تبني المؤسسات لمفاتيح المرور: الفروقات الدقيقة والتحديات

يعد التحول إلى مفاتيح المرور للمؤسسات طريقة فعالة لتقليل التكاليف الخاصة بالتصديق القوي للموظفين وزيادة الإنتاجية والامتثال التنظيمي. وقد تناولنا بالفعل جميع إيجابيات وسلبيات حل الأعمال هذا في مقالة منفصلة ومتعمقة. ومع ذلك، يعتمد نجاح التحول – وحتى جدواه – بشكل أساسي على التفاصيل الفنية وكيفية التنفيذ عبر العديد من أنظمة الشركة.

دعم مفاتيح المرور في أنظمة إدارة الهوية

قبل معالجة العقبات التنظيمية ووضع السياسات، سيتعين عليك تحديد ما إذا كانت أنظمة تكنولوجيا المعلومات الأساسية في شركتك جاهزة للتحول إلى مفاتيح المرور.

يدعم Microsoft Entra ID (Azure AD) مفاتيح المرور بشكل كامل، مما يسمح للمسؤولين بتعيينه كطريقة تسجيل الدخول الأساسية. وبالنسبة لعمليات النشر الهجينة التي تتضمن موارد محلية، يستطيع Entra ID إنشاء تذاكر Kerberos (TGTs)، والتي يمكن لوحدة تحكم مجال Active Directory معالجتها بعد ذلك.

لكن Microsoft لا تقدم حتى الآن دعمًا أصليًا لمفاتيح المرور لخدمات RDP أو VDI أو لعمليات تسجيل الدخول إلى AD المحلية فقط. ومع ذلك، يمكن للمؤسسات، عن طريق بعض الحلول البديلة، تخزين مفاتيح المرور على جهاز مادي مثل YubiKey. ويمكن أن يدعم هذا النوع من الأجهزة في الوقت نفسه كلاً من تقنية PIV التقليدية (البطاقات الذكية)وFIDO2 (مفاتيح المرور). وتتوفر أيضًا حلول من جهات خارجية لهذه السيناريوهات، لكن ستحتاج إلى تقييم كيفية تأثير استخدامها على وضع الأمان العام والتوافق التنظيمي لشركتك.

أخبار سارة لمستخدمي Google Workspace وGoogle Cloud: تقدم الخدمتان دعمًا كاملاً لمفاتيح المرور.

تدعم أنظمة إدارة الهوية الشائعة مثل Okta وPing وCisco Duo وRSA IDplus أيضًا FIDO2 وجميع الأشكال الرئيسية لمفاتيح المرور.

دعم مفاتيح المرور على الأجهزة العميلة

لدينا مقالة مفصلة عن هذا الموضوع. وتدعم جميع أنظمة التشغيل الحديثة من Google وApple و Microsoft مفاتيح المرور. لكن إذا كانت شركتك تستخدم نظام Linux، فستحتاج على الأرجح إلى أدوات إضافية، ولا يزال الدعم العام لهذا النظام محدودًا.

علاوة على ذلك، وعلى الرغم من أن الدعم لمفاتيح المرور قد يبدو كاملاً ظاهريًا في جميع أنظمة التشغيل الرئيسية، إلا أن هناك تنوعًا كبيرًا في طريقة تخزين مفاتيح المرور، وقد يؤدي هذا إلى مشكلات في التوافق. وتعتبر أكثر المجموعات التي تسبب مشاكل هي تلك التي تجمع بين أنظمة مختلفة مثل أجهزة كمبيوتر Windows وهواتف Android الذكية. وقد تنشئ مفتاح مرور على جهاز ثم تجد أنك لا تستطيع الوصول إليه على جهاز آخر. وبالنسبة للشركات التي تمتلك أسطولاً من الأجهزة المدارة بشكل صارم، هناك عدة طرق لمعالجة هذه المشكلة. على سبيل المثال، يمكنك أن تطلب من الموظفين إنشاء مفتاح مرور منفصل لكل جهاز تابع للشركة يستخدمونه. وهذا يعني المزيد من الإعداد الأولي: سيتعين على الموظفين المرور بالعملية نفسها لإنشاء مفتاح المرور على كل جهاز. ومع ذلك، بمجرد الانتهاء من ذلك، لن يستغرق تسجيل الدخول سوى وقت قصير للغاية. بالإضافة إلى ذلك، إذا فقدوا جهازًا واحدًا، فلن يتم حظرهم بالكامل من الوصول إلى بيانات العمل الخاصة بهم.

بوجد خيار آخر وهو استخدام مدير كلمات مرور معتمد من الشركة لتخزين مفاتيح المرور ومزامنتها عبر جميع أجهزة الموظفين. ويعد هذا أيضًا ضروريًا للشركات التي تستخدم أجهزة كمبيوتر تعمل بنظام Linux، لأن نظام التشغيل الخاص بها لا يمكنه تخزين مفاتيح المرور محليًا. تذكير فقط: قد يضيف هذا الأسلوب بعض التعقيد عندما يتعلق الأمر بعمليات تدقيق الامتثال التنظيمي.

إذا كنت تبحث عن حل لا يواجه أي مشاكل تقريبًا في المزامنة أو عبر المنصات المتعددة، فإن مفاتيح المرور المادية مثل YubiKey هي الخيار الأفضل. لكن العيب الوحيد هو أن نشرها وإدارتها قد يكون أكثر تكلفة بكثير.

دعم مفاتيح المرور في تطبيقات الأعمال

يتمثل السيناريو المثالي لإدخال مفاتيح المرور في تطبيقات عملك في أن يكون تسجيل الدخول إلى جميع تطبيقاتك من خلال تسجيل الدخول الموحد (SSO). وبهذه الطريقة، ستحتاج فقط إلى تنفيذ دعم مفاتيح المرور في حل تسجيل الدخول الموحد الخاص بشركتك، مثل Entra ID أو Okta. لكن، إذا كانت بعض تطبيقات عملك المهمة لا تدعم خاصية تسجيل الدخول الموحد، أو إذا لم يكن هذا الدعم جزءًا من عقدك (وهو ما يحدث للأسف)، فسيتعين عليك إصدار مفاتيح مرور فردية للمستخدمين لتسجيل الدخول إلى كل نظام على حدة. ويمكن أن تخزن الرموز المادية في أي مكان من 25 إلى 100 مفتاح مرور، لذلك ستكون التكلفة الإضافية الرئيسية هنا من الناحية الإدارية.

تتضمن أنظمة الأعمال الشهيرة التي تدعم مفاتيح المرور بالكامل Adobe Creative Cloud وAWS وGitHub وGoogle Workspace وHubSpot وOffice 365 وSalesforce وZoho. وتدعم بعض أنظمة SAP مفاتيح المرور أيضًا.

جاهزية الموظفين

يستلزم تطبيق مفاتيح المرور تدريب فريقك وتجهيزه بشكل جيد في جميع الحالات. ولا تريدهم أن يحتاروا في محاولة فهم واجهات جديدة. ويجب أن يكون الهدف هو أن يشعر الجميع بالثقة عند استخدام مفاتيح المرور على كل جهاز. وفيما يلي النقاط الأساسية التي سيحتاج موظفوك إلى فهمها.

• لماذا تتفوق مفاتيح المرور على كلمات المرور (فهي أكثر أمانًا، وأسرع في تسجيل الدخول باستخدامها، ولا تحتاج إلى التغيير الدوري)
• كيف تعمل القياسات الحيوية مع مفاتيح المرور (لا تغادر بيانات القياسات الحيوية الجهاز أبدًا، ولا يتم تخزينها أو معالجتها بواسطة صاحب العمل)
• كيفية الحصول على أول مفتاح مرور (على سبيل المثال، لدى Microsoft ميزة تسمى “مفاتيح المرور المؤقتة”، وغالبًا ما ترسل أنظمة إدارة الهوية والوصول (IAM) التابعة لجهات خارجية رابط إعداد؛ لكن يجب توثيق العملية بشكل كامل)
• ماذا يفعل الموظف إذا لم يتعرف جهازه على مفتاح المرور الخاص به
• ماذا يفعل إذا فقد جهازًا (يسجل الدخول من جهاز آخر لديه مفتاح مرور خاص به، أو يستخدم كلمة مرور لمرة واحدة (OTP) ربما تكون قد سُلمت له في مظروف مغلق لحالات الطوارئ هذه)
• كيفية تسجيل الدخول إلى أنظمة العمل من أجهزة كمبيوتر أخرى (إذا كانت سياسات الشركة تسمح بذلك)
• كيف يمكن أن تبدو محاولة تصيد احتيالي متعلقة بمفتاح مرور

مفاتيح المرور ليست حلاً سحريًا

لا يعني التحول إلى مفاتيح المرور أن فريق الأمن الإلكتروني لديكم يمكنه شطب تهديدات الهوية من قائمة المخاطر الخاصة به. وصحيح أن هذا يجعل الأمور أصعب على المهاجمين، لكنهم لا يزالون قادرين على فعل ما يلي:

• استهداف الأنظمة التي لم تتحول بعد إلى مفاتيح المرور
• مهاجمة الأنظمة التي لا تزال تحتوي على طرق تسجيل دخول احتياطية مثل كلمات المرور وكلمات المرور لمرة واحدة
• سرقة رموز التصديق من الأجهزة المصابة ببرامج سرقة المعلومات
• استخدام تقنيات خاصة لتجاوز حماية مفاتيح المرور

بينما من المستحيل ممارسة التصيد الاحتيالي على مفتاح المرور نفسه، فإنه يمكن للمهاجمين إنشاء بنية تحتية وهمية على الويب لخداع الضحية لكي يصادق ويتحقق من جلسة ضارة على إحدى خدمات الشركة.

تم توثيق مثال حديث على هذا النوع من هجمات AiTM في الولايات المتحدة. وفي تلك الحادثة، تم استدراج الضحية إلى صفحة تصديق وهمية لخدمة تابعة لشركة، حيث قام المهاجمون أولاً بسرقة اسم المستخدم وكلمة المرور الخاصة به، ثم أكدوا الجلسة عبر جعل الضحية يمسح رمز استجابة سريعة (QR). وفي هذه الحادثة، كانت سياسات الأمان مُعدّة بشكل صحيح، لذا لم يؤد مسح رمز الاستجابة السريعة هذا إلى مصادقة ناجحة. لكن بما أن مثل هذه الآلية مع مفاتيح المرور قد تم تطبيقها، يأمل المهاجمون أن يكون الإعداد خاطئًا في مكان ما، وألا يتم التحقق من القرب المادي بين الجهاز الذي تتم عليه المصادقة والجهاز الذي يُخزن عليه المفتاح.

في النهاية، يتطلب التحول إلى مفاتيح المرور تكوين سياسة تفصيلية. ويتضمن ذلك كلاً من سياسات المصادقة (مثل تعطيل كلمات المرور عند توفر مفتاح مرور، أو حظر الرموز المادية من بائعين غير معروفين) وسياسات المراقبة (مثل تسجيل عمليات تسجيل مفاتيح المرور أو سيناريوهات الأجهزة المتعددة من مواقع مشبوهة).