دليل المشتري للمصادقة بدون كلمة مرور

من المحتمل أن تكون قد مرت فترة طويلة جدًا منذ أن قمت بتقييم حلول مصادقة المستخدم الخاصة بك.

بعد كل شيء ، لا تتواجد الشركات كل يوم في السوق للحصول على حل جديد لمصادقة المستخدم. لم يستخدم البعض أبدًا أي شيء بخلاف كلمة المرور البسيطة لمصادقة مستخدميهم. قد يكون آخرون قد نشروا حل مصادقة تقليدية متعددة العوامل لمعالجة مخاوف أمنية محددة تتعلق بمصادقة اتصالات الوصول عن بعد أو استجابة لمتطلبات تنظيمية للمصادقة الأقوى. يقدم هذا الدليل المختصر مراجعة حالية لأساليب مصادقة المستخدم الحديثة.

كان تقرير التحقيق في خرق البيانات (DBIR) من Verizon الذي نُشر في عام 2017 لحظة فاصلة إلى حد ما بالنسبة للتصورات المتعلقة بمصادقة المستخدم. احتل التقرير عناوين الصحف في جميع أنحاء عالم تكنولوجيا المعلومات عندما كشف أن 81 بالمائة من خروقات البيانات كانت نتيجة كلمات المرور المخترقة.

حدث هذا عندما أدركت العديد من الشركات أن كلمات المرور لا تحل مشاكل الأمان الخاصة بهم وبدلاً من ذلك تسبب الكثير منها ، وعندما بدأوا في البحث عن خيارات المصادقة البديلة. هذه هي اللحظة التي تحولت فيها المصادقة بدون كلمة مرور من كونها بديلاً مناسبًا تتبعه الشركات ذات التفكير المتقدم إلى شيء كان يتحدث عنه الجميع.

ما هي المصادقة بدون كلمة مرور؟

تحدد المصادقة بدون كلمة مرور فئة من حلول المصادقة التي تتحقق من هوية المستخدم دون استخدام كلمة مرور. يعتمد إثبات الهوية على عوامل أخرى تحدد هوية المستخدم بشكل فريد مثل امتلاك شيء مرتبط بشكل فريد بالمستخدم (على سبيل المثال ، منشئ كلمة مرور لمرة واحدة ، أو جهاز محمول مسجل ، أو رمز مميز للأجهزة) ، أو التوقيع الحيوي للمستخدم (على سبيل المثال. بصمة الإصبع ، بصمة الوجه ، مسح الشبكية ، إلخ). المصادقة على أساس شيء يعرفه المستخدم (أي المصادقة القائمة على المعرفة) ممكنة أيضًا ، طالما أن هذا الشيء ليس كلمة مرور.

4 أنواع من طرق المصادقة بدون كلمة مرور

فيما يلي بعض طرق المصادقة بدون كلمة مرور شائعة الاستخدام:

رموز لمرة واحدة

يتم إرسال رمز لمرة واحدة إلى جهاز محمول مسجل أو عنوان بريد إلكتروني. يتم نشر هذا عادةً بواسطة الشركات لمصادقة عملائها (B2C). وهو أقل استخدامًا لمصادقة المؤسسة ، أي لمصادقة الموظفين.

القياسات الحيوية

أصبحت طريقة المصادقة بدون كلمة مرور هذه هي القاعدة لمصادقة المستخدمين على أجهزتهم المحمولة ، مع تطبيقات شائعة للتكنولوجيا في Apple Face ID ، ومصادقة بصمات الأصابع متوفرة في كل مكان حتى على أرخص الأجهزة المحمولة. تُستخدم القياسات الحيوية بشكل أساسي لمصادقة المستخدم على الجهاز نفسه ، وفي كثير من الأحيان إلى الموارد التي يتم الوصول إليها من الجهاز.

رموز أمان مخصصة للأجهزة

رموز أمان مخصصة للأجهزة ، عادةً ما تخزن بيانات اعتماد البنية التحتية للمفتاح العام (PKI). في السنوات الأخيرة ، تزداد شعبية الأجهزة المتوافقة مع FIDO مثل YubiKeys كأداة مصادقة مستخدم عالية التأكيد بديلاً لكلمات المرور. توفر هذه الأجهزة مستوى جيدًا من الأمان ، حيث يصعب تزويرها وتتطلب حيازة ماديًا ، ولكنها أيضًا باهظة الثمن ومرهقة بالنسبة للمستخدمين لتحملها واستخدامها.

أوراق اعتماد المصادقة المرفقة بجهاز مضيف

تُستخدم بيانات الاعتماد هذه (أي شهادة مصادقة عميل PKI مثبتة بجهاز كمبيوتر شخصي) في الغالب لمصادقة محطات عمل الموظفين على شبكات الأعمال والموارد. هنا مرة أخرى ، تكتسب الحلول المتوافقة مع FIDO شعبية ، وأبرز مثال على ذلك هو Microsoft Windows Hello للأعمال. يتوفر Windows Hello في الإصدارات الأحدث من Windows ويجمع بين بيانات اعتماد متوافقة مع FIDO مع رقم تعريف شخصي للمستخدم أو طباعة بيومترية لإلغاء تأمين الوصول إلى بيانات الاعتماد.

المصادقة متعددة العوامل (MFA) مقابل المصادقة بدون كلمة مرور

يؤدي الجمع بين أشكال المصادقة المتعددة للتحقق من الهوية إلى مصادقة متعددة العوامل (MFA). تاريخيًا ، تم استخدام أسلوب العائالت المتعددة MFA كطريقة لتحسين أمان المصادقة المستندة إلى كلمة المرور. إن استخدام كلمة مرور (شيء تعرفه) جنبًا إلى جنب مع مفتاح فوب مخصص أو جهاز محمول مسجل (شيء لديك) من شأنه أن يوفر عوامل متعددة من المصادقة التي يصعب تصيدها أو اختراقها أو اختراقها ، وبالتالي توفر مستوى أعلى من التأكيد.

اليوم ، من الممكن استخدام عوامل متعددة للمصادقة بدون كلمات مرور كأحد العوامل ، مما يؤدي إلى MFA بدون كلمة مرور. عوامل المصادقة الأكثر شيوعًا لاستخدام MFA بدون كلمة مرور هي الجهاز المحمول المسجل للمستخدم جنبًا إلى جنب مع رقم التعريف الشخصي للمستخدم أو بصمة الإصبع المقدمة عبر مستشعر بصمة الإصبع المدمج بالجهاز.

اعتبارات عند تقييم حل المصادقة بدون كلمة مرور

إذن ما الذي يجب أن تبحث عنه المؤسسة عند البحث عن حل المصادقة الصحيح؟ هناك العديد من الاعتبارات عند شراء حل مصادقة مستخدم جديد ، ولكن أهم ثلاثة منها هي:

هل يدعم حل المصادقة النطاق الكامل لحالات استخدام المصادقة للمستخدمين؟

الاعتبار الأساسي هو ما إذا كان حل المصادقة يدعم حالات استخدام المصادقة واسعة النطاق التي يواجهها المستخدمون على مدار يوم عملهم. عندما لا يتم دعم حالات استخدام معينة ، يتوفر أحد الخيارين التاليين: اترك حل المصادقة الحالي في مكانه - عادةً ما يكون اسم مستخدم وكلمة مرور بسيطين - أو جلب حل مصادقة ثانٍ.

يؤدي الرجوع إلى أسماء المستخدمين وكلمات المرور إلى إبطال الغرض من الاستثمار في حل مصادقة أفضل وأكثر أمانًا لأنه يعني أنه لا يزال من الممكن استغلال كلمات المرور الضعيفة من قبل المهاجمين ، مما يترك الشركة مكشوفة. يشبه بناء جدار محصن حول منزلك وترك مدخل خلفي بقفل في مكانه.

إن الحصول على حل مصادقة ثاني يمكنه التعامل مع حالات الاستخدام غير المدعومة يعني نشر حل آخر ، والأهم من ذلك ، مطالبة المستخدمين بحمل بيانات اعتماد / مصادقة أخرى. هذا عرض مكلف يوفر أيضًا تجربة من المحتمل أن تحبط المستخدمين.

يمكن أن يضيف دعم النطاق الكامل لحالات استخدام مصادقة المستخدم ما يصل إلى عدد قليل من السيناريوهات لمؤسسة نموذجية. تشمل حالات الاستخدام الشائعة للمؤسسات ما يلي:

• يعد تسجيل الدخول إلى محطة العمل ، بما في ذلك مضيفي Windows و Mac ، وفي بعض الشركات يعتبر Linux أيضًا أحد الاعتبارات المهمة. غالبًا ما تكون هذه هي حالة الاستخدام الأكثر تحديًا للعديد من حلول المصادقة لأنها تتطلب عمليات تكامل دقيقة مع أنظمة التشغيل وحلول إدارة مجال الشبكة.
• لقد كانت VPN للوصول عن بُعد تقنية أساسية تمكن الموظفين المتنقلين والبعدين من البقاء على اتصال بعملهم. هناك العديد من التقنيات قيد الاستخدام وعدد كبير من البائعين الذين يقدمون الحلول. لحسن الحظ ، على مر السنين ، ظهرت مجموعة من المعايير لتمكين التكامل المباشر مع أنظمة المصادقة.
• أصبح الوصول إلى التطبيقات السحابية أمرًا سائدًا حتى بالنسبة لمعظم المؤسسات التقليدية. على الرغم من وجود بعض المعايير لتسهيل التشغيل البيني بين أنظمة مصادقة المؤسسة والخدمات السحابية ، إلا أنها لم يتم إعدادها بالكامل. المعايير المتنافسة والمراجعات المتكررة للمعايير الحالية تعني أن دعم الوصول إلى الخدمات السحابية كان هدفًا متحركًا.
• لقد كانت المصادقة في وضع عدم الاتصال بمثابة كعب أخيل للعديد من أنظمة المصادقة بشكل عام والمصادقة متعددة العوامل (MFA) على وجه الخصوص. يمثل تحديًا صعبًا لأن معظم حلول المصادقة مصممة لعالم متصل. لذلك عندما يكون اتصال الشبكة معطلاً أو غير متاح ، ولا يمكن الوصول إلى خادم المصادقة ، فحينئذٍ تكون هناك حاجة إلى حلول متقنة لضمان استمرار المستخدمين في المصادقة على أجهزة الكمبيوتر الخاصة بهم والموارد المستضافة محليًا.
• تسبب المصادقة المفقودة في حدوث مشكلة كبيرة ، خاصةً عندما تكون أداة مصادقة للأجهزة. يعد شحن رمز مميز بديل لموظف بعيد أمرًا مكلفًا ويستغرق وقتًا طويلاً. لذلك لمنع فترات التوقف الطويلة ، تم تطوير حلول استرداد قائمة على البرامج لبعض حلول MFA القائمة على الأجهزة.

بشكل عام ، يجب أن يكون حل المصادقة الحديث للمؤسسة لاعبًا شاملاً يمكنه التعامل مع مجموعة متنوعة من حالات استخدام المصادقة. من المحتمل أن يؤدي البحث عن حل نقطي يعالج حالات استخدام محددة بشكل جيد إلى الحاجة إلى نشر حلول مصادقة متعددة ، وهو أمر مكلف وصعب على المستخدمين.

هل سيعمل حل المصادقة مع ما لديك بالفعل؟

الواقع بالنسبة لمعظم المؤسسات هو أنها اكتسبت مزيجًا متنوعًا من الأنظمة والتطبيقات على مدار سنوات من الاستثمار في تكنولوجيا المعلومات. هذه الأنظمة هي حقيقة يجب الاعتراف بها وأي حل مصادقة جديد يجب أن يكون قادرًا على العمل مع كل ما هو موجود بالفعل. نهج التمزيق والاستبدال مؤلم للغاية ومكلف للغاية.

لذلك ينبغي توقع تصميم حلول المصادقة الحديثة لدعم الأنظمة والتطبيقات القديمة والتكامل بسهولة مع استثمارات تكنولوجيا المعلومات الحالية. يجب أن يتم دمج أدلة المستخدم الحالية (مثل Active Directory) ، والعمل مع الأنظمة القديمة ، والعمل جنبًا إلى جنب مع حلول المصادقة الحالية ، وما إلى ذلك ، في الحل وليس شيئًا يتطلب مشاريع تخصيص وتكامل باهظة الثمن.

يجب أيضًا العمل مع حلول المصادقة الحالية مثل رموز USB ، ورموز OTP ، ومصادقات FIDO ، ومصادقات الهاتف المحمول ، والمزيد. استثمرت العديد من الشركات في حلول مصادقة قوية ، مما يعني أنه لا تكاد توجد فرص جديدة حيث لا يتم نشر أي شيء آخر. وبالتالي ، فإن العمل بانسجام مع حلول المصادقة الحالية ، وتبسيط عمليات بيئة المصادقة غير المتجانسة ، وتوفير وسيلة للتقاعد التدريجي للحلول القديمة والانتقال إلى حلول أكثر حداثة أصبح اعتبارًا مهمًا في حد ذاته.

هل يعالج الحل متطلبات المدققين والمنظمين؟

تعمل معظم الشركات هذه الأيام في صناعات منظمة وتخضع لمطالب صارمة على حماية البيانات ومصادقة المستخدم. يعد الامتثال للوائح ومعايير الصناعة مثل PCI DSS و DFARS و HIPAA و SOX / GLBA و PSD2 و GDPR وما إلى ذلك اعتبارًا مهمًا وغالبًا ما يكون المحرك الرئيسي للاستثمار في حل مصادقة مستخدم جديد.

فوائد المصادقة بدون كلمة مرور

المصادقة بدون كلمة مرور هي واحدة من تلك الحالات النادرة في الحياة حيث يكون الحل الجديد متفوقًا بوضوح ، من كل جانب. لا يتطلب اختياره إجراء أي مقايضات أو موازنة الإيجابيات والسلبيات. توفر المصادقة بدون كلمة مرور أمانًا أفضل وتجربة مستخدم أفضل وأرخص لامتلاكها وتشغيلها عند مقارنتها بحلول المصادقة المستندة إلى كلمة المرور.

يعزز تجربة المستخدم

توفر المصادقة بدون كلمة مرور تجربة مستخدم أفضل لأن المستخدمين لا يحتاجون إلى استدعاء كلمات المرور وإدخالها. هذا يعني تسجيل دخول أسرع ومحاولات أقل فاشلة. ولا يتم نسيان كلمات المرور مطلقًا أو إعادة تعيينها ، مما يعني تقليل وقت التعطل بسبب كلمات المرور المفقودة أو المنسية ، وتقليل تفاقم المشكلة.

يحسن الأمن العام

يؤدي استبدال كلمات المرور الضعيفة بحل المصادقة بدون كلمة مرور المصمم جيدًا إلى تحسين الأمان في الواقع لأن بدون كلمة مرور مقاوم للتصيد الاحتيالي ويوفر حماية أفضل ضد الأشكال الأخرى من هجمات الوصول إلى بيانات الاعتماد ، بما في ذلك man-in-the-middle ، و keylogging ، وحشو بيانات الاعتماد ، ورش كلمة المرور ، وغيرها .

إنه أرخص على المدى الطويل

يعتبر امتلاك وتشغيل المصادقة بدون كلمة مرور أرخص عند مقارنتها بكلمات المرور. تتطلب كلمات المرور إدارة باهظة الثمن لأنها تتطلب دعم أنظمة إدارة كلمات المرور لتمكين المستخدمين من إجراء تحديثات دورية لكلمات المرور وإعادة تعيين كلمة المرور من حين لآخر.

تنشئ كلمات المرور أيضًا عبئًا كبيرًا على مكاتب المساعدة عندما ينسى المستخدمون كلمات المرور الخاصة بهم أو يفقدون أداة المصادقة الخاصة بهم ويتصلون بمكتب المساعدة للمساعدة في الاسترداد. يمكن تحقيق المزيد من التوفير في التكاليف عن طريق إيقاف برامج منع التصيد الاحتيالي الموضوعة لتثقيف المستخدمين وحمايتهم من التصيد الاحتيالي. المصادقة بدون كلمة مرور جيدة التصميم مقاومة للتصيد الاحتيالي.

التحديات مع المصادقة بدون كلمة مرور

التحدي الأول للشركات التي تقرر نشر المصادقة بدون كلمة مرور هو عادةً أنظمتها القديمة وتطبيقاتها التي لم يتم تصميمها للمصادقة بدون كلمة مرور. لذلك ، في حين أنه من السهل الاقتناع برؤية مكان عمل بدون كلمة مرور ، إلا أن الوصول إلى هناك قد يكون أمرًا شاقًا عند التعامل مع بيئة تكنولوجيا معلومات غير متجانسة تجمع بين أنظمة جديدة وقديمة.

تتمثل إحدى الطرق في نشر المصادقة بدون كلمة مرور فقط للأنظمة والتطبيقات التي تدعمها. يُترجم هذا عمومًا إلى نشر المصادقة بدون كلمة مرور للتطبيقات السحابية وأحيانًا أيضًا على أنظمة التشغيل الأحدث (مثل أحدث إصدارات Windows 10). لكن عدم استخدام كلمات المرور هو في الحقيقة مجهود كامل أو لا شيء: إما أن تتخلص من كلمات المرور أو لا تفعل ذلك.

لذلك ، لنشر المصادقة بدون كلمة مرور للمستخدمين بنجاح ، لا يكفي عادةً أن تقرر أن بدون كلمة مرور هو خيار أفضل وأرخص وأكثر أمانًا. من المهم اختيار التقنية التي ستساعدك على نشر بدون كلمة مرور عبر بيئة تقنية معلومات حالية وغير متجانسة ، ومعالجة جميع حالات استخدام المصادقة الخاصة بك.

مشهد حل المصادقة بدون كلمة مرور

يدعي كل بائع لحلول المصادقة في السوق تقريبًا أنه يقدم مصادقة بدون كلمة مرور. قام بائعو المصادقة الحاليون بتكييف عرض MFA الخاص بهم للسماح ببعض أشكال المصادقة بدون كلمة مرور لبعض حالات الاستخدام. يعمل مشغلو المصادقة الأحدث بكل ما في الكلمة من معنى بدون كلمة مرور ، ويستهدفون العملاء ببنية تحتية وتطبيقات حديثة ستعمل بشكل جيد مع عدم وجود كلمات مرور - حيث تُترك الأنظمة والتطبيقات القديمة في الخلف.

لكن لا يزال نشر المصادقة بدون كلمة مرور عالميًا غير ممكن لمعظم المؤسسات ، لأنه لا يزال هناك الكثير من الأنظمة والتطبيقات غير المصممة للعمل بدون كلمة مرور. إن ترك كلمات المرور في مكانها لبعض الأنظمة يكاد يقضي على الغرض لأنه للاستفادة من عدم وجود كلمة مرور ، فإنك تحتاج حقًا إلى التخلص من جميع كلمات المرور.

يتطلب الترحيل الناجح إلى حل المصادقة بدون كلمة مرور حلاً يمكنه العمل عبر جميع الأنظمة والتطبيقات ، وتقديم مصادقة بدون كلمة مرور حيثما أمكن وإنشاء تجربة بدون كلمة مرور حيث لا يمكن استخدام كلمة مرور. تكمن فائدة هذا الأسلوب في أنه من منظور UX ، لا يتعين على المستخدمين إنشاء كلمة مرور أو تذكرها أو إدخالها.

من منظور أمني ، إما أن تتم إزالة كلمات المرور تمامًا أو ببساطة غير معروفة للمستخدمين ، مما يجعلها مقاومة للتصيد الاحتيالي. علاوة على ذلك ، عند تنفيذ تجربة بدون كلمة مرور ، تتم إدارة كلمات المرور بواسطة الأجهزة ، مما يعني أنها تستفيد من التعقيد العالي والتناوب المتكرر ، مما يجعلها بدورها أكثر مقاومة للعديد من أشكال الهجمات على كلمات المرور.