امنیت سایبری در سطح سازمانی تحت هجوم تهدیدات بیسابقهای قرار دارد. تحقیقات شرکت HP نشان میدهد که حجم حملات سایبری در طول همهگیری 238 درصد افزایش یافته است. یک نظرسنجی توسط موسسه Ponemon از رهبران فناوری اطلاعات و امنیت اطلاعات نشان داد که سرقت اعتبار (56%) و فیشینگ (48%) رایج ترین انواع حملات تجربه شده هستند. گزارش مایکروسافت نیز حملات فیشینگ را به تنهایی مسئول 70 درصد از نقض دادهها میداند. فضای فعلی نیاز به یک وضعیت امنیتی قویتر، به ویژه در حوزه احراز هویت (MFA سنتی یا احراز هویت بدون رمز عبور) را روشن میکند. از این رو میبایست حتما به مقایسه MFA با احراز هویت بدون رمزعبور پرداخت تا نقاط قوت و ضعف مشخص گردد.
این وضعیت، اصطلاحات مختلف این حوزه، مانند احراز هویت چند عاملی (MFA)، احراز هویت بدون رمز عبور و MFA مقاوم در برابر فیشینگ را وارد گفتگوهای امنیتی کرده است. برای اجرای بهترین روشها و کاهش ریسک، تصمیمگیرندگان باید از اصطلاحات فنی عبور کنند تا سیستمی را پیدا کنند که بهترین محافظت و بازده سرمایهگذاری را برای آنها فراهم کند. در این نوشته، ما شیوه بدون رمز عبور در مقابل MFA سنتی را بررسی و تحلیل خواهیم کرد.
تعاریف مربوطه در احراز هویت بدون رمز عبور و MFA
اصطلاحات مختلفی در مورد مدیریت هویت و دسترسی (IAM) و پروتکلهای احراز هویت وجود دارد، اما معنای آنها چیست و به طور خاص، تفاوتهای بین شیوه بدون رمز عبور و MFA سنتی در زمینه احراز هویت امن چیست؟ ما با تعریف دو اصطلاح شروع میکنیم.
احراز هویت چند عاملی (MFA) مستلزم آن است که کاربر دو یا چند عامل تأیید مستقل را برای احراز هویت ارائه دهد. این عوامل میتوانند چیزی باشند که میدانید (مثلاً رمز عبور، پین، الگو)، چیزی که هستید (مثلاً اسکن شبکیه، تشخیص چهره، اثر انگشت) یا چیزی که دارید (مثلاً دستگاه هوشمند، کلید امنیتی).
رمزهای عبور آسیبپذیرترین جنبه احراز هویت هستند و هم هدف مورد علاقه مهاجمان و هم بزرگترین بردار حملات سایبری هستند. معرفی چندین عامل مستقل، دسترسی یک مهاجم به سیستم یا دستیابی به تصاحب حساب (Account Take Over – ATO) را دشوارتر میکند.
احراز هویت بدون رمز عبور، همانطور که از نام آن پیداست، هویت کاربر را بدون استفاده از رمز عبور یا عوامل مبتنی بر دانش تأیید میکند. میتوان احراز هویت بدون رمز عبور تک عاملی (مثلاً یک کلید امنیتی) و MFA بدون رمز عبور (مثلاً یک راهحل مانند راهکار نشانه) وجود داشته باشد.
با این حال، اصطلاح “بدون رمز عبور” مبهم میشود زیرا برخی روشها به نظر میرسد که رمزهای عبور را حذف میکنند اما در واقع هنوز از آنها به نوعی در فرآیند سنجش هویت استفاده میکنند. به عنوان مثال، برخی از فرآیندهای احراز هویت بدون رمز عبور ممکن است از کاربر بخواهند که برای تأیید عامل “چیزی که در اختیار دارد” اثر انگشت خود را ارائه دهد، اما سپس یک رمز عبور فعال شده را برای عمل سنجش و تایید هویت در پسزمینه ارسال کند.
لینکهای جادویی چه هستند؟
لینکهای جادویی مثال دیگری هستند. به جای رمز عبور، آنها با استفاده از یک توکن جاسازیشده در یک URL که از طریق ایمیل یا پیامک ارسال میشود، احراز هویت را انجام میدهند. اگرچه این یک عامل مبتنی بر دانش نیست، اما یک راز مشترک است که به همان روشی که یک رمز عبور عمل میکند، کار میکند و هر راز مشترک میتواند با مهاجمان نیز به “اشتراک گذاشته شود”.
این بدان معناست که همچنین باید تمایز بیشتری بین راهحلهای کاملاً بدون رمز عبور که رازهای مشترک را کاملاً از فرآیند حذف میکنند و آنهایی که آنها را فقط از تجربه کاربر پنهان میکنند، وجود داشته باشد. سیستمهای کاملاً بدون رمز عبور که در هیچ مرحلهای از فرآیند احراز هویت از راز مشترک استفاده نمیکنند، اغلب MFA مقاوم در برابر فیشینگ نامیده میشوند.
مقایسه MFA با احراز هویت بدون رمزعبور
اکثریت قریب به اتفاق MFAها همچنان به رمزهای عبور به عنوان یک عامل متکی هستند، اگرچه بزرگترین شرکتهای فناوری جهان و دولتها (همچون دولت فدرال امریکا) خواستار حذف رمزهای عبور از فرآیند احراز هویت شدهاند. از آنجایی که استقرار MFA به طور کلی بسیار پایینتر از سطحی است که باید باشد، بسیاری از سازمانها هنوز در مرحله کشف گذار خود هستند. با این حال، این میتواند مثبت نیز باشد، زیرا فرصتی برای اجرای MFA بدون رمز عبور از همان ابتدا فراهم خواهد گشت. برای تصمیمگیری در مورد مناسب بودن این مسیر برای کسبوکارتان، به مقایسه MFA با احراز هویت بدون رمزعبور برای درک تفاوتها در چهار حوزه کلیدی نیاز دارید.
احراز هویت
همه MFAها بدون رمز عبور نیستند و همه شیوههای بدون رمز عبور نیز MFA نیستند. یک راهحل MFA بدون رمز عبور مقاوم در برابر فیشینگ به دستورالعملهای موسسه ملی استانداردها و فناوری (NIST) و آژانس زیرساخت امنیت سایبری و امنیت (CISA) پایبند است. هویت با استفاده از یک ویژگی بیولوژیکی ذاتی (چیزی که هستید) همراه با کلیدهای رمزنگاری خصوصی (چیزی که دارید) تأیید میشود. خود فرآیند احراز هویت از رمزنگاری کلید عمومی استفاده میکند تا هیچ اعتبارنامه سری برای رهگیری وجود نداشته باشد و هیچ پایگاه دادهای از اعتبارنامههای ذخیره شده نیز در کار نباشد که بتواند نشت یا هک شود.
امنیت
MFA از حالت آسان تا بسیار دشوار (توکن FIDO پشتیبانی شده توسط شناسایی بیومتریک) متغیر است. اگرچه ایمنتر از یک رمز عبور ساده است، اما چقدر ایمنتر آن به عوامل تأیید مورد استفاده و خود فرآیند احراز هویت بستگی دارد. MFA سنتی اغلب از یک رمز عبور یکبار مصرف (OTP) ارسال شده به یک دستگاه به عنوان عامل “چیزی که دارید” استفاده میکند. اگرچه استفاده از شیوه سنجش هویت با OTP راحت است، اما در نهایت، مهاجمان میتوانند به راحتی با استفاده از کیتهای فیشینگ و سایر تکنیکها آنها را دور بزنند. همانطور که در بالا ذکر شد، روش احراز هویت پسزمینه نیز به طور قابل توجهی بر امنیت MFA تأثیر میگذارد؛ اگر هیچ رازی به اشتراک گذاشته نشود، هیچ چیزی برای دزدیدن وجود ندارد.
تجربه کاربری
یکی از بزرگترین موانع برای گسترش MFA، ترس از تجربه کاربری ضعیف است. از آنجایی که MFA میتواند نیاز به ورودی طیف گستردهای از عوامل داشته باشد، برخی از آنها ممکن است در هنگام ورود به سیستم نسبت به سایرین سختتر باشند.
رمزهای عبور همیشه یکی از ناامیدکنندهترین موارد در حوزه احراز هویت کاربر بوده و هستند. اضافه کردن یک اقدام اضافی بر روی این امر تنها این مشکل را افزایش میدهد و میتواند بر بهرهوری تأثیر منفی قابل توجهی داشته باشد. علاوه بر این، کاربران اغلب رمزهای عبور را فراموش میکنند یا مجبور به چرخش آنها میشوند، که منجر به اشتراکگذاری رمزهای عبور یا ایجاد اسناد برای ردیابی همه رمزهای عبور میشود و خطرات امنیتی ایجاد میکند.
استقرار
استقرار MFA بسته به محیط و خود راهحل، از نظر پیچیدگی متفاوت است. این بیشتر یک مسئله شیوه بدون رمز عبور در مقابل MFA نیست و بیشتر وابسته به انتخاب راهحلی است که انعطافپذیری را ارائه میدهد و میتواند با سازمان مقیاسپذیر باشد. سازمانها باید مراقب قفل شدن فرآیند MFA خود در یک ارائه دهنده سرویس هویت (Identity Provider – IdP) یا درگاه احراز هویت یکپارچه (Single Sign On – SSO) خاص باشند، در غیر این صورت با چندین پروتکل سنجش هویت برای استقرار و مدیریت مواجه خواهند شد، چندین برنامه که میتواند منجر به مقاومت در همه جبههها شود.
راهکار احراز هویت بدون رمز عبور نشانه
تهدیدات امنیتی فزاینده در اطراف احراز هویت، مانند فیشینگ، به این معنی است که امنیت سایبری سازمانی به سیستمهای قویتری نیاز دارد. MFA مقاوم در برابر فیشینگ پاسخ این مشکل است. این امر برای تصمیمگیرندگان ضروری است که تفاوت بین شیوه احراز هویت بدون رمز عبور در مقابل MFA سنتی که از رمزهای عبور و سایر عوامل فیشینگپذیر استفاده میکند را درک کنند.
راهحل MFA و راهکار بدون رمزعبور واقعی نشانه (توسعه داده شده در شرکت رهسا – رهآورد سامانههای امن) با استفاده از MFA مقاوم در برابر فیشینگ ساخته شده که تعادلی کامل بین امنیت و تجربه کاربری مناسب برقرار مینماید. جریان احراز هویت یکپارچه بر روی رایانهها و تمامی سامانههای نرمافزاری به سازمان و کاربران آن اجازه میدهد دستگاه خود را به یک توکن FIDO تبدیل کنند و به راحتی و با تکیه بر رمزنگاری کلید عمومی، با اطمینان در تمامی سامانهها احراز هویت امن انجام دهند.
برای اطلاع از اینکه چگونه راهکار بدون رمز عبور نشانه میتواند به ایمنسازی کاربران و شبکه سازمان شما کمک کند، با کارشناسان ما در تیم نشانه تماس حاصل نمایید.