اینکه شما عبارت «جایگزین کلمه عبور» را جستجو کردهاید، نشان میدهد که خوشبین هستید و میخواهید که به هر شکل ممکن از دردسرهای کلمه عبور خلاص شوید. اگر بگویم که این فقط یک سرگرمی و فانتزی نیست، خوشحال میشوید. امروز ما یک سری گزینه جایگزین برای کلمه عبور داریم که در نهایت، شما و مشتریان شما و کارمندان شما را از ریسکهای امنیتی و مصیبتهای مربوط به ورود با اعتبارنامهها نجات میدهد. در این مقاله، مطالبی را در خصوص گزینههای دیگر جایگزین کلمه عبور بیان میکنیم و به شما میگوییم که چرا این راههای جایگزین جواب نداده و موثر عمل نکردهاند. پس از آنکه دریافتید که چه کارهایی را نباید انجام دهید، بهترین گزینه جایگزین برای کلمه عبور را هم به شما میگوییم تا بتوانید به شکل امن احراز هویت شوید. دلایل خود را هم خواهم گفت. در نهایت، آماده میشوید که روش خود را عوض کنید.
چرا کلمات عبور گزینههای خوبی نیستند؟
میکی بودایی، همبنیانگذار شرکت ترنسمیت سکیوریتی میگوید: «بیایید با بحث امنیت شروع کنیم. کلمات عبور به سادگی به سرقت میروند و سارقین میتوانند از آنها برای کنترل حساب مشتریان استفاده کنند. کنترل حساب توسط دیگران، هم تجربه بدی را برای مشتریان به وجود میآورد و هم برای کسب و کار بد است. همچنین، یک جنبه تعهدی و انطباقی هم از نظر مدیریت دیتابیسهای بزرگ مربوط به کلمات عبور وجود دارد که آن هم ممکن است به سرقت برود… این مسأله، اثرات مستقیم و غیرمستقیم زیادی بر روی شرکت و برند آن خواهد داشت.»
این را هم میدانیم که به خاطرسپردن و مدیریت کلمات عبور برای مشتریان دشوار است. قفلشدن حساب یک تجربه سخت و ناامیدکننده است و باید تصمیم بگیرید که اصلاً ارزش دارد که فرآیند ریست را دنبال کنید یا خیر. تعجبی ندارد اگر بگویم که ۹۲ درصد از ما دوباره خرید نمیکنیم و سعی میکنیم که اعتبارنامههای خود را بازیابی کنیم. به این ترتیب، شرکتها درآمد خود را از دست میدهند و بعضی از مشتریان آنها هرگز بر نمیگردند.
میتوانیم کلمات عبور خود را کنار بگذاریم و راه دیگری برویم؟
ابتدا نگاهی به گزینههای جایگزین کلمه عبور در ۲۰ سال گذشته میاندازیم. به مرور زمان، روشهای بسیاری برای بهبود در امنیت کلمات عبور پدید آمده است. اما تا همین زمانها اخیر، هیچکدام از این روشها نتوانستهاند تا خود را از کلمات عبور رها کنند و در بیشتر موارد، تجربه کاربران را بدتر هم کردهاند. گزینههای زیر همان گزینههای جایگزینی برای کلمه عبور هستند که نباید از آنها استفاده کرد. دلایل هم گفته شده است:
عبارتهای عبور
مفهوم: اثبات شده که هکرها میتوانند با سعی و خطا و امتحانکردن کلمههای عبوری مانند «۱۲۳۴۵۶» کنترل را به دست بگیرند. این کلمه عبور، مرسومترین کلمه عبور در سال ۲۰۲۰ بوده است. یکی از روشهای سریع برای حل این مشکل، آن است که به جای کلمه عبور از عبارتهای عبور استفاده شود. این عبارتها در واقع به صورت کلمات تصادفی هستند که معنای خاصی ندارند و بنابراین، هکرها نمیتوانند به راحتی آنها را حدس زده یا با جستجوی فراگیر (بروت فورس) آنها را به دست آورند.
مشکلات: هکرها میتوانند عبارتهای عبور را در میانه راه سرقت کنند. هکرها همچنین میتوانند از حملات فیشینگ استفاده کنند که شما نمیتوانید کاری انجام دهید. در این نوع حملات، هکرها یک سری ایمیل فریبدهنده برای شما میفرستند یا اینکه یک سری وبسایت تقلبی درست میکنند تا شما را گول بزنند و اعتبارنامههای ورود شما را بدزدند. فرقی هم نمیکند که عبارت عبور شما تا چه حد پیچیده باشد. بر اساس یکی از تحقیقاتی که ایوانتی انجام داده است، در سال ۲۰۲۰ در حدود ۷۴ درصد از شرکتها در دام حملات فیشینگ افتادهاند.
از طرف دیگر، وقتی که تعداد حسابها خیلی زیاد میشود، به سختی میتوان از مشتریان انتظار داشت که این عبارتهای عبور را به خاطر بسپارند و مرتب هم آنها را عوض کنند. این مسأله باعث میشود تا مشتریان، تجربه کاربری بدی داشته باشند. قبلاً هم گفتیم که این عبارتها به سادگی فراموش میشوند و قفلشدنها یک دردسر بزرگ است.
سؤالات مبتنی بر دانش (KBA)
مفهوم: استفاده از سؤالات باز نیز یکی دیگر از روشهایی است که با استفاده از آن میتوان هویت شخصی که به حساب دسترسی پیدا کرده و اعتبارنامههای خود را بازیابی میکند، به دست آورد. این شیوه، یکی از روشهای احراز هویت دوعاملی (۲FA) است که علاوه بر کلمه عبور، از آن استفاده میشود. در بیشتر موارد، سؤالات دانشی (KBA) را بر اساس مجموعهای از سؤالات و جوابهای از پیشتعیینشده طراحی میکنند.
مشکلات: اگر کسی صفحات رسانههای اجتماعی شما را ببیند، به راحتی میتواند به سؤالات دانشی (KBA) شما جواب دهد. سؤالاتی مثل «بهترین دوست زمان کودکی شما چه کسی بوده است؟» یا اینکه «شما کجا همسر خود را دیدید و آشنا شدید»، سؤالاتی هستند که دیگران میتوانند با جستجو در اینترنت، جوابهای آنها را به سادگی پیدا کنند.
جالب اینجا است که خود ما هم گاهی فراموش میکنیم که اولین بار به چه شکلی به این سؤالات پاسخ دادهایم. مثلاً ممکن من از خودم بپرسم که «آیا من اسم کوچک بهترین دوست خودم را وارد کردم یا اسم وسط او را یا اینکه فامیلی او پس از ازدواج را به عنوان جواب وارد کردهام؟» این موضوع هم باعث میشود تا شما یک تجربه بد دیگر به دست آورید.
کدهای عبور یکبار مصرف (OTP)
مفهوم: کلمات عبور یکبار مصرف (OTP) از طریق پیامک، پیامهای فشاری یا ایمیل ارسال میشوند. این روش هم یکی دیگر از روشهایی است که از آن به عنوان یک روش تکعاملی یا روش دوعاملی (۲FA) علاوه بر کلمه عبور استفاده میشود. در روش OTP، یک کد برای شماره تلفن یا ایمیلی که ثبت شده است، ارسال شده و هویت کاربر شناسایی میشود. شماره تلفن یا ایمیل هم یکی از روشهای اثبات مالکیت است.
مشکلات: کلمات عبور یکبار مصرف (OTP) هم با استفاده از حمله مرد میانی یا حمله تبادل SIM قابل سرقت است. امنیت در این روش در مقابل حملات فیشینگ، نسبت به روشهای عبارتهای عبور و سؤالات دانشی (KBA) بیشتر است، اما باز هم در مقابل حملات پیچیده، چندان مقاوم نیست.
توکنهای امنیتی
مفهوم: کلیدهای امنیتی، کارتهای هوشمند یا شمارههای شناسایی شخصی (PIN)، دستگاههای سختافزاری کوچکی هستند که از آنها به منظور دسترسی به ایستگاههای کاری یا منابع محدودشده استفاده میشود. در بعضی از این توکنها، کلیدهای رمزنگاریای ذخیره میشوند که یک امضای دیجیتال یا دادههای بیومتریک تولید میکنند. در بعضی از این دستگاهها هم کلمات عبور را ذخیره میکنند.
مشکلات: توکنهای سختافزار گران بوده و تهیه آنها هزینهبر است، مقیاسپذیر نیستند و به آسانی گم میشوند. این روش جایگزین برای کلمه عبور، سالها پیش برای کارمندانی تهیه شده است که قرار است تا به داراییهای دیجیتال شما دسترسی پیدا کنند و اساساً برای مشتریان نیست.
ورود به سایتهای اجتماعی
مفهوم: در ورود به سایتهای اجتماعی (مانند ورود به فیسبوک، ورود به گوگل و سایر گزینههای مشابه دیگری مانند لینکدین، مایکروسافت و اپل) نیز از حسابهای موجود استفاده میشود تا ثبتنام و ورود به اپلیکیشنها و پلتفرمهای شخص ثالث سادهتر انجام شود. هدف از این روش هم آن است که یک گزینه ساده برای ایجاد حساب اجباری فراهم شود.
مشکلات: از ورود به سایتهای اجتماعی نیز از کلمات عبور استفاده میشود. در صورتی که هکرها بتوانند حسابهای فیسبوک، لینکدین و سایر حسابهای دیگر را هدف قرار داده و به دست آورند، در عین حال توانستهاند تا میلیونها اعتبارنامه دیگر کاربر را هم به صورت همزمان سرقت کنند. در صورتی که دادههای یک سایت اجتماعی سرقت شود، حسابهای افرادی که از همان کلمات عبور استفاده کردهاند، به خطر خواهد افتاد.
علاوه بر این، ورود به سایتهای اجتماعی به منظور جمعآوری اطلاعات و شیوههای به اشتراکگذاری بسیار مرسوم است. این اپلیکیشنها ممکن است که فعالیتهای کاربران را ردیابی کرده و بر اساس تبلیغاتی که کاربران بر روی آنها کلیک میکنند، آنها را هدف قرار دهند. ارائه «امنیت» برای احراز هویت و در عین حال، به خطر افتادن حریم خصوصی میتواند به نوعی تضاد منافع محسوب شود.
نرمافزارهای احراز هویت
مفهوم: نرمافزارهای احراز هویت، کدهای یکبار مصرف (OTP) شش رقمی تولید میکنند. این کدهای شش رقمی هر ۳۰ ثانیه یک بار عوض میشوند. شما با وارد کردن این OTPهای دارای محدودیت زمانی میتوانید به اپلیکیشن یا سایت مورد نظر خود وارد شوید. اگر هکر بتواند کاری کند که OTP شما را هم به دست آورد، فقط ۳۰ ثانیه زمان دارد تا از آن استفاده کند.
مشکلات: مجرمین از آسیبپذیریهای SMS استفاده میکنند تا مسیر پیامکها را به دست آورده و OTP شما را کشف کنند. در سال ۲۰۲۰، متخصصین امنیت به این نتیجه رسیدند که Google Authenticator که بر روی دستگاههای اندرویدی نصب میشود، در مقابل یک تروجان به نام سربروس آسیبپذیر است. هکرها میتوانند در این نرمافزار نفوذ کرده، OTPهای شما را به دست آورده و به حسابهای بانکی شما دسترسی پیدا کنند.
یک مسأله دیگر هم وجود دارد و آن، اینکه نرمافزارهای احراز هویت به کلمات عبور و کدهای تصدیق ایمیل شما وصل هستند و این موضوع، شما را در معرض حملات فیشینگ قرار میدهد. اگر هکر بتواند به این اعتبارنامهها دست پیدا کند، میتواند از حساب احراز هویتکننده شما به شکلی استفاده کند که گویا از آن خود او است.
همه این روشها قابل هکشدن هستند! فقط هر چه عبارتهای عبور، سؤالات دانشی (KBA) یا کلمات عبور یکبار مصرف (OTP) اضافه میکنیم، تجربه بدتری را برای کاربر به وجود میآوریم. آیا گزینه جایگزین بهتری به جای کلمه عبور وجود دارد؟ بله، احراز هویت بیومتریک توانسته تا تمامی مشکلات بالا را از بین ببرد. توضیح میدهم که چگونه. اما، یک نکته آخر هم وجود دارد که باید توضیح بدهم.
چرا نباید از برنامههای مدیر کلمه عبور (Password manager) استفاده کنیم؟
هکرهایی که دارای انگیزه بالایی باشند، به برنامههای مدیر کلمه عبور حمله میکنند. مخزن اعتبارنامهها میلیونها ارزش دارد. به همین دلیل، مجرمین بسیار تلاش میکنند تا حفرههای امنیتی را در آن بیابند. تلاشهای این مجرمین را میتوان در شکست امنیتی ابزار مدیریتی Passwordstate یافت. هنگام به روزرسانی نرمافزار یادشده، مجرمین بدافزاری را وارد کردهاند و چیزی شبیه به حمله سولاروایند رخ داده است. کلمات عبور تمامی مشتریانی که این نسخه را دانلود کردهاند، لو رفته است.
آسیبپذیریهای برنامههای مدیر کلمه عبور
پسورد در این زمینه تنها نیست. هکرها توانستهاند تا اعتبارنامههای موجود در مدیر کلمه عبور LastPass را نیز به سرقت برده و یک آسیبپذیری باز را در اختیار آنها قرار داده است. محققین در دانشگاه کالیفرنیا در برکلی توانستهاند تا نقصهای امنیتی موجود در چهار برنامه مدیر کلمه عبور را کشف کنند: RoboForm، My1login، PasswordBox (اکنون Intel Security است) و NeedMyPassword.
این را هم میدانیم که هکرها با استفاده از حملات مرد میانی و سایر روشهای پیشرفته دیگر میتوانند کلمات عبور را به دست بیاورند و سرقت کنند. هیچیک از برنامههای مدیر کلمه عبور نمیتوانند از این حملات جلوگیری کنند و صرف یک حمله میتواند هزینهبر باشد. پس بگذارید که شفاف بگویم: برنامههای مدیر کلمه عبور یک لایه به امنیت اضافه میکنند، اما با این وجود باز هم شما با کلمات عبوری زندگی میکنید که همواره در معرض ریسکهای زیادی هستند.
چه چیزی بهترین جایگزین کلمه عبور است؟
احراز هویت بیومتریک، یکی از روشهای ایده آل برای تصدیق مشتریان و کارمندان به حساب میآید، زیرا هویت کاربر را بر اساس یک ویژگی فیزیکی منحصر بفرد تأیید میکند. سادهترین گزینههایی که از آنها میتوان به جای کلمه عبور استفاده کرد، اثر انگشت و تشخیص چهره است. بسیاری از ما تا کنون از روشهای بیومتریک برای باز کردن گوشیهای هوشمند یا لپتاپ خود استفاده کردهایم. این روشها میتوانند تجارب ضعیف و ضعفهای امنیتی که در یک چشم بر هم زدن منجر به نقض امنیت میشوند را از بین ببرند.
روشهای بیومتریک جایگزین کلمه عبور چگونه کار میکنند؟
سیستم احراز هویت، در زمان ثبتنام یک هویت بر اساس ویژگیهای بیومتریک تولید میکند. نرمافزار تشخیص چهره، ۸۰ تا ۹۰ نقطه گره از ویژگیهای صورت، حتی خط چانه و عمق چشمها را هم نگاشت میکند. اسکنرهای اثرانگشت هم تا ۳۰ مورد از جزییات را میگیرند. این در حالی است که هیچ دو نفری، بیشتر از هشت مورد از این جزییات را به صورت مشترک روی اثر انگشت خود ندارند.
پس از اینکه ثبتنام انجام شد، ورود به سیستم بسیار سریع و آسان است. کافی است تا شخص، اثر انگشت خود را روی اسکنر اثر انگشت قرار دهند یا اینکه به دوربین دستگاه نگاه کنند. اگر این تصویر با تصویر ذخیرهشده در بیومتریک دستگاه یکی باشد، حساب بلافاصله باز میشود. تجربه کاربری در این حالت، آسان، سیال و اساساً امن است.
نقاط قوت در استفاده از گزینههای جایگزین کلمات عبور بر اساس FIDO2
FIDO (هویت سریع آنلاین) یک استاندارد صنعتی برای احراز هویت بدون کلمه عبور است که هدف از طراحی آن، امنسازی روشهای بیومتریک با رمزنگاری کلید عمومی است. به هر دستگاهی که به یک حساب وصل میشود، یک مجموعه منحصر بفرد از کلیدها، یک کلید عمومی و یک کلید خصوصی تخصیص داده میشود.
قائممقام شرکت ترنسمیت سکوریتی، نیو گلدنبرگ میگوید: «در FIDO، عوامل بیومتریک و کلید خصوصی هرگز از روی دستگاه کاربر نهایی از بین نمیروند. از روشهای بیومتریک برای احراز هویت محلّی کاربر بر روی دستگاه استفاده میشود. سپس، کلید خصوصی چالش را انجام میدهد و آن را به سرور بر میگرداند. تنها چیزی که عبور میکند، همان چالش علامتخورده است.»
با توجه به اینکه عوامل و بیومتریک هرگز نمیتوانند بین افراد مشترک باشند، بنابراین نمیتوان آنها را با حملاتی همچون حمله مرد میانی به سرقت برد. FIDO2 همچنین تضمین کرده است که هیچ دیتابیس مرکزی مشخصی برای هویتهای بیومتریک وجود ندارد که هکرها بتوانند آن را هدف قرار دهند.
چرا از میان تمامی هویتهای بیومتریک، از اثر انگشت و چهره استفاده میشود؟
اکوسیستم فناوری آمادگی دارد تا نرمافزارهای داخلی دستگاه برای اسکنرهای اثر انگشت و تشخیص چهره تولید کند. علاوه بر این، ما همیشه گوشیهای خود را به همراه داریم. تقاضا همچنان در حال افزایش است. تحلیلگران پیشبینی میکنند که تا سال ۲۰۲۴، ۱.۳ میلیارد دستگاه میتوانند از بیومتریک پشتیبانی کنند.
سایر گزینههای دیگری که میتوان از آنها به جای کلمه عبور استفاده کرد، شامل تشخیص صدا، تشخیص مردمک و عنبیه، تشخیص رگههای کف دست و حتی تشخیص ضربان قلب است. برای استفاده از تمامی این روشها باید سختافزارهای خاصی وجود داشته باشد که گرانتر هستند. بنابراین، این گزینهها را برای مواردی که امنیت بالایی لازم است، کنار گذاشتهاند.
با یوآیدی، احراز هویت غیرحضوری از جمله احراز هویت سامانه ثنا و احراز هویت سجام را در کوتاهترین زمان و با استفاده از هوش مصنوعی انجام دهید.