من الواضح أن كلمات المرور وحدها لا تكفي لحماية أصول الشركة وشبكاتها وتطبيقاتها وبياناتها. وفقًا لمحللي Verizon ، في عام 2017 ، كان 81 ٪ من تسريبات البيانات حول العالم بسبب سوء استخدام أوراق الاعتماد أو كلمات المرور المسروقة أو الضعيفة. عدد التسريبات مع تكاليف الشركات وعواقب هذه الانتهاكات آخذ في الازدياد سنويا. من أجل التخفيف من هذه المخاطر ، يجب ألا تنسى الشركة بأي حال من الأحوال ضمان أمن بياناتها.
لا تزال المصادقة متعددة العوامل عنصرًا لا غنى عنه في البيئة الرقمية الحالية. يبلغ إجمالي معدل النمو السنوي لسوق الرمز المميز للأجهزة 8٪. تساعد المصادقة على زيادة الأمان من خلال الجمع بين "عامل" واحد أو أكثر ، مما يساعد على تحديد الشخص الذي يطلب الوصول والتحقق من أنه هو بالضبط الذي يدعي أنه. تتضمن هذه العوامل ما لديك (بطاقة ذكية أو معرّف هاتف محمول مُخزن على هاتف ذكي أو جهاز آخر) ؛ ما تعرفه (على سبيل المثال ، PIN) وشيء ما أنت عليه (البيانات البيومترية).
يسعى عدد متزايد من الشركات لضمان الامتثال التنظيمي ، وأصبحت المصادقة القوية مع سجل الأحداث مطلبًا ملحًا إلى حد ما. مثالان بارزان هما قواعد الاتحاد الأوروبي فيما يتعلق بتوجيه الدفع PSD2 للمؤسسات المالية ومتطلبات السرية في اللائحة العامة لحماية البيانات (GDPR) للمواطنين. ومع ذلك ، فإن هذه المتطلبات لا تنطبق فقط على شركات الاتحاد الأوروبي ، ولكن أيضًا على العديد من المنظمات من أجزاء أخرى من العالم. ستتأثر معظم الشركات باللائحة العامة لحماية البيانات ، بالإضافة إلى المبادرات الحكومية في بلدانها ، مثل HIPAA للرعاية الصحية الأمريكية.
إحدى الطرق الموثوقة لنشر المصادقة متعددة العوامل للموظفين هي استخدام رمز الأجهزة. غالبًا ما يكون هذا جهازًا صغيرًا محمولًا يحسب سلسلة من الأرقام الصالحة لفترة زمنية محدودة ويستخدم ككلمة مرور لمرة واحدة (OTP). يقوم المستخدم بإدخال هذا الرمز (شيء لديه) بالإضافة إلى رمز PIN (شيء يعرفه) لتأكيد هويته للوصول. في الواقع ، تتم مقارنة هذه القيمة مع القيمة المحسوبة على النظام الأساسي لمصادقة الخادم الداخلي باستخدام نفس التقنيات وبيانات المصدر ، بما في ذلك عدادات الوقت والأحداث ومفاتيح المصادقة والخوارزميات. إذا كان OTP يطابق القيمة المستلمة ، فسيحصل المستخدم على حق الوصول ، ويتم تسجيل هذا الحدث في سجل تدقيق النظام الأساسي.
كانت رموز الأجهزة موجودة منذ أكثر من عقد من الزمان ، ولا تزال شائعة لدى العديد من المؤسسات. يفهم الموظفون كيفية استخدامها ، ولا تفشل الرموز المميزة نفسها لفترة طويلة. بالإضافة إلى ذلك ، تجاوزت الرموز المميزة بالفعل عامل الشكل القياسي في شكل مفتاح فوب. اليوم هناك أجهزة تناسب المحفظة. فهي متينة بما يكفي للعمل ، ويمكن حتى للأشخاص ضعاف البصر استخدامها.
يمكن أن يكون نطاق تطبيق رموز الأجهزة مختلفًا تمامًا:
- المصادقة للوصول إلى الوظائف والتطبيقات السحابية والوصول عن بُعد إلى الموارد ؛
- إجراء المعاملات المالية وتحديث البيانات وتنفيذ الأوامر ؛
- تشفير التوقيعات والأقراص الصلبة والبريد الإلكتروني ، إلخ.
ليست جميع متطلبات المصادقة هي نفسها بالنسبة للشركات ، ويبحث العديد من المؤسسات عن "حل وسط" بين أنواع مختلفة من المصدقين. من أجل راحة العمل ، هناك العديد من أنواع الرموز المميزة المختلفة في السوق اليوم. من بينها:
- مولدات كلمة المرور لمرة واحدة. تنشئ رموز OTP كلمة مرور عشوائية لا يمكن إعادة استخدامها. قد يكون استخدام هذه الأجهزة جزءًا من إستراتيجية الامتثال PSD2 و GDPR.
- رموز BlueTooth. ترسل هذه الأجهزة رمزًا آمنًا فريدًا عبر Bluetooth و NFC ، لسهولة الاستخدام والأمان. يساعد في تلبية متطلبات PSD2 و GDPR و FIPS 140.
- رموز USB الذكية. وهي تدعم جميع وظائف البطاقة الذكية القائمة على البنية التحتية للمفتاح العام (PKI) ، دون الحاجة إلى استخدام قارئات البطاقات. ضمان الامتثال FIPS 140.
تتمتع الأجهزة الحديثة المعروضة في السوق اليوم أيضًا بعدد من المزايا:
- الأمان الأجهزة مستقلة ومقاومة للكسر ، وهي تدعم العديد من المتغيرات لمعايير الأمان ، مثل 3DES و OATH و FIDO.
- المرونة. اليوم ، هناك العديد من عوامل شكل الرمز المميز. فهي ملائمة للاستخدام (بنقرة زر الماوس) ، وعمرها طويل جدًا.
- التعقيد عادة ، يتم توفير نظام بيئي متكامل من الرموز جنبًا إلى جنب مع البنية التحتية لتوفير الدعم الفعال.
- الامتثال للمتطلبات. تتطلب العديد من المنظمات حول العالم مصادقة قوية لتوفير الوصول الآمن وحماية المعلومات الحساسة. سيساعد استخدام رموز الأجهزة على ضمان الامتثال للمتطلبات التنظيمية المعقدة.
في البيئة الديناميكية الحالية ، من أجل الوثوق بالمستخدمين الذين يقدمون بياناتهم الشخصية وإدارة الوصول الفعال إلى الموارد ، يلزم إيجاد حل شامل لتحديد الهوية الشخصية ، وأساسه هو المصادقة القوية. سيؤدي إدخال هذه الحلول إلى زيادة موثوقية تحديد هوية المستخدم وتوفير حماية فعالة للشركة من التهديدات الحالية والمستقبلية.
أوليفييه فيريون ، مدير تسويق الحلول العالمية ، IAM Solutions HID Global