احراز هویت بدون رمز عبور یک روش احراز هویت است که به کاربر اجازه می دهد بدون وارد کردن رمز عبور یا پاسخ به سؤالات امنیتی به یک برنامه کاربردی، سیستم یا سرویسی دسترسی پیدا کند. درعوض، کاربر انواع دیگری از شواهد مانند اثر انگشت، بج پروکسیمیتی (بج مجاورتی) یا کد رمز سخت افزاری را ارائه میکند. احراز هویت بدون پسورد اغلب همراه با احراز هویت چند مرحلهای (MFA) و راهحلهای Single Sign-On استفاده میشود تا تجربه کاربر بهبود پیدا کند، امنیت تقویت شود و هزینهها و پیچیدگی کاهش پیدا کند.
مشکل رمز عبور
این روزها افراد برای انجام کارهای خود به انواع مختلفی از برنامهها متکی هستند. کاربران مجبور به حفظ، نگهداری، و تغییر مجموعهای تقریبا بزرگی از رمزهای عبور هستند. بسیاری از کاربران که با مجموعه بزرگی از پسوردها روبرو میشوند، از میانبرهای خطرناکی مانند استفاده از رمز عبور یکسان برای بیش از یک حساب، استفاده از رمزهای عبور ضعیف، تکرار رمزهای عبور یا نوشتن پسورد روی دفترچه یادداشتها استفاده میکنند. عاملان مخرب میتوانند از شیوههای ضعیف مدیریت رمز عبور برای انجام حملات سایبری و سرقت دادههای محرمانه استفاده کنند. در واقع، حسابهای در معرض خطر یکی از دلایل اصلی نقض دادهها هستند.
روشهای ساده احراز هویت که فقط به ترکیب نام کاربری و رمز عبور نیاز دارند، ذاتا آسیبپذیر هستند. مهاجمان میتوانند اعتبارنامهها (نام کاربری و رمز عبور) را حدس بزنند یا بسرقت برند و با استفاده از تکنیکهای مختلف به اطلاعات حساس و سیستمهای IT دسترسی پیدا کنند، از جمله:
- روشهای Brute Force – استفاده از ابزارهایی برای تولید ترکیبات تصادفی نام کاربری/رمز عبور یا سوء استفاده از رمزهای عبور ضعیف رایج مانند 123456
- پر کردن اعتبارنامه – استفاده از اطلاعات کاربری بسرقت یا لو رفته از یک حساب کاربری برای دسترسی به حسابهای دیگر (افراد اغلب از یک ترکیب نام کاربری/رمز عبور برای بسیاری از حسابها استفاده میکنند)
-
فیشینگ – استفاده از ایمیلهای جعلی یا پیامهای متنی برای فریب قربانی و گرفتن اعتبارنامه
-
Keylogging – نصب بدافزار بر روی کامپیوتر برای گرفتن ورودی صفحه کلید – مثلا رسیدن به نام کاربری/رمز عبور
-
حملات Man-in-the-Middle – بین ارتباط اینترنتی (مثلا WiFi عمومی) قرار گرفتن و سرقت اطلاعات حساس مانند رمزعبور و پسورد.
احراز هویت بدون رمز عبور ریسک را کاهش میدهد و تجربه کاربر را بهبود میبخشد
احراز هویت بدون پسورد با حذف شیوههای مخاطره آمیز مدیریت رمز عبور و کاهش بردارهای حمله، امنیت را تقویت می کند. همچنین با حذف رمز عبور تجربه کاربر را بهبود می بخشد. با احراز هویت بدون رمز عبور، هیچ رمز عبوری برای به خاطر سپردن یا پاسخ به سؤالات امنیتی برای به خاطر سپردن وجود ندارد. کاربران از روشهای دیگر احراز هویت استفاده میکنند، مانند:
- بجهای مجاورت (Proximity badges)، توکنهای فیزیکی یا حافظههای USB (کلیدهای سازگار با FIDO2)
- توکنها یا گواهینامههای نرم افزاری
- اثر انگشت، صدا یا تشخیص چهره، یا اسکن شبکیه چشم
- اپلیکیشن موبایل
احراز هویت بدون پسورد معمولاً همراه با Single Sign-On اجرا میشود، بنابراین یک کارمند میتواند از همان نشان مجاورت، کد امنیتی یا اپلیکیشن موبایل برای دسترسی به همه برنامهها و خدمات سازمانی خود استفاده کند. احراز هویت بدون رمز عبور نیز اغلب به عنوان بخشی از راه حل احراز هویت چند عاملی مورد استفاده قرار می گیرد، که در آن کاربران مجبور به گذراندن چند لایه برای دسترسی به اپلیکیشنها و سیستمهای سازمانی هستند. به عنوان مثال، برای دسترسی به یک اپلیکیشن، ممکن است نیاز باشد که کاربر از حسگر اثرانگشت استفاده کند و یک کد SMS کوتاه مدت و یکبار مصرف که به تلفنش ارسال شده است را وارد کند.
مزایای احراز هویت بدون رمز عبور
احراز هویت بدون پسورد، مزایای کاربردی و تجاری مختلفی را ارائه میکند. این به سازمانها و شرکتها کمک میکند تا:
- تقویت امنیت – حذف تکنیکهای مخاطره آمیز مدیریت رمز عبور و کاهش سرقت نام کاربری/پسورد و جعل هویت
- بهبود تجربیات کاربر – حذف خستگی رمز عبور، و ارائه دسترسی یکپارچه به همه اپلیکیشنها و سرویسها.
- ساده سازی عملیات IT – حذف پیچیدگیهای ایمن کردن، چرخش، تنظیم مجدد و مدیریت رمزهای عبور
منبع: https://www.cyberark.com/what-is/passwordless-authentication/
