احراز هویت بدون رمز عبور

احراز هویت بدون رمز عبور

احراز هویت بدون رمز عبور یکی از روش های احراز هویت است که در سال های اخیر بسیار مورد توجه قرار گرفته است. در این مقاله به بررسی چالش های امنیتی رمزهای عبور و مزایای احراز هویت بدون رمز عبور می پردازیم.

احراز هویت بدون رمز عبور چیست؟

احراز هویت بدون رمز عبور ، فرآیند تأیید هویت کاربر بدون نیاز به ارائه رمز عبور است. در این روش کاربر به جای ارائه رمز عبور برای اثبات هویت خود از روش های جایگزین مانند اثبات عامل مالکیت توسط برنامه های احراز هویت تلفن همراه، توکن های سخت افزاری و رمز یکبار مصرف و یا ویژگی های منحصر به فرد بیومتریک مانند اثرانگشت استفاده می کند.

احتمالا شما نیز در فعالیت های روزمره خود از انواع مختلفی از احراز هویت بدون رمز عبور استفاده کرده اید. ورود به برنامه ها از طریق FaceID در سیستم عامل iOS ، تایید اعتبار با اثر انگشت در Android  و ورود به لپ تاپ از طریق Windows Hello از این موارد است.

اما چرا استفاده از این روش ها امروزه بیشتر مورد توجه قرار گرفته است؟

مشکلات رمزهای عبور

گذرواژه ها به تجربه کاربر آسیب می رسانند

بر اساس آمار موجود، یک کاربر عادی اینترنت در آمریکا حدود 150 حساب آنلاین دارد که به گذرواژه نیاز دارند و پیش بینی شده است که تا سال 2022  این عدد به 300 حساب خواهد رسید. نگهداری و رهگیری تمامی این حساب ها چالش بزرگی برای یک کاربر معمولی است. به علاوه تفاوت نیاز به پیچیدگی رمز عبور نسبت به هر برنامه با توجه به کاربرد آن این چالش را بزرگ تر می کند.

بنابراین به مرور زمان یاد آوری این تعداد رمز عبور برای انسان سخت تر شده و به طور جدی مانع از بهره وری و تجربه کاربر می شود.

گذرواژه ها می توانند امنیت کاربر را به خطر بیندازند

رمزهای عبور به طور ناخواسته از راه های زیر به امنیت کاربر آسیب می زنند:

گذرواژه ها روشی رایج برای حملات هویتی هستند

براساس گزارش تحقیقات نقض داده های Verizon در سال 2018 ، 81٪ از نقض های مربوط به هک شدن ناشی از رمزهای عبور ضعیف ، به سرقت رفته یا دوباره استفاده شده است.

تهدیداتی مانند حملات مرد میانی و حملات انسان در مرورگر با تقلید از یک صفحه ورود به سیستم و تشویق کاربر به وارد کردن رمزهای عبور خود ، از  اطلاعات کاربران سواستفاده می کنند. ارائه دهندگان خدماتی با نیاز به رمز عبور ، ناخواسته کاربران را در معرض خطر بیشتری برای این نوع تهدیدها قرار می دهند.

استفاده مجدد از گذرواژه در بین کاربران بسیار شایع است و این موضوع خطر downstream را افزایش می دهد.

در نظرسنجی Okta مربوط به رمز عبور ، 34٪ از افراد می گویند که از رمزهای عبور مشابه برای چندین حساب استفاده می کنند. اما هنگامی که نقض عمده داده ها رخ می دهد ، مانند حمله Marriott International (383 میلیون کاربر تحت تأثیر قرار گرفتند) یا MyFitnessPal (150 میلیون کاربر تحت تأثیر قرار گرفتند) ، مهاجمان اغلب نام کاربری و رمز عبور این حساب های به خطر افتاده را در وب تاریک خریداری می کنند.

بنابراین مهاجمان می توانند حملات پر کردن اعتبار نامه را در برابر کاربران در معرض خطر قرار دهند ، و مقادیر زیادی از این اعتبارات به خطر افتاده را به طور دسته جمعی روی حساب های دیگر اعمال می کنند تا ببینند به چه برنامه ها و سرویس های دیگری می توانند دسترسی پیدا کنند. اگر کاربران شما از گذرواژه ها استفاده مجدد می کنند ، در معرض خطر بیشتری برای پر کردن اطلاعات کاربری قرار دارند.

وقتی نقض داده رخ می دهد ، عواقب آن می تواند فاجعه بار باشد. متوسط هزینه رکورد به سرقت رفته 148 دلار است و کل هزینه انجام شده برای نقض داده ها به طور متوسط 3.86 میلیون دلار براورد شده است.

مزایای احراز هویت بدون رمز عبور

احراز هویت بدون رمز عبور مزایای چشمگیری از نظر امنیت و قابلیت استفاده دارد. در ادامه به برخی از این مزایا می پردازیم:

گزینه های ورود به سیستم مقاوم در برابر تهدیدات: از آنجا که هیچ رمز عبوری برای تایپ کردن وجود ندارد ، احتمال حمله فیشینگ کاهش می یابد. این مورد همچنین به این معنی است که کاربران در برابر حملات مرد میانی و سایر حملاتی که به رمزهای عبور متکی هستند ، محافظت می شوند.

امکان کنترل و مانیتورینگ برای مدیران سامانه: رمزهای عبور مورد استفاده مجدد قرار می گیرند، تحت حملات فیشینگ واقع می شوند و دزدیده می شوند. به هنگام پیاده سازی احراز هویت بدون رمز عبور، مدیران سامانه، کنترل امنیت سازمان خود را به دست گرفته و عامل های احراز هویت استفاده شده توسط هر کاربر را مورد نظارت قرار می دهند.

مقیاس پذیری: ارایه یک تجربه احراز هویت بدون رمز عبور از طریق عواملی که کاربران نهایی از قبل دارای آن هستند، مانند دستگاه تلفن همراه آنها (برنامه های بیومتریک و احراز هویت تلفن همراه) یا لپ تاپ آنها (به عنوان مثال Windows Hello و اثر انگشت در MacOS) به معنی مقیاس پذیری آسان تر برای کارمندان و مشتریان سازمان است.

کاهش هزینه مالکیت: گذرواژه ها به نظارت و نگهداری مداوم نیاز دارند (به خصوص اگر گزینه “ورود خودکار با رمز عبور” را فعال نکرده باشید). حذف گذرواژه ها و اجازه دادن به کاربران نهایی برای بازیابی حساب های خود با استفاده از عواملی که در آن ثبت نام کرده اند ، به کاهش تعداد تیکت های پشتیبانی کمک می کند.

تجربه کاربری عالی: کاربران دیگر نیازی به یادآوری و به روز رسانی ترکیبات رمز عبور پیچیده ندارند.

احراز هویت بدون رمز چیست

انواع احراز هویت بدون رمز عبور

احراز هویت با نام کاربری و گذرواژه به کاربری نیاز دارد تا چیزی را که می داند (گذرواژه) وارد کند و تأیید کند چه کسی است. اما روش های احراز هویت بدون رمز عبور به کاربری نیاز دارد تا اثبات کند که چیزی دارد (عامل مالکیت) یا چه چیزی هست (عامل وراثت) که دور زدن هر دو نسبت به روش قبل مشکل تر است.

در ادامه رایج ترین روشهای مورد استفاده برای احراز هویت از طریق دو فاکتور گفته شده آورده شده است.

بیومتریک

بسیاری از صفات جسمی کمابیش کاملاً منحصر به فرد هستند. احراز هویت بیومتریک با استفاده از این صفات منحصر به فرد فیزیکی بدون تأیید رمز ورود ، شخصی را که می گوید کیست، تأیید می کند. به عنوان مثال ، احتمال یکسان بودن دو چهره کمتر از یک در تریلیون است ، بنابراین تشخیص چهره یک روش موثر برای تأیید یک فرد است.

لینک‌های جادویی

این شکل از احراز هویت بدون رمز عبور به جای درخواست رمز عبور از کاربر از کاربر می خواهد آدرس ایمیل خود را در کادر ورود وارد کند. سپس یک ایمیل برای وی ارسال می شود که با کلیک بر روی پیوند ایمیل شده می تواند به سیستم وارد شود. این فرآیند با هر بار ورود کاربر تکرار می شود.

گذرواژه‌ها / کدهای یکبار مصرف

گذرواژه‌های یکبار مصرف (OTP) یا کدهای یکبار مصرف (OTC) مشابه پیوندهای جادویی هستند اما از کاربران می‌خواهند کدی را که شما برای آنها ارسال کرده اید (از طریق ایمیل یا از طریق پیام کوتاه) را وارد کنند. این فرآیند با هر بار ورود کاربر تکرار می شود.

اعلان های تلفن همراه

کاربران از طریق یک برنامه احراز هویت اختصاصی (به عنوان مثال Google Authenticator) یک اعلان روی دستگاه های تلفن همراه خود دریافت می کنند و برای تأیید هویت خود برنامه را از طریق آن اعلان باز می کنند.

نحوه پیاده سازی احراز هویت بدون رمز عبور

کدگزاری احراز هویت بدون رمز عبور بسیار پیچیده تر از آن است که به سادگی به تیم توسعه دهنده خود بگویید باکس ورود به سیستم را تغییر دهید. در حقیقت ، اگر جعبه ورود به سیستم شما یک کلید روشن کردن چراغ باشد ، برای بسیاری از سازمان ها ، احراز هویت بدون رمز عبور ، بیشتر شبیه سیم کشی کل خانه خواهد بود. با این حال ، ارائه دهندگان شخص ثالث پیاده سازی سریع و مطمئن تری را ارائه می دهند که ایمن و به روزتر از هر چیزی است که می تواند توسط خود سازمان پیاده سازی شود.

اینکه سازمان شما تا چه حد مصداق مثال فوق است به طراحی سیستم های موجود مدیریت هویت و دسترسی (IAM) شما بستگی دارد. اما نکته این است که اجرای آن بسیار پیچیده تر و پرهزینه تر از آنچه که تصور می شود است و اغلب به منابع اختصاصی توسعه، راهکارهای مقیاس پذیری و نگهداری برای مدت طولانی نیاز دارد.

در نتیجه ، بسیاری از سازمان ها همکاری با ارائه دهندگان هویت (مانند آتین) را انتخاب می کنند که می تواند در برخی موارد زمان اجرای احراز هویت بدون رمز عبور را برای میلیون ها کاربر کاهش دهد و همچنین بسیاری از هزینه های تعمیر و نگهداری را که متحمل می شوند را حذف نماید.

بدون دیدگاه

پیام بگذارید

© تمامی حقوق برای شرکت دانش بنیان آتین محفوظ است.