لوگوی یوآیدی

راه های جایگزین کردن رمز عبور

جایگزین کلمه عبور
سایر گزینه‌های دیگری که می‌توان از آن‌ها به جای کلمه عبور استفاده کرد، شامل تشخیص صدا، تشخیص مردمک و عنبیه، تشخیص رگه‌های کف دست و حتی تشخیص ضربان قلب است. برای استفاده از تمامی این روش‌ها باید سخت‌افزارهای خاصی وجود داشته باشد که گران‌تر هستند.
فهرست مطالب

این‌که شما عبارت «جایگزین‌ کلمه عبور» را جستجو کرده‌اید، نشان می‌دهد که خوش‌بین هستید و می‌خواهید که به هر شکل ممکن از دردسرهای کلمه عبور خلاص شوید. اگر بگویم که این فقط یک سرگرمی و فانتزی نیست، خوشحال می‌شوید. امروز ما یک سری گزینه جایگزین برای کلمه عبور داریم که در نهایت، شما و مشتریان شما و کارمندان شما را از ریسک‌های امنیتی و مصیبت‌های مربوط به ورود با اعتبارنامه‌ها نجات می‌دهد. در این مقاله، مطالبی را در خصوص گزینه‌های دیگر جایگزین کلمه عبور بیان می‌کنیم و به شما می‌گوییم که چرا این راه‌های جایگزین جواب نداده و موثر عمل نکرده‌اند. پس از آن‌که دریافتید که چه کارهایی را نباید انجام دهید، بهترین گزینه جایگزین برای کلمه عبور را هم به شما می‌گوییم تا بتوانید به شکل امن احراز هویت شوید. دلایل خود را هم خواهم گفت. در نهایت، آماده می‌شوید که روش خود را عوض کنید.

چرا کلمات عبور گزینه‌های خوبی نیستند؟

میکی بودایی، هم‌بنیانگذار شرکت ترنسمیت سکیوریتی می‌گوید: «بیایید با بحث امنیت شروع کنیم. کلمات عبور به سادگی به سرقت می‌روند و سارقین می‌توانند از آن‌ها برای کنترل حساب مشتریان استفاده کنند. کنترل حساب توسط دیگران، هم تجربه بدی را برای مشتریان به وجود می‌‌آورد و هم برای کسب و کار بد است. همچنین، یک جنبه‌ تعهدی و انطباقی هم از نظر مدیریت دیتابیس‌های بزرگ مربوط به کلمات عبور وجود دارد که آن هم ممکن است به سرقت برود… این مسأله، اثرات مستقیم و غیرمستقیم زیادی بر روی شرکت و برند آن خواهد داشت.»

هک پسورد

این را هم می‌دانیم که به خاطرسپردن و مدیریت کلمات عبور برای مشتریان دشوار است. قفل‌شدن حساب یک تجربه سخت و ناامیدکننده است و باید تصمیم بگیرید که اصلاً ارزش دارد که فرآیند ریست را دنبال کنید یا خیر. تعجبی ندارد اگر بگویم که ۹۲ درصد از ما دوباره خرید نمی‌کنیم و سعی می‌کنیم که اعتبارنامه‌های خود را بازیابی کنیم. به این ترتیب، شرکت‌ها درآمد خود را از دست می‌دهند و بعضی از مشتریان آن‌ها هرگز بر نمی‌گردند.

می‌توانیم کلمات عبور خود را کنار بگذاریم و راه دیگری برویم؟

ابتدا نگاهی به گزینه‌های جایگزین کلمه عبور در ۲۰ سال گذشته می‌اندازیم. به مرور زمان، روش‌های بسیاری برای بهبود در امنیت کلمات عبور پدید آمده است. اما تا همین زمان‌ها اخیر، هیچ‌کدام از این روش‌ها نتوانسته‌اند تا خود را از کلمات عبور رها کنند و در بیشتر موارد، تجربه کاربران را بدتر هم کرده‌اند. گزینه‌های زیر همان گزینه‌های جایگزینی برای کلمه عبور هستند که نباید از آن‌ها استفاده کرد. دلایل هم گفته شده است:

عبارت‌های عبور

مفهوم: اثبات شده که هکرها می‌توانند با سعی و خطا و امتحان‌کردن کلمه‌های عبوری مانند «۱۲۳۴۵۶» کنترل را به دست بگیرند. این کلمه عبور، مرسوم‌ترین کلمه عبور در سال ۲۰۲۰ بوده است. یکی از روش‌های سریع برای حل این مشکل، آن است که به جای کلمه عبور از عبارت‌های عبور استفاده شود. این عبارت‌ها در واقع به صورت کلمات تصادفی هستند که معنای خاصی ندارند و بنابراین، هکرها نمی‌توانند به راحتی آن‌ها را حدس زده یا با جستجوی فراگیر (بروت فورس) آن‌ها را به دست آورند.

مشکلات: هکرها می‌توانند عبارت‌های عبور را در میانه راه سرقت کنند. هکرها همچنین می‌توانند از حملات فیشینگ استفاده کنند که شما نمی‌توانید کاری انجام دهید. در این نوع حملات، هکرها یک سری ایمیل فریب‌دهنده برای شما می‌فرستند یا این‌که یک سری وب‌سایت تقلبی درست می‌کنند تا شما را گول بزنند و اعتبارنامه‌های ورود شما را بدزدند. فرقی هم نمی‌کند که عبارت عبور شما تا چه حد پیچیده باشد. بر اساس یکی از تحقیقاتی که ایوانتی انجام داده است، در سال ۲۰۲۰ در حدود ۷۴ درصد از شرکت‌ها در دام حملات فیشینگ افتاده‌اند.

پسورد نامطمئن

از طرف دیگر، وقتی که تعداد حساب‌ها خیلی زیاد می‌شود، به سختی می‌توان از مشتریان انتظار داشت که این عبارت‌های عبور را به خاطر بسپارند و مرتب هم آن‌ها را عوض کنند. این مسأله باعث می‌شود تا مشتریان، تجربه کاربری بدی داشته باشند. قبلاً هم گفتیم که این عبارت‌ها به سادگی فراموش می‌شوند و قفل‌شدن‌ها یک دردسر بزرگ است.

سؤالات مبتنی بر دانش (KBA)

مفهوم: استفاده از سؤالات باز نیز یکی دیگر از روش‌هایی است که با استفاده از آن می‌توان هویت شخصی که به حساب دسترسی پیدا کرده و اعتبارنامه‌های خود را بازیابی می‌کند، به دست آورد. این شیوه، یکی از روش‌های احراز هویت دوعاملی (۲FA) است که علاوه بر کلمه عبور، از آن استفاده می‌شود. در بیشتر موارد، سؤالات دانشی (KBA) را بر اساس مجموعه‌ای از سؤالات و جواب‌های از پیش‌تعیین‌شده طراحی می‌کنند.

مشکلات: اگر کسی صفحات رسانه‌های اجتماعی شما را ببیند، به راحتی می‌تواند به سؤالات دانشی (KBA) شما جواب دهد. سؤالاتی مثل «بهترین دوست زمان کودکی شما چه کسی بوده است؟» یا این‌که «شما کجا همسر خود را دیدید و آشنا شدید»، سؤالاتی هستند که دیگران می‌توانند با جستجو در اینترنت، جواب‌های آن‌ها را به سادگی پیدا کنند.

جالب این‌جا است که خود ما هم گاهی فراموش می‌کنیم که اولین بار به چه شکلی به این سؤالات پاسخ داده‌ایم. مثلاً ممکن من از خودم بپرسم که «آیا من اسم کوچک بهترین دوست خودم را وارد کردم یا اسم وسط او را یا این‌که فامیلی او پس از ازدواج را به عنوان جواب وارد کرده‌ام؟» این موضوع هم باعث می‌شود تا شما یک تجربه بد دیگر به دست آورید.

کدهای عبور یکبار مصرف (OTP)

مفهوم: کلمات عبور یکبار مصرف (OTP) از طریق پیامک، پیام‌های فشاری یا ایمیل ارسال می‌شوند. این روش هم یکی دیگر از روش‌هایی است که از آن به عنوان یک روش تک‌عاملی یا روش دوعاملی (۲FA) علاوه بر کلمه عبور استفاده می‌شود.  در روش OTP، یک کد برای شماره تلفن یا ایمیلی که ثبت شده است، ارسال شده و هویت کاربر شناسایی می‌شود. شماره تلفن یا ایمیل هم یکی از روش‌های اثبات مالکیت است.

مشکلات: کلمات عبور یکبار مصرف (OTP) هم با استفاده از حمله مرد میانی یا حمله تبادل SIM قابل سرقت است. امنیت در این روش در مقابل حملات فیشینگ، نسبت به روش‌های عبارت‌های عبور و سؤالات دانشی (KBA) بیشتر است، اما باز هم در مقابل حملات پیچیده، چندان مقاوم نیست.

OTP

توکن‌های امنیتی

مفهوم: کلیدهای امنیتی، کارت‌های هوشمند یا شماره‌های شناسایی شخصی (PIN)، دستگاه‌های سخت‌افزاری کوچکی هستند که از آن‌ها به منظور دسترسی به ایستگاه‌های کاری یا منابع محدودشده استفاده می‌شود. در بعضی از این توکن‌ها، کلیدهای رمزنگاری‌ای ذخیره می‌شوند که یک امضای دیجیتال یا داده‌های بیومتریک تولید می‌کنند. در بعضی از این دستگاه‌ها هم کلمات عبور را ذخیره می‌کنند.

مشکلات: توکن‌های سخت‌افزار گران بوده و تهیه آن‌ها هزینه‌بر است، مقیاس‌پذیر نیستند و به آسانی گم می‌شوند. این روش جایگزین برای کلمه عبور، سال‌ها پیش برای کارمندانی تهیه شده است که قرار است تا به دارایی‌های دیجیتال شما دسترسی پیدا کنند و اساساً برای مشتریان نیست.

 

ورود به سایت‌های اجتماعی

مفهوم: در ورود به سایت‌های اجتماعی (مانند ورود به فیسبوک، ورود به گوگل و سایر گزینه‌های مشابه دیگری مانند لینکدین، مایکروسافت و اپل) نیز از حساب‌های موجود استفاده می‌شود تا ثبت‌نام و ورود به اپلیکیشن‌ها و پلتفرم‌های شخص ثالث ساده‌تر انجام شود. هدف از این روش هم آن است که یک گزینه‌ ساده برای ایجاد حساب اجباری فراهم شود.

مشکلات: از ورود به سایت‌های اجتماعی نیز از کلمات عبور استفاده می‌شود. در صورتی که هکرها بتوانند حساب‌های فیسبوک، لینکدین و سایر حساب‌های دیگر را هدف قرار داده و به دست آورند، در عین حال توانسته‌اند تا میلیون‌ها اعتبارنامه دیگر کاربر را هم به صورت همزمان سرقت کنند. در صورتی که داده‌های یک سایت اجتماعی سرقت شود، حساب‌های افرادی که از همان کلمات عبور استفاده کرده‌اند، به خطر خواهد افتاد.

علاوه بر این، ورود به سایت‌های اجتماعی به منظور جمع‌آوری اطلاعات و شیوه‌های به اشتراک‌گذاری بسیار مرسوم است. این اپلیکیشن‌ها ممکن است که فعالیت‌های کاربران را ردیابی کرده و بر اساس تبلیغاتی که کاربران بر روی آن‌ها کلیک می‌کنند، آن‌ها را هدف قرار دهند. ارائه «امنیت» برای احراز هویت و در عین حال، به خطر افتادن حریم خصوصی می‌تواند به نوعی تضاد منافع محسوب شود.

نرم‌افزارهای احراز هویت

مفهوم: نرم‌افزارهای احراز هویت، کدهای یکبار مصرف (OTP) شش رقمی تولید می‌کنند. این کدهای شش رقمی هر ۳۰ ثانیه یک بار عوض می‌شوند. شما با وارد کردن این OTPهای دارای محدودیت زمانی می‌توانید به اپلیکیشن یا سایت مورد نظر خود وارد شوید. اگر هکر بتواند کاری کند که OTP شما را هم به دست آورد، فقط ۳۰ ثانیه زمان دارد تا از آن استفاده کند.

مشکلات: مجرمین از آسیب‌پذیری‌های SMS استفاده می‌کنند تا مسیر پیامک‌ها را به دست آورده و OTP شما را کشف کنند. در سال ۲۰۲۰، متخصصین امنیت به این نتیجه رسیدند که Google Authenticator که بر روی دستگاه‌های اندرویدی نصب می‌شود، در مقابل یک تروجان به نام سربروس آسیب‌پذیر است. هکرها می‌توانند در این نرم‌افزار نفوذ کرده، OTPهای شما را به دست آورده و به حساب‌های بانکی شما دسترسی پیدا کنند.

یک مسأله دیگر هم وجود دارد و آن، این‌که نرم‌افزارهای احراز هویت به کلمات عبور و کدهای تصدیق ایمیل شما وصل هستند و این موضوع، شما را در معرض حملات فیشینگ قرار می‌دهد. اگر هکر بتواند به این اعتبارنامه‌ها دست پیدا کند، می‌تواند از حساب احراز هویت‌کننده شما به شکلی استفاده کند که گویا از آن خود او است.

همه این روش‌ها قابل هک‌شدن هستند! فقط هر چه عبارت‌های عبور، سؤالات دانشی (KBA) یا کلمات عبور یکبار مصرف (OTP) اضافه می‌کنیم، تجربه بدتری را برای کاربر به وجود می‌آوریم. آیا گزینه جایگزین بهتری به جای کلمه عبور وجود دارد؟ بله، احراز هویت بیومتریک توانسته تا تمامی مشکلات بالا را از بین ببرد. توضیح می‌دهم که چگونه. اما، یک نکته آخر هم وجود دارد که باید توضیح بدهم.

Google Authenticator

چرا نباید از برنامه‌های مدیر کلمه عبور (Password manager) استفاده کنیم؟

هکرهایی که دارای انگیزه بالایی باشند، به برنامه‌های مدیر کلمه عبور حمله می‌کنند. مخزن اعتبارنامه‌ها میلیون‌ها ارزش دارد. به همین دلیل، مجرمین بسیار تلاش می‌کنند تا حفره‌های امنیتی را در آن بیابند. تلاش‌های این مجرمین را می‌توان در شکست امنیتی ابزار مدیریتی Passwordstate یافت. هنگام به روزرسانی نرم‌افزار یادشده، مجرمین بدافزاری را وارد کرده‌اند و چیزی شبیه به حمله سولاروایند رخ داده است. کلمات عبور تمامی مشتریانی که این نسخه را دانلود کرده‌اند، لو رفته است.

آسیب‌پذیری‌های برنامه‌های مدیر کلمه عبور

پسورد در این زمینه تنها نیست. هکرها توانسته‌اند تا اعتبارنامه‌های موجود در مدیر کلمه عبور LastPass را نیز به سرقت برده و یک آسیب‌پذیری باز را در اختیار آن‌ها قرار داده است. محققین در دانشگاه کالیفرنیا در برکلی توانسته‌اند تا نقص‌های امنیتی موجود در چهار برنامه مدیر کلمه عبور را کشف کنند: RoboForm، My1login، PasswordBox (اکنون Intel Security است) و NeedMyPassword.

این را هم می‌دانیم که هکرها با استفاده از حملات مرد میانی و سایر روش‌های پیشرفته دیگر می‌توانند کلمات عبور را به دست بیاورند و سرقت کنند. هیچ‌یک از برنامه‌های مدیر کلمه عبور نمی‌توانند از این حملات جلوگیری کنند و صرف یک حمله می‌تواند هزینه‌بر باشد. پس بگذارید که شفاف بگویم: برنامه‌های مدیر کلمه عبور یک لایه به امنیت اضافه می‌کنند، اما با این وجود باز هم شما با کلمات عبوری زندگی می‌کنید که همواره در معرض ریسک‌های زیادی هستند.

چه چیزی بهترین جایگزین کلمه عبور است؟

احراز هویت بیومتریک، یکی از روش‌های ایده آل برای تصدیق مشتریان و کارمندان به حساب می‌آید، زیرا هویت کاربر را بر اساس یک ویژگی فیزیکی منحصر بفرد تأیید می‌کند. ساده‌ترین گزینه‌هایی که از آن‌ها می‌‌توان به جای کلمه عبور استفاده کرد، اثر انگشت و تشخیص چهره است. بسیاری از ما تا کنون از روش‌های بیومتریک برای باز کردن گوشی‌های هوشمند یا لپ‌تاپ خود استفاده کرده‌ایم. این روش‌ها می‌توانند تجارب ضعیف و ضعف‌های امنیتی که در یک چشم بر هم زدن منجر به نقض امنیت می‌شوند را از بین ببرند.

روش‌های بیومتریک جایگزین کلمه عبور چگونه کار می‌کنند؟

سیستم احراز هویت، در زمان ثبت‌نام یک هویت بر اساس ویژگی‌های بیومتریک تولید می‌کند. نرم‌افزار تشخیص چهره، ۸۰ تا ۹۰ نقطه گره از ویژگی‌های صورت، حتی خط چانه و عمق چشم‌ها را هم نگاشت می‌کند. اسکنرهای اثرانگشت هم تا ۳۰ مورد از جزییات را می‌گیرند. این در حالی است که هیچ دو نفری، بیشتر از هشت مورد از این جزییات را به صورت مشترک روی اثر انگشت خود ندارند.

پس از این‌که ثبت‌نام انجام شد، ورود به سیستم بسیار سریع و آسان است. کافی است تا شخص، اثر انگشت خود را روی اسکنر اثر انگشت قرار دهند یا این‌که به دوربین دستگاه نگاه کنند. اگر این تصویر با تصویر ذخیره‌شده در بیومتریک دستگاه یکی باشد، حساب بلافاصله باز می‌شود. تجربه کاربری در این حالت، آسان، سیال و اساساً امن است.

نقاط قوت در استفاده از گزینه‌های جایگزین کلمات عبور بر اساس FIDO2

FIDO (هویت سریع آنلاین) یک استاندارد صنعتی برای احراز هویت بدون کلمه عبور است که هدف از طراحی آن، امن‌سازی روش‌های بیومتریک با رمزنگاری کلید عمومی است. به هر دستگاهی که به یک حساب وصل می‌شود، یک مجموعه منحصر بفرد از کلیدها، یک کلید عمومی و یک کلید خصوصی تخصیص داده می‌شود.

قائم‌مقام شرکت ترنسمیت سکوریتی، نیو گلدنبرگ می‌گوید: «در FIDO، عوامل بیومتریک و کلید خصوصی هرگز از روی دستگاه کاربر نهایی از بین نمی‌روند. از روش‌های بیومتریک برای احراز هویت محلّی کاربر بر روی دستگاه استفاده می‌شود. سپس، کلید خصوصی چالش را انجام می‌دهد و آن را به سرور بر می‌گرداند. تنها چیزی که عبور می‌کند، همان چالش علامت‌خورده است.»

با توجه به این‌که عوامل و بیومتریک هرگز نمی‌توانند بین افراد مشترک باشند، بنابراین نمی‌توان آن‌ها را با حملاتی همچون حمله مرد میانی به سرقت برد. FIDO2 همچنین تضمین کرده است که هیچ دیتابیس مرکزی مشخصی برای هویت‌های بیومتریک وجود ندارد که هکرها بتوانند آن را هدف قرار دهند.

فیدو جایگزین پسورد

چرا از میان تمامی هویت‌های بیومتریک، از اثر انگشت و چهره استفاده می‌شود؟

اکوسیستم فناوری آمادگی دارد تا نرم‌افزارهای داخلی دستگاه برای اسکنرهای اثر انگشت و تشخیص چهره تولید کند. علاوه بر این، ما همیشه گوشی‌های خود را به همراه داریم. تقاضا همچنان در حال افزایش است. تحلیلگران پیش‌بینی می‌کنند که تا سال ۲۰۲۴، ۱.۳ میلیارد دستگاه می‌توانند از بیومتریک پشتیبانی کنند.

سایر گزینه‌های دیگری که می‌توان از آن‌ها به جای کلمه عبور استفاده کرد، شامل تشخیص صدا، تشخیص مردمک و عنبیه، تشخیص رگه‌های کف دست و حتی تشخیص ضربان قلب است. برای استفاده از تمامی این روش‌ها باید سخت‌افزارهای خاصی وجود داشته باشد که گران‌تر هستند. بنابراین، این گزینه‌ها را برای مواردی که امنیت بالایی لازم است، کنار گذاشته‌اند.

با یوآیدی، احراز هویت غیرحضوری از جمله احراز هویت سامانه ثنا و احراز هویت سجام را در کوتاهترین زمان و با استفاده از هوش مصنوعی انجام دهید.

برای امتیاز دادن کلیک کنید!
[تعداد نظر: ۰ میانگین: ۰]

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

نوشته های مرتبط

دسترسی سریع

احراز هویت ثنا
احراز هویت اداره کار
وب سرویس احراز هویت
ثبت سفارش سامانه ثنا ویژه ایرانیان خارج از کشور

شبکه های اجتماعی

اینستاگرام
لینکدین

آخرین مقالات

عضویت در خبرنامه

خبرنامه یوآیدی
احراز هویت ؛ پل اعتماد شما در اینترنت
از آخرین تحولات رِگ‌تک و فین‌تک خبردار شوید!

خبرنامه تخصصی درباره هویت دیجیتال، احراز هویت، فین‌تک، رگ‌تک، بانکداری دیجیتال و هوش مصنوعی

لوگو یوآیدی

چه میشد اگر میتوانستیم هویتمان را در اینترنت ضمانت کنیم؟

یک انقلاب بزرگ رخ میداد؛ یعنی دیگر لازم نبود به بانک مراجعه کنیم، کارهای اداری را حضوری انجام بدهیم و یا حتی لازم نبود برای ثبت نام کردن، کاری جز گرفتن ویدیو سلفی انجام بدهیم!

به دنیای احراز هویت دیجیتال خوش آمدید.

دسترسی های سریع
دسته بندی موضوعات

تمامی حقوق برای بینش هوشمند نسل پیشرو محفوظ است 1401©

Linkedin Instagram Twitter Telegram Eaparat Youtube