UID
UID
خواندن ۴ دقیقه·۵ سال پیش

از آغاز تا پایان هویت امن دیجیتال -بخش اول: نیاز به متوقف کردن چرخه درز اطلاعات

از آغاز تا پایان هویت امن دیجیتال -بخش اول: نیاز به متوقف کردن چرخه درز اطلاعات
از آغاز تا پایان هویت امن دیجیتال -بخش اول: نیاز به متوقف کردن چرخه درز اطلاعات

در سپتامبر 2019، مرکز جمع‌آوری داده‌های جعل هویت نقطه عطف مهمی را مورد تهدید هویت امن دیجیتال گزارش کرد. در واقع از زمان آغاز بررسی جعل و سرقت هویت در سال 2005 ، 10,000 درز اطلاعاتی عمومی و کلاهبرداری اینترنتی گزارش شده است. سال به سال، درز اطلاعاتی و افشای سوابق و همچنین هزینه ­های مربوط به آنها شامل جریمه ­­های مربوط به مقررات دولتی در خصوص حفظ حریم شخصی افراد، رو به افزایش است.

هر کاربر در یک سیستم، ممکن است هدف درز اطلاعاتی قرار گیرد؛ اما نه به انتخاب خود بلکه به دلیل سردرگمی در مدیریت ده ­ها رمزعبور پیچیده و پروسه های زمانبر احراز هویت­ دوعاملی. امروزه کاربران خواستار روندهای ساده ­تری برای ورود به سیستم­ ها هستند، علاوه بر اینکه مطمئن باشند که در معرض خطر افشای اطلاعات قرار ندارند. به عبارت دیگر کاربران خواستار محافظت از اطلاعاتشان با درجه امنیتی بالا و یک تجربه کاربری بهینه هستند؛ نیازی که هویت امن دیجیتال آن را برطرف می کند.

هک اطلاعات شخصی تهدید همیشگی است

دسترسی به اطلاعات هویتی افراد تهدید بزرگی برای آینده­­ ی امن دیجیتال محسوب می­ شود. درز اطلاعاتی که امروزه در رسانه­ های خبری می ­شنویم، حکایت از چشم انداز امنیت سایبری در دنیای مدرن دارد. موضوعی که که بدلایل مختلفی از جمله خطای انسانی، سیستم­ های بدون ثبت سوابق، آلودگی به بدافزارها، تهدیدات داخلی، دستگاه­ های سرقت شده و البته رمز عبورهای ضعیف، باعث از بین بردن اعتماد به شرکت ها با هر اندازه ­ای بوده و به تصویر نام تجاری و بودجه آن ها آسیب می ­رساند. از حدود سال 2013، هنگامی که اولین مورد درز اطلاعاتی یاهو رخ داد، تا پایان سال 2019 که شاهد درز اطلاعات شرکت‌هایQuest Diagnostics ، Capital One و Lenovo بودیم، می توانیم دهه ­ی 2010 را “دهه درز داده‌ها” بنامیم.

دهه­ ی درز داده ها، تمامی کاربران فضای مجازی و هویت امن دیجیتال آن ها را تحت تاثیر قرار داد. صرف نظر از اینکه آن‌ها جزء میلیاردها کاربری باشند که اطلاعات شخصی آنها (PII) در یاهو، Uber ، TimeHop ، Equifax یا OPM فاش شده است، امنیت و حریم خصوصی آن‌ها نیز، در اثر اطلاعات ناکافی و روش ­های نادرست مدیریت هویت در معرض خطر قرار گرفته است.

افشای اطلاعات شخصی چه آسیب هایی به فضای کسب و کار ها وارد می کنند

هر  اطلاعات شخصی که درز می‌شود در Dark Web به فروش می‌رسد؛ این اطلاعات شخصی شامل نام، ایمیل، شماره تلفن‌ها ، شماره‌های بیمه تأمین اجتماعی ، آدرس ­ها ، رمزهای عبور، تاریخچه معاملات و اطلاعات اعتباری است. این اطلاعات توسط کلاهبرداران برای برگزاری کمپین­ های فیشینگ، کلاهبرداری در مهندسی اجتماعی و حمله به پایگاه ­های داده و افشای اطلاعات شخصی بیش­­تر، مورد استفاده قرار می­ گیرند. این چرخه ادامه پیدا می ­کند و در نتیجه هر درز اطلاعاتی، در درجه اول اعتماد به شرکت­ هایی که مسئول محافظت از داده‌های کاربران هستند را از بین می ­برد.

با ظهور dark web و بروز سرقت هویت و تصاحب حساب ­های دیگران، شرکت­ ها دیگر نمی‌توانند از این مطمئن باشند که شخصی که یک حساب کاربری ایجاد می کند (یا به آن وارد می ­شود) همان کسی است که ادعا می­ کند. این تردید باعث خدشه وارد کردن در هویت امن دیجیتال در فضای کسب و کار می شود.

عوامل موثر بر درز اطلاعات شخصی کدامند

از نظر تاریخی، احراز هویت مبتنی بر معلومات فردی (knowledge-based authentication-KBA)، مانند گذرواژه‌ها، پین‌ها و سؤالات امنیتی، پایه و اساس امنیت دیجیتال را تشکیل می ­دهد. در بعضی موارد، این نوع از احراز هویت با تأیید هویت چند عاملی مانند گذرواژه‌های یک بار مصرف مبتنی بر پیام کوتاه (OTP) ، برنامه تأیید اعتبار مبتنی بر تلفن هوشمند و غیره تکمیل می ­شود. اما به­ طور واضح، می ­دانیم که این کافی نیست و KBA و تدابیر امنیتی مبتنی بر دستگاه فقط یک هویت تقریبی را ارائه می ­دهند نه یک هویت امن دیجیتال.

احراز هویت مبتنی بر دانسته‌های شخصی یعنی احراز هویت بر اساس اطلاعاتی که تنها کاربر می‌داند و تجربه نشان داده است که اطلاعات شخصی نیز به مرور زمان افشا خواهند شد. دانسته‌هایی که یک کاربر می‌داند تنها یک قدم با دانسته‌هایی که شخص دیگری می­داند فاصله دارد. دانسته‌های شخصی را می توان حدس زد، به سرقت برد، به اشتراک گذاشت، با نرم افزار کرک کرد یا به صورت آنلاین خریداری کرد و هنگامی که شخص دیگری به رمز عبور یا پین کاربری دسترسی پیدا کند، نمی­توان هیچ اطمینانی حاصل کرد که آیا یک تراکنش توسط آن کاربر مجاز انجام شده یا یک جاسوس؟

آغاز قطع چرخه درز اطلاعات شخصی با هویت امن دیجیتال است

بنابراین درز داده ها هیچگاه از بین نمی ­رود، مگر اینکه از هویت تقریبی دیجیتال به سمت هویت امن دیجیتال حرکت کنیم. این به ­معنی اثبات هویت شخص، با استفاده از  مدرک شناسایی و ویژگی­ های بایومتریک فرد است. به عبارت دیگر از عناصر انسانی که غیرقابل انکار هستند به جای یک دستگاه تایید شده یا رمز عبور، برای احراز هویت در تراکنش­ ها استفاده کنیم و این به معنی اثبات زنده بودن فرد و تعاملی است که قابل اعتماد بودن یک سیستم امنیتی مبتنی بر هویت را از ابتدا تا انتها اثبات می­ کند.

هویت امن دیجیتالuidیوآیدی
یوآیدی اولین پلتفرم دانش بنیان احراز هویت دیجیتال ایران است که با ورود به حوزه رگ تک (RegTech) در عین ارتقا امنیت و دقت فرآیند احراز هویت موجب بالارفتن تجربه کاربری برای کسب و کارهای آنلاین خواهد شد.
شاید از این پست‌ها خوشتان بیاید