استراتژی احراز هویت بدون رمز عبور یا Passwordless

بهترین کنترل امنیتی آن است که مردم واقعا از آن استفاده کنند. در این میان، روش‌ها از اعمال امنیت به سمت ایجاد امنیتی تغییر می‌کنند که مطلوب کاربران است. وقتی صحبت از Zero-Trust می‌شود، نکته‌ی بسیار مهم این است که چگونه می‌توان برای کاربران نهایی جذابیت ایجاد کرد و اینجا مفهوم احراز هویت بدون رمز عبور یا Passwordless مطرح می‌شود

مشکلات رمزهای عبور به خوبی قابل درک هستند. افراد روزانه با تعداد زیادی رمزعبور سروکار دارند که این مسئله باعث فراموشی و نیاز به تنظیم مجدد رمزهای عبور IT و Help Desk و بازکردن قفل Accountها می‌شود. گاهی افراد از رمزهای عبور تکراری استفاده می‌کنند که منجر به کار اضافه برای تیم امنیتی می‌شود تا جلوی ورود مهاجمانی را بگیرند که از اعتبار آخرین رمز عبور استفاده می‌کنند.

احراز هویت بدون رمز عبور یا Passwordless چیست

احراز هویت بدون رمز عبور ایجاد اطمینان جدی از هویت کاربر بدون تکیه بر رمزهای عبور است. این امر به کاربران اجازه می‌دهد با استفاده از بیومتریک‌‌ها، کلیدهای امنیتی یا دستگاه تلفن همراه احراز هویت شوند. احراز هویت بدون رمز عبور با  تمام موارد مورد استفاده ممکن خواهد‌ بود. بدون رمزعبور مشکلات ذکر شده هم پیش نخواهند آمد. کنار گذاشتن رمز عبور باعث بهبود تجربه‌ی کاربر در هنگام ارتقاء امنیت می‌شود. و وقتی به عنوان بخشی از یک ساختار کلی Zero-Trust  جایگاه خود را پیدا کند، برای افراد جذاب می‌شود.  

آغاز راه به سمت احراز هویت بدون رمز عبور با انتخاب دقیق افراد، دستگاه‌ها و برنامه‌ها آغاز می‌شود. مانند سایر تحولات، ضروری است موارد مورد استفاده را به حداکثر برسانیم تا خرید، کاهش ریسک و تلاش بیشتر شود. با توجه به چشم‌انداز پیشِ‌رو، رویکرد با کیفیت به عدم استفاده از رمز عبور شامل موارد زیر است:

1. کاهش اتکا به رمز عبور و احراز هویت قاطعانه برای همه‌ی برنامه‌ها: رویکرد پیش‌رو اتکا به رمزعبور را کاهش داده و با محافظت از برنامه‌های Cloud و On-Premises با تایید هویت چند عاملی یا به عبارتی Duo (MFA)، خطر سرقت اعتبار را کاهش می‌دهد.
2. استفاده‌ی کمتر از رمز عبور و به حداقل رساندن رمزهای عبور برای برنامه‌های تحت Cloud: با استفاده از WebAuthn با Duo و Single Sign-On یا به عبارتی SSO کاربر به رمزهای عبور کمتری برای برنامه‌های مبتنی بر SAML نیاز دارد. به طور ایده‌آل، کاربران می‌توانند با استفاده از احراز هویت‌کننده‌ی بیومتریک واحد (یا کلید امنیتی) برای دسترسی به هر برنامه‌ی مبتنی بر وب لاگین نمایند.
3. عدم استفاده از رمز عبور به صورت واقعی و حذف رمز عبور برای برنامه‌های Legacy و Cloud: کاربر می‌تواند بدون رمز عبور از همه‌ی موارد استفاده کرده و با حذف رمز عبور به عنوان عامل اصلی، از جمله عدم وجود رمز عبور هم برای Tools Legacy که از پروتکل‌های قدیمی استفاده می‌کنند و هم برنامه‌های مبتنی بر Cloud، رمز عبور واقعی را به دست آورند.

این استراتژی ضمن بهبود تجربه کاربر، روش شناسایی او را نیز تقویت می‌کند. از دیدگاه امنیتی، احراز هویت بدون رمز عبور، اساس ساختار Zero-Trust است. بدون امکان برقراری و حفظ اعتماد نسبت به هویت کاربر ، دلیلی برای ایجاد مؤلفه های اضافی Zero-Trust وجود ندارد. مهم‌تر اینکه، از منظر قابلیت کاربری، سناریوی احراز هویت بدون رمز عبور، کار روزانه افراد را بهبود می‌بخشد.