ارتقاء امنیت ساختار، بدون استفاده از رمز عبور – قسمت اول

کاهش ریسک‌پذیری با جایگزین نمودن رمزها

رمز عبور‌ها برای ایمن نگه داشتن کاربران و دیگر استفاده های امنیتی کافی نمی‌باشند و از نظر متخصصان IT در سرتاسر دنیا، در محیط امنیتی امروزی جایگاهی برای رمزعبورهای متداول وجود ندارد. ریسک‌های استفاده از رمز عبور از فواید آن بیشتر است چراکه آنها کاربران را بیشتر به خطر می‌اندازد. لازم به ذکر است که حتی قویترین رمز عبور‌ها با حمله‌ی Phishing بسیار راحت به دست می‌آیند و برخی از متخصصان این حوزه دلیل از بین بردن سیستم‌های احراز هویت برپایه رمز عبور برای همه سازمان‌های حوزه‌ی IT را بسیار روشن و منطقی می دانند. ولی چگونه می‌توان این سیستم پراستفاده را از چرخه‌ی استفاده خارج نمود یا جایگزین کرد و به عبارتی دیگر بصورت Password-Less از یک سیستم استفاده نمود؟

برای سازمان‌ها، مقابله با نفوذ به ساختار و همچنین پشتیبانی و نگهداری از رمز عبور‌ها هزینه‌ی زیادی دارد. برای مقابله با این مشکل، بهترین راه مجاب کردن کاربران به استفاده از رمز عبور‌های پیچیده‌تر و تغییر مستمر آن‌ها است. با این حال این استراتژی نیز، با توجه به تجربه کاربرانی که درخواست بازیابی رمز عبور دارند، آسیب رسانده و مشکل خود را دارد. نکته مهم این است که این رویکرد برای تهدیدهای امنیت سایبری امروزی کافی نمی‌باشد و نیازهای امنیت اطلاعات سازمانی را برآورده نمی‌کند.

دلایل حذف رمز عبور

سیستم احراز هویت برپایه رمز عبور در حوزه امنیت سازمانی، موضوعی چالش برانگیز است. رمزعبور، کلیدی برای دسترسی به حساب کاربری و همچنین دیواری دفاعی در برابر مهاجمان احتمالی می‌باشد. برای ایجاد تفاوت میان صاحب واقعی حساب کاربری و یک مهاجم، سازمان‌ها نیاز به استفاده از سیستمی هوشمندانه‌تر دارند.

برای مثال سیستم احراز هویت چند عاملی (Multi-Factor Authentication یا MFA) با درخواست یک Pin به صورت رمز عبور یا Biometric، روشی ایمن‌تر به سازمان‌ها ارائه می‌دهد. پیچیده‌تر شدن دسترسی کاربران و افزایش تعداد Access Pointها، تیم‌های IT را هنگام اتصال کاربران به سرویس ها مجاب می‌سازد تا از تمامی امکانات  MFAمانند کارت‌های هوشمند، Tokenهای نرم‌افزاری و سخت‌افزاری و غیره استفاده کنند. با استفاده از رمز عبور‌ها و افزودن مراحل بیشتر احراز هویت، سازمان‌ها می‌توانند دسترسی کاربران را به منابع سازمانی  ایمن‌تر کنند.

با این وجود، حتی MFA نیز ممکن است با توجه به نحوه‌ی پیاده‌سازی آن، باعث ایجاد پیچیدگی‌های بیشتری برای کاربران شود. یکی از نکاتی که تیم‌های IT باید به آن توجه داشته باشند، ارائه یک تجربه کاری بی‌نقص‌ برای کاربران، همراه با کنترل ریسک‌های امنیتی ایجاد شده ‌می‌باشد.

امروزه، تیم‌های امنیتی IT در حال حرکت به سمت تکنولوژی‌های پیشرفته‌ای مانند Biometricها، PIN و کلیدهای رمزنگاری عمومی/خصوص هستند که به سیستم‌های احراز هویتی، برپایه رمز عبور نیازی ندارند. علاوه بر این، استانداردهای جدید مانند (Web Authentication API ( WebAuthN  و (Fast Identity Online ( FIDO2 برای پلتفورم‌های مختلف، بستری ارائه می‌دهند که به رمزعبور نیاز ندارد و به عبارتی دیگر Password-Less هستند. این استانداردها طوری طراحی شده‌اند که رمز عبور‌ها را با Biometricها و دستگاه‌های دیگر مانند کلیدهای امنیتی، گوشی‌های هوشمند، اسکنرهای اثر انگشت یا وبکم‌ها که در حال حاضر مورد استفاده سازمان‌ها است، جایگزین سازد.

گزینه‌های انتخابی برای جایگزین کردن رمز عبور می‌توانند به سازمان‌ها این قدرت را بدهند که بدون ریسک امنیتی بالا، به کاربران خود سرویس‌دهی سریع و آسان ارائه دهند. در حالت ایده‌آل، با استفاده از سیستم‌های بدون نیاز به احراز هویت رمز عبور (Password-Less)، تیم‌های IT می‌توانند ساختار احراز هویتی داشته باشند که نیازهای امنیت بالا، حریم خصوصی و کاربری مورد نیاز سازمان‌ها را برآورده سازد. در آینده نزدیک کاربران دیگر نیاز به رمز عبور برای انجام کارهای روزمره خود نخواهند داشت و با یک سیستم مناسب Sing-In/Sing-Up، هزینه‌های مرتبط با تیم‌های پشتیبانی کاربری نیز کاهش می‌یابد.

شروعی برای تکنولوژی‌های جایگزین رمز عبور

سوال ابتدایی این است که دقیقا منظور از سیستم احراز هویت بدون نیاز به رمز عبور چیست؟ سیستم احراز هویت بدون نیاز به رمز عبور، همانطور که در این مقاله به آن اشاره شد، نوعی از MFA است که رمز عبور‌ها را با سیستم‌های  ایمن‌تر جایگزین می‌کند. این نوع از سیستم احراز هویت به 2 عامل تایید کننده یا بیشتر احتیاج دارد که توسط یک جفت کلید رمزگذاری، ایمن سازی می‌شود. دستگاه مورد نظر زمانی که کاربر ثبت نام کند، اقدام به ساختن یک کلید عمومی و خصوصی می‌کند. کلید خصوصی فقط زمانی توسط کاربر قابل استفاده است که رمز Biometric یا PIN وارد شده باشد. دو حق انتخاب برای احراز هویت و ورود کاربران وجود دارد و آن‌ها میتوانند به صورت مستقیم توسط سیستم شناسایی Biometric مانند اسکن اثر انگشت، شناسایی چهره و اسکن چشم وارد شوند و یا برای ورود از PINی که از قبل برروی دستگاه ثبت و تنظیم شده استفاده نمایند.

بیشتر بخوانید: پنج تکنولوژی امنیتی نوظهور جهت مقابله با تهدیدات سایبری

احراز هویت بدون رمز عبور یا Password-Less

هدف اصلی از استراتژی سیستم احراز هویت بدون نیاز به رمز عبور (Password-Less)، غیرقابل استفاده نمودن رمزهای عبور برای مهاجمان احتمالی است. اتخاذ این رویکرد به تکنولوژی‌هایی که آن را پشتیبانی کند، احتیاج دارد. مسئله دیگر مدت زمان مورد نیاز برای سازگارشدن سازمان‌ها و کاربران‌شان با این تکنولوژی‌های جدید است که شامل تغییر طرز تفکر از سوی سازمان‌ها و کاربران نیز می‌باشد. سازمان‌ها در ابتدا باید بررسی کنند که این رویکرد چگونه با چرخه‌ی عملیاتی آن‌ها تعامل می‌کند و تغییرات زیرساختی لازم را انجام دهند تا کاربران بتوانند در این فضای بدون رمز عبور جدید به فعالیت خود ادامه دهند.

در ذیل ملاحظات کلیدی برای پیاده سازی سیستم احراز هویت بدون نیاز به رمز عبور (Password-Less) در MFA، آمده است:

1. بسته به نیازهای سازمانی، تکنولوژی‌های صحیح انتخاب شود. اقدام به ایجاد جایگزینی برای رمز عبور نمایند که کم و کاستی‌های آن را پوشش داده و در عین حال از مزایای آن استفاده کند. مرحله ابتدایی پیاده سازی یافتن یک جایگزین برای این راهکار و عادت دادن کاربران برای استفاده از سیستم جدید است.
2. کاربران از نحوه کارکرد سیستم جدید به صورت کامل آگاه شوند و در مورد اینکه چگونه تکنولوژی‌های بدون رمز عبور چالش‌های امنیتی را از بین برده و نقاط ضعف رمز عبور را پوشش می‌دهند تحقیقات کامل نمایند. استفاده از این تکنولوژی‌ها تجربه‌های کاربری کاربران را برای ایجاد حساب کاربری، راه‌اندازی تجهیزات جدید، استفاده از حساب کاربری یا دستگاه برای دسترسی به برنامه‌های کاربردی و وب‌سایت‌ها و راه‌اندازی سیستم بازیابی را ارتقا خواهد داد و همچنین به معنی بی‌نیاز شدن آن‌ها از رمزعبور برای احراز هویت می‌گردد.
3. سازمان ها باید کاربران خود را با استفاده از محیط شبیه‌سازی برای ورود بدون رمزعبور آماده نمایند تا کاربران و مدیران IT در آن آگاهی و اعتماد به نفس بیشتری پیدا کنند. این شبیه‌سازی باید مشوق کاربران برای ایجاد یک تغییر فرهنگی درون سازمانی شود و آن‌ها را با این ایده آشنا نماید که دیگر نیاز به تایپ کردن، تغییر دادن یا حتی دانستن رمز عبور نیست.

مقاله های مرتبط: