روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  هر غول فناوری برجسته‌ای، کلیدهای عبور را به‌عنوان جایگزینی مؤثر و راحت برای گذرواژه معرفی می‌کند که می‌تواند به فیشینگ و نشت اطلاعات اعتباری پایان دهد. ایده اصلی ساده است: شما با یک کلید رمزنگاری‌شده که به‌طور ایمن در یک ماژول سخت‌افزاری ویژه روی دستگاهتان ذخیره شده است وارد سیستم می‌شوید و این کلید را با استفاده از احراز هویت بیومتریک یا پین کد باز می‌کنید. ما پیش‌تر وضعیت فعلی کلیدهای عبور را برای کاربران خانگی به‌طور مفصل بررسی کرده‌ایم. با این حال، کسب‌وکارها الزامات و رویکردهای کاملاً متفاوتی نسبت به امنیت سایبری دارند. بنابراین، گذرکلیدها و FIDO2 WebAuthn در محیط سازمانی تا چه اندازه خوب عمل می‌کنند؟

دلایل شرکت‌ها برای مهاجرت به کلیدهای عبور

مانند هر مهاجرت در مقیاس بزرگی، روی آوردن به کلیدهای عبور نیازمند توجیه تجاری محکمی است. به‌صورت تئوری، کلیدهای عبور چندین مشکل مهم را به‌طور هم‌زمان هدف قرار می‌دهند:

• کاهش خطر نقض امنیت ناشی از سرقت اطلاعات اعتباری معتبر — مقاومت در برابر فیشینگ، مزیت اصلی تبلیغ‌شده کلیدهای عبور است.
• تقویت دفاع در برابر سایر حملات هویتی، مانند حملات جستجوی فراگیر و استافینگ[1] اطلاعات اعتباری.
• کمک به رعایت الزامات قانونی. در بسیاری از صنایع، نهادهای نظارتی استفاده از روش‌های احراز هویت قوی برای کارکنان را الزامی کرده‌اند و کلیدهای عبور معمولاً واجد شرایط هستند.
• کاهش هزینه‌ها. اگر یک شرکت از کلیدهای عبوری که روی لپ‌تاپ‌ها یا تلفن‌های هوشمند ذخیره می‌شوند استفاده کند، می‌تواند بدون صرف هزینه اضافی برای دستگاه‌های USB، کارت‌های هوشمند و مدیریت و تدارکات مربوطه، به سطح امنیت بالایی دست یابد.
• افزایش بهره‌وری کارکنان. یک فرآیند احراز هویت روان و کارآمد، روزانه در زمان هر کارمند صرفه‌جویی کرده و تعداد تلاش‌های ناموفق برای ورود را کاهش می‌دهد. تغییر به کلیدهای عبور معمولاً با حذف الزام به تغییر مداوم گذرواژه‌ها همراه است که به‌طور گسترده مورد نفرت است.
• کاهش بار کاری میز کمک با کم کردن تعداد درخواست‌های مرتبط با فراموشی گذرواژه یا قفل شدن حساب‌ها. (البته، مشکلات دیگری جایگزین می‌شوند، مانند گم شدن دستگاه‌هایی که حاوی کلید عبور هستند.)

میزان رواج استفاده از کلیدهای عبور

گزارشی از اتحاد FIDO نشان می‌دهد که ۸۷٪ از سازمان‌های مورد بررسی در ایالات متحده و بریتانیا یا پیش‌تر به استفاده از کلیدهای عبور روی آورده‌اند یا در حال گذار به این فناوری هستند. با این حال، بررسی دقیق‌تر گزارش نشان می‌دهد که این رقم چشمگیر شامل گزینه‌های سازمانی آشنایی مانند کارت‌های هوشمند و توکن‌های USB نیز می‌شود که برای دسترسی به حساب‌ها استفاده می‌گردند. اگرچه برخی از این روش‌ها واقعاً بر پایه WebAuthn و کلیدهای عبور هستند، اما خالی از مشکل نیستند. این راهکارها هزینه‌بر بوده و بار دائمی بر دوش تیم‌های فناوری اطلاعات و امنیت سایبری می‌گذارند؛ شامل صدور، تحویل، جایگزینی، لغو اعتبار و سایر امور مرتبط با مدیریت فیزیکی توکن‌ها و کارت‌ها.

در مورد راه‌حل‌هایی که به‌شدت تبلیغ می‌شوند و بر گوشی‌های هوشمند یا همگام‌سازی ابری متکی هستند، ۶۳٪ از پاسخ‌دهندگان گزارش داده‌اند که از این فناوری‌ها استفاده می‌کنند، اما میزان واقعی پذیرش آن‌ها هنوز کاملاً مشخص نیست. شرکت‌هایی که کل نیروی کار خود را به این فناوری جدید منتقل کرده‌اند، بسیار معدود هستند. این فرایند می‌تواند از نظر سازمانی چالش‌برانگیز و از نظر مالی پرهزینه باشد. در اغلب موارد، پیاده‌سازی به‌صورت مرحله‌ای انجام می‌شود. اگرچه استراتژی‌های پایلوت ممکن است متفاوت باشند، شرکت‌ها معمولاً با گروه‌هایی آغاز می‌کنند که به مالکیت فکری (۳۹٪)، مدیران سامانه‌های فناوری اطلاعات (۳۹٪) و مدیران ارشد (۳۴٪) دسترسی دارند.

موانع احتمالی در مسیر پذیرش کلیدهای عبور

زمانی که یک سازمان تصمیم به گذار به کلیدهای عبور می‌گیرد، ناگزیر با مجموعه‌ای از چالش‌های فنی روبه‌رو خواهد شد. این چالش‌ها به‌تنهایی می‌توانند موضوع مقاله‌ای جداگانه باشند. اما در اینجا به برجسته‌ترین مسائل بسنده می‌کنیم:

• دشواری (و در برخی موارد، غیرممکن بودن) مهاجرت به کلیدهای عبور هنگام استفاده از سامانه‌های قدیمی و ایزوله فناوری اطلاعات — به‌ویژه Active Directory محلی
• پراکندگی رویکردهای ذخیره‌سازی کلید عبور در اکوسیستم‌های اپل، گوگل و مایکروسافت که استفاده از یک کلید عبور واحد در دستگاه‌های مختلف را پیچیده می‌کند
• دشواری‌های مدیریتی افزوده در صورت اجازه استفاده از دستگاه‌های شخصی (BYOD) یا، برعکس، وجود محدودیت‌های سخت‌گیرانه مانند ممنوعیت استفاده از بلوتوث
• هزینه‌های مداوم مربوط به خرید یا اجاره توکن‌ها و مدیریت دستگاه‌های فیزیکی
• الزام به استفاده از کلیدهای سخت‌افزاری غیرقابل‌همگام‌سازی برای سناریوهای نیازمند اطمینان بالا همراه با تأییدیه  — حتی با این حال، همه آن‌ها واجد شرایط نیستند و اتحاد FIDO در این زمینه توصیه‌های مشخصی ارائه داده است
• ضرورت آموزش کارکنان و پاسخ‌گویی به دغدغه‌های آن‌ها درباره استفاده از روش‌های بیومتریک
• نیاز به ایجاد سیاست‌های جدید و دقیق در حوزه فناوری اطلاعات، امنیت سایبری و میز کمک برای رسیدگی به مسائلی مانند پراکندگی، سامانه‌های قدیمی، دستگاه‌های گم‌شده و همچنین رویه‌های ورود و خروج کارکنان

نظر نهادهای مقررات‌گذار درباره کلیدهای عبور

با وجود تمام این چالش‌ها، برای برخی سازمان‌ها، گذار به کلیدهای عبور ممکن است نتیجه‌ای از پیش تعیین‌شده باشد، در صورتی که نهادهای مقررات‌گذار آن را الزامی کرده باشند. نهادهای مقررات‌گذار بزرگ در سطح ملی یا صنعتی، به‌طور مستقیم یا غیرمستقیم از کلیدهای عبور حمایت می‌کنند:

•          راهنمای هویت دیجیتال NIST SP 800-63استفاده از «احرازگرهای قابل‌همگام‌سازی» (که به‌وضوح کلیدهای عبور را شامل می‌شود) را برای سطح اطمینان 2 احرازگر و احرازگرهای وابسته به دستگاه را برای سطح اطمینان ۳ مجاز می‌داند. بنابراین، استفاده از کلیدهای عبور به‌راحتی در ممیزی‌های ISO 27001، HIPAA و SOC 2 پذیرفته می‌شود.
•          در تفسیر نسخه DSS 4.0.1، شورای استانداردهای امنیتی PCIبه‌صراحت FIDO2 را به‌عنوان فناوری‌ای معرفی می‌کند که معیارهای «احراز هویت مقاوم در برابر فیشینگ» را برآورده می‌سازد.
•          دستورالعمل خدمات پرداخت اتحادیه اروپا (PSD2)به‌صورت فناوری‌محور نوشته نشده است. با این حال، استفاده از احراز هویت قوی مشتری (SCA) و دستگاه‌های مبتنی بر زیرساخت کلید عمومی (PKI) را برای تراکنش‌های مالی مهم الزامی می‌داند، به‌علاوه پیوند پویا بین داده‌های پرداخت و امضای تراکنش. کلیدهای عبور این الزامات را پشتیبانی می‌کنند.
•          دستورالعمل‌های اروپایی DORA و NIS2نیز فاقد تعهد به فناوری خاصی هستند و تنها بر اجرای احراز هویت چندعاملی تأکید دارند — الزامی که کلیدهای عبور آن را به‌طور کامل برآورده می‌کنند.

به‌طور خلاصه، انتخاب مشخص کلیدهای عبور برای رعایت الزامات مقرراتی اجباری نیست، اما بسیاری از سازمان‌ها آن را مقرون‌به‌صرفه‌ترین مسیر می‌دانند. از جمله عواملی که باعث ترجیح کلیدهای عبور می‌شود می‌توان به استفاده گسترده از خدمات کلود و SaaS، پیاده‌سازی تدریجی کلیدهای عبور در وب‌سایت‌ها و اپلیکیشن‌های مشتری‌محور، و ناوگان به‌خوبی مدیریت‌شده رایانه‌ها و گوشی‌های هوشمند سازمانی اشاره کرد.

نقشه راه سازمانی برای گذار به کلیدهای عبور

•          تشکیل یک تیم بین‌وظیفه‌ای. این تیم باید شامل واحدهای فناوری اطلاعات، امنیت سایبری، مالکان تجاری سامانه‌های IT، پشتیبانی فنی، منابع انسانی و ارتباطات داخلی باشد.
•          ممیزی سامانه‌ها و روش‌های احراز هویت. بررسی کنید که WebAuthn/FIDO2 در کدام بخش‌ها از قبل پشتیبانی می‌شود، کدام سامانه‌ها قابل ارتقا هستند، در کجا می‌توان ادغام ورود یکپارچه (SSO) را پیاده‌سازی کرد، در چه مواردی باید سرویس اختصاصی برای ترجمه روش‌های جدید احراز هویت به فرمت‌های قابل‌پشتیبانی ایجاد شود، و کجا ناچار به ادامه استفاده از کلیدهای عبور هستید — البته با تقویت نظارت SOC.
•          تعریف راهبرد کلید عبور. تصمیم بگیرید که از کلیدهای سخت‌افزاری امنیتی استفاده می‌کنید یا از کلیدهای عبور ذخیره‌شده روی گوشی‌های هوشمند و لپ‌تاپ‌ها. روش‌های اصلی ورود و گزینه‌های دسترسی اضطراری مانند کدهای دسترسی موقت (TAP) را طراحی و پیکربندی کنید.
•          به‌روزرسانی سیاست‌های امنیت اطلاعات سازمان. سیاست‌ها را با توجه به استفاده از کلیدهای عبور بازنویسی کنید. قوانین دقیق ثبت‌نام و بازیابی را تعیین نمایید. پروتکل‌هایی را برای شرایطی که امکان گذار به کلیدهای عبور وجود ندارد (مثلاً به دلیل استفاده از دستگاه قدیمی فاقد پشتیبانی) تدوین کنید. همچنین تدابیر مکملی برای تضمین امنیت ذخیره‌سازی کلید عبور اتخاذ کنید، مانند رمزگذاری اجباری دستگاه، استفاده از بیومتریک، بررسی سلامت دستگاه از طریق مدیریت یکپارچه نقطه پایانی یا مدیریت موبایل سازمانی (UEM/EMM).
•          برنامه‌ریزی برای ترتیب پیاده‌سازی در سامانه‌ها و گروه‌های کاربری مختلف. یک بازه زمانی بلندمدت در نظر بگیرید تا بتوان مشکلات را به‌صورت مرحله‌ای شناسایی و برطرف کرد.
•          فعال‌سازی کلیدهای عبور در سامانه‌های مدیریت دسترسی مانند Entra ID و Google Workspace، و پیکربندی دستگاه‌های مجاز.
•          اجرای پایلوت، با شروع از گروه کوچکی از کاربران. بازخورد جمع‌آوری کنید و دستورالعمل‌ها و رویکرد خود را اصلاح نمایید.
•          اتصال تدریجی سامانه‌هایی که به‌طور بومی از کلیدهای عبور پشتیبانی نمی‌کنند، با استفاده از روش‌هایی مانند ورود یکپارچه (SSO) و راهکارهای مشابه.
•          آموزش کارکنان. یک کمپین پذیرش کلید عبور راه‌اندازی کرده و دستورالعمل‌های واضحی در اختیار کاربران قرار دهید. همچنین با استفاده از «پیشگامان» در هر تیم، روند گذار را تسریع کنید.
•          پایش پیشرفت و بهبود فرایندها. معیارهای استفاده، خطاهای ورود و تیکت‌های پشتیبانی را تحلیل کرده و بر اساس آن سیاست‌های دسترسی و بازیابی را تنظیم کنید.
•          تدریجی از رده خارج کردن روش‌های قدیمی احراز هویت زمانی که نرخ استفاده از آن‌ها به زیر ۱۰٪ رسید. در اولویت، حذف کدهای یک‌بار مصرفی است که از طریق کانال‌های ناامن مانند پیامک و ایمیل ارسال می‌شوند.

[1] Stuffing

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.