تعد كلمات المرور في حالة من الفوضى، ويعتبر MFA بمثابة حل مؤقت أكثر من كونه حلًا للتصيد الاحتيالي، كما أن تشغيل PKI للشهادات يتطلب الكثير من العمل. الهدف طويل المدى هو استخدام بيانات اعتماد بدون كلمة مرور لا يمكن تصيدها.
تمثل كلمات المرور مشكلة كبيرة: مشكلة كبيرة في قابلية الاستخدام، ومشكلة إدارة ضخمة، كما قال Alex Weinert، نائب رئيس أمن الهوية في Microsoft، لموقع TechRepublic. هناك عدة طرق للتغلب على استخدام كلمة مرور، والطريقة القديمة هي الحصول على كلمة المرور على أي حال، ثم نسخها احتياطيًا افصل بين الشرق والغرب.
لسوء الحظ، لا تزال هذه الطريقة غير آمنة بسبب الهندسة الاجتماعية.
قال وينرت إننا نلجأ بشكل متزايد إلى بيانات اعتماد مكافحة التصيد الاحتيالي، لأن مشكلة النسخ الاحتياطي لكلمات المرور بشيء آخر هي أنه إذا قام شخص ما بتخمين كلمة المرور الخاصة بك، فقد يخدعك بالموافقة على جزء آخر.
مفاتيح أمان FIDO هما خياران من خيارات المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي والتي تتضمن خيارات المقاييس الحيوية المضمنة مثل Windows Hello والمصادقة الشخصية وبطاقات الوصول العام.
تجديد الشهادات عبر ADFS معقد ومكلفا
ومن المفارقات، إذا كنت منظمة واعية بالأمن في صناعة منظمة وقمت بالعمل الشاق لاعتماد المعيار الذهبي السابق - البطاقات الذكية التي تحمل شهادة أمان والتحقق من صحتها مقابل مرجع تصديق على البنية التحتية - فقد تجد نفسك عالقًا ADFS عند محاولة الانتقال إلى مفاتيح FIDO الجديد. هذا ينطبق بشكل خاص على الأعمال التجارية مع سياسات BYOD.
حتى وقت قريب، كانت الطريقة الوحيدة لاستخدام PIV و CAC مع Azure AD هي تشغيل ADFS على البنية التحتية الخاصة بك، مع الاتحاد مع المرجع المصدق الخاص بك. يعني استخدام ADFS كخادم لتوقيع رموز SAML المميزة إدارة شهادات التوقيع.
قال وينرت: "إدارة الشهادات صعبة، وإدارة الشهادات الآمنة صعبة، ومن الصعب الدفاع عن البنية التحتية المحلية". إذا كنت ستفعل هذا، فأنت تريد أن تكون قادرًا على تخصيص الكثير من الموارد.
البنية التحتية المحلية عرضة للهجوم
لا تمتلك كل مؤسسة هذه الموارد، ويرجع الكثير من الحافز لنقل البنية التحتية لهويتك إلى السحابة إلى مدى صعوبة الحفاظ على أمانها على الخوادم الخاصة بك. يستشهد Weinert بخرق البيانات الأخير كمثال.
وقال "الخروقات تأتي دائما تقريبا من داخل البنية التحتية للشركة". لا يعد اختراق شبكة VPN أمرًا صعبًا في معظم البيئات لأن كل ما أحتاجه هو مستخدم واحد في تلك البيئة للنقر على رابط سيئ والحصول على البرامج الضارة، والآن لدي قيادة وتحكم داخل VPN. من هناك، إنه عمل قصير نسبيًا يقوم بحركات جانبية في الخادم يقوم ببعض الأشياء المهمة مثل التحقق من الشهادات أو التوقيعات.
وضع هجوم مؤخرًا برامج ضارة على مستوى النظام على خوادم ADFS، مما سمح للمهاجمين بتغليف العمليات واعتراض التوقيعات، على الرغم من أن المنظمة كانت تستخدم HSM. وقد تم ذلك من قبل ما وصفه وينيرت بأنه مهاجم متطور إلى حد ما.
الآن بعد أن فعلوا ذلك، سيحاول الجميع، كما يحذر.
شهادات الجوال و Azure AD
Windows Hello، تمنحك رموز FIDO المميزة والمفاتيح نفس المصادقة القوية مثل المصادقة المستندة إلى الخادم دون تشغيل بنية تحتية للشهادة. ومع ذلك، لا تستطيع بعض المنظمات تحمل تكاليف الهجرة.
قال وينرت إن الهدف طويل المدى هو عدم السماح للأشخاص بإدارة البنية التحتية للمفاتيح العمومية الخاصة بهم على الإطلاق، لأنه من الأسهل والأكثر أمانًا بالنسبة لهم إدارتها في السحابة. ربما يكون تشغيل PKI الخاص بك شيئًا يريد الجميع التخلص منه، لكن لا يمكن لأحد التخلص منه على الفور.
تضيف المصادقة المستندة إلى الشهادة في Azure AD دعم البطاقة الذكية إلى Azure AD، والآن يمكنك تعيين سياسة تتطلب مكافحة التصيد الاحتيالي باستخدام مفاتيح أمان FIDO لتسجيل الدخول إلى التطبيقات الأصلية والمستندة إلى الويب على iOS و Android. يعمل هذا أيضًا مع تطبيق Microsoft Authenticator على iOS و Android يستخدم Android YubiKey لتسجيل الدخول إلى التطبيقات التي لا تستخدم أحدث إصدار من مكتبة مصادقة Microsoft.
يتيح استخدام مفاتيح الأجهزة للفرق توفير بيانات الاعتماد للعاملين عن بُعد، وأجهزة BYOD، وغيرها من الأجهزة غير المُدارة - دون ترك البنية الأساسية الحالية حتى تصبح جاهزًا. لديك أيضًا ثقة أكبر في أن الشهادة محمية لأنها لا تترك أبدًا حماية الأجهزة لمفتاح الأمان: إذا قمت بتوفير تظل الشهادة موجودة على الجهاز، وعليك أن تثق برقم التعريف الشخصي على الجهاز، ويمكن أن يكون تعيين سياسات PIN أكثر صرامة بمثابة ضربة كبيرة لإنتاجية المستخدم.
الأمن الجيد يحسن الإنتاجية
بالإضافة إلى تحسين الأمان للمؤسسة، يحصل الموظفون أيضًا على تجربة أفضل لأنه لا يتعين عليهم التأكد من اتصال أجهزتهم المحمولة بشكل متكرر بما يكفي للحصول على شهادات محدثة أو التعامل مع العديد من مطالبات المصادقة التي سئموا من MFA، فقط ماذا للنقر يمكن أن يكون هجوم تصيد محتال. يعني استخدام الشهادات - سواء على الهاتف أو عبر مفتاح أمان - أنك لست بحاجة إلى سؤال المستخدم على الإطلاق.
تعتقد العديد من المؤسسات أن مطالبة المستخدمين بتسجيل الدخول باستخدام أسلوب العائالت المتعددة MFA كل ساعة أو ساعتين يؤدي إلى تحسين الأمان. حذر وينرت من أنه كان يفعل العكس.
قال إنه جاء بنتائج عكسية، وليس فقط لأنه يحبط المستخدمين. الآن لا يمكنك استخدام المطالبات التفاعلية كإجراء أمني لأنهم سيقولون نعم.
قارن هذا بالإجبار على تغيير كلمة المرور.
قال وينرت للوهلة الأولى أنها تبدو فكرة جيدة، لكنها في الواقع أسوأ فكرة على الإطلاق. يسهل تغيير كلمة المرور على المهاجم تخمين كلمة المرور التالية أو تخمين كلمة المرور التي لديك الآن، لأن الأشخاص يمكن توقعهم.
تعد مفاتيح الأجهزة أيضًا أكثر قابلية للنقل: إذا حصل شخص ما على هاتف جديد - أو قام عامل في الخطوط الأمامية بتسجيل الدخول إلى كشك مشترك أو أصدر جهازًا مختلفًا كل يوم - فيمكنه استخدام الرمز المميز على الفور.
يكون الوصول المستند إلى شهادة Mobile Azure AD في المعاينة العامة وسيعمل في البداية فقط مع مفاتيح أمان YubiKey المتصلة بمنفذ USB: تخطط Microsoft لإضافة دعم NFC والمزيد من موفري الأجهزة.
كما ينطبق أيضًا على تحسينات Azure AD الأخرى التي قد تجدها مفيدة. إذا كنت تستخدم بالفعل YubiKey لتأمين الوصول إلى Active Directory و ADFS، فإن نفس الشهادة الموجودة على مفتاح الأمان الخاص بك ستسمح لك الآن بالمصادقة على موارد Azure المحمية بواسطة AD مثل Azure Virtual Desktop.
قم بإقران هذا مع سياسات الوصول المشروط الجديدة الدقيقة في Azure AD لاختيار مستوى MFA المطلوب للتطبيقات المختلفة. يمكنك الآن السماح بالوصول إلى التطبيقات القديمة التي قد لا تدعم FIDO باستخدام خيارات مثل TOTP دون السماح بذلك لجميع التطبيقات.
وأشار وينرت إلى أن هذه الخيارات لا تفرض اختيارًا خاطئًا بين الإنتاجية والأمان.
وقال: "إذا منع شخصًا ما من أن يكون منتجًا، كمنظمة أو كمستخدم، فسيختار دائمًا الإنتاجية على الأمان". إذا كنت تريد أن يتمتع الأشخاص بممارسات أمنية أفضل، فما عليك فعله هو في الواقع إنشاء طريقة آمنة للقيام بالأشياء بطريقة فعالة للقيام بالأشياء.