MFA و احراز هویت بدون گذرواژه

رمزهای عبور آسیب‌پذیرترین و مورد حمله‌ترین بخش هر سامانه احراز هویت هستند. آنها نه تنها برای امنیت احراز هویت، بلکه برای وضعیت امنیتی کل سازمان خطر ایجاد می‌کنند. گزارش Verizon  نشان می‌دهد که حدود 60 درصد از حملات موفق، به اعتبارنامه‌ها مرتبط است. این موارد شامل فیشینگ، اعتبارنامه‌های سرقت شده و حملات brute-force است. مشکل اصلی گذرواژه‌ها در امکان اشتراک آنها با چند نفر یا حتی بیشتر است. طبق گفته Darkreading، اکنون بیش از 24 میلیارد اعتبارنامه دزدی شده در بازارهای وب تاریک در گردش است. بسیاری از کارشناسان امنیت معتقدند که هکرها در واقع به سیستمها نفوذ نمی‌کنند، بلکه براحتی به آن وارد می‌شوند. تنها راه برای تغییر این الگو، حذف کامل رمزهای عبور از فرآیند احراز هویت است. اینجاست که رویکردهای احراز هویت بدون گذرواژه، به ویژه راه‌حل‌های MFA مقاوم در برابر فیشینگ، برجسته می‌شوند. اما احراز هویت بدون گذرواژه چیست؟

 

بررسی اجمالی احراز هویت بدون گذرواژه

احراز هویت تک عاملی سنتی بر اثبات هویت با یک جفت نام کاربری و گذرواژه مبتنی است. احراز هویت چند عاملی (MFA) نیازمند یک یا چند عامل تأیید مستقل است. اینها می‌توانند شامل آنچه می‌دانید (گذرواژه)، آنچه دارید (کلید امنیتی) یا آنچه هستید (ویژگی بیومتریک مانند اثر انگشت) باشد. در شیوه‌های MFA سنتی، این موارد معمولاً شامل یک گذرواژه به علاوه یک عامل دیگر است. احراز هویت بدون گذرواژه، از سوی دیگر، عامل گذرواژه را حذف و فقط از عوامل “دارایی” یا “ذاتی” استفاده می‌کند.

 

چرا احراز هویت بدون گذرواژه از MFA سنتی امن‌تر است؟

در حالی که MFA سنتی نسبت به گذرواژه ایمن‌تر است، مواردی متکی به SMS OTP به راحتی دور زده می‌شوند. احراز هویت بدون گذرواژه، اسرار مشترک را از فرآیند احراز هویت حذف می‌کند و بسیار ایمن‌تر از MFA سنتی است. شیوه MFA بدون گذرواژه مبتنی بر FIDO، استاندارد طلایی احراز هویت چندعاملی مقاوم در برابر فیشینگ است. نحوه عملکرد چنین شیوه‌ای با استفاده از رمزنگاری کلید عمومی و برنامه کاربردی تلفن همراه، شامل مراحل زیر خواهد بود.

1. کاربر فرآیند ورود را آغاز می‌کند.
2. سیستم احراز هویت بدون گذرواژه عوامل شناسایی را از کاربر درخواست می‌کند.
3. کاربر کلید خصوصی را با عامل مرتبط با احراز هویت بدون گذرواژه خود (مثلا اثر انگشت) باز می‌کند.
4. در انتها سرور، از کلید عمومی مرتبط با کلید خصوصی کاربر، برای تأیید هویت امن او استفاده می‌شود.
5. در صورت طی شدن درست مراحل، به کاربر اجازه ورود داده می‌شود.

همانطور که از فرآیند تشریح شده مشخص است، کاربر نیازی به ارائه چیزی جز کلید امنیتی یا  اثرانگشت خود ندارد. کاربر بدون به خاطر سپردن یا به اشتراک گذاشتن یک رمز عبور، امکان احراز هویت خواهد داشت. به دلیل پیچیدگی رمزنگاری کلید عمومی، هیچ راز یا اعتبارنامه‌ای با شنود یا در حملات man-in-the-middle سرقت نمی‌شود. و البته، یک هکر نمی‌تواند با حدس زدن یا فیشینگ یک رمز عبور به یک حساب دسترسی پیدا کند. فراوانی حسگرهای بیومتریک نیز به معنی فراهم بودن این راهکار به راحتی برای همه افراد و سازمان‌ها خواهد بود.

 

تغییر پارادایم امنیتی: آیا احراز هویت بدون رمز عبور ایمن است؟

با وجود تایید متخصصان امنیت و موسساتی همچون NIST، راهکارهای بدون رمزعبور همچنان سرعت پذیرش بالایی ندارند. سازمان‌ها اغلب می‌پرسند، احراز هویت بدون گذرواژه چه چیزی را می‌تواند ارائه دهد که سایر شیوه‌های MFA نمی‌توانند. حذف گذرواژه، مشکل اصلی سیستمهای احراز هویت را رفع و تأثیر مثبت بر امنیت و عملیات سازمان می‌گذارد. اول و مهم‌تر از همه، با حذف بزرگترین عامل حمله، به طور خودکار امنیت سازمانی را بهبود می‌بخشد.

مایکروسافت بیش از 300 میلیون تلاش ناموفق ورود به سامانه‌ها را در روز به محصولات مختلف خود گزارش می‌دهد. این شرکت بیان می‌کند که شیوه‌های بدون رمز عبور مبتنی بر بیومتریک، 99 درصد حملات حساب‌های کاربری را مسدود می‌کند. با افزایش مقررات ایمنی داده‌ها در جهان، استقرار MFA بدون گذرواژه همچنین به سازمان‌ها برای انطباق با قوانین کمک می‌کند. مزایای دیگر شامل کاهش هزینه‌های بازنشانی رمز عبور است. طبق گزارش Forrester، هزینه هر بازنشانی رمز عبور، در میانگین جهانی حدود 45 دلار است. احراز هویت بدون گذرواژه همچنین می‌تواند تجربه کاربر را ساده‌تر کرده و بهره‌وری را افزایش دهد.

 

حرکت به سوی دنیای بدون گذرواژه با نشانه

احراز هویت بدون رمز عبور با حذف ضعیف‌ترین حلقه این فرآیند، امنیت را برای کاربران، سیستم‌ها و سازمان‌ها بهبود می‌بخشد. راهکار احراز هویت بدون رمزعبور نشانه، امنیت احراز هویت شما را افزایش و بهره‌وری و پذیرش کاربران را بهبود می‌بخشد. با رمزنگاری کلید عمومی و پایبندی به FIDO، راهکار نشانه حذف اسرار مشترک از فرآیند احراز هویت را تضمین می‌کند.

راهکار احراز هویت نشانه، یک فرآیند یکپارچه برای ورود بدون رمزعبور برای تمامی سامانه‌های سازمان فراهم می‌کند. این راهکار، امنیت را به سازمان و تجربه کاربری زیبایی را به کاربران ارائه می‌دهد. تیم نشانه، آماده ارائه کمک و راهنمایی برای هموار نمودن مسیر حرکت سازمانها به سمت دنیای بدون گذرواژه است. برای رهایی از تمامی تهدیدات رمزهای عبور، همین امروز حرکت خود را آغاز نمایید.