رمز عبور ( password )

رمزعبور چیست؟

5 مه، روز جهانی رمز عبور است – فرصتی عالی برای صحبت در مورد یکی از موضوعات مورد علاقه من، رمزهای عبور قوی. گذرواژه‌های ضعیف یا استفاده نامناسب از گذرواژه، به محرک اصلی نقض‌ها تبدیل شده‌اند. مهاجمان سایبری به طور فعال گذرواژه‌های در معرض خطر را هدف قرار می‌دهند و نه تنها برای دسترسی به سازمان‌ها، بلکه برای جابجایی و عبور بی‌صدا سازمان‌ها تا بتوانند اهداف خود را بدون شناسایی به انجام برسانند. به این ترتیب، سازمان‌ها راه‌حل‌های فنی و آموزشی را پیاده‌سازی می‌کنند تا مطمئن شوند کارکنان نه تنها از رمزهای عبور قوی استفاده می‌کنند، بلکه این کار را به شیوه‌ای امن انجام می‌دهند. با این حال، در دنیای امروزی رمزهای عبور ایمن دیگر کافی نیستند زیرا هنوز هم نشان دهنده یک نقطه شکست هستند. حتی اگر طولانی‌ترین و ایمن‌ترین رمز عبور جهان را داشته باشید، اگر آن رمز عبور در معرض خطر باشد، مهاجمان سایبری به حساب، سیستم و داده‌های شما دسترسی کامل دارند.

یکی از مؤثرترین و اثبات‌شده‌ترین رویکردها برای احراز هویت قوی، چیزی به نام تأیید اعتبار چند عاملی یا به اختصار MFA است. MFA زمانی است که از چندین عامل احراز هویت قبل از اعطای دسترسی استفاده می شود. به این ترتیب، اگر رمز عبور شما به خطر بیفتد، حساب، سیستم و داده‌های شما همچنان ایمن هستند زیرا عامل یا عوامل دیگر همچنان از شما محافظت می‌کنند. MFA در حال تبدیل شدن به یک راه حل محبوب است، اما ممکن است سردرگمی زیادی در مورد نحوه عملکرد MFA و همچنین پیاده سازی های مختلف آن وجود داشته باشد. به این ترتیب، در اینجا یک توضیح کوتاه برای آماده سازی بهتر شما برای آموزش نیروی کار خود در مورد این رویکرد بسیار موثر برای احراز هویت قوی وجود دارد.

MFA چیست؟

MFA که مخفف عبارت Multi-Factor Authentication است، یکی از قوی ترین روش های احراز هویت در نظر گرفته می شود. مایکروسافت تخمین می زند که MFA 99 درصد از حملات مبتنی بر احراز هویت را شکست می دهد. در حالی که MFA بی‌خطر نیست، یکی از مؤثرترین گام‌هایی است که سازمان‌ها می‌توانند برای کاهش چشمگیر خطر نقض بردارند. در ساده‌ترین سطح خود، MFA سطوح چندگانه احراز هویت است که در آن یک فرد نه تنها با یک رمز عبور (چیزی که می‌داند)، بلکه نوعی کد یا دستگاه منحصربه‌فرد را احراز هویت می‌کند. حتی اگر رمز عبور آنها به خطر بیفتد، حساب و داده های آنها همچنان امن است زیرا مهاجم سایبری به فرم دوم احراز هویت دسترسی ندارد. متأسفانه، اینجاست که سادگی MFA متوقف می شود و همه چیز می تواند کمی پیچیده شود.

اول، اصطلاحات مختلفی برای توصیف MFA (تأیید هویت چند عاملی) وجود دارد. برخی از سازمان ها یا فروشندگان آن را تایید دو مرحله ای، احراز هویت دو مرحله ای (2FA)، رمز عبور یکبار مصرف (OTP) یا احراز هویت قوی می نامند. همه دلالت بر یک چیز دارند، احراز هویت به دو یا چند شکل احراز هویت نیاز دارد – معمولاً یک رمز عبور و چیز دیگری مانند یک کد منحصر به فرد ارسال شده یا تولید شده توسط دستگاه تلفن همراه شما.

اجرای MFA

علاوه بر این، راه های متعددی برای پیاده سازی MFA وجود دارد. در حالی که فهرست زیر به هیچ وجه جامع نیست، برخی از رایج ترین روش ها در زیر گنجانده شده است.

کد پیامک: یک کد یکبار مصرف و منحصر به فرد از طریق پیامک به دستگاه تلفن همراه شما ارسال می شود. سپس از این کد به همراه رمز عبور خود برای احراز هویت و ورود به سیستم استفاده کنید. این پرکاربردترین روش است، احتمالاً به این دلیل که راه‌اندازی آن آسان‌تر است: یک کاربر به سادگی باید شماره تلفن همراه خود را در حساب خود ثبت کند تا زمانی که سعی می‌کند با نام کاربری و رمز عبور خود وارد سیستم شوید، یک کد به آن ارسال شود. دستگاه تلفن همراه به عنوان وسیله ثانویه احراز هویت عمل می کند. اگرچه این رویکرد آسان تر است، اما خطری نیز دارد. اگر شخصی بتواند شماره تلفن شما را تغییر مسیر دهد یا کنترل آن را در دست بگیرد (مثلاً از طریق تعویض سیم کارت)، مهاجم کد منحصر به فرد شما را دریافت خواهد کرد. در روش حمله دیگری، مهاجمان سایبری وانمود می‌کنند که یک بانک یا پشتیبان فناوری اطلاعات هستند و قربانیان را فریب می‌دهند تا از این کد منحصر به فرد صرف نظر کنند و سپس به سرعت از کد برای ورود به عنوان قربانی استفاده می‌کنند.

تولیدکننده کد: دستگاه تلفن همراه شما دارای یک برنامه تلفن همراه احراز هویت (مانند Google Authenticator) است که کدهای یکبار مصرف منحصر به فرد را برای شما تولید می کند. شما برنامه تلفن همراه را در دستگاه تلفن همراه خود دانلود می کنید، سپس برای فعال کردن MFA برای حساب های خود، برنامه احراز هویت را با هر حساب همگام می کنید. این برنامه های احراز هویت می توانند صدها حساب را به طور همزمان پشتیبانی کنند. روش دیگر این است که یک توکن فیزیکی برای شما صادر می شود که کدهای یکبار مصرف و منحصر به فرد را برای شما تولید می کند. استفاده از اپلیکیشن موبایل یا توکن فیزیکی برای تولید کدها امن‌تر از کدهای پیامکی در نظر گرفته می‌شود، زیرا هیچ راهی برای مهاجمان سایبری وجود ندارد که شماره تلفن شما را تصرف کنند. با این حال، این روش همچنان در برابر مهاجمان سایبری که افراد را فریب می دهند یا آنها را فریب می دهند تا کد منحصر به فرد را کنار بگذارند، آسیب پذیر است.

اعلان‌های احراز هویت: برخی از برنامه‌های احراز هویت تلفن همراه (مانند Authenticator مایکروسافت) نیز این کار را به گونه‌ای انجام می‌دهند که وقتی وارد وب‌سایت‌های خاصی می‌شوید، به‌جای نیاز به کد یک‌بار استفاده، وب‌سایت یک درخواست احراز هویت را به برنامه تلفن همراه شما ارسال می‌کند و از شما می‌پرسد که آیا این کار را انجام می‌دهید یا خیر. برای ورود به سیستم اگر چنین است، شما درخواست احراز هویت را از طریق دستگاه خود تأیید می کنید. این رویکردی است که معمولاً در اکوسیستم اپل استفاده می شود. این رویکرد ایمن‌تر در نظر گرفته می‌شود زیرا هیچ کدی برای مهاجمان سایبری وجود ندارد تا افراد را فریب دهند. با این حال، اگر یک مهاجم سایبری به رمز عبور شما دسترسی پیدا کند و سعی کند به عنوان شما وارد سیستم شود، می‌تواند تا زمانی که درخواست احراز هویت را در تلفن همراه خود تأیید کنید، به احراز هویت ادامه دهد.

FIDO: یک دستگاه فیزیکی به شما داده می شود که به لپ تاپ یا رایانه شما متصل می شود و در وب سایت هایی که مرتباً وارد آن می شوید ثبت می شود. هنگامی که دستگاه به رایانه شما (از طریق درگاه USB یا اتصال از طریق فناوری NFC) وصل می شود و از این وب سایت ها بازدید می کنید، دستگاه شما را احراز هویت می کند. Yubikey یک نمونه رایج در دسترس عموم از چنین دستگاه فیزیکی است که از استاندارد FIDO پشتیبانی می کند. این روش امن‌ترین روش احراز هویت است، زیرا هیچ کد یا درخواست احراز هویت منحصربه‌فردی وجود ندارد و مهاجمان سایبری چیزی برای فریب یا فریب قربانیان خود ندارند. بسیاری این را بهترین راه حل مقاوم در برابر فیشینگ می دانند. با این حال، این روش همچنین می‌تواند پیچیده‌ترین روش برای پشتیبانی سازمان‌ها باشد و بسیاری از وب‌سایت‌ها هنوز از استاندارد FIDO برای احراز هویت پشتیبانی نمی‌کنند.

آموزش MFA

بنابراین، سازمان شما باید از چه رویکردی حمایت کند؟ در بیشتر موارد، این موضوع توسط تیم امنیتی یا مدیریت ریسک شما تصمیم گیری می شود. صرف نظر از اینکه کدام روش را انتخاب می کنید، هر یک از آنها بهتر از رمزهای عبور به تنهایی است. برای اجرای موثر هر شکلی از MFA، اهداف کلیدی شما عبارتند از:

نحوه بهره‌مندی افراد از این روش را تکرار کنید، زیرا می‌تواند به دفاع در برابر اکثر حملات مبتنی بر احراز هویت کمک کند.

سعی کنید مفهوم MFA را تا حد امکان ساده نگه دارید. اصطلاحات و انواع مختلفی از MFA در اطراف وجود دارد که معمولاً افراد گیج می شوند. آنها را مغلوب نکنید; فقط آنچه را که باید بدانند به آنها بیاموزید.

تاکید کنید که چگونه MFA نه تنها یک راه حل در محل کار است، بلکه راه حلی است که مردم باید در خانه برای محافظت از مهمترین حساب های خود (بانک، بازنشستگی، سرمایه گذاری، ایمیل شخصی و غیره) اجرا کنند.

اگر می خواهید سازمان خود را در مورد نحوه استفاده از MFA و مزایای انجام آن آموزش دهید، یکی از بهترین راه ها برای آماده سازی خود این است که خودتان شروع به استفاده از آن کنید. MFA را فقط برای حساب های کاری خود تنظیم نکنید، بلکه آن را برای حساب های شخصی خود مانند حساب شخصی جیمیل، حساب آمازون یا سایر سایت هایی که از آن پشتیبانی می کنند، فعال کنید. بدین ترتیب نه تنها با این فناوری بیشتر آشنا می شوید، بلکه با روش ها و رویکردهای مختلف پیاده سازی MFA نیز آشنا می شوید.