در سپتامبر 2019، مرکز جمعآوری دادههای جعل هویت نقطه عطف مهمی را مورد تهدید هویت امن دیجیتال گزارش کرد. در واقع از زمان آغاز بررسی جعل و سرقت هویت در سال 2005 ، 10,000 درز اطلاعاتی عمومی و کلاهبرداری اینترنتی گزارش شده است. سال به سال، درز اطلاعاتی و افشای سوابق و همچنین هزینه های مربوط به آنها شامل جریمه های مربوط به مقررات دولتی در خصوص حفظ حریم شخصی افراد، رو به افزایش است.
هر کاربر در یک سیستم، ممکن است هدف درز اطلاعاتی قرار گیرد؛ اما نه به انتخاب خود بلکه به دلیل سردرگمی در مدیریت ده ها رمزعبور پیچیده و پروسه های زمانبر احراز هویت دوعاملی. امروزه کاربران خواستار روندهای ساده تری برای ورود به سیستم ها هستند، علاوه بر اینکه مطمئن باشند که در معرض خطر افشای اطلاعات قرار ندارند. به عبارت دیگر کاربران خواستار محافظت از اطلاعاتشان با درجه امنیتی بالا و یک تجربه کاربری بهینه هستند؛ نیازی که هویت امن دیجیتال آن را برطرف می کند.
دسترسی به اطلاعات هویتی افراد تهدید بزرگی برای آینده ی امن دیجیتال محسوب می شود. درز اطلاعاتی که امروزه در رسانه های خبری می شنویم، حکایت از چشم انداز امنیت سایبری در دنیای مدرن دارد. موضوعی که که بدلایل مختلفی از جمله خطای انسانی، سیستم های بدون ثبت سوابق، آلودگی به بدافزارها، تهدیدات داخلی، دستگاه های سرقت شده و البته رمز عبورهای ضعیف، باعث از بین بردن اعتماد به شرکت ها با هر اندازه ای بوده و به تصویر نام تجاری و بودجه آن ها آسیب می رساند. از حدود سال 2013، هنگامی که اولین مورد درز اطلاعاتی یاهو رخ داد، تا پایان سال 2019 که شاهد درز اطلاعات شرکتهایQuest Diagnostics ، Capital One و Lenovo بودیم، می توانیم دهه ی 2010 را “دهه درز دادهها” بنامیم.
دهه ی درز داده ها، تمامی کاربران فضای مجازی و هویت امن دیجیتال آن ها را تحت تاثیر قرار داد. صرف نظر از اینکه آنها جزء میلیاردها کاربری باشند که اطلاعات شخصی آنها (PII) در یاهو، Uber ، TimeHop ، Equifax یا OPM فاش شده است، امنیت و حریم خصوصی آنها نیز، در اثر اطلاعات ناکافی و روش های نادرست مدیریت هویت در معرض خطر قرار گرفته است.
هر اطلاعات شخصی که درز میشود در Dark Web به فروش میرسد؛ این اطلاعات شخصی شامل نام، ایمیل، شماره تلفنها ، شمارههای بیمه تأمین اجتماعی ، آدرس ها ، رمزهای عبور، تاریخچه معاملات و اطلاعات اعتباری است. این اطلاعات توسط کلاهبرداران برای برگزاری کمپین های فیشینگ، کلاهبرداری در مهندسی اجتماعی و حمله به پایگاه های داده و افشای اطلاعات شخصی بیشتر، مورد استفاده قرار می گیرند. این چرخه ادامه پیدا می کند و در نتیجه هر درز اطلاعاتی، در درجه اول اعتماد به شرکت هایی که مسئول محافظت از دادههای کاربران هستند را از بین می برد.
با ظهور dark web و بروز سرقت هویت و تصاحب حساب های دیگران، شرکت ها دیگر نمیتوانند از این مطمئن باشند که شخصی که یک حساب کاربری ایجاد می کند (یا به آن وارد می شود) همان کسی است که ادعا می کند. این تردید باعث خدشه وارد کردن در هویت امن دیجیتال در فضای کسب و کار می شود.
از نظر تاریخی، احراز هویت مبتنی بر معلومات فردی (knowledge-based authentication-KBA)، مانند گذرواژهها، پینها و سؤالات امنیتی، پایه و اساس امنیت دیجیتال را تشکیل می دهد. در بعضی موارد، این نوع از احراز هویت با تأیید هویت چند عاملی مانند گذرواژههای یک بار مصرف مبتنی بر پیام کوتاه (OTP) ، برنامه تأیید اعتبار مبتنی بر تلفن هوشمند و غیره تکمیل می شود. اما به طور واضح، می دانیم که این کافی نیست و KBA و تدابیر امنیتی مبتنی بر دستگاه فقط یک هویت تقریبی را ارائه می دهند نه یک هویت امن دیجیتال.
احراز هویت مبتنی بر دانستههای شخصی یعنی احراز هویت بر اساس اطلاعاتی که تنها کاربر میداند و تجربه نشان داده است که اطلاعات شخصی نیز به مرور زمان افشا خواهند شد. دانستههایی که یک کاربر میداند تنها یک قدم با دانستههایی که شخص دیگری میداند فاصله دارد. دانستههای شخصی را می توان حدس زد، به سرقت برد، به اشتراک گذاشت، با نرم افزار کرک کرد یا به صورت آنلاین خریداری کرد و هنگامی که شخص دیگری به رمز عبور یا پین کاربری دسترسی پیدا کند، نمیتوان هیچ اطمینانی حاصل کرد که آیا یک تراکنش توسط آن کاربر مجاز انجام شده یا یک جاسوس؟
بنابراین درز داده ها هیچگاه از بین نمی رود، مگر اینکه از هویت تقریبی دیجیتال به سمت هویت امن دیجیتال حرکت کنیم. این به معنی اثبات هویت شخص، با استفاده از مدرک شناسایی و ویژگی های بایومتریک فرد است. به عبارت دیگر از عناصر انسانی که غیرقابل انکار هستند به جای یک دستگاه تایید شده یا رمز عبور، برای احراز هویت در تراکنش ها استفاده کنیم و این به معنی اثبات زنده بودن فرد و تعاملی است که قابل اعتماد بودن یک سیستم امنیتی مبتنی بر هویت را از ابتدا تا انتها اثبات می کند.
