بحران هویت رمزعبور،۲۰۲۴ سال تحقق کدام روش‌ها است؟

به گزارش پیوست، سالانه گزارش و آمارهای متعدی درباره ضعف گسترده رمزهای عبور انتخابی اکثر کاربران منتشر می‌شود. یکی دیگر از راه‌های نفوذ به سیستم اطلاعاتی حملات ساییبری به شبکه است که این مورد نیز حاکی از ناکارآمدی سیستم امنیتی حساب‌ها دارد. طبق تحقیقات Outpost24 هنوز هم رایج‌ترین رمزهای عبور «12345»،«Admin»،«1234»،« 12345678» و «Pasword» است. پس جای تعجب نیست که استفاده از اعتبارنامه‌های سرقت شده یکی از اصلی‌ترین راه‌های دسترسی مهاجمان به یک سازمان باشد. لازم به ذکر است که بیش از نیمی (۵۴%) از تمام حملات در سال گذشته با ورود به سیستم به خطر افتاده آغاز شده است.

MFA، راهکاری برای ارتقا امنیت

احراز هویت چندعاملی(MFA) یکی از اساسی‌ترین مراحل مدیریت هویت است. کارشناسان این حوزه هشدار می‌دهند که استفاده از این روش در تحکیم و محافظت از اطلاعات کاربران موثر و کارآمد است.

در این روش،‌کاربران باید بیش از یک نام کاربری و رمزعبوری که معمولا از طریق اس‌ام‌اس ارسال می‌شود، رمزعبور یکبار مصرف(OTP) که به ایمیل فرستاده می‌شود و یک USB یا برنامه احراز هویت یا احراز هویت بیومتریک ارائه دهند.

طبق گفته آژانس امنیت سایبری و امنیت زیرساخت(CISA) احراز هویت چندعاملی موجب ارتقای امنیت می‌شود. اگر یک اعتبارنامه در معرض خطر قرار بگیرد، کاربران غیرمجاز قادر به برآورده کردن الزامات احراز هویت دوم نخواهند بود. حتی امکان دسترسی به فضای فیزیکی هدف، دستگاه محاسباتی، شبکه یا پایگاه داده نخواهند داشت.

اعتماد صفر در راه واقعی شدن

اعتماد صفر(Zero trust) یا حداقل دسترسی به امتیاز یکی دیگر از روش‌های نوظهوری است که پیش‌فرض آن تهدید خواندن ورود هر دفعه کاربر است. کاربران در طول مدتی که در یک شبکه یا سیستم حضور دارند باید به‌طور مستمر خود را تایید کنند و تنها در صورتی که نیاز دارند می‌توانند به اطلاعات مربوطه دسترسی پیدا کنند.

سیستم‌های Zero trust تمامی ترافیک‌های شبکه را ثبت و بررسی می‌کند. این سیستم براساس سطح امتیازات و خط‌مشی‌های امنیتی شرکت مربوطه به کاربران در مراحل مختلف دسترسی می‌دهد. همچنین این روش هر دستگاه، شبکه و اتصال را بر اساس سیاست‌ها و زمینه‌ها از نقاط داده متعدد تایید می‌کند.

با رشد فزاینده سیستم‌های «گرین فیلد» که ساخته هوش مصنوعی است، کارشناسان می‌گویند سال ۲۰۲۴ سالی است که Zero trust  به واقعیت تبدیل می‌شود.

جان روز، مدیر ارشد فناوری  Dellدر این باره می‌گوید:« سال ۲۰۲۳ صرف صحبت در مورد مفهوم اعتماد صفر و اهمیت آن بر امنیت سایبری شد. در سال ۲۰۲۴ این مفهوم از یک کلمه کلیدی و شعار به یک فناوری واقعی با استانداردهای واقعی تبدیل و گواهی‌نامه‌هایی برای شفاف‌سازی آنچه اعتماد صفر است و نیست منتشر خواهد شد.»

تمدید زمان دسترسی محدود و موقت

گسترش اعتماد صفر، دسترسی فقط در زمان(JIT) است که دسترسی موقت و محدود به زمان را تنها در صورت نیاز برای کار خاصی اعطا می‌کند.

ZIuri پلتفرم مدیریت SaaS در این باره توضیح می‌دهد:« دسترسی در لحظه به درخواست کاربر فراهم شده و پس از اتمام زمان تعیین شده یا انجام وظیفه، به‌صورت خودکار لغو می‌شود.»

مدیریت دسترسی ممتاز(PAM) مبتنی بر سیاست‌ها و قوانین دسترسی است و روش‌های تایید مانند توکن‌های موقت را شامل می‌شود.

کاربران درخواست دسترسی به یک نمونه، دستگاه‌های ماشین مجازی خاصی را دارند.

بی‌نیازی به رمزعبور با کلیدهای عبور

با توجه به ساختار بدون رمزعبور در آینده‌ای نزدیک، کلیدهای عبور اعتبار دیجیتالی‌ای است که به کاربران اجازه می‌دهد بدون نیازمندی به رمزعبور حساب‌های آنلاین ایجاد کنند.

طبق گفته گوگل:« کلیدهای عبور(Passkeys) این امکان را برای کاربران فراهم می‌آورد که دیگر بدون نیاز به وارد کردن نام کاربری، رمزعبور یا هرگونه فاکتور هویتی، احراز هویت انجام شود.»

کلیدهای عبور از APIهای احراز هویت وب(WebAuthn) به‌طور مشترک توسط اتحادیه صنعت FIDO و کنسرسیوم وب جهانی(W3C) استفاده می‌کند.

بنا به گفته شرکت مدیریت رمزعبور 1Password کلیدهای عبور به‌گونه‌ای تعیین شده‌اند که با هم هماهنگ شوند و برای موفقیت احراز هویت به هر دو قطعه کلید عمومی و خصوصی نیاز است.

کلیدهای عبور تعیین می‌کند که آیا کاربر همان شخصی است که ادعا می‌کند یا نه. این کلیدها را می‌توان توسط وب‌سایت‌ها یا برنامه‌ها مشاهده کرد در حالی که کلیدهای خصوصی مخفی باقی می‌ماند. این کلیدها هرگز با سایت‌هایی که کاربران می‌خواهند از آن بازدید یا در سرور ذخیره کنند به اشتراک گذشته نمی‌شود.

هنگامی که کاربران از وبسایت‌های پشتیبان کلیدهای عبور بازدید می‌کنند، یک حساب کاربری ایجاد کرده و گزینه‌ای را انتخاب می‌کنند که به جای رمزعبور از طریق کلید عبور خواه به وسیله تلفن، رایانه، تبلت یا هر سیستم دیگر حساب آن‌ها را ایمن کند.

در نوبت بعد که کاربر وارد سیستم می‌شود،‌ احراز هویت وبسایت کاربر را وادار به تکمیل امضایی می‌کند که در برابر کلید عمومی تایید شده است.

استیو وون، مدیر ارشد شرکت 1Password پیش‌بینی کرده است که در سال ۲۰۲۴ شاهد ورود ۲ یا سه ارائه‌دهنده خدمات اصلی به رمزعبور خواهیم بود. او گفت:« سال ۲۰۲۲ سال گذر از رمزعبور و سال ۲۰۲۳ سال ریسک اختیاری با رمزعبور بود.»

با این حال هنوز پنج سال طول می‌کشد تا احراز هویت از طریق کلید عبور به‌طور گسترده‌تر پذیرفته شود.

مایل کراندل، مدیرعامل پلتفرم مدیریت رمزعبور Bitwarden، هشدار داده است که این روش احراز هویت در عین حالی که شامل مزایا است، چالش‌هایی را نیز دارد. ادغام با سیستم‌های قدیمی و آموزش کاربران از جمله چالش‌هایی است که باید مورد توجه قرار بگیرد.

او در ادامه افزود:« رویکرد متوازنی که هم امنیت و هم تجربه کاربر را در اولویت قرار دهد، کلید پیشبرد این اقدام امنیتی است.»

بیومتریک، دور از دسترس، سخت در برابر سرقت

احراز هویت بیومتریک و اتکا به ویژگی‌های منحصر به‌فرد به جای تمام روش‌های احراز هویت در آینده ادعای پررنگی است.

این می‌تواند شامل تشخیص صدا، صورت، عنبیه و شبکیه چشم، اثر انگشت و اسکن کف دست باشد.

محققان همچنین ادعا می‌کنند شکل گوش افراد، نحوه نشستن و راه رفتن، رگ‌ها، حالات چهره و حتی بوی بدن جزو مشخصه‌های اختصاصی هر فرد است که می‌تواند در ساز و کار احراز هویت به‌کار رود.

طبق گفته شرکت امنیت سایبری Kaspersky، هویت بیومتریک منحصربه‌فرد هر فرد می‌تواند برای جایگزینی یا حداقل تقویت سیستم‌های رمزعبور رایانه‌ها، تلفن‌ها،‌ اتاق‌ها و ساختمان‌ها با دسترسی محدود استفاده شود.

سیستم‌های پیشرفته از بینایی کامپیوتری، سنسورها و اسکنرها برای ثبت ویژگی‌های منحصربه‌فرد یک فرد استفاده می‌کند. در ادامه از هوش مصنوعی و یادگیری ماشین برای اسکن اطلاعات در یک پایگاه داده ذخیره شده برای تایید یا رد دسترسی استفاده می‌کند.

در حالی که هنوز نگرانی‌های امنیتی، حفظ حریم خصوصی و نظارتی زیادی در رابطه با استفاده از روش احراز هویت بیومتریک وجود دارد اما کارشناسان مزیت بارز آن را بی‌نیازی از به‌خاطر سپردن رمزعبور که احتمال گم شدن و سرقت آن را به طرز قابل توجهی کاهش می‌دهد، می‌دانند.

منبع: venturebeat