آینده احراز هویت در صنعت امنیت سایبری

همتای‌ دیجیتال واقعیت‌ فیزیکی‌، به‌ صورت خارق العاده ای در حال رشد می‌باشد. در عین‌ حال که‌ رشد اینترنت‌ قطعاً خروجی‌های‌ مثبتی‌ را در پی‌ دارد ولی‌ ریسک‌های‌ مرتبط‌ با آن نیز به‌ سرعت‌ در حال افزایش‌ می‌باشند. زمانی‌ که‌ صحبت‌ از مدیریت‌ ریسک‌ امنیت‌ سایبری‌ می‌شود، اولین‌ چیزی‌ که‌ به‌ ذهن‌ خطور می‌کند، کلمات عبور هستند؛ ولی‌ این‌ ساز و کار در زمانی‌ که‌ تهدیداتی‌ نظیر حملات فیشینگ‌ و اسکم‌ها وجود دارند، کافی‌ نیست‌. پس‌ راهکار چیست‌؟ در عصر دیجیتال که‌ تهدیدات سایبری‌ به‌ صورت روزانه‌ در حال افزایش‌ می‌باشند، ما باید پا را فراتر از کلمات عبور بگذاریم‌ تا از حریم‌ شخصی‌ و داده­ های‌ خود محافظت‌ نماییم‌.

احراز هویت‌ بدون پسورد چیست‌؟

قرن بیستم‌ متعلق‌ به‌ کلمات عبور بوده است‌ ولی‌ در حال حاضر، موضوع فراتر از آن است‌. به‌ عبارت ساده تر، احراز هویت‌ بدون کلمه‌عبور به‌ روش­های‌ احراز هویتی‌ اشاره دارد که‌ در آنها، برای‌ احراز هویت‌ یک‌ فرد، از کلمات عبور استفاده نمی‌شود. با افزایش‌ روز افزون افشاء کلمات عبور، واضح‌ است‌ که‌ گذرواژه ­ها، راهکار ایده آلی‌ برای‌ محافظت‌ از داده ها نیستند؛ علاوه بر دشواری‌ به‌ خاطر سپردن این‌ عبارات، کلمات عبور اولین‌ آیتمی‌ هستند که‌ هکرها در حملات سایبری‌ به‌ دنبال دسترسی‌ به‌ آنها می‌باشند.

انواع روش ­های‌ احراز هویت‌ بدون گذرواژه :

Biometrics :

عوامل‌ بایومتریکی‌ نظیر شبکیه یا اثر انگشت‌ می‌ توانند برای‌ احراز هویت‌ یک‌ فرد به‌ صورت منحصر به‌ فرد استفاده شوند. این‌ عوامل‌ تحت‌ عنوان فاکتورهای‌ ذاتی‌ شناخته‌ می‌شوند؛ در این‌ روش، اعطای‌ مجوز دسترسی‌ به‌ کاربر، وابسته‌ به‌ خصوصیت‌های‌ بیولوژیکی‌ فرد خواهد بود. حتی‌ با ظهور فناوری‌ هوش مصنوعی‌ نیز تقلید و شبیه‌سازی‌ این‌ روش احراز هویت‌، به‌ شدت دشوار است‌ و به‌ همین‌ دلیل‌، این‌ روش، راهکاری‌ بسیار امن‌ برای‌ محافظت‌ از حساب های‌ کاربری‌ به‌ شمار می‌رود. برخی‌ از عوامل‌ بیومتریک‌ متداول عبارتند از VoicePrint,Facial Recognition, EKG, .Fingerprint Scan, Retianl Scan

روش کار احراز هویت‌ بیومتریک‌: به‌ محض‌ ثبت‌ یک‌ حساب کاربری‌ در یک‌ نرم­ افزار، کاربر باید نوعی‌ شناسه‌ بیومتریک‌ را که‌ به‌ عنوان یک‌ کلید خصوصی‌ برای‌ دسترسی‌ به‌ نرم ­افزار در آینده عمل‌ خواهد کرد، به‌ نرم ­افزار معرفی‌ نماید. برای‌ دسترسی‌ مجدد به‌ یک‌ نرم ­افزار، کاربر باید شناسه‌ ای‌ را که‌ قبلاً و در زمان ایجاد حساب کاربری‌، ارائه‌ داده بود، مجدداً ثبت‌ نماید. از آنجایی‌ که‌ شناسه‌های‌ بیومتریک‌ در واقع‌ خصوصیت‌های‌ بیومتریک‌ مجاز هستند، به‌ نسبت‌ سایر روش­ ها، روشی‌ ایمن‌تر به‌ شمار می‌روند.

 Possession Factors:

روش دیگر، مشتمل‌ بر عواملی‌ تحت‌ عنوان عوامل‌ مالکیتی‌، می‌ باشد. همانطور که‌ از نام آن پیداست‌، در این‌ روش، اعطای‌ دسترسی‌ به‌ واسطه‌ تجهیزات مشخصی‌ که‌ تحت‌ مالکیت‌ فرد می‌باشد، صورت می‌ پذیرد؛ به‌ عنوان مثال، تجهیزاتی‌ نظیر تلفن‌های‌ همراه، عمدتاً در این‌ روش احراز هویت‌ مورد استفاده قرار می‌گیرند؛ پس‌ از ثبت‌ این‌ اطلاعات در یک‌ نرم ­افزار، کاربر یک‌ کد یکبار مصرف را از طریق‌ پیامک‌ و یا اعلان نمایش‌ داده شده از سوی‌ یک‌ نرم ­افزار احراز هویت‌، دریافت‌ می‌کند و کاربر صرفاً از طریق‌ پاسخگویی‌ و واکنش‌ نشان دادن نسبت‌ به‌ این‌ اعلانات، قادر به‌ استفاده از پلتفرم مورد نظر خود خواهد بود. برخی‌ از عوامل‌ مالکیتی‌ عبارتند از نرم ­افزار احراز هویت‌کننده، کارت هوشمند، تلفن‌ همراه، توکن‌ سخت‌افزاری‌.

روش کار عوامل‌ مالکیتی‌:

در این‌ روش، کاربر باید عامل‌ مالکیتی‌ خود را در زمان ایجاد حساب در یک‌ نرم ­افزار، ثبت‌ نماید؛ این‌ اطلاعات می‌ توانند شامل‌ یک‌ کد QR و یا شماره تلفن‌ باشد. در گام بعدی‌، نرم ­افزار یک‌ کلید خصوصی‌ ایجاد می‌کند که‌ صرفاً به‌ یک‌ عامل‌ مالکیتی‌ ارتباط دارد. در صورت تلاش برای‌ ورود به‌ حساب کاربری‌، نرم ­افزار مربوطه‌ یک‌ کلمه‌عبور یک‌ بار مصرف را در قالب‌ یک‌ PIN، کد عبور یا اعلان، ارسال می‌کند که‌ کاربر تنها زمانی‌ قادر به‌ استفاده از نرم ­افزار خواهد بود که‌ به‌ موارد پیش‌تر یاد شده بر روی‌ یک‌ تجهیز مشخص‌، واکنش‌ نشان دهد.

Magic Links:

Magic Linkها عمدتاً از آدرس ایمیل‌ برای‌ ورود به‌ یک‌ حساب کاربری‌ مشخص‌ استفاده می‌ کنند. به‌ محض‌ کلیک‌ بر روی‌ این‌ نوع لینک‌ها، نرم ­افزار دسترسی‌ را به‌ کاربر اعطا می‌کند. نحوه عملکرد این‌ لینک‌ها بدین‌گونه‌ است‌ که‌ زمانی‌ که‌ کاربر برای‌ نخستین‌ بار اطلاعات خود را در یک‌ نرم ­افزار وارد می‌کند، نرم افزار از کاربر درخواست‌ می‌ کند تا آدرس ایمیل‌ خود را ارائه‌ دهد تا در ادامه‌، یک‌ Magic Link سفارشی‌ شده، ایجاد شود. به‌ محض‌ کلیک‌ بر روی‌ لینکی‌ که‌ کاربر در ایمیل‌ خود دریافت‌ نموده است‌، کاربر از طریق‌ انطباق توکن‌، احراز هویت‌ می‌شود.

مزایای‌ روش های‌ احراز هویت‌ بدون گذرواژه:

 ١- امنیت‌ سایبری‌ قدرتمندتر:

با پیشرفت‌ فناوری‌، هکرها نیز پیشرفت‌ کرده ­اند. در این‌ سناریو، حذف گذرواژه ­ها، منجر به‌ رفع‌ یک‌ مانع‌ بزرگ برای‌ حساب­ های‌ آنلاین‌ شده است‌. به‌ عنوان مثال،کارمندان معمولاً از کلمات عبور مشابه‌ و یا یکسان برای‌ نرم ­افزارهای‌ مختلف‌ استفاده می‌کنند؛ استفاده از کلمات عبور، شانس‌ حملات بدافزاری‌، فیشینگ‌ و .... را افزایش‌ می‌دهد؛ این‌ بدین‌ معناست‌ که‌ با در اختیار داشتن‌ یک‌ کلمه‌ عبور، هکر احتمالاً قادر به‌ دسترسی‌ به‌ چندین‌ حساب کاربری‌ خواهد بود. در طرف مقابل‌، روش احراز هویت‌ بدون پسورد، نیاز به‌ استفاده از گذرواژه را به‌ صورت کلی‌ حذف می‌نماید که‌ این‌ امر، منجر به‌ حذف ریسک‌های‌ مرتبط‌ با حملات سایبری‌ای‌ نظیر CredentialStuffing, Account Takeover, Password Theft/ BruteForce و فیشینگ‌ می‌شود. محققان اعلام داشته‌اند که‌ بهره ­برداری‌ از تکنیک‌های‌ احراز هویت‌ بدون گذرواژه بر روی‌ وبسایت‌، تجهیزات و نرم­افزارهای‌ سازمانی‌، منجر به‌ بهبود تصویر امنیت‌ سازمان خواهد شد.

2- افزایش‌ بازدهی‌:

ایجاد و به‌ خاطر سپردن صدها کلمه‌ عبور، امری‌ تقریباً غیرممکن‌ می‌باشد؛ علاوه بر این‌، دستورالعمل‌ و فرآیند تغییر کلمه‌ عبور برای‌ مواقعی‌ که‌ کاربر گذرواژه خود را فراموش نموده است‌، فرآیندی‌ دشوار است‌؛ بنابراین‌ جای‌ تعجب‌ ندارد که‌ کارکنان، از ساده ترین‌ کلمات عبوری‌ استفاده نمایند که‌ به‌ خاطر سپردن آنها برای‌ ایشان راحت‌ است‌ و از آن برای‌ تمامی‌ پلتفرم ­ها استفاده می‌کنند و یا در زمانی‌ که‌ نیاز به‌ تغییر گذرواژه حساب کاربری‌ خود دارند، صرفاً یک‌ عدد و یا کاراکتر خاص را به‌ همان گذرواژه قبلی‌ اضافه‌ می‌کنند. به‌ واسطه‌ روش احراز هویت‌ بدون کلمه‌ عبور، کاربران نیازی‌ به‌ ایجاد پسورد و یا حفظ‌ کردن آن ندارند؛ در عوض این‌ افراد می‌ توانند از تلفن‌ همراه، آدرس ایمیل‌ و یا چهره خود برای‌ احراز هویت‌ بهره ­برداری‌ نمایند. در صورت استفاده از یک‌ روش ورود به‌ حساب کاربری‌ ساده و سریع‌، کاربران می‌توانند مدت زمانی‌ را که‌ صرف فکر کردن در خصوص رمز جدید و یا تعویض‌ آن می‌نمایند، به‌ انجام وظایف‌ مهم‌تر خود اختصاص دهند. استفاده از این‌ روش احراز هویت‌، می‌تواند به‌ بهبود تجربه‌ کاربری‌ نیز کمک‌ نماید؛ مشتریان سازمان شما، باید در صورت داشتن‌ یک‌ حساب کاربری‌ در وبسایت‌ سازمان، مکرراً وارد آن شوند؛ در اینجا، روش احراز هویت‌ بدون گذرواژه، می‌ تواند احتمال هک‌ پلتفرم­ ها و افشاء اطلاعات کارت ­های‌ خرید را کاهش‌ دهد.

3- کاهش‌ هزینه‌های‌ بلند مدت:

به‌ این‌ فکر کنید که‌ سازمان و کسب‌ و کار چه‌ میزان هزینه‌ برای‌ ذخیره­ سازی‌ و مدیریت‌ کلمات عبور خرج انجام می‌دهد؛ این‌ موضوع شامل‌ مدت زمانی‌ که‌ تیم‌ IT برای‌ ریست‌ کردن کلمه‌ عبور و منطبق‌ ساختن‌ آنها با الزامات قانونی‌ همواره در حال تغییر ذخیره­ سازی‌ کلمات عبور اختصاص می‌دهد، می‌باشد. از منظر مقیاس­ پذیری‌، این‌ روش در مقایسه‌ با روش­ های‌ سنتی‌ و مبتنی‌ بر گذرواژه احراز هویت‌، برتری‌ دارد. این‌ بدین‌ علت‌ است‌ که‌ شرکت‌ها و سازمان ­ها نیازی‌ به‌ پشتیبانی‌ و مدیریت‌ اطلاعات ورود به‌ حساب کاربری‌ کاربران، ندارند. این‌ روش، یک‌ فرآیند ساده تر احراز هویت‌ را فراهم‌ می‌سازد که‌ این‌ موضوع می‌تواند به‌ سازمان­ ها در کنترل هزینه‌ها (با توجه‌ به‌ گسترده­تر شدن سازمان و نیز افزایش‌ تعداد کاربران آن) کمک‌ نماید؛ روش احراز هویت‌ بدون گذرواژه می‌تواند به‌ میزان قابل‌ ملاحظه‌ای‌، حجم‌ درخواست‌های‌ پشتیبانی‌ را کاهش‌ دهد که‌ شامل‌ درخواست‌هایی‌ پیرامون ریست‌ کردن کلمه‌ عبور و رفع‌ سایر مشکلات مربوط به‌ آن می‌باشد؛ این‌ موضوع، منجر به‌ کاهش‌ هزینه‌های‌ مربوط به‌ پرسنل‌ بخش‌ پشتیبانی‌ و نیز سایر هزینه‌های‌ عملیاتی‌ خواهد شد. بهره ­گیری‌ از روش احراز هویت‌ بدون گذرواژه، منجر به‌ کاهش‌ و یا حذف هزینه‌ هایی‌ نظیر به‌ خاطر سپردن کلمات عبور، ریست‌ کردن کلمات عبور گم‌شده و یا فراموش شده و یا نگرانی‌های‌ موجود پیرامون قواعد جدید تطبیق‌، گردد.

4- افزایش‌ رضایت‌ کاربر:

تجربه‌ کاربری‌، در زمان ایجاد و شکل‌گیری‌ هر برنامه‌ای‌ که‌ برای‌ رفع‌ نیازهای‌ وی‌ طراحی‌ می‌شود، موضوعی‌ مهم‌ به‌ شمار می‌رود. در مقایسه‌ با روش ­های‌ سنتی‌ احراز هویت‌، راه ­اندازی‌ روش احراز هویت‌ بدون پسورد، ساده­ تر انجام می‌شود. در این‌ روش، فرآیند User onboarding در مقایسه‌ با روش زمان­بر تنظیم‌ کلمه‌عبور که‌ به‌ شدت برای‌ کاربران آزاردهنده است‌، ساده و کارآمدتر می‌شود. سازمان ها می‌ توانند با حذف فرآیند چند مرحله‌ای‌ ایجاد کلمات عبور سخت‌ و وارد کردن آنها در هر بار ورود به‌ حساب کاربری‌ خود، ریسک‌ ناشی‌ از عدم انجام امور مورد انتظار از کاربران به‌ واسطه‌ آزاردهنده بودن فرآیند احراز هویت‌ را کاهش‌ دهند.

بهترین‌ بهروش­های‌ احراز هویت‌ بدون گذرواژه:

سازمان­ها باید آمادگی‌ لازم برای‌ مقابله‌ با چالش‌های‌ موجود پیرامون پیاده سازی‌ فناوری‌ احراز هویت‌ بدون رمزعبور را داشته‌ باشند. بدون برنامه‌ریزی‌ صحیح‌ و کافی‌، شانس‌ اتخاذ تصمیمات اشتباه برای‌ پیاده ­سازی‌ این‌ فناوری‌، وجود دارد که‌ این‌ موضوع، آسیب‌پذیری‌های‌ بیشتری‌ برای‌ سازمان در پی‌ خواهد داشت‌.

فاکتورهای‌ مالکیتی‌:

بهترین‌ بهروشهای‌ موجود در این‌ حوزه، شامل‌ موارد زیر می‌باشد:

• استفاده از یک‌ نرم ­افزار احرازهویت‌ معتبر
• پذیرش آخرین‌ کد OTP
• به‌ حداقل‌ رساندن تعداد تلاش های‌ ناموفق‌ و نیز محدودسازی‌ زمان اعتبار یک‌ کد

فاکتورهای‌ بیومتریک‌:

• کاربران باید داده های‌ مربوط به‌ اثرانگشت‌ و یا چهره خود را به‌ اشتراك بگذارند
• داشتن‌ گزینه‌ جایگزین‌ برای‌ مواقعی‌ که‌ فرآیند احراز هویت‌، به‌ درستی‌ انجام نمی‌شود.
• استفاده از خصیصه‌های‌ بیومتریکی‌ نظیر اسکن‌ رگ­ های‌ کف‌ دست یا شناسایی‌ طرز راه رفتن‌

Magic Links:

در زمان مواجهه‌ با لینک‌های‌ تحت‌ عنوان Magic Links، نیاز است‌ که‌ سنجه‌های‌ امنیتی‌ زیر را در نظر بگیریم‌:

• حصول اطمینان از اینکه‌ سرویس‌ ارسال ایمیل‌، قادر به‌ ارسال سریع‌ این‌ قبیل‌ لینک‌ها است‌؛ این‌ موضوع از این‌ جهت‌ مهم‌ است‌ که‌ ما علاقه‌ای‌ به‌ این‌ نداریم‌ که‌ لینک‌های‌ ارسال شده، به‌ پوشه‌ Spam منتقل‌ شوند و در ارسال ایمیل‌ تأخیر به‌ وجود آید.
• لینک‌هایی‌ باید ارائه‌ گردند که‌ یک‌ بار مصرف بوده و پس‌ از یک‌ بازه زمانی‌ مشخص‌، منقضی‌ می‌شوند.
• استفاده از احراز هویت‌ چندعاملی‌ برای‌ حصول اطمینان از هویت‌ کاربر
• جلوگیری‌ از Message Threading با همکاری‌ با ارائه‌ دهنده خدمات ایمیل‌