آخرین اخبار
صفحه اصلی
اخبار

احراز هویت بدون گذرواژه؛ استاندارد جدید امنیت

تاریخ:
در: اخبار, امنیت سایبری, مقالات
دیدگاهتان را بنویسید:
121 نمایش ها

کمیته رکن چهارم – با افزایش حملات مبتنی بر سرقت اعتبارنامه، سازمان‌ها به‌طور فزاینده در حال گذار از احراز هویت مبتنی بر گذرواژه به فناوری Passkey هستند؛ رویکردی که می‌تواند ریسک فیشینگ و سوءاستفاده از رمزهای عبور را به‌طور چشمگیری کاهش دهد. این تحول به‌ویژه برای سازمان‌های منطبق با ISO/IEC 27001 اهمیت راهبردی دارد.

به گزارش کمیته رکن چهارم، گذرواژه‌ها همچنان یکی از ضعیف‌ترین نقاط زنجیره امنیت دیجیتال محسوب می‌شوند. طبق گزارش Verizon Data Breach Investigations Report 2023، حدود ۴۹ درصد رخدادهای امنیتی به اعتبارنامه‌های افشاشده مرتبط است و ۸۴ درصد کاربران از گذرواژه تکراری در چند حساب استفاده می‌کنند؛ موضوعی که ریسک سیستماتیک ایجاد می‌کند.

Passkey چیست و چگونه کار می‌کند؟

Passkey بر پایه استانداردهای FIDO2 و WebAuthn توسعه یافته و به‌جای اتکا به «چیزی که کاربر می‌داند»، از «چیزی که دارد یا هست» استفاده می‌کند.

در این مدل:

  • یک جفت کلید رمزنگاری تولید می‌شود

  • کلید خصوصی فقط روی دستگاه باقی می‌ماند

  • کلید عمومی نزد سرویس ثبت می‌شود

  • احراز هویت از طریق امضای یک چالش رمزنگاری‌شده انجام می‌شود

به دلیل آن‌که کلید خصوصی هرگز دستگاه را ترک نمی‌کند، حملاتی مانند فیشینگ، credential stuffing و brute force عملاً بی‌اثر می‌شوند.

طبق راهنمای NIST SP 800-63B، Passkeyها معمولاً در سطح اطمینان AAL2 یا AAL3 قرار می‌گیرند.

دو نوع اصلی Passkey عبارت‌اند از:

  • Device-bound (وابسته به دستگاه، مناسب برای AAL3)

  • Syncable (همگام‌سازی‌شونده در فضای ابری رمزگذاری‌شده، معمولاً AAL2)

انطباق با ISO/IEC 27001

در نسخه ۲۰۲۲ استاندارد ISO/IEC 27001، احراز هویت ذیل کنترل‌های زیر قرار می‌گیرد:

Annex A 5.15 – کنترل دسترسی
تعریف سیاست‌های احراز هویت، تخصیص و لغو دسترسی.

Annex A 5.17 – اطلاعات احراز هویت
مدیریت و حفاظت از داده‌های احراز هویت.

Annex A 8.5 – احراز هویت امن
الزامات فنی از جمله MFA برای دسترسی‌های حساس.

سازمان‌هایی که به Passkey مهاجرت می‌کنند باید:

  • سیاست‌های جدید احراز هویت را مستندسازی کنند

  • سناریوهای از دست رفتن یا سرقت دستگاه را تعریف کنند

  • فرآیند ثبت‌نام و ثبت‌نام مجدد را مشخص کنند

  • سطح MFA بودن Passkey را اثبات کنند

مدیریت ریسک؛ چه چیزی حذف و چه چیزی ایجاد می‌شود؟

ریسک‌های کاهش‌یافته

  • فیشینگ و سرقت اعتبارنامه

  • استفاده مجدد از گذرواژه

  • brute force و credential stuffing

ریسک‌های جدید

  • از دست رفتن دستگاه

  • وابستگی به فروشندگان در Passkeyهای همگام‌سازی‌شونده

  • پیچیدگی بازیابی حساب

  • حملات downgrade به مدل گذرواژه

مزایای عملی برای سازمان‌ها

بر اساس داده‌های منتشرشده:

  • حذف کامل حملات مبتنی بر گذرواژه در حساب‌های فقط-Passkey (گوگل)

  • ۳۰٪ افزایش نرخ موفقیت ورود

  • ۲۰٪ کاهش زمان ورود

  • کاهش ۲۰ تا ۴۰ درصدی تماس‌های پشتیبانی مرتبط با ریست رمز

  • هر ریست گذرواژه ≈ ۷۰ دلار هزینه مستقیم

Passkey همچنین با الزامات NIST AAL2/AAL3، PCI DSS 4.0، GDPR و SOC 2 هم‌راستا است.

چالش‌های گذار

۱. کاملاً ضد فیشینگ نیست — حملات downgrade یا سوءاستفاده از OAuth ممکن است رخ دهد.
۲. بازیابی حساب نیازمند طراحی دقیق است (Passkey پشتیبان، کد بازیابی، تأیید هویت دستی).
۳. در محیط‌های ترکیبی، پیچیدگی ممیزی و ناهمگونی امنیتی افزایش می‌یابد.

بهترین شیوه‌های پیاده‌سازی

  • شروع با حساب‌های ممتاز و پرریسک

  • ترکیب Passkey با مدیریت نشست و امنیت دستگاه

  • تعیین ضرب‌الاجل مشخص برای حذف گذرواژه

  • مستندسازی کامل معماری، سیاست‌ها و ارزیابی ریسک

جمع‌بندی

گذرواژه‌ها هنوز کار می‌کنند، اما پاسخگوی تهدیدهای مدرن نیستند. Passkey می‌تواند تحول بنیادینی در امنیت احراز هویت ایجاد کند، مشروط بر آن‌که سازمان‌ها رویکردی مبتنی بر ریسک، مستندسازی دقیق و مدیریت هوشمند دوره گذار را در پیش بگیرند.

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Blue Captcha Characters Below.