لطالما كانت مهمتنا في RSA هي القضاء على الحلقات الضعيفة في الأمن الرقمي. واليوم، يسعدنا أن نعلن عن إنجاز مهم في هذه الرحلة: معاينة حل FIDO للأجهزة المحمولة الخاص بنا، والمتوفر في تطبيق RSA Authenticator V4.4 لنظامي iOS وأندرويد. RSA ID Plus هو خادم معتمد من FIDO2، ومع هذا الإنجاز، أصبح تطبيق المصادقة الخاص بنا لنظامي iOS وAndroid الآن مصادقًا معتمدًا من FIDO2.
يمثل ذلك التزامنا بالريادة في تقديم تجارب مستخدمين آمنة وبديهية وسلسة - وسعينا للقضاء على كلمات المرور بشكل نهائي.
لطالما كانت كلمات المرور نقطة ضعف خطيرة في الأمن السيبراني، حيث تعتمد على الذاكرة البشرية وحسن التقدير، مما يؤدي في كثير من الأحيان إلى كلمات مرور ضعيفة ومعاد استخدامها. لوقت طويل، قمنا بدعم حلول بدون كلمة مرور مثل رمز الاستجابة السريعة، أو القياسات البيومترية، أو رمز المرور لمرة واحدة، أو مصادقات الأجهزة المعتمدة من FIDO2 مثل RSA DS100 لمعالجة نقاط الضعف هذه.
يجلب هذا الإنجاز الأخير تطبيق RSA Authenticator الآمن بدون كلمة مرور للمؤسسات من خلال إضافة دعم مفتاح المرور المرتبط بالأجهزة (FIDO للأجهزة المحمولة) إلى تطبيق RSA Authenticator، مما يوفر بديلاً آمنًا وسهل الاستخدام يزيل الثغرة المفضلة لمجرمي الإنترنت ويعزز الأمن المؤسسي ويحافظ على اتصال المستخدمين وإنتاجيتهم.
مفاتيح المرور الكثير من الاهتمام، سواء بسبب الالتزامات من فيسبوك وأبل وأمازون من أجل حل أكثر ملاءمة للمستهلكين أو بسبب تحالف FIDO مصطلح "مفتاح المرور" لأي نوع من بيانات اعتماد FIDO. وقد أدى ذلك إلى بعض الالتباس حول ما تعنيه المؤسسة بالضبط عندما تستخدم كلمة "مفتاح المرور"، وهو ما حاولنا التوضيح.
أهم تمييز وجدناه هو الفرق بين مفاتيح المرور المرتبطة بالجهاز ومفاتيح المرور المتزامنة:
- مفاتيح المرور المرتبطة بالجهاز: يتم إنشاء هذا النوع من مفاتيح المرور بشكل آمن وتخزينه على جهاز واحد. لا يغادر المفتاح الخاص الجهاز أبداً، مما يضمن مستوى عالٍ من الأمان. تقلل مفاتيح المرور المرتبطة بالجهاز من مخاطر انكشاف المفتاح وتوفر حماية قوية ضد التصيد الاحتيالي والتهديدات الإلكترونية الأخرى. وهذا يعني أنه لا يمكن استخدام مفتاح المرور على جهاز آخر دون تسجيله يدوياً مرة أخرى، مما يجعله الخيار المثالي للمؤسسات ومؤسسات القطاع العام. هذه الحلول مقاومة للتصيد الاحتيالي وتوفر درجة أعلى من الأمان.
- مفاتيح المرور المتزامنة: يتم تخزين مفاتيح المرور المتزامنة ومزامنتها عبر أجهزة متعددة عبر الخدمات السحابية، مما يوفر سهولة الوصول إلى الخدمات عبر أجهزة مختلفة دون الحاجة إلى تسجيل كل جهاز على حدة. كما أنها تسمح باستعادة مفاتيح المرور في حالة فقدان الجهاز المضيف أو سرقته أو استبداله، وهو أمر مفيد بشكل خاص لأن المستخدمين غالباً ما يقومون بترقية هواتفهم المحمولة كل عامين. في حين أن هذا يحسن من راحة المستخدم، إلا أنه يتطلب تدابير أمنية قوية لحماية مفاتيح المرور المتزامنة في السحابة. قد تكون مفاتيح المرور المتزامنة مناسبة للاستخدام الاستهلاكي، ولكنها قد لا توفر نفس مستوى الأمان المطلوب للبيئات الفيدرالية وبيئات المؤسسات.
من خلال تطبيق حل مفتاح المرور المرتبط بالجهاز داخل تطبيق RSA Authenticator لنظامي التشغيل iOS وAndroid، نساعد عملاءنا على تعزيز الثقة الصفرية إطار عمل، مما يضمن مساراً متكاملاً ومباشراً بعمق ومباشر للمصادقة بدون كلمة مرور مقاومة للتصيد الاحتيالي. تعمل هذه التقنية على التخلص من نقاط ضعف كلمات المرور التقليدية، مما يوفر تجربة مستخدم سلسة وبديهية.
يؤكد فيليب كوريفو، رئيس قسم تجربة المستخدم لدينا، على سبب أهمية هذا التطوير: "نحن في RSA، نؤمن بأن الأمن لا ينبغي أن يكون عائقاً بل جزءاً سلساً من تجربة المستخدم. ومن خلال دعم مفاتيح المرور المرتبطة بالأجهزة داخل تطبيق RSA Authenticator لنظامي التشغيل iOS وAndroid، فإننا لا نقوم فقط بتعزيز الأمان؛ بل نقوم بتحويل كيفية تفاعل المستخدمين مع هوياتهم الرقمية."
توفر مفاتيح المرور المربوطة بالأجهزة عدة طبقات من الأمان التي تبطل مفعول الهجمات الشائعة:
- التصيّد الاحتيالي نظرًا لأن المفتاح الخاص لا يغادر الجهاز أبدًا، لا يمكن للمهاجمين اعتراضه أو سرقته من خلال محاولات التصيد الاحتيالي. من المستحيل تقنياً تصيد مفتاح المرور مباشرةً من جهاز المستخدم. وعلى الرغم من أن الجهات الفاعلة السيئة قد تحاول التصيد الاحتيالي للوصول إلى السحابة لتنزيل نسخة من المفتاح، إلا أن المفتاح الخاص نفسه يبقى آمناً على الجهاز، مما يمنع معظم الهجمات من النجاح.
- الهندسة الاجتماعية: مع مفاتيح المرور المرتبطة بالجهاز، لا يمكن مشاركة المفتاح الخاص أو استخراجه. لا يحتاج المستخدمون إلى الوصول إلى المفتاح الخاص أو تذكره أو التعامل معه، مما يقلل بشكل كبير من مخاطر هجمات الهندسة الاجتماعية. لا يمكن للمهاجمين خداع المستخدمين للكشف عن شيء لا يمكنهم الوصول إليه.
- الخصم في الوسط حتى لو اعترض أحد المهاجمين الاتصال بين الخدمة والمصادق، لا يمكنه استخدام المفتاح العام وحده للوصول إلى الخدمة.
في حين أن كل مؤسسة في كل قطاع تقريبًا يمكنها الاستفادة من حل FIDO المتنقل في كل قطاع، إلا أن الحل قد يكون ذا قيمة خاصة للوكالات الحكومية التي تسعى جاهدة لتلبية التفويض الرئاسي للأمن السيبراني والامتثال ل الأمر التنفيذي 14028 بحلول نهاية السنة المالية.
يتطلب الأمر التنفيذي EO14028 من الوكالات الحكومية استخدام حلول بدون كلمة مرور ومقاومة للتصيد الاحتيالي للمصادقة على المستخدمين. إنه عنصر حاسم في تحديث البنية التحتية الحيوية والدفاع عنها - ولكنه يتطلب من الوكالات الحكومية أن تتصرف بسرعة وتنفذ حلاً مجرباً.
وقال كيفن أور، رئيس شركة "آر إس إيه" الفيدرالية: "يعتبر مفتاح المرور المعتمد من FIDO2 المعتمد من FIDO2 والمرتبط بالأجهزة من RSA أحد الأصول المهمة للوكالات الفيدرالية التي تسعى جاهدة للوفاء بالتكليف الرئاسي والموعد النهائي للسنة المالية 2024". وأضاف: "يمكن لـ RSA أكثر من مجرد وضع علامة في خانة ما، حيث يمكن لـ RSA أن تجلب عقودًا من النسب الأمنية الأولى وحلًا موحدًا وقابلًا للتطوير وسهل الاستخدام يمكن أن يعزز التعاون للقطاع العام".
يعد حل FIDO للأجهزة المحمولة خطوة حاسمة نحو تقديم تجربة متسقة وسلسة بدون كلمة مرور من البداية إلى النهاية. يدعم تطبيق RSA Authenticator V4.4 لنظامي التشغيل iOS وAndroid حل FIDO للأجهزة المحمولة كمعاينة تقنية. ستكون إمكانية FIDO للأجهزة المحمولة متاحة بشكل عام مع تطبيق RSA Authenticator V4.5 لنظامي التشغيل iOS وAndroid. سيتضمن هذا الإصدار تحسينات إضافية وتجربة مستخدم مبسطة.
يعد حل RSA FIDO للأجهزة المحمولة مناسبًا قويًا لبيئات الثقة المعدومة، حيث يكون الوصول الآمن بدون كلمة مرور أمرًا بالغ الأهمية. تتماشى مفاتيح المرور المرتبطة بالجهاز مع مبادئ الثقة المعدومة من خلال التحقق من كل محاولة وصول دون الاعتماد على كلمات المرور، والتي تكون عرضة للتصيد الاحتيالي وسرقة بيانات الاعتماد. باستخدام مفاتيح المرور المرتبطة بالأجهزة، يظل المفتاح الخاص آمنًا على الجهاز الأصلي، مما يضمن أن الوصول يقتصر على الأجهزة التي تم التحقق منها فقط، وهو أمر مثالي لحماية القوى العاملة عن بُعد والمختلطة.
وبالإضافة إلى تحسين الأمان، يعمل حل RSA FIDO للجوال على تحسين المرونة من خلال تمكين الوصول السهل عبر بيئات العمل، مما يقلل من الانقطاعات مع الحفاظ على أمان البيانات الحساسة. نظرًا لأن التفويضات الحكومية تدفع نحو المصادقة المقاومة للتصيد الاحتيالي، فإن حل RSA Mobile FIDO يساعد المؤسسات ليس فقط على تأمين احتياجات اليوم ولكن أيضًا الاستعداد لمعايير الغد.
في RSA، نحن في طليعة التكنولوجيا الخالية من كلمات المرور. يدفعنا التزامنا الدؤوب بالابتكار إلى ابتكار حلول تعيد تعريف الأمن الرقمي. نحن نمهد الطريق لعالم أكثر أمانًا وسهولة في الاستخدام من خلال الانتقال إلى بيئة بدون كلمة مرور.
نحن متحمسون لمواصلة هذه الرحلة معكم ونتطلع إلى إتاحة حل FIDO للأجهزة المحمولة بشكل عام كجزء من الإصدار V4.5. معًا، يمكننا أن نضع معايير جديدة للصناعة ونقود المسيرة نحو مستقبل يكون فيه الأمان آمنًا وبديهيًا في آن واحد.
ترقبوا المزيد من التحديثات والرؤى مع استمرارنا في قيادة المسيرة نحو مستقبل خالٍ من كلمات المرور.
###
أطلقت RSA تطبيق 4.5 Authenticator 4.5 في ديسمبر 2024. تعرف على المزيد حول الابتكار الذي يجلب مصادقة مقاومة للتصيد الاحتيالي وبدون كلمة مرور ومعتمدة من FIDO2 مباشرةً إلى أجهزة المستخدمين المحمولة. أو إذا كنت مسؤولاً تعلم كيفية تمكين الميزة في RSA ID Plus.
