حان الوقت لمصادقة ضعيفة في شهر التوعية بالأمن السيبراني.
لطالما كانت كلمات المرور طريقة الأمان الافتراضية لحماية جميع أنواع الحسابات ، المهنية والشخصية. على الرغم من أن كلمات المرور أفضل من عدم وجود حماية على الإطلاق ، فقد ثبت أن كلمات المرور عرضة للهجمات الإلكترونية الأكثر شيوعًا اليوم وهي عرضة لعمليات الاحتيال الشائعة لسرقة بيانات الاعتماد مثل التصيد الاحتيالي ورش كلمة المرور وهجمات الرجل في الوسط (MitM). إنها بلا شك الطريقة الأقل فعالية لتأمين البيانات عبر الإنترنت.
نتيجة لذلك ، نشهد المزيد والمزيد من المؤسسات (والأفراد) يتجهون نحو المصادقة بدون كلمة مرور حيث يتم تأمين الحسابات بطرق بديلة لتركيبة اسم المستخدم وكلمة المرور التقليدية. تُنصح المؤسسات التي تتطلع إلى توجيه أمنها السيبراني في هذا الاتجاه بشدة بالنظر في اختيار حلول مصادقة قوية متعددة أو ثنائية العوامل (MFA / 2FA) للاندماج في إستراتيجيتها الشاملة للأمن السيبراني. تتطلب حلول مصادقة MFA و 2FA من المستخدم تقديم شكلين أو أكثر من أشكال التحقق من الهوية كطبقة إضافية من الأمان للسماح
وصول المستخدم.
ومع ذلك ، لا يتم إنشاء المصادقة متعددة / ثنائية العوامل متساوية. على سبيل المثال ، تعد رموز المرور لمرة واحدة (OTPs) المرسلة عن طريق الرسائل القصيرة وتطبيقات مصادقة الهاتف المحمول هي أكثر أشكال المصادقة الثنائية شيوعًا. وعلى الرغم من أن أي شكل من أشكال المصادقة الثنائية يوفر أمانًا أفضل من مجرد تركيبة اسم مستخدم وكلمة مرور ، إلا أنها عرضة للتصيد الاحتيالي وهجمات MitM وتبادل بطاقة SIM والاستيلاء على الحسابات. علاوة على ذلك ، من ناحية قابلية الاستخدام ، قد يبدو إدخال كلمة المرور لمرة واحدة أمرًا سهلاً نسبيًا ، ولكن ضاعف ذلك في عدد عمليات تسجيل الدخول والتطبيقات المستخدمة كل يوم ، وسرعان ما تتراكم الاحتكاكات. يضاف إلى ذلك ، أنه يعتمد على جهاز المستخدم الذي يتم شحنه ووجود إشارة في لحظة محددة من الوقت.
وصــل حديــثا
لم يكن تقديم أمان قوي دون المساس بإمكانية الاستخدام أكثر أهمية من أي وقت مضى مما كان عليه في عصر العمل عن بُعد. مدفوعة إلى حد كبير بالوباء ، فإن ممارسات العمل الهجينة موجودة لتبقى ، ويجب على الشركات التأكد من أن استراتيجياتها الأمنية مناسبة للغرض. وجد بحثنا لعام 2021 حول `` الأمن السيبراني في العمل من أي عصر '' أن 42٪ يشعرون بأنهم أكثر عرضة للتهديدات الإلكترونية أثناء العمل من المنزل ، مع 39٪ يشعرون بأنهم غير مدعومين من قبل تكنولوجيا المعلومات ، في حين أن 62٪ أفادوا بأنهم لم يكملوا تدريب الأمن السيبراني للعمل عن بعد.
على الرغم من التحول الزلزالي في ممارسات العمل التي شهدناها خلال العامين الماضيين ، حتى أن بعض أكبر الشركات في العالم لا تزال تكافح مع كلمات المرور وحلول MFA القديمة مثل OTPs. كما يواجه العديد منهم الآن هجمات ناجحة ضد استخدام الموظفين
من أنظمة إعلام الدفع. تعد أنظمة المصادقة التي تعتمد على استخدام الأسرار المتماثلة (مثل كلمات المرور وكلمات المرور التي تستخدم لمرة واحدة) والأنظمة المعرضة للإقرار العرضي (في حالة الإشعارات الفورية) من بين أخطر مشاكل الأمان الأساسية التي نواجهها اليوم. ومع ذلك ، فهي قيد الاستخدام المستمر في جميع أنحاء العالم ونحن ببساطة لا نرى نفس النهج المركّز لحل هذه المشكلة كما رأينا في مجالات أخرى من أمن المعلومات.
كحل "سريع الإصلاح" ، غالبًا ما تطبق المؤسسات مناهج لتخفيف التغييرات المتزايدة على نهج المهاجم. على سبيل المثال ، يمكن أن يشمل ذلك زيادة طول كلمة المرور ، وإعادة تعيين كلمات المرور الإلزامية المنتظمة ، ومتطلبات حول مجموعات الأحرف ، واستخدام التكنولوجيا لمقارنة كلمات المرور مع كلمات المرور المخترقة المعروفة. هذه الأساليب معيبة بشكل أساسي ، ومع ذلك ، وتستمر في تأخير إدخال أنظمة المصادقة. من أجل إحراز تقدم ذي مغزى نحو وقف المستوى المتزايد لهجمات هذه الآليات القديمة ، من المهم أن يتم ذلك
نتوقف عن محاولة إصلاحها ونبدأ في اعتبارها ثغرات أمنية ، تمامًا كما فعلنا مع الحلول القديمة الأخرى (مثل MD5 و SSL و telnet).
على سبيل المثال ، يوفر FIDO2 ، وهو معيار مصادقة مفتوح يستضيفه FIDO Alliance ، خيارات مصادقة حديثة موسعة بما في ذلك عامل واحد قوي (بدون كلمة مرور) ، وعامل قوي ، ومصادقة متعددة العوامل. FIDO عبارة عن مجموعة من بروتوكولات المصادقة تهدف تحديدًا إلى توفير مصادقة آمنة وحماية خصوصية المستخدمين وتعزيز عمليات تسجيل الدخول القائمة على كلمة المرور. يعكس FIDO2 أحدث مجموعة من معايير المصادقة الرقمية وهو عنصر أساسي في معالجة القضايا المحيطة بالمصادقة التقليدية والقضاء على الاستخدام العالمي لكلمات المرور. يسمح للمستخدمين بالمصادقة بسهولة عبر الأجهزة باستخدام أدوات الأمان المضمنة - مثل قارئات بصمات الأصابع أو كاميرات الهواتف الذكية أو مفاتيح الأمان القائمة على الأجهزة - للوصول إلى معلوماتهم الرقمية.
تعتبر البروتوكولات المقاومة للتصيد التي يتم تنفيذها داخل مفتاح أمان مادي ، والتي تم تمكين FIDO2 لها ، من أفضل الحلول المتولدة لوقف الهجمات الإلكترونية المعقدة مثل التصيد في مساراتها. المزيد والمزيد من الشركات تختار الآن حلول MFA وبروتوكولات FIDO2 المدعومة أيضًا من قبل المنظمات العالمية ومنصات أنظمة التشغيل ومتصفحات الإنترنت بما في ذلك Apple و Salesforce و تويتر، جوجل، Microsoft, and the US Government.
إن الطريق إلى عدم استخدام كلمة المرور ليس دائمًا سلسًا أو خطيًا. ومع ذلك ، يمكن للمؤسسات أن تجعل الرحلة أسهل على نفسها من خلال التأكد من تضمين مستخدميها في كل مرحلة ، والتركيز على قابلية التشغيل البيني. توفر مفاتيح الأمان المستندة إلى الأجهزة مصادقة قوية مع تقليل الاحتكاك عند تسجيل الدخول في نفس الوقت ، مقارنة ببروتوكولات المصادقة متعددة المراحل الأخرى. في النهاية ، يجب أن تجعل الحلول الصحيحة بدون كلمة مرور الحياة أسهل وأكثر أمانًا لجميع المستخدمين: فوز للجميع في شهر التوعية بالأمن السيبراني.
