فيما يلي رقمان يجب أن يزعج الجميع 92% من المؤسسات التي تطبق نظامًا بدون كلمة مرور. فقط 7% أصبحت بدون كلمة مرور بالكامل.
هذه الفجوة ليست مشكلة تقنية. فالأدوات موجودة. والمعايير ناضجة. والنية موجودة. حالة العمل واضحة: نقاط ضعف أقل، وتكاليف أقل، وتجربة مستخدم أفضل. ومع ذلك، لا تزال معظم المؤسسات تكتب كلمات المرور كل يوم.
فلماذا هذه الفجوة إذن؟
ربما يعود السبب في وجود مفارقة التبني إلى أن المؤسسات تعتقد أنها لا تملك بيانات كافية لفهم بيئاتنا المعقدة: أنظمة قديمة، ومستخدمين متنوعين، وظروف واقعية غير متسقة.
تقوم منصات الهوية بالفعل بتوليد كميات هائلة من القياس عن بُعد كل يوم - أحداث المصادقة، وأنماط الوصول، ومعدلات الفشل، والإشارات السلوكية. تستهلك معظم فرق الأمن تلك البيانات. والقليل جداً منهم يستجوبها.
من الناحية العملية، غالبًا ما يتم استخدام قياس الهوية عن بُعد في عمليات التدقيق وإعداد تقارير الامتثال، ويتوقف الأمر عند هذا الحد. وهو ما يترك بعض الأسئلة الأكثر أهمية - مثل لماذا تكافح المؤسسة من أجل الانتقال إلى استخدام كلمات المرور - دون إجابة:
- أين يعاني المستخدمون بالفعل ولماذا؟
- أين تنهار الثقة في الممارسة العملية؟
- ما هي الضوابط التي تحسن النتائج حقًا؟
خلال العام الماضي، أدركت أن بيانات الهوية ليست ذات قيمة بمفردها. إنها مهمة فقط عندما تؤدي إلى اتخاذ إجراء. والأسئلة الصحيحة هي التي تبرز الإشارات الصحيحة التي تحتاجها المؤسسات لدفع هذا الإجراء.
خذ التبني بدون كلمة مرور كمثال. يتعلق الأمر بثلاثة أسئلة:
الأول: هل كلمة المرور غير متاحة للجميع؟
ليس من الناحية النظرية، بل من الناحية العملية. غالبًا ما تكون الفجوة بين ما يتم نشره وما يمكن للمستخدمين استخدامه فعليًا أكبر بكثير مما توحي به لوحات المعلومات. وعادةً ما تظهر إشارات هذه الفجوة في الأماكن التي لا تبحث فيها الفرق بشكل فعال.
الثاني: هل يمكن للمستخدمين الوصول إلى كل مكان بدون كلمة مرور؟
هل يمكن للمستخدمين الوصول إلى المسار الآمن أينما احتاجوا إليه؟ يمكن لسير عمل أو نظام أو استثناء واحد يفرض حلاً بديلاً أن يعيق اعتماد نظام بدون كلمة مرور. لا يفكر المستخدمون في الأنظمة، بل يفكرون في التجارب.
الثالث: هل يعمل بدون كلمة مرور في كل مرة؟
ليس في المكتب، وليس في يوم جيد، ولكن في كل مرة، وفي كل بيئة يعمل فيها المستخدمون في الواقع. لا يتراجع المستخدمون إلى كلمات المرور لأنهم يفضلونها. إنهم يتراجعون لأن المسار الآمن خذلهم عندما يكون الأمر أكثر أهمية.
في Identiverse، سأستعرض كيف يمكن أن يؤدي طرح مثل هذه الأسئلة إلى تغيير ما تقيسه، وأين تضلل الإشارات الفرق، وكيف تعيد تشكيل ما يتم بناؤه.
في RSA، اختبرنا هذه الفرضية على أنفسنا. لقد قمنا بتطبيق نظام بدون كلمة مرور على كل موظف، وكل تسجيل دخول، وكل حالة استخدام. أصبحت المؤسسة سرير الاختبار.
كان الهدف بسيطاً: 100% بدون كلمة مرور. وكنا نعتقد أننا نجحنا في ذلك.
ثم نظرنا إلى القياس عن بُعد.
كان المستخدمون لا يزالون يكتبون كلمات المرور. كل يوم. على الرغم من النشر والتدريب والسياسة.
وقد فرض ذلك سؤالاً صعباً: لماذا؟
كانت الإجابة الصادقة الوحيدة هي التوقف عن التخمين والبدء في متابعة البيانات.
ما تبع ذلك أعاد تشكيل قراراتنا وسياساتنا وتصميم منتجاتنا وأوصلنا في النهاية إلى ما كنا بحاجة إليه: بدون كلمة مرور للقوى العاملة العالمية في بيئات متنوعة. قام تحالف FIDO بتوثيق الرحلة في دراسة حالة, وشرح التقنيات والتحديات والدروس المستفادة على طول الطريق.
هنا حيث تتحول القصة. لقد وصلنا إلى اعتماد 94% بدون كلمة مرور عبر القوى العاملة العالمية في 12 شهراً.
في البداية، شعرت في البداية أن الجزء الصعب قد انتهى.
ولكن معظم الاختراقات الحديثة لا تنطوي على اختراق المصادقة. بل تنطوي على تجاوزها. هجمات إجهاد المصادقة، والهندسة الاجتماعية لمكتب المساعدة، والتصيد الاحتيالي المدعوم بالذكاء الاصطناعي الذي يستهدف العمليات البشرية بدلاً من الأنظمة. في العديد من الحوادث الأخيرة، لم يلمس المهاجمون المصادقة أبداً. لقد التفوا حولها.
انتهاكات البيانات في مجموعة سيزارز للترفيه, منتجعات إم جي إم ريزورتس, ماركس آند سبنسر, وغيرها من المنظمات الأخرى أجبرتنا على إعادة التفكير في المكان الذي تنهار فيه الثقة بالفعل في رحلة الهوية.
أوراق الاعتماد القوية ضرورية ولكنها ليست كافية.
لذلك قمنا بتوسيع نطاق القياس عن بُعد إلى ما هو أبعد من المصادقة ليشمل دورة حياة بيانات الاعتماد الكاملة، وخاصةً عمليات الاسترداد وسير عمل الوصول إلى الحساب.
وأصبح سؤال واحد حاسمًا:
هل الاسترداد أسهل من تسجيل الدخول؟
سأشاركك الإشارات التي بدأنا بتتبعها عبر التعافي، وما كشفت عنه، وكيف غيّر سد هذه الفجوة نظرتنا للثقة المستمرة.
في Identiverse، سأتعمق أكثر في هذه الأفكار. كانت كلمة المرور بدون كلمة مرور هي أساس إثباتنا، ولكن طرح الأسئلة الصحيحة عن بعد عن هويتك لا يتعلق في الحقيقة بكلمة المرور أو لا يتعلق فقط بدون كلمة مرور. ينطبق هذا الأمر بنفس القدر على إجهاد MFA، أو ثغرات الثقة الصفرية، أو أي مبادرة أمنية تحاول قيادتها.
انضم إلى الجلسة يوم الخميس 18 يونيو الساعة 10:15 صباحًا.
ثم توقف عند RSA في كشك آيدنتيفيرس #1001 لمعرفة كيف تقدم RSA خدمة بدون كلمة مرور لكل مستخدم، وفي كل بيئة، وفي كل حالة استخدام، ولعرض كيف التحقق المباشر من RSA يساعد في سد فجوة التعافي التي كنا نناقشها.
