ဒါဆို စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းနှင့် စကားဝှက်များ ဘာဖြစ်သွားမလဲ။ Javelin State of Strong Authentication Report ၏ အပိုင်းနှစ်

မကြာသေးမီက သုတေသနကုမ္ပဏီ Javelin Strategy & Research က “The State of Strong Authentication 2019” အစီရင်ခံစာကို ထုတ်ပြန်ခဲ့သည်။ ၎င်း၏ဖန်တီးသူများသည် ကော်ပိုရိတ်ပတ်၀န်းကျင်များနှင့် စားသုံးသူအပလီကေးရှင်းများတွင် မည်သည့်အထောက်အထားစိစစ်ခြင်းနည်းလမ်းများကို အသုံးပြုကြသည်အကြောင်း အချက်အလက်များကို စုဆောင်းကာ ခိုင်မာသောအထောက်အထားစိစစ်ခြင်း၏အနာဂတ်အတွက် စိတ်ဝင်စားဖွယ်ကောင်းသော ကောက်ချက်ချမှုများလည်း ပြုလုပ်ခဲ့သည်။

အစီရင်ခံစာရေးသားသူများ၏နိဂုံးချုပ်နှင့်ကျွန်ုပ်တို့သည်ပထမအပိုင်းကိုဘာသာပြန်ဆိုသည်။ Habre တွင်ထုတ်ဝေပြီးဖြစ်သည်။. ယခု ကျွန်ုပ်တို့သည် သင့်အာရုံကို ဒေတာနှင့် ဂရပ်များဖြင့် ဒုတိယပိုင်းကို တင်ပြပါသည်။

ဘာသာပြန်သူထံမှ

ပထမအပိုင်းမှ နာမည်တူ ဘလောက်တစ်ခုလုံးကို လုံး၀ကူးယူမည်မဟုတ်သော်လည်း စာပိုဒ်တစ်ပိုဒ်ကို ပွားနေပါမည်။

ကိန်းဂဏန်းများနှင့် အချက်အလက်အားလုံးကို အနည်းငယ်မျှ ပြောင်းလဲမှုမရှိဘဲ တင်ပြထားပြီး ၎င်းတို့နှင့် သဘောမတူပါက ဘာသာပြန်သူနှင့် မဆွေးနွေးဘဲ အစီရင်ခံစာရေးသားသူများနှင့် ငြင်းခုံခြင်းသည် ပိုကောင်းပါသည်။ ဤသည်မှာ ကျွန်ုပ်၏ မှတ်ချက်များဖြစ်သည် (ကိုးကားချက်များအဖြစ် ဖော်ပြထားပြီး၊ စာသားတွင် အမှတ်အသားပြုထားသည်။ အီတလီ) ကျွန်ုပ်၏တန်ဖိုးသည် အဆုံးအဖြတ်ပေးသော အဆုံးအဖြတ်တစ်ခုဖြစ်ပြီး ၎င်းတို့တစ်ဦးစီ (ဘာသာပြန်ခြင်း၏ အရည်အသွေးအပေါ်) ကိုလည်း ဝမ်းမြောက်စွာ ငြင်းခုံနိုင်ပါသည်။

အသုံးပြုသူအထောက်အထားပြခြင်း။

2017 ခုနှစ်မှစတင်၍ သုံးစွဲသူအပလီကေးရှင်းများတွင် ခိုင်မာသောစစ်မှန်ကြောင်းအထောက်အထားအသုံးပြုမှုမှာ မိုဘိုင်းစက်ပစ္စည်းများတွင် cryptographic စစ်မှန်ကြောင်းအထောက်အထားပြသခြင်းနည်းလမ်းများရရှိနိုင်ခြင်းကြောင့် ကုမ္ပဏီအများစုသည် အင်တာနက်အပလီကေးရှင်းများအတွက် ခိုင်ခံ့သောစစ်မှန်ကြောင်းအထောက်အထားပြခြင်းကိုအသုံးပြုသော်လည်း သိသိသာသာကြီးထွားလာခဲ့သည်။

ယေဘုယျအားဖြင့်၊ ၎င်းတို့၏ လုပ်ငန်းတွင် ခိုင်မာသော စစ်မှန်ကြောင်းအထောက်အထားကို အသုံးပြုသည့် ကုမ္ပဏီများ၏ ရာခိုင်နှုန်းသည် 5 ခုနှစ်တွင် 2017% မှ 16 ခုနှစ်တွင် 2018% သို့ သုံးဆတိုးလာသည် (ပုံ 3)။

ဝဘ်အက်ပလီကေးရှင်းများအတွက် ခိုင်မာသော စစ်မှန်ကြောင်းအထောက်အထားကို အသုံးပြုရန် အကန့်အသတ်ရှိနေဆဲဖြစ်သည် (အချို့သောဘရောက်ဆာများ၏ ဗားရှင်းအသစ်များကသာ cryptographic tokens များနှင့် အပြန်အလှန်ဆက်သွယ်မှုကို ပံ့ပိုးပေးနိုင်သောကြောင့်၊ သို့သော် ယင်းကဲ့သို့သော ဆော့ဖ်ဝဲကို ထပ်လောင်းထည့်သွင်းခြင်းဖြင့် ဤပြဿနာကို ဖြေရှင်းနိုင်မည်ဖြစ်သည်။ Rutoken ပလပ်အင်) ကုမ္ပဏီအများအပြားသည် တစ်ကြိမ်သုံးစကားဝှက်များထုတ်ပေးသည့် မိုဘိုင်းစက်ပစ္စည်းများအတွက် ပရိုဂရမ်များကဲ့သို့သော အွန်လိုင်းအထောက်အထားစိစစ်ခြင်းအတွက် အခြားနည်းလမ်းများကို အသုံးပြုကြသည်။

ဟာ့ဒ်ဝဲ လျှို့ဝှက်ရေးဆိုင်ရာ သော့များ (ဤနေရာတွင် ကျွန်ုပ်တို့သည် FIDO စံနှုန်းများနှင့် ကိုက်ညီသူများကိုသာ ဆိုလိုပါသည်။Google၊ Feitian၊ One Span၊ နှင့် Yubico တို့မှ ကမ်းလှမ်းထားသည့်အရာများဖြစ်သည့် ဆော့ဖ်ဝဲကို ဒက်စတော့ကွန်ပျူတာများနှင့် လက်ပ်တော့များတွင် ထည့်သွင်းခြင်းမပြုဘဲ ခိုင်မာသောအထောက်အထားစိစစ်ခြင်းအတွက် သုံးနိုင်သည် (ဘရောက်ဆာအများစုသည် FIDO မှ WebAuthn စံကို ပံ့ပိုးထားပြီးဖြစ်သောကြောင့် ဖြစ်သည်။) ဒါပေမယ့် ကုမ္ပဏီတွေရဲ့ 3% ကသာ သူတို့ရဲ့ သုံးစွဲသူတွေကို လော့ဂ်အင်ဝင်ဖို့ ဒီအင်္ဂါရပ်ကို အသုံးပြုပါတယ်။

ကုဒ်ဝှက်ထားသော တိုကင်များကို နှိုင်းယှဉ်ခြင်း (ကဲ့သို့သော Rutoken EDS PKI) နှင့် FIDO စံနှုန်းများအတိုင်း လုပ်ဆောင်နေသော လျှို့ဝှက်သော့များသည် ဤအစီရင်ခံစာ၏ အတိုင်းအတာထက် ကျော်လွန်သော်လည်း ၎င်းနှင့်ပတ်သက်သော ကျွန်ုပ်၏ မှတ်ချက်များလည်းရှိသည်။ အတိုချုပ်အားဖြင့်၊ တိုကင်အမျိုးအစားနှစ်ခုစလုံးသည် အလားတူ algorithms နှင့် လုပ်ဆောင်မှုအခြေခံမူများကို အသုံးပြုပါသည်။ FIDO တိုကင်များကို လက်ရှိတွင် ဘရောက်ဆာရောင်းချသူများမှ ပိုမိုကောင်းမွန်စွာ ပံ့ပိုးပေးနိုင်သော်လည်း၊ ၎င်းသည် မကြာမီတွင် ဘရောက်ဆာများ ပိုမိုပံ့ပိုးပေးသောကြောင့် ပြောင်းလဲသွားမည်ဖြစ်သည်။ ဝဘ် USB API. သို့သော် classic cryptographic တိုကင်များကို PIN ကုဒ်ဖြင့် ကာကွယ်ထားပြီး၊ အီလက်ထရွန်းနစ်စာရွက်စာတမ်းများကို လက်မှတ်ရေးထိုးနိုင်ပြီး Windows (မည်သည့်ဗားရှင်းမဆို)၊ Linux နှင့် Mac OS X တွင် အသုံးပြုနိုင်သည့် 2FA နှင့် အီလက်ထရွန်းနစ်ဆိုင်ရာ ပရိုဂရမ်ဘာသာစကားအမျိုးမျိုးအတွက် API များပါရှိသည်။ ဒက်စ်တော့၊ မိုဘိုင်းနှင့် ဝဘ်အပလီကေးရှင်းများတွင် လက်မှတ်နှင့် ရုရှားနိုင်ငံထုတ် တိုကင်များသည် ရုရှား GOST အယ်လဂိုရီသမ်များကို ပံ့ပိုးပေးသည်။ မည်သို့ပင်ဆိုစေကာမူ၊ မည်သည့်စံနှုန်းဖြင့် ဖန်တီးထားသည်ဖြစ်စေ ကုဒ်ဝှက်သင်္ကေတ အမှတ်အသားသည် ယုံကြည်စိတ်ချရဆုံးနှင့် အဆင်ပြေဆုံး အထောက်အထားစိစစ်ရေးနည်းလမ်းဖြစ်သည်။

လုံခြုံရေးကို ကျော်လွန်ခြင်း- ခိုင်မာသောအထောက်အထားစိစစ်ခြင်း၏ အခြားအကျိုးကျေးဇူးများ

ခိုင်မာသော စစ်မှန်ကြောင်းအထောက်အထားကို အသုံးပြုခြင်းသည် လုပ်ငန်းစတိုးဆိုင်များ၏ ဒေတာအရေးကြီးမှုနှင့် နီးကပ်စွာ ဆက်စပ်နေသည်မှာ အံ့သြစရာမဟုတ်ပါ။ လူမှုဖူလုံရေးနံပါတ်များ သို့မဟုတ် ကိုယ်ရေးကိုယ်တာကျန်းမာရေးအချက်အလက်များ (PHI) ကဲ့သို့သော အရေးကြီးသော ကိုယ်ရေးကိုယ်တာ အချက်အလက် (PII) ကို သိမ်းဆည်းသည့် ကုမ္ပဏီများသည် အကြီးမားဆုံး ဥပဒေနှင့် စည်းမျဉ်းဆိုင်ရာ ဖိအားများနှင့် ရင်ဆိုင်နေရသည်။ ၎င်းတို့သည် ခိုင်မာသော စစ်မှန်ကြောင်း အတည်ပြုခြင်း၏ အပြင်းထန်ဆုံး ထောက်ခံအားပေးသည့် ကုမ္ပဏီများဖြစ်သည်။ ၎င်းတို့၏ အထိခိုက်မခံနိုင်ဆုံးသော အချက်အလက်နှင့် ယုံကြည်စိတ်ချရသော အဖွဲ့အစည်းများသည် ခိုင်မာသောအထောက်အထားစိစစ်ရေးနည်းလမ်းများကို အသုံးပြုကြောင်း သိရှိလိုသော ဖောက်သည်များ၏ စီးပွားရေးလုပ်ငန်းများအပေါ် ဖိအားများ တိုးမြင့်လာပါသည်။ ထိလွယ်ရှလွယ် PII သို့မဟုတ် PHI ကို ကိုင်တွယ်သော အဖွဲ့အစည်းများသည် သုံးစွဲသူများ၏ အဆက်အသွယ် အချက်အလက်များကိုသာ သိမ်းဆည်းထားသည့် အဖွဲ့အစည်းများထက် ခိုင်မာသော စစ်မှန်ကြောင်းအထောက်အထားကို နှစ်ဆပိုမိုအသုံးပြုရန် အလားအလာ (ပုံ 7)။

ကံမကောင်းစွာဖြင့်၊ ကုမ္ပဏီများသည် ခိုင်မာသောအထောက်အထားစိစစ်ခြင်းနည်းလမ်းများကို အကောင်အထည်ဖေါ်ရန် ဆန္ဒမရှိသေးပါ။ လုပ်ငန်းဆုံးဖြတ်ချက်ချမှတ်သူများ၏ သုံးပုံတစ်ပုံနီးပါးသည် ပုံ 9 တွင်ဖော်ပြထားသောအားလုံးကြားတွင်အထိရောက်ဆုံးစစ်မှန်ကြောင်းအထောက်အထားပြနည်းလမ်းကိုစကားဝှက်များကိုစဉ်းစားကြပြီး 43% သည်စကားဝှက်များကိုအရိုးရှင်းဆုံးစစ်မှန်ကြောင်းအထောက်အထားပြနည်းလမ်းအဖြစ်သတ်မှတ်သည်။

ဤဇယားသည် ကမ္ဘာတစ်ဝှမ်းရှိ လုပ်ငန်းသုံး အပလီကေးရှင်း developer များသည် အတူတူပင်ဖြစ်ကြောင်း ကျွန်ုပ်တို့အား သက်သေပြနေပါသည်... အဆင့်မြင့် အကောင့်ဝင်ရောက်ခြင်း လုံခြုံရေး ယန္တရားများကို အကောင်အထည်ဖော်ခြင်း၏ အကျိုးကျေးဇူးကို မမြင်ဘဲ တူညီသော အထင်အမြင်လွဲမှားမှုများကို မျှဝေပါသည်။ စည်းကမ်းထိန်းသိမ်းရေးအဖွဲ့တွေရဲ့ လုပ်ဆောင်ချက်တွေကသာ အခြေအနေတွေကို ပြောင်းလဲစေနိုင်ပါတယ်။

စကားဝှက်များကို မထိရအောင်။ သို့သော် လုံခြုံရေးမေးခွန်းများသည် ကုဒ်ဝှက်တိုကင်များထက် ပိုမိုလုံခြုံသည်ဟု ယုံကြည်ရန် သင်ဘာကို ယုံကြည်ရမည်နည်း။ ရိုးရှင်းစွာရွေးချယ်ထားသည့် ထိန်းချုပ်မေးခွန်းများ၏ ထိရောက်မှုမှာ ခန့်မှန်းချေ 15% ရှိပြီး ဟက်ကင်းနိုင်သော တိုကင်များမဟုတ်ပါ - 10 သာဖြစ်သည်။ အနည်းဆုံးတော့ "Illusion of Deception" ရုပ်ရှင်ကို ကြည့်ပြီး ရယ်မောဖွယ်ပုံစံဖြင့် မှော်ဆရာများ မည်မျှ လွယ်ကူကြောင်း ပြသထားသည်၊ စီးပွားရေးသမား - လူလိမ်လူလိမ်တစ်ယောက်ဆီက လိုအပ်တဲ့အရာအားလုံးကို လှည့်စားပြီး ပိုက်ဆံမပေးဘဲ ထားခဲ့တယ်။

ပြီးတော့ သုံးစွဲသူအပလီကေးရှင်းတွေမှာ လုံခြုံရေးယန္တရားတွေအတွက် တာဝန်ရှိတဲ့သူတွေရဲ့ အရည်အချင်းတွေအကြောင်း အများကြီးပြောထားတဲ့ နောက်ထပ်အချက်တစ်ခုပါ။ ၎င်းတို့၏နားလည်မှုအရ၊ စကားဝှက်တစ်ခုထည့်သွင်းခြင်းလုပ်ငန်းစဉ်သည် ကုဒ်ဝှက်တိုကင်ကိုအသုံးပြု၍ စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းထက် ပိုမိုရိုးရှင်းသောလုပ်ဆောင်မှုတစ်ခုဖြစ်သည်။ တိုကင်ကို USB အပေါက်သို့ ချိတ်ဆက်ပြီး ရိုးရှင်းသော PIN ကုဒ်ကို ထည့်ရန် ပိုမိုလွယ်ကူသည်ဟု ထင်ရသော်လည်း၊

အရေးကြီးသည်မှာ၊ ခိုင်မာသောစစ်မှန်ကြောင်းအထောက်အထားပြသခြင်းကို အကောင်အထည်ဖော်ခြင်းသည် လုပ်ငန်းများကို ၎င်းတို့၏ဖောက်သည်များ၏ အမှန်တကယ်လိုအပ်ချက်များကိုဖြည့်ဆည်းရန် လိမ်လည်လှည့်ဖြားသည့်အစီအစဉ်များကို ပိတ်ဆို့ရန် လိုအပ်သော စစ်မှန်ကြောင်းအထောက်အထားပြနည်းလမ်းများနှင့် လုပ်ငန်းလည်ပတ်မှုစည်းမျဉ်းများအကြောင်း စဉ်းစားခြင်းမှ ဝေးကွာသွားစေနိုင်သည်။

စည်းမျဥ်းစည်းကမ်းလိုက်နာမှုသည် ခိုင်မာသောစစ်မှန်ကြောင်းအထောက်အထားကိုအသုံးပြုသည့်စီးပွားရေးလုပ်ငန်းနှစ်ခုလုံးအတွက်သင့်လျော်သောထိပ်တန်းဦးစားပေးတစ်ခုဖြစ်သော်လည်း၊ ခိုင်မာသောစစ်မှန်ကြောင်းအထောက်အထားကိုအသုံးပြုထားပြီးသောကုမ္ပဏီများသည် ဖောက်သည်၏သစ္စာစောင့်သိမှုကိုတိုးမြှင့်ခြင်းသည် စစ်မှန်ကြောင်းစစ်ဆေးခြင်းအားအကဲဖြတ်သည့်အခါတွင်အရေးကြီးဆုံးမက်ထရစ်တစ်ခုဖြစ်သည်ဟုဆိုနိုင်ဖွယ်ရာရှိသည်။ နည်းလမ်း။ (18% vs. 12%) (ပုံ 10)။

လုပ်ငန်းအထောက်အထားစိစစ်ခြင်း။

2017 ခုနှစ်မှစ၍ လုပ်ငန်းများတွင် ခိုင်မာသော စစ်မှန်ကြောင်းအတည်ပြုခြင်းကို လက်ခံကျင့်သုံးမှုသည် ကြီးထွားလာသော်လည်း စားသုံးသူအပလီကေးရှင်းများအတွက်ထက် အနည်းငယ်နိမ့်ကျသောနှုန်းဖြင့် လုပ်ဆောင်ခဲ့သည်။ ခိုင်မာသောအထောက်အထားစိစစ်ခြင်းကိုအသုံးပြုသည့်လုပ်ငန်းများ၏ဝေစုသည် 7 တွင် 2017% မှ 12 ခုနှစ်တွင် 2018% သို့တိုးလာခဲ့သည်။ သုံးစွဲသူအပလီကေးရှင်းများနှင့်မတူဘဲ၊ လုပ်ငန်းပတ်ဝန်းကျင်တွင်၊ စကားဝှက်မဟုတ်သောအထောက်အထားစိစစ်ခြင်းနည်းလမ်းများကိုအသုံးပြုခြင်းသည် မိုဘိုင်းကိရိယာများထက်ဝက်ဘ်အပလီကေးရှင်းများတွင်အတန်ငယ်ပိုမိုအဖြစ်များပါသည်။ လုပ်ငန်းများ၏ ထက်ဝက်ခန့်သည် လော့ဂ်အင်ဝင်သောအခါတွင် ၎င်းတို့၏အသုံးပြုသူများကို စစ်မှန်ကြောင်းသက်သေပြရန် သုံးစွဲသူအမည်များနှင့် စကားဝှက်များကိုသာ အသုံးပြုကြောင်း တင်ပြကြပြီး ငါးဦးတွင် တစ်ဦး (၂၂%) သည် အရေးကြီးသောဒေတာကို ဝင်ရောက်သည့်အခါ ဒုတိယစစ်မှန်ကြောင်းအထောက်အထားအတွက် စကားဝှက်များကိုသာ မှီခိုနေရသည် (ဆိုလိုသည်မှာ၊ အသုံးပြုသူသည် ပိုမိုရိုးရှင်းသော စစ်မှန်ကြောင်းအထောက်အထားပြနည်းလမ်းကို အသုံးပြု၍ အပလီကေးရှင်းထဲသို့ ဦးစွာဝင်ရောက်ပြီး အရေးကြီးသောအချက်အလက်များကို ရယူလိုပါက၊ အခြားစစ်မှန်ကြောင်းအထောက်အထားပြခြင်းလုပ်ငန်းစဉ်ကို လုပ်ဆောင်ရမည်ဖြစ်ပြီး၊ ဤတစ်ကြိမ်တွင် အများအားဖြင့် ပိုမိုယုံကြည်စိတ်ချရသောနည်းလမ်းကို အသုံးပြုပါသည်။).

အစီရင်ခံစာသည် လည်ပတ်မှုစနစ်များ Windows၊ Linux နှင့် Mac OS X တွင် two-factor authentication အတွက် cryptographic tokens များကို ထည့်သွင်းစဉ်းစားခြင်းမပြုကြောင်း သင်နားလည်ရန်လိုအပ်ပါသည်။ ၎င်းသည် 2FA ကို လက်ရှိတွင် အကျယ်ပြန့်ဆုံးအသုံးပြုမှုဖြစ်သည်။ (ဖြစ်ချင်တော့၊ FIDO စံနှုန်းအရ ဖန်တီးထားသော တိုကင်များသည် 2FA ကို Windows 10 အတွက်သာ အကောင်အထည်ဖော်နိုင်သည်)။

ထို့အပြင်၊ အကယ်၍ 2FA ကို အွန်လိုင်းနှင့် မိုဘိုင်းအပလီကေးရှင်းများတွင် အကောင်အထည်ဖော်ရန် ဤအက်ပ်လီကေးရှင်းများ၏ ပြုပြင်မွမ်းမံမှုအပါအဝင် အစီအမံအစုံလိုအပ်ပါက၊ ထို့နောက် Windows တွင် 2FA ကို အကောင်အထည်ဖော်ရန်အတွက် သင်သည် PKI (ဥပမာ၊ Microsoft အသိအမှတ်ပြုဆာဗာအပေါ်အခြေခံ၍) နှင့် စစ်မှန်ကြောင်းအထောက်အထားစိစစ်ခြင်းဆိုင်ရာ မူဝါဒများကိုသာ ပြင်ဆင်ရန်လိုအပ်ပါသည်။ အေဒီတွင်

အလုပ် PC နှင့် ဒိုမိန်းသို့ လော့ဂ်အင်ကို ကာကွယ်ခြင်းသည် ကော်ပိုရိတ်ဒေတာကို ကာကွယ်ရန် အရေးကြီးသောအစိတ်အပိုင်းဖြစ်သောကြောင့်၊ two-factor authentication ကို အကောင်အထည်ဖော်ခြင်းသည် ပို၍ပို၍ ဘုံဖြစ်လာပါသည်။

အကောင့်ဝင်ရောက်သည့်အခါ အသုံးပြုသူများအား စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းအတွက် နောက်ထပ်အသုံးအများဆုံးနည်းလမ်းနှစ်ခုမှာ သီးခြားအက်ပ်တစ်ခုမှ ပေးဆောင်သည့် တစ်ကြိမ်စကားဝှက်များ (စီးပွားရေးလုပ်ငန်းများ၏ 13%) နှင့် SMS မှတစ်ဆင့် ပေးပို့သည့် တစ်ခါသုံးစကားဝှက်များ (12%) ဖြစ်သည်။ နည်းလမ်းနှစ်ခုစလုံး၏အသုံးပြုမှုရာခိုင်နှုန်းသည် အလွန်ဆင်တူသော်လည်း၊ OTP SMS ကို ခွင့်ပြုချက်အဆင့်ကို တိုးမြှင့်ရန် (ကုမ္ပဏီများ၏ 24% တွင်) အများဆုံးအသုံးပြုလေ့ရှိသည်။ ပုံ (၁၂)။

လုပ်ငန်းအတွင်း ခိုင်မာသောအထောက်အထားစိစစ်ခြင်းအသုံးပြုမှု မြင့်တက်လာခြင်းသည် လုပ်ငန်းဆိုင်ရာအထောက်အထားစီမံခန့်ခွဲမှုပလပ်ဖောင်းများတွင် ကုဒ်ဝှက်အထောက်အထားစိစစ်ခြင်းဆိုင်ရာ အကောင်အထည်ဖော်မှုများ တိုးမြင့်လာခြင်းကြောင့် ဖြစ်နိုင်သည် (တစ်နည်းအားဖြင့်၊ လုပ်ငန်း SSO နှင့် IAM စနစ်များသည် တိုကင်များကို အသုံးပြုရန် သင်ယူခဲ့သည်)။

ဝန်ထမ်းများနှင့် ကန်ထရိုက်တာများ၏ မိုဘိုင်းအထောက်အထားစိစစ်ခြင်းအတွက်၊ လုပ်ငန်းများသည် စားသုံးသူအပလီကေးရှင်းများတွင် စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းထက် စကားဝှက်များအပေါ်တွင် ပိုမိုအားကိုးပါသည်။ လုပ်ငန်းများ၏ ထက်ဝက်ကျော် (53%) သည် မိုဘိုင်းကိရိယာမှတဆင့် ကုမ္ပဏီဒေတာထံသို့ အသုံးပြုသူဝင်ရောက်ခွင့်ကို စစ်မှန်ကြောင်းအထောက်အထားပြသောအခါ (ပုံ 13) သည် စကားဝှက်များကို အသုံးပြုပါသည်။

မိုဘိုင်းလ်စက်ပစ္စည်းများတွင် လက်ဗွေအတုများ၊ အသံများ၊ မျက်နှာများနှင့် မျက်ဝန်းအိမ်များ အများအပြားအတွက် မဟုတ်ပါက၊ ဇီဝဗေဒဆိုင်ရာ လုပ်ဆောင်ချက်များ၏ ကြီးမားသော စွမ်းအားကို ယုံကြည်ကြမည်ဖြစ်သည်။ ရှာဖွေရေးအင်ဂျင်မေးခွန်းတစ်ခုသည် ယုံကြည်စိတ်ချရသော biometric စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းနည်းလမ်းရိုးရှင်းစွာမရှိသည်ကိုဖော်ပြလိမ့်မည်။ အမှန်တကယ် တိကျသော အာရုံခံကိရိယာများ ရှိပါသည်၊ သို့သော် ၎င်းတို့သည် အလွန်စျေးကြီးပြီး အရွယ်အစားကြီးမားပြီး စမတ်ဖုန်းများတွင် ထည့်သွင်းမထားပါ။

ထို့ကြောင့်၊ မိုဘိုင်းလ်စက်ပစ္စည်းများတွင် တစ်ခုတည်းသော လုပ်ဆောင်နိုင်သော 2FA နည်းလမ်းမှာ NFC၊ Bluetooth နှင့် USB Type-C ကြားခံများမှတစ်ဆင့် စမတ်ဖုန်းသို့ ချိတ်ဆက်သည့် လျှို့ဝှက်သင်္ကေတတိုကင်များကို အသုံးပြုခြင်းဖြစ်သည်။

ကုမ္ပဏီတစ်ခု၏ဘဏ္ဍာရေးဒေတာကိုကာကွယ်ခြင်းသည် 44 ခုနှစ်မှစ၍ အမြန်ဆန်ဆုံးတိုးတက်မှုဖြင့် စကားဝှက်မဲ့စစ်မှန်ကြောင်းအတည်ပြုခြင်း (2017%) တွင် ရင်းနှီးမြှုပ်နှံခြင်းအတွက် အဓိကအကြောင်းရင်းဖြစ်သည်။ ၎င်းနောက်တွင် ဉာဏပစ္စည်းပိုင်ဆိုင်မှု (40%) နှင့် ဝန်ထမ်း (HR) ဒေတာ (39%) တို့ဖြစ်သည်။ အဘယ်ကြောင့်ဆိုသော် ရှင်းလင်းသည်မှာ - ဤဒေတာအမျိုးအစားများနှင့် ဆက်စပ်တန်ဖိုးကို ကျယ်ကျယ်ပြန့်ပြန့် အသိအမှတ်ပြုထားရုံသာမက ဝန်ထမ်းအနည်းငယ်က ၎င်းတို့နှင့် အလုပ်လုပ်ပါသည်။ ဆိုလိုသည်မှာ၊ အကောင်အထည်ဖော်မှုကုန်ကျစရိတ်သည် ကြီးကြီးမားမားမဟုတ်ပါ၊ ပိုမိုရှုပ်ထွေးသော စစ်မှန်ကြောင်းအထောက်အထားစနစ်ဖြင့် လုပ်ဆောင်ရန် လူအနည်းငယ်သာ လေ့ကျင့်သင်ကြားရန် လိုအပ်ပါသည်။ ဆန့်ကျင်ဘက်အနေနှင့်၊ လုပ်ငန်းဝန်ထမ်းအများစုသည် ပုံမှန်ဝင်ရောက်ကြည့်ရှုနိုင်သည့် ဒေတာအမျိုးအစားများနှင့် စက်ကိရိယာများကို စကားဝှက်များဖြင့်သာ ကာကွယ်ထားဆဲဖြစ်သည်။ လုပ်ငန်းများ၏ လေးပုံတစ်ပုံကသာ ဤပိုင်ဆိုင်မှုများကို စကားဝှက်မရှိသော စစ်မှန်ကြောင်းအထောက်အထားဖြင့် ကာကွယ်ထားသောကြောင့် ဝန်ထမ်းများ၏ စာရွက်စာတမ်းများ၊ အလုပ်ရုံများနှင့် ကော်ပိုရိတ်အီးမေးလ်ပေါ်တယ်များသည် အကြီးမားဆုံးအန္တရာယ်ဖြစ်နိုင်သည့်နေရာများဖြစ်သည်။

ယေဘူယျအားဖြင့်၊ ကော်ပိုရိတ်အီးမေးလ်သည် အလွန်အန္တရာယ်များပြီး ပေါက်ကြားသည့်အရာဖြစ်ပြီး CIO အများစုမှ လျှော့တွက်ထားသည့် ဖြစ်နိုင်ခြေအန္တရာယ်အဆင့်ကို ဆိုသည်။ ဝန်ထမ်းများသည် နေ့စဉ် အီးမေးလ် ဒါဇင်များစွာကို လက်ခံရရှိသောကြောင့် ၎င်းတို့တွင် အနည်းဆုံး ဖြားယောင်းခြင်း (ဆိုလိုသည်မှာ လိမ်လည်လှည့်ဖြားခြင်း) အီးမေးလ်တစ်ခု မပါဝင်ရပါ။ ဤစာကို ကုမ္ပဏီစာလုံးပုံစံဖြင့် ဖော်မတ်လုပ်မည်ဖြစ်သောကြောင့် ဝန်ထမ်းသည် ဤစာပါလင့်ခ်ကို နှိပ်ပါက အဆင်ပြေသွားမည်ဖြစ်သည်။ ဥပမာအားဖြင့်၊ တိုက်ခိုက်ခံရသောစက်ပေါ်သို့ ဗိုင်းရပ်စ်ကို ဒေါင်းလုဒ်ဆွဲခြင်း သို့မဟုတ် တိုက်ခိုက်သူမှ ဖန်တီးထားသည့် စစ်မှန်ကြောင်းအထောက်အထားအတုပုံစံကို ရိုက်ထည့်ခြင်းဖြင့် (လူမှုရေးအင်ဂျင်နီယာမှတစ်ဆင့် စကားဝှက်များ ပေါက်ကြားခြင်းအပါအဝင်) မည်သည့်အရာမဆို ဖြစ်နိုင်သည်။

ဒီလိုအရာတွေမဖြစ်အောင် အီးမေးလ်တွေကို လက်မှတ်ထိုးရပါမယ်။ အဲဒီအခါမှာ တရားဝင်ဝန်ထမ်းက ဖန်တီးထားတဲ့စာနဲ့ တိုက်ခိုက်သူက ဘယ်စာကို ချက်ခြင်းရှင်းရှင်းလင်းလင်း သိနိုင်မလဲ။ ဥပမာ၊ Outlook/Exchange တွင်၊ cryptographic token-based electronic signatures များကို အလွန်လျင်မြန်လွယ်ကူစွာ ဖွင့်ထားပြီး PCs နှင့် Windows domains များတစ်လျှောက် two-factor authentication နှင့် တွဲဖက်အသုံးပြုနိုင်ပါသည်။

လုပ်ငန်းအတွင်း စကားဝှက် စစ်မှန်ကြောင်း သက်သေပြခြင်းကိုသာ အားကိုးသော အမှုဆောင်များအနက် သုံးပုံနှစ်ပုံ (၆၆%) သည် ၎င်းတို့၏ ကုမ္ပဏီမှ ကာကွယ်ရန် လိုအပ်သော သတင်းအချက်အလက် အမျိုးအစားအတွက် စကားဝှက်များ လုံလောက်စွာ လုံခြုံရေး ပေးသည်ဟု ယုံကြည်သောကြောင့် ထိုသို့ လုပ်ဆောင်ကြသည် (ပုံ 66)။

ဒါပေမယ့် ခိုင်မာတဲ့ စစ်မှန်ကြောင်းအထောက်အထားပြနည်းတွေက ပိုအဖြစ်များလာပါတယ်။ အများစုမှာ ၎င်းတို့၏ ရရှိနိုင်မှု တိုးလာခြင်းကြောင့် ဖြစ်သည်။ Identity and Access Management (IAM) စနစ်များ၊ ဘရောက်ဆာများနှင့် လည်ပတ်မှုစနစ်များသည် ကုဒ်ဝှက်တိုကင်များကို အသုံးပြု၍ စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းကို ပံ့ပိုးပေးပါသည်။

ခိုင်မာသော စစ်မှန်ကြောင်းပြသခြင်းတွင် အခြားအားသာချက်တစ်ခုရှိသည်။ စကားဝှက်ကို အသုံးမပြုတော့ဘဲ (ရိုးရှင်းသော PIN ဖြင့် အစားထိုးထားသည်) ဖြစ်သောကြောင့် မေ့သွားသော စကားဝှက်ကို ပြောင်းလဲရန် ဝန်ထမ်းများထံမှ တောင်းဆိုမှုများ မရှိပါ။ ၎င်းသည် လုပ်ငန်း၏ IT ဌာနတွင် ဝန်အား လျော့နည်းစေသည်။

ရလဒ်များနှင့်နိဂုံးချုပ်

1. မန်နေဂျာများသည် မကြာခဏ အကဲဖြတ်ရန် လိုအပ်သော အသိပညာ မရှိပါ။ အစစ်အမှန် အမျိုးမျိုးသော authentication options များ၏ထိရောက်မှု။ ဒါမျိုးတွေကို အားကိုးတတ်ကြတယ်။ ခေတ်မမီတော့ပါ။ စကားဝှက်များနှင့် လုံခြုံရေးမေးခွန်းများကဲ့သို့ လုံခြုံရေးနည်းလမ်းများသည် "အရင်က အလုပ်လုပ်သည်" ဖြစ်သောကြောင့်ဖြစ်သည်။
2. အသုံးပြုသူများသည် ဤအသိပညာရှိသေးသည်။ နည်းသောသူတို့အတွက် အဓိကအချက်က ရိုးရှင်းမှုနှင့်အဆင်ပြေ. ရွေးချယ်ရန် မက်လုံးမရှိသရွေ့ ပိုမိုလုံခြုံသောဖြေရှင်းချက်.
3. စိတ်ကြိုက်အက်ပ်လီကေးရှင်းများကို မကြာခဏတီထွင်သူများ အကြောင်းပြချက်မရှိစကားဝှက်အထောက်အထားစိစစ်ခြင်းအစား two-factor authentication ကိုအကောင်အထည်ဖော်ရန်။ အသုံးပြုသူအပလီကေးရှင်းများတွင် အကာအကွယ်အဆင့်တွင် ယှဉ်ပြိုင်မှု ပျောက်ဆုံး.
4. Hack ခြင်းအတွက် အပြည့်အဝ တာဝန်ရှိပါသည်။ အသုံးပြုသူထံ ကူးပြောင်းခဲ့သည်။. တိုက်ခိုက်သူအား တစ်ကြိမ်စကားဝှက်ကို ပေးသည်- အပြစ်ရှိသည်။. သင့်စကားဝှက်ကို ကြားဖြတ် သို့မဟုတ် သူလျှိုလုပ်ထားသည်- အပြစ်ရှိသည်။. ထုတ်ကုန်ရှိ ယုံကြည်စိတ်ချရသော စစ်မှန်ကြောင်းအထောက်အထားပြနည်းလမ်းများကို အသုံးပြုရန် developer အား မလိုအပ်ပါ - အပြစ်ရှိသည်။.
5. မှန်ပါတယ် စည်းကမ်းထိန်းသိမ်းရေး အဓိကအား ထိုဖြေရှင်းချက်များကို အကောင်အထည်ဖော်ရန် ကုမ္ပဏီများကို တောင်းဆိုသင့်သည်။ ဘလောက် ဒေတာပေါက်ကြားမှုကို အပြစ်ပေးခြင်းထက် (အထူးသဖြင့် two-factor authentication) ဖြစ်နေပြီ။ ဒေတာပေါက်ကြားခြင်း။
6. အချို့သော software developer များသည် စားသုံးသူများထံ ရောင်းချရန် ကြိုးစားနေကြသည်။ ဟောင်းပြီး သိပ်ပြီး စိတ်မချရပါဘူး။ ဖြေရှင်းနည်းများ လှပသောထုပ်ပိုးမှု၌ "ဆန်းသစ်သော" ထုတ်ကုန်။ ဥပမာအားဖြင့်၊ သီးခြားစမတ်ဖုန်းတစ်ခုသို့ ချိတ်ဆက်ခြင်းဖြင့် သို့မဟုတ် ဇီဝဗေဒဆိုင်ရာ အချက်အလက်များကို အသုံးပြုခြင်းဖြင့် စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း။ အစီရင်ခံစာတွင် တွေ့မြင်နိုင်သည်ဟု သိရသည်။ အမှန်တကယ်ယုံကြည်စိတ်ချရသော ခိုင်မာသော စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း ၊ ဆိုလိုသည်မှာ ကုဒ်ဝှက်တိုကင်များပေါ်တွင် အခြေခံသည့် အဖြေတစ်ခုသာ ရှိနိုင်ပါသည်။
7. အတူတူ cryptographic တိုကင်အတွက် သုံးနိုင်သည်။ အလုပ်များစွာ: အဘို့ ခိုင်မာသောအထောက်အထားပြခြင်း။ လုပ်ငန်းလည်ပတ်မှုစနစ်အတွက်၊ ကော်ပိုရိတ်နှင့်အသုံးပြုသူအပလီကေးရှင်းများတွင်၊ အီလက်ထရွန်းနစ်လက်မှတ် ငွေကြေးလွှဲပြောင်းမှုများ (ဘဏ်လုပ်ငန်းလျှောက်လွှာများအတွက် အရေးကြီးသော) စာရွက်စာတမ်းများနှင့် အီးမေးလ်။

source: www.habr.com