img

آیا رمزهای عبور، هنوز هم بهترین راه امنیتی هستند؟

/
/
/

تمامی کارشناسان بر این باورند که رمز‌های عبور از بین نمیروند اما شما باید به فکر روش‌های دیگری برای امن نگاه داشتن اطلاعات و تصدیق اطلاعات خود باشید.

به گفته «یارون بیتچ» مدیر ارشد محصولات LastPass «رمز‌های عبور بهترین راه‌حل امنیتی نیستند.» وی همچنین میگوید «قدرت رمز‌های عبور بستگی به مردم دارد که احتمال اشتباه کردن‌شان زیاد است ولی به دلیل استفاده آسان که نیازی به دانش تخصصی ندارد جایگزین کردن آنها مشکل است.»
مشکلی که «بیتچ» درباره آن توضیح داد این است که بسیاری از ما رمز عبور مشابهی را مجددا در چندین حساب کاربری استفاده میکنیم. (از بین کسانی که اطلاعات متنوعی دارند ۳۹% آنها رمز عبور ایمنی برای ورود به سیستم خود میسازند تا برای تجارت خود). بنابراین اگر اسنادی از سوی یکی از کارکنان‌تان به بیرون درز پیدا کرد ، شخصی در جایی دیگر که خارج از کسب و کار شماست کلید ورود به شبکه شما را در دست دارد.
این مسئله زمانی ترسناک‌تر میشود که در نظر داشته باشید بر اساس تخمین Sophos اطلاعات ۱۵۰ میلیون کاربر در رخنه اطلاعاتی ۲۰۱۳ Adobe افشا شد ، همچنین اطلاعات یک میلیارد نفر نیز در سال ۲۰۱۶ از یاهو به بیرون درز پیدا کرد.
به گفته «ویل مور» از ۱Password و سازنده AgileBits «تمام زندگی شما میتواند بخاطر دسترسی شخصی به یک رمز عبور دچار آشفتگی شود ، اما این بدان معنا نیست که دوران استفاده از رمز عبور به سر آمده است ، راه‌حل مسئله ترکیب کردن موارد است ، برای ورود به هر سایتی از یک رمز عبور متفاوت استفاده کنید و تنها در این صورت است که رمز عبور شما ایمن باقی میماند.»
هر دو شرکت ۱Password و LastPass در این زمینه کمک میکنند : آنها توانایی تولید و ذخیره رمز‌های عبوری را دارند که در صورت نیاز کاربر به شکل خودکار در کادر نوشته میشوند و بار به یاد سپردن هر رمز عبور یا وسوسه نوشتن آنها در جایی را از روی دوش کاربر بر میدارند.
برنامه My1Login من هم عملکردی مشابه دارد و با گستره بسیاری از خدمات آنلاین و برنامه‌های محلی کار میکند اما فقط رمز عبور را از ضعیف‌ترین حلقه زنجیر یعنی خود کاربر پنهان میکند. «مایک نیومن» مدیر عامل My1Login میگوید «اگر همه از رمز‌های عبور طولانی ، اتفاقی و پیچیده استفاده کنند دنیا جای بسیار امن‌تری خواهد بود. واقعیت این است که خیلی‌ها اینکار را انجام نمیدهند به همین خاطر سازمان‌ها به دنبال جایگزینی برای این مسئله هستند.» پیشنهاد شرکت My1Login در این زمینه چنین است که به کارکنان تنها از طریق حساب کاربری/شرکتی My1Login اجازه ورود به سیستم داده شود ، رمز‌های عبور هنوز هم سر جای خود هستند و بدین صورت این شرکت تنها راه استفاده از آنها را تغییر داده است.

تصدیق دو-عامل
تصدیق دو-عامل (۲FA) عمر مفید رمز‌های عبور را افزایش میدهد و معمولا توسط بانک‌ها و سایت-هایی که پس از مشاهده کاربری با مرورگر ناشناخته لایه امنیتی اضافه‌ای را فراخوانی میکنند استفاده میشوند. این سامانه معمولا به وسیله یک کد‌ساز بر مبنای زمان ، شماره‌ای میسازد و آنرا به تلفن همراه ارسال میکند تا در کنار رمز‌عبور وارد شود ، دسترسی تنها در صورتی ممکن است که رمز عبور و کد ارسال شده با یکدیگر همخوانی داشته باشند.
«بیتچ» این روش را به عنوان یکی از «سر راست‌ترین و ایمن‌ترین اقدامات امنیتی حال حاضر» توصیف میکند و معتقد است که میباست از آن در هر زمینه قابل امکانی استفاده کرد زیرا «از اسناد کاربر در برابر نرم‌افزار‌هایی که رمز عبور را حدس میزنند محافظت میکند و هرگونه خسارت جانبی از اقدام برای رخنه را از بین میبرد.»
وی همچنین افزود «امنیت (متعاقبا) می‌بایست بسته به شرایط تغییر کند ، یک حساب کاربری دارای ایمنی که به اطلاعات مهم و حیاتی شرکت دسترسی دارد باید محدودیت مکانی جداگانه و معیارهای محافظتی سنگین‌تری داشته باشد، منظور فقط محل ذخیره اطلاعات نیست (هر چند عامل مهمی به شمار میرود) بلکه نوع اطلاعات و عواقب از دست رفتن آن برای تجارت یا مشتریان نیز مهم است.
«مور» در شرکت ۱Password نیز نظر مشابهی دارد و میگوید «عامل کلیدی در تجارت یافتن تعادلی میان امنیت و کارآمد بودن است. اگر شما سیستمی با امنیتی دیوانه‌وار در اختیار دارید اما تمام ۳۰۰ نفر کارکنان‌تان رمز عبور آن را فراموش کرده‌اند سردرد سنگینی در انتظارتان است.»

آینده رمز‌های عبور
ارزانی ، سادگی در استفاده و مدیریت مزید بر علت شده‌اند که رمز‌های‌ عبور عمری طولانی داشته باشند و حتی رو به افزایش هم باشند ، آنها به جای اینکه یک راه‌حل کامل باشند بخشی از یک ترکیب امنیتی محسوب میشوند.
«مور» در حالی که ورود به کامپیوتر کاری خودش احتیاجات چندانی ندارد و خیلی دور از دسترس نیست میگوید «اگر من مدیر یک بانک بودم درخواست اسکن اثر انگشت و شبکیه چشم و شناسایی صدا و خیلی چیزهای دیگر داشتم. من یک رمز عبور اصلی بسیار قدرتمند دارم که معمولا آنرا تایپ نمیکنم زیرا از اثر انگشت شصت خود روی آیفون ۷ یا مک‌بوک پرو استفاده میکنم.»
او با فشردن رقمی مقابل خوانشگر به برنامه مدیریت رمزعبور خود اجازه میدهد که قفل اسناد برای او باز شود و هر جا که لازم باشد میانبری برروی کیبورد کادر رمز عبور خدماتی که وی عضو آنهاست را به شکل خودکار پر میکند. این بدان معناست که او میتواند از رمزهای عبور اتفاقی که به خاطر سپردن آنها غیرممکن است استفاده کند که حدس زدن آنها دشوار است و هیچوقت نمیتوان آنها را جعل کرد.
اسکن شبکیه چشم و شناسایی صوتی بیشتر توسط مشتریان ثروتمند استفاده میشوند اما پیاده‌سازی آنها برای کسب و کارهای کوچک تا متوسط نیز چندان غیر معمول نیست. به گفته «بیتچ» استفاده از سیستم‌های بیومتریک «معمولا به دلیل موانعی مانند هزینه ، یکپارچه سازی و پذیرش کاربران چالش برانگیز است اما استفاده از آنها متداول‌تر شده هر چند که هنوز مانند اسکن اثر انگشت فراگیر نشدند ولی رشد فزاینده‌ای به سوی دیگر روش‌های بیومتریک به وجود آمده است.»
«نیومن» در این رابطه میگوید «معمولا بزرگ‌نمایی بسیاری درباره جایگزینی و مرگ رمز عبور وجود دارد اما حقیقت این است که زمان بسیار زیادی تا فراگیر شدن این سیستم‌ها باقی مانده است. حتی با اینکه اسکنر اثر انگشت بر روی کامپیوتر‌های دهه ۹۰ معرفی شد استفاده واقعی و موثر از آن تا به امروز به طول انجامیده است.»
وی اکنون افزوده که «ما تازه متوجه نمایان شدن استاندارد‌هایی مانند
SAML 2.0 (Security Assertion Markup Language)
هستیم که پروتکل‌های شناسایی و تصدیق را تعریف میکند. تمامی برنامه ها از آن استفاده نمیکنند اما دیدگاه ما در My1Login این است که رمز‌های عبور به همین زودی ناپدید نخواهند شد و ما حداقل در مسیری به سوی دنیایی بدون رمز عبور سعی میکنیم این بار سنگین را از روی دوش کاربران برداریم.»
«بیتچ» که خواهان ترویج طرح‌هایی مانند SAML 2.0 است میگوید «این قابلیت جایگزینی بادوام برای رمز عبور است زیرا تصدیق داده‌ها را به شکلی ایمن بین کاربر و خدمات مورد نظر منتقل میکند و میتواند رمز عبور را از بین ببرد. از آنجا که SAML 2.0 به شکل استاندارد گسترده‌ای در بازار در آمده کاربران هر تامین کننده خدمات ابری‌ میتوانند تنها با یک ورود به سیستم دسترسی داشته باشند.
اگر ما در حال حرکت به سوی امنیت ابری هستیم قدم بعدی میتواند آوردن شناسه شخصی‌تان (BYOI) باشد. این مد روز به عقیده «نیومن» بسیار پر جاذبه است ، وی در این رابطه گفته «سازمان‌ها میدانند که کارکنانشان گوشی هوشمندی در اختیار دارند که اسکنر اثر انگشت نیز دارد و میپرسند که اعتماد کردن به این وسیله برای تصدیق درست است یا خیر»
در چنین شرایطی ، خدماتی مانند My1Login با ایستادن در پشت پرده و زیر نظر گرفتن ارتباطات دستگاه‌های دارای تصدیق به عنوان نگهبان دروازه عمل میکند و تا جایی که به کاربر موبایل مربوط است گوشی هوشمندش تمام کار‌های سخت را انجام میدهد ، آنهم در حالیکه آنها سرگرم تجربه کردن همان پردازش روان و یکپارچه همیشگی دستگاه خود هستند.
رمز‌های عبور به خصوص در تجارت و در گذر زمان بیشتر غیر قابل رویت خواهند شد اما آنها تا آینده قابل پیش‌بینی‌ای با ما خواهند بود و با ترکیب شدنشان در ابزار و خدمات اضافی پس‌زمینه ، حلقه ضعیف زنجیر امنیت را قدرتمند میسازند که البته منظور از آن انسان است.

نظر بدهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

It is main inner container footer text