رمز‌ حفاظت از «طلای دیجیتال»

در جهان دیجیتال که همه‌چیز با معیارهای صفر و یک سنجیده می‌شود، داده‌ها یکی از ارزشمندترین کالاها به حساب می‌آیند که می‌توانند تقریبا رشد هر کسب‌وکاری را تضمین کنند. با این اوصاف است که در سال‌های اخیر و با افزایش روزافزون حجم داده‌های تولید شده در فضای مجازی، حساسیت‌ها و دغدغه‌ها درباره حفظ امنیت اطلاعات هم بیشتر و بیشتر شده. جالب اینکه بسیاری از کارشناسان و دانشمندان هم پیش‌بینی چنین روندی را می‌کردند؛ «کلایو هامبی» ریاضی‌دان بریتانیایی که در زمینه علوم داده فعالیت می‌کند، در سال ۲۰۰۶ حتی فراتر از این هم رفت و گفت: «حالا داده یک نفت جدید است.» طبیعتا چنین کالای قیمتی از دید سودجویان دور نخواهد ماند و به این ترتیب است که دست مجرمان سایبری از آن دور نمانده. در میان داده‌ها و اطلاعات موجود در فضای مجازی اما رمزهای عبور به عنوان طلای دیجیتال شناخته می‌شوند. رمزهای عبور در کنار دیگر داده‌های کاربران از جمله نام و آدرس ایمیل، کالای بسیار گران‌بهایی برای هکرها هستند و به همین دلیل هم خرید و فروش این داده‌ها در فضای وب‌تاریک حالا به بخش بزرگی از یک اقتصاد زیرزمینی تبدیل شده است. مجرمان سایبری با این هدف اقدام به خرید چنین داده‌هایی می‌کنند که به آنها امکان سرقت هویت دیجیتالی افراد را خواهد داد.

جدیدترین گزارش تحقیقاتی منتشر شده در زمینه میزان رخنه‌های امنیتی در جهان هم این موضوع را تایید می‌کند. وب‌سایت FrogRock در چهارمین گزارش سالانه خود‌ درباره میزان نفوذهای امنیتی و سرقت‌های اطلاعات شخصی افراد، تاکید کرده است که در سال ۲۰۲۱ بیش از دو میلیارد اطلاعات ثبت شده شامل نام‌های کاربری و رمزهای عبور مردم جهان در خطر سرقت قرار گرفته‌اند که این میزان در مقایسه با سال ۲۰۲۰ تا ۳۵ درصد افزایش پیدا کرده است. بر اساس این گزارش، دیگر داده‌های مورد نفوذ شامل نام، آدرس، شماره امنیت اجتماعی، تاریخ تولد، اطلاعات محافظت‌شده پرونده سلامت و جزئیات صورت‌حساب‌های بانکی و تراکنش‌های پرداخت افراد بوده‌اند. این بررسی تاکید کرده است که رمزهای عبور قدیمی درحال حاضر پاشنه آشیل شرکت‌ها در حفظ امنیت سایبری هستند و نمی‌توانند به‌طور موثری از سرقت اطلاعات هویتی و افزایش خرید و فروش زیرزمینی داده‌ها جلوگیری کنند.

شناسایی ضعف امنیتی رمزهای عبور

یکی از تکان‌دهنده‌ترین روندهایی که در طول دوران همه‌گیری کووید-۱۹ ظهور کرد، افزایش میزان سرقت اسناد رسمی و اعتبار بود. به عنوان مثال، یک بررسی دقیق که در سال ۲۰۲۰ در وب تاریک انجام گرفت، نشان داد که بیش از ۱۵ میلیارد رمز عبور در فضای آنلاین افشا شده بودند. با افزایش هر روزه‌ این رقم، به سرعت مشخص می‌شود که رمزهای عبور به همان اندازه‌ای که نقطه ضعف امنیتی به حساب می‌آیند، معیار اصالت و اعتبار هم هستند. «فران راش» مدیرعامل FrogRock که مجری این بررسی تحقیقاتی بوده است، در این مورد می‌گوید: «نام‌های کاربری و رمزهای عبور، ضعیف‌ترین لینک‌های اینترنت هستند. جهان در حال عبور از مرزهایی است که در آنها یک رمز عبور ساده می‌توانست به قدر کافی از سرقت اطلاعات محافظت کند و هکرها به خوبی از این موضوع آگاه هستند. به همین دلیل هم هست که حرکت به سمت تایید هویت بدون رمز عبور تحت تاثیر رابط برنامه کاربردی استاندارد FIDO۲ WebAuthn در حال رواج است. این جریان باعث بهبود امنیت و همچنین سادگی دسترسی‌های آنلاین می‌شود، در حالی که به‌طور قابل‌توجهی به کاهش سرقت اطلاعات هویتی توسط مجرمان سایبری منجر خواهد شد.»

امکان سوءاستفاده از رمزهای عبور از طریق حملات فیشینگ و کلاهبرداری‌های مربوط به مهندسی اجتماعی، واقعیتی است که کسب‌وکارها و شرکت‌های ارائه‌دهنده خدمات امنیت سایبری تلاش دارند تا با توسعه راهکارهای تایید هویت بدون رمزعبور با آن مقابله کرده و به کاربران امکان ورود به حساب‌های کاربری‌شان بدون الزام ورود رمز عبور را بدهند. این جریان در مهم‌ترین و برجسته‌ترین شکل خود، در اتحاد FIDO (بنیادی برای استانداردهای تایید هویت آنلاین) با شرکت‌های بزرگی از قبیل اپل، مایکروسافت، گوگل و حتی ارائه‌دهندگان راهکارهای مدیریت رمز عبور مانند LastPass، اتفاق افتاده است تا انتخاب‌های مختلفی برای ورود به حساب‌های کاربری بدون نیاز به رمز عبور را در اختیار کاربران گذاشته و از آنها در برابر حملات هکری محافظت کند. شرکت‌های حاضر در این اتحاد، به میلیاردها کاربر خود امکان ثبت‌نام در سرویس‌های آنلاین و استفاده از دستگاه‌های‌شان را بدون نیاز به رمز عبور و در عوض به کمک روش‌هایی مانند اثر انگشت، تشخیص چهره یا شماره PIN هر دستگاه را می‌دهند. به عنوان مثال شرکت مایکروسافت اعلام کرد که در سال ۲۰۲۰ بیش از ۱۵۰ میلیون نفر از کاربرانش برای دسترسی به سرویس‌های این شرکت، به صورت ماهانه از راهکارهای تایید هویت بدون رمز عبور از جمله اثر انگشت و تشخیص چهره استفاده کردند.

با این اوصاف کارشناسان و محققان انتظار دارند که بازار راهکارهای تایید هویت بدون رمز عبور به سرعت رشد کرده و ارزش آن از ۷۹/ ۱۲ میلیارد دلار در سال ۲۰۲۱ به ۶۴/ ۵۳ میلیارد دلار در سال ۲۰۳۰ برسد. این روند رشد احتمال آن را که سرویس‌دهندگان بیشتری برای توسعه راهکارهای تایید هویت بدون رمز عبور خودشان از ابزارهای ارائه شده در این زمینه بهره بگیرند، افزایش می‌دهد.

لزوم استفاده از راهکارهای نوین

در حالی که هر روز راهکارهای تازه‌ای برای تایید هویت بدون رمز عبور توسعه داده می‌شوند، اغلب شرکت‌ها همچنان برای تایید هویت کاربران‌شان، به همان رمزهای عبور قدیمی وابسته هستند. این موضوع به معنای آن است که تشویق کارمندان به انتخاب رمزهای عبور قوی با ترکیبی از حرف بزرگ و کوچک، ارقام و نشانه‌ها، هنوز هم بسیار اهمیت دارد. همزمان فران راش‌ معتقد است که سازمان‌ها می‌توانند با به‌کارگیری راهکارهای هوش مصنوعی، تلاش کنند که هزینه‌ها و آسیب‌های ناشی از سرقت اطلاعات هویتی و اسناد رسمی‌شان را کاهش بدهند. او همچنین تاکید می‌کند که سازمان‌ها با استفاده از ابزارهای هوش مصنوعی می‌توانند از الگوهای شناسایی، یادگیری ماشینی و تحلیل‌های رفتاری بهره بگیرند تا دسترسی‌های غیرمجاز به اطلاعات و اسناد را شناسایی کرده و از آنها جلوگیری کنند. گزارش FrogRock نشان می‌دهد که در سال ۲۰۲۱ دسترسی‌های غیرمجاز با سهم ۵۰ درصدی از کل نفوذهای صورت گرفته، محبوب‌ترین مسیر هکرها برای سوءاستفاده از داده‌ها بوده‌اند. بر اساس این گزارش، متوسط هزینه هر نفوذ به بخش خرده‌فروشی آمریکا با رشد حدود دو سومی، به ۲۷/ ۳ میلیون دلار رسیده است.

در همین راستا، موسسه تحقیقاتی Ponemon بررسی‌هایی انجام داده است که نشان می‌دهد سازمان‌ها می‌توانند با استفاده از ابزارها و راهکارهای هوش مصنوعی تا حدود ۸۰ درصد از هزینه‌های کلی مربوط به نفوذ به داده‌های‌شان بکاهند. این ابزارهای کنترلی می‌توانند با استفاده از یک راهکار مدیریت هویت و دسترسی (IAM) قدرت بیشتری پیدا کرده و تضمین کنند که کارمندان دسترسی بیش از حدی به حجم زیادی از منابع اطلاعات سازمانی نداشته باشند که بتواند زمینه نفوذ و سوءاستفاده هکرها را فراهم بیاورد. این راهکارها به شرکت‌ها کمک می‌کنند تا فضای کاری امن‌تری را در اختیار داشته باشند.