هل مفاتيح المرور جاهزة للاستخدام في الشركات؟

تُروّج كل الشركات التقنية الكبرى لمفاتيح المرور كبديل فعال ومريح لكلمات المرور، يمكنه القضاء على التصيد الاحتيالي وتسرب بيانات الاعتماد. الفكرة الأساسية بسيطة: تسجل الدخول باستخدام مفتاح تشفير مخزّن بشكل آمن في وحدة أجهزة خاصة على جهازك، وتفتح هذا المفتاح باستخدام القياسات الحيوية أو رقم تعريف شخصي (PIN). وقد غطينا بالفعل بتغطية الحالة الراهنة لمفاتيح المرور للمستخدمين المنزليين بالتفصيل في مقالتين (عن المصطلحات وحالات الاستخدام الأساسية والسيناريوهات الأكثر تعقيدًا). ومع ذلك، لدى الشركات متطلبات ومنهجيات مختلفة تماما فيما يتعلق بالأمن الإلكتروني. إذن، ما مدى جودة مفاتيح المرور وFIDO2 WebAuthn في بيئة الشركات؟

أسباب تحول الشركات إلى مفاتيح المرور

كما هو الحال مع أي عملية ترحيل واسعة النطاق، يتطلب التحول إلى مفاتيح المرور مبررًا تجاريًا قويًا. ومن الناحية النظرية، تعالج مفاتيح المرور العديد من المشاكل الملحة في آن واحد:

• تقليل مخاطر الاختراقات الناجمة عن سرقة بيانات الاعتماد المشروعة – تعد مقاومة التصيد الاحتيالي الفائدة الأبرز المعلن عنها لمفاتيح المرور.
• تعزيز الدفاعات ضد هجمات سرقة الهوية الأخرى، مثل هجمات التخمين العشوائي وحشو بيانات الاعتماد.
• المساعدة في الامتثال. في العديد من الصناعات، تفرض الجهات التنظيمية استخدام أساليب مصادقة قوية للموظفين، وتتوافق مفاتيح المرور عادةً مع هذه المتطلبات.
• خفض التكاليف. إذا اختارت الشركة تخزين مفاتيح المرور على أجهزة كمبيوتر محمولة أو هواتف ذكية، فيمكنها تحقيق مستوى عالٍ من الأمان دون تكلفة إضافية لأجهزة USB والبطاقات الذكية وما يرتبط بها من إدارة وخدمات لوجستية.
• تعزيز إنتاجية الموظفين. توفر عملية المصادقة السلسة والفعالة الوقت لكل موظف يوميًا وتقلل من محاولات تسجيل الدخول الفاشلة. وعادةً ما يترافق التبديل إلى مفاتيح المرور مع التخلص من التغييرات الدورية لكلمة المرور التي يكرهها الجميع.
• يُخفف عبء العمل على فريق الدعم الفني من خلال تقليل عدد الطلبات المتعلقة بكلمات المرور المنسية والحسابات المقفلة. (بالطبع، قد تظهر مشاكل أخرى، مثل فقدان الأجهزة التي تحتوي على مفاتيح المرور).

ما مدى انتشار اعتماد مفاتيح المرور؟

يشير تقرير تحالف FIDO إلى أن 87% من المؤسسات التي شملها الاستطلاع في الولايات المتحدة والمملكة المتحدة قد تحولت بالفعل إلى استخدام مفاتيح المرور أو هي حاليًا في طور فعل ذلك. ومع ذلك، تكشف نظرة فاحصة على التقرير أن هذا الرقم المثير للإعجاب يشمل أيضًا خيارات الشركة المألوفة مثل البطاقات الذكية ورموز USB للوصول إلى الحسابات. وعلى الرغم من أن بعض هذه الخيارات تستند بالفعل إلى WebAuthn ومفاتيح المرور، إلا أنها لا تخلو من مشاكلها. فهي باهظة التكلفة وتُشكل عبئًا مستمرًا على فرق تكنولوجيا المعلومات والأمن الإلكتروني فيما يتعلق بإدارة الرموز والبطاقات المادية: إصدارها وتسليمها واستبدالها وإلغاؤها، وما إلى ذلك. أما بالنسبة للحلول التي يتم الترويج لها بكثرة والمستندة إلى الهواتف الذكية وحتى المزامنة السحابية، فقد أبلغ 63% من المشاركين عن استخدام مثل هذه التقنيات، لكن المدى الكامل لتبنيها لا يزال غير واضح.

تعتبر الشركات التي تُحوّل كامل قوتها العاملة إلى التقنية الجديدة قليلة ونادرة. ويمكن أن تصبح العملية صعبة من الناحية التنظيمية ومكلفة للغاية. وفي أغلب الأحيان، يتم النشر على مراحل. وعلى الرغم من أن الإستراتيجيات التجريبية قد تختلف، تبدأ الشركات عادةً بالموظفين الذين لديهم صلاحية الوصول إلى الملكية الفكرية (39%)، ومسؤولي أنظمة تكنولوجيا المعلومات (39%)، والمديرين التنفيذيين (34%).

العقبات المحتملة أمام اعتماد مفاتيح المرور

عندما تقرر أي مؤسسة التحول إلى مفاتيح المرور، فإنها ستواجه حتمًا مجموعة من التحديات التقنية. وهذه التحديات وحدها قد تستدعي مقالاً خاصًا بها. لكن في هذا المقال، دعنا نلتزم بالقضايا الأكثر وضوحًا:

• صعوبة (وفي بعض الأحيان استحالة تامة) الانتقال إلى مفاتيح المرور عند استخدام أنظمة تكنولوجيا معلومات قديمة ومعزولة — خاصة مع Active Directory المحلي
• تجزئة أساليب تخزين مفاتيح المرور ضمن بيئات Apple وGoogle وMicrosoft، مما يعقد استخدام مفتاح مرور واحد عبر أجهزة مختلفة
• صعوبات إدارية إضافية إذا سمحت الشركة باستخدام الأجهزة الشخصية (BYOD)، أو على العكس من ذلك، كانت لديها قيود صارمة مثل حظر البلوتوث
• التكاليف المستمرة لشراء أو استئجار الرموز وإدارة الأجهزة المادية
• الاشتراط المحدد لمفاتيح الأجهزة غير القابلة للمزامنة لسيناريوهات الضمان العالي مع الإثبات (وحتى في هذه الحالة، ليست جميعها مؤهلة – يقدم تحالف FIDO توصيات محددة في هذا الشأن)
• ضرورة تدريب الموظفين ومعالجة مخاوفهم بشأن استخدام القياسات الحيوية
• ضرورة إنشاء سياسات جديدة ومفصلة لتكنولوجيا المعلومات والأمن الإلكتروني وقسم الدعم الفني لمعالجة المشكلات المتعلقة بالتجزئة والأنظمة القديمة والأجهزة المفقودة (بما في ذلك المشكلات المتعلقة بإجراءات ضم الموظفين الجدد وإنهاء خدماتهم)

ما موقف الجهات التنظيمية من مفاتيح المرور؟

على الرغم من كل هذه التحديات، قد يكون الانتقال إلى مفاتيح المرور أمرًا حتميًا لبعض المؤسسات إذا طلبت منها جهة تنظيمية ذلك. وتدعم الجهات التنظيمية الوطنية والصناعية الرئيسية عمومًا مفاتيح المرور، إما بشكل مباشر أو غير مباشر:

تسمح إرشادات NIST SP 800-63 للهوية الرقمية باستخدام “أدوات المصادقة القابلة للمزامنة” (تعريف يشير بوضوح إلى مفاتيح المرور) لمستوى ضمان المصادقة 2، وأدوات المصادقة المرتبطة بالجهاز لمستوى ضمان المصادقة 3. وبالتالي، فإن استخدام مفاتيح المرور يضمن الامتثال لمتطلبات تدقيقات ISO 27001 وHIPAA وSOC 2 بكل ثقة.

في تعليقه على DSS 4.0.1، يسمي مجلس معايير أمان PCI بشكل صريح FIDO2 كتقنية تلبي معاييره “للمصادقة المقاومة للتصيد الاحتيالي”.

تُصاغ توجيهات الاتحاد الأوروبي لخدمات الدفع 2 (PSD2) بطريقة محايدة من الناحية التقنية. ومع ذلك، فإنها تتطلب مصادقة قوية للعملاء (SCA) واستخدام أجهزة تعتمد على البنية التحتية للمفاتيح العامة (PKI) للمعاملات المالية الهامة، بالإضافة إلى الربط الديناميكي لبيانات الدفع مع توقيع المعاملة. وتدعم مفاتيح المرور هذه المتطلبات.

تُصاغ التوجيهات الأوروبية DORA وNIS2 أيضًا بطريقة محايدة من الناحية التقنية، وتتطلب عمومًا فقط تطبيق المصادقة متعددة العوامل — وهو متطلب تلبيّه مفاتيح المرور بالتأكيد.

باختصار، لا يعد اختيار مفاتيح المرور بحد ذاته إلزاميًا لتحقيق الامتثال التنظيمي، لكن العديد من المؤسسات تجد فيه المسار الأكثر فعالية من حيث التكلفة. ومن بين العوامل التي ترجح كفة مفاتيح المرور الاستخدام المكثف للخدمات السحابية والبرامج كخدمة (SaaS)، والنشر المستمر لمفاتيح المرور لمواقع الويب والتطبيقات التي تتعامل مع العملاء، بالإضافة إلى الإدارة الجيدة لأسطول أجهزة الكمبيوتر والهواتف الذكية الخاصة بالشركة.

خريطة طريق المؤسسة للانتقال إلى مفاتيح المرور

1. شكّل فريقًا متعدد الوظائف. ويشمل ذلك تكنولوجيا المعلومات والأمن الإلكتروني ومالكي أنظمة تكنولوجيا المعلومات والدعم الفني والموارد البشرية والاتصالات الداخلية.
2. اجرد أنظمة وطرق المصادقة لديكم. وحدد أين يتم دعم WebAuthn/FIDO2 بالفعل، وما الأنظمة التي يمكن ترقيتها، وأين يمكن تنفيذ تكامل تسجيل الدخول الموحد (SSO)، وأين يلزم إنشاء خدمة مخصصة لتحويل طرق المصادقة الجديدة إلى الطرق التي تدعمها أنظمتك، وأين سيتعين عليك الاستمرار في استخدام كلمات المرور – مع مراقبة معززة من مركز عمليات الأمن (SOC).
3. حدد إستراتيجية مفاتيح المرور الخاصة بكم. وقرر ما إذا كنت ستستخدم مفاتيح أمان مادية أو مفاتيح مرور مخزنة على الهواتف الذكية وأجهزة الكمبيوتر المحمولة. وخطط وكوّن طرق تسجيل الدخول الأساسية لديك، بالإضافة إلى خيارات الوصول في حالات الطوارئ مثل رموز المرور المؤقتة للوصول (TAP).
4. قم بتحديث سياسات أمان المعلومات في شركتك لتعكس اعتماد مفاتيح المرور. وأنشئ قواعد مفصلة للتسجيل والاسترداد. وأنشئ بروتوكولات للحالات التي لا يكون فيها الانتقال إلى مفاتيح المرور متاحًا (على سبيل المثال، لأن المستخدم يجب أن يعتمد على جهاز قديم لا يدعم مفاتيح المرور). وضع تدابير مساعدة لضمان التخزين الآمن لمفاتيح المرور، مثل التشفير الإلزامي للجهاز، واستخدام القياسات الحيوية، وفحوصات سلامة الجهاز من خلال الإدارة الموحدة لنقاط النهاية أو إدارة تنقل المؤسسات.
5. خطط لترتيب نشر الأنظمة المختلفة ومجموعات المستخدمين. وحدد جدولًا زمنيًا طويلاً لتحديد المشكلات وإصلاحها خطوة بخطوة.
6. قم بتمكين مفاتيح المرور في أنظمة إدارة الوصول مثل Entra ID وGoogle Workspace، وكوّن الأجهزة المسموح بها.
7. أطلق مشروعًا تجريبيًا، بدءًا بمجموعة صغيرة من المستخدمين. واجمع الملاحظات، ثم حسّن تعليماتك ونهجك.
8. اربط الأنظمة التي لا تدعم مفاتيح المرور بشكل طبيعي تدريجيًا باستخدام تسجيل الدخول الموحد (SSO) وطرق أخرى.
9. درّب موظفيك. وأطلق حملة لاعتماد مفاتيح المرور، وقدم للمستخدمين تعليمات واضحة واعمل مع “الأبطال” في كل فريق لتسريع عملية الانتقال.
10. تتبع التقدم وحسّن العمليات. وحلل مقاييس الاستخدام وأخطاء تسجيل الدخول وتذاكر الدعم. وأدخل تعديلات على سياسات الوصول والاسترداد وفقًا لذلك.
11. تخلص تدريجيًا من طرق المصادقة القديمة بمجرد انخفاض استخدامها إلى معدلات أحادية الرقم. وأولاً وقبل كل شيء، تخلص من الرموز لمرة واحدة المرسلة عبر قنوات الاتصال غير الآمنة، مثل الرسائل النصية والبريد الإلكتروني.