چرا کلیدهای عبور جایگزین رمزهای عبور می شوند؟

رمز عبور مزایای بسیاری نسبت به رمزهای عبور برای سازمان های فناوری اطلاعات دارد. تجربه کاربری نیز به مراتب بهتر است.

با رشد حملات پیچیده علیه نرم‌افزارهای حیاتی و سیستم‌های زیرساختی، احراز هویت چندعاملی (MFA) به عنوان یک لایه دفاعی حیاتی در برابر دسترسی‌های غیرمجاز ظاهر شده است. تعداد فزاینده‌ای از برنامه‌ها و پلتفرم‌های فناوری شرکت‌ها و توسعه‌دهندگان، از GitHub گرفته تا Salesforce و Amazon Web Services، MFA را برای کاربران اجباری می‌کنند.

گفته شد، همه ما به گذرواژه‌ها عادت کرده‌ایم و بسیاری از مردم وضعیت موجود را دوست دارند. جای تعجب نیست که معرفی MFA اصطکاک را به فرآیند ورود اضافه کرده است. این می تواند بر تجربه کاربر تأثیر منفی بگذارد.

یک فناوری جدیدتر که می تواند حتی مزایای امنیتی بیشتری نسبت به MFA ارائه دهد، اکنون به طور گسترده در حال گسترش است. این فناوری رمز عبور نامیده می شود. بر اساس استانداردهای صنعتی به طور گسترده پذیرفته شده، کلیدهای عبور وعده وسوسه انگیزی را برای از بین بردن نیاز به رمز عبور و خطرات ایجاد شده توسط گذرواژه ها بدون افزودن اصطکاک تجربه کاربر مانند MFA ارائه می دهند.

به عبارت دیگر، با کلیدهای عبور، می توانید امنیت عالی و تجربه کاربری عالی داشته باشید، ترکیبی که تا به حال دستیابی به آن تقریبا غیرممکن به نظر می رسید.

چگونه کلیدهای عبور رمز عبور را حذف می کنند

منشا کلیدهای عبور را می توان به توسعه Web Authentication (WebAuthn)، یک استاندارد وب ایجاد شده توسط کنسرسیوم وب جهانی (W3C) و اتحاد FIDO ردیابی کرد. WebAuthn جزء اصلی پروژه FIDO2 است که برای ایجاد یک استاندارد احراز هویت باز امن تر و راحت تر راه اندازی شد. این استانداردها با تعریف چارچوبی برای رمزنگاری کلید عمومی به عنوان مبنایی برای احراز هویت، زمینه را برای توسعه کلیدهای عبور ایجاد کردند.

در حالی که توافق همه بازیگران اصلی صنعت در مورد جزئیات دقیق کلیدهای عبور سال ها طول کشید، امروز اپل، گوگل، مایکروسافت و بسیاری از شرکت های فناوری بزرگ دیگر یا از کلیدهای عبور پشتیبانی می کنند یا برنامه هایی برای انجام این کار در سال آینده دارند. همه مرورگرهای اصلی از کلیدهای عبور پشتیبانی می کنند و تعداد فزاینده ای از برنامه های کاربردی سازمانی و مصرف کننده نیز از کلیدهای عبور پشتیبانی می کنند.

کلیدهای عبور از رمزنگاری کلید عمومی استفاده می کنند. رمزهای عبور سنتی متکی به یک رشته مخفی از کاراکترها هستند که هم برای کاربر و هم برای سرور شناخته شده است. در قراردادها، کلیدهای عبور از یک جفت کلید رمزنگاری استفاده می کنند: یک کلید خصوصی و یک کلید عمومی. کلید خصوصی به طور ایمن در دستگاه کاربر یا در مرورگر او ذخیره می شود و هرگز به اشتراک گذاشته نمی شود. کلید عمومی در سرور یک سرویس یا سیستم (به عنوان مثال، ماژول احراز هویت یک برنامه SaaS) ذخیره می شود.

هنگامی که کاربر سعی می کند وارد سیستم شود، سرور چالشی را برای دستگاه یا مرورگر ارسال می کند. دستگاه یا مرورگر کاربر چالش را با یک کلید خصوصی امضا می کند و آن را به سرور می فرستد، که چالش را در برابر کلید عمومی تأیید می کند. یک رمز عبور می‌تواند به چالش بیومتریک نیاز داشته باشد، یا فقط می‌تواند بدون نیاز به هیچ گونه اقدام کاربر، روی دستگاه یا مرورگر کار کند. وقتی کلیدهای عبور به خوبی پیاده سازی شوند، رمز عبور و MFA را می توان حذف کرد و ورود به سیستم کاملاً بدون دردسر می شود.

مزایای کلیدهای عبور در مقابل رمزهای عبور

بدیهی است که دیگر نیازی نیست گذرواژه‌ها را به خاطر بسپارد، مدیریت کند و بچرخاند، که به خودی خود یک مزیت بزرگ است. اما کلیدهای عبور مزایای حیاتی دیگری نیز دارند:

• دزدیدن کلیدهای عبور سخت تر است. از آنجایی که کلید خصوصی هرگز دستگاه کاربر را ترک نمی‌کند، سرقت اطلاعات اعتبار برای هکرها در مقایسه با رمزهای عبور سنتی بسیار دشوارتر است.
• کلیدهای عبور به طور خودکار می چرخند. از آنجایی که یک الگوریتم رمزنگاری است، یک رمز عبور پاسخ متفاوتی به هر تلاش برای ورود ایجاد می کند. این از حملات تکراری جلوگیری می‌کند و صفر- را ساده می‌کند. با ایجاد یکپارچه و نامرئی کردن احراز هویت مجدد و احراز هویت مداوم به امنیت اعتماد کنید.
• کلیدهای عبور از فیشینگ و به خطر افتادن ایمیل های تجاری جلوگیری می کنند. پاسخ‌های کلید عبور ایجاد شده به صورت پویا از حملات فیشینگ و ایمیل تجاری (BEC) نیز جلوگیری می‌کند، که برای دسترسی به گذرواژه‌های ثابت منطبق با حساب یا نام‌های کاربری متکی هستند.
• کلیدهای عبور نقض رمز عبور را از بین می برند. از آنجایی که هیچ رمز عبوری روی سرور ذخیره نمی شود، خطر نقض گسترده رمز عبور عملاً از بین می رود. این امر تا حد زیادی خطر جرایم سایبری مرتبط با رمز عبور را به طور گسترده کاهش می دهد و همچنین بار عملیاتی تیم های امنیتی فناوری اطلاعات را کاهش می دهد.
• کلیدهای عبور به راحتی با مکانیسم های امنیتی قوی موجود ادغام می شوند. سازمان‌های آگاه به امنیت مدت‌ها پیش از شیوه‌های امنیتی سختگیرانه مانند کدهای احراز هویت پویا که بر روی برنامه‌های احراز هویت یا توکن‌های سخت‌افزاری تولید می‌شوند، استقبال کردند. کلیدهای عبور به خوبی با این سیستم‌ها ادغام می‌شوند و می‌توانند همراه با برنامه‌های احراز هویت و کلیدهای سخت‌افزاری استفاده شوند که می‌توانند کلیدهای عبور را میزبانی کنند.

کلیدهای عبور همچنان با چالش های متعددی روبرو هستند

علیرغم مزایای متعدد، کلیدهای عبور با تعدادی چالش روبرو هستند. برای شروع، کاربران با رمزهای عبور به عنوان چیزی که می توانند ببینند و به راحتی تغییر دهند راحت هستند. برای بسیاری، توانایی به خاطر سپردن و استفاده مجدد از رمزهای عبور یک ویژگی است، نه یک اشکال. در تجربه ما، تیم‌های فناوری اطلاعات سازمانی اغلب از شما می‌خواهند که کلیدهای عبور را خاموش کرده و پس از مواجهه با پس‌بعد کاربر، به MFA استاندارد بازگردند. آموزش کاربر و راحتی کاربر همچنان مسائل کلیدی هستند.

اما شرکت‌ها قدرت اعمال رفتار را دارند. برای مصرف کنندگان، پذیرش کلیدهای عبور ممکن است مشکل سخت تری باشد. حتی راه‌اندازی کلیدهای عبور در دستگاه‌های اندروید و آیفون و مرورگرهای مختلف همچنان پیچیده است. به این پیچیدگی‌ها، احتمال سردرگمی کلید رمز با کاربران کیف پول رمز عبور است که برخی از کلیدهای عبور را در کیف پول خود و برخی دیگر را در زنجیره‌کلیدهای روی دستگاه ذخیره می‌کنند.

کاربران همچنین در مورد عوارض ناشی از مکانیسم های بازنشانی کلید عبور در صورتی که کنترل دستگاه خود را از دست بدهند، محتاط هستند. و هنوز سایر کاربران استفاده از بیومتریک را دوست ندارند، که می تواند یک لایه امنیتی اضافی به کلیدهای عبور اضافه کند و همچنین راهی مناسب برای احراز هویت کاربران برای بازنشانی کلید عبور است.

کلیدهای عبور آینده هستند

در حالی که این چالش ها واقعی هستند، ما شاهد تقاضای زیادی برای کلیدهای عبور هستیم زیرا سازمان های فناوری اطلاعات به دنبال ارائه تجربه کاربری بهتر بدون به خطر انداختن امنیت هستند. وقتی کلیدهای عبور درست کار می‌کنند، کاربران دیگر به ورود به عنوان یک مانع فکر نمی‌کنند و یکی از بزرگترین زمان‌ها برای تیم‌های فناوری اطلاعات شرکت‌ها ناپدید می‌شود و تیم‌های کوتاه‌مدت را آزاد می‌کند تا روی مسائل پیچیده‌تر تمرکز کنند. کاربران همچنین در زمان و دردسرهای بازنشانی رمز عبور و مدیریت گیج کننده و دردناک و چرخش رمزهای عبور (که همراهان ضروری MFA در رژیم قدیمی هستند) صرفه جویی می کنند.

نتیجه نهایی: از آنجایی که سازمان‌ها تعادل بین امنیت قوی و تجربه کاربری مثبت را دنبال می‌کنند، کلیدهای عبور به عنوان یک راه‌حل قدرتمند در حال ظهور هستند. با استفاده از کلیدهای عبور، سازمان‌ها می‌توانند وضعیت امنیتی خود را تقویت کنند و در عین حال تجربه ورود به سیستم را برای کاربران خود افزایش دهند.

Aviad Mizrachi CTO و یکی از بنیانگذاران Frontegg است.

—

انجمن فناوری جدید مکانی را برای رهبران فناوری – از جمله فروشندگان و سایر مشارکت‌کنندگان خارجی – فراهم می‌کند تا فناوری سازمانی نوظهور را در عمق و وسعت بی‌سابقه بررسی و بحث کنند. انتخاب ذهنی است، بر اساس انتخاب ما از فناوری هایی که معتقدیم مهم هستند و برای خوانندگان InfoWorld بیشترین علاقه را دارند. InfoWorld وثیقه بازاریابی را برای انتشار نمی پذیرد و حق ویرایش تمام محتوای ارائه شده را برای خود محفوظ می دارد. همه پرس و جوها را به doug_dineley@foundryco.com.