روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ انتقال به «کلیدهای عبور»، مسیری مقرونبهصرفه برای سازمانها جهت دستیابی به احراز هویت قوی کارمندان، افزایش بهرهوری و رعایت الزامات قانونی است. مزایا و معایب این راهکار در مقالهای جداگانه و مفصل بررسی شده است. با این حال، موفقیت این انتقال — و حتی امکانپذیری آن — به جزئیات فنی و نحوه پیادهسازی در سامانههای مختلف سازمانی بستگی دارد. ما در این مقاله به آن جزئیات و ریزهکاریها پرداختهایم.
پشتیبانی از کلید عبور در سامانههای مدیریت هویت
پیش از پرداختن به چالشهای سازمانی و تدوین سیاستها، باید بررسی شود که آیا سامانههای اصلی فناوری اطلاعات شما آمادگی استفاده از کلید عبور را دارند یا خیر.
- Microsoft Entra ID (Azure AD) بهطور کامل از کلید عبور پشتیبانی میکند و مدیران میتوانند آن را بهعنوان روش اصلی ورود تنظیم کنند. در استقرارهای ترکیبی با منابع محلی، Entra ID میتواند بلیت Kerberos (TGT) تولید کند که سپس توسط کنترلکننده دامنه Active Directory پردازش میشود.
- مایکروسافت هنوز پشتیبانی بومی از کلید عبور برای RDP، VDI یا ورود به Active Directory فقط-محلی ارائه نکرده است. با این حال، با استفاده از روشهای جایگزین میتوان کلید عبور را روی سختافزاری مانند YubiKey ذخیره کرد. این نوع سختافزار میتواند همزمان از فناوری PIV (کارت هوشمند) و FIDO2 (کلید عبور) پشتیبانی کند. راهکارهای طرفسوم نیز وجود دارند که باید تأثیر آنها بر امنیت کلی و انطباق با مقررات ارزیابی شود.
- Google Workspace و Google Cloud پشتیبانی کامل از کلید عبور ارائه میدهند.
- سامانههای محبوب مدیریت هویت مانند Okta، Ping، Cisco Duo و RSA IDplus نیز از FIDO2 و تمامی انواع کلید عبور پشتیبانی میکنند.
پشتیبانی از کلید عبور در دستگاههای کاربر
تمام سیستمعاملهای مدرن از گوگل، اپل و مایکروسافت از کلید عبور پشتیبانی میکنند. با این حال، در صورت استفاده سازمان از لینوکس، به ابزارهای اضافی نیاز خواهد بود و پشتیبانی همچنان محدود است. با وجود آنکه بهنظر میرسد تمام سیستمعاملهای اصلی از کلید عبور بهطور کامل پشتیبانی میکنند، روش ذخیرهسازی در آنها متفاوت است که میتواند باعث مشکلات سازگاری شود. ترکیبهایی مانند رایانههای ویندوزی با تلفنهای اندرویدی از مشکلسازترین حالتها هستند؛ ممکن است کلید عبور روی یک دستگاه ایجاد شود اما روی دستگاه دیگر قابل استفاده نباشد. برای سازمانهایی که ناوگان دستگاهها[1] را بهصورت متمرکز مدیریت میکنند، یک راهکار ایجاد کلید عبور مجزا برای هر دستگاه است. این روش به تنظیمات اولیه بیشتری نیاز دارد، اما پس از تکمیل، ورود به سیستم سریع و آسان خواهد بود. همچنین، در صورت از دست رفتن یک دستگاه، دسترسی کاربر بهطور کامل قطع نخواهد شد.
گزینه دیگر استفاده از مدیر رمز عبور مورد تأیید شرکت برای ذخیره و همگامسازی کلیدهای عبور در تمامی دستگاههای کارکنان است. این راهکار برای شرکتهایی که از رایانههای لینوکسی استفاده میکنند نیز الزامی است، زیرا این سیستمعامل بهطور بومی قابلیت ذخیرهسازی کلید عبور را ندارد. لازم به ذکر است که این رویکرد ممکن است در زمان انجام ممیزیهای انطباق با مقررات، پیچیدگیهایی ایجاد کند. اگر به دنبال راهکاری با کمترین مشکل در همگامسازی و پشتیبانی از چندین پلتفرم هستید، استفاده از کلید عبور سختافزاری مانند YubiKey بهترین گزینه است. نکته منفی این روش هزینه بالاتر در استقرار و مدیریت آن است.
پشتیبانی از کلید عبور در برنامههای سازمانی
سناریوی ایدهآل برای ورود کلید عبور به برنامههای سازمانی این است که تمام برنامهها از طریق ورود یکپارچه احراز هویت (SSO) شوند. در این صورت، کافی است پشتیبانی از کلید عبور را تنها در راهکار SSO سازمانی، مانند Entra ID یا Okta، پیادهسازی کنید. با این حال، اگر برخی از برنامههای حیاتی کسبوکار از SSO پشتیبانی نکنند یا این پشتیبانی بخشی از قرارداد شما نباشد (که متأسفانه امکان دارد)، ناچار خواهید بود برای هر سیستم جداگانه، کلید عبور مجزا برای کاربران صادر کنید. کلیدهای عبور سختافزاری میتوانند بین ۲۵ تا ۱۰۰ کلید عبور را ذخیره کنند، بنابراین هزینه اضافی اصلی در این حالت مربوط به بخش اداری خواهد بود.
از جمله سامانههای سازمانی محبوب که پشتیبانی کامل از کلید عبور دارند میتوان به Adobe Creative Cloud، AWS، GitHub، Google Workspace، HubSpot، Office 365، Salesforce و Zohoاشاره کرد. برخی سامانههای SAP نیز از کلید عبور پشتیبانی میکنند.
آمادگی کارکنان
پیادهسازی کلید عبور به معنای آمادهسازی تیم برای استفاده در هر شرایطی است. قرار نیست کارکنان هنگام مواجهه با رابطهای جدید سردرگم شوند. هدف این است که همه در استفاده از کلید عبور روی هر دستگاهی احساس اطمینان داشته باشند. نکات کلیدی که کارکنان باید درک کنند شامل موارد زیر است:
- چرایی برتری کلید عبور نسبت به گذرواژهها (امنیت بالاتر، سرعت بیشتر در ورود، و عدم نیاز به تغییر دورهای)
- نحوه کارکرد احراز هویت بیومتریک با کلید عبور (داده بیومتریک هرگز از دستگاه خارج نشده و توسط کارفرما ذخیره یا پردازش نمیگردد)
- روش دریافت اولین کلید عبور (بهعنوان مثال، مایکروسافت قابلیت Temporary Access Pass را ارائه میدهد و سامانههای مدیریت هویت طرفسوم معمولاً یک لینک راهاندازی ارسال میکنند؛ این فرآیند باید بهطور کامل مستندسازی شود)
- اقدام لازم در صورت شناسایی نشدن کلید عبور توسط دستگاه
- اقدام لازم در صورت گمشدن دستگاه (ورود از دستگاه دیگری که کلید عبور مستقل دارد یا استفاده از کد یکبارمصرف که ممکن است در یک پاکت مهر و مومشده برای مواقع اضطراری ارائه شده باشد)
- نحوه ورود به سامانههای کاری از رایانههای دیگر (در صورت مجاز بودن توسط سیاستهای شرکت)
- تشخیص تلاشهای فیشینگ مرتبط با کلید عبور
کلید عبور حلّال همه مشکلات نیست!
استفاده از کلید عبور به این معنا نیست که تیم امنیت سایبری میتواند تهدیدات هویتی را بهطور کامل حذف کند. این فناوری کار مهاجمان را سختتر میکند، اما همچنان ممکن است:
- سیستمهایی که هنوز به کلید عبور مهاجرت نکردهاند، هدف قرار گیرند
- سیستمهایی که روشهای ورود پشتیبان مانند گذرواژه و کد یکبارمصرف دارند، مورد سوءاستفاده قرار گیرند
- توکنهای احراز هویت از دستگاههای آلوده به بدافزارهای سرقت اطلاعات دزدیده شوند
- با استفاده از تکنیکهای خاص، مکانیزمهای حفاظت کلید عبور دور زده شود
در حالی که فیشینگ مستقیم کلید عبور امکانپذیر نیست، مهاجمان میتوانند زیرساخت وب جعلی راهاندازی کنند تا قربانی را فریب داده و او را به احراز هویت و تأیید یک نشست مخرب در یک سرویس سازمانی وادار کنند.
نمونه اخیر از این نوع حمله AiTM در ایالات متحده ثبت شده است. در این رویداد، قربانی به صفحه احراز هویت جعلی یک سرویس سازمانی هدایت شد. مهاجمان ابتدا نام کاربری و گذرواژه او را فیشینگ و سپس با نمایش یک کد QR، تأیید نشست را درخواست کردند. در این مورد، سیاستهای امنیتی بهدرستی پیکربندی شده بودند، بنابراین اسکن این کد QR به احراز هویت موفق منجر نشد. اما از آنجا که چنین مکانیزمی با کلید عبور پیادهسازی شده بود، مهاجمان امیدوار بودند که در جایی این تنظیمات اشتباه انجام شده باشد و بررسی مجاورت فیزیکی دستگاه احراز هویت و دستگاه ذخیرهکننده کلید عبور صورت نگیرد.
ضرورت پیکربندی دقیق سیاستها
مهاجرت به کلید عبور نیازمند پیکربندی دقیق سیاستها است. این شامل:
- سیاستهای احراز هویت: مانند غیرفعالسازی گذرواژهها در صورت وجود کلید عبور یا ممنوعیت استفاده از توکنهای فیزیکی ناشناخته
- سیاستهای نظارتی: مانند ثبت گزارشهای مربوط به ثبت کلید عبور یا سناریوهای استفاده بیندستگاهی از موقعیتهای مشکوک
[1] device fleet همان مجموعهی دستگاههای سازمانی هست که تحت مدیریت متمرکز قرار دارند.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
