كيفية التحول الكامل إلى مصادقة بدون كلمات مرور

1. المقدمة: لماذا لا يمثل تطبيق مفاتيح المرور خط النهاية#

يمثل تطبيق مفاتيح المرور قفزة هائلة إلى الأمام في أمان المصادقة، ولكنه ليس نهاية المطاف. إذا كنت قد نشرت مفاتيح المرور بالفعل، فمن المحتمل أنك تحتفل بتحسن مقاييس الأمان، ولكن كيف يمكنك فعلياً الانتقال من امتلاك مفاتيح المرور إلى تحقيق مصادقة كاملة بدون كلمات مرور؟

توفر مفاتيح المرور مزايا أمنية بالغة الأهمية من خلال تصميمها المقاوم للتصيد باستخدام التشفير بالمفتاح العام المرتبط بنطاقات محددة، مما يجعل من المستحيل على المهاجمين خداع المستخدمين للمصادقة على مواقع احتيالية. كما أنها تقضي على إعادة استخدام بيانات الاعتماد نظراً لأن كل مفتاح مرور فريد لخدمة معينة، مما يعني أن اختراق إحدى الخدمات لا يؤثر على الخدمات الأخرى. وعلاوة على ذلك، فهي توفر حصانة ضد هجمات القوة الغاشمة عن طريق استبدال الأسرار المحفوظة بمفاتيح تشفير لا يمكن تخمينها أو اختراقها.

ومع ذلك، تتبخر هذه المزايا القوية في اللحظة التي يمكن فيها للمستخدم تجاوز المصادقة باستخدام مفتاح المرور وتسجيل الدخول بكلمة مرور بدلاً من ذلك. وهذا يثير سؤالاً بالغ الأهمية: لماذا لا تكفي مفاتيح المرور وحدها لتحقيق الأمان الكامل؟ تكمن الإجابة في إدراك أنه طالما ظل باب كلمة المرور مفتوحاً، سيحاول المهاجمون الدخول من خلاله. والأهم من ذلك هو السؤال، ما الذي يجعل استرداد الحساب الثغرة الخفية التي يمكن أن تقوض تطبيق مفاتيح المرور بالكامل؟ أظهرت الخروقات البارزة الأخيرة أن المهاجمين يستهدفون بشكل متزايد مسارات الاسترداد بدلاً من المصادقة الأساسية.

سيرشدك هذا المقال خلال الرحلة الكاملة بدءاً من تطبيق مفاتيح المرور ووصولاً إلى تحقيق أمان حقيقي بدون كلمات مرور، مع معالجة كل من هذه الأسئلة الحاسمة بحلول عملية وأمثلة من العالم الحقيقي.

ماذا يعني "بدون كلمات مرور" حقاً؟#

تعني المصادقة الحقيقية بدون كلمات مرور القضاء التام على كلمات المرور من بنية الأمان الخاصة بك. في نظام بدون كلمات مرور، لا يمكن للمستخدمين تعيين أو إعادة تعيين أو استخدام كلمات المرور في أي نقطة من رحلة المصادقة الخاصة بهم. بدلاً من ذلك، تعتمد المصادقة بالكامل على أساليب التشفير مثل مفاتيح المرور.

تدعي العديد من المؤسسات أنها تعمل "بدون كلمات مرور" بينما لا تزال تحتفظ بكلمات المرور في الخلفية كخيار احتياطي. هذا ليس نظاماً حقيقياً بدون كلمات مرور، بل مجرد نظام اختياري لكلمة المرور. وهذا التمييز مهم لأنه طالما توجد كلمات المرور في أي مكان في نظامك، بما في ذلك مسارات الاسترداد، فإنها تظل ثغرة قابلة للاستغلال سيستهدفها المهاجمون.

2. البابان الخلفيان اللذان يقوضان أمان مفاتيح المرور#

يتطلب الأمان الحقيقي بدون كلمات مرور التخلص من كلمات المرور في المصادقة الأساسية بالإضافة إلى التأكد من أن عمليات الاسترداد مقاومة للتصيد بشكل مماثل.

2.1 لماذا تشكل كلمات المرور كخيار احتياطي خطراً أمنياً كبيراً#

يؤدي الاحتفاظ بكلمات المرور كخيار احتياطي إلى الحفاظ على كل ناقل هجوم صُممت مفاتيح المرور للقضاء عليه. يقوم المهاجمون ببساطة بتوجيه حملات التصيد الخاصة بهم لاستهداف إدخال كلمة المرور، بينما تستمر هجمات حشو بيانات الاعتماد ورش كلمات المرور باستخدام بيانات الاعتماد المسروقة من خروقات أخرى. تظل الهندسة الاجتماعية فعالة حيث لا يزال من الممكن خداع المستخدمين للكشف عن كلمات المرور لوكلاء دعم مزيفين.

طالما ظلت كلمات المرور موجودة، فإنها تظل الحلقة الأضعف، وهي نقطة دخول واحدة تتحايل تماماً على الأمان المقاوم للتصيد لمفاتيح المرور.

2.2 الباب الخلفي لاسترداد الحساب#

لا يكفي النظر إلى تجربة تسجيل الدخول وحدها. يعد مسار استرداد الحساب ناقل هجوم بالغ الأهمية ولكنه غالباً ما يتم التغاضي عنه. حتى المؤسسات التي طبقت مفاتيح المرور يمكن أن تظل عرضة للخطر إذا كانت عملية الاسترداد الخاصة بها تعتمد على طرق قابلة للتصيد مثل رموز OTP عبر الرسائل القصيرة أو الروابط السحرية عبر البريد الإلكتروني.

ولنأخذ في الاعتبار الاختراق البارز لشركة MGM Resorts في عام 2023، حيث لم يستهدف المهاجمون نظام المصادقة الأساسي بل استغلوا عملية استرداد الحساب من خلال الهندسة الاجتماعية، متجاوزين جميع التدابير الأمنية الأساسية. وبالمثل، أظهر اختراق نظام دعم Okta كيف يمكن أن تصبح مسارات الاسترداد الحلقة الأضعف، مما يسمح للمهاجمين بإعادة تعيين بيانات الاعتماد والوصول غير المصرح به إلى بيئات العملاء.

وتؤكد هذه الحوادث حقيقة حاسمة: إن تطبيق مفاتيح المرور دون تأمين مسار الاسترداد يشبه تركيب باب فولاذي مع ترك النوافذ مفتوحة.

3. الرحلة نحو الاستغناء عن كلمات المرور#

إن تحقيق المصادقة الحقيقية بدون كلمات مرور ليس خطوة واحدة، بل هي رحلة استراتيجية تتطلب تخطيطاً دقيقاً وتصميماً مدروساً للمنتج واستراتيجية وتنفيذاً تدريجياً وتحسيناً مستمراً:

3.1 المرحلة 1: إضافة مفاتيح المرور#

تركز المرحلة الأولى على إدخال مفاتيح المرور كطريقة مصادقة إضافية مع الحفاظ على الخيارات الحالية كبدائل احتياطية. تتيح هذه المرحلة التأسيسية للمستخدمين الوقت لفهم التكنولوجيا الجديدة والثقة بها مع إبقاء الأساليب المألوفة متاحة لتقليل الاحتكاك.

خطوات التنفيذ الرئيسية:

• دمج المصادقة باستخدام مفتاح المرور في مسار المصادقة الحالي لديك
• تمكين إنشاء مفاتيح المرور للمستخدمين الجدد والحاليين
• الاحتفاظ بكلمات المرور وطرق المصادقة الأخرى كبدائل
• تتبع معدلات إنشاء مفاتيح المرور وأنماط الاستخدام

مقاييس النجاح:

• نسبة المستخدمين الذين قاموا بإنشاء مفتاح مرور واحد على الأقل أعلى من 50%
• معدل نجاح إنشاء مفاتيح المرور أعلى من 95%
• وصول الاستخدام الأولي لمفاتيح المرور للمصادقة إلى 20-30%

3.2 المرحلة 2: زيادة اعتماد مفاتيح المرور#

بمجرد توفر مفاتيح المرور، يتحول التركيز إلى دفع نسبة الاعتماد وجعل مفاتيح المرور هي طريقة المصادقة المفضلة. تحول هذه المرحلة مفاتيح المرور من خيار بديل إلى خيار المصادقة الأساسي من خلال إشراك المستخدم وتحسين الاستراتيجية.

خطوات التنفيذ الرئيسية:

• جعل المصادقة باستخدام مفتاح المرور الخيار الافتراضي في مسارات تسجيل الدخول
• تنفيذ المطالبات الذكية التي تشجع على إنشاء مفتاح مرور بعد تسجيل الدخول بنجاح بكلمة مرور
• تثقيف المستخدمين حول فوائد الأمان والراحة من خلال المراسلة داخل التطبيق
• تقديم حوافز لاعتماد مفاتيح المرور (عملية دفع أسرع، ميزات حصرية)
• إجراء اختبار A/B لأساليب المراسلة وواجهة المستخدم المختلفة لزيادة التحويل
• تنفيذ سياسات الوصول المشروط التي تتطلب مفاتيح مرور للعمليات الحساسة

مقاييس النجاح:

• 60%+ من المستخدمين النشطين لديهم مفتاح مرور واحد على الأقل
• 80%+ من عمليات تسجيل الدخول باستخدام مفاتيح المرور للحسابات التي تدعم مفاتيح المرور
• أقل من 2% معدل فشل إنشاء مفتاح المرور

3.3 المرحلة 3: الاستغناء عن كلمات المرور#

هذا هو المكان الذي يحدث فيه التحول الأمني الحقيقي: إزالة كلمات المرور بالكامل للمستخدمين الذين يستخدمون مفاتيح المرور باستمرار. تقضي هذه المرحلة على ناقل الهجوم الأساسي عن طريق إلغاء تنشيط كلمات المرور للمستخدمين الذين أظهروا اعتماداً ناجحاً لمفاتيح المرور.

خطوات التنفيذ الرئيسية:

• تحليل أنماط مصادقة المستخدم باستخدام أنظمة المراقبة الذكية
• تحديد المستخدمين الذين يستخدمون مفاتيح المرور حصرياً مع أجهزة متعددة جاهزة لمفاتيح المرور
• عرض إلغاء تنشيط كلمة المرور برسائل فوائد أمنية واضحة
• التحقق من توفر مفتاح المرور الاحتياطي (المزامن سحابياً أو الأجهزة المتعددة)

مقاييس النجاح:

• 30%+ من المستخدمين المؤهلين يزيلون كلمات المرور طواعية
• عدم وجود زيادة في معدلات قفل الحسابات
• الحفاظ على درجات رضا المستخدمين أو تحسينها

3.4 المرحلة 4: الاسترداد المقاوم للتصيد#

تعالج المرحلة النهائية الثغرة الأخيرة: تحويل استرداد الحساب إلى عملية مقاومة للتصيد. تضمن هذه المرحلة أن مسارات الاسترداد تتطابق مع مستوى الأمان للمصادقة الأساسية، مما يمنع هجمات الباب الخلفي.

خطوات التنفيذ الرئيسية:

• تنفيذ المصادقة متعددة العوامل باستخدام عامل واحد على الأقل مقاوم للتصيد
• العوامل المقاومة للتصيد المتاحة:
  • مفاتيح المرور الاحتياطية: مفاتيح مرور استرداد مخزنة على أجهزة ثانوية أو خدمات سحابية توفر دليلاً مشفراً للهوية (الخيار الأكثر توفراً على نطاق واسع)
  • واجهة برمجة تطبيقات بيانات الاعتماد الرقمية (Digital Credentials API): معيار W3C لتأكيدات الهوية التي تم التحقق منها مشفراً من مزودين موثوقين (تقنية ناشئة، لم تنتشر على نطاق واسع بعد)
  • مفاتيح الأمان للأجهزة (Hardware Security Keys): رموز FIDO2 مادية مسجلة كعوامل استرداد لا يمكن تصيدها أو تكرارها (تتطلب من المستخدمين شراء وصيانة أجهزة مادية)
  • التحقق من وثيقة الهوية مع اكتشاف الحيوية: مسح الهوية الحكومية مقترناً بإجراءات حيوية في الوقت الفعلي لإثبات التواجد الفعلي

ملاحظة حول خيارات الاسترداد: في حين أن Digital Credentials API و Hardware Security Keys توفران أماناً قوياً، إلا أنهما لم يعتمدا على نطاق واسع بعد، فالأولى لا تزال تقنية ناشئة والثانية تتطلب من المستخدمين شراء أجهزة مادية.

عندما لا تتوفر مفاتيح المرور الاحتياطية، يصبح التحقق من وثيقة الهوية مع اكتشاف الحيوية بديلاً قابلاً للتطبيق. وعلى الرغم من الحلول البديلة المحتملة لتجاوز فحوصات الحيوية دون الملكية المادية للهوية، إلا أن هذه الطرق لا تزال توفر أماناً أقوى بكثير من كلمات المرور لمرة واحدة (OTPs) التقليدية، والتي يمكن اعتراضها بسهولة من خلال التصيد، أو تبديل شريحة الهاتف (SIM swapping)، أو هجمات الوسيط (man-in-the-middle).

مقاييس النجاح:

• 100% من مسارات الاسترداد تتضمن عوامل مقاومة للتصيد
• عدم وجود عمليات استيلاء ناجحة على الحسابات من خلال عمليات الاسترداد
• معدلات اكتمال الاسترداد المحتفظ بها فوق 90%

4. أمثلة على الشركات التي بدأت في إزالة كلمات المرور#

تكتسب الحركة نحو الاستغناء عن كلمات المرور زخماً عبر صناعة التكنولوجيا، مع ابتعاد الشركات الرائدة عن كلمات المرور.

4.1 المؤسسات التي تعمل بالكامل بدون كلمات مرور#

لقد حققت العديد من الشركات بالفعل إزالة كاملة لكلمات المرور لعملياتها الداخلية. لقد وصلت Okta وYubico وCloudflare فعلياً إلى صفر من استخدام كلمات المرور داخلياً ولن تقبل مسارات تسجيل الدخول الخاصة بها كلمات المرور على الإطلاق.

4.2 الشركات في مرحلة الانتقال النشط#

تعمل عمالقة التكنولوجيا Google وApple وMicrosoft وX بنشاط على إيقاف كلمات المرور ولكنها لم تزيلها بالكامل. يوازن نهجهم بين التحسينات الأمنية واختيار المستخدم خلال الفترة الانتقالية.

اتخذت Google موقفاً هجومياً من خلال تشغيل "تخطي كلمة المرور عند الإمكان" (Skip password when possible) افتراضياً لجميع الحسابات، مما يجعل مفاتيح المرور هي طريقة المصادقة المفضلة مع السماح للمستخدمين بإلغاء الاشتراك إذا لزم الأمر. يخلق نهج إلغاء الاشتراك هذا زخماً قوياً نحو الاستغناء عن كلمات المرور مع الحفاظ على المرونة للمستخدمين غير المستعدين للانتقال بعد.

تخطو Microsoft خطوة أبعد من خلال السماح للمستخدمين بإزالة كلمات المرور الخاصة بهم تماماً من حساباتهم اليوم، مع خطط "لإزالة دعم كلمة المرور بالكامل في النهاية" في المستقبل. تشير خريطة الطريق الواضحة هذه للمستخدمين إلى أن أيام كلمات المرور معدودة، مما يشجع على التبني المبكر للأساليب التي لا تتطلب كلمات مرور.

قامت Apple بدمج مفاتيح المرور في جميع أنحاء منظومتها وتروج بنشاط لاستخدامها، على الرغم من أن كلمات مرور Apple ID لا تزال متاحة كخيار احتياطي. يستفيد نهجهم من المزامنة السلسة عبر أجهزة Apple لجعل اعتماد مفاتيح المرور خالياً من الاحتكاك قدر الإمكان.

لا تفرض هذه الشركات تغييراً فورياً ولكنها ترسل رسالة واضحة: ستختفي كلمات المرور بمجرد أن يصل الاعتماد إلى الكتلة الحرجة. تتضمن استراتيجياتهم جعل مفاتيح المرور هي الافتراضية، وتثقيف المستخدمين حول الفوائد وتقليل وظائف كلمات المرور تدريجياً.

5. متى يجب أن تبدأ في إزالة كلمات المرور؟#

لا ينبغي التسرع في قرار إزالة كلمات المرور أو تطبيقه عالمياً. بدلاً من ذلك، اعتمد نهجاً تدريجياً قائماً على البيانات يراعي سلوك المستخدم وقدرات الأجهزة وملفات تعريف المخاطر.

5.1 من يجب أن يبدأ رحلته نحو الاستغناء عن كلمات المرور على الفور#

يجب أن تبدأ القطاعات عالية المخاطر التي تعاني من هجمات تصيد خطيرة اليوم انتقالها إلى المصادقة بدون كلمات مرور على الفور، ولكن مع اتباع طرح تدريجي واستراتيجي:

• البنوك والمؤسسات المالية: أهداف رئيسية لسرقة بيانات الاعتماد. بالنسبة للبنوك الأوروبية، تتماشى مفاتيح المرور أيضاً مع متطلبات المصادقة القوية للعملاء (SCA) الخاصة بتوجيه خدمات الدفع الثاني (PSD2)، مما يوفر مصادقة متعددة العوامل (MFA) مقاومة للتصيد تلبي الامتثال التنظيمي مع تحسين تجربة المستخدم
• مزودو خدمات الدفع والتكنولوجيا المالية: الوصول المباشر إلى أموال العملاء يجعلهم جذابين للجرائم الإلكترونية المنظمة
• بورصات العملات المشفرة: تعني المعاملات غير القابلة للإلغاء أن بيانات الاعتماد المسروقة تؤدي إلى خسائر دائمة
• الرعاية الصحية والتأمين: تواجه متطلبات الامتثال ومخاطر سلامة المرضى الناتجة عن سرقة الهوية الطبية
• الحكومة والبنية التحتية الحيوية: مستهدفة من قبل جهات فاعلة تابعة للدولة بحملات تصيد رمحي متطورة

بالنسبة لهذه المؤسسات، يعد الإجراء الفوري أمراً بالغ الأهمية، ولكن النجاح لا يزال يتطلب نهج طرح منهجي وتدريجي. ابدأ اليوم، ولكن اطرحها بشكل استراتيجي لضمان ارتفاع نسبة الاعتماد وتجنب قفل حسابات المستخدمين.

5.2 استراتيجية الطرح التدريجي#

البدء بمجموعة فرعية أصغر: ابدأ انتقالك إلى المصادقة بدون كلمات مرور مع المستخدمين الذين يظهرون استخداماً مستمراً لمفاتيح المرور. سيساعدك هؤلاء المستخدمون الأوائل في تحديد المشكلات المحتملة قبل النشر الأوسع.

تحليل أنماط سلوك المستخدم:

• تكرار تسجيل الدخول والأساليب المستخدمة
• أنواع الأجهزة وتوافق مفاتيح المرور
• محاولات المصادقة الفاشلة
• استخدام مسار الاسترداد
• أنماط المصادقة عبر الأجهزة

المستخدمون المؤهلون لإلغاء تنشيط كلمة المرور بناءً على هذه الأنماط:

• المصادقة باستمرار عبر مفاتيح المرور - مما يدل على أنهم مرتاحون للتكنولوجيا
• استخدام مفاتيح المرور عبر أجهزة متعددة - مما يشير إلى أن لديهم طرق وصول احتياطية
• لم يستخدموا كلمات المرور أو مسارات الاسترداد في الأيام 30-60 الماضية - مما يدل على أنهم لا يعتمدون على المصادقة المستندة إلى كلمة المرور

6. كيف يمكن أن تساعد Corbado#

توفر Corbado منصة شاملة لتوجيه المؤسسات خلال جميع المراحل الأربع لرحلة المصادقة بدون كلمات مرور الموضحة أعلاه. من التطبيق الأولي لمفاتيح المرور إلى تحقيق القضاء التام على كلمات المرور، تتعامل حلول Corbado مع التعقيد الفني مع توفير الأدوات اللازمة لاعتماد المستخدم الناجح.

دعم المرحلة 1 و 2: تقدم Corbado دمجاً سلساً لمفاتيح المرور مع مكدسات المصادقة الحالية، والمطالبات الذكية التي تزيد من معدلات الاعتماد والتحليلات التفصيلية لتتبع أنماط إنشاء مفاتيح المرور واستخدامها. تعمل ميزة Passkey Intelligence للمنصة على تحسين تجربة المستخدم تلقائياً بناءً على قدرات الجهاز وسلوك المستخدم، مما يضمن انضماماً سلساً.

تنفيذ المرحلة 3 و 4: بالنسبة للمؤسسات المستعدة لإزالة كلمات المرور تماماً، تتيح Corbado إلغاء تنشيط كلمة المرور تدريجياً بناءً على استعداد المستخدم مع الحفاظ على مسارات استرداد آمنة ومقاومة للتصيد.

من خلال التعامل مع التوافق عبر الأنظمة الأساسية، وآليات الاحتياط، وتحسين تجربة المستخدم، تعمل Corbado على تسريع تحول المصادقة بدون كلمات مرور من سنوات إلى أشهر، مما يتيح للمؤسسات التركيز على أعمالها الأساسية مع تحقيق مصادقة مقاومة للتصيد.

الخاتمة#

تجيب رحلة التحول إلى المصادقة الحقيقية بدون كلمات مرور على السؤالين الحاسمين اللذين طرحناهما في البداية:

لماذا لا تكفي مفاتيح المرور وحدها لتحقيق الأمان الكامل؟ لأن الأمان قوي بقدر قوة أضعف حلقاته. طالما ظلت كلمات المرور متاحة، ولو كخيار احتياطي، فسيتحول المهاجمون ببساطة لاستهدافها من خلال التصيد، أو حشو بيانات الاعتماد، أو هجمات خفض التصنيف. كل كلمة مرور في نظامك تقوض الفوائد المقاومة للتصيد لمفاتيح المرور.

ما الذي يجعل استرداد الحساب الثغرة الخفية؟ غالباً ما تكون مسارات الاسترداد هي الباب الخلفي المنسي. وكما أظهرت خروقات MGM Resorts وOkta، يتجاوز المهاجمون بشكل متزايد التطبيقات القوية لمفاتيح المرور من خلال استغلال طرق الاسترداد الأضعف مثل رموز OTP عبر الرسائل القصيرة أو الروابط السحرية عبر البريد الإلكتروني. إنه مثل تركيب باب فولاذي مع ترك النوافذ مفتوحة.

يتطلب الأمان الحقيقي بدون كلمات مرور إكمال الرحلة الكاملة: تطبيق مفاتيح المرور، ودفع نسبة الاعتماد، وإزالة كلمات المرور تماماً، وتأمين مسارات الاسترداد بطرق مقاومة للتصيد. فقط عن طريق إغلاق جميع أبواب كلمات المرور، بما في ذلك تلك المخبأة في عمليات الاسترداد، يمكن للمؤسسات تحقيق مصادقة آمنة حقاً.

حول Corbado

Corbado هي Passkey Intelligence Platform لفِرَق CIAM التي تُدير المصادقة الاستهلاكية على نطاق واسع. نُمكّنك من رؤية ما لا تستطيع سجلات IDP وأدوات التحليل العامة إظهاره: أي الأجهزة وإصدارات أنظمة التشغيل والمتصفحات ومديري بيانات الاعتماد تدعم passkeys، ولماذا لا تتحوّل عمليات التسجيل إلى عمليات دخول، وأين يفشل تدفق WebAuthn، ومتى يُعطّل تحديث نظام التشغيل أو المتصفح تسجيل الدخول بصمت — كل ذلك دون استبدال Okta أو Auth0 أو Ping أو Cognito أو IDP الداخلي لديك. منتجان: Corbado Observe يُضيف observability للـ passkeys وأي طريقة دخول أخرى. Corbado Connect يُقدّم managed passkeys مع تحليلات مدمجة (إلى جانب IDP الخاص بك). تُشغّل VicRoads passkeys لأكثر من 5 ملايين مستخدم مع Corbado (تفعيل passkey بنسبة +80%). تحدث مع خبير Passkey →

الأسئلة الشائعة#

ما الإشارات التي تدل على استعداد المستخدم لإلغاء تنشيط كلمة المرور في عملية الطرح للمصادقة بدون كلمات مرور؟#

يكون المستخدمون مؤهلين لإلغاء تنشيط كلمة المرور عندما يصادقون باستمرار عبر مفاتيح المرور عبر أجهزة متعددة ولم يستخدموا كلمات المرور أو مسارات الاسترداد في الأيام 30 إلى 60 الماضية. يؤدي بدء إلغاء التنشيط مع هذه المجموعة إلى تقليل المخاطر والمساعدة في اكتشاف المشكلات قبل النشر الأوسع. تستهدف المرحلة الثالثة 30% أو أكثر من المستخدمين المؤهلين الذين يزيلون كلمات المرور طواعية.

ما الخيارات المقاومة للتصيد الموجودة لاسترداد الحساب عندما لا تتوفر مفاتيح المرور الاحتياطية؟#

توجد أربعة عوامل استرداد مقاومة للتصيد: مفاتيح المرور الاحتياطية على الأجهزة الثانوية، ومفاتيح الأمان للأجهزة (رموز FIDO2 مادية)، وDigital Credentials API (معيار W3C لا يزال ناشئاً)، والتحقق من وثيقة الهوية مع اكتشاف الحيوية. تظل رموز OTP التقليدية عبر الرسائل القصيرة والروابط السحرية عبر البريد الإلكتروني عرضة للتصيد، وتبديل شريحة الهاتف، وهجمات الوسيط، مما يجعلها غير كافية لمسارات الاسترداد الآمنة.

لماذا نجح خرق MGM Resorts حتى مع وجود مصادقة أساسية قوية؟#

نجح اختراق MGM Resorts في عام 2023 من خلال استهداف عملية استرداد الحساب من خلال الهندسة الاجتماعية بدلاً من نظام تسجيل الدخول الأساسي، متجاوزاً جميع تدابير الأمان الأساسية تماماً. يوضح هذا أن تطبيق مفاتيح المرور دون تأمين مسارات الاسترداد يترك باباً خلفياً حاسماً مفتوحاً، وهو ما يعادل تركيب باب فولاذي مع ترك النوافذ مفتوحة.

ما مقاييس الاعتماد التي يجب أن تصل إليها الفرق قبل التقدم من مرحلة الاختيار لمفاتيح المرور إلى إزالة كلمات المرور تماماً؟#

قبل الدخول في المرحلة 3، يجب أن تصل الفرق إلى 60% أو أكثر من المستخدمين النشطين لديهم مفتاح مرور واحد على الأقل، و80% أو أكثر من عمليات تسجيل الدخول باستخدام مفاتيح المرور للحسابات التي تدعم مفاتيح المرور، ومعدل فشل في إنشاء مفتاح المرور أقل من 2%. يُقاس نجاح المرحلة 3 بـ 30% أو أكثر من المستخدمين المؤهلين الذين يزيلون كلمات المرور طواعية مع عدم وجود زيادة في معدلات قفل الحسابات.