پسوردهای مزاحم

این پدیده «خستگی پسوردی» (Password Fatigue) نام دارد؛ قاتل خاموش بهره‌وری و ریسک امنیتی پنهانی که گریبان‌گیر سازمان‌های مدرن شده است. قضیه فراتر از یک آزار ساده است و در واقع یک آسیب‌پذیری هزینه‌بر به‌شمار می‌رود. 

نظرسنجی جهانی ما نشان داده اکثر کاربران همچنان رمز عبور را روش اصلی احراز هویت خود می‌دانند که باید مایه نگرانی اکثر سازمان‌ها باشد، چون در عصر دورکاری و اپلیکیشن‌ها و گوشی‌های هوشمند، کسب و کارها همچنان به سیستم دفاعی متکی هستند که از دهه ۱۹۶۰ میلادی تاکنون تغییر چندانی نکرده است.

 پیچیدگی بدون امنیت

وقتی صحبت از پیچیدگی رمز عبور به میان می‌آید، سازمان‌ها چه به این الزامات تن دهند و چه ندهند، با چالش‌های جدی روبه‌رو هستند. آنها یا به کل بی‌خیال پیچیدگی می‌شوند - مثل موزه لوور که رمز عبور سیستم نظارتی‌اش کلمه لوور (Louvre) بود - یا کاربران را ملزم به استفاده از رشته‌های پیچیده‌ای از حروف کوچک و بزرگ و اعداد و نمادها و تغییرات دوره‌ای می‌کنند. درست است که هدف از این اقدامات تقویت امنیت است، اما رمز عبور پیچیده به سادگی می‌تواند نتیجه معکوس داشته باشد. چند بار پیش آمده که فردی به دلیل فراموش کردن پاسخ سوالات بازیابی رمز عبور یا گم کردن گوشی موبایلی که لینک احراز هویت به آن ارسال می‌شود، چند روز نتوانسته وارد سیستم خود شود؟ یا برای خلاصی از چنین مشکلی ابزارهای تایید شده سازمانی را رها کرده و داده‌های حساس را در گوگل درایو شخصی آپلود می‌کند تا دسترسی به آن برای خود و همکارانش راحت‌تر شود؟ در حالی که این کار دسترسی مجرمان سایبری را آسان‌تر می‌کند.

تراژدی اصلی اینجاست که پیچیدگی بیشتر، لزوما به امنیت بالاتر منجر نمی‌شود. مدت‌هاست که مجرمان سایبری خود را با پیچیدگی‌های رمزهای عبور وفق داده‌اند و از روش‌های تازه و پیشرفته‌ای استفاده می‌کنند. اما موثرترین تکنیک آنها کاری با خود رمز ندارد و ضعیف‌ترین حلقه این زنجیره را که همان فرد سازنده رمز عبور است، هدف می‌گیرد.

چرا باید ساعت‌ها وقت صرف باز کردن یک قفل کرد، وقتی صاحب آن ناخواسته رمز را به شما می‌دهد؟ مواردی وجود داشته که مجرمان سایبری برای جمع‌آوری رمزهای عبور، صفحات ورود جعلی و کاملا مشابه صفحه اصلی طراحی کرده‌اند. 

نشت عظیم داده در مجموعه هتل‌های «ام‌جی‌ام ریزورتس» و «کلوراکس» غول تولیدکننده محصولات مصرفی و بهداشتی، نتیجه جعل هویت کاربران توسط مجرمان بود که از واحد پشتیبانی فنی می‌خواستند رمز عبور و احراز هویت چند‌عاملی‌شان را برایشان تکرار کند. این مهاجمان قفل را نشکستند، با کلید وارد شدند.

ظهور هوش مصنوعی مشکل رمز عبور را جدی‌تر هم کرده است. اکنون مجرمان برای حدس زدن رمز، طراحی ایمیل‌های فیشینگ بی‌نقص و حتی تولید صدایی که با صدای صاحب حساب مو نمی‌زند، از هوش مصنوعی استفاده می‌کنند تا کارکنان بخش پشتیبانی را فریب دهند. رمزهای عبور سنتی توان مقاومت در برابر این نسل جدید حملات را ندارند. 

به گزارش شاخص هویت آر‌اس‌اِی (RSA ID IQ) در سال ۲۰۲۶، ۶۹‌درصد سازمان‌ها طی سه سال گذشته با سرقت اطلاعاتی مواجه شده‌اند که نسبت به نظرسنجی سال گذشته، ۲۷‌درصد رشد داشته است. 

این آمارها انتزاعی نیستند، بلکه نشان‌دهنده خسارات مالی واقعی، اختلال در عملیات و آسیب به شهرت برند هستند که در بسیاری از موارد قابل پیشگیری بودند. اما چگونه؟ کارکنان تحت فشار مناسک ورود به سیستمی هستند که روزبه‌روز مدیریتشان دشوارتر می‌شود. با این حال سازمان‌ها همچنان در برابر همان نفوذهایی آسیب‌پذیرند که قرار بود این اقدامات جلویشان را بگیرد. پس راه‌حل چیست؟

 راهکار بدون رمز عبور

مطمئن‌ترین راه برای رهایی از این چرخه، «احراز هویت بدون رمز عبور» (Passwordless Authentication) است. وقتی رمزی برای سرقت وجود نداشته باشد، ریسک سازمان به‌طور چشمگیری کاهش پیدا می‌کند. از سوی دیگر با حذف اقدامات لازم برای حفظ مرز و وارد کردن رشته‌های طولانی متنی و حرفی و به‌روزرسانی مداوم، ورود به سیستم ساده‌تر می‌شود.

رمزهای عبور معمولا بر پایه «چیزی که می‌دانید» بنا شده‌اند. در حالی که احراز هویت بدون رمز عبور، دو یا چند عامل را جایگزین تایپ کردن رمز می‌کند. مثلا «چیزی که دارید» مانند گوشی موبایلی که با آن وارد می‌شوید و توکن سخت‌افزاری، یا «چیزی که هستید» مانند اسکن چهره یا اثر انگشت. استفاده از این عوامل به یکی از سه روش زیر انجام می‌شود که هر کدام مزایا و معایب خود را دارند: 

۱- اپلیکیشن‌های احراز هویت و اعلان‌ها

در این روش کاربر به جای تایپ رمز عبور، نام کاربری خود را وارد می‌کند و روی اپلیکیشن موبایل مورد اعتماد خود یک اعلان امن دریافت می‌کند که از او می‌خواهد ورود را تایید کند.

مزایا: در محیط‌های کاری بسیار محبوب است و متکی به گوشی هوشمندی است که کاربر همیشه همراه خود دارد.

معایب: گوشی باید به اینترنت دسترسی داشته باشد. کمی کندتر از زیست‌سنجی (Biometric) مستقیم است و در برابر فیشینگ و برخی حملات دیگر آسیب‌پذیری‌هایی دارد.

۲- لینک‌های جادویی 

در این روش سیستم یک لینک اختصاصی به ایمیل یا کد مشخصی به شماره همراه فرد می‌فرستد تا با آن وارد سیستم شود.

مزایا: به سخت‌افزار یا تنظیمات خاصی نیاز ندارد و روی هر دستگاهی که به ایمیل دسترسی داشته باشد کار می‌کند.

معایب: اگرچه کاربر رمزی وارد نمی‌کند، اما از نظر امنیتی واقعا «بدون رمز عبور» نیست. این روش به امنیت ایمیلی متکی است که خود اغلب با یک رمز عبور ضعیف محافظت می‌شود و همچنان در برابر فیشینگ و رهگیری اطلاعات آسیب‌پذیر است.

۳- زیست‌سنجی‌های سیستمی 

در این روش کاربر هویت خود را از طریق اسکن اثر انگشت یا تشخیص چهره که مستقیما در لپ‌تاپ یا گوشی هوشمندش تعبیه شده تایید می‌کند.

مزایا: ساده‌ترین و سریع‌ترین شیوه است و نیازی به آموزش ندارد، چون کاربران برای باز کردن قفل گوشی خود با این روش آشنا هستند.

معایب: احراز هویت را به یک دستگاه خاص محدود می‌کند. اگر آن دستگاه گم شود یا بشکند، سازوکارهای بازیابی حساب باید بسیارقدرتمند باشند.

اگر مشغول ارزیابی گزینه‌های بدون رمز عبور برای شرکت خود هستید، این دو سوال را از خود بپرسید: 

۱. آیا جامع است؟ اگر راهکار شما فقط برای یک محیط یا یک گروه از کاربران کارآیی داشته باشد، مجبور می‌شوید برای پوشش دادن سایر افراد و بخش‌ها راهکارهای اضافی به آن وصله کنید. راهکار شما باید در تمامی پلتفرم‌ها و مدل‌های استقرار و محیط‌ها کار کند. 

۲. آیا واقعا امن است؟ یک ویژگی کلیدی در راهکارهای بدون رمز عبور «مقاومت در برابر فیشینگ» است و برای حذف یکی از رایج‌ترین و پرخطرترین روش‌های حمله، حیاتی به‌شمار می‌رود. 

اما مقاومت در برابر فیشینگ کافی نیست. سازمان‌ها باید در برابر دور زدن، بدافزارها، کلاهبرداری و قطعی سیستم هم مقاوم باشند.

 اگر یک مجرم سایبری بتواند با فریب دادن بخش پشتیبانی فنی، احراز هویت بدون رمز عبور را دور بزند، آن روش دیگر ارزش چندانی نخواهد داشت.

 پیاده‌سازی‌گذار به سیستم جدید

پیاده‌سازی یک الگوی جدید، یک‌شبه اتفاق نمی‌افتد، اما دستاوردهای آن آنی است. از حیاتی‌ترین اپلیکیشن‌ها یا پرریسک‌ترین کاربران شروع کنید و برای امنیت بیشتر، به جای گزینه‌های همگام‌سازی شده که اجازه جابه‌جایی کلید را بین دستگاه‌های مختلف می‌دهند، «کلید عبور» (Passkeys) محدود به دستگاه را انتخاب کنید. 

فرآیندهای ثبت‌نام را با تایید هویت و «تشخیص زنده بودن» (Liveness Detection) دقیق‌تر کنید. علاوه بر این، با «تایید دوجانبه» از بخش پشتیبانی فنی خود محافظت کنید. 

این فرآیند، هویت تماس‌گیرنده را از طریق پیامی روی دستگاه تایید کرده و با نمایش وضعیت «کارشناس معتبر» روی صفحه تماس‌گیرنده، مشروعیت او را نیز ثابت می‌کند. 

در صورت گم شدن دستگاه هم، برای بازیابی امن حساب، به جای رمز عبور از روش‌های جایگزین مطمئن مثل کلیدهای پشتیبان از پیش ثبت‌شده یا تایید مجدد زیست‌سنجی استفاده کنید.

به دنبال راهکارهایی باشید که هنگام ثبت‌نام کاربر در اپلیکیشن، به‌طور خودکار کلیدهای ورود محدود به دستگاه را ارائه می‌دهند. 

در نهایت، در طول زمان‌درصد احراز هویت‌های بدون رمز را در برابر موارد مشکوک به نفوذ بسنجید تا مطمئن شوید اقدامات شما تاثیر مثبتی داشته است.

سازمان‌ها می‌توانند با حذف فرسودگی روزانه ناشی از رمز عبور و بستن یکی از بزرگ‌ترین درهای ورود مجرمان سایبری، سرانجام بهره‌وری و آرامش خاطر خود را بازیابند.

منبع: Fast Company