ورود بدون رمز امنیت APIها را افزایش میدهد (Passwordless Logins Improve API Security)
چشمانداز ورود بدون گذرواژه در سالهای اخیر بهطور چشمگیری گسترش یافته است و فراتر از جریانهای سادهی مجوزدهی، مجموعهای چشمگیر از ابزارها و تکنیکهای جدید را دربر گرفته است. شرکتهای بزرگ جریانهای مجوزدهی اختصاصی خود را منتشر کردهاند، مانند Google Auth یا Amazon Cognito. راهکارهای بیومتریک چند برابر شدهاند. ورودهای نمایشی که از طریق راهکارهایی مانند passkeys ارائه میشوند، نیاز کاربرانی را که تنها برای آزمایش نرمافزار به سیستم وارد میشوند، به ایجاد یک حساب جدید کاهش میدهد، فشار کمتری بر سرورهای شما وارد میکند و فرایند را برای کاربر آسانتر میسازد. راهکارهای چندلایه مانند 2FA یا MFA بسیار محبوب شدهاند و امنیت چشمگیری ارائه میدهند که همچنان برای کاربر راحت است.
ورودهای بدون گذرواژه بهدلیل خوبی در حال همهگیر شدن هستند. آنها APIهای شما را امنتر، کاربردیتر و حتی مقرونبهصرفهتر میکنند. همچنین محبوبیت آنها رو به افزایش است، زیرا ۵۶٪ از کاربران اینترنت نسبت به ورودهای بدون گذرواژه هیجانزده هستند. با درنظر گرفتن این عوامل، در ادامه برخی از روشهایی بیان میشود که ورودهای بدون گذرواژه امنیت API را تقویت میکنند.
کاهش ریسک افشای اطلاعات هویتی
یکی از مشکلات گذرواژهها این است که میتوانند گم شوند، به سرقت بروند یا ناخواسته به اشتراک گذاشته شوند. اگرچه بهترین شیوههای نگهداری صحیح گذرواژه دهههاست وجود دارد، اما همچنان نادیده گرفته میشوند. تعداد بسیار زیادی از کاربران گذرواژهی خود را عملاً روی یک برگه چسبان کنار مانیتور رها میکنند، درحالیکه تنها منتظر است تا کسی کلیدهای ورود به سیستم را پیدا کند. ورود بدون گذرواژه این خطر را حذف میکند و یک جریان احراز هویت را به هویت کاربر خاصی متصل میسازد.
کاهش خطای کاربر
نگهداری نادرست گذرواژه تنها یکی از خطرات امنیت سایبری استفاده از گذرواژههاست. حتی با وجود تأکید مداوم متخصصان IT بر لزوم نگهداری صحیح گذرواژه، انسانها خطاپذیر هستند. ۳۲٪ از کاربران اینترنت از یک گذرواژه برای پنج تا ده وبسایت استفاده میکنند. اگر مهاجم گذرواژهای را از یک سایت دیگر بهدست آورد که همان گذرواژه مورد استفاده برای API شماست، با همان مشکلات گذرواژهی گمشده یا دزدیدهشده مواجه خواهید شد.
بهبود توانایی در ردیابی دسترسی غیرمجاز
یکی دیگر از مشکلات ناشی از گذرواژهها این است که هر فردی که گذرواژه را دارد، یک کاربر مجاز تلقی میشود. برای راهکارهای امنیتی دشوار است که استفاده نادرست از گذرواژه را شناسایی کنند. حتی سختتر است که محدودکنندههایی وضع شود که کاربران و مشتریان را دچار مزاحمت نکند. برای مثال، شما ممکن است محدودیت جغرافیایی تعیین کنید تا جلوی دسترسی از نقاط غیرمنتظره جهان را بگیرد. اما ممکن است یک توسعهدهنده در سفر، این هشدار را هنگام کار فعال کند، که این امر احتمالاً موجب ناراحتی مشتریان شده یا حتی یک حادثه جدی ایجاد کند، مثلاً هنگامی که بهدلیل مسدود شدن ورود، قادر به رسیدگی به یک وضعیت اضطراری نباشد.
ورودهای بدون گذرواژه در برابر AI مقاوم هستند
رشد سریع هوش مصنوعی و یادگیری ماشین چالشی منحصربهفرد برای متخصصان امنیت سایبری ایجاد کرده است. بهسرعت به نقطهای رسیدهایم که AI پیچیده میتواند به شیوههای مختلفی در حملات سایبری استفاده شود، بسیاری از آنها نیز بهسختی قابل ردیابی هستند. برای مثال، AI ممکن است برای تقلید از یک سند رسمی بهعنوان بخشی از یک حمله فیشینگ استفاده شود. این امر همان خطر امنیتی یک گذرواژهی گمشده یا دزدیدهشده را ایجاد میکند، زیرا گذرواژههای معتبر هیچ هشداری فعال نمیکنند. این مسئله یک دغدغه مهم امنیت سایبری است، زیرا ۵۲٪ از رهبران IT گزارش میدهند که با گذرواژههای دزدیدهشده بهطور مداوم مواجهاند. AI حتی میتواند با روش brute force گذرواژهها را بشکند.
دادههای بیومتریک امنتر هستند
گسترش ورود بدون گذرواژه موجب ایجاد طیف گستردهای از راهکارهای امنیت سایبری جدید شده است که همگی نسبت به گذرواژهها امنیت بیشتری دارند. ورودهای بدون گذرواژه معمولاً توسط راهکارهای CIAM مدیریت میشوند، که روشهای هوشمندانه بسیاری برای اتصال هویت کاربر به جریانهای احراز هویت ارائه میدهند. دادههای بیومتریک یک راهکار محبوب بدون گذرواژه هستند و به کاربران اجازه میدهند از اثر انگشت یا اسکن شبکیه بهعنوان اطلاعات هویتی استفاده کنند. دادههای بیومتریک نهتنها امنتر هستند، زیرا سرقت یا جعل آنها بسیار دشوارتر است، بلکه سریع، آسان و برای کاربر نهایی راحت هستند. این یک مثال خوب از یکپارچگی روان CIAM با معماری بدون گذرواژه است، هنگامی که همهچیز بهدرستی پیکربندی شده باشد.
ورودهای بدون گذرواژه میتوانند به یک دستگاه متصل شوند
یکی دیگر از راهکارهای متداول CIAM که برای ورودهای بدون گذرواژه مفید است، اتصال هویت کاربر به دستگاههای خاص است. این موضوع سنگبنای مدیریت هویت غیرمتمرکز بهشمار میرود، جایی که کاربر از دستگاههای مختلف وارد یک حساب میشود. راهکارهای بدون گذرواژه مانند passkeys به شبکه اجازه میدهند دستگاه خاصی مانند یک گوشی هوشمند یا تبلت را با استفاده از شناسههای ذخیرهشده بهصورت محلی روی دستگاه تشخیص دهد. این راهکار امنیت سایبری جدید حتی از سرورهای فیزیکی نیز امنتر است، زیرا دسترسی غیرمجاز به گذرواژه همچنان میتواند دسترسی ایجاد کند. سرقت گوشی یا دستگاه همراه شخص بسیار دشوارتر از یافتن یک گذرواژه است و همچنین احتمالاً بسیار زودتر شناسایی خواهد شد!
ورود بدون گذرواژه امکان تخصیص بهتر منابع را فراهم میکند
سازمانها زمان قابل توجهی را صرف رسیدگی به درخواستهای مرتبط با گذرواژه میکنند. طبق مطالعه اخیر Forrester، سازمانهای آمریکایی سالانه بیش از ۱ میلیون دلار برای منابع مرتبط با گذرواژه هزینه میکنند. زمانی را که تیم IT شما صرف نظارت بر نقضهای اطلاعاتی ناشی از پروتکلهای نادرست گذرواژه یا بازنشانی گذرواژه برای مشتریان میکند نیز بیفزایید؛ در این صورت، سرمایهگذاری قابل توجهی در زمان و هزینه برای حفظ زیرساختهای مرتبط با گذرواژه خواهید داشت. حال تصور کنید بتوانید این منابع را در بخشهای دیگر بهکار بگیرید، مانند ممیزی APIهای خود برای نقاط ناامن یا بهروزرسانی کاتالوگ API.
جمعبندی درباره ورود بدون گذرواژه
اگرچه گذرواژهها احتمالاً همیشه در فضای امنیت سایبری جایگاهی خواهند داشت، اما نیاز به اطلاعات هویتی بدون گذرواژه با گذشت زمان پررنگتر میشود. طبق یک نظرسنجی اخیر از NordPass، کاربران اکنون بهطور متوسط ۱۶۸ گذرواژه مدیریت میکنند. این رقم بیش از ۷۰٪ افزایش در حدود سه سال است، که عمدتاً ناشی از دیجیتالیشدن سریع زندگی طی همهگیری COVID-19 بوده است.
بهنظر میرسد خستگی ناشی از گذرواژهها در نهایت رخ خواهد داد. افزایش تعداد گذرواژهها موجب بروز انواع دغدغههای امنیت سایبری شده است، چنانکه ۳۰٪ از سازمانها گزارش دادهاند که بهدلیل یک گذرواژه ضعیف دچار نقض اطلاعات شدهاند. از آنجا که ورودهای بدون گذرواژه ابزارها را امنتر و استفاده از آنها را آسانتر میکنند، دلیل خوبی برای بررسی این روند نوظهور امنیت سایبری وجود دارد.
