احراز هویت چندعاملیMFA) Multi-factor Authentication) چیست
احراز هویت چندعاملی Multi-factor Authentication یک روش احراز هویت است که طی آن از کاربر خواسته میشود دو یا چند عامل احراز هویت را برای دسترسی به منابع استفاده نماید. MFA یکی از اجزای اصلی پالیسی مدیریت دسترسی و هویت قدرتمند است. در این روش بهجای استفاده صرف از نام کاربری و رمز عبور عوامل دیگری وارد بازی شده تا احراز هویت از طریق کانالهای متفاوتی انجام شود تا از بروز حملات سایبری پیشگیری نماید.
انواع روشهای احراز هویت چندعاملی
توکنهای سختافزاری رمز یکبارمصرف OTP
ابزارهای مبتنی بر سختافزار هستند که با استفاده از کلید رمزنگاریشده داخلی رمز یکبارمصرف تولید میکنند. شبیه همین کلید روی سرور وجود دارد و میتواند رمزهای مشابه توکن تولید نموده و درصورتیکه رمز دریافتی با رمزی که توسط سرور تولیدشده یکسان باشد مجوز ورود را صادر میکند.
نقاط ضعف
- رابط کاربری ضعیف و دشواری استفاده توکن
- هزینه بالای خرید و نگهداری توکن ها
- توکن ها در مقابل مهندسی اجتماعی و فیشینگ آسیبپذیر هستند
برنامههای تلفن همراه تولیدکننده رمز
اپلیکیشن هایی هستند که برای تولید رمز یکبارمصرف طراحی و تولیدشدهاند، عملکرد آنها شبیه توکن های سختافزاری است با این تفاوت که نیاز به سختافزار جداگانه وجود ندارد، این مزیت اگرچه باعث کاهش هزینههای خرید توکن میشود اما برخی از معایب را نیز در پیدارند:
- کاربر باید بین نرمافزارهای مختلف دائماً جابهجا شوند
- وابستگی به شرکتهای ثالث تأمینکننده نرمافزار
- خطر برنامههای مخرب تولیدشده جهت سرقت رمز از نرمافزار
احراز هویت مبتنی بر پیام کوتاه
یکی از کمهزینهترین روشهای احراز هویت است که کاربر نه نیاز به در اختیار داشتن سختافزار و نه نصب نرمافزار روی تلفن همراه خود دارد. تنها کافی است که رمز یکبارمصرف را از طریق تلفن همراه دریافت نماید.
نقاط ضعف
- معمولاً برای ورود رمز محدوده زمانی در نظر گرفت میشود و ممکن است کاربر موفق به ورود در زمان مقتضی نشود
- ضعف یا اختلال در شبکه مانع از دریافت پیامک میشود
- خطر بدافزارهایی که به صندوق پیامها دسترسی پیدا میکنند
کارتهای هوشمند رمزگذاری شده
سختافزارهایی هستند با کلیدهایی که درون یک محفظه بسیار امن قرارگرفتهاند و عملیات رمزنگاری را در زمان ورود به نرمافزار انجام میدهند. برای اتصال این کارتهای هوشمند به دستگاه ابزار ثانویهای برای خوانش اطلاعات روی کارت موردنیاز است. البته برخی از انواع کارتها توسط درگاه USB متصل میشوند.
مهمترین نقطهضعف این روش هزینههای بالای تأمین کارت و دستگاه اتصال است
افزایش چشمگیر استفاده از احراز هویت چندعاملیMFA
تعداد کل استفاده از احراز هویت چندعاملی در سال گذشته ۳۹ درصد افزایش داشته استفاده از احراز هویت بیومتریک فراتر رفته و افزایش ۴۸ درصدی را نشان میدهند.
این بررسی از تحلیل دادههای ۳۶ میلیون دستگاه با ۸۰۰ میلیون ورود ماهیانه به ۴۰۰ هزار نرمافزار متفاوت بهدستآمده است و بهخوبی نشان میدهد که چگونه سازمانها در تمام صنایع با اجرای کنترلهایی برای اطمینان از دسترسی ایمن به برنامهها، کار را از هرکجا و روی هر دستگاهی امکانپذیر میکنند.
بیومتریک در بیش از ۷۱ درصد تلفنهای همراه فعال شد، که نشاندهنده افزایش استقبال کاربران از روشهای احراز هویت غیر سنتی و دسترسی به سختافزار بدون رمز عبور است.
از آوریل ۲۰۱۹ که کنسرسیوم جهانی وب (W3C) برای اولین بار استاندارد باز را منتشر کرد، استفاده از احراز هویت وب (WebAuthn) پنج برابر افزایش یافت. WebAuthn برخلاف پایگاه داده متمرکز، بیومتریکها را قادر میسازد تا بهطور ایمن در دستگاه ذخیره و تأیید شوند.
تنظیم سیاستهای سختگیرانهتر برای تأیید هویت
اهمیت امنیت کاربر محور که الگوهای کاری کارمندان را در برمیگیرد تا منابع را در دسترس ولی دور از دسترس عوامل مخرب نگه دارد، توسط فهرست اخیر کار ترکیبی سیسکو تقویتشده است. این گزارش نشان داد که درحالیکه VPN و دسترسی از راه دور ایمن در زمان شروع همهگیری افزایش یافت، تلاشهای جعلی برای دسترسی ۲٫۴ برابر در همان دوره زمانی افزایش یافت و ۱۸ ماه بعد همچنان ادامه یافت.
سازمانها به سمت استراتژی بدون رمز عبور حرکت میکنند
دور شدن از گذرواژهها تجربه ورود به سیستم را برای اکثریت قریب بهاتفاق کاربران بهبود میبخشد و بهنوبه خود منجر به امنیت قویتر میشود. بر اساس یک نظرسنجی جدید از تصمیمگیرندگان جهانی فناوری اطلاعات، بیش از نیمی از سازمانها در حال برنامهریزی برای اجرای یک استراتژی بدون رمز عبور هستند. چهلوشش درصد از پاسخدهندگان گفتند که مسائل امنیتی مربوط به اعتبارنامههای به خطر افتاده، ناامیدکنندهترین یا نگرانکنندهترین جنبه برخورد با رمزهای عبور در محیط آنها است.
دیو لوئیس، مشاور جهانی CISCO گفت: اکنون به نقطهای رسیدهایم که تجربه کاربر بهخودیخود یک کنترل امنیتی است.
شرکتها در حال حرکت به سمت روشهای جدید و مؤثرتر برای کنترل دسترسی هستند و در عمل مشاهده میکنند که چگونه برخورد دموکراتیک با امنیت|، میتواند راه درازی در توانمندسازی نیروی انسانی برای تمرکز بر شایستگیهای اصلی خود بدون قربانی کردن امنیت داشته باشد.»
احراز هویت چندعاملی بالاترین شانس را در امنیت اطلاعات ایجاد میکند
توضیح میدهیم چرا احراز هویت چندعاملی بهعنوان یکی از بهترین راهکارهای دفاعی در مقابل خطرات حملات سایبری و جلوگیری از مجرمان در سوءاستفاده از دادههای کاربران است.
رمز عبورهای ضعیف و تکراری یکی از عادات مخرب کاربران است که دلیل اصلی ضعف امنیتی، و لو رفتن اطلاعات سازمانهای است. که بعضاً ممکن است برای سازمان میلیونها دلار خسارت به بار بیاورد.
بر اساس تحقیقی که توسط Security.org صورت گرفته در ایالاتمتحده یکسوم افراد اطلاعات کاربری خود را در اختیار دیگران قرار میدهند، و یا از یک نام کاربری و رمز برای بیشتر از یک حساب کاربری استفاده میکنند.
مجرمان سایبری امروزه ابزارهایی در اختیاردارند که میتوانند ظرف چند ثانیه رمزهای خیلی پیچیده را رمزگشایی کنند. به همین دلیل استفاده از احراز هویت چندعاملی از اهمیت بیشتری برای تأیید هویت کاربران برخوردار میشود.
استفاده از MFA یکلایه امنیتی مضاعف در مقابل نقش آفرینان فرصتطلب تهدیدات سایبری برای سو استفاده از اطلاعات حساب کاربری قرار میدهد، حتی اگر این اطلاعات توسط بدافزار یا در کمپینهای فیشینگ به سرقت رفته باشند بازهم احراز هویت چندعاملی میتواند بهعنوان یک سد دفاعی قوی عمل نماید.
تحول چشمانداز امنیت سایبری
حملات فیشینگ تنها در سال گذشته میلادی ۱۱ درصد افزایش داشتهاند بهتبع این افزایش سوءاستفاده و بهرهبرداری از اطلاعات هویتی کاربران نیز افزایشیافته است.
پژوهشگران موسسه IBM دریافتند که هزینههای نقض دادهها به بالاترین حد خود در ۱۷ سال گذشته رسیده است و بهطور متوسط ۴٫۲۴ میلیون دلار برای هر حادثه برای شرکتها هزینه دارد. گزارش دیگری از مرکز تخصصی بررسی سرقت اطلاعات هویتی بیان میکند که تعداد آسیبهای امنیتی در سال ۲۰۲۱ بیش از ۶۸ درصد افزایشیافته و رکورد جدیدی را ثبت کرده است.
همانطور که چشمانداز امنیت سایبری در حال تکامل است، بازیگران تهدید نیز درحالتوسعه طرحهای مهندسی اجتماعی پیچیدهتر برای دور زدن پروتکلهای امنیتی، ابزارها و خدمات هستند که شناسایی و دفاع در برابر تهدیدات سایبری را برای کاربر معمولی دشوارتر میکند.
حفاظت از دادهها نهتنها امنیت را توسعه میبخشد بلکه منافع مادی را به همراه دارد یافتههای تحقیق اخیری که توسط سیسکو صورت گرفته شرکتهایی که روی امنیت سایبری خود سرمایهگذاری میکنند منافعی مانند افزایش چابکی، بهبود مزایای رقابتی و اعتماد بالاتر مشتریان را دریافت میکنند.