الزامات احراز هویت در PCI DSS 4.0

استاندارد امنیت داده‌های کارت پرداخت (PCI DSS) برای محافظت از داده‌های کارت، در سالهای اخیر بروزرسانی شده و به نسخه 4.0 رسیده است. این نسخه بیش از 60 الزام جدید یا به‌روز شده را معرفی می‌کند. از جمله مهم‌ترین آن‌ها، رمزهای عبور، احراز هویت چند عاملی (MFA) و احراز هویت بدون رمزعبور مبتنی بر FIDO است. در ادامه این نوشته، نکات مهم در خصوص الزامات احراز هویت در PCI DSS را تشریح خواهیم نمود.

PCI DSS 4.0  چیست؟

استاندارد امنیت داده‌های کارت پرداخت (PCI DSS) که در سال 2004 معرفی شد، بر هر سازمانی که داده‌های دارنده کارت را ذخیره، پردازش یا انتقال می‌دهد، اعمال می‌شود. برای نشان دادن انطباق با PCI DSS، سازمان‌ها در تمام سیستم‌هایی که با محیط دارنده کارت تعامل دارند، ارزیابی می‌شوند.

در مارس 2022، شورا نسخه 4.0 PCI DSS را اعلام کرد که دستورالعمل‌هایی را برای بهبود امنیت داده‌های دارنده حساب و کارت پرداخت در چشم‌انداز تکامل یافته تهدیدات سایبری امروز ارائه می‌دهد. نسخه فعلی، PCI DSS 3.2.1، در مارس 2024 رسماً منسوخ خواهد شد و سازمان‌ها ملزم خواهند بود که دستورالعمل‌های نسخه جدید را به‌طور مرحله‌ای طی دوازده ماه اجرا کنند.

در حالی که نسخه 4.0 به‌طور کلی به‌روزرسانی‌هایی را ارائه می‌دهد، برخی از مهم‌ترین آن‌ها مربوط به الزامات احراز هویت قوی، به‌ویژه استفاده از رمز عبور و احراز هویت چند عاملی (MFA) هستند. شیوه‌های ضعیف احراز هویت، سازمان‌ها و داده‌ها را در برابر حملات فیشینگ و سایر حملات مرتبط با رمز عبور آسیب‌پذیر می‌کند. درک این الزامات جدید برای انطباق با PCI DSS ضروری است. پنج حوزه حیاتی و همچنین تأثیر بالقوه آن‌ها برای کسب‌وکارها، شامل موارد زیر خواهد بود.

 

1- الزامات رمز عبور PCI DSS 4.0

یکی از مهم‌ترین به‌روزرسانی‌ها در نسخه  PCI DSS 4.0شامل مشخصات دقیق‌تر در مورد رمزهای عبور است. الزامات اصلی رمز عبور PCI DSS 4.0 (بخش‌های 8.3.4-8.3.9) شامل موارد زیر است:

• طول و پیچیدگی: رمزهای عبور باید حداقل 12 کاراکتر طول داشته باشند و از کاراکترهای ویژه، حروف بزرگ و کوچک استفاده کنند.
• بازنشانی و استفاده مجدد: رمزهای عبور باید هر 90 روز بازنشانی شوند. استثناء در صورتی اعمال می‌شود که از احراز هویت مستمر مبتنی بر ریسک استفاده شود، جایی که وضعیت امنیتی حساب‌ها به صورت پویا تجزیه و تحلیل می‌شود و دسترسی در زمان واقعی بر این اساس تعیین می‌شود.
• محدودیت تلاش‌های ورود: طبق الزامات رمز عبور PCI DSS 4.0، پس از حداکثر 10 تلاش ناموفق ورود، کاربران باید حداقل برای 30 دقیقه یا تا زمانی که هویت خود را از طریق میز خدمت یا سایر روش‌ها تأیید کنند، قفل شوند.

رمزهای عبور طولانی‌تر برای کاربران سخت‌تر هستند و احتمال نوشتن آنها در جاهای مختلف و یا ذخیره به‌طور ناامن در فایل‌های روی یک دستگاه بیشتر است. به‌روزرسانی‌های اجباری نیز تمایل دارند رفتارهای ناامن کاربر را کاهش دهند، از این رو کمی به سمت سادگی سوق داده شده‌اند. علاوه بر این، همه این الزامات احتمالاً منجر به افزایش تماس‌های میز خدمت می‌شود. تحقیقات اخیر Forrester نشان می‌دهد که هزینه متوسط تماس با میز خدمت برای سازمان‌ها حدود 42 دلار در هر تماس است.

 

2- MFA الزامی برای تمام دسترسی‌ها به  CDE

طبق دستورالعمل‌های PCI DSS 3.2.1، MFA  فقط برای مدیرانی که به محیط داده‌های دارنده کارت (CDE) دسترسی دارند، الزامی بود. تحت قوانین جدید در بند 8.4.2 در خصوص احراز هویت چند عاملی (MFA)، تمام دسترسی‌ها به CDE باید با احراز هویت چند عاملی محدود شوند. الزامات MFA برای تمام انواع اجزای سیستم، از جمله سیستم‌های ابری و برنامه‌های محلی، دستگاه‌های امنیتی شبکه، ایستگاه‌های کاری، سرورها و نقاط انتهایی اعمال می‌شود.

احراز هویت چند عاملی به عنوان استفاده از دو عامل مستقل از دسته‌های زیر تعریف می‌شود:

• چیزی که می‌دانید، مانند رمز عبور.
• چیزی که دارید، مانند یک توکن سخت‌افزاری.
• چیزی که هستید، مانند یک عنصر بیومتریک.

نسخه 4.0 در راهنمای خود در مورد عوامل احراز هویت، به‌طور خاص می‌گوید که برای استفاده از توکن‌ها، کارت‌های هوشمند یا بیومتریک به‌عنوان عوامل احراز هویت، به استاندارد FIDO رجوع شود. در حالی که از اجباری نموددن الزام عوامل مبتنی بر FIDO کوتاه می‌آید، برخی از راهنمایی‌های دیگر آن، همانطور که در زیر مشاهده خواهید کرد، به یک ترجیح واضح اشاره می‌کند.

قوانین جدید روشن می‌کنند که هر بار که به CDE دسترسی پیدا می‌شود، باید از احراز هویت چند عاملی استفاده شود، حتی اگر کاربر قبلاً از MFA برای احراز هویت در شبکه تحت الزامات دسترسی از راه‌دور استفاده کرده باشد. این امر باعث ایجاد اصطکاک قابل توجهی برای کارکنان خواهد شد و پیامدهای بالقوه‌ای برای بهره‌وری و رضایت کارکنان خواهد داشت. علاوه بر این، اکثر سازمان‌ها، حتی اگر از نوعی MFA استفاده می‌کنند، فناوری یا سیستم‌های صحیح برای رسیدگی به الزام MFA برای دسکتاپ‌ها، ایستگاه‌های کاری و سرورها را ندارند.

 

3- PCI DSS اکنون MFA را برای تمام دسترسی‌های از راه‌دور الزامی می‌کند

قبلاً، MFA  برای دسترسی از راه‌دور به محیط داده‌های دارنده کارت الزامی بود. با این راهنمای به‌روز شده، هر کسی که از خارج از محیط شبکه امن شما وارد سیستم می‌شود، حتی اگر واقعاً به CDE دسترسی نداشته باشد، باید از احراز هویت چند عاملی استفاده کند. این شامل تمام کارمندان، هم کاربران و هم مدیران، و تمام اشخاص ثالث و فروشندگان می‌شود. این همچنین بدان معنی است که هر دسترسی مبتنی بر وب باید از MFA استفاده کند، حتی اگر توسط کارمندان در محل سازمان استفاده شود.

در واقع این بدان معنی است که تمام نیروی کار شما که از راه‌دور، ترکیبی یا دارای نقش‌های حمایتی خارج از سازمان هستند، باید در تمام مواقع از MFA استفاده کنند. این همچنین بدان معنی است که هر کارمندی که از یک برنامه مبتنی بر وب برای دسترسی به شبکه‌ها و سیستم‌های شما استفاده می‌کند، باید از MFA استفاده کند، حتی اگر در محل سازمان باشد. علاوه بر هزینه و دردسرهای راه‌اندازی MFA، رویه‌های پیچیده آن می‌توانند تأثیر منفی بر بهره‌وری و رضایت کارکنان داشته باشند.

 

4- الزامات پیکربندی MFA در  PCI DSS

استاندارد جدید نه تنها مشخص می‌کند که چه کسی و در چه زمانی باید از MFA استفاده کند، بلکه همچنین دستورالعمل‌هایی را در مورد نحوه پیکربندی سیستم‌های MFA برای جلوگیری از سوء استفاده ارائه می‌دهد. بسیاری از راه‌حل‌های سنتی MFA در برابر حملات مرد میانی، بمباران فشار (Push Bombing) و سایر حملات که کنترل‌های MFA را دور می‌زنند، آسیب‌پذیر هستند. الزام 8.5 ضعف‌ها و پیکربندی‌های نادرست را برای ارزیابی انطباق با PCI مشخص می‌کند. این موارد عبارتند از:

• سیستم MFA شما نباید مستعد حملات تکرار (یا مرد میانی) باشد.
• MFA نباید قابل دور زدن باشد، مگر اینکه یک استثناء خاص مستند شده و توسط مدیریت مجاز باشد.
• راه‌حل MFA شما باید از دو عامل مختلف و مستقل برای احراز هویت استفاده کند.
• دسترسی نباید تا زمانی که تمام عوامل احراز هویت موفقیت‌آمیز باشند، اعطا شود.

همانطور که قبلا اشاره شد، راهنمای PCI DSS در مورد انواع عوامل احراز هویت به استاندارد FIDO اشاره می‌کند. احراز هویت FIDO مقاوم در برابر فیشینگ است، حملات تکرار را از بین می‌برد ذاتا چند عاملی است.

اگر راهکار MFA شما از SMS، OTP یا سایر روش‌های ناامن استفاده می‌کند، ممکن است با الزامات احراز هویت در PCI DSS مطابقت نداشته باشد.

 

5- پروتکل‌های رمزنگاری قوی

در حالی که نسخه‌های قبلی PCI DSS استفاده از پروتکل‌های رمزنگاری قوی برای محافظت از تراکنش‌ها و داده‌های دارنده کارت را الزامی می‌کرد،PCI DSS 4.0  این الزام رمزنگاری را گسترش نیز داده است. با قوانین جدید، هر داده احراز هویت حساس ذخیره شده (SAD) باید با استفاده از رمزنگاری قوی رمزگذاری شود. با توجه به این الزام، اگر سیستم احراز هویت شما به درستی داده‌های احراز هویت را رمزگذاری و ذخیره نمی‌کند، ممکن است با الزامات احراز هویت در PCI DSS مطابقت نداشته باشد.

 

انطباق الزامات احراز هویت در PCI DSS 4.0  با استفاده از راهکار نشانه

چارچوب جدید PCI DSS اکنون بسیار نزدیک‌تر با سایر دستورالعمل‌های هویت دیجیتال که از پذیرش MFA مقاوم در برابر فیشینگ مبتنی بر FIDO و یک رویکرد احراز هویت اعتماد صفر حمایت می‌کنند، همسو شده است.

راهکار احراز هویت نشانه، به سازمان‌ها کمک می‌کند تا با الزامات احراز هویت در PCI DSS انطباق پیدا نمایند. این محصول که در شرکت رهسا (ره‌آورد سامانه‌های امن) تولید شده است، رویکرد سنتی مبتنی بر رمز عبور را با احراز هویت بدون رمز عبور امن جایگزین می‌کند. این شیوه توسط FIDO تایید شده و بر اساس کلیدهای عبور (Passkey) نیز کار می‌کند. عناصر اصلی راهکار نشانه، مانند ادغام احراز هویت بیومتریک، داشتن یک دستگاه قابل اعتماد و توکن‌های رمزنگاری ذخیره شده در TPM دستگاه، احراز هویت چند عاملی قوی و مقاوم در برابر فیشینگ را فراهم و مطابقت با الزامات PCI DSS را تضمین می‌کند.

در عین حال، نشانه تجربه کاربری را به طور قابل توجهی بهبود می‌بخشد، نیاز به رمزهای عبور طولانی و پیچیده را از بین برده و احراز هویت چند عاملی را تنها به یک حرکت ساده کاربران تبدیل می‌کند.

احراز هویت در صنعت مالی: حال و آینده

صنعت مالی و انواع خدمات آن، از بانکداری خرد تا بیمه، با چالش‌های مختلفی از مسیرهای مختلف مواجه است، از فشار رقابتی گرفته تا چشم‌انداز امنیتی و الزامات بالاستی در حال تغییر. این چالش‌ها باید به گونه‌ای برطرف شوند که تحول فناوری و کسب و کاری لازم را ارائه دهند. اما آیا این محیط چالش‌برانگیز می‌تواند محرک نوآوری باشد؟ آیا می‌تواند یک طرح چابک برای امنیت ایجاد نموده و مقاوم در برابر امنیت و آماده برای تغییر باشد؟ نقش احراز هویت در صنعت مالی و به صورت کلی در چنین فضایی چه خواهد بود؟

پیشینه احراز هویت در صنعت مالی

چالش‌های پیش روی چشم‌انداز مدرن مالی بسیار و متنوع هستند، از فشارهای رقابتی گرفته تا قوانین دائما در حال تغییر. راه‌حل‌های رقابتی – که اغلب بر مجموعه کوچکی از برنامه‌ها یا خدمات برای کارکردهایی مانند احراز هویت، تمرکز دارند – اغلب منجر به فرآیندهای عملیاتی پیچیده و بازده ضعیف سرمایه‌گذاری می‌شوند.

اما آیا این چالش‌ها محرکی برای رویکرد مدرن‌تر در زمینه امنیت و احراز هویت در صنعت مالی هستند؟

فرصت‌ها در این حوزه نیز بسیار گسترده است. انعطاف‌پذیری و توانایی پاسخگویی به فشار رقابتی، یک معیار کلیدی برای یک نهاد موفق در حوزه خدمات مالی است. امّا چگونه می‌توان به این هدف دست یافت؟

امروزه امنیت دیگر به عنوان مانعی برای پیشرفت فنی دیده نمی‌شود. امنیت، زمانی که به صورت ماژولار و جداگانه اجرا شود، به سازمان‌ها اجازه می‌دهد تا در فرصت‌های بیشتری مشارکت کنند. این کار به پیشبرد همکاری، ادغام و به اشتراک‌گذاری داده‌ها برای کارمندان و مشتریان کمک می‌کند.

یک معماری امنیتی قوی و ماژولار، پایه و اساس کاهش ریسک و همچنین تعامل بهبود یافته را فراهم می‌کند و در نهایت درآمدزا خواهد بود.

وضعیت فعلی – در اعداد

فرصت تغییر و نیاز به استقرار یک معماری امنیتی مدرن، توسط چشم‌انداز تهدید در حال تکامل که اکنون در صنعت خدمات مالی وجود دارد، بیشتر احساس می‌شود. انواع کلاهبرداری‌ها، تصاحب حساب، اعتبارنامه‌های نقض شده و سوء استفاده از حساب‌های کاربری همه رایج و در حال افزایش هستند. تحقیق انجام شده توسط VansonBourne  بر روی 500 تصمیم‌گیرنده فناوری اطلاعات در صنعت خدمات مالی در اروپا و ایالات متحده، اطلاعات جالبی در خصوص چشم‌انداز تهدید در حال تکامل فعلی استخراج نموده است.

۸۰ درصد از افرادی که در نظرسنجی شرکت کردند، اعلام نمودند که یک نقض اخیر مربوط به ضعف احراز هویت وجود داشته است. هزینه میانگین مرتبط با نقض‌های مربوط به احراز هویت نیز حدود ۲.۱ میلیون دلار برآورد شده است که بسیار بالا بوده و به هیچ وجه نمی‌توان آن را نادیده گرفت.

طبق یافته‌ها، حملات فیشینگ و رهگیری پیام‌های کوتاه مربوط به یک‌بار رمزها در حال افزایش هستند و تهدید قابل توجهی برای ابزارهای احراز هویت چند عاملی موجود به حساب می‌آیند.

از این رو این سوال مطرح می‌شود که جایگزین مناسب چه خواهد بود؟ به نظر می‌رسد مؤلفه‌های احراز هویت موجود، ضعف اصلی برای ورود و ثبت‌نام کارمند و مشتری هستند. روند کلیدی فناوری که برای حل مشکلات کنونی برای بسیاری از مؤسسات مالی پدیدار شده است، احراز هویت بدون رمز عبور و حذف وابستگی به اسرار مشترک به طور کلی است.

همچنین یکی دیگر از نکات مهم تحقیق انجام شده، پاسخ به سوالی در خصوص مزایای احراز هویت بدون رمز عبور از ۵۰۰ تصمیم‌گیرنده فناوری اطلاعات مربوطه بوده که به صورت کلی با پاسخ بسیار واضح زیر مواجه شده است:

درگیری قبلی بین میزان امنیت و سادگی استفاده دیگر برای مصرف‌کننده امروزی قابل قبول نبوده و از نظر فنی نیز غیرقابل دستیابی نیست، زیرا این دو نگرانی به صورت همزمان به عنوان مزایای اصلی احراز هویت بدون رمز عبور دیده می‌شوند.

نقشه‌راه امنیتی

یک چشم‌انداز امنیتی مناسب باید بتواند برای پذیرش گسترده و پوشش فناوری‌های احراز هویت بدون رمز عبور، مناسب باشد. توانایی ارائه یکسان یک تجربه بدون رمز عبور به همکاران و مشتریان، بسیار مهم است. این کار ممکن است نیاز به ادغام گزینه‌های بدون رمز عبور در طیف وسیعی از سامانه‌های سازمان داشته باشد.

همچنین ممکن است نیاز به جایگزینی مؤلفه‌های MFA موجود مانند کلیدهای امنیتی یا روش‌های رمز عبور یک‌بار مصرف قدیمی، با شیوه‌های جدید و یا استفاده از آنها با روش‌هایی متفاوت داشته باشیم.

همانطور که بسیاری از سازمان‌های خدمات مالی اکنون از یک رویکرد اعتماد صفر برای معماری امنیتی استفاده می‌کنند، توانایی ارائه یک تجربه احراز هویت مبتنی بر FIDO “انتها به انتها” یک پایه امنیتی را فراهم می‌کند که آینده‌نگر و مبتنی بر استانداردها است.

از نقطه نظر کاربر نهایی، موارد استفاده کمی متفاوت هستند. شیوه‌های مدرن باید توانایی ثبت‌نام و ورود یکپارچه کاربر به صورت بسیار ساده را دارا باشند. همچنین در کاهش میزان حملات و کلاهبرداری‌ها و بهبود پذیرش کلی میزان استفاده نیز عملکرد خوبی داشته باشند.

نکات نهایی

اگرچه نهادهای مالی قرن‌ها در حال فعالیت هستند، اما همچنان در حال تکامل بوده و زیرساخت‌های دیجیتالی تحت حمله امروزی آنها نیز نیاز به تکامل دارند. با توجه به چشم‌اندازهای رقابتی و فناوری چالش‌برانگیز کنونی، فرصت ارائه یک بافت امنیتی مدرن و انعطاف‌پذیر گزینه‌ای است که نمی‌توان به سادگی از آن عبور کرد و آن را نادیده گرفت.

یک مؤلفه کلیدی این بافت امنیتی، نیاز به حذف رمزهای عبور از چشم‌انداز کاربران است. احراز هویت بدون رمز عبور می‌تواند ساختاری برای یک تجربه دیجیتال آینده‌نگر، ایمن و قابل استفاده برای بهبود جذب کاربر و کاهش پیچیدگی عملیاتی فراهم کند.

نشانه، راهکار احراز هویت بدون رمزعبور مبتنی بر استاندارد FIDO، که به صورت بومی توسط شرکت رهسا توسعه داده شده است، می‌تواند در این مسیر، به تمامی بانک‌ها، شرکت‌های بیمه‌ای و سایر موسسات مالی کمک نماید. تلاش ما، کمک به تمامی سازمان‌ها در راحت‌تر نمودن فرآیند استقرار یک راهکار بدون رمز عبور و تجربه شیرین امنیت و سادگی برای کاربران است.

مزایای احراز هویت FIDO برای سازمان‌ها

سیستم‌های مدیریت هویت و دسترسی (IAM) در حال تغییر هستند. زیرا هکرها روش‌هایشان را پیشرفته‌تر کرده و قانون‌ها هم برای حفاظت از اطلاعات کاربران سخت‌گیرانه‌تر می‌شوند. روش‌های قدیمی که از رمزهای عبور ساده استفاده می‌کنند، دیگر جوابگو نیستند. حتی روش‌های جدیدتر مثل احراز هویت دو مرحله‌ای با پیامک هم در حال کنار گذاشته شدن است. دنیای احراز هویت در حال حرکت به سمت روش‌های جدید و امن‌تری است. دیگر خبری از رمزهای عبور نبوده و به جای آنها، از روش‌هایی مثل اثر انگشت، تشخیص چهره و کلیدهای امنیتی استفاده می‌شود. چرا FIDO بسیار مهم است؟ چون این استاندارد، روش‌های احراز هویت را ساده‌تر، امن‌تر و قابل اطمینان‌تر نموده است. استاندارد  FIDO به جای رمزهای عبور از کلیدهای امنیتی استفاده می‌کند که هک کردن آنها بسیار سخت‌تر است.

FIDO  چیست؟

FIDO  مجموعه‌ای از استانداردهای باز احراز هویت است که توسط اتحاد FIDO توسعه یافته است. این اتحاد شامل شرکت‌های پیشرو در فناوری مانند اپل، گوگل، مایکروسافت، سازمان‌های مالی مانند Bank of America، مسترکارت و ویزا و سازمان‌های نظارتی مانند NIST است. مأموریت اعلام شده آن ایجاد استانداردهای احراز هویت است که به کاهش وابستگی جهان به رمزهای عبور کمک می‌کند.

FIDO  یک روش امن و مدرن برای ورود به حساب‌های آنلاین است که به جای رمز عبور از روش‌های قوی‌تر مثل اثر انگشت یا کلید امنیتی استفاده می‌کند.

مزایای FIDO برای سازمان‌ها

یکی از مزایای اصلی فرایند احراز هویت با FIDO، استفاده همزمان از عوامل مختلف مانند کلید و ویژگی‌های ذاتی همچون اثرانگشت است. این کار شرایط احراز هویت چند عاملی را بدون استفاده از رمزهای عبور و بدون ایجاد مزاحمت برای کاربر برآورده می‌کند.

مزایای دیگری نیز در استفاده از FIDO  برای احراز هویت وجود دارد، که از مهم‌ترین آن‌ها می‌توان به هشت مزیت زیر برای سازمان‌ها اشاره کرد.

1. احراز هویت بدون رمز عبور: حملات رمز عبور همچنان بزرگترین خطر برای فضای امنیت دیجیتال است. سرقت اطلاعات ورود به سامانه‌ها ریشه اصلی 80 درصد حملات وب و 50 درصد نقض‌های داده است. آنها همچنین سکوی پرتاب برای حملات دیگر مانند باج‌افزار نیز هستند. استفاده از یک راه‌حل احراز هویت بدون رمز عبور به طور قابل توجهی دفاع‌ها در این زمینه را تقویت و آسیب‌پذیری در برابر حملات فیشینگ و مهندسی اجتماعی را کاهش می‌دهد.
2. عدم وجود راز مشترکی: مشکل رازهای مشترک این است که بیش از یک طرف آنها را می‌داند و می‌تواند از آن استفاده کند. این امر در مورد رمزهای عبور و سایر MFAهای رایج مانند پیام کوتاه (SMS) و OTPها صدق می‌کند. یکی از مزایای احراز هویت FIDO و رمزنگاری کلید عمومی این است که راز حیاتی، کلید خصوصی کاربر، روی دستگاه او باقی می‌ماند. در نتیجه، هیچ راز مشترک سمت سروری برای سرقت وجود ندارد تا احتمال یک نقض موفق را افزایش دهد.
3. تأمین امنیت حریم خصوصی کاربر: از جمله مزایای رمزنگاری کلید عمومی FIDO این است که جفت کلیدهای عمومی و خصوصی مورد استفاده هیچ اطلاعات شخصی را ارائه نمی‌دهند. همچنین این کلیدها هیچ ارتباطی بین سرورها یا حساب‌های مختلف کاربر ایجاد نمی‌کنند. علاوه بر این، داده‌های بیومتریک مورد استفاده برای گشودن قفل کلید خصوصی هرگز دستگاه کاربر را ترک نمی‌کند و نمی‌توان آن را از سرورها یا از طریق حملات man-in-the-middle سرقت کرد.
4. انطباق با قوانین و الزامات بالادستی: احراز هویت ناامن خطر عدم انطباق با مقررات امنیت و حریم خصوصی را افزایش می‌دهد که می‌تواند منجر به جریمه، از دست دادن اعتماد عمومی و افزایش هزینه‌های کسب و کار شود. احراز هویت مبتنی بر FIDO با استانداردهای امنیت سایبری تعیین شده توسط سازمان‌های دولتی و صنعت مانند NIST 800-63B و PSD2 مطابقت دارد و حتی از آنها پیشی گرفته است. علاوه بر این، حمایت سازمان‌های بزرگ دنیا به آن جایگاه قوی در زمینه روش‌های پذیرفته شده برای برآورده کردن سایر الزامات نظارتی مانند PCI-DSS می‌دهد.
5. قابلیت همکاری: پروتکل FIDO توسط گروه بزرگی از سازمان‌های امنیتی، فناوری، موسسات مالی و نهادهای نظارتی توسعه و مدیریت می‌شود. تمام مشخصات به صورت رایگان برای بررسی و پیاده‌سازی در دسترس است. علاوه بر این، احراز هویت FIDO به عنوان یک استاندارد منبع باز می‌تواند بدون محدودیت با یک سیستم عامل، ارائه دهنده هویت (IdP) یا سرویس ورود یکپارچه (SSO) در تمام پلتفرم‌ها بدون مشکل کار کند. این به کاربران امکان می‌دهد تا تمام دستگاه‌ها و برنامه‌های کاربردی خود را با همان احراز هویت امن ادغام کنند.
6. راحتی کاربر: مزایای استفاده از احراز هویت FIDO نه تنها به سمت توسعه‌دهنده محدود نیست، بلکه به سمت کاربران نیز گسترش می‌یابد. فرآیند احراز هویت FIDO، احراز هویت چند عاملی ایمن را در یک حرکت ساده، مثل تایید یک اعلان، امکان‌پذیر می‌کند. طیف وسیعی از دستگاه‌ها و روش‌های موجود، مانند تلفن هوشمند و کلیدهای امنیتی، یک سیستم انعطاف‌پذیر ایجاد می‌کنند که می‌تواند نیازهای کاربران فردی و سازمانی را به سادگی برآورده کند.
7. مقیاس‌پذیری: یکی از چالش‌های اصلی برای گسترش پذیرش فرایندهای احراز هویت ایمن‌تر، هزینه و دشواری استقرار دارایی‌هایی مانند کلیدهای امنیتی یا حسگرهای بیومتریک است. از دیگر مزایای FIDO این است که چگونه به کاربران اجازه می‌دهد تا عوامل مورد نیاز احراز هویت را با استفاده از دستگاه‌های موجود و فعلی خود برآورده کنند. از این جمله می‌توان به تلفن همراه هوشمند، کارت شناسایی RFID یا NFC و هرگونه کلید سخت‌افزاری اشاره نمود. همچنین، سازگاری بین پلتفرم‌های FIDO، یک راه‌حل احراز هویت استاندارد را خیلی سریع در کل اکوسیستم سازمان قابل استقرار و مقیاس‌پذیر می‌کند.
8. کاهش هزینه‌ها: رمزهای عبور نه تنها خطر قابل توجهی برای سازمان ایجاد می‌کنند، بلکه یک هزینه مستقیم نیز هستند. یک گزارش تحقیقاتی از Verizon نشان می‌دهد که کارمندان 6-10 بار در سال به خاطر مشکلات رمز عبور با پشتیبانی فناوری اطلاعات سازمان تماس می‌گیرند. هزینه هر بازنشانی رمز عبور می‌تواند برای سازمان قابل توجه باشد. علاوه بر این، هزینه عدم ورود و در واقع عدم بهره‌وری در زمانی که کارمندان به دلیل فراموشی رمز عبور امکان ورود به سیستم‌های خود را ندارند نیز باید در نظر گرفت تا هزینه کامل وارده به سازمان محاسبه گردد. مزایای احراز هویت FIDO شامل حذف این هزینه‌ها و همچنین اختلال در کسب و کار و هزینه‌های پاسخگویی به حوادث مرتبط با حملات مبتنی بر رمزهای عبور است.

نشانه، راهکار احراز هویت بدون رمز عبور مبتنی بر FIDO است که در شرکت رهسا و به صورت کاملا بومی توسعه داده شده است. ما در تیم توسعه نشانه تلاش می‌کنیم با ارائه راهکاری کارامد، به صرفه و آسان، فرآیند کنار گذاشتن رمزهای عبور و مهاجرت به دنیای امن بدون رمزعبور را برای افراد و سازمان‌ها تسهیل کنیم. راهکار نشانه به گونه‌ای تهیه شده است تا تمامی مزایای تشریح شده را برای سازمان‌ها محقق گرداند. در این مسیر با معرفی نقاط ضعف روش‌های موجود احراز هویت، معرفی روش‌های جدید این حوزه و آخرین دستاوردهای آن و ارائه اطلاعات فنی به متخصصان، تلاش می‌نماییم تا نقشی هر چند کوچک در ارتقای دانش عمومی و سطح امنیت سرویس‌های داخلی داشته باشیم.

احراز هویت بدون رمزعبور برای موسسات مالی

رهبران امنیت سایبری در سازمانهای مالی، بخش زیادی از انرژی خود را صرف تغییر مقررات، تحولات مداوم، و جریان بی‌پایان تهدیدهای سایبری می‌کنند. نکته شگفت‌انگیز آن است که در سال‌های اخیر، مشخص شده است که بیشتر فناوری‌ها، چه موارد حوزه فناوری اطلاعات و چه حتی فناوری‌های حوزه امنیت، خود دارای مشکلات متعددی بوده و دردسرهایی را برای سازمان‌ها به دنبال داشته‌اند. در این زمینه احراز هویت چند عاملی (MFA) و احراز هویت بدون رمزعبور برای موسسات مالی کمی مستنثنی بوده و توانسته خطرات سایبری ناشی از فیشینگ، باج افزار، و تصاحب حساب (ATO) کاهش دهد. همچنین توانسته سازمان‌ها را به Zero Trust نزدیک نموده و از انطباق در این زمینه پشتیبانی کند و همچین در خصوص همه افراد – کاربران، تیم IT، و تیم‌های امنیتی – صرفه‌جویی‌هایی برای سازمان‌ها به دنبال داشته باشد.

 

چه چیزی باعث می‌شود که MFA اینقدر ارزشمند گردد؟

کارشناسان هویت را «مرز جدید» دفاع مدرن امنیت سایبری و MFA را یک استراتژی کلیدی در بهبود تأیید هویت می‌دانند. هدف MFA متوقف کردن فیشینگ و سوء استفاده از اعتبار با هدف جلوگیری از عملکرد بدافزارها، باج افزارها، نشت داده‌ها، زنجیره تامین و سایر تهدیدات داخلی مرتبط است. سازمان استاندارد ایالات متحده (NIST)، آژانس امنیت ملی (CISA) و سایر نهادهای مرتبط در این کشور، همگی اهمیت MFA را برای دستیابی به یک بینش اعتماد سطح صفر تبلیغ و ترویج می‌کنند. در ادامه جزئیات بیشتری در این خصوص ارائه خواهد شد.

 

MFA در برابر راهکارهای بدون رمز عبور

MFA تأیید هویت را در مقابل تکیه بر رمزهای عبور تقویت می‌کند، اما اکثر راه‌حل‌ها همچنان رمزهای عبور را به عنوان اولین عامل احراز هویت حفظ می‌کنند. این باعث می‌شود که MFA بسیار کمتر از آنچه انتظار می‌رفت ارزش داشته باشد.

در سوی دیگر، یک رویکرد بدون رمز عبور، شیوه شروع حمله مورد علاقه مهاجمان – فیشینگ – را از بین می‌برد. این کار در عین حال این اطمینان را افزایش می‌دهد که فردی که قصد ورود به سیستم را دارد، کاربر قانونی است که به دنبال انجام کارهای مجاز است. خلاص شدن از شر گذرواژه‌ها (نشان‌دهنده «چیزی که کاربران می‌دانند») و ترکیب عامل‌های قوی‌تر تأیید هویت – مانند چیزی که کاربران دارند و چیزی که کاربران هستند – بیشترین میزان خطر را از جعل هویت و مهندسی اجتماعی حذف می‌کند. همچنین این شیوه موارد زیر را نیز رفع خواهد نمود:

• بیشتر از 80 درصد از نقض‌هایی که شامل اعتبارنامه‌های به خطر افتاده است
• حملات فیشینگ، فیشینگ به‌عنوان سرویس (PhaaS) و حملات مرد میانی (MITM)
• همه شک‌ها در خصوص کم‌کاری افراد مسئول برای جلوگیری از سوء استفاده از اعتبارها و به خطر افتادن آنها

اما برای پیاده‌سازی درست و اصولی راهکارهای بدون رمز عبور، سازمان‌های خدمات مالی باید ورود امن را به همه اعضای نیروی کار و هر برنامه کاربردی، از هر دستگاه یا مکانی گسترش دهند.

 

آیا راه‌اندازی یک راهکار احراز هویت بدون رمزعبور برای موسسات مالی شوار است؟

راه‌اندازی یک راهکار بدون رمز عبور می‌تواند بسیار ساده‌تر از آن چیزی باشد که به نظر می‌رسد. قبل از اینکه به نکات مهم در این خصوص بپردازیم، به دو چالش بزرگ که از طریق این راهکارها بسیار ساده حل خواهد شد اشاره می‌کنیم:

• سریع‌تر نمودن فرآیندهای جذب نیرو و ادغام شرکت‌ها: جذب نیرو و ادغام سازمان یا بخشی از آن با سایر شرکت‌ها و یا حتی تغییر وضعیت فیزیکی واحدهای سازمانی، می‌تواند مشکلاتی در گردش کار ورود به سامانه‌ها ایجاد کند. وجود یک سامانه واحد و راهکار کارآمد و ساده برای دسترسی به برنامه‌ها و زیرساخت‌ها، راه‌حلی برای سازمان در چنین وضعیت‌هایی خواهد بود.
• امنیت مدرن برای برنامه‌های قدیمی: تمرکز بیشتر صنعت بانکداری بر حفاظت از داده‌های مشتریان، ذخیره‌سازی داده‌ها به صورت محلی و در زیرساخت‌های قدیمی را به دنبال داشته است. این کار اگرچه ممکن است ایمن‌تر باشد، اما حفظ سیستم‌های قدیمی‌چالش‌های خاص خود را به همراه دارد. هرچند با استفاده از راهکارهای ورود بدون رمز عبور، می‌توان به طرق مختلف همچون درگاه ورود یکپارچه، فناوری‌های قدیمی را نیز تحت پوشش فرآیند مدرن مدیریت هویت و دسترسی قرار داد.

 

فرآیند احراز هویت و دسترسی بدون رمز عبور نشانه

راهکار احراز هویت بدون رمز عبور نشانه، حداقل سه مزیت اساسی برای تمامی سازمان‌ها از جمله سازمانهای مالی به همراه خواهد داشت:

1. ورود ایمن، ساده و یکپارچه در همه جا و از همه برنامه‌ها
2. پوشش کامل گستره سازمان برای توقف فیشینگ
3. کمک برای ساخت سطح اعتماد صفر (Zero Trust)

با راهکار نشانه، پوشش کامل برای مدیریت دسترسی‌های برنامه‌های کاربردی سازمان، از داخل و راه‌دور فراهم خواهد شد. همه برنامه‌ها را می‌توان به سرعت و به راحتی تحت پوشش این راهکار قرار داد.

حدود 90 درصد نقض‌های داده هنوز با فیشینگ شروع می‌شوند و حدود 90 درصد راه‌حل‌های MFA معمولی نیز نمی‌توانند جلوی فیشینگ را بگیرند. پس از یک حمله از این دست، ممکن است این سوال در سازمان به وجود بیاید که آیا رهبران امنیتی به اندازه کافی برای جلوگیری از وقوع چنین مواردی اقدام کرده اند یا خیر؟

اتخاذ راهکارهای بدون رمز عبور کمک می‌کند تا مشخص شود که سازمانها (از جمله سازمانهای مالی) تمام تلاش خود را برای جلوگیری و خنثی کردن حملات مبتنی بر اعتبار انجام داده است. ادامه استفاده از رمزهای عبور نیز از سوی دیگر، به وضوح ثابت می‌کند که تلاش حداکثری انجام نشده است.

 

بازدهی راهکارهای احراز هویت بدون رمزعبور برای موسسات مالی

دیر یا زود، تمامی سازمان‌ها از جمله سازمانهای مالی از راهکارهای احراز هویت بدون رمز عبور برای مدیریت هویت و دسترسی استفاده خواهند نمود. شاید اعداد و ارقام مربوط به بازدهی چنین روش‌هایی بتواند برای مدیران در پذیرش استفاده از چنین راهکارهایی موثر باشد:

• راهکارهای بدون رمز عبور، معمولا هزینه خود را در سال اول به سازمان برخواهند گرداند
  • کاهش تماس‌ها با واحد فناوری برای بازنشانی رمزهای عبور
  • بهره‌وری بیشتر افراد
  • کاهش خطرات و تهدیدات
  • عدم نیاز به انجام امور مرتبط با رمزهای عبور و انطباق با الزامات بالادستی
• مقاومت در برابر حملات فیشینگ تا 99 درصد افزایش خواهد یافت
• کارمندان حداقل حدود 5% بهره‌وری بیشتر خواهند داشت
  • عدم نیاز به رمز عبور برای ورود به سامانه‌ها
  • عدم به خاطر سپردن آنها
  • درگیر نشدن با فرآیند بازنشانی رمزهای عبور
  • عدم انجام کنترل‌های مربوط به رمزهای عبور
• حدود 15 درصد از تماس‌ها با واحد فناوری اطلاعات کاهش پیدا خواهد نمود

تیم نشانه (محصول شرکت رهسا – ره‌آورد سامانه‌های امن) تلاش دارد تا با ارائه راهکاری کارامد، به صرفه و آسان، فرآیند کنار گذاشتن رمزهای عبور و مهاجرت به دنیای امن بدون رمزعبور را برای افراد و سازمان‌ها به ویژه موسسات مالی تسهیل کند. در این مسیر تیم نشانه با معرفی نقاط ضعف روش‌های موجود، معرفی روش‌های جدید و آخرین دستاوردها، و همچنین ارائه اطلاعات فنی به متخصصان، سعی نموده است تا نقشی هر چند کوچک در ارتقای دانش عمومی و سطح امنیت سرویس‌های داخلی داشته باشد.