا آن را راه‌اندازی کنید. این کار شامل نصب و پیکربندی نرم‌افزار سرور مانند OpenLDAP یا Microsoft Active Directory است. هنگامی که سرور راه‌اندازی شد، باید تنظیمات احراز هویت را پیکربندی کنید. این کار شامل تعریف آدرس، پورت و جزئیات اتصال سرور در برنامه یا سامانه مورد نظر است. در انتها همچنین LDAP این امکان را فراهم می‌کند تا ویژگی‌های خاصی را از سرور داریرکتوری به پروفایل‌های کاربر در برنامه یا سامانه نگاشت شود. این نگاشت تضمین می‌کند که اطلاعات کاربر مانند نام کاربری، آدرس ایمیل و عضویت او در گروه‌ها، در حین احراز هویت از سرور واکشی شود.

 

مزایای احراز هویت LDAP

مدیریت متمرکز کاربر: احراز هویت LDAP مدیریت متمرکز کاربران را فراهم می‌کند که در آن هویت‌ها و ویژگی‌های کاربر در یک سرور دایرکتوری واحد ذخیره می‌شوند. این امر مدیریت کاربران را تسهیل می‌کند، زیرا تغییرات  ایجاد شده در سرور LDAP به همه برنامه‌ها و سیستم‌های متصل منتشر می‌شود.

امنیت بالاتر: LDAP با رمزگذاری ارتباط به سرور، احراز هویت ایمن را فراهم می‌کند. علاوه بر این، این پروتکل از ویژگی‌های امنیتی پیشرفته مانند رمزگذاری SSL/TLS و احراز اصالت مبتنی بر اعتبارنامه نیز پشتیبانی می‌کند.

مقیاس‌پذیری و انعطاف‌پذیری: این پروتکل قابلیت استقرار در مقیاس وسیع را داشته و همچنین از نظر ادغام با برنامه‌ها و سامانه‌های مختلف نیز انعطاف‌پذیری خوبی را فراهم می‌کند که نتیجه آن، امکان احراز هویت یکپارچه  در سراسر سازمان خواهد بود.

 

ملاحظات برای بهترین احراز اصالت

برای اطمینان از اجرای ایمن و کارآمد احراز اصالت، بهتر است موارد زیر در نظر گرفته شود:

به‌روزرسانی منظم: نرم‌افزار سرور LDAP بهتر است به طور مرتب با آخرین ویرایش‌ها و وصله‌ها به‌روزرسانی شود. این کار به رفع هر گونه آسیب‌پذیری کمک کرده و ثبات وقابلیت اطمینان فرآیند احراز اصالت را تضمین می‌کند.

پیاده‌سازی کانال‌های ارتباطی امن: بهتر است از رمزگذاری SSL/TLS برای ایمن‌سازی ارتباط بین کلاینت‌ها و سرورهای LDAP استفاده شود. با  این کار از دسترسی‌های غیرمجاز جلوگیری شده و از اطلاعات حساس کاربر در حین احراز اصالت محافظت می‌گردد.

نظارت و ثبت فعالیت: مکانیسم‌های نظارت و ثبت گزارش (log) برای ردیابی فعالیت می‌بایست پیاده‌سازی شوند. این کار به شناسایی و بررسی هر گونه تلاش مشکوک یا دسترسی غیرمجاز کمک کرده و به یکپارچگی فرآیند احراز اصالت کمک می‌کند.

استفاده از سیاست‌های رمز عبور قوی: توصیه می‌شود سیاست‌های رمز عبور قوی مانند حداقل طول رمز عبور، الزامات پیچیدگی و انقضای رمز عبور در سرور اعمال شود. این کار یک لایه امنیتی اضافی به فرآیند احراز اصالت اضافه می‌کند.

 

پیکربندی برای پذیرش احراز هویت مبتنی بر MFA

احراز هویت LDAP می‌تواند بامکانیسم‌های چند عاملی (MFA) برای افزایش امنیت بیشتر ادغام شود. این شیوه ممکن است شامل ترکیب LDAP با عامل‌های احراز هویت اضافی مانند رمزهای عبور یکبار مصرف (OTP) یا احراز اصالت بی‌نیاز از گذرواژه مبتنی بر فایدو و معیارهای زیست‌سنجی باشد. MFA برای LDAP در واقع راهی برای محافظت از کاربران LDAP با احراز اصالت چند عاملی با معرفی یک لایه حفاظتی اضافی در هنگام ورود کاربر به برنامه است. وجود احراز اصالت چندعاملی، همه کاربران را ملزم می‌کند که حداقل دو عامل احراز اصالت را در هر بار ورود به برنامه ارائه دهند. اولین عامل معمولا گذرواژه آنهاست. عامل دوم یکی از روش‌های احراز اصالت امن است.

نحوه فعال کردن MFA برای کاربران LDAP بسته به نوع سرویس مورد نظر، متفاوت است. بعنوان مثال می‌توان از کاربران LDAP برای ورود به سرویس‌های دسکتاپ از راه دور، VPN و برنامه‌های ابری محافظت کرد. فراهم کنندگان هویت (IdP) برای LDAP نیز شیوه خاص جهت پیکربندی MFA برای برنامه‌های LDAP و تعیین سیاست‌های مرتبط ارائه می‌دهند. بدین ترتیب هنگامی که کاربر اقدام به ثبت ورود به برنامه LDAP می‌کند، هنگامی که کاربر نام کاربری و گذرواژه خود را وارد کرد، یک اعلام فشاری (push notification) روی گوشی تلفن همراه خود دریافت خواهد کرد که به محض تایید، وارد سیستم می‌شوند.

 

استفاده از  نسل دوم پروتکل فایدو (FIDO2) برای احراز هویت LDAP

فایدو2 یک چارچوب جدید از فایدو برای احراز اصالت قوی است که شامل دو مشخصه WebAuthn (Web Authentication API) و CTAP (Client to Authenticator Protocol) است.

احراز اصالت فایدو2 از کلید عمومی به جای گذرواژه استفاده می‌کند. بنابراین سرور، کلید عمومی را به عنوان اعتبارنامه کاربر در پایگاه داده خود ذخیره می‌کند. سرور فایدو2 می‌تواند اعتبارنامه‌ها را در دایرکتوری LDAP نیز ذخیره کند. برای این منظور، اعتبارنامه هایی که مرتبط با احرازکننده ایجاد می‌شوند در دایرکتوری ou=Credentials ذخیره شده و ورودی کاربر در ou=Users ذخیره می‌گردد.

نمونه Schema LDAP برای ذخیره‌سازی اعتبارنامه‌های فایدو2 در زیر نشان داده شده است:

ویژگی Fido2CredentialID برای ذخیره credential_id استفاده شده که یک شناسه منحصربه‌فرد است که به یک کلید عمومی نگاشت شده است. ویژگی fido2PublicKey نیز برای ذخیره یک کلید عمومی که توسط احرازکننده در حین ثبت اعتبارنامه ایجاد شده، استفاده می‌شود. ویژگی fido2UserID برای ذخیره سازی user.id در مشخصات WebAuthn، استفاده می‌شود. user.id یک شناسه است که باید به ورودی اعتبار و ورودی کاربر نگاشت شود. ویژگی fido2UserID به صورت یک شناسه اتفاقی یکتا ایجاد می‌شود و همچنین به ورودی کاربر وقتی که برای اولین بار اعتبارنامه خود را ثبت می‌کند، اضافه می‌شود. با استفاده از موارد ذکر شده، البته با مقداری جزئیات بیشتر، امکان احراز هویت کاربران به LDAP بدون استفاده از گذرواژه فراهم می‌شود. این کار که در انطباق کامل با استاندارد فایدو انجام می‌پذیرد، یکی از به‌روزترین و امن‌ترین شیوه‌های احراز هویت موجود در دنیای دیجیتال است.

 

پشتیبانی از LDAP و اکتیو دایرکتوری با راهکار نشانه

راهکار احراز هویت بدون رمز عبور نشانه نیز که در شرکت رهسا توسعه داده شده است، انطباق کامل با LDAP و به ویژه اکتیو دایرکتوری دارد. استفاده از این راهکار می‌تواند به سازمان‌ها  در این زمینه کمک فراوان نماید. پیاده‌سازی بسیار ساده، امکان ارتباط با انواع سامانه‌ها و همچنین وجود درگاه احراز هویت یکپارچه، راهکار نشانه را به ابزاری پرکاربرد برای سازمان‌ها در زمینه مدیریت هویت و احراز اصالت تبدیل نموده است. امنیت بالا و تجربه کاربری بسیار ساده برای افراد، از مهمترین مزایای این راهکار است که می‌تواند فضای کاری سازمان را بسیار تغییر داده و علاوه‌بر جذابیت، از هزینه‌های سازمان نیز به میزان قابل توجهی بکاهد.

نکات کلیدی CISA و NSA در خصوص مدیریت هویت و دسترسی

در اکتبر سال 2023، آژانس امنیت سایبری و زیرساخت (CISA) و آژانس امنیت ملی (NSA) ایالات متحده، به طور مشترک دستورالعمل جدیدی را با عنوان “مدیریت هویت و دسترسی (Identity and Access Management – IAM): چالش‌های توسعه‌دهندگان و تولیدکنندگان”، منتشر کردند. این دستورالعمل به موضوع شکاف‌ها و محدودیت‌های فناوری در حوزه مدیریت هویت و دسترسی (IAM) و راهنمایی‌های لازم در این خصوص پرداخته است. در این نوشتار به اصول کلیدی و بهترین شیوه‌ها برای تقویت سازمان‌ها در برابر موج رو به گسترش تهدیدات سایبری در حوزه مدیریت هویت و دسترسی، همچون احراز هویت چند عاملی (MFA) مقاوم در برابر فیشینگ پرداخته شده است.

 

دورنمای تهدیدات IAM

یکی از مهم‌ترین روند‌های تهدید در چند سال گذشته، هدف‌گیری خاص سیستم‌ها و فرآیندهای IAM بوده است. بر اساس یک مطالعه تحقیقی اخیر، 90 درصد سازمان‌ها حداقل یک حادثه مرتبط با هویت شامل حملات فیشینگ و مرد میانی (MitM) را تجربه کرده‌اند. دستورالعمل NSA/CISA در خصوص حوزه مدیریت هویت و دسترسی، اشاره می‌کند که بویژه حملات به فناوری ورود یکپارچه به سامانه (SSO)، شایع‌تر از بقیه شده است. با به خطر انداختن‌ سامانه‌های SSO، مجرمان سایبری می‌توانند به برنامه‌ها و منابع محافظت شده متعددی در سراسر یک سازمان دسترسی پیدا کنند. سازمان‌های آسیب‌دیده معتقدند که دفاع در برابر چنین طیف وسیعی از حملات نیازمند یک راه حل جامع است.

 

نکات کلیدی از راهنمای مدیریت هویت و دسترسی NSA/CISA

سازمان‌ها باید به کل چرخه حیات هویت (Entire Identity Lifecycle) توجه داشته باشند

این راهنما بر اهمیت مدیریت کل چرخه حیات هویت و دسترسی و بالاخص رویدادهای ورود افراد به سازمان، تغییر نقش‌ها و ترک سازمان تاکید می‌کند. این گزارش به صورت ویژه به نیاز سازمان‌ها به فرآیندهای احراز هویت چند عاملی (MFA) اشاره دارد می‌نماید  و بیان می‌کند که حتی در صورت وجود چنین فرآیندهایی، بهتر است امکان ثبت‌نام خودکار کاربران محدود شود.

این دستورالعمل توصیه می‌کند که سازمان‌ها فرآیندهای ثبت‌نام امنی را توسعه دهند تا نیازهای پیچیده آنها را با ابزارهایی که در سراسر سیستم‌ها و رویدادهای چرخه حیات ورود، تغییر نقش و خروج کابران عمل می‌کنند، تامین کند. این فرآیندها همچنین باید به رویدادهای غیرمنتظره، مانند شناسایی و پاسخ به رفتارهای غیرعادی کاربر یا سایر خطرات بالقوه رسیدگی کنند.

علاوه بر این، گزارش NSA/CISA در خصوص IAM به شدت توصیه می‌کند که سازمان‌ها زنجیره شواهد را با فرآیندی که تایید داده‌ها در آن در صورت نیاز توسط افراد مسئول انجام می‌شود حفظ نمایند.

مستحکم کردن محیط سازمان در مقابل نفوذ

این راهنما به ضرورت بر مستحکم‌تر کردن محیط سازمانی در برابر نفوذ تاکید می‌کند، از جمله اطمینان از اینکه اصول و معیارهای پیاده‌سازی شیوه‌های IAM به اندازه کافی ایمن، تضمین شده و قابل اعتماد باشند.

مستحکم شدن ساختار محیطی و مولفه‌های سازمانی، نفوذ به اجزاء و نرم‌افزارهای IAM را نیز مشکل‌تر می‌کند. در حالی که برخی از توصیه‌ها به استحکام فیزیکی و پاکسازی فضای امنیت سایبری مانند تست‌های آسیب‌پذیری و انجام به‌روزرسانی‌ها، تمرکز دارند، یکی از مولفه‌های کلیدی مستحکم کردن ساختار امنیتی یک سازمان، استفاده از احراز هویت چند عاملی (MFA) قوی و مقاوم در برابر حملات فیشینگ جهت دسترسی به سامانه‌ها از جمله خود سامانه مدیریت هویت و دسترسی سازمان است. علاوه بر این، کلیدهای رمزنگاری مورد استفاده برای احراز اصالت و سایر عملکردهای IAM باید در سطوح اطمینان مناسب، ترجیحا با استفاده از روش های مبتنی بر سخت‌افزار محافظت شوند.

بهترین روش‌های احراز اصالت: MFA مقاوم در برابر حملات فیشینگ

جای شگفتی نیست که توصیه های NSA/CISA به صراحت نیاز سازمان‌ها به استقرار MFA برای کاهش حملات رایج را بیان می‌کنند. آژانس‌های NSA/CISA بین اشکال ضعیف و قوی احراز هویت چند عاملی (MFA) مقاوم در برابر حملات فیشینگ تمایز قایل شده و خاطر نشان می‌کنند که این امر تاثیر حیاتی بر امنیت سیستم‌ها دارد. برخی از اشکال MFA همچنان مستعد حملات فیشینگ، تکرار و مرد میانی و سایر حملات هستند. این راهنما به طور خاص به برنامه‌های احراز هویت بدون رمز عبور، به ویژه موارد مبتنی بر استاندارد FIDO اشاره نموده و آنها را یکی از بهترین راهکارهای موجود در حوزه مدیریت هویت و دسترسی معرفی می‌نماید.

ضعیف‌ترین تا قوی‌ترین انواع احراز هویت چند عاملی (MFA)

پاسخ به ریسک‌های روزافزون

از آنجایی که و ساختار تهدیدها پویا هستند، این راهنما به سازمان‌ها توصیه می‌کند که ساز و کار تجزیه و تحلیل خودکاری برای شناسایی و مدیریت ریسک‌ها پیاده‌سازی کنند. البته تحلیل ریسک و تبدیل آنها به عدد و رقم بستگی به سیاست‌های موجود سازمان‌ها دارد. از این رو سازمان‌ها باید خط‌مشی‌هایی که بتوانند نیاز به احراز اصالت مجدد یا انجام احراز اصالت افزایشی (نیاز به احراز اصالت با اطمینان بالاتر نسبت به حالت پیش‌فرض) کاربران در دسترسی به برنامه‌های کاربردی حساس را مشخص می‌کنند تهیه نمایند. این امر باعث انعطاف پذیری بیشتر در برخورد با فعالیت‌های پرخطر و حصول اطمینان بالاتر می‌شود، بطوریکه کاربرانی که درگیر کارهای معمولی و کم خطر هستند، با درخواست‌های مکرر MFA خسته و فرسوده نخواهند شد.

 

چگونه سازمان‌ها می‌توانند با توصیه‌های NSA/CIS IAM سازگار شوند؟

دستورالعمل جدید CISA و NSA در مورد مدیریت هویت و دسترسی، بر نقش حیاتی IAM در تقویت دفاع امنیت سایبری تاکید می‌کند. با توجه به اینکه تهدیدها همواره در حال تغییر بوده و پیچیدگی‌های خاص خود را دارند، لذا ضروری است سازمان‌ها شیوه‌های توصیه شده را به بهترین نحو رعایت کنند.

راهکار مدیریت هویت و دسترسی بدون رمز عبور شرکت رهسا با عنوان نشانه، تضمین می‌کند که امنیت IAM با راهنمایی‌های CISA/NSA همسو باشد. این محصول که مبتنی بر استاندارد FIDO است، به گونه‌ای طراحی شده تا امنیت را در کل چرخه حیات هویت ایجاد کرده و آن را با احراز اصالت مبتنی بر کلید عبور (Passkey) با تجربه کاربری بسیار ساده در اختیار سازمان‌ها قرار دهد. راهکار احراز اصالت نشانه، امن‌ترین شیوه احراز هویت چند عاملی (MFA) بر اساس استاندارد فایدو و مقاوم در برابر حملات فیشینگ است. این راهکار تضمین می‌کند که الگوهای زیست‌سنجی (همچون اثرانگشت) متصل به دستگاه مورد استفاده توسط کاربران به عنوان کلید، نگرانی‌های مربوط به حریم خصوصی و امنیتی را کاهش داده و شیوه‌های توصیه شده توسط CISA و NSA را پوشش دهد.