ارتقاء امنیت ساختار، بدون استفاده از رمز عبور – قسمت دوم

انتخاب تکنولوژی‌ صحیح

امروزه با حضور قابل ملاحضه تکنولوژی‌های Biometric بر روی کامپیوترها و تلفن‌های همراه، تعداد تکنولوژی‌های جایگزین و قابل استفاده برای رمزعبور نیز افزایش پیدا کرده است. مایکروسافت راهکارهایی برمبنای سیستم‌عامل، سخت‌افزار یا نرم‌افزار ارائه می‌دهد که به سازمان‌ها اجازه بدهد همین امروز تکنولوژی‌های احراز هویت بصورت Password-less را بررسی کنند. این شرکت همچنین با ارائه Windows 10 ویژگی Windows Hello را که با استفاده از حسگرهای Biometric یا یک PIN، هویت کاربر را تایید می‌کند، عرضه نموده است. برنامه Microsoft Authenticator یک Token نرم‌افزاری است، که به کاربر اجازه احراز هویت از طریق Biometric یا PIN هنگام حضور در محل کار یا ورود به حساب‌های شخصی با تلفن همراه را می‌دهد.

از آنجا که این شرکت عضو اتحادیه FIDO است، با سایر اعضای این اتحادیه، برای توسعه‌ی استانداردهای متن باز مورد نیاز نسل جدید Credentialها همکاری می‌کند. کاربران می‌توانند با استفاده از سخت‌افزار قابل حمل مجهز به FIDO2 و دستگاه‌ها و مرورگرهایی که از این تجهیز پشتیبانی می‌کنند، به کامپیوترهای محل کار یا سرویس‌های Cloud دسترسی پیدا کنند. در ادامه به جزئیات بیشتری در مورد هر کدام از این تکنولوژی‌ها پرداخته می‌شود.

قابلیت‌های Windows Hello for Business برای احراز هویت

قابلیت Windows Hello for Business برروی سیستم‌عامل‌های Windows 10 که شامل کامپیوترها و دستگاه‌های همراه می‌شود، رمزعبور‌ها را با سیستم MFA قدرتمند جایگزین می‌کند. این سیستم احراز هویت از نوع جدیدی از Credential بهره می‌برد که به یک دستگاه متصل شده و از Biometricها و یا PIN استفاده می‌کند. این قابلیت به کاربران این امکان را می‌دهد که به حساب‌های کاربری یا برنامه‌های کاربردی سازمانی بدون ذخیره کردن رمزعبور برروی دستگاه یا شبکه‌، به محتوا و منابع مورد نظر با استفاده از اسکن چهره، چشم، اثر انگشت یا PIN، دسترسی پیدا کنند. این اطلاعات Biometric فقط بر روی دستگاه کاربر استفاده می‌شود و هرگز از آن خارج نمی‌شود.

نحوه عملکرد Windows Hello

در روند فعال‌سازی Windows Hello سیستم اقدام به ساخت یک جفت کلید متصل به (Trusted Platform Module (TPM برروی دستگاه می‌کند و دسترسی به این کلیدها و به دست آوردن یک Signature برای تایید مالکیت کلید خصوصی از طرف کاربر، فقط از طریق PIN یا اسکن Biometric قابل انجام است. هنگام فعال سازی قابلیت Windows Hello سیستم تایید هویت دو مرحله‌ای، بین ارائه دهنده هویت و نام کاربری یک اتصال ایمن برقرار می‌نماید. زمانی که کاربر اسکن Biometric را از طریق دستگاه وارد کند، سرویس دهنده توسط ترکیبی از اسکن‌ و کلید ذخیره‌شده در Hello می‌تواند احراز هویت را برای وی انجام دهد. این امر یک Token احراز هویت را فعال می‌کند که به Windows 10 اجازه دسترسی به منابع و سرویس‌ها را می‌دهد.

کار با Windows Hello for Business بسیار ساده بوده و تجربه کاربری عالی به همراه امنیتی بالا را ارائه می‌نماید. پیتر اسکات، مدیر فناوری اطلاعات British Telecom Technology در مورد این تکنولوژی این‌چنین می‌گوید:”کارمندان شرکت با استفاده از اثر انگشت یا اسکن چهره برای دسترسی به حساب‌های کاربری خود بسیار راضی بوده و تجربه کاربری خوبی را برای آنها دربرداشته است.”

برنامه Microsoft Authenticator

هر روز میلیون‌ها نفر برای ایمن‌تر ساختن ورود خود به حساب‌های کاربریشان از برنامه Microsoft Authenticator استفاده می‌کنند. برنامه Microsoft Authenticator به کاربران اجازه می‌دهد تا هویت خود را تایید کرده و به حساب کاربری شخصی یا محل کار خود وارد شوند. این برنامه همچنین توانایی تقویت رمزعبور از طریق استفاده از Passcode یا Push-Notification یک بار مصرف را دارد. Microsoft Authenticator می‌تواند با استفاده از چندین عامل برای تایید کاربر، جایگزین مناسبی برای نیاز به رمزعبور باشد. به جای استفاده از رمزعبور، کاربران هویت خود را از طریق اسکن اثر انگشت، چهره، چشم یا وارد کردن یک PIN تایید می‌کنند. Microsoft Authenticator بر مبنای تکنولوژی‌ امنیتی مشابه به Windows Hello توسعه یافته که به صورت یک برنامه ساده و کوچک برای دستگاه‌های همراه عرضه شده است. لازم به ذکر است که این برنامه برروی Andoird و iOS در دسترس عموم قرار دارد.

بعد از وارد کردن نام کاربری به جای مشاهده پیغام درخواست رمزعبور، کاربران یک Notification برای تایید حضور خود دریافت می‌کنند. درون برنامه تلفن همراه، کاربران با وارد کردن اسکن چهره، اثر انگشت وارد کردن PIN یا عددی که بعد از صفحه  ورود به نمایش در می‌آید، حضور خود را تایید کرده و مراحل احراز هویت را کامل می‌کنند. این روش تایید حضور چند عاملی برای استفاده کاربران بسیار امن‌تر و راحتتر از سیستم متکی به رمزعبور است. با این روش برخی اوقات حتی احتیاج به تایپ کردن عدد یا PIN نیز کاملا از بین می‌رود.

کلیدهای امنیتی FIDO2

FIDO2 انقلابی در احراز هویت U2F با استاندارد متن باز است که بر پایه کلید عمومی رمزنگاری با استفاده از سخت‌افزار است. این استاندارد برای حل کردن برخی مشکلات کاربران از Strong First Factor (بدون رمزعبور) و احراز هویت MFA توسعه یافت. با این قابلیت‌های جدید یک کلید امنیتی اطلاعات اعتباری ضعیف نام کاربری/رمزعبور را با کلیدهای قوی عمومی/خصوصی متکی بر سخت‌افزار به طورکامل جایگزین می‌کند. باید توجه داشت که از این Credentialها نمیتوان به صورت مجدد و  مشترک میان سرویس‌های مختلف استفاده نمود. دستگاه‌ها و Tokenهایی که با استانداردهای FIDO2، WebAuthN و پرتوکل‌های CTAP سازگارند، یک راه‌کار Cross-Platform احراز هویت قدرتمند بدون نیاز به رمزعبور را در اختیار کاربران قرار می‌دهند. همچنین کارمندان مایکروسافت در حال کار برروی انواعی از کلیدهای امنیتی مانند کلیدهای امنیتی بر پایه USB و کارت‌های هوشمند مجهز به NFC می‌باشند.

نحوه عملکرد FIDO2

مایکروسافت مدت‌هاست که با شرکای خود برای اطمینان حاصل کردن از کارکرد صحیح دستگاه‌های FIDO2 برروی Windows، مرورگر Microsoft Edge و حساب‌های کاربری Microsoft برای مهیا کردن سیستم احراز هویت بدون رمزعبور فعالیت دارد.  در مواقع استفاده از دستگاه‌ها اشتراکی، کلیدهای امنیتی به کاربران اجازه می‌دهند که Credentialهای خود را به هرجایی منتقل کرده و با امنیت کامل به یک حساب Azure AD متصل به دستگاه Windows 10 داخل سازمانی وارد شوند. کاربران می‌توانند از هر دستگاه Windows اشتراک گذاری شده که متعلق به سازمانشان می‌شود استفاده نمایند و با امنیت بالا بدون نیاز به وارد کردن نام کاربری و رمزعبور یا تنظیم Windows Hello وارد حساب‌های کاربری خود شوند. بر خلاف رمزعبور‌های متداول این کلیدها بر مبنای رمزنگاری کلید عمومی با امنیت بالا است که سیستم احراز هویت قدرتمندی ارائه می‌دهند. علاوه بر این موارد، این کلیدها با وجود قابل حمل بودن تمام مزایای Secure Enclave برای ذخیره سازی اطلاعات اعتباری که برای استفاده‌هایی مانند کارمندان بدون میز کارمندی (Desk-less) را دارند.

مدیریت IT کشور امارات در مورد این تکنولوژی‌ها این چنین می‌گوید:” دستگاه‌های امنیتی Password-Less به خوبی با شرایط ما سازگار بوده و پیاده سازی و استفاده از آن‌ها نیز ساده است و در آینده نزدیک قصد داریم که به تمامی 110000 کارمند اماراتی کارت‌های شناسایی HID مجهز به FIDO2 ارائه کنیم.”

 مقایسه تکنولوژی‌های احراز هویت Password-less مایکروسافت

در ذیل جدولی آمده که به سازمان‌ها و شرکت‌ها در انتخاب تکنولوژی‌ بدون رمزعبور Microsoft کمک می‌کند:

مقاله های مرتبط: