أفضل الممارسات المقاومة للتصيّد الاحتيالي بدون كلمة مرور: اقرأ تقرير جارتنر®

نسمع كثيرًا عن الحاجة الملحة لمقاومة التصيّد الاحتيالي، ومن المؤكد أن التصيّد الاحتيالي يشكل تهديدًا كبيرًا - كما هو الحال في الهجمات الأخيرة على تغيير الرعاية الصحية و فيديليتي للاستثمارات التظاهر.

التصيد الاحتيالي هو نوع من الهجمات الإلكترونية حيث يقوم المهاجمون بخداع المستخدمين للكشف عن بيانات الاعتماد أو المعلومات الحساسة، وغالباً ما يكون ذلك من خلال رسائل البريد الإلكتروني أو مواقع الويب أو الرسائل الخادعة. تم تصميم أساليب المصادقة المقاومة للتصيد الاحتيالي، بما في ذلك الأساليب الخالية من كلمات المرور، لمنع سرقة بيانات الاعتماد من خلال ربط المصادقة بجهاز أو أصل وإزالة الأسرار المشتركة.

المصادقة بدون كلمة مرور: ماذا تنتظر؟

كما أننا نسمع الكثير عن أهمية المصادقة بدون كلمة مرور في جعل المؤسسات مقاومة للتصيد الاحتيالي، مع توجيهات مثل M-22-09 والأمر التنفيذي 14028 و M24-14 التي تتطلب أكثر من مجرد مصادقة متعددة العوامل (MFA). OMB - ينص M-22-09 على: "يتم تشجيع الوكالات على زيادة استخدام المصادقة متعددة العوامل بدون كلمة مرور أثناء تحديث أنظمة المصادقة الخاصة بها."

ولكن الحاجة إلى عدم استخدام كلمات المرور تتجاوز مجرد مكافحة التصيد الاحتيالي إلى إنشاء بيئات مصادقة أوسع نطاقاً توفر حماية حقيقية لصد الهجمات الإلكترونية بجميع أنواعها. كما جاء في تقرير Gartner® الانتقال إلى المصادقة بدون كلمة مرور لتعزيز الأمان وتحسين تجربة المستخدم يشير إلى:

"المؤسسات التي لا تزال تعتمد على كلمات المرور - حتى كجزء من المصادقة متعددة العوامل (MFA) - أقل أمانًا من تلك التي انتقلت إلى أساليب بدون كلمات مرور."

في RSA، غالبًا ما نتساءل عن سبب عدم قيام المزيد من المؤسسات باتخاذ خطوات أكبر نحو اعتماد المصادقة بدون كلمة مرور. يتعمق تقرير Gartner في العوامل التي تعيق المؤسسات، ويشاركنا توصيات عملية للمضي قدماً، ويحدد نهجاً مرحلياً لاغتنام كل فرصة للانتقال إلى المصادقة بدون كلمة مرور.

نظرًا للتكيف مع الثقافة والأنظمة التي يجب أخذها في الاعتبار عند الانتقال إلى استخدام كلمة المرور بدون كلمة مرور، قد يكون من المنطقي أن تبدو المؤسسات مترددة. ولكن نظرًا للمخاطر الواضحة لسرقة بيانات الاعتماد، فإن اتخاذ إجراء عاجلاً وليس آجلاً أمر منطقي. كلما زاد عدد كلمات المرور لدى المستخدمين في بيئتك، زادت المخاطر.

إذا كان الرؤساء التنفيذيون لأمن المعلومات أو قادة إدارة الهوية والوصول (IAM) قلقين بشأن الاستثمار في تقنية جديدة بدون كلمة مرور في وقت مبكر جداً، فإنهم في الوقت نفسه سيواجهون خطراً حقيقياً جداً يتمثل في الوقوع ضحية لهجوم قائم على بيانات الاعتماد. يبدو أن مخاطر الأمن السيبراني هذه تفوق تردد معظم المؤسسات.

تشير تقارير تحالف FIDO Alliance إلى أن 87% من الشركات إما تنشر أو تخطط لنشر مفاتيح المرور لتعزيز الأمان وتجربة المستخدم. ولا يقتصر الأمر على الشركات فقط: فالمستهلكون يتجهون بشكل متزايد نحو المصادقة بدون كلمة مرور، حيث يستخدم أكثر من 175 مليون عميل من عملاء أمازون الآن مفاتيح المرور لتسجيل الدخول.

تكتيكات التصيد الاحتيالي الشائعة التي تتجاوز المصادقة الآلية الضعيفة

حتى المؤسسات التي تستخدم المصادقة الآلية التقليدية يمكن أن تكون عرضة للخطر إذا لم تكن طرق المصادقة مقاومة للتصيد الاحتيالي:

• اعتراض بيانات الاعتماد: يمكن التقاط OTPs المرسلة عبر الرسائل النصية القصيرة أو البريد الإلكتروني أو تطبيقات المصادقة.
• هجمات الرجل في الوسط: يخدع المهاجمون المستخدمين لتقديم بيانات الاعتماد عبر بوابات تسجيل دخول مزيفة.
• برامج تسجيل المفاتيح الخبيثة: برمجيات تسجل ضغطات المفاتيح، بما في ذلك كلمات المرور وكلمات المرور لمرة واحدة.
• مجموعات التصيد الاحتيالي: تستهدف أطر الهجوم الآلي أساليب MFA التي لا ترتبط تشفيرياً بالجهاز أو المصدر.

يشير تقرير Gartner إلى أنه يمكن للمؤسسات أن تنجح في تطبيق نظام إدارة عمليات الوصول بدون كلمة مرور على مراحل يمكن التحكم فيها: "يجب على قادة إدارة عمليات إدارة الأصول اتباع نهج تدريجي."

يقترح التقرير أربع خطوات محددة يجب على المنظمات اتخاذها:

1. تحديد حالات الاستخدام، بدءاً من جرد الأماكن التي يتم فيها استخدام كلمات المرور.
2. الاتفاق على الحالات المستهدفة بناءً على أهداف الأمان وتجربة المستخدم.
3. تحديد التفضيلات بين الأساليب والتدفقات المختلفة.
4. إنشاء خارطة طريق للقوى العاملة وحالات استخدام العملاء.

في مؤتمر RSAC 2025, لقد أوضحتُ أن المصادقة بدون كلمة مرور هي رحلة تتطلب تدقيقًا لأساليب المصادقة الحالية ونشر المصادقة بدون كلمة مرور بقدر ما تتطلب التخطيط للمستقبل. قد تجد المؤسسات أنه إذا كانت لديها مصادقة قوية في الوقت الحالي، فقد تكون بالفعل في منتصف الطريق للوصول إلى المصادقة بدون كلمة مرور.

يعمل MFA المقاوم للتصيد الاحتيالي عن طريق ربط المصادقة بجهاز المستخدم وأصله وإزالة الأسرار المشتركة عبر الشبكة. تتضمن الطرق ما يلي:

• مفاتيح المرور والإشعارات الفورية المستندة إلى التطبيق: يمكن للمستخدمين الموافقة على طلبات المصادقة أو رفضها من جهاز محمول دون إرسال كلمات المرور عبر الشبكة.
• العوامل المستندة إلى الجهاز: يرتبط التحقق من الهوية بجهاز معين، وليس ببيانات اعتماد مشتركة.
• مصادقة قائمة على الأجهزة: تدعم مصادقة RSA iShield Key 2 Series وأجهزة مصادقة RSA DS100 مصادقة FIDO2 بدون كلمة مرور.
• القياسات الحيوية: التعرف على بصمة الإصبع والوجه على أجهزة Android وiOS وWindows.
• البطاقات الذكية / شهادات PKI: شائعة في الحكومة والصناعات شديدة التنظيم.

لماذا تحتاج الشركات إلى MFA المقاوم للتصيد الاحتيالي

• تزايد تعقيد هجمات التصيد الاحتيالي التي تستهدف كلمات مرور OTPs و MFA التقليدية
• الدوافع التنظيمية (NIST 800-63B، والأوامر التنفيذية 14028، وإرشادات انعدام الثقة في CISA)
• مخاطر سرقة بيانات الاعتماد في العالم الحقيقي
• تحسين مستوى الأمان وتجربة المستخدم مقارنةً بمزايا المصادقة الآلية التقليدية

يشير تقرير Gartner إلى أنه “يجب على قادة إدارة عمليات إدارة علاقات العملاء تنفيذ طرق بدون كلمة مرور حيثما كانت مدعومة بسهولة واتخاذ المزيد من الإجراءات لتوسيع نطاق المصادقة بدون كلمة مرور لتشمل حالات استخدام أخرى.”

بالنسبة للمؤسسات التي تتطلع إلى تنفيذ حلول بدون كلمة مرور، تقدم RSA مجموعة واسعة من الإمكانات والموارد المحددة بدون كلمة مرور، وكلها متاحة ضمن منصة RSA للهوية الموحدة المدعومة بالذكاء الاصطناعي.

• مفاتيح المرور: تدعم RSA مفاتيح المرور من خلال تطبيق RSA Authenticator, ، والذي يسمح للمستخدمين بتسجيل جهاز كمفتاح مرور واستخدامه للمصادقة بدون كلمة مرور.
• الإشعارات الفورية المستندة إلى التطبيق: تقدم RSA إشعارات فورية قائمة على التطبيق تتيح للمستخدمين الموافقة على طلبات المصادقة أو رفضها من أجهزتهم المحمولة.
• العوامل المستندة إلى الجهاز: RSA التحقق من الهوية تتضمن الإمكانيات ربط الهوية بجهاز معين، وليس مجموعة من بيانات الاعتماد التي يمكن استهدافها عن طريق التصيد الاحتيالي والهجمات الأخرى.
• المصادقة القائمة على الأجهزة: إن RSA iShield Key 2 Series من المصادقات و RSA DS100 توفر كلتا المصادقتين مصادقة بدون كلمة مرور تستند إلى FIDO2 لحالات الاستخدام التي قد لا تكون فيها القياسات الحيوية أو الهواتف المحمولة مناسبة، مثل الحالات التي يحتاج فيها أخصائيو الرعاية الصحية إلى ارتداء قفازات وأقنعة بلاستيكية، أو في الغرف النظيفة التي لا تسمح بالأجهزة المتصلة بالإنترنت.
• القياسات الحيوية: تدعم RSA بصمة الإصبع والتعرف على الوجه على كل من أجهزة Android و iOS. ندعم أيضًا Windows Hello كطريقة مصادقة بيومترية لمستخدمي Windows.

بالإضافة إلى حلول RSA القائمة على الأجهزة وبدون كلمة مرور، يمكن للمؤسسات الاستفادة من تقنيات MFA الإضافية المقاومة للتصيد الاحتيالي لتعزيز الأمان:

• البطاقات الذكية/شهادات PKI: شهادات مخزّنة على أجهزة آمنة، وغالباً ما تُستخدم في الحكومة والصناعات شديدة التنظيم للمصادقة القوية.
• مفاتيح المرور للجوال وسطح المكتب: بيانات اعتماد مرتبطة بالأجهزة تتيح تسجيل الدخول بسلاسة وبدون كلمة مرور عبر المنصات.
• MFA التكيفي: مصادقة مدركة للسياق تجمع بين إشارات الجهاز وتحديد الموقع الجغرافي وسلوك المستخدم لفرض تحقق أقوى عند اكتشاف المخاطر.
• رموز أمان البرامج: مفاتيح تم إنشاؤها تشفيرياً ومخزنة على تطبيقات آمنة تفي بمعايير مقاومة التصيّد الاحتيالي (على سبيل المثال، التطبيقات المتوافقة مع FIDO2).

تساعد هذه التقنيات، عند دمجها مع استراتيجية النشر التدريجي، الشركات على بناء إطار عمل متعدد الطبقات ومقاوم للتصيد الاحتيالي يحمي هويات القوى العاملة والعملاء على حد سواء.

فوائد MFA المقاوم للتصيد الاحتيالي

• إيقاف هجمات التصيد الاحتيالي لبيانات الاعتماد وإعادة التشغيل
• يلبي تفويضات الامتثال والمعايير التنظيمية
• يحسِّن تجربة المستخدم مقارنةً بميزة المصادقة الآلية المستندة إلى كلمة مرور لمرة واحدة
• يقلل من مخاطر اختراق الحساب عبر أنظمة المؤسسة وأنظمة العملاء

بالنسبة للمؤسسات التي تبحث عن مصادقة الأجهزة على مستوى المؤسسات، فإن RSA iShield Key 2 Series يوفر حلاً آمناً ومتوافقاً وسهل الاستخدام. وبالاقتران مع مجموعة RSA الكاملة من خيارات المصادقة المصادقة المصغرة بدون كلمة مرور وخيارات المصادقة متعددة الأطراف المقاومة للتصيد الاحتيالي، فإنه يساعد على حماية مؤسستك من هجمات بيانات الاعتماد الحديثة مع تبسيط وصول المستخدم.

اعرف المزيد عن إمكانيات بدون كلمة مرور متاح كجزء من RSA ID Plus, و سجِّل للحصول على نسخة تجريبية مجانية لترى بنفسك كيف يمكن أن تساعدك RSA في تسريع رحلتك إلى المصادقة بدون كلمة مرور.

Gartner, Inc. الانتقال إلى المصادقة بدون كلمة مرور لتعزيز الأمان وتحسين تجربة المستخدم. آنت آلان، جيمس هوفر نُشر في الأصل 30 أغسطس 2024

GARTNER هي علامة تجارية وعلامة خدمة مسجلة لشركة GARTNER و/أو الشركات التابعة لها في الولايات المتحدة وعلى الصعيد الدولي وتستخدم هنا بإذن. جميع الحقوق محفوظة.