روش های جلوگيری از Lockشدن حساب به روی خود كاربران با استفاده از احراز هويت چندمرحله‌ای یا MFA

احراز هویت چند مرحله‌ای، Multi-factor authentication  یا MFA یکی از محبوب‌ترین راه‌حل‌های امنیتی احراز هویت است که امروزه در دسترس سازمان‌ها قرار دارد. محبوبيت اين نوع احراز هويت تعجب‌آور نيست، زیرا مزایای امنيتی پيشرفته آن فراتر از اقدامات امنيتی پايه‌ای همچون رمزعبور بوده و همچنین کاربر را مجبور می‌كند با روش ديگری احراز هويت كند كه فقط كاربر مجاز به آن دسترسی دارد.

در عين حال كه احراز هويت چندمرحله‌ای مزايای قابل توجهی دارد، ولیکن اخيرا خطری ايجاد شده است و آن Lockشدن حساب به روی خود كاربر می باشد. در اين مطلب اینكه چطور می‌شود با احراز هويت چندمرحله‌ای از Lockشدن حساب به روی خود كاربر جلوگيری نمود، با جزئيات بررسی شده و همچنين به مزایای احراز هویت چند مرحله‌ای و خطر استفاده نكردن از آن پرداخته می شود.

تعريف احراز هويت چندمرحله‌ای یا MFA

احراز هویت چند مرحله‌ای یک روش احراز هویت پیشرفته است که قابليتی فراتر از رمزعبور قديمی ارائه مي‌دهد تا امنيت احراز هويت را در دستگاه‌ها، برنامه‌های كاربردی و جلسات مبتنی بر وب بالا ببرد. MFA  که تحت عنوان احراز هویت دومرحله‌ای يا 2FA  نیز شناخته می شود، به پنج دسته از مراحل احراز هويت اشاره دارد:

1-  دانش: چیزی که کاربر می داند مانند نام کاربری، رمزعبور و PIN 

2- دارايی: مانند Token امنيتی

3- سوابق: به تأیید شبکیه و تشخيص اثرانگشت يا صدا اشاره دارد

4-  مکان: موقعیت فیزیکی کاربر

5- زمان: فرصتی حساس به زمان برای احراز هويت

مزایای احراز هویت چندمرحله‌ای یا MFA

راهكارهای احراز هویت چندمرحله‌ای كم‌كم دارند به بخشی جدایی ناپذیر از پروفايل امنيتی سازمان تبديل می‌شوند. در زیر برخی از دلایل مراجعه‌‎ به MFA آورده شده است.

ایجاد امنیت بیشتر

نکته اصلی MFA این است كه در حقيقت که هر یک از مراحل اين احراز هويت، ضعف مرحله‌ای ديگر را جبران کرده و مكمل مرحله‌ای ديگر می­باشد، به عنوان مثال، هر رمزعبوری را كه به مرحله Strong نرسيده باشد، می‌توان با يك كليد فيزيكی MFA USB  جبران كرد. داشتن يك يا تعداد بيشتری لايه از مراحلز  احراز هويت، امنيت بيشتری نسبت به احراز هويت يك مرحله‌ای قديمی فراهم می‌كند.

مطابقت با استانداردهای نظارتی

استانداردهای تطبيق‌پذيری بخشی ضروری در بسیاری از صنایع است و بسیاری از استانداردهای قانونی و نظارتی، مانند صنعت مالی، مستلزم پياده‌سازی MFA در داخل سازمان هستند. سایر استانداردهای نظارتی، مانند استاندارد HIPAA در مراقبت‌های بهداشتی، مستلزم اجرای یک فرآیند احراز هویت قوی است، و انتخاب آنچه که باید اجرا شود به عهده سازمان است. MFA با استانداردهای نظارتی تطبيق‌پذيری صنايع مختلف مطابقت دارد و اين دليل ديگر روآوردن سازمان‌ها به راهكارهای احراز هويت چندمرحله‌ای است.

امكان ساده‌سازی

ممكن است به نظر برسد استفاده از چندین روش احراز هویت برای احراز هویت کاربر، فرایندهای احراز هویت کاربر یک سازمان را پیچیده می کند. اما واقعيت اين است كه فرآيند را ساده می‌نمايد. پس از احراز هويت كاربر، با يك Sign-on واحد، دسترسی به همه برنامه‌های كاربردی تحت پوشش سازمان به او داده مي‌شود. به عنوان مثال، کاربری كه به طور معمول به پنج برنامه كابردی سازمان دسترسی دارد، می‌تواند به جای پنج بار، يك بار احراز هويت شود.

خطرات مرتبط با احراز هویت چندمرحله‌ای

MFA علاوه بر مزايای ذكرشده، خطری نيز به همراه دارد، يعنی اين خطر وجود دارد كه اگر MFA فعال نباشد و مهاجمی به حساب دسترسی پيدا كند و آن را فعال كند، خودش مراحل احراز هويت را تعيين خواهد كرد. بنابراین، مهاجم توانايی احراز هویت را دارد و می‌تواند حساب را برای صاحب آن كاربر Lockشدن كند.

مهاجمان می‌دانند با اين كه MFA بيشتر در دسترس قرار می‌گيرد و استفاده می‌شود، هنوز هم سازمان هایی وجود دارند که آن را فعال نکرده‌اند و ممکن است هرگز فعال نكنند. دلیل این امر این است که بسیاری از سازمان‌ها می‌ترسند با بالا بردن امنيت كارمندان خوب را برانند.

چگونگی جلوگيری از Lockنشدن حساب برای كاربر

Lockشدن حساب برای كاربر ممكن است يكی از خطرات واضح و جدی پيش‌روی سازمان باشد. در زير توصيه‌هايی آورده شده كه كاربر با پيروی از آن‌ها می‌تواند از فقل شدن حساب به روی خودش، جلوگيری كند.

فعال كردن احراز هويت چندمرحله‌ای

فعال کردن MFA ساده‌ترین راه برای جلوگیری از Lockشدن حساب به روی خود كاربر، توسط مهاجمی است که قبل از كاربر حساب را فعال كرده است. در حالی که سازمان ها برای فعال نكردن MFA دلايل خاص خود مثل ترس از راندن كاربران خود را دارند، واقعیت این است که MFA بيش از پيش مورد استفاده قرار گرفته است و احتمال دارد بیشتر کاربران تا كنون در برخی موارد از MFA استفاده کرده باشند. بنابراین، در وهله اول با نشان دادن آسان بودن استفاده از آن (به خصوص با يك Sign-on واحد و اين كه امنيت بيشتر ارائه‌شده از جانب آن می‌تواند مانع مهاجمانی شود كه حساب را به روی خود كاربر Lock می‌كنند، می‌توان از شدت ترس از پياده‌سازي آن كاست.

ثبت مراحل ديگر

پس از فعال شدنMFA ، ممكن است حساب همچنان به روی كاربران Lock باشد. اين اتفاق ممكن است زمانی بيفتد که کاربر مرحله ای از احراز هويت MFA خود مانند PIN یا رمز عبور را فراموش كند، يا دستگاه خود را با مرحله ذخیره شده در آن یا دستگاه ثانویه خود را که یک کد بازیابی تولید می‌کند مانند تلفن هوشمند كه با استفاده از پيامك احراز هويت می‌كند از دست بدهد.

ثبت مراحل ديگر مانند شماره تلفن ديگری برای دريافت پيامك، تشخیص صدا یا Token امنيتی، روش‌های ديگر احراز هويت هستند كه می‌‌توانند در اختيار كاربر قرار گيرند و در عين حال به طور كل لايه‌ ديگری بر امنيت اضافه كنند.

احراز هویت چندمرحله‌ای رفع کننده هر مشكلی نیست،  MFA قطعاً امنیت را بهبود می‌بخشد، اما برطرف کننده هر مشكلی نمی باشد، مهاجمان به روش‌های ديگری نظير Phishing، سرقت Tokenها و داده‌های بیومتریک به سرقت‌رفته، امنيت را تهديد مي‌كنند، بنابراین MFA باید صرفا یک قسمت از كاربردی‌ترين استراتژی کلی امنیتی سازمان باشد.