كلمات المرور هي W0r $ T! - حان الوقت لاعتماد المصادقة بدون كلمة مرور

نشرت: 2022-05-07

بدلاً من محاولة جعل كلمات المرور أقوى ، حان الوقت لعملك للبدء في التخلص منها تمامًا.

يعلم الجميع أن كلمات المرور معرضة بطبيعتها لتهديدات الأمن السيبراني. لهذا السبب يتم حثك باستمرار على استخدام المصادقة متعددة العوامل (MFA) ، والتي كانت تعني حتى وقت قريب إضافة طبقة أو أكثر من الحماية لكلمات مرورك. ولكن في السنوات الأخيرة ، أدى التنوع المتزايد وتوافر طرق المصادقة البديلة إلى تمكينك ، كقائد أعمال ، من البدء في تطبيق أسلوب العائالت المتعددة MFA بدون كلمات مرور.

وجد استطلاع المصادقة بدون كلمة مرور لعام 2022 الذي أجريناه مؤخرًا أن 82٪ من قادة الأعمال مستعدون لاعتماد أساليب بدون كلمة مرور. لذلك دعونا نتحدث عن كيف يمكن لشركتك أن تبدأ في تعزيز أمانها عن طريق التخلي عن كلمات المرور - حتى لو كانت جزءًا منها فقط.

نتائج المسح الرئيسية

1. الغالبية العظمى من قادة الأعمال (82٪) على استعداد لاعتماد أساليب المصادقة بدون كلمة مرور.

2. أكثر طرق المصادقة شيوعًا (43٪) هي استخدام شيء تعرفه (على سبيل المثال ، رمز المرور) ، ولكن استخدام شيء ما (مثل بصمة الإصبع) يتأخر ببضع نقاط مئوية فقط (38٪).

3. يطلب من معظم الشركات (56٪) الآن بموجب اللوائح استخدام المصادقة متعددة العوامل ويجب أن يستخدمها جزء كبير (17٪) للامتثال لسياسة التأمين الإلكتروني.

تتسبب كلمات المرور في احتكاك المستخدمين ، مما يؤدي إلى ضعف مستوى الأمان

لكي تكون كلمة المرور ذات قيمة ، يجب أن تكون قوية. في عام 2022 ، يعني هذا ما لا يقل عن اثني عشر حرفًا بما في ذلك مزيج من الأرقام والأحرف الخاصة والحروف الكبيرة والصغيرة. وتأكد من استخدام كلمة مرور فريدة لكل حساب. أوه ، ويجب عليك تغييرها بانتظام. إذا نسيت كلمة مرور ، فما عليك سوى إجراء عملية معقدة لإنشاء كلمة مرور جديدة أو الانتظار مع مكتب المساعدة.

بمعنى آخر ، تقدم كلمات المرور انطباعًا سيئًا للمستخدم - ولهذا السبب لا يكلف معظم المستخدمين عناء اتباع بروتوكولات كلمات المرور الأساسية.

يستخدم 77٪ من المجيبين نفس كلمة المرور لحسابات متعددة على الأقل لبعض الوقت - ما يقرب من نصف هذه النسبة (46٪) يعترفون بإعادة استخدام كلمات المرور في كثير من الأحيان . هذه مشكلة خطيرة لأن إعادة استخدام كلمة المرور هي المحرك الأساسي لهجمات الاستيلاء على الحساب وخرق البيانات. عند سؤالهم عن كيفية تذكرهم لكلمات المرور الخاصة بهم ، كتب 26٪ منهم على الورق ، و 25٪ يخزنونها في مستند عبر الإنترنت ، و 21٪ يستخدمون معلومات ذات مغزى شخصيًا.

توفر كلمات المرور أمانًا ضعيفًا نسبيًا في أفضل الظروف ، ولكن كما يظهر بحثنا ، يترك العديد من المستخدمين أنفسهم (وشركاتهم) بلا حماية تقريبًا. هذا يجعل شركتك عرضة لمخططات التصيد ، و keyloggers ، وهجمات القوة الغاشمة ، وأي عدد من التكتيكات الأخرى التي يستخدمها مجرمو الإنترنت للتغلب على كلمات المرور.

إذن ما هي المصادقة بدون كلمة مرور بالضبط؟

إنه بالضبط ما يبدو عليه — المصادقة بدون استخدام كلمات المرور. لكن الأمر ليس بهذه البساطة. لا يمكنك الاتصال بشخص ما وقول "أرغب في طلب بعض المصادقة بدون كلمة مرور." لا تفكر في عدم استخدام كلمة المرور كوجهة - فكر في الأمر على أنه هدف ، وأي تقدم تحرزه نحو هدفك المتمثل في التخلص من كلمات المرور يجعل شركتك أكثر أمانًا.

قبل أن نذهب إلى أبعد من ذلك ، دعونا نقسم البدائل وما يعتقده الناس عنها. هناك ثلاثة أنواع أساسية من المصادقة:

  • شيء تعرفه ، مثل نمط أو رمز PIN
  • شيء ما أنت (أو تفعله) ، مثل وجهك أو بصمة إصبعك
  • شيء ما لديك ، مثل جهازك المحمول أو مفتاح USB

اليوم ، لا يزال أكثر من شخصين من كل خمسة (43٪) يفضلون استخدام شيء يعرفونه - وهذا ليس مفاجئًا لأن استخدام كلمات المرور وأرقام التعريف الشخصية وأسئلة الأمان كانت أكثر طرق المصادقة شيوعًا لعقود. ما قد يكون مفاجئًا هو أن أكثر من واحد من كل ثلاثة (38٪) يفضلون استخدام شيء ما ، يُعرف أيضًا باسم المصادقة البيومترية. بتقريب نتائجنا ، حوالي واحد من كل خمسة (19٪) يفضل استخدام شيء لديهم.

رسم يوضح التفضيلات لطرق مصادقة الأمان الأساسية الثلاثة.

ضع في اعتبارك هذه التفضيلات أثناء بحثنا في بدائل كلمات المرور والخيارات التي قد تعمل بشكل أفضل للموظفين في شركتك.

تحسين الأمان من خلال اعتماد المصادقة بدون كلمة مرور

إذا كان بإمكان المصادقة بدون كلمة مرور تحسين الأمان ، فهل أنت على استعداد لإجراء التبديل؟ طرحنا هذا السؤال على 389 من قادة الأعمال ، وقال 82٪ منهم نعم. وبينما يمكن إجراء المصادقة بدون كلمة مرور كعامل واحد (على سبيل المثال ، استخدم بصمة إصبعك لإلغاء قفل هاتفك) ، يجب على الشركات استخدام MFA لحماية الوصول إلى الأنظمة الهامة والبيانات الحساسة.

لحسن الحظ ، يقول جميع قادة الأعمال تقريبًا (95٪) أن شركتهم تستخدم أسلوب العائالت المتعددة MFA لبعض تطبيقات الأعمال على الأقل - ويقول 55٪ إنهم يستخدمونها لجميع التطبيقات. كانت هذه الأرقام تتصاعد باطراد على مر السنين التي كنا نطرح فيها هذا السؤال. أحد الأسباب هو أن أسلوب العائالت المتعددة MFA ليس فقط أفضل ممارسة ، بل إنه مطلوب بشكل متزايد. يقول أكثر من نصف (56٪) قادة الأعمال الذين استطلعت آراؤهم أن شركتهم ملزمة باستخدام أسلوب العائالت المتعددة MFA من خلال اللوائح التنظيمية (على سبيل المثال ، HIPAA و PCI DSS و SOX) ، و 17٪ مطالبون بالقيام بذلك بموجب بوليصة تأمين إلكتروني.

مع وضع كل ذلك في الاعتبار ، دعونا نلقي نظرة على كيفية عمل أسلوب العائالت المتعددة MFA بدون كلمة مرور.

تمكين MFA بدون كلمة مرور باستخدام رموز المصادقة المميزة

رمز المصادقة هو جهاز (أو كائن بيانات) متصل بهوية الشخص لتمكين الوصول إلى الأصول الرقمية. يُفترض أن يكون الرمز المميز ، الذي يكون عادةً عبارة عن هاتف ذكي أو مفتاح جهاز USB ، في حيازة شخصية للهوية المرتبطة به.

لقد كان الهاتف كرمز موجود منذ سنوات عديدة ويتألف من خارج النطاق (OOB) ، وكلمة مرور لمرة واحدة (OTP) ، وبشكل متزايد ، مصادقة رمز الاستجابة السريعة. في الآونة الأخيرة ، اكتسبت الرموز المميزة للمفتاح العام مكانة جيدة ويمكن أن تكون مستقبل المصادقة القائمة على الرمز المميز. دعنا نلقي نظرة على كيفية استخدام هذه الأنواع المختلفة من الرموز المميزة.

مصادقة خارج النطاق (OOB)

ترسل بعض طرق OOB رمزًا إلى بريدك الإلكتروني أو ترسل ببساطة "رابطًا سحريًا" يمكنك النقر عليه للوصول الفوري إلى الخدمة. تجدر الإشارة إلى أن استخدام البريد الإلكتروني والروابط السحرية داخل نظام بدون كلمة مرور أمر مشكوك فيه لأن معظم الأشخاص يستخدمون كلمة مرور للوصول إلى حساب البريد الإلكتروني الذي يتلقون منه كلمة المرور أو الرابط لمرة واحدة.

تم تصميم مصادقة OOB لاستخدام قناتين مختلفتين للمصادقة ، مثل اتصال الإنترنت والشبكة اللاسلكية. من الأمثلة الشائعة لمصادقة OOB عندما تتلقى رسالة نصية قصيرة أو مكالمة صوتية آلية على هاتفك برمز تدخله بعد ذلك في موقع ويب. تتضمن الطرق الأخرى دفع الإخطارات التي تكون أكثر أمانًا من رسائل SMS.

مصادقة كلمة المرور لمرة واحدة (OTP)

يتم إجراء مصادقة OTP عمومًا باستخدام تطبيق مصادقة على هاتف محمول (على الرغم من وجود أجهزة OTP للأجهزة) لإنشاء رمز مؤقت ، والذي يتم إدخاله بعد ذلك للوصول إلى أصل رقمي.

رموز الاستجابة السريعة (QR)

توجد رموز QR في كل مكان من المطاعم إلى إعلانات Super Bowl ، ويتم استخدامها بشكل متزايد لأغراض أمنية. باستخدام هاتف ذكي لمسح رمز QR المعروض في جزء تسجيل الدخول إلى موقع الويب ، يمكنك المصادقة. بالطبع ، العيب هو أنه لا يمكن استخدام رموز QR للوصول إلى موقع من الهاتف نفسه.

رموز المفتاح العام

تتم المصادقة على رموز المفاتيح العامة باستخدام تشفير غير متماثل (أي زوج من المفاتيح العامة والخاصة) وغالبًا ما تستخدم شهادة X.509. يمكن أن تكون الرموز المميزة للمفتاح العام قائمة على البرامج أو الأجهزة بما في ذلك مفاتيح أجهزة USB والبطاقات الذكية والهواتف الذكية والأجهزة القابلة للارتداء التي تدعم تقنية البلوتوث أو NFC.

ربما يكون مستقبل المصادقة بدون كلمة مرور ، Fast Identity Online (FIDO) عبارة عن مجموعة من البروتوكولات التي تتضمن رموزًا للمفتاح العام ومصممة خصيصًا لتقليل الاعتماد على كلمات المرور. تستخدم مصادقة FIDO خطوتين ، إحداهما لإلغاء قفل المصدق والأخرى لإنشاء مفاتيح التشفير اللازمة للمصادقة مع خدمة عبر الإنترنت.

يمكن تحديد العامل المستخدم في الخطوة الأولى ، لفتح الجهاز المحلي ، من أي خيار متاح ، مثل بصمة الإصبع أو إدخال رقم التعريف الشخصي أو إدخال جهاز مخصص (على سبيل المثال ، YubiKey). بعد إلغاء قفل مصدق FIDO ، يوفر الجهاز المفتاح الخاص الصحيح الذي يتوافق مع المفتاح العام لموفر الخدمة. تظل المعلومات المقدمة في الخطوة الأولى خاصة ، ولا تترك جهاز المستخدم مطلقًا.

المصادقة بشيء تعرفه (ولكن ليس كلمة مرور!) ، وشيء ما أنت ، وكل شيء آخر

يمكن للمصادقة بدون كلمة مرور استخدام شيء تعرفه ، طالما أنه ليس كلمة مرور. البديل الأكثر شيوعًا هو رقم التعريف الشخصي. وعلى الرغم من أن رقم التعريف الشخصي قد يبدو مشابهًا لكلمة المرور ، إلا أنه مختلف تمامًا. تُستخدم أرقام التعريف الشخصية عادةً لإلغاء قفل جهاز محلي ، مثل بطاقة الخصم. بدون رقم التعريف الشخصي ، تكون بطاقتك المصرفية غير مجدية. على العكس من ذلك ، تتم مطابقة كلمات المرور مع المعلومات المخزنة في قاعدة بيانات مركزية وتكون عرضة للخطر في حد ذاتها.

تتضمن الطرق الشائعة الأخرى في هذا المجال التعرف على الصور والأنماط. أثناء التسجيل ، ستطلب منك بعض الخدمات تحديد صورة. بعد ذلك ، عند المصادقة ، تحدد صورتك من عدة خيارات. وبالمثل ، تتطلب مصادقة التعرف على الأنماط أن تتذكر النقاط المحددة مسبقًا على صورة أو شبكة.

أصبحت المصادقة البيومترية أكثر قبولًا

تستخدم المصادقة البيومترية خصائص مادية فريدة ، مثل وجهك أو بصمة إصبعك ، لمصادقة هويتك. أصبحت تكنولوجيا القياسات الحيوية سائدة ، خاصة عند استخدامها لأغراض أمنية. وجد الاستطلاع الذي أجريناه أن 76٪ من المستهلكين مرتاحون لاستخدام التعرف على الوجه للوصول إلى أجهزة الكمبيوتر أو الهاتف. ولعل الأمر الأكثر إثارة للدهشة هو أن 64٪ يشعرون بالراحة عند استخدامه لتسجيل الدخول إلى حساب عبر الإنترنت.

تتكامل مصادقة القياسات الحيوية بسرعة مع طرق الهاتف كرمز. تحتوي الهواتف الذكية على ميكروفونات وكاميرات وماسحات ضوئية لبصمات الأصابع ، وكلها يمكن استخدامها لدعم مجموعة من أوضاع المصادقة البيومترية التي تؤكد في نفس الوقت امتلاك الجهاز.

توفر المصادقة السياقية المرونة للمستخدمين بدون كلمة مرور

بالإضافة إلى تأكيد هويتك بشكل نشط ، تكتشف طرق المصادقة السياقية المخاطر بشكل سلبي باستخدام عوامل مثل الموقع والنشاط ومعرفات الجهاز. تُعرف هذه العملية أيضًا باسم المصادقة المستندة إلى الإشارات ، وقد تسمح بالسيناريو النهائي بدون كلمة مرور المعروف باسم المصادقة الصفرية (0FA) ، حيث يتم منح المستخدم حق الوصول في حالة عدم وجود إشارات خطر. إذا كان النظام غير متأكد ، تتم مطالبة المستخدم ببساطة بإجراء مصادقة مثل رقم التعريف الشخصي أو سمة القياسات الحيوية.

تستخدم النماذج المتقدمة مثل الثقة التكيفية المستمرة (CAT) التعلم الآلي لتحليل مجموعات أكثر ثراءً من المتغيرات حول المستخدم لتحديد المخاطر ، مثل قياس ضغط المفاتيح أو التعرف على الحركة المحددة للمستخدم عند المشي باستخدام جهاز.

ثلاث خطوات يمكنك اتخاذها لتنفيذ المصادقة بدون كلمة مرور

كما ذكرنا سابقًا ، يعد استخدام كلمة المرور أمرًا طموحًا (على الأقل في الوقت الحالي) ، وكل خطوة تتخذها تجاه ذلك تعزز وضعك الأمني ​​العام. بهذه الروح ، دعنا نلقي نظرة على ثلاث خطوات يمكنك اتخاذها للبدء في تقليل عدد كلمات المرور في شركتك.

1

التعاون مع أصحاب المصلحة لتحديد الأولويات والتفضيلات

احصل على موافقة من أصحاب المصلحة الرئيسيين من خلال شرح كيف أن الابتعاد عن كلمات المرور سيفيد فرقهم ويجعل وظائفهم أسهل. حدد أولويات تحسينات الأمان ، وتعرف على كيفية تأثر سير العمل ، وحدد التفضيلات لطرق المصادقة الجديدة.

2

تحسين الأدوات الحالية التي تسمح باستخدام طرق بدون كلمة مرور

قم بتقييم واستغلال الخيارات بدون كلمة مرور التي لديك بالفعل تحت تصرفك. على سبيل المثال ، إذا كان عملك يستخدم Windows 10 بالفعل ، فيمكنك استخدام Windows Hello للأعمال التي تجمع بين طريقة مصادقة محلية ، مثل المصادقة الحيوية أو المصادقة المستندة إلى الجهاز.

اطرح الأسئلة التالية:

  • ما هي خيارات بدون كلمة المرور المتوفرة لدينا بالفعل؟
  • هل يمكننا تعديل تدفقات المصادقة الحالية لتجنب كلمات المرور؟
  • هل ستؤدي هذه التغييرات في النهاية إلى تقليل الاحتكاك للمستخدمين؟
3

حوّل الاستثمارات المستقبلية نحو أدوات جاهزة بدون كلمة مرور

لإعداد شركتك للاعتماد العالمي للمصادقة بدون كلمة مرور ، من المهم تبسيط مسار الترحيل بمرور الوقت عن طريق تحويل الاستثمارات الحالية والمستقبلية حيثما أمكن ذلك. عند شراء برنامج جديد ، ضع في اعتبارك مدى توفر خيارات المصادقة التي تستفيد من القياسات الحيوية ، والهاتف كرمز ، والبروتوكولات الناشئة مثل FIDO2.

سوف يزول اعتمادنا على كلمات المرور قريبًا

سنصل في النهاية إلى مستقبل لن تحتاج فيه إلى تذكر كلمة مرور ، ولا يتعين على الخوادم تخزينها ، ولا يمكن للقراصنة استغلالها. هذا عالم رقمي أكثر أمانًا من العالم الذي نعيش فيه اليوم. لكن ذلك سيحدث شيئًا فشيئًا وسيتطلب طرقًا جديدة للتفكير في الأمان ، مثل أدلة عدم المعرفة ونماذج أمان الثقة الصفرية (وكلاهما سنتعمق فيه خلال تقارير البحث القادمة).

الاتجاه هو الابتعاد عن كلمات المرور والاتجاه نحو المزيد من أشكال المصادقة الشخصية والسياقية وغير الاحتكاكية.

هل تريد معرفة المزيد حول حماية عملك؟ اقرأ مقالتنا الأخيرة: 8 طرق لحماية أعمالك الصغيرة من الهجمات الإلكترونية

المنهجية

أجرت Capterra استبيان المصادقة بدون كلمة مرور لعام 2022 في يناير 2022 بين 974 مستهلكًا ، بما في ذلك 389 من قادة الأعمال الذين أبلغوا عن مسؤوليات إدارية أو أعلى للتعرف على المواقف تجاه أساليب المصادقة المختلفة واستخدامها من قبل الشركات الأمريكية.