https://virgool.io/feed/@zohresadeghpoor fa 2026-06-19 03:17:09 https://files.virgool.io/upload/users/253702/avatar/Sg4k1n.png?height=120&width=120 https://virgool.io/@zohresadeghpoor https://virgool.io/@zohresadeghpoor/6--%D8%A7%D8%B4%D8%AA%D8%A8%D8%A7%D9%87-%D8%AE%D8%B7%D8%B1%D9%86%D8%A7%DA%A9-%D8%AF%D8%B1-%D8%B7%D8%B1%D8%A7%D8%AD%DB%8C-%D9%84%D9%86%D8%AF%DB%8C%D9%86%DA%AF-%D9%BE%DB%8C%D8%AC-%DA%A9%D9%87-%D8%A8%D8%A7%D8%B9%D8%AB-%DA%A9%D8%A7%D9%87%D8%B4-%D9%86%D8%B1%D8%AE-%D8%AA%D8%A8%D8%AF%DB%8C%D9%84-%D9%85%DB%8C-%D8%B4%D9%88%D8%AF!-ifmgusc6jerf یک لندینگ پیج موثر ، سنگ بنای موفقیت در بازاریابی آنلاین است. اگرچه ممکن است تبلیغات شما کاملا حرفه ای و بدون نقص باشد اما بدون وجود یک لندینگ پیج حرفه ای ، کسب و کار شما متضرر خواهد شد.یک صفحه فرود خوب و قانع کننده توجه بازدیدکنندگان را به خود جلب کرده و آنها را وادار به عمل می کند.طراحی لندینگ پیج مستلزم توجه و رعایت اصول مهم بهینه سازی و ارتقا است. یک صفحه لندینگ خوب قادر است مشتریان بالقوه را درگیر خود کرده و آنها را به خریداران و مشتریان واقعی تبدیل کند. اشتباهات موجود در بسیاری از صفحات فرود، نرخ تبدیل را کاهش داده و باعث ناکارآمدی صفحه می شود.اگر در اجرای لندینگ پیج، نرخ تبدیل مورد انتظار خود را مشاهده نمی کنید ، این مطلب برای شماست. یکی از این شش اشتباه در لندینگ پیج شما می تواند عامل کاهش نرخ تبدیل باشد.1. کند بودن لندینگ پیجدر صورتی که مشتریان پیش از بارگیری صفحه از آن خارج شوند حتی در صفحاتی که طراحی خوبی دارند واضح است که میزان تعامل کم خواهد بود. آمازون اظهار کرده است که هر تأخیر میلی ثانیه ای (یک هزارم ثانیه) منجر به افت یک درصدی درآمد می شود. اگرچه ممکن است مشتریان شما انتظار سرعتی در سطح آمازون از صفحه شما نداشته باشند ، اما انتظار نتایج سریع را دارند.هنگام ارتباط و تعامل کاربران با نام تجاری شما ، صفحات با سرعت بیشتر می توانند باعث افزایش 16.5 درصدی نرخ تبدیل شوند.متوسط زمان بارگزاری صفحه لندینگ خود را بررسی و با سایر صفحات موجود در وب مقایسه کنید. ممکن است سرعت پایین صفحه باعث ریزش کاربران از صفحه لندینگ شما باشد.2. ضعیف بودن رابط کاربری لندینگ پیج در موبایلبیشتر کسب و کارها ها هنوز هم صفحات خود را روی دسکتاپ و برای دسکتاپ طراحی کرده و توسعه می دهند . با وجود اینکه بسیاری از سایت های میزبان مانند WordPress و Wix به طور خودکار از نمای دسکتاپ، محتوای بهینه سازی شده توسط تلفن همراه ایجاد می کنند، اما تمامی رابط های کاربری تلفن همراه خوب به نظر نمی رسند. اگر در تلفن هوشمند خود به سختی می توانید از صفحه لندینگ خود استفاده کنید ، به احتمال زیاد بیش از نیمی از ترافیک سایت خود را از دست خواهید داد.مخاطبان و مشتریان شما آنقدر که فکر می کنید صبور نیستند. رابط کاربری تلفن همراه خود را بررسی کرده و تلاش کنید به همان اندازه که صفحات دسک تاپ خوبی دارید برای موبایل نیز کاملا بهینه باشد.3. مبهم بودن لندینگ پیجزمانی که قصد دارید ترافیک جدیدی را به لندینگ پیج خود هدایت کنید ، باید در مورد هدف و عملکرد صفحه فرود ، مخاطبان هدف و اینکه می خواهید افراد در مرحله بعدی چه کاری انجام دهند ، کاملاً واضح عمل کنید.سلسله مراتب اطلاعات یکی از عناصر طراحی است که معمولا دست کم گرفته می شود. صفحه فرود شما باید مهمترین پیام ها و کال تو اکشن را به سرعت و وضوح بیان کند. بنابراین اقدامی را که انتظار دارید کسی انجام دهد و یا مهمترین پیشنهادی که باید ارائه دهید را به طور واضح نشان دهید.4. استفاده بیش از حد از اصطلاحات تخصصی و نامفهوم برای کاربرپر کردن صفحات فرود با اصطلاحات فنی سطح بالا و پیچیده باعث می شود که بازدیدکنندگان به سرعت صفحه را ترک کنند.یکی از روش های خوب برای تست لندینگ پیج این است که از طریق چند نفر که با نام تجاری شما آشنا نیستند ، سطح اصطلاحات خود را آزمایش کنید. از آن ها بخواهید درباره برداشتشان از کسب و کار شما و یا اینکه آیا پیام تجاری نامفهوم است ، بازخورد صادقانه ای ارائه دهند.5. محتوای بصری ضعیف در لندینگ پیجعلاوه بر اجتناب از اصطلاحات زیاد و پیچیده، لندینگ پیج شما نباید بیش از حد حاوی متن باشد. فضای اینترنت به طور فزاینده ای بصری است و کانال هایی مانند YouTube و Instagram نشان می دهند که مخاطبان به جای خواندن علاقه مند به تماشای محتواهای بصری هستند. باید توجه داشته باشید که تصاویر جذاب و در صورت امکان ویدیوهای جذاب را به صفحات فرود خود اضافه کنید. در این صورت می توانید شاهد افزایش نرخ تبدیل و رشد تعامل مشتریان باشید.دراپ باکس با افزودن یک ویدیو به لندینگ پیج اصلی خود ،توانست میزان نرخ تبدیل خود را 33٪ افزایش دهد.اگر واقعاً در صدد بهبود سطح محتوای بصری خود هستید ، با انجام تست A / B انواع مختلف تصویر را تست کنید تا ببینید که چگونه مشتریان به عکس‌های محصولات یا عکس‌های سبک زندگی واکنش نشان می‌دهند تا بتوانید نرخ تبدیل را به حداکثر برسانید.6. نبود یک دکمه فراخوان خاص و جذابانتظار دارید که بازدیدکنندگان چه مراحلی را در لندینگ پیج شما طی کنند؟ آیا قصد معرفی محصول یا فروش کالا دارید؟ آیا می خواهید برای اطلاعات بیشتر با شما تماس بگیرند؟اطمینان حاصل کنید که بازدیدکنندگان لندینگ پیج خود را با یک فراخوان شفاف و جذب کننده به سمتی راهنمایی می کنید که به آنها بگویید چه کاری انجام داده و یا چگونه این کار را انجام دهند.تقریباً 70٪ از وب سایت های کسب و کارهای کوچک فاقد کال تو اکشن واضح هستند.در این بخش هم می توانید A / B تست کنید. برای دیدن نحوه پاسخگویی به مشتریان ، به دنبال فراخوانهای مختلف و مکانهای مختلف باشید. حتی اگر فراخوانی برای اقدام دارید ، ممکن است به اندازه کافی واضح و جذاب نباشد که منجر به نرخ تبدیل شود. zohresadeghpoor zohresadeghpoor Sun, 25 Jul 2021 13:55:02 +0430 https://virgool.io/@zohresadeghpoor/%D9%81%DB%8C%D8%B4%DB%8C%D9%86%DA%AF-%DA%86%DB%8C%D8%B3%D8%AA-%D9%88-%DA%86%D8%B7%D9%88%D8%B1-%DA%A9%D8%A7%D8%B1-%D9%85%DB%8C-%DA%A9%D9%86%D8%AF-rutsyl3h4o6z در محیط پیشرفته دیجیتالی امروز، کارمندان و پیمانکاران می توانند با استفاده از مجموعه ساده ای از مدارک وارد سامانه ها و برنامه های کاری خود شوند. اگرچه این موضوع کار را برای کارمندان و پیمانکاران آسان می کند اما در عین حال سازمان ها را در معرض خطر افزایش نوع خاصی از جرایم اینترنتی قرار می دهد: فیشینگ!فیشینگ روشی برای جمع آوری اطلاعات شخصی افراد با استفاده از ایمیل ها و وب سایت های فریبنده است. فیشینگ یکی از رایج ترین حملات سایبری است.در حمله فیشینگ، هکرها از ارتباطات نوشتاری (به عنوان مثال ایمیل یا پیام فوری) برای سرقت اطلاعات شخص به عنوان یک منبع معتبر استفاده می کنند. در واقع هدف این است که گیرنده ایمیل فریب بخورد و با تصور اینکه پیام مورد نظر چیزی است که او می خواهد، روی لینک کلیک کرده و یا پیوست را بارگیری کند. معمولا این روند مراحل زیر را طی می کند:هکر به یک وب سایت معتبر دسترسی پیدا کرده یا یک دامنه جعلی ایجاد می کند.مهاجم پیامی را طراحی می کند که دریافت کنندگان را به کلیک بر روی لینک ارسالی به آن سایت ترغیب کرده و این پیام را به ایمیل های متعددی ارسال می کند.اگر شخصی روی لینک کلیک کند، یا از آن ها خواسته می شود نام کاربری و رمز عبور خود را وارد کنند و یا سایت بدافزاری را بارگیری می کند که اطاعات ذخیره شده در دستگاه یا حافظه مرورگر را جمع آوری می کند.مهاجم از این اعتبارها برای دزدیدن داده های حساس از شخص استفاده می کند.خطرات حملات فیشینگاگرچه فیشینگ برای هدف قرار دادن افراد طراحی شده است اما در صورت موفقیت آمیز بودن یک حمله فیشینگ، عواقب جبران ناپذیر هم افراد و هم سازمان ها را درگیر خواهد کرد.مجرمان اینترنتی می توانند با داشتن اطلاعات کاربری وارد سیستم شده، به برنامه های شخصی و شرکتی دسترسی پیدا کنند و با تغییر رمز عبور دسترسی مالکین را به حساب ها قفل کنند. آن ها همچنین می توانند با اضافه کردن عوامل احراز هویت چند عاملی با دستگاه های خود امکان دسترسی به حساب ها را سخت تر کنند.این موضوع به خصوص زمانی مشکل ساز می شود که مهاجم از طریق ایمیل پیام های ظاهرا قانونی را به کاربران مختلف ارسال کرده و در نهایت کل شبکه به خطر می افتد.پس از ورود به شبکه سازمان، هکرها می توانند با استفاده از مجوزهایی که از افراد به دست آورده اند به نصب بدافزارهایی اقدام کنند که می توانند سیستم های شرکتی را خاموش کرده و یا پول و مالکیت معنوی را سرقت کنند.به دلیل سطح کنترلی که مدیران در سازمان خود دارند حمله والینگ می تواند تاثیر شدیدی بر شرکت بگذارد. این حملات میلیون ها دلار خسارت به سازمان ها وارد کرده است.علاوه بر خسارت مالی و از دست رفتن سرمایه سازمان در مواردی داده های مشتری به خطر افتاده و اعتبار سازمانی آسیب دیده است.چگونه از فیشینگ جلوگیری کنیم؟یکی از بزرگترین اقدامات پیشگیرانه که سازمان ها می توانند برای محافظت از کارمندان و کسب و کار خود انجام دهند، آموزش در مورد خطرات فیشینگ و نحوه شناسایی حملات مشکوک است. پس از اجرای اقدامات آموزشی قوی، پیشگیری از موفقیت فیشینگ به قرار دادن مدیریت هویت و دسترسی در مرکز استراتژی امنیتی شما بر می گردد.اجرای تدابیر امنیتی پیشگیرانهبا ترکیب لایه های امنیتی اضافی در برنامه های سازمانی مانند استقرار احراز هویت یکپارچه (Single Sign On) و احراز هویت چند عاملی انطباقی (Adaptive MFA) سازمان ها می توانند فیشینگ را به صورت فعال در مسیرهای خود متوقف کنند.محدود کردن سطح حملاتبا مدیریت خودکار چرخه حیات کاربران می توان از حملات به افرادی که اشتباها دسترسی های بالایی دارند جلوگیری نمود. با استفاده از سامانه مدیریت هویت و دسترسی مشخص می شود هر شخص به چه منابعی، در چه حدی و در چه محدوده زمانی دسترسی دارد.افزایش سرعت عمل در مواجهه با حملاتبا بررسی در لحظه رویدادهای احراز هویت این امکان وجود دارد که سریعا با دسترسی غیر مجاز به حساب های کاربری در همان لحظه مقابله کرد. سازمان ها می توانند با استفاده از سرویس اعلان آتین از فعالیت‌ های مشکوک مانند تغییر رمزعبور و احراز هویت چندعاملی در حساب کاربری خود سریعا مطلع شده و اقدامات لازم را انجام دهند. همچنین با اعمال سیاست‌های احراز هویت تطبیقی برای تمامی کاربران می توان در صورت وقوع حملات فیشینگ در اسرع وقت نسبت به اجرای اقدامات اصلاحی و کاهش آسیب‌ها اقدام نمود.چرا فیشینگ در شرایط بحرانی افزایش می یابد؟مجرمان برای موفقیت در فعالیت های فیشینگ به حس فریب و شرایط اضطراب تکیه می کنند. بحران هایی مانند ویروس همه گیر کرونا فرصتی بزرگ برای مجرمان فراهم می کند تا قربانیان را با طعمه به سمت مسیر فیشینگ خود سوق دهند.هنگام بروز بحران افراد لبه تیغ قرار دارند. آنها نیاز به اطلاعات دارند و مدام از کارفرمایان، دولت و سایر مقامات مربوطه راهنمایی می خواهند. ایمیلی که به نظر می رسد از سوی یکی از این نهادها ارسال شده و حاوی اطلاعات یا دستورالعمل های جدیدی در مورد بحران است به احتمال زیاد نسبت به قبل موشکافی کمتری را به دنبال خواهد داشت. بنابراین با یک کلیک دستگاه شخص آلوده شده و یا حساب وی به خطر می افتد.فیشرها را دور نگه دارید!برای مقابله با مجرمان اینترنتی که به طور فزاینده ای پیچیده تر شده اند ، سازمان ها باید رویکرد امنیتی جامع تر و قوی تری را اتخاذ کنند. برای موفقیت، بسیار مهم است که آنها در این مسیر به کارمندان خود آموزش داده و مدیریت هویت و دسترسی را در مرکز استراتژی امنیتی خود قرار دهند.منبع: آتین zohresadeghpoor zohresadeghpoor Wed, 09 Dec 2020 10:50:12 +0330 https://virgool.io/@zohresadeghpoor/%DA%86%DA%A9-%D9%84%DB%8C%D8%B3%D8%AA-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D8%B3%D8%A7%DB%8C%D8%A8%D8%B1%DB%8C-%D8%B4%D8%AE%D8%B5%DB%8C-mbdyiq4iufpy امروزه تصور حتی بخشی از زندگی بدون اتصال به اینترنت بسیار سخت است. کار، ارتباطات، سرگرمی ها، اقتصاد، لوازم خانگی، اتومبیل ها و … همگی می توانند یک بخش آنلاین داشته باشند.درک دنیای آنلاین کار دشواری است. زیرا ما قادر به لمس کامل آن نیستیم. فقط از طریق صفحه نمایش ، هدفون یا میکروفون می توانیم آن را تجربه کنیم. اما با این حال عواقب و خطرات مربوط به آن می تواند مانند بریدن دست یا سرقت مسلحانه واقعی و خطرناک به نظر برسد.اما آیا واقعا اینطور است؟ بله!با این وجود این موضوع کاملا به شما و “مدل تهدید” شما بستگی دارد ، که فقط یک کلمه فانتزی (و احتمالاً ترسناک) برای جمع بندی پاسخ این شش سوال است:دارایی های من چیست؟دشمنان من چه کسانی هستند؟دشمن من چه کاری می تواند بکند؟چقدر احتمال دارد که مجبور به محافظت از دارایی هایم شوم؟در صورت شکست چه عواقبی در انتظارم است؟برای دفاع از خودم در برابر دشمنانم چه کاری می توانم انجام دهم؟بخش بزرگی از زندگی ما امروزه آنلاین است و همه ما دارایی های ارزشمندی در وب داریم: هویت آنلاین، اطلاعات قابل شناسایی شخصی (نام، تاریخ تولد، آدرس خانه، شماره تلفن، حساب های ایمیل)، رسانه های اجتماعی، شماره کارت اعتباری، تصاویر، داده های کاری. در واقع همه ما اطلاعاتی داریم که مسئولیت محافظت از آن ها بر عهده ما است به خصوص در مورد کودکان. از آنجایی که تا کنون موارد زیادی از نقض داده وجود داشته است بنابراین همه ما به نوعی دشمن داریم. تمام داده هایی که نقض شده اند با قیمت ارزان در دارک وب به فروش می رسند و می توانند از طرق مختلف علیه ما استفاده شوند. بسته به اینکه چه کسی هستیم و چه کاری انجام می دهیم ، ممکن است هدف جالبی نیز باشیم.به طور کلی عواقب یک حمله می تواند بسیار مضر باشد. دزدی هویت، باج‌گیری، سرقت اطلاعات و یا خسارت مالی و حتی آسیب فیزیکی.اکنون ، همه ما می توانیم آماده شویم و از خود محافظت کنیم ، و این همان چیزی است که باعث نامگذاری ماه اکتبر به ماه ملی آگاهی از امنیت سایبری شده است. یک تلاش سالانه با هدف کمک به شما در حفظ امنیت آنلاین.در آتین ما به امنیت سایبری بسیار اهمیت می دهیم و هدف ما ایمن سازی فضای اینترنت است. بنابراین ما برای کمک به ایمن ماندن شما در اینترنت ، یک چک لیست آسان آماده کرده ایم. در ادامه مطلب می توانید این چک لیست را مشاهده کنید.ما به امنیت سایبری بسیار اهمیت می دهیم و هدف ما ایمن سازی فضای اینترنت است. بنابراین ما برای کمک به ایمن ماندن شما در اینترنت ، یک چک لیست آسان آماده کرده ایم. در ادامه مطلب می توانید این چک لیست را مشاهده کنید.چک لیست امنیت سایبری شخصیمراقبت از رمز عبورمن از رمز عبور یکسان برای حساب های مختلف استفاده نمی کنم.رمز عبور من تا حد ممکن حداقل شامل 18 کاراکتر است.من از یک برنامه مدیریت رمز عبور مانند 1Password ، LastPass ، Keepass یا keychains پشتیبانی شده توسط سیستم عامل یا مرورگر استفاده می کنم.برای حساب هایی که در برنامه مدیریت گذرواژه نیستند از عبارات طولانی ، منحصر به فرد و به یاد ماندنی استفاده می کنم.احراز هویت چند عاملی (MFA)تمام حساب های کاربری مهم من ( ایمیل، رسانه های اجتماعی، برنامه های مربوط به امور مالی) با احرازهویت چند عاملی محافظت می شوند.من کدهای پشتیبان احراز هویت چند عاملی خود را در برگه ای که در جایی ایمن نگه داری می شود و یا در برنامه مدیریت گذرواژه ذخیره می کنم.مواردی که نباید روی آن ها کلیک کرداز کلیک کردن روی پیوندهای مشکوک ، یا بارگیری پیوست های مشکوک از ایمیل یا پیامک هایی که انتظار ندارم ، اجتناب می کنم.من روی تبلیغاتی که قول پول رایگان، جوایز یا تخفیفات می دهند کلیک نمی کنم.پیشنهاد می کنیم در تست رایگان فیشینگ گوگل شرکت کنید.حریم خصوصیمن اطلاعات خصوصی مانند آدرس خانه ، تصاویر خصوصی ، شماره تلفن یا شماره کارت اعتباری خود را به صورت عمومی در رسانه های اجتماعی ارسال نمی کنم.تنظیمات مربوط به حفظ حریم شخصی در شبکه های اجتماعی را مطابق با نیاز خودم تنظیم می کنم.من از انجام بازی ها یا نظرسنجی هایی که در شبکه های اجتماعی اطلاعات خصوصی حساس را می خواهند خودداری می کنم.بهداشت سایبری ابتداییمن در مورد سطح دسترسی برای تمام برنامه‌هایی که استفاده می‌کنم محتاط هستم.برنامه‌های کاربردی (application) که دیگر استفاده نمی‌کنم را حذف می‌کنم.از فایل های مهم خود نسخه پشتیبان تهیه می کنم.من مخاطبین اضطراری را در تلفن خود پیکربندی کرده ام.تلفن ، کامپیوتر و هارد اکسترنال خود را رمزگذاری می کنم.من سایت https://haveibeenpwned.com/ را طوری پیکربندی کرده ام که در صورت افشای ایمیل من در یک رخنه امنیتی مرا مطلع کند.من همیشه سیستم عامل رایانه و موبایلم را با آخرین نسخه به روز رسانی می کنم.رمز عبورهای پیش فرض دستگاه های IOT را تغییر می دهم.من کامپیوتر و تلفن همراه خود را با یک رمز عبور یا یک پین بیشتر از چهار شماره قفل نگه می دارم.من اطلاعاتی از این دست را با دوستان و خانواده در میان می گذارم تا به آنها در امنیت کمک کنم.بهترین شیوه های امنیت سایبری برای کودکان (بالای 8 سال)بهداشت سایبری ابتداییمن فقط درصورتي كه اجازه از والدين يا سرپرستان خود داشته باشم ، تصاوير يا فيلم هاي خود را به صورت آنلاين ارسال مي كنم.اگر کسی از من سوالات شخصی مانند آدرس منزل، آدرس مدرسه یا شماره تلفن و یا ارسال عکس درخواست کند من بلافاصله درخواست کمک می کنم.من می دانم که ارسال نام ، تاریخ تولد ، آدرس خانه ، تصاویر ، آدرس مدرسه ، شماره تلفن یا شماره کارت اعتباری من به صورت آنلاین می تواند برای من و خانواده ام خطرناک باشد.من درک می کنم که در دنیای آنلاین ، هر کسی می تواند وانمود کند کسی است که نیست ، بنابراین من نباید شخصاً با او ملاقات کنم.اصول ایمنیمن فقط وقتی از والدین یا سرپرستانم اجازه بگیرم برنامه ها را بارگیری یا نصب می کنم.از استفاده از رمزهای عبور کوتاه و ساده مانند “test”، “password” ، “123456” یا “Reza1” خودداری می کنم.من از گذرواژه های متشکل از کلماتی که توسط یک خط تیره (-) یا یک فاصله با یکدیگر ترکیب شده اند استفاده می کنم. مثلا I-LOVE-CREAMگذرواژه های من شامل نام من ، تاریخ تولد ، نام حیوان خانگی یا سایر اطلاعاتی که به راحتی قابل حدس باشند نیستند.تمام حساب های کاربری من از رمزهای عبور مختلف استفاده می کنند. روی عکس هایی که قول پول ، جایزه یا بازی رایگان می دهند کلیک نمی کنم.رفتار محترمانه با خودم و دیگرانمن می دانم که ممکن است نتوانم مواردی را که به صورت آنلاین ارسال می کنم حذف کنم و دیگران می توانند آنها را کپی و بازنشر کنند. حتی می تواند 20 سال دیگر به من متصل شود.اگر کسی به صورت آنلاین چیز آزاردهنده ای به من بگوید، کمک می خواهم، گزارش می دهم و در صورت امکان آنها را مسدود می کنم.من بیشتر نظرات را نادیده می گیرم ، اما اگر خیلی نگران کننده باشند ، آنها را گزارش می دهم.من با دیگران در فضای آنلاین همانطور که در ملاقات حضوری رفتار می کنم محترمانه رفتار می کنم.احساسی که نسبت به خودم دارم به لایک یا نظر دیگران در شبکه های اجتماعی بستگی ندارد.فراموش نکنید که امنیت سایبری به عهده همه است. همه ما باید مالک آن باشیم. ایمنش کنیم، از آن محافظت کنید و بنابراین بتوانیم در اینترنت ایمن بمانیم.منبع: آتین zohresadeghpoor zohresadeghpoor Wed, 11 Nov 2020 11:01:20 +0330 https://virgool.io/@zohresadeghpoor/%D8%AA%D9%87%D8%AF%DB%8C%D8%AF%D8%A7%D8%AA-%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-%D9%85%D9%88%D8%A8%D8%A7%DB%8C%D9%84-%D8%B1%D8%A7-%D8%A8%D8%B4%D9%86%D8%A7%D8%B3%DB%8C%D8%AF-aw38knxhvxfu امروزه ویروس ها، نرم افزارهای جاسوسی و سایر نرم افزارهای مخرب، توانایی تاثیرگذاری بر دستگاه هایی فراتر از کامپیوترها و لپ تاپ ها را دارند. دستگاه های موبایل یکی از این سیستم های بسیار آسیب پذیر هستند. هم چنان که چشم انداز تهدیدها گسترش پیدا می‌کند، مهم است که ما نه تنها این خطرات را درک کنیم، بلکه آگاه باشیم که چگونه می‌توانیم از خودمان در برابر آن‌ها محافظت کنیم.در این مقاله ، تهدیدهای امنیتی موبایل را که امروز با آن روبرو هستیم بررسی کرده و نکات و پیشنهاداتی را برای به حداقل رساندن آنها ارائه خواهیم داد.تهدیدات امنیتی موبایل چیست؟تهدیدات امنیتی تلفن همراه حملاتی هستند که هدف آن ها به خطر انداختن یا سرقت اطلاعات دستگاه های تلفن همراه مانند تلفن های هوشمند و تبلت ها است. این تهدیدها اغلب به شکل بدافزار یا نرم افزار جاسوسی هستند که به افراد متخاصم اجازه دسترسی غیر مجاز به دستگاه ها را می دهند. در بسیاری از موارد ، کاربران حتی از وقوع این حملات آگاهی ندارند.با این دسترسی ، مهاجمان می توانند اقدامات مخرب مختلفی را از سرقت و فروش داده ها گرفته تا دسترسی به مخاطبین و ارسال پیام و برقراری تماس انجام دهند. همچنین می توانند از دستگاه برای سرقت اعتبارنامه های ورود به حساب های کاربران و جعل هویت استفاده کنند. این حملات، کاربران و سازمان‌ها را به طور یکسان تحت‌تاثیر قرار می‌دهد، چرا که تنها نقض اطلاعات یک شخص می‌تواند منجر به نشت اطلاعات در مقیاس بزرگ شود.انواع تهدیدات امنیتی موبایلتهدیدهای موبایل مبتنی بر برنامه های کاربردی:برنامه ها اغلب ریشه آسیب پذیری های دستگاه تلفن همراه هستند. این نوع حملات زمانی که کاربران برنامه های مخرب را بارگیری می کنند یا به برنامه ها بدون توجه به میزان امنیت آن برنامه اجازه دسترسی به داده های دستگاه را می دهند رخ می دهد.تهدیدهای موبایل مبتنی بر وب:حملات تحت وب موبایل معمولاً از طریق فیشینگ یا کلاهبرداری انجام می شود. مهاجمان یک ایمیل ، متن یا پیامی که به نظر می رسد از یک منبع معتبر باشد ارسال می کنند در حالی که این پیام حاوی یک لینک یا پیوست مخرب است. وقتی کاربران روی این لینک کلیک کرده و یا اطلاعات شخصی خود را ارائه می دهند، شخص متخاصم می‌تواند دسترسی غیرمجاز به دستگاه تلفن همراه را به دست آورده یا از طریق مدارک سرقت شده، هویت را جعل کند.تهدیدهای شبکه:این نوع حمله زمانی اتفاق می افتد که مهاجمان، اتصالات Wi-Fi عمومی نا امن یا رایگان را هدف قرار می دهند. در برخی موارد ، هکرها حتی ممکن است با هدف فریب کاربران ، شبکه Wi-Fi جعلی (معروف به network spoofing) را راه اندازی کنند. شبکه های جعلی از کاربران می خواهند با استفاده از نام کاربری و رمزعبور خود یک حساب کاربری ایجاد کنند و این فرصت را به هکرها می دهند تا دستگاه ها و اعتبارنامه ها را به خطر بیندازند.تهدیدهای فیزیکی:دستگاه های گمشده ، دزدیده شده و بدون مراقبت ، کاربران را در معرض مشکلات جدی امنیتی موبایل قرار می دهند. اگر از یک گذرواژه قوی، PIN یا احراز هویت بیومتریک استفاده نکرده و یا از برنامه‌ها و سرویس‌های رمزنگاری نشده استفاده کنید، تلفن شما به راحتی قابل هک شدن است. به خصوص با در نظر گرفتن این که امروزه چشم‌انداز تهدیدات امنیتی بسیار پیچیده تر شده است.شش تهدید امنیتی تلفن همراه و چگونگی جلوگیری از آنهااین که مهاجمان می‌توانند از هر کدام از انواع تهدیدات گفته‌ شده در بالا برای حمله به کاربران استفاده کنند بسیار بد است. اما چیزی که حتی از این موضوع بدتر است این است که رفتار روزمره و فعالیت های تلفن همراه ما می‌تواند برای آن‌ها این راه را آسان‌تر کند. در ادامه برخی از متداول ترین روش هایی که داده ها و هویت خود را در معرض تهدیدات امنیتی موبایل قرار می دهیم ، و نکاتی در مورد چگونگی محافظت از خود در برابر این تهدیدات آورده شده است.1. بارگیری برنامه های مخرب و اعطای مجوزهای بیش از حدبرنامه هایی که از منابع دیگری به جز از فروشگاه های رسمی برنامه ها بارگیری می شوند ، می توانند منجر به نشت داده شوند ، زیرا بسیار بعید است که از محافظت های مناسبی برخوردار باشند. به علاوه ، مهاجمان ممکن است برنامه های مخربی را که هدف آنها سو استفاده از کاربرانی است که آنها را بارگیری می کنند (مثلا سرقت اطلاعات از دستگاه و فروش آنها به اشخاص ثالث) منتشر کنند. نشت داده ها همچنین می تواند از طریق برنامه های سازمانی آلوده به بدافزار که کد مخربی را در سیستم عامل های تلفن همراه توزیع می کنند و بدون شناسایی شدن در شبکه سازمان گسترش می یابند انتقال یابد.چگونه ریسک را به حداقل برسانیم؟ برنامه ها را فقط از Google Play ، App store و سایر ارائه دهندگان مطمئن بارگیری کنید. علاوه بر این ، مجوزهایی مانند دسترسی به داده های مکان ، دوربین و میکروفن را رد کنید ، مگر اینکه برنامه ای که از آن استفاده می کنید واقعا به آن احتیاج دارد.2. اتصال به شبکه های WI-FI نا امنبه احتمال زیاد، استفاده از شبکه های Wi-Fi که دسترسی به آن ها در مکان های عمومی مانند فرودگاه ها ، کافی شاپ ها و کتابخانه ها رایگان است برای شما جذاب هستند. زیرا این امکان را به شما می دهد تا از اینترنت تلفن همراه خود استفاده نکنید. اما بسیاری از این شبکه ها نا امن هستند. به عبارت دیگر مهاجمان می توانند از این طریق به راحتی به دستگاه های کاربران دسترسی پیدا کرده و امنیت داده های آنها را به خطر بیندازند.چگونه ریسک را به حداقل برسانیم؟ قبل از اتصال به Wi-Fi رایگان، خوب فکر کنید و هرگز از شبکه هایی که شما را مجبور به ایجاد حساب کاربری یا گذرواژه می کنند استفاده نکنید. اگر نیازی به استفاده از یکی از این شبکه ها دارید ، صرفا فعالیت های کم خطر را انجام داده و هرگز از این شبکه ها برای دسترسی به حساب های شبکه های اجتماعی ، برنامه های بانکی یا خرید آنلاین استفاده نکنید.3 .قرار گرفتن به عنوان هدف حملات مهندسی اجتماعیبا افزایش دورکاری، حملاتی مانند فیشینگ و “smishing” (فیشینگ با sms ) به طور فزاینده‌ای در هر دو دستگاه موبایل و رایانه شایع شده اند. با این حال ، کاربران تلفن همراه بیشتر در معرض این حملات هستند زیرا اندازه صفحه نمایش کوچکتر ، اطلاعاتی را که می تواند در هر لحظه در یک ایمیل مخرب مشاهده شود ، محدود می کند. با این کار شانس کلیک کاربران بر روی پیوندها بدون در نظر گرفتن عواقب آن افزایش می یابد.چگونه ریسک را به حداقل برسانیم؟ هرگز روی پیوند موجود در ایمیل یا پیام متنی کلیک نکنید ، حتی اگر به نظر می رسد از طرف فرستنده معتبری باشد. در عوض ، URL را در نوار آدرس مرورگر وب خود وارد کنید تا بتوانید قانونی بودن پیوند را تأیید کنید.4 . رعایت نکردن بهداشت سایبریدر حال حاضر رعایت بهداشت سایبری برای افراد، بیش از هر زمان دیگری مهم است. اما بسیاری از افراد همچنان از گذرواژه های ضعیف استفاده می کنند، گذرواژه یکسانی را در حساب های کاربری مختلف خود به کار می برند، داده ها را با دوستان و همکاران خود به اشتراک می گذارند و از به روزرسانی برنامه ها و سیستم عامل ها خودداری می کنند.دستگاه های قدیمی همچنین می توانند باعث ایجاد مشکلات زیادی در زمینه امنیت سایبری تلفن همراه شوند. خواه به دلیل عدم ارائه به روز رسانی توسط شرکت سازنده باشد و خواه اینکه کاربر تصمیم به بارگیری نسخه های جدید نرم افزار نداشته باشد . این خلا باعث ایجاد شکاف هایی می شود که مهاجم می تواند برای نفوذ به دستگاه استفاده کند.علاوه بر این ، کاربران می توانند به دلیل مدیریت نامناسب نشست ، قربانی تهدیدات امنیتی تلفن همراه شوند. بسیاری از برنامه ها از توکن ها استفاده می کنند تا تجربه را برای کاربران راحت تر کنند (به عنوان مثال به آنها اجازه می دهد بدون احراز هویت مجدد اقداماتی را انجام دهند). اما این توکن ها در صورت باز ماندن نشست ها ، گاهی می توانند ناخواسته با مهاجمان به اشتراک گذاشته شوند.چگونه ریسک را به حداقل برسانیم؟ از گذرواژه های قوی استفاده کنید ، ابزارهای احراز هویت چند عاملی (MFA) را نصب کنید ، دستگاه های خود را طوری تنظیم کنید که به طور خودکار به روز شوند و پس از اتمام استفاده از آنها ، از برنامه ها و وب سایت ها خارج شوید. و البته ، اطلاعات شخصی و ورود به سیستم را نزد خود نگه دارید.5. کار کردن با رمزنگاری شکسته شده یا بدون رمزگذاری دو طرفهدر حال حاضر با صرف وقت بیشتر مردم در خانه ، استقبال چشمگیری در استفاده از ابزارهای کنفرانس ویدیویی در دستگاه های تلفن همراه ایجاد شده است. اگرچه این موارد برای کمک به همکاران و خانواده ها برای برقراری ارتباط بسیار مناسب هستند ، اما خطرات زیادی نیز در این زمینه وجود دارد. به خصوص اگر از برنامه یا سرویسی استفاده می کنید که مکالمه را رمزگذاری نمی کند ، با استفاده از الگوریتم های ضعیف کار می کند یا دستگاه ها را در معرض حمله قرار می دهد.چگونه ریسک را به حداقل برسانیم؟ اگر صاحب کسب و کار هستید و یا استفاده شخصی از این ابزارها دارید ، اطمینان حاصل کنید که شما و تمام کسانی که با آنها ارتباط برقرار می کنید از برنامه ها و ابزارهای آنلاینی استفاده می کنید که حفظ امنیت هویت و داده ها را در اولویت قرار می دهند.6 .افتادن در دام botnetبات نت هنگامی ایجاد می شود که گروهی از کامپیوترها تحت کنترل یک هکر قرار بگیرند. معمولاً از آنها برای بارگذاری بیش از حد منابع سازمان در هنگام اقدامات مخرب ، مانند حملات Distribution Denial of Service – DDoS كه می توانند از طریق تروجان ها ، ویروس ها و كرم ها روی دستگاه های تلفن همراه اجرا شوند ، استفاده می شود.چگونه ریسک را به حداقل برسانیم؟ مانند بسیاری دیگر از تهدیدهای تلفن همراه ، فقط با بارگیری برنامه های قانونی ، هرگز کلیک نکردن روی لینک ها یا پیوست ها در ایمیل ها ، استفاده از شبکه های بی سیم ایمن و آگاهی از فعالیت های غیرمعمول در دستگاه ها ، می توان از بات نت جلوگیری کرد.چگونه سازمان ها می توانند خود را در برابر تهدیدات تلفن همراه محافظت کنند؟اگرچه تیم های فناوری اطلاعات و امنیت عمدتا وظیفه محافظت از داده های سازمان ، کارمندان و مشتریان را بر عهده دارند ، با این حال اقدامات زیادی وجود دارد که کاربران می توانند برای ایمن سازی دستگاه های خود انجام دهند. بیایید نگاهی بیندازیم که چگونه هر گروه می تواند امنیت را در محل کار و خانه خود بهبود بخشد.کارهایی که تیم امنیت و فناوری اطلاعات می توانند انجام دهند.درحال حاضر بیش از هر زمان دیگری ، کارمندان از راه دور از مکان های مختلف و بر روی دستگاه های مختلف کار می کنند. با این حال ، تنها 13٪ از سازمان ها چهار اقدام اساسی رمزگذاری داده ، محدود کردن دسترسی کاربران به داده های مورد نیاز، عدم استفاده از گذرواژه پیش فرض و آزمایش امنیتی منظم را در این زمینه به کار می گیرند. علاوه بر این ، تقریباً 50٪ سازمان ها سیاست قابل قبولی که برای مبارزه با تهدیدهای امنیتی موبایل بسیار حیاتی است و استانداردی را برای رفتار کارمندان در دستگاه ها و شبکه ها تعیین می کند ندارند.تیم های فناوری اطلاعات می توانند با استقرار ابزارهایی مانند احراز هویت چند عاملی و احراز هویت یکپارچه (Single Sign On) و اتخاذ رویکرد Zero Trust برای امنیت در سازمان های خود ، از مزایای آن استفاده کنند.آن ها همچنین باید آموزش های منظمی را برای کارمندان خود ارائه دهند تا اطمینان از حفظ امنیت همیشه در ذهن افراد باشد. به علاوه به صورت مرتب آخرین و مهم ترین تهدیدهایی که می توانند روزانه با آن روبرو شوند را به آن ها یادآوری کنند.کارهایی که افراد می توانند انجام دهند.کارمندان نیز می توانند با اطمینان از درک قوی تهدیدات مشترک، از تهدیدات امنیتی موبایل جلوگیری کنند. آنها نه تنها باید این تهدیدات را بشناسند بلکه باید بتوانند علائم گویای این حملات را نیز تشخیص دهند.علاوه بر پیروی از خط مشی های تعیین شده توسط سازمان ها، کارمندان می توانند با استفاده از روش هایی مانند انتخاب گذرواژه امن و ایجاد امکان احراز هویت قوی تر (مانند MFA و بیومتریک) در دستگاه های خود، امنیت را به دست بگیرند. همچنین آن ها می توانند از امنیت شبکه های خانگی خود اطمینان حاصل کنند و هنگام کار از راه دور از استفاده از شبکه های WiFi رایگان خودداری کنند.نکات پایانیهمان طور که گفتیم ضروری است که سازمان ها برای ایمن نگه داشتن کارمندان و داده های شرکت ، به خصوص با بیشتر شدن دورکاری، اقداماتی را انجام دهند که از تهدیدات امنیتی دستگاه های موبایل در امان بمانند.در ادامه نکاتی را بیان خواهیم کرد که بهتر است به خاطر بسپارید.کار پویاکار پویا مدلی است که به کارمندان آزادی و انعطاف پذیری برای کار از هرجایی را می دهد و به یک زیرساخت IT کاملاً ایمن و یکپارچه نیاز دارد. در نظر گرفتن امنیت تلفن همراه بخش مهمی در این امر است تا کارمندان بتوانند به طور موثر و ایمن، در هر زمان ، از هر مکان و با هر دستگاهی کار خود را انجام دهند.از معرفی سیاست های استفاده از دستگاه شخصی مدت زمان زیادی می گذرد و امروزه با گسترش دورکاری اهمیت این سیاست ها حتی بیش از پیش شده است. سازمان ها باید اطمینان حاصل کنند که کارمندان قادر به کار بر روی هر دستگاهی هستند ، این امر استفاده از ابزاری مانند MFA و رویکرد Zero Trust برای امنیت را کاملاً حائز اهمیت می کند.اینترنت اشیااینترنت اشیا به سرعت در حال رشد است. زیرا افراد بیشتری به دستگاه های متصل در محل کار و خانه اعتماد می کنند (به عنوان مثال ، یخچال های هوشمند و دستیارهای صوتی). آگاهی از اینکه این دستگاه ها چطور کار می کنند و چگونه ممکن است فضای امنیتی را تغییر دهند ، کلید جلوگیری از دسترسی غیرمجاز مهاجمان به اطلاعات و شبکه ها است.منبع : آتین zohresadeghpoor zohresadeghpoor Sat, 07 Nov 2020 10:46:20 +0330 https://virgool.io/@zohresadeghpoor/%D9%87%D9%88%DB%8C%D8%AA-%D8%A8%D9%87-%D8%B9%D9%86%D9%88%D8%A7%D9%86-%DB%8C%DA%A9-%D8%B3%D8%B1%D9%88%DB%8C%D8%B3-idaas-%DA%86%DB%8C%D8%B3%D8%AA-spudldr7ld1u what is IDaaS?هر سازمانی که از درگاه ورود در سامانه های خود استفاده می کند باید شکلی از مدیریت هویت و دسترسی (IAM) را برای پیگیری کاربران و کنترل دسترسی به داده ها و خدمات داشته باشد. با این حال در سال های اخیر مدیریت هویت پیچیده تر شده است. امروزه ، مدیریت هویت به طور جدایی ناپذیری به مسائل مربوط به امنیت ، تجربه کاربری (UX) و مقیاس پذیری بستگی دارد.برای مقابله با چالش های مربوط به نگهداری سیستم های مدیریت هویت و دسترسی (IAM) ، سازمان های بیشتری به ارائه دهندگان “هویت به عنوان یک سرویس” یا IDaaS روی می آورند.اما IDaaS دقیقاً چیست؟ این ارائه دهندگان چه چیزی ارائه می دهند که می تواند به مشاغل کمک کند تا در چنین فضای چالش برانگیزی حرکت کنند؟در این بخش ، ما “هویت به عنوان یک سرویس” (IDaaS)، اجزای اصلی آن و دلایلی که باعث می شود SaaS به سرعت رشد کند را تعریف خواهیم کرد.‫IDaaS همان IAM است که به صورت SaaS ارائه شده و به سازمان ها این امکان را می دهد که با استفاده از SSO، احراز هویت و کنترل دسترسی، امنیت دسترسی به سامانه های نرم افزاری و مبتنی بر SaaS خود را فراهم کنند.‫‫‫‫طبق تعریف گارتنر IDaaS غالبا یک سرویس ابری است که به صورت Multi-Tenant، اختصاصی و یا میزبانی شده ارائه شده و به عنوان یک واسطه کارکردهایی مانند حاکمیت و مدیریت هویت، کنترل دسترسی و نظارت بر رویدادها را به سامانه های سرویس گیرنده ابری یا نصب شده در درون سازمان، ارائه می دهد.وقتی یک سازمان برنامه ای را ایجاد یا به روز رسانی می کند ، باید انتخاب کند که کدام قابلیت ها را خودشان توسعه دهند و کدام را به شخص ثالث بسپارند. به عنوان مثال ، اگر در حال نوشتن برنامه ای هستید که سیستم پرداخت دارد ، معمولاً استفاده از یک پلتفرم مانند زرین پال به جای ساختن سیستم پرداخت خود از ابتدا ، در زمان و هزینه ها صرفه جویی خواهد کرد.همین موضوع زمانی که برنامه شما نیاز به ورود کاربران دارد نیز صادق است. با توجه به پیچیدگی‌های ورود به سیستم و روش‌های متعددی که مدیریت هویت و دسترسی و تجزیه و تحلیل عملکرد کاربران دارد ، اغلب خرید یک راهکار IDaaS که با نرم افزار شما ادغام شده و این مسئله را مدیریت می کند ساده ترین راه است.ارائه دهندگان “هویت به عنوان یک سرویس” یا IDaaS راهکارهای مبتنی بر ابر را برای کارکردهای مدیریت هویت و دسترسی (IAM) ارائه می دهند. هنگامی که یک سرویس IDaaS می خرید، در اصل یک API (رابط برنامه نویسی برنامه) خریداری می کنید. به زبان ساده، API مجموعه ای از قوانین برنامه ریزی شده برای چگونگی تعامل اجزای نرم افزار یا برنامه ها است که مانند یک مترجم یا واسطه عمل می کند.در مورد IDaaS ، API واسطه جریان احراز هویت بین کاربر نهایی و برنامه (های) مشتری است. IDaaS همچنین ممکن است به عنوان واسطی در مجوز دادن به مناطق خاصی از برنامه یا دسترسی به داده های خاصی در برنامه (های) در حال ساخت شرکت شما استفاده شود.وقتی در مورد مدیریت هویت صحبت می کنیم، به هویت سه رده اساسی از کاربران اشاره می کنیم:مدیریت هویت و دسترسی مشتری (CIAM) ، که برای کاربران نهایی اعمال می شود.مدیریت هویت و دسترسی نیروی کار که کارکنان و دسترسی آنها به برنامه های داخلی را مدیریت می کند.مدیریت هویت و دسترسی B2B، که به کسب و کارها اجازه یکپارچگی با شرکای تجاری و مشتریان سازمانی خود را می دهد.هر یک از این رده ها نیازمند یک رویکرد متفاوت هستند و سازمان ممکن است برای همه آن ها یا فقط یکی از آنها از IDaaS استفاده کند.چند ویژگی اصلی وجود دارد که تقریبا در تمام ارائه دهندگان IDaaS مشترک است. این ویژگی ها عبارتند از:احراز هویت چند عاملی (MFA)بیومتریکاحراز هویت یکپارچه (SSO)مدیریت کاربر و کنترل دسترسیدر ادامه بیشتر به اصطلاحات گفته شده می پردازیم.IDaaSاحراز هویت چند عاملیاحراز هویت چند عاملی روشی رایج برای احراز هویت کاربران است. این روش از ورود نام کاربری و رمزعبور به شکل سنتی ایمن تر است زیرا گذرواژه ها در برابر انواع حملات آسیب پذیر هستند.در احراز هویت چند عاملی لازم است که کاربران با بیش از یک فقره اطلاعات شناسایی (مثلا یک اعلان تلفن همراه علاوه بر گذرواژه) وارد شوند.کاربران برای ورود به سامانه باید ترکیبی از مدارک زیر را به اشتراک بگذارند:دانش: چیزی که کاربر می داند (مانند گذرواژه)مالکیت: چیزی که کاربر در اختیار دارد (مانند تلفن همراه)وراثت: چیزی که کاربر هست (مانند اثر انگشت یا اسکن شبکیه)رایج ترین شکل MFA احراز هویت دو عاملی (2FA) است ، اگرچه امکان درخواست اعتبارنامه های بیشتری بسته به خطرات امنیتی موجود وجود دارد.با وجود گزارش های متعدد در مورد مزایای احراز هویت چند عاملی برای جلوگیری از نقض داده ها ، با این حال استفاده از این روش تاکنون در حدی که باید رایج نشده است. اگرچه در سال های اخیر به طور قابل توجهی افزایش یافته است.یکی از دلایل کاهش تدریجی نرخ پذیرفته شدن این روش این است که طراحان سامانه نسبت به ایجاد اصطکاک اضافی در ورود به سیستم، به خصوص برای احراز هویت B2C محتاط هستند. اما ارائه دهندگان IDaaS گزینه های MFA پیشرفته تری مانند احراز هویت مرحله ای یا تطبیقی را ارائه می دهند. این رویکردها به MFA فقط درصورتی که کاربر با سطح خطر خاصی روبرو شود ، اعتبار اضافی را درخواست می کنند. به عنوان مثال ، ورود به سیستم از آدرس IP جدید یا تغییر اطلاعات پرداخت.بیومتریکبیومتریک به معنای استفاده از معیارهای “وراثت” است که چیزی است که کاربر به وسیله آن مورد تأیید قرارمی گیرد. اگر تا به حال قفل تلفن هوشمند خود را با اثر انگشت باز کرده اید ، پس با بیومتریک آشنا هستید.علاوه بر اثر انگشت ، سایر روش های احراز هویت بیومتریک شامل مواردی مانند تشخیص عنبیه یا شبکیه ، تشخیص کامل صورت ، اثر انگشت ، دست و استفاده از DNA است.بسیاری از سازمان ها به استفاده از این فناوری روی آورده و به جای تلاش برای آموزش تیم های داخلی خود در این شاخه تخصصی دانش ، به ارائه دهندگان IDaaS روی آورده انداحراز هویت یکپارچه (SSO)احراز هویت یکپارچه یا Single Sign-On) SSO) به کاربران این اجازه را می دهد که با وارد شدن به یک سامانه به طور خودکار به سایر سامانه ها و برنامه های کاربردی تعیین شده وارد شوند. بیشتر افراد از طریق Google با SSO آشنا هستند ، زیرا همانطور که احتمالا تا به حال مشاهده کرده اید، پس از ورود به یکی از برنامه های Google مانند YouTube به شما امکان دسترسی به Gmail و سایر برنامه ها نیز داده می شود. SSO در شرکت هایی که برندهای مختلفی دارند محبوب است زیرا امکان نظارت بهتر بر کاربران و همچنین بهبود تجربه کاربری را فراهم می کند.مدیریت کاربر و کنترل دسترسییکی از عناصر اساسی در هر سیستم مدیریت هویت و دسترسی (IAM) ، توانایی کنترل مجوز دسترسی به داده ها به وسیله اعطای نقش های مختلف به کاربران است. سیستم های IDaaS با متمرکز کردن هویت و قرار دادن این کنترل ها در یک مکان واحد مانند داشبورد کاربر ، این فرآیند را آسان می کنند. این موضوع مزیتی قابل توجه در اطمینان از قرار گرفتن داده های حساس در دست افراد مناسب است ، زیرا نسبت به یک تیم فناوری اطلاعات که دستیابی به برنامه های سازمانی را به صورت دستی کنترل می کنند ، کمتر در معرض خطا است.چرا سازمان ها IDaaS را انتخاب می کنند؟هویت به عنوان یک سرویس (IDaaS)‫‫‫‫‫‫‫‫‫‫‫‫‫‫‫‫‫ در حالییک دوره رشد نمایی را تجربه می کند که از شرکت های نوپا گرفته تا شرکت های چند ملیتی تصمیم می گیرند هویت خود را به خارج از سازمان برون سپاری کنند. پیش بینی می شود بازار IDaaS از 2.5 میلیارد دلار در سال 2019 به 6.5 میلیارد دلار در سال 2024 رشد کند.منبع : آتین zohresadeghpoor zohresadeghpoor Tue, 27 Oct 2020 16:16:30 +0330 https://virgool.io/@zohresadeghpoor/%D8%A7%D8%AD%D8%B1%D8%A7%D8%B2-%D9%87%D9%88%DB%8C%D8%AA-%DB%8C%DA%A9%D9%BE%D8%A7%D8%B1%DA%86%D9%87-%DB%8C%D8%A7-single-sign-on-%DA%86%DB%8C%D8%B3%D8%AA-sejaqpziyjvv ‫‫‫‫‫کاربران روزانه از تعداد زیادی از سامانه ها و برنامه های کاربردی استفاده می کنند. استفاده از رمزهای عبور پیچیده برای هر کدام از این سیستم ها چالشی است که کاربران با آن روبه رو هستند. احراز هویت یکپارچه یا Single Sign-On راه حل مناسبی برای این مسئله است. در این حالت ورود به سیستم های مختلف با یک هویت واحد امکان پذیر خواهد بود. همچنین فرایند افزودن و حذف دسترسی کاربران آسان تر می شود. احراز هویت یکپارچه یا SSO احراز هویت یکپارچه، یک سرویس متمرکز تایید هویت است که در آن کاربر تنها با استفاده از یک حساب کاربری (نام کاربری و رمز عبور) می تواند به چندین برنامه یا سایت دسترسی داشته باشد.به عنوان مثال هنگامی که به یکی از سرویس های گوگل مانند جیمیل وارد می شوید، امکان دسترسی به سایر سرویس ها مانند یوتیوب، گوگل درایو، گوگل داکز و … را نیز خواهید داشت. همچنین یکی از قابلیت های اصلی این سرویس ایجاد یک تونل امنیتی میان کامپیوتر کاربر و سرور مرکزی است که باعث میشود اطلاعات محرمانه کاربران، تحت پروتکل های امنیتی جابجا شوند.Single Sign Onاحراز هویت بدون SSO چگونه است؟هر سامانه یک پایگاه داده از نام های کاربری و رمزهای عبور کاربران خود را نگه داری می کند. وقتی می خواهید وارد برنامه یا سامانه ای شوید مراحل زیر اجرامی شود:ابتدا سایت یا برنامه مورد نظر بررسی می کند که آیا هویت شما پیش از این تصدیق شده است یا خیر. در صورتی که این اتفاق افتاده باشد به شما اجازه دسترسی به سایت یا برنامه مورد نظر داده می شود.در صورتی که این اتفاق نیفتاده باشد از شما خواسته می شود که نام کاربری و رمز عبور خود را وارد کنید. در این صورت اطلاعات کاربری وارد شده با اطلاعات کاربری موجود در پایگاه داده مقایسه و صحت آن بررسی می شود.پس از ورود به سامانه به هنگام مراجعه به هر یک از بخش ها هویت شما توسط سامانه بررسی و تایید می شود.داده های مربوط به تایید هویت معمول در قالب نشست ها یا توکن ها ارسال می شوند و توسط سامانه جهت اعطای دسترسی به صفحات مختلف مورد بررسی قرار می گیرند.احراز هویت یکپارچه (SSOچگونه کارمی کند؟تایید هویت با SSO به اعتماد بین دامنه ها متکی است. هنگام ورود به سامانه یا برنامه کاربردی در سیستم SSO مراحل زیر اجرا می شود:سامانه یا برنامه مورد نظر ابتدا بررسی می کند که آیا هویت شما قبلاز طریق SSO تایید شده است یا خیر. در صورت تایید امکان دسترسی به شما داده می شود.در غیر این صورت شما را به درگاه ورود SSO راهنمایی می کند.شما باید نام کاربری و رمز عبور واحدی که برای ورود به سامانه های سازمان استفاده می کنید را وارد کنید.سامانه احراز هویت یکپارچه (SSO) درخواست تایید هویت کاربران را به دایرکتوری کاربران سازمان ارسال کرده و در صورت تایید، نشست کاربر در سامانه SSO ایجاد می گردد. سامانه SSO داده های تایید هویت را به سامانه سرویس گیرنده منتقل کرده و کاربر به آن سامانه بر می گردد.پس از ورود، سامانه سرویس گیرنده اطلاعات تایید هویت را در قالب نشست یا توکن به مرورگر شما منتقل می کند تا با هر بار مراجعه به صفحات جدید اعتبار شما تایید گردد.درک تفاوت میان ورود با رمزعبور و ورود از طریق SSO اهمیت دارد. تصور اینکه با ورود رمز عبور یکسان در تمامی سامانه ها وارد شوید و نتیجه یکسانی با ورود از طریق SSO به دست می آورید، تصوری اشتباه است. چراکه در صورتی که هر یک از این سامانه ها به علت ضعف در پیاده سازی لایه امنیتی مورد حمله قرار گرفته و اطلاعات هویتی شما افشا شود، حمله کننده می تواند به تمامی سامانه های شما دسترسی یابد. به علاوه با استفاده از احراز هویت یکپارچه دیگر نیازی به ورود رمز عبور به ازای ورود به هر سامانه وجود ندارد و صرفا کافی است یک بار نام کاربری و رمز عبور خود را فقط در درگاه سامانه SSO وارد نمایید.Sویژگی های Single Sign-Onسهولت در مدیریتسامانه SSO با یکپارچه سازی اطلاعات هویتی و اعتبارنامه های کاربر مدیریت دسترسی به انواع منابع سازمانی از جمله پلتفرم ها و برنامه های کاربردی را سهولت می بخشد.امنیتسامانه احراز هویت یکپارچه، امنیت شبکه ها و برنامه های کاربردی راافزایش می دهد. SSO می تواند با استفاده از مدرن ترین استانداردهای امنیتی موجود، کاربر را به صورت منحصر به فرد شناسایی کرده و اطلاعات او را به صورت رمزگذاری شده در سراسر شبکه به سامانه های سرویس گیرنده ارائه دهد.سهولت استفادهسامانه SSO با جلوگیری از وقفه های ناشی از درخواست گذرواژه برای دسترسی به سامانه ها و برنامه های کاربردی تجربه کاربر را بهبود می بخشد. کاربر پس از یک بار احراز هویت اجازه دسترسی به تمام منابع مجازرا پیدا می کند.روش های تایید هویت SSOکلمه عبوررمز یک بار مصرفتوکن و کارت هوشمندبیومتریک و اثر انگشتمنبع : آتین zohresadeghpoor zohresadeghpoor Tue, 06 Oct 2020 17:19:28 +0330 https://virgool.io/@zohresadeghpoor/%D9%85%D8%AF%DB%8C%D8%B1%DB%8C%D8%AA-%D9%87%D9%88%DB%8C%D8%AA-%D9%88-%D8%AF%D8%B3%D8%AA%D8%B1%D8%B3%DB%8C-identity-and-access-management-hs441ckgtqem مدیریت هویت و دسترسی به مجموعه سیاست ها و ابزارهای استفاده شده توسط سازمان ها اشاره دارد تا اطمینان حاصل شود که افراد و موجودیت ها سطح دسترسی مناسب را به منابع فنی سازمان دارند. سامانه مدیریت هویت و دسترسی، راهکاری جامع برای مدیریت امن هویت دیجیتال و دسترسی به سامانه ها و برنامه های کاربردی مختلف است. IAM هویت افراد و انواع دیگر موجودیت ها نظیر نرم افزارها (برنامه ها و اپلیکیشن ها) و سخت افزارها (دستگاه های IOT) رامدیریت می کند.IAMسامانه IAM دو وظیفه کلیدی را بر عهده دارد:احراز هویت کاربرهنگامی که نام کاربری و رمز عبور خود را در یک سامانه وارد می کنید، سامانه مورد نظر هویت شما را با بررسی اطلاعات کاربری موجود در پایگاه داده خود مطابقت می دهد. این روش یکی از روش های احراز هویت است که البته درمقابل روش های جدید ایمنی کمتری دارد.کنترل دسترسی کاربرسطح دسترسی مجاز کاربر به منابع را مشخص می کند. به عبارت دیگر کنترل دسترسی به فرآیند بررسی امکان دسترسی کاربر مجاز به منابع فنی اشاره دارد. به عنوان مثال اگر به عنوان ویرایشگر وارد سیستم مدیریت محتوا شوید، مجاز به تغییر محتوا هستید اما مجاز به تغییر حساب های کاربری یا اضافه کردن کاربرهای جدید نیستید.کارکردهای سامانه مدیریت هویت و دسترسی1- اعطا و سلب دسترسی کاربرانبه هنگام افزوده شدن یک کاربر به سامانه مدیریت هویت و کنترل دسترسی، واحد فناوری اطلاعات باید دسترسی های وی را به سامانه ها و منابع سازمان اعطا نماید. همچنین به ازای هر یک ازسامانه ها لازم است سطح دسترسی کاربر در آن سامانه نیز مشخص شود. با توجه به اینکه این امر فرایندی زمان بر بوده و هزینه خطای انسانی در آن می تواند جبران ناپذیر باشد، سامانه های مدیریت هویت و دسترسی با استفاده از تعریف سیاست های مورد نظر سازمان و جایگاه سازمانی کاربر این فرایند را سهولت می بخشند. کاربران با قرار گرفتن در جایگاه سازمانی خود و با تعریف نقش به طور خودکار به مجموعه ای از سامانه ها دسترسی پیدا می کنند. به همین نسبت که فرایند تخصیص دسترسی به کاربران می تواند زمان بر باشد، فرایند سلب دسترسی آن ها از سامانه هایی که به آن دسترسی دارند نیز زمان بر است. سامانه های مدیریت هویت و دسترسی با خودکارسازی این فرایند ریسک امنیتی دسترسی کاربران سابق سازمان به سامانه ها و منابع را نیز کاهش می دهند.2- احراز هویت کاربرانسامانه IAM وظیفه احراز هویت کاربر را به هنگام نیاز به دسترسی دارد. امروزه احراز هویت ایمن به معنای احراز هویت چند عاملی و ترجیحا احراز هویت تطبیقی است.3- کنترل دسترسی کاربرانپس از احراز هویت کاربر، سامانه IAM مجوز دسترسی کاربر را در درون برنامه ها و منابع مورد نیاز کاربر مدیریت می کند.4- گزارش گیریسامانه مدیریت هویت و دسترسی با ارائه گزارشاتی به سازمان ها کمک می کند تا پیروی دقیق از مقررات را کنترل کرده، خطرات امنیتی احتمالی را شناسایی کنند و فرایندهای امنیتی خود را بهبود بخشند.5- ورود به سیستم یکپارچهورود یکپارچه مرکزی از اجزای اصلی سامانه های مدیریت هویت و دسترسی نیست اما بهترین پیاده سازی های این سامانه ها معمول دارای این ماژول نیز هستند. SSO با افزایش امنیت کاربران، دسترسی آن ها را به منابع مورد نیازشان بدون نیاز به ورود های مکرر و به خاطر سپردن رمز های عبور مختلف آسان می کند.مزایای مدیریت هویت دسترسی (IAM)تقویت ضریب امنیتاین مورد احتمال مهم ترین مزیت IAM برای سازمان ها است. با کنترل دسترسی کاربران، سازمان ها می توانند مواردی از قبیل نقض دسترسی به داده ها، سرقت هویت و دسترسی غیرقانونی به اطلاعات محرمانه را از بین ببرند. سامانه IAM از ورود غیر مجاز به شبکه سازمان جلوگیری می کند. همچنین سازمان را در برابر باج افزار، هک، فیشینگ و سایر حملات سایبری محافظت می کند.کاهش حجم کاری واحد فناوری اطلاعاتهر بار که یک سیاست امنیتی به روز رسانی می شود، تمام مجوزهای دسترسی کاربر در سراسر سازمان به سرعت قابل تغییر است. همچنین سامانه IAM تعداد تیکت های ارسالی به بخش پشتیانی جهت تنظیم مجدد رمز عبور را کاهش می دهد.بهبود تجربه کاربریبرای دسترسی به چندین سامانه تحت SSO نیازی به وارد کردن چندین رمزعبور نیست. همچنین در صورت استفاده از بیومتریک یا کارت های هوشمند، کاربران دیگر نیاز به به خاطر سپردن رمزعبورهای پیچیده ندارند.افزایش بهره وری پیمانکارانسازمان ها با استفاده از IAM می توانند امکان دسترسی امن پیمانکاران را به شبکه داخلی خود فراهم سازند.منبع: آتین zohresadeghpoor zohresadeghpoor Tue, 25 Aug 2020 12:02:03 +0430