من الآمن أن نقول أنه لا يوجد أحد مهووس بكلمات المرور. بالنسبة لكبار مسؤولي أمن المعلومات، يترك الموظفون قوائم كلمات المرور على مكاتبهم أو ملاحظات لاصقة على أجهزة الكمبيوتر الخاصة بهم، وهو ما يمثل كابوسًا. بالنسبة للموظفين، هناك صعوبة في إدخال كلمات مرور متعددة للوصول إلى الأجهزة والموارد المختلفة
تم تصميم تقنيات المصادقة بدون كلمة مرور لحل هذه المشكلات، ويتزايد استخدام هذه الأدوات دراسة استقصائية حديثة شملت 200 من CISOs أظهر استطلاع أجرته شركة Wakefield Research، برعاية شركة Portnox للحلول الأمنية، أن أغلبية كبيرة (92%) من قادة الأمن قالوا إن مؤسساتهم نفذت أو تخطط لتنفيذ مصادقة بدون كلمة مرور. وسيرتفع هذا إلى 70% في عام 2024. وأشار مدراء تكنولوجيا المعلومات إلى تحسين إنتاجية الموظفين وتحسين تجربة المستخدم كأفضل المزايا.
تتحقق المصادقة بدون كلمة مرور من هوية المستخدم دون الحاجة إلى كلمات مرور تقليدية من خلال طرق بديلة مثل الرموز المميزة للأجهزة أو القياسات الحيوية أو إشعارات الدفع عبر الهاتف المحمول. وهذا يوفر فوائد محتملة مثل الأمان المحسن وتجربة المستخدم المحسنة.
بدأ مزود خدمات التدريب Universal Technical Institute في استخدام منصة بدون كلمة مرور من Microsoft، “ومع توسعنا في الاعتماد، يمكن رؤية الفوائد بسرعة، مع عدد أقل من عمليات إعادة تعيين كلمة المرور، وعدد أقل من تذاكر مكتب الخدمة وبداية أسرع لليوم،” كما قال Adrienne Detre، نائب الرئيس الأول للشركة ومدير تكنولوجيا المعلومات.
وقال ديتراي: “التأثير الكبير هو ثقافي”. “إنه يوضح أننا جادون في جعل التكنولوجيا تبدو أخف وأكثر إنسانية مرة أخرى. على مر السنين، أضفنا الكثير من الأنظمة وعمليات تسجيل الدخول بحيث أصبح ثقل التكنولوجيا جزءًا من العمل. وهذه إحدى الخطوات التي تساعد على إزالة هذا العبء الإداري وتجعل النظام البيئي يبدو أكثر سلاسة واتصالًا.”
وقال ديتري إن الأمر لا يتعلق بالأمان فحسب، بل يتعلق أيضًا بتجربة المستخدم. وقال: “كل إعادة تعيين لكلمة المرور أو إغلاقها تؤدي إلى إبطاء عمل الأشخاص وإبعادهم عن التركيز”. “يزيل نظام كلمة المرور هذا الاحتكاك من اليوم ويمنح الأشخاص الوقت الكافي. إنه جزء من تصميم نظام بيئي متصل حيث يعمل الأمان وسهولة الاستخدام معًا.”
تفقد وزارة الخارجية مكانتها باعتبارها “المعيار الذهبي” للأمن السيبراني
قال سريكارا راو، الرئيس التنفيذي للتكنولوجيا في شركة R Systems International، وهي شركة تقدم خدمات هندسة المنتجات الرقمية، إن شركة R Systems International، هي في خضم عملية انتقال تدريجي إلى بيئة بدون كلمات مرور. وقال راو: “بالنسبة لنا، لا يتعلق الأمر بمطاردة الاتجاه، بل هو استجابة مباشرة لأن معيارنا الذهبي السابق، المصادقة متعددة العوامل، يظهر عمره”. “لقد تطور مشهد التهديد إلى ما هو أبعد مما يمكن أن تتعامل معه أساليب التمويل المتعددة الأطراف التقليدية.”
كان قرار R Systems باتخاذ الإجراء مدفوعًا بعوامل الأمن واستمرارية الأعمال. وقال راو: “تظل الهجمات القائمة على الشهادات هي أكبر مصدر للتهديدات، مع زيادات كبيرة في محاولات التصيد الاحتيالي والعديد من الحوادث الوشيكة التي تؤكد الحاجة الملحة للتحرك”. “نريد تعزيز الحلول داخل مؤسستنا لمكافحة التصيد الاحتيالي.”
وقال راو إنه من الناحية التشغيلية، أصبحت عمليات إعادة تعيين كلمة المرور مكلفة للغاية. يمكن أن تكون عمليات إعادة التعيين مكلفة بسبب تكاليف العمالة المباشرة والتكاليف غير المباشرة الكبيرة مثل فقدان إنتاجية الموظفين واستنزاف موارد تكنولوجيا المعلومات. تقدر شركة الأبحاث Forrester أن إعادة تعيين كلمة المرور لمرة واحدة يمكن أن تكلف 70 دولارًا، ويمكن أن تزيد التكلفة بسرعة بالنسبة للمؤسسات الكبيرة.
بالإضافة إلى ذلك، من المهم أن تمتثل الشركات لمتطلبات الامتثال مثل PCI 4.0، والتي تفرض على المستخدمين إعادة مصادقة كل ما يقومون بإعادة تشغيله أو الوصول إليه. وقال راو: “المصادقة بدون كلمة مرور ستجعل الأمر سلسًا”. “وأخيرًا، بينما نتنافس على أفضل المواهب في مجال التكنولوجيا والأمن السيبراني، فإن كوننا مؤسسة بدون كلمة مرور يشير إلى أننا مؤسسة ذات تفكير تقدمي وتعطي الأولوية للأمن.”
تعد سياسات إحضار جهازك الخاص أحد العوامل
ينتقل مزود خدمات الرعاية الصحية Diverse Health أيضًا إلى المصادقة بدون كلمة مرور باستخدام التكنولوجيا في شكل التحكم في الوصول إلى الشبكة على أساس الشهادة.
وقال نيل فورد، مدير أمن تكنولوجيا المعلومات: “بعد أن قمنا مؤخرًا بتبني سياسة عدم استخدام الجهاز، فقد حددت تدقيقنا الداخلي السنوي للامتثال لقانون HIPAA افتقارنا إلى ضوابط الوصول إلى الشبكة باعتباره تهديدًا عالي الخطورة”. “لذا، بدأنا البحث عن حلول يمكن استخدامها للتخفيف من التهديد.”
نشرت Diverse Health نظامًا من Portnox في وقت سابق من هذا العام يستخدم المصادقة المستندة إلى الشهادة للتحقق من هوية الجهاز. وقال فورد: “نحن ننشر الشهادة من خلال حل إدارة نقاط النهاية القائم على السحابة، لذا فإن التحقق باستخدام Portnox يكون شفافًا للموظفين”.
وقال فورد إن الحل خفف بشكل فعال من تهديد الأجهزة غير المعروفة التي تتصل بشبكات الشركة والقدرة على الوصول إلى الموارد الداخلية.
أحد مفاتيح النجاح في اعتماد المصادقة بدون كلمة مرور هو إبلاغ الموظفين بالتغييرات الأمنية بشكل فعال. “يتغلب الموظفون على عقود من الذاكرة العضلية لكلمات المرور ويتساءلون “ماذا لو فقدت جهازي؟” حول معالجة مخاوف المستخدم المشروعة؟ يقول راو: “حرج”. “لقد تعلمنا بسرعة أنه يتعين علينا بيع “السبب” لموظفينا.”
وقال راو إن الشركات تحتاج إلى تأطير المصادقة بدون كلمة مرور ليس كتفويض أمني آخر، ولكن كفائدة مباشرة للموظفين من خلال القضاء على قدر أقل من الإحباط، وعمليات تسجيل الدخول وإعادة تعيين كلمة المرور بشكل أسرع. قبل هذه الخطوة، أجرت شركة R Systems جلسات تدريبية قصيرة وتفاعلية لمنحهم الراحة في استخدام أدوات الوصول مثل التعرف على بصمات الأصابع على هواتفهم.
وقال راو: “لا أستطيع أن أؤكد بما فيه الكفاية على أهمية المنظمات التي توفر التعليم للمستهلكين، وهذا فرق كبير بين النشر الناجح والاستثمار الجاهز”.
وقال راو إن استراتيجية R Systems بدون كلمة مرور ليست مرتبطة بمورد واحد، ولكنها مبنية على معايير FIDO2 وWebAuthn المفتوحة، “مما يمنحنا المرونة لاختيار الأداة المناسبة لكل ملف تعريف للمخاطر”. “يستخدم المستخدمون المميزون مثل المسؤولين والمطورين والمديرين التنفيذيين مفاتيح أمان الأجهزة FIDO2، بينما تعتمد القوى العاملة الأكبر على مفاتيح المرور المدمجة مع القياسات الحيوية للأجهزة مثل Windows Hello وFace ID.”
ولا تزال الشركة تقوم بتقييم نتائج الانتقال إلى المصادقة بدون كلمة مرور وتعمل على التأكد من أنها تعمل بشكل أفضل للجميع.
وقال راو: “لقد شهدنا تحسنًا كبيرًا في تجربة موظفينا، مع عمليات تسجيل دخول أسرع وانخفاض كبير في تذاكر مكتب المساعدة المتعلقة بكلمات المرور”. “والأهم من ذلك، أن المصادقة بدون كلمة مرور أصبحت حجر الزاوية في بنية الثقة المعدومة لدينا، مما يمنحنا طبقة هوية قوية وعالية الضمان تتيح الوصول الآمن بغض النظر عن موقع المستخدم أو الجهاز.”
