รหัสผ่านลงท้ายด้วยรหัสผ่าน
กุมภาพันธ์ 22nd, 2023 ชารอน แนชโชนี่
ชุมชนความปลอดภัยได้ประกาศการตายของรหัสผ่านอย่างต่อเนื่อง แต่ตอนนี้อาจยังคงติดอยู่ที่การเปิดตัวรหัสผ่าน ในบล็อกนี้ เราจะให้ภาพรวมของวิวัฒนาการของการรักษาความปลอดภัยด้วยรหัสผ่าน โดยเปรียบเทียบกับวิธีการตรวจสอบความถูกต้องที่ทันสมัยกว่า นอกจากนี้ เรายังจะเน้นและให้ความเข้าใจที่ดีขึ้นเกี่ยวกับช่องว่างการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านที่ผู้โจมตีกำลังใช้ประโยชน์ และสำรวจประโยชน์ของรหัสผ่าน
สารบัญ
ประวัติความปลอดภัยของรหัสผ่าน
ความปลอดภัยของรหัสผ่านมีการพัฒนาตลอดหลายปีที่ผ่านมา จากการใช้รหัสผ่านง่ายๆ และทำให้ซับซ้อนมากขึ้นโดยการใช้อักขระพิเศษและ/หรือรหัสผ่านที่ยาวขึ้น แม้ว่าวิธีนี้จะทำให้ถอดรหัสรหัสผ่านได้ยากขึ้น แต่โซลูชันนี้ไม่ได้แก้ปัญหารหัสผ่านที่ถูกขโมยหรือเปิดเผยซึ่งใช้ใน การโจมตีตามข้อมูลประจำตัว. เนื่องจากความปลอดภัยของรหัสผ่านมีการพัฒนาอย่างต่อเนื่อง การตรวจสอบหลายปัจจัย (MFA)– การรวมสิ่งที่คุณรู้ (เป็นรหัสผ่าน) เข้ากับสิ่งที่คุณมี (โทเค็นตัวเลข ลายนิ้วมือ RFID ฯลฯ) กลายเป็นมาตรฐานทองคำสำหรับการรับรองความถูกต้อง
แม้ว่า MFA ยังคงเป็นโซลูชันที่แข็งแกร่งและได้รับความนิยมอย่างมาก แต่ก็มีหนทางอีกยาวไกลในการช่วยลดการใช้รหัสผ่านที่ถูกบุกรุก อย่างไรก็ตาม ยังคงมีปัญหาพื้นฐานอยู่ นั่นคือรหัสผ่านนั่นเอง รหัสผ่านโดยเนื้อแท้แล้วยังคงอ่อนแอ แตกหักง่าย และอ่อนไหวต่อการโจมตีทางวิศวกรรมสังคมอยู่เสมอ ไม่ต้องพูดถึงความไม่สะดวกของมนุษย์ที่ต้องจำรหัสผ่านเหล่านี้ ซึ่งนำไปสู่แนวโน้มของการจดรหัสผ่าน และในหลายกรณีใช้รหัสผ่านเดียวกันซ้ำทุกที่เพื่อหลีกเลี่ยงการจำรหัสผ่านหลายตัว
การตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน
เพื่อเสริมความปลอดภัยของรหัสผ่าน การตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านกลายเป็นวิธีแก้ปัญหาที่ยอมรับได้มากขึ้น เนื่องจากเป็นการขจัดปัจจัยด้านมนุษย์และความไม่สะดวกในการสร้างและการจดจำรหัสผ่าน และขจัดความสามารถที่ผู้โจมตีจะทำวิศวกรรมทางสังคมจากระยะไกลหรือขโมยรหัสผ่านจากผู้ใช้
รูปแบบทั่วไปของการพิสูจน์ตัวตนแบบไม่ใช้รหัสผ่านคือ รหัสผ่าน. รหัสผ่านคือข้อมูลรับรองการพิสูจน์ตัวตนที่กลายเป็นการพิสูจน์ตัวตนหลักแต่เพียงผู้เดียวที่มีความปลอดภัยมากกว่าการพิสูจน์ตัวตนรูปแบบใดๆ ที่ใช้รหัสผ่านและปัจจัยอื่นๆ โดยการสรุปหลักการหลักของมัลติแฟกเตอร์เป็นขั้นตอนการตรวจสอบสิทธิ์เดียว สิ่งนี้ทำให้ผู้ใช้เร็วขึ้น ง่ายขึ้น และปลอดภัยยิ่งขึ้น
รหัสผ่านขึ้นอยู่กับสองโปรโตคอล: FIDO2 และ เว็บAuthN. โปรโตคอลเหล่านี้ได้รับการพิสูจน์แล้วว่าทนทานต่อภัยคุกคามต่างๆ เช่น ฟิชชิ่ง หนังสือรับรองการบรรจุและการโจมตีจากคนตรงกลาง (MiTM) รหัสผ่าน ใช้กล้องของโทรศัพท์กับรหัส QR ที่นำเสนอ จากนั้นใช้อุปกรณ์ทางกายภาพ เช่น Yubikey และ/หรือข้อมูลไบโอเมตริก เช่น ใบหน้าของคุณใน Windows Hello หรือลายนิ้วมือของคุณ
ขณะนี้มีรหัสผ่านและ Silverfortคุณสามารถปกป้องตัวตนเครือข่ายของคุณด้วย MFA โดยไม่จำเป็นต้องดาวน์โหลดแอปพลิเคชันของบุคคลที่สาม แอปพลิเคชันของบุคคลที่สามมักใช้ในการโจมตีทางไซเบอร์ และการทิ้งแอปพลิเคชันเหล่านี้ไว้เบื้องหลังจะช่วยเสริมด้านความปลอดภัยมากยิ่งขึ้น
Silverfort- รหัสผ่านมากขึ้น - น้อยลง
เป็นขั้นตอนเพิ่มเติมในกระบวนการตรวจสอบสิทธิ์ Silverfort สามารถใช้รหัสผ่านและเชื่อมต่อกับแอปพลิเคชัน บัญชีบริการอินเทอร์เฟซบรรทัดรับคำสั่ง และแพลตฟอร์มอื่นๆ ที่ไม่รองรับประเภทการรับรองความถูกต้องสมัยใหม่นี้ Silverfortความสามารถขององค์กรและอุตสาหกรรมต่างๆ เชื่อมโยงการพิสูจน์ตัวตนหลายประเภท เช่น มัลติแฟกเตอร์และรหัสผ่านแบบดั้งเดิมเข้ากับโซลูชันการระบุตัวตนที่แพร่หลายสำหรับลูกค้าของเรา Silverfort จัดเตรียมส่วนควบคุมข้อมูลประจำตัวและให้อำนาจแก่ลูกค้าในการปรับใช้นโยบายการควบคุมการเข้าถึงของผู้ใช้เพื่อควบคุมการเข้าถึงทรัพยากรที่สำคัญและละเอียดอ่อนในสภาพแวดล้อมของพวกเขา หากต้องการเรียนรู้เพิ่มเติม ขอตัวอย่างที่นี่.
