عدم وجود سیاستی مناسب برای تایید هویت کاربران هنگام بازنشانی رمز ورود میتواند مشکلات امنیتی ایجاد کند.
به گزارش گرداب، علیرغم افزایش موارد سرقت هویت در بخشهای مختلف جهان، برخی از سازمانها هنوز روند تایید هویت را برای محافظت از اطلاعات کارمندان خود تغییر ندادهاند. طبق نظرسنجیای که Specops Software انجام داده است؛ حدود ۴۸% از سازمانها برای تماسهای دریافتی با بخش خدمات فناوری اطلاعات، سیاستی برای تایید هویت کاربر اعمال نمیکنند.
در این نظرسنجی که بیش از ۲۰۰ مدیر امنیتی از بخشهای خصوصی و دولتی در آمریکای شمالی و اروپا شرکت کردهاند، مشخص شد که ۲۸% از شرکتهایی که از سیاستهای تایید هویت کاربر استفاده میکنند، به دلیل مشکلات امنیتی و کارآمدی از سیاست فعلی خود راضی نیستند.
همچنین مشخص شد که بیشتر سازمانها به پرسیدن سوالاتی دانش بنیان مانند اطلاعاتی که در کارت شناسایی کارمندان ثبت شده و نام مدیر یا اطلاعاتی مانند تاریخ تولد و آدرس کارمندان کفایت میکنند. مجرمان اینترنتی به راحتی میتوانند این اطلاعات را به دست بیاورند. با وجود چندین گزینه برای تغییر رمزعبور، بیشتر سازمانها برای این کار به بخش خدمات فناوری اطلاعات مراجعه میکنند.
مجرمان اینترنتی اغلب خود را به جای کارشناسان فناوری اطلاعات جا میزنند. علاوهبر این، موسسهی ملی استاندارد و فناوری (NIST) از سازمانها خواست تا از سوالاتی که جوابهای آنها بر اساس اطلاعات استاتیک است و به راحتی میتوان از سیستمهای HR و Active Directory پیدا کرد، خودداری کنند.
سیاست تایید هویت کاربر چیست؟
این سیاست فرآیندی است برای تایید هویت کاربری که میخواهد به خدمات و برنامهها دسترسی پیدا کند. تایید هویت را میتوان با روشهای مختلفی انجام داد مانند وارد کردن رمزعبور، استفاده از روشهای احراز هویت دو عاملی (۲FA) یا احراز هویت چندعاملی (MFA).
تایید هویت کاربران به تعیین میزان دسترسی آنها به سیستم کمک میکند و همچنین خطر نفوذ هکرها را به حداقل میرساند. با روند رو به دیجیتالی شدن، سازمانها باید اطمینان حاصل کنند که فقط کاربران مشخصی توان دسترسی به اطلاعات زیرساختی مهم دیجیتالی را دارند.
Marcus Kaber، مدیرعامل Specops Software، گفت: «بر اساس یافتههای ما، بازنشانی رمزعبور خطری جدی برای سازمانهاست. در صورت عدم وجود راهحلی برای تنظیم مجدد رمزعبور توسط خود شخص، این وظیفهی خدماتدهندگان پشت میز است که قبل از صدور اجازهی ورود به سیستم، مطمئن شوند که شخص تماس گیرنده مالک قانونی آن حساب است.
متاسفانه، بدون وجود سیاست تایید هویت امن، خدماتدهندگان ممکن است بدون این که خودشان بدانند، به کاربران غیرمجاز اجازهی دسترسی به حساب را بدهند و باعث بروز حوادث سایبری شوند.»