Dubai, UAE, 12
July 2017: Whenever a business considers the
security measures it can implement, three options always crop up: antivirus on
endpoints and servers to detect and eliminate as many threats as possible; backups to ensure that any data lost in an
incident such as a ransomware attack can be recovered; and device encryption to
prevent confidential data from being obtained by attackers.
However,
these are not the only options available.
The problem
with passwords
One such
option, readily available today, has not yet received the attention it
deserves, but is nevertheless becoming increasingly necessary. It is known as
two-factor authentication (2FA), and is an ideal solution for helping to
protect a large number of online services if the access credentials of a
business are compromised.
Let’s face
it, no matter how many times we try to drum home the importance of creating
robust passwords, the majority of users will only be able to remember a small
number of them (and opt for easy to remember passwords).
This is why it is
necessary to integrate a new layer of security, which is where 2FA comes into
play. While individuals are using it more frequently, and at an increasing
rate, it remains an underutilized security measure in the corporate sector.
No-one wants social
network accounts, personal email, or gaming libraries stored on existing
distribution platforms that can be accessed without permission, which is why we
have seen a steady increase in the use of 2FA by end users, with mobile devices
being the most popular choice to use as a secondary identification device.
In the business world,
however, most users who connect to a corporate network via VPN or access their
work email accounts remotely, are still doing so by simply authenticating with
a username and password. For many years, this security measure has proven to be
ineffective on its own, which is mostly down to users’ shortcomings in managing
their passwords.
So when unauthorized
access to confidential business information is as simple as waiting for a user
to access the corporate network remotely or work email via an unsecured
connection, it means that something is being done incorrectly and, worse still,
that the relevant measures to prevent this have not been implemented.
Enter two-factor
authentication (2FA)
Using a single data item
to authenticate to a system is practical, but not the most secure. To prevent
data theft or leakage, applications have been developed to provide two-factor
authentication. These applications are easy to use and add an additional layer
of security to prevent the theft or leakage of credentials resulting from stolen
sensitive information or unauthorized access to a company’s internal network.
But despite their ease of
use, very few businesses have implemented two-factor authentication. One of the
main reasons is most likely being unaware of this security measure, which is
something that should be resolved by an awareness campaign to comply with the
European Union’s new General Data Protection Regulation (GDPR). Fortunately, it
not only affects businesses in that area, but also those who store the data of
users from the the European Union.
Systems with an
implemented 2FA solution vary, but normally an automatic SMS message or
application that generates access codes is used. Once the password has been
entered, the system will request this code and, in some systems, an application
(separate from the web browser) is used to enter the code.
Two-factor authentication
systems in conjunction with the traditional password system are much more
secure than simply using credentials. Many of the attacks that were made public
in recent months (check Have I been Pwned?) could have been prevented if a
two-factor authentication system were in place. Even if attackers had managed
to infect a computer and steal a password, they would not have been able to
access the account associated with it, as they would not have had the access
code.
Despite this,
implementation of this security measure remains low.
What is the cost of
implementing 2FA for a business?
Just like the many
antivirus security solutions available, there is a lot on offer and something
to suit all budgets. However, instead of thinking about the cost of
implementing a 2FA solution, what we really need to think about is the cost of
not implementing a 2FA solution.
It is well worth
implementing these systems if you want to keep corporate information storage
accounts safe. Two-factor authentication makes it difficult (but not
impossible) for an unauthorized third-party to access all kinds of services,
such as Outlook Web Access.
It is not necessary to
implement 2FA for all accounts with admin rights, just those in which
confidential information is stored, to avoid theft and also possible
administrative fines. Keep in mind that this system, while not infallible,
offers an additional layer of security that many criminals do not even try to
get past. Therefore, a business that does not implement 2FA will be more likely
to be attacked than one that does.
Conclusion
Regardless of the size of
your business, two-factor authentication is a layer of security that should be
considered, especially for shared resources and for employees who access their
corporate networks remotely.
A well-implemented 2FA
solution can also boost telecommuting and secure employee profiles while
roaming, increasing productivity and minimizing risks.
المصادقة ذات العاملين: إجراء أمني لا تستغلّه الشركات بشكل كامل
دبي، دولة الإمارات العربية المتحدة؛ 12 يوليو 2017: كلما فكرت إحدى الشركات بالتدابير الأمنية ممكنة التطبيق، تظهر ثلاثة خيارات: برنامج مكافحة الفيروسات في النقاط النهائية والمخدّمات للكشف والقضاء على أكبر عدد ممكن من التهديدات؛ وعمليات النسخ الاحتياطي لضمان إمكانية استرداد أي بيانات مفقودة جراء حوادث مثل هجمات برنامج الفدية الخبيثة ’رانسوم وير‘؛ وتشفير الجهاز لمنع المهاجمين من الحصول على البيانات السرية.
ومع ذلك، فإنها ليست الخيارات الوحيدة المتاحة.
المشكلة مع كلمات المرور
لم يتلق مثل هذا الخيار المتاح الاهتمام الذي يستحقه بعد، ولكنه تحول إلى ضرورة متزايدة الأهمية. ويعرف هذا الخيار باسم المصادقة ذات العاملين (2FA)، ويعتبر الحل الأمثل للمساعدة في حماية عدد كبير من الخدمات عبر الإنترنت في حال تعرضت بيانات اعتماد الوصول الخاصة بإحدى الشركات للخطر.
دعونا نواجه الأمر؛ بغض النظر عن عدد المرات التي حاولنا فيها إبراز أهمية إنشاء كلمات مرور قوية، تعجز الغالبية العظمى من المستخدمين عن تذكر سوى عدد قليل فقط من كلمات المرور تلك (مما سيدفعهم لاختيار كلمات المرور التي يسهل تذكرها).
هذا هو السبب الذي يبرز أهمية دمج طبقة أمنية جديدة، وهنا يأتي دور المصادقة ذات العاملين. وبالرغم من استخدامها المتكرر والمتزايد عبر الأفراد، إلا أنها ما زالت من التدابير الأمنية غير المستغلة كلياً في قطاع الشركات.
لا أحد منا يود إتاحة إمكانية الوصول بدون إذن إلى حساباته على مواقع التواصل الاجتماعي أو البريد الإلكتروني الشخصي أو مكتبات الألعاب المخزنة على منصات توزيع حالية؛ وهذا هو السبب الذي أدى إلى زيادة مطردة في اعتماد المستخدمين النهائيين على المصادقة ذات العاملين، بحيث أصبحت الأجهزة المحمولة هي الخيار الأكثر شعبية للاستخدام كجهاز تعرّف ثانوي على الهوية.
وفي عالم الأعمال والشركات، ما زالت المصادقة بالاعتماد على اسم المستخدم وكلمة المرور الأسلوب الذي يتبعه معظم المستخدمين الذين يتصلون بشبكة الشركة عبر بروتوكول الشبكة الخاصة الافتراضية أو يدخلون إلى حسابات بريدهم الإلكتروني الخاص بالعمل عن بعد. ولسنوات عديدة، أثبت هذا التدبير الأمني عدم كفايته وحيداً، فضلاً عن كونه عرضة للعيوب التي يقترفها المستخدمون في إدارة كلمات المرور الخاصة بهم.
لذلك، وعندما يكون الترخيص بالمرور إلى المعلومات التجارية السرية للشركة ببساطة انتظار المستخدم للوصول إلى الشبكة عن بعد أو البريد الإلكتروني الخاص بالعمل عبر اتصال غير آمن، فإن ذلك يعني أن شيئاً ما يجري بشكل غير صحيح، والأسوأ من ذلك، أن التدابير ذات الصلة لمنع مثل هذه العمليات لم يتم تطبيقها.
إدخال المصادقة ذات العاملين (2FA)
يعتبر استخدام عنصر بيانات مفرد لترخيص الوصول إلى نظام أسلوباً عملياً، ولكنه ليس الأكثر أماناً. ولمنع سرقة البيانات أو اختراقها، تم تطوير التطبيقات لتوفير عملية مصادقة ذات عاملين. وتتسم هذه التطبيقات بسهولة استخدامها وتضيف طبقة أمنية إضافية لمنع سرقة أو اختراق وثائق التفويض الناتجة عن المعلومات الحساسة المسروقة أو الوصول غير المصرّح به إلى الشبكة الداخلية للشركة.
وعلى الرغم من سهولة استخدامها، فإن عدداً قليلاً فقط من الشركات اعتمدت على المصادقة ذات العاملين. وقد يكون عدم إدراك هذا التدبير الأمني واحداً من بين الأسباب الرئيسية لذلك، وهو أمر ينبغي حله عبر حملة توعية للالتزام بلوائح حماية البيانات العامة. ولحسن الحظ، فإن ذلك لا يؤثر على الشركات في هذا المجال ولكن على تلك التي تقوم بتخزين بيانات المستخدمين من الاتحاد الأوروبي.
وتختلف الأنظمة التي تحتوي على حل المصادقة ذات العاملين، ولكن عادة ما تستخدم الرسائل النصية القصيرة التلقائية أو التطبيقات التي تقوم بإنشاء رموز وصول. وبمجرد إدخال كلمة المرور يطلب النظام هذا الرمز، وفي بعض الأنظمة، تستخدم إحدى التطبيقات (منفصلة عن متصفح الإنترنت) لإدخال الرمز. وتعتبر نظم المصادقة ذات العاملين، بالإضافة إلى النظام التقليدي لكلمات المرور، أكثر أماناً من مجرد استخدام مصادقات الاعتماد. وكان بالإمكان تجنب العديد من الهجمات التي أعلن عنها في الأشهر القليلة الماضية (تحقق من ’هل تعرّضت للاختراق؟) فيما لو تم تطبيق نظام مصادقة من عاملين. وحتى إذا استطاع المهاجمون إصابة جهاز الكمبيوتر وسرقة كلمة المرور، فإنهم لن يتمكنوا من الوصول إلى الحساب المرتبط به نظراً لحاجتهم إلى رمز الوصول.
وبالرغم من ذلك، ما يزال مستوى تطبيق هذا التدبير الأمني منخفضاً.
ما هي التكاليف المؤسسية لتطبيق المصادقة ذات العاملين
كما هي الحال مع العديد من الحلول المتاحة للحماية من الفيروسات، توجد الكثير من العروض التي تناسب جميع الميزانيات. ومع ذلك، وبدلاً من التفكير في تكلفة تطبيق المصادقة ذات العاملين، فإن ما نحتاج إليه حقاً هو التفكير بتكلفة عدم تطبيق المصادقة ذات العاملين.
ومن المفيد تطبيق هذه الأنظمة إذا كنتم ترغبون بالحفاظ على التخزين الآمن لمعلومات الشركات. وتسهم المصادقة ذات العاملين في زيادة صعوبة قدرة الأطراف الثالثة غير المصرّح لهم بالوصول إلى جميع أنواع الخدمات مثل ’آوتلوك ويب أكسيس‘ – على الرغم من عدم استحالة هذا الأمر.
وليس بالضرورة تطبيق المصادقة ذات العاملين على كافة الحسابات التي تتمتع بحقوق المدير المشرف، وإنما فقط تلك التي يتم فيها تخزين المعلومات السرية، وذلك لتجنب السرقة والغرامات الإدارية المحتملة. وينبغي أن نضع في اعتبارنا أن هذا النظام غير منيع كلياً، ولكنه يتيح طبقة أمنية إضافية لا يحاول العديد من المجرمين تخطيها. وبالتالي، فإن الشركات التي لا تطبق المصادقة ذات العاملين ستكون أكثر عرضة للهجمات بالمقارنة مع الشركات الأخرى التي تطبق هذا النوع من المصادقات.
خلاصة
بغض النظر عن حجم شركتك، تعتبر المصادقة ذات العاملين طبقة أمنية ينبغي أخذها بعين الاعتبار، وخاصة بالنسبة للموارد المشتركة والموظفين الذين يدخلون عن بعد إلى شبكات الشركات التي يعملون فيها.
ويمكن أن يلعب التطبيق الجيد لحل المصادقة ذات العاملين دوراً في تعزيز العمل عن بعد وتأمين الصفحات الشخصية للموظفين أثناء التجوال، وزيادة الإنتاجية والحد من المخاطر.
