حساب مشترک و مشکل اشتراک گذاری رمز عبور

حساب مشترک حسابی است که افراد مختلف می‌توانند با استفاده از آن، به منابع مشترکی همچون پلتفرم‌های ابری، دیتابیس‌ها، سرورها، اپلیکیشن‌های شخص ثالث و ابزارهای شبکه دسترسی پیدا کنند. برای این کار معمولاً لازم است تا گروهی از کارکنان دارای یک کلمه عبور محرمانه باشند یا به عبارت دیگر به اشتراک گذاری رمز عبور بپردازند.

در چنین شرایطی ممکن است این سؤال منطقی برای شما پیش آید که “آیا در صورتی که تعداد زیادی از کاربران از اعتبارنامه‌های یکسانی استفاده کنند، باز هم این حساب محرمانه باقی می‌ماند؟” این یک سؤال بحث‌برانگیز و چالشی است که در این‌جا با جزئیات بیشتری در خصوص آن صحبت می‌کنیم.

پس از آن‌که مسأله را باز کردیم، پنج راهکار مختلف را بیان کرده و خواهیم گفت که چرا این محرمانگی در این‌گونه حساب‌ها وجود ندارد. در پایان هم به شما می‌گویم که چگونه می‌توانید این حساب‌ها را به طوری امن سازید که مقیاس‌پذیر بوده و قابلیت دید بیشتری فراهم آورد. اول از همه به این بحث می‌پردازیم که اساساً چرا به حساب‌های مشترک نیاز است؟

ضرورت استفاده از حساب مشترک

سرپرستان یا ادمین‌های شبکه برای نگهداری از ایستگاه‌های کاری، سرورها، شبکه‌ها و مین‌فریم‌ها یک سری حساب مشترک دارند. شرکت شما هم معمولاً به حساب‌های مشترک در قسمت مالی خود نیاز دارد. در این قسمت، معمولاً کارکنان مختلفی کار می‌کنند که باید به سیستم مدیریت مالی یا اپلیکیشن‌های حسابداری دسترسی داشته باشند.

در صنایع مختلف، دلایل متفاوتی برای وجود حساب‌های مشترک وجود دارد. ارائه‌دهندگان سرویس‌های مدیریت‌شده (MSP) باید به صدها سیستم کلاینت دسترسی داشته باشند. ارائه‌دهندگان خدمات مراقبت‌های بهداشتی باید دسترسی‌های مشترکی به سوابق پزشکی داشته باشند تا بتوانند پیش از تصمیم‌گیری برای درمان‌های مختلف، سوابق پزشکی بیماران را مشاهده کنند.

ریسک‌های امنیتی مربوط به حساب‌های مشترک

در مثال‌هایی که بیان شد، استفاده از حساب‌های مشترک اجتناب‌ناپذیر است، اما ایدآل هم نیست. بهتر آن است که کارکنان از منابع مشترک استفاده کنند و نه از حساب‌های مشترک. همه می‌دانید که کلمات عبور به راحتی لو رفته یا سرقت می‌شوند. در صورتی که تعداد افراد بیشتری از یک کلمه عبور مشترک برای ورود به سیستم استفاده کنند، احتمال لو رفتن آن بیشتر هم می‌شود.

این موضوع باعث می‌شود تا در عمل دو سؤال مطرح شود:

1. آیا بدون آن‌که یک مجموعه اعتبارنامه مشترک را اختیار کارکنان قرار داد، راهی وجود دارد که بتوان امنیت را برای حساب‌های مشترک فراهم آورد؟
2. آیا می‌توانیم حساب‌های مشترک را با بیش از یک عامل، احراز هویت کنیم؟

چالش‌های احراز هویت دوعاملی (۲FA) مشترک

بدیهی است که حساب‌های مشترک، به خودی خود امن نیستند و باید یک لایه دیگر برای احراز هویت تأمین کنیم. تا همین اخیر، برای احراز هویت دوعاملی (۲FA) در حساب‌های مشترک، لازم بود تا از توکن‌های سخت همچون کلیدهای امنیت استفاده نمود. این توکن‌ها گران‌قیمت هستند و احتمال گم‌شدن آن‌ها هم وجود دارد.

عامل‌های دوم پیچیده‌ای مانند کدهای عبور یک‌بار مصرف (OTP) که از طریق پیامک یا اطلاع‌رسانی از طریق فشار، معمولاً در اختیار یک کاربر با یک دستگاه قرار می‌گیرد. کدام کاربر و کدام دستگاه که به حساب مشترک وصل است، باید OTP را دریافت کند؟

ارسال این کد برای همه‌ افراد می‌تواند مخرب و گیج‌کننده باشد و نتوان آن را مقیاس‌پذیر کرد. این همان مشکل اساسی و معمایی است که باید حل شود. هیچ روشی وجود ندارد که بتوان فهمید که چه کسی سعی دارد تا وارد سیستم شود.

۱) تغییر کارکنان و لو رفتن

حساب‌های مشترک با انبوهی از مشکلات روبه‌رو هستند. هر بار که یکی از کارکنان از شرکت شما می‌رود، سرپرست سیستم باید بلافاصله کلمه عبور را تغییر داده و اعتبارنامه‌های جدید را به شکلی امن در اختیار تیم مربوط قرار دهد.

این خطر هم وجود دارد که کاربران، کلمات عبور مشترک را در اختیار کارکنان غیرمجاز و افرادی قرار دهند که بیرون از سازمان هستند. شاید این کارمندان نیت بد و مخربی هم نداشته باشند، اما پیامد این کار می‌تواند بسیار مصیبت‌بار باشد.

۲) عدم دیده‌شدن کاربر

سرپرستان IT باید بتوانند کارهایی که در داخل منابع مشترک برای یک کاربر خاص تعریف شده است را انجام دهند. اما در صورتی که همه از یک مجموعه اعتبارنامه یکسان استفاده می‌کنند، شما آن دید را نخواهید داشت. در عوض، تمامی اقدامات به یک شناسه اصلی ربط پیدا می‌کند. در IT، هیچ قابلیت پایشی برای حساب‌های مشترک وجود ندارد.

حداقل مسأله :

حساب‌های مشترک دارای شکاف‌های امنیتی و دردسرهای سرپرستی هستند. در صورتی که نتوان به این سؤال، یعنی “آیا تو واقعاً همان کسی هستی که ادعا می‌کنی؟” پاسخ داد، نمی‌توانید احراز هویت را به صورت قطعی انجام دهید.

احراز هویت دوعاملی (۲FA): 5 راهی که باید از آن‌ها دوری کرد

تلاش‌هایی که برای امن‌سازی حساب مشترک انجام شده است، منجر به تعدادی راهکار غیرمؤثر شده که شامل اصلاح در باند تا استفاده از ابزارهای سازمانی گران‌قیمت می‌شود. بنابراین، پیش از آن‌که امن‌ترین، ساده‌ترین و مقرون به صرفه‌ترین روش‌های احراز هویت چندعاملی (MFA) برای حساب‌های مشترک را به شما معرفی کنیم، پنج روش را معرفی می‌کنیم که نباید از آن‌ها استفاده کنید و دلایل خود را هم می‌گوییم:

1. احراز هویت دوعاملی (۲FA) از طریق پیامک :
   در صورتی که کدهای امنیتی از طریق پیامک ارسال شوند، ممکن است در معرض حملاتی همچون مرد میانی، تبادل SIM، اسمیشینگ، حملات SS7 و سایر تاکتیک‌های پیشرفته دیگر قرار گرفته و ربوده شوند.
2. احراز هویت دوعاملی (۲FA) به هر شکل ممکن :
   احراز هویت چندعاملی (MFA) به مراتب قدرتمندتر از احراز هویت دوعاملی (۲FA) است. زیرا در این روش از عوامل پیشرفته برای احراز هویت مانند عوامل زیست‌سنجی یا بیومتریک هم استفاده می‌شود.
   شما می‌توانید با استفاده از عوامل بیومتریک و کلید خصوصی در دستگاه کاربر نهایی از احراز هویت چندعاملی بهره ببرید و دیگر نیاز به هیچ کلمه عبوری هم نخواهید داشت.
3. اپلیکیشن‌های احراز هویت :
   یکی از دغدغه‌های معمول این است که “چگونه می‌توان احراز هویت دوعاملی (۲FA) را برای حساب‌های مشترک ایجاد کرد؟” در یکی از فروم‌های IT، یک نفر نکاتی را در خصوص استفاده از اپلیکیشن احراز هویت ارسال کرده که با استفاده از آن می‌توان ۲FA را برای حساب‌های مشترک نیز ایجاد کرد.
   اما این روش، کمبودهای زیادی هم دارد. از همه مهم‌تر این‌که در این روش امکان احراز هویت برای هر یک از کاربران وجود ندارد. باز هم هویت واقعی این افراد نامشخص باقی می‌ماند.
4. مدیر کلمه عبور :
   هر چند در این روش، احراز هویت دوعاملی (۲FA) وجود ندارد. اما در هر صورت یک لایه از امنیت اضافه می‌شود که البته، یک لایه نازک است. مشکل این‌جا است که هکرها برنامه‌های مدیر کلمه عبور را هدف قرار می‌دهند. این مسأله در حمله اخیر Passwordstate اثبات شده است که در آن، هکرها یک نرم‌افزار مخرب را در به روزرسانی نرم‌افزار وارد کرده‌اند. این را هم می‌دانیم که در حمله مرد میانی، کلمه عبور در هنگام انتقال ربوده می‌شود.
5. مدیریت دسترسی برای دسترسی‌های ویژه (PAM) :
   در PAM، دسترسی‌ها مدیریت شده و فعالیت‌های حساب‌های مشترک هم پایش می‌شوند و بدین ترتیب، سطح بالاتری از امنیت و ممیزی ایجاد می‌شود. این راهکارها هم گران‌قیمت هستند، پیاده‌سازی آن‌ها دشوار است و همواره باید از آن‌ها نگهداری شود.
   با توجه به این‌که پیاده‌سازی  PAM گران است، بنابراین فقط برای سیستم‌های بحرانی از آن استفاده می‌شود. در نتیجه، حساب‌های مشترکی که از نظر حملات، خیلی بحرانی به حساب نمی‌آیند، از قلم می‌افتند.

راهکار: احراز هویت چندعاملی برای حساب‌های مشترک

اکنون که احراز هویت دوعاملی (۲FA) را شناختیم، وقت آن است که ببینیم چرا راهکارهای احراز هویت چند عاملی برتر هستند. نکته این‌جا است که ۲FA با اعتبارنامه‌های استاندارد برای ورود آغاز می‌شود و یک عامل احراز هویت دیگر هم در بالای آن قرار می‌گیرد.

در مقابل، در احراز هویت بیومتریک FIDO2، احراز هویت چندعاملی (MFA) قوی به صورت لحظه‌ای و بدون هیچ نیازی به نام کاربری، کلمه عبور یا کد عبور یک‌بار مصرف (OTP) انجام می‌شود.

یوآیدی توانسته است تا با استفاده از اثر انگشت و تشخیص چهره، یک عامل بیومتریک ذاتی (یعنی آن چیزی که شما هستید) و همچنین یک عامل مالکیت (آن‌چیزی که در اختیار دارید) به اضافه یک کلید خصوصی که بر روی دستگاه شما ثبت می‌شود را تصدیق کند. در احراز هویت چندعاملی (MFA)، می‌توان با استفاده از صرفاً یک اقدام از طرف کاربر، به بهترین شکل امنیت را برای حساب‌های مشترک به وجود آورد. مانند یک اسکن بیومتریک.

احراز هویت بیومتریک با استفاده از یوآیدی یک تجربه‌ بسیار امن و کاربرپسند فراهم نموده و در نهایت هم می‌تواند مشکل خاص کسب و کار در حفاظت از حساب‌های مشترک را حل و فصل کند.