۹۶/۸/۵، ۰۱:۰۶ عصر
امروزه حفظ امنیت سایبری به یکی از مشکلهای عمدهی شرکتهای بزرگ تبدیل شده است. به این منظور روشهای مختلف و جدیدی برای حفظ امنیت بیشتر ارائه شدهاند که در این مقاله به آنها میپردازیم.
هدف بسیاری از شرکتها احراز هویت مشتری و شناسههای کارمندی به شیوهای تقریبا نامرئی است که تنها یک ثانیه زمان ببرد. برای مثال میتوان به ورود یک خریدار به وبسایت، یا اجرای عملیات در پشتصحنه در حین فعالیت کارمندان اشاره کرد.
برای دستیابی به این هدف و توانایی بررسی دقیق هویت کارمندان و مشتریان، شرکتها از فناوریهای جدید مثل اسکنهای بیومتریک چهره و اثر انگشت و سیستمهای نظارت بر رفتار استفاده میکنند، برای مثال این سیستمها نشان میدهند شما اخیرا از کدام برنامه بیشتر استفاده کردید.
با حرفهایتر شدن هکرها، رمزعبورهای سنتی امنیت کمتری خواهند داشت. دادههای اخیر سازمان گزارش اعتبار Equifax احتمال افزایش سؤالهایی در مورد استفاده از شمارههای امنیت اجتماعی و دادههای شخصی دیگر برای احراز هویت یک شخص و پیشبرد بهتر روشهای احراز هویت را بالا میبرد. با این که امنیت مسالهی بسیار مهمی است، شرکتها به دنبال ارائهی یک تجربهی یکپارچه برای کارمندان و مشتریانی هستند که نمیخواهند زیاد درگیر رمزهای عبور شوند.
شرکت مسترکارت لپتاپهایی را در اختیار کارمندان خود گذاشته است که مجهز به قرائتگرهای تعبیهشدهی اثر انگشت و یک فناوری تست هستند که چهرهی کارمندان را قبل از ورود به ساختمان اداره اسکن میکند. مسترکارد با بررسی یک قابلیت پیشرفتهی دیگر، در ماه مارس موفق به دستیابی به فناوری NuData شد که قادر به شناسایی مشتریان بر اساس نحوهی گرفتن تلفن همراه و دیگر رفتارهای بیومتریک است.
مثل هر مقیاس دیگر احراز هویت، این ابزارها در معرض استراقسمع هکرها هم قرار میگیرند. یک تصویر یا انیمیشن باکیفیت یا در بعضی نمونهها یک آواتار متحرک میتواند بعضی از سیستمهای تشخیص چهره را فریب دهد.
به گفتهی ران گرین، مدیر امنیتی مسترکارت، نیروی محرکه و روبهجلو، حذف رمزهای عبور است.
شرکتها با کار روی امنیت بدون مداخله در تجربهی کاربری، قدم در یک راه باریک میگذارند. در صورتی که نیازی به رمز عبور نباشد، ممکن است دادههای بعضی مشتریان از امنیت کمتری برخوردار باشند. اما اگر برنامههای مبتنی بر رفتار بسیار حساس باشند و بر اساس منطق مثبت کاذب مثل مسدودسازی دسترسی کاربری که حروف را اشتباه تایپ کرده عمل کنند، این مساله آزار دهنده خواهد بود.
استیو ویلسون، محقق در زمینهی هویت دیجیتال و معاون و تحلیلگر ارشد مؤسسهی تحقیقاتی Constellation میگوید:
با پیشرفت فناوری، تشخیص چهره هم با چالشهای مشابهی روبهرو خواهد شد. برای مثال یک اتاق کمنور یا صورت اصلاح نشده، ممکن است از دسترسی شخص به برنامه جلوگیری کند.
مثل هر مقیاس دیگر احراز هویت، این ابزارها در معرض استراقسمع هکرها هم قرار میگیرند. یک تصویر یا انیمیشن باکیفیت یا در بعضی نمونهها یک آواتار متحرک میتواند بعضی از سیستمهای تشخیص چهره را فریب دهد.
اپلیکیشن My Bank از Vasco از تشخیص چهره برای احراز هویت تراکنشهای بانکداری استفاده میکند.
شرکتها روشهای خلاقانهای را برای مبارزه با این مشکل در نظر دارند. دیوید ورگارا، مدیر شرکت بازاریابی محصول جهانی، میگوید:
مؤسسهی بینالمللی امنیتی دادهی Vasco، سازندهی فناوریهای امنیت سایبری، از فناوری «کشف زنده» استفاده میکند که برای بررسی زندهبودن کاربران از آنها میخواهد چشمک زده یا سر خود را بچرخانند.
مقیاسهای احراز هویت بیومتریک با وجود محدودیتهایی مثل تشخیص چهره، مسیر اصلی خود را حفظ کردهاند. شرکت اپل هم اعلام کرده است از تشخیص چهره به عنوان روشی برای بازگشایی قفل آخرین تلفن هوشمند خود iPhone X استفاده کرده است که سهم زیادی در محبوبیت این فناوری داشته است.
به گفتهی تحلیلگر Forrester Reasearch، آندرس سزار:
بعضی از شرکتها برای احراز هویت کاربران در حین استفاده از یک برنامه، از سیستمهای یادگیری ماشین استفاده میکنند. این مقیاسها که به شدت وابسته به رفتار هستند و به الگوهای متداول رفتاری فرد در کاربرد تکنولوژی دقت میکنند، نسبتا جدید هستند اما توجه زیادی را به خود جلب کردهاند.
ورگارا نیز میگوید:
تحلیل خودکار الگوهای رفتاری کاربران، که میتواند شامل صدها نقطهی دادهای گسسته مثل سرعت تایپ باشد، یک دستاورد بزرگ در احراز هویت به شمار میرود؛ زیرا به سازمانها اجازه میدهد به جای تکیه بر یک رمزعبور مدتدار به نظارت امنیت در زمان واقعی بپردازند.
احراز هویت مبتنی بر رفتار، به دلیل پتانسیل بهبود تجربهی کاربری و در نتیجه زیرساخت یک شرکت، در درجهی اول متمرکز بر مشتری است.
مؤسسهی بیمهی سلامت Aetna در حال اجرای مقیاسهای امنیتی رفتار محور برای برنامههای وب و موبایل خود است که شامل گزینههایی برای معیارهای بیومتریک مثل ضربات انگشت است. این فناوری مشخصات اعضای Aetna از جمله انواع حرکت آنها برای یک برنامه یا سرعت تایپ را جمعآوری کرده و دادهها را در یک موتور ریسک وارد میکند. این موتور بر اساس دادههای مربوط به رفتار مشتری در یک برنامه و نوع دستگاه، میتوانید تصویری از رفتار «نرمال» را در زمان تقریبی دو هفته ایجاد کند.
احراز هویت مبتنی بر رفتار، به دلیل پتانسیل بهبود تجربهی کاربری و در نتیجه زیرساخت یک شرکت، در درجهی اول متمرکز بر مشتری است.
اگر رفتارهای شخصی، دارای انحراف قابل توجهی نسبت به رفتارهای متداول او باشد، سیستم این انحراف را درنظر میگیرد. اگر یک مشتری تلفن خود را به دوستش بدهد، برنامه دوست او را به عنوان یک شخص دیگر شناسایی میکند و یک شکل دیگر از احراز هویت مثل لغزاندن انگشت روی صفحهی نمایش را درخواست میکند.
به گفتهی ویلسون صدا هم در حال حاضر به یک بحث داغ در استارتآپها تبدیل شده است. سیستمهای شناسایی صوتی وجود دارند که برای ساخت یک «اثر صوتی» منحصربه فرد میتوانند به یادگیری و بررسی آهنگ گفتار، لهجه و تلفظ و دیگر معیارها بپردازند. بعضی شرکتها نیز به ساخت الگوریتمهایی میپردازند که از صوت برای تعیین سرنخهای زمینهای برای مثال گویندهای که تحت فشار یا اجبار سخن میگوید، استفاده میکنند.
دیگر معیارهای احرازهویت بیومتریک قابل توسعه شامل ابزارهای تشخیص دستخط، اسکنرهایی که کاربران را بر اساس شکل گوش آنها شناسایی میکنند و حتی نشانهگذارهای شناسهای هستند که از DNA شخص به دست میآیند. به گفتهی ویلسون صرفنظر از شکلی که روشهای احراز هویت در آینده به خود میگیرند، موضوع حائز اهمیت دستیابی به بیومتریکی است که مشتریان بتوانند از آن استفاده کنند.
شرکتها نباید به یک ابزار واحد احراز هویت وابسته باشند. کارشناسان یک روش لایهای امنیتی را توصیه میکنند که از ترکیب روشهای بیومتریکی، نظارت رفتار و حتی رمزهای عبور استفاده میکنند.
هدف بسیاری از شرکتها احراز هویت مشتری و شناسههای کارمندی به شیوهای تقریبا نامرئی است که تنها یک ثانیه زمان ببرد. برای مثال میتوان به ورود یک خریدار به وبسایت، یا اجرای عملیات در پشتصحنه در حین فعالیت کارمندان اشاره کرد.
برای دستیابی به این هدف و توانایی بررسی دقیق هویت کارمندان و مشتریان، شرکتها از فناوریهای جدید مثل اسکنهای بیومتریک چهره و اثر انگشت و سیستمهای نظارت بر رفتار استفاده میکنند، برای مثال این سیستمها نشان میدهند شما اخیرا از کدام برنامه بیشتر استفاده کردید.
با حرفهایتر شدن هکرها، رمزعبورهای سنتی امنیت کمتری خواهند داشت. دادههای اخیر سازمان گزارش اعتبار Equifax احتمال افزایش سؤالهایی در مورد استفاده از شمارههای امنیت اجتماعی و دادههای شخصی دیگر برای احراز هویت یک شخص و پیشبرد بهتر روشهای احراز هویت را بالا میبرد. با این که امنیت مسالهی بسیار مهمی است، شرکتها به دنبال ارائهی یک تجربهی یکپارچه برای کارمندان و مشتریانی هستند که نمیخواهند زیاد درگیر رمزهای عبور شوند.
شرکت مسترکارت لپتاپهایی را در اختیار کارمندان خود گذاشته است که مجهز به قرائتگرهای تعبیهشدهی اثر انگشت و یک فناوری تست هستند که چهرهی کارمندان را قبل از ورود به ساختمان اداره اسکن میکند. مسترکارد با بررسی یک قابلیت پیشرفتهی دیگر، در ماه مارس موفق به دستیابی به فناوری NuData شد که قادر به شناسایی مشتریان بر اساس نحوهی گرفتن تلفن همراه و دیگر رفتارهای بیومتریک است.
مثل هر مقیاس دیگر احراز هویت، این ابزارها در معرض استراقسمع هکرها هم قرار میگیرند. یک تصویر یا انیمیشن باکیفیت یا در بعضی نمونهها یک آواتار متحرک میتواند بعضی از سیستمهای تشخیص چهره را فریب دهد.
به گفتهی ران گرین، مدیر امنیتی مسترکارت، نیروی محرکه و روبهجلو، حذف رمزهای عبور است.
شرکتها با کار روی امنیت بدون مداخله در تجربهی کاربری، قدم در یک راه باریک میگذارند. در صورتی که نیازی به رمز عبور نباشد، ممکن است دادههای بعضی مشتریان از امنیت کمتری برخوردار باشند. اما اگر برنامههای مبتنی بر رفتار بسیار حساس باشند و بر اساس منطق مثبت کاذب مثل مسدودسازی دسترسی کاربری که حروف را اشتباه تایپ کرده عمل کنند، این مساله آزار دهنده خواهد بود.
استیو ویلسون، محقق در زمینهی هویت دیجیتال و معاون و تحلیلگر ارشد مؤسسهی تحقیقاتی Constellation میگوید:
با پیشرفت فناوری، تشخیص چهره هم با چالشهای مشابهی روبهرو خواهد شد. برای مثال یک اتاق کمنور یا صورت اصلاح نشده، ممکن است از دسترسی شخص به برنامه جلوگیری کند.
مثل هر مقیاس دیگر احراز هویت، این ابزارها در معرض استراقسمع هکرها هم قرار میگیرند. یک تصویر یا انیمیشن باکیفیت یا در بعضی نمونهها یک آواتار متحرک میتواند بعضی از سیستمهای تشخیص چهره را فریب دهد.
اپلیکیشن My Bank از Vasco از تشخیص چهره برای احراز هویت تراکنشهای بانکداری استفاده میکند.
شرکتها روشهای خلاقانهای را برای مبارزه با این مشکل در نظر دارند. دیوید ورگارا، مدیر شرکت بازاریابی محصول جهانی، میگوید:
مؤسسهی بینالمللی امنیتی دادهی Vasco، سازندهی فناوریهای امنیت سایبری، از فناوری «کشف زنده» استفاده میکند که برای بررسی زندهبودن کاربران از آنها میخواهد چشمک زده یا سر خود را بچرخانند.
مقیاسهای احراز هویت بیومتریک با وجود محدودیتهایی مثل تشخیص چهره، مسیر اصلی خود را حفظ کردهاند. شرکت اپل هم اعلام کرده است از تشخیص چهره به عنوان روشی برای بازگشایی قفل آخرین تلفن هوشمند خود iPhone X استفاده کرده است که سهم زیادی در محبوبیت این فناوری داشته است.
به گفتهی تحلیلگر Forrester Reasearch، آندرس سزار:
بعضی از شرکتها برای احراز هویت کاربران در حین استفاده از یک برنامه، از سیستمهای یادگیری ماشین استفاده میکنند. این مقیاسها که به شدت وابسته به رفتار هستند و به الگوهای متداول رفتاری فرد در کاربرد تکنولوژی دقت میکنند، نسبتا جدید هستند اما توجه زیادی را به خود جلب کردهاند.
ورگارا نیز میگوید:
تحلیل خودکار الگوهای رفتاری کاربران، که میتواند شامل صدها نقطهی دادهای گسسته مثل سرعت تایپ باشد، یک دستاورد بزرگ در احراز هویت به شمار میرود؛ زیرا به سازمانها اجازه میدهد به جای تکیه بر یک رمزعبور مدتدار به نظارت امنیت در زمان واقعی بپردازند.
احراز هویت مبتنی بر رفتار، به دلیل پتانسیل بهبود تجربهی کاربری و در نتیجه زیرساخت یک شرکت، در درجهی اول متمرکز بر مشتری است.
مؤسسهی بیمهی سلامت Aetna در حال اجرای مقیاسهای امنیتی رفتار محور برای برنامههای وب و موبایل خود است که شامل گزینههایی برای معیارهای بیومتریک مثل ضربات انگشت است. این فناوری مشخصات اعضای Aetna از جمله انواع حرکت آنها برای یک برنامه یا سرعت تایپ را جمعآوری کرده و دادهها را در یک موتور ریسک وارد میکند. این موتور بر اساس دادههای مربوط به رفتار مشتری در یک برنامه و نوع دستگاه، میتوانید تصویری از رفتار «نرمال» را در زمان تقریبی دو هفته ایجاد کند.
احراز هویت مبتنی بر رفتار، به دلیل پتانسیل بهبود تجربهی کاربری و در نتیجه زیرساخت یک شرکت، در درجهی اول متمرکز بر مشتری است.
اگر رفتارهای شخصی، دارای انحراف قابل توجهی نسبت به رفتارهای متداول او باشد، سیستم این انحراف را درنظر میگیرد. اگر یک مشتری تلفن خود را به دوستش بدهد، برنامه دوست او را به عنوان یک شخص دیگر شناسایی میکند و یک شکل دیگر از احراز هویت مثل لغزاندن انگشت روی صفحهی نمایش را درخواست میکند.
به گفتهی ویلسون صدا هم در حال حاضر به یک بحث داغ در استارتآپها تبدیل شده است. سیستمهای شناسایی صوتی وجود دارند که برای ساخت یک «اثر صوتی» منحصربه فرد میتوانند به یادگیری و بررسی آهنگ گفتار، لهجه و تلفظ و دیگر معیارها بپردازند. بعضی شرکتها نیز به ساخت الگوریتمهایی میپردازند که از صوت برای تعیین سرنخهای زمینهای برای مثال گویندهای که تحت فشار یا اجبار سخن میگوید، استفاده میکنند.
دیگر معیارهای احرازهویت بیومتریک قابل توسعه شامل ابزارهای تشخیص دستخط، اسکنرهایی که کاربران را بر اساس شکل گوش آنها شناسایی میکنند و حتی نشانهگذارهای شناسهای هستند که از DNA شخص به دست میآیند. به گفتهی ویلسون صرفنظر از شکلی که روشهای احراز هویت در آینده به خود میگیرند، موضوع حائز اهمیت دستیابی به بیومتریکی است که مشتریان بتوانند از آن استفاده کنند.
شرکتها نباید به یک ابزار واحد احراز هویت وابسته باشند. کارشناسان یک روش لایهای امنیتی را توصیه میکنند که از ترکیب روشهای بیومتریکی، نظارت رفتار و حتی رمزهای عبور استفاده میکنند.