احراز هویت بدون رمز عبور

0
237
احراز هویت بدون رمز عبور

احراز هویت بدون رمز عبور یک روش احراز هویت است که به کاربر اجازه می دهد بدون وارد کردن رمز عبور یا پاسخ به سؤالات امنیتی به یک برنامه کاربردی، سیستم یا سرویسی دسترسی پیدا کند. درعوض، کاربر انواع دیگری از شواهد مانند اثر انگشت، بج پروکسیمیتی (بج مجاورتی) یا کد رمز سخت افزاری را ارائه می‌کند. احراز هویت بدون پسورد اغلب همراه با احراز هویت چند مرحله‌ای (MFA) و راه‌حل‌های Single Sign-On استفاده می‌شود تا تجربه کاربر بهبود پیدا کند، امنیت تقویت شود و هزینه‌ها و پیچیدگی کاهش پیدا کند.

مشکل رمز عبور

این روز‌ها افراد برای انجام کارهای خود به انواع مختلفی از برنامه‌ها متکی هستند. کاربران مجبور به حفظ، نگهداری، و تغییر مجموعه‌ای تقریبا بزرگی از رمزهای عبور هستند. بسیاری از کاربران که با مجموعه بزرگی از پسورد‌ها روبرو می‌شوند، از میانبرهای خطرناکی مانند استفاده از رمز عبور یکسان برای بیش از یک حساب، استفاده از رمزهای عبور ضعیف، تکرار رمزهای عبور یا نوشتن پسورد روی دفترچه یادداشت‌ها استفاده می‌کنند. عاملان مخرب می‌توانند از شیوه‌های ضعیف مدیریت رمز عبور برای انجام حملات سایبری و سرقت داده‌های محرمانه استفاده کنند. در واقع، حساب‌های در معرض خطر یکی از دلایل اصلی نقض داده‌ها هستند.

روش‌های ساده احراز هویت که فقط به ترکیب نام کاربری و رمز عبور نیاز دارند، ذاتا آسیب‌پذیر هستند. مهاجمان می‌توانند اعتبارنامه‌ها (نام کاربری و رمز عبور) را حدس بزنند یا بسرقت برند و با استفاده از تکنیک‌های مختلف به اطلاعات حساس و سیستم‌های IT دسترسی پیدا کنند، از جمله:

  • روش‌های Brute Force –  استفاده از ابزارهایی برای تولید ترکیبات تصادفی نام کاربری/رمز عبور یا سوء استفاده از رمزهای عبور ضعیف رایج مانند 123456
  • پر کردن اعتبارنامه – استفاده از اطلاعات کاربری بسرقت یا لو رفته از یک حساب کاربری برای دسترسی به حساب‌های دیگر (افراد اغلب از یک ترکیب نام کاربری/رمز عبور برای بسیاری از حساب‌ها استفاده می‌کنند)
  • فیشینگ – استفاده از ایمیل‌های جعلی یا پیام‌های متنی برای فریب قربانی و گرفتن اعتبارنامه
  • Keylogging – نصب بدافزار بر روی کامپیوتر برای گرفتن ورودی صفحه کلید – مثلا رسیدن به  نام کاربری/رمز عبور
  • حملات Man-in-the-Middle – بین ارتباط اینترنتی (مثلا WiFi عمومی) قرار گرفتن و سرقت اطلاعات حساس مانند رمزعبور و پسورد.

احراز هویت بدون رمز عبور ریسک را کاهش می‌دهد و تجربه کاربر را بهبود می‌بخشد

احراز هویت بدون پسورد با حذف شیوه‌های مخاطره آمیز مدیریت رمز عبور و کاهش بردارهای حمله، امنیت را تقویت می کند. همچنین با حذف رمز عبور تجربه کاربر را بهبود می بخشد. با احراز هویت بدون رمز عبور، هیچ رمز عبوری برای به خاطر سپردن یا پاسخ به سؤالات امنیتی برای به خاطر سپردن وجود ندارد. کاربران از روش‌های دیگر احراز هویت استفاده می‌کنند، مانند:

  • بج‌های مجاورت (Proximity badges)، توکن‌های فیزیکی یا حافظه‌های USB (کلیدهای سازگار با FIDO2)
  • توکن‌ها یا گواهی‌‌نامه‌های نرم افزاری
  • اثر انگشت، صدا یا تشخیص چهره، یا اسکن شبکیه چشم
  • اپلیکیشن موبایل

احراز هویت بدون پسورد معمولاً همراه با Single Sign-On اجرا می‌شود، بنابراین یک کارمند می‌تواند از همان نشان مجاورت، کد امنیتی یا اپلیکیشن موبایل برای دسترسی به همه برنامه‌ها و خدمات سازمانی خود استفاده کند. احراز هویت بدون رمز عبور نیز اغلب به عنوان بخشی از راه حل احراز هویت چند عاملی مورد استفاده قرار می گیرد، که در آن کاربران مجبور به گذراندن چند لایه برای دسترسی به اپلیکیشن‌ها و سیستم‌های سازمانی هستند. به عنوان مثال، برای دسترسی به یک اپلیکیشن، ممکن است نیاز باشد که کاربر از حسگر اثرانگشت استفاده کند و یک کد SMS کوتاه مدت و یکبار مصرف که به تلفن‌ش ارسال شده است را وارد کند.

آخرین راه حل‌های MFA از روش‌های احراز هویت تطبیقی، با استفاده از اطلاعات مرتبط (موقعیت، زمان، آدرس IP، نوع دستگاه و غیره) و قوانین تجاری برای تعیین اینکه کدام فاکتورهای احراز هویت برای یک کاربر خاص در یک موقعیت خاص اعمال شود، پشتیبانی می‌کند. MFA تطبیقی راحتی را با امنیت متعادل می‌کند. برای مثال، ممکن است کارمندی که از یک کامپیوتر خانگی قابل اعتماد به یک اپلیکیشن سازمانی دسترسی پیدا می‌کند، تنها یک شکل از احراز هویت را ارائه دهد. اما برای دسترسی به اپلیکیشن از یک کشور خارجی از طریق اتصال وای فای غیرقابل اعتماد، ممکن است کاربر مجبور باشد یک کد SMS را نیز وارد کند.

مزایای احراز هویت بدون رمز عبور

احراز هویت بدون پسورد، مزایای کاربردی و تجاری مختلفی را ارائه می‌کند. این به سازمان‌ها و شرکت‌ها کمک میکند تا:

  • تقویت امنیت – حذف تکنیک‌های مخاطره آمیز مدیریت رمز عبور و کاهش سرقت نام کاربری/پسورد و جعل هویت
  • بهبود تجربیات کاربر – حذف خستگی رمز عبور، و ارائه دسترسی یکپارچه به همه اپلیکیشن‌ها و سرویس‌ها.
  • ساده سازی عملیات IT – حذف پیچیدگی‌های ایمن کردن، چرخش، تنظیم مجدد و مدیریت رمزهای عبور

منبع: https://www.cyberark.com/what-is/passwordless-authentication/

مقاله قبلیچندین آسیب‌پذیری در افزونه Ninja Forms بیشتر از ۸۰۰ هزار وب‌سایت را آسیب پذیر کرد
مقاله بعدیFraudGPT چیست

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.