حال ہی میں، ریسرچ کمپنی جیولین اسٹریٹیجی اینڈ ریسرچ نے "The State of Strong Authentication 2019" رپورٹ شائع کی۔ اس کے تخلیق کاروں نے اس بارے میں معلومات اکٹھی کیں کہ کارپوریٹ ماحول اور صارفین کی ایپلی کیشنز میں تصدیق کے کون سے طریقے استعمال کیے جاتے ہیں، اور مضبوط تصدیق کے مستقبل کے بارے میں بھی دلچسپ نتائج اخذ کیے ہیں۔
رپورٹ کے مصنفین کے نتائج کے ساتھ پہلے حصے کا ترجمہ، ہم . اور اب ہم آپ کی توجہ کے لیے دوسرا حصہ پیش کرتے ہیں - ڈیٹا اور گراف کے ساتھ۔
مترجم سے
میں پہلے حصے سے ایک ہی نام کے پورے بلاک کو مکمل طور پر کاپی نہیں کروں گا، لیکن میں پھر بھی ایک پیراگراف کو نقل کروں گا۔
تمام اعداد و شمار اور حقائق معمولی تبدیلیوں کے بغیر پیش کیے گئے ہیں، اور اگر آپ ان سے متفق نہیں ہیں، تو بہتر ہے کہ مترجم سے نہیں بلکہ رپورٹ کے مصنفین سے بحث کی جائے۔ اور یہاں میرے تبصرے ہیں (کوٹیشن کے طور پر رکھے گئے ہیں، اور متن میں نشان زد ہیں۔ اطالوی) میرا قیمتی فیصلہ ہے اور مجھے ان میں سے ہر ایک پر بحث کرنے میں خوشی ہوگی (نیز ترجمہ کے معیار پر)۔
صارف کی توثیق
2017 کے بعد سے، صارفین کی ایپلی کیشنز میں مضبوط تصدیق کے استعمال میں تیزی سے اضافہ ہوا ہے، جس کی بڑی وجہ موبائل آلات پر کرپٹوگرافک توثیق کے طریقوں کی دستیابی ہے، حالانکہ صرف ایک قدرے کم فیصد کمپنیاں انٹرنیٹ ایپلی کیشنز کے لیے مضبوط تصدیق کا استعمال کرتی ہیں۔
مجموعی طور پر، اپنے کاروبار میں مضبوط تصدیق استعمال کرنے والی کمپنیوں کا فیصد 5 میں 2017% سے تین گنا بڑھ کر 16 میں 2018% ہو گیا (شکل 3)۔
ویب ایپلیکیشنز کے لیے مضبوط تصدیق استعمال کرنے کی صلاحیت ابھی تک محدود ہے (اس حقیقت کی وجہ سے کہ کچھ براؤزرز کے صرف نئے ورژن ہی کرپٹوگرافک ٹوکن کے ساتھ تعامل کی حمایت کرتے ہیں، تاہم اس مسئلے کو اضافی سافٹ ویئر انسٹال کرکے حل کیا جاسکتا ہے جیسے )، بہت سی کمپنیاں آن لائن تصدیق کے لیے متبادل طریقے استعمال کرتی ہیں، جیسے کہ موبائل آلات کے لیے پروگرام جو ایک بار کے پاس ورڈ تیار کرتے ہیں۔
ہارڈ ویئر کرپٹوگرافک کیز (یہاں ہمارا مطلب صرف وہی ہے جو FIDO معیارات کی تعمیل کرتے ہیں۔)، جیسے کہ Google، Feitian، One Span، اور Yubico کی طرف سے پیش کی گئی چیزوں کو ڈیسک ٹاپ کمپیوٹرز اور لیپ ٹاپ پر اضافی سافٹ ویئر انسٹال کیے بغیر مضبوط تصدیق کے لیے استعمال کیا جا سکتا ہے (کیونکہ زیادہ تر براؤزر پہلے ہی FIDO سے WebAuthn کے معیار کی حمایت کرتے ہیں۔)، لیکن صرف 3% کمپنیاں اپنے صارفین کو لاگ ان کرنے کے لیے اس فیچر کا استعمال کرتی ہیں۔
کرپٹوگرافک ٹوکنز کا موازنہ (جیسے ) اور FIDO معیارات کے مطابق کام کرنے والی خفیہ چابیاں اس رپورٹ کے دائرہ کار سے باہر ہیں، بلکہ اس پر میرے تبصرے بھی۔ مختصراً، دونوں قسم کے ٹوکن ایک جیسے الگورتھم اور آپریٹنگ اصول استعمال کرتے ہیں۔ FIDO ٹوکنز کو فی الحال براؤزر فروشوں کی طرف سے بہتر تعاون حاصل ہے، حالانکہ یہ جلد ہی تبدیل ہو جائے گا کیونکہ مزید براؤزر سپورٹ کریں گے۔ . لیکن کلاسک کرپٹوگرافک ٹوکنز ایک پن کوڈ کے ذریعے محفوظ ہیں، الیکٹرانک دستاویزات پر دستخط کر سکتے ہیں اور ونڈوز (کسی بھی ورژن)، لینکس اور میک او ایس ایکس میں دو فیکٹر تصدیق کے لیے استعمال کیے جا سکتے ہیں، مختلف پروگرامنگ زبانوں کے لیے APIs ہیں، جس سے آپ 2FA اور الیکٹرانک کو لاگو کر سکتے ہیں۔ ڈیسک ٹاپ، موبائل اور ویب ایپلیکیشنز میں دستخط، اور روس میں تیار کردہ ٹوکن روسی GOST الگورتھم کو سپورٹ کرتے ہیں۔ کسی بھی صورت میں، ایک کرپٹوگرافک ٹوکن، قطع نظر اس کے کہ اسے کس معیار سے بنایا گیا ہے، تصدیق کا سب سے قابل اعتماد اور آسان طریقہ ہے۔
سیکیورٹی سے آگے: مضبوط تصدیق کے دیگر فوائد
یہ کوئی تعجب کی بات نہیں ہے کہ مضبوط توثیق کا استعمال کاروباری اسٹورز کے ڈیٹا کی اہمیت سے قریبی تعلق رکھتا ہے۔ وہ کمپنیاں جو حساس ذاتی طور پر قابل شناخت معلومات (PII) کو ذخیرہ کرتی ہیں، جیسے کہ سوشل سیکیورٹی نمبرز یا پرسنل ہیلتھ انفارمیشن (PHI) کو سب سے زیادہ قانونی اور ریگولیٹری دباؤ کا سامنا کرنا پڑتا ہے۔ یہ وہ کمپنیاں ہیں جو مضبوط تصدیق کے سب سے زیادہ جارحانہ حامی ہیں۔ کاروباری اداروں پر دباؤ ان صارفین کی توقعات سے بڑھ جاتا ہے جو یہ جاننا چاہتے ہیں کہ جن تنظیموں پر وہ اپنے انتہائی حساس ڈیٹا کے ساتھ بھروسہ کرتے ہیں وہ مضبوط تصدیقی طریقے استعمال کرتی ہیں۔ وہ تنظیمیں جو حساس PII یا PHI کو سنبھالتی ہیں ان تنظیموں کے مقابلے میں مضبوط تصدیق کے استعمال کا امکان دو گنا سے زیادہ ہوتا ہے جو صرف صارفین کی رابطے کی معلومات کو ذخیرہ کرتی ہیں (شکل 7)۔
بدقسمتی سے، کمپنیاں ابھی تک تصدیق کے مضبوط طریقوں کو نافذ کرنے کے لیے تیار نہیں ہیں۔ کاروباری فیصلہ سازوں میں سے تقریباً ایک تہائی اعداد و شمار 9 میں درج تمام لوگوں میں پاس ورڈ کو تصدیق کا سب سے مؤثر طریقہ سمجھتے ہیں، اور 43% پاس ورڈ کو توثیق کا آسان ترین طریقہ سمجھتے ہیں۔
یہ چارٹ ہمارے لیے ثابت کرتا ہے کہ دنیا بھر کے کاروباری ایپلیکیشن ڈویلپرز ایک جیسے ہیں... وہ اکاؤنٹ تک رسائی کے جدید طریقہ کار کو لاگو کرنے کا فائدہ نہیں دیکھتے اور ایک جیسی غلط فہمیاں رکھتے ہیں۔ اور صرف ریگولیٹرز کے اقدامات ہی صورتحال کو بدل سکتے ہیں۔
آئیے پاس ورڈز کو ہاتھ نہ لگائیں۔ لیکن آپ کو اس بات پر یقین کرنے کے لئے کیا یقین کرنا ہوگا کہ حفاظتی سوالات کرپٹوگرافک ٹوکن سے زیادہ محفوظ ہیں؟ کنٹرول کے سوالات کی تاثیر کا تخمینہ صرف 15% لگایا گیا تھا، اور ہیک ایبل ٹوکن نہیں - صرف 10۔ کم از کم فلم "Illusion of Deception" دیکھیں، جہاں، اگرچہ ایک تشبیہاتی شکل میں، یہ دکھایا گیا ہے کہ جادوگر کتنی آسانی سے ایک تاجر دھوکے باز کے جوابات سے تمام ضروری چیزوں کا لالچ دے کر اسے بغیر پیسوں کے چھوڑ دیا۔
اور ایک اور حقیقت جو ان لوگوں کی قابلیت کے بارے میں بہت کچھ کہتی ہے جو صارف کی ایپلی کیشنز میں سیکیورٹی میکانزم کے ذمہ دار ہیں۔ ان کی سمجھ میں، پاس ورڈ درج کرنے کا عمل ایک کرپٹوگرافک ٹوکن کا استعمال کرتے ہوئے توثیق کے مقابلے میں ایک آسان عمل ہے۔ اگرچہ، ایسا لگتا ہے کہ ٹوکن کو USB پورٹ سے جوڑنا اور سادہ پن کوڈ درج کرنا آسان ہو سکتا ہے۔
اہم بات یہ ہے کہ مضبوط توثیق کو لاگو کرنے سے کاروباری اداروں کو تصدیق کے طریقوں اور آپریشنل قواعد کے بارے میں سوچنے سے دور رہنے کی اجازت ملتی ہے جو اپنے صارفین کی حقیقی ضروریات کو پورا کرنے کے لیے جعلی اسکیموں کو روکنے کے لیے درکار ہیں۔
اگرچہ ریگولیٹری تعمیل دونوں کاروباروں کے لیے ایک معقول اولین ترجیح ہے جو مضبوط توثیق کا استعمال کرتے ہیں اور جو نہیں کرتے ہیں، وہ کمپنیاں جو پہلے سے ہی مضبوط توثیق کا استعمال کرتی ہیں ان کے یہ کہنے کا زیادہ امکان ہوتا ہے کہ صارفین کی وفاداری میں اضافہ ایک سب سے اہم میٹرک ہے جس پر وہ تصدیق کا جائزہ لیتے وقت غور کرتے ہیں۔ طریقہ (18% بمقابلہ 12%) (شکل 10)۔
انٹرپرائز کی توثیق
2017 کے بعد سے، کاروباری اداروں میں مضبوط تصدیق کو اپنانا بڑھ رہا ہے، لیکن صارفین کی درخواستوں کے مقابلے میں قدرے کم شرح پر۔ مضبوط توثیق کا استعمال کرنے والے کاروباری اداروں کا حصہ 7 میں 2017% سے بڑھ کر 12 میں 2018% ہو گیا۔ صارفین کی ایپلی کیشنز کے برعکس، انٹرپرائز ماحول میں بغیر پاس ورڈ کی تصدیق کے طریقوں کا استعمال موبائل آلات کے مقابلے ویب ایپلیکیشنز میں کچھ زیادہ عام ہے۔ تقریباً نصف کاروبار لاگ ان کرتے وقت اپنے صارفین کی توثیق کرنے کے لیے صرف صارف نام اور پاس ورڈ استعمال کرنے کی اطلاع دیتے ہیں، پانچ میں سے ایک (22%) حساس ڈیٹا تک رسائی کے وقت ثانوی تصدیق کے لیے مکمل طور پر پاس ورڈز پر انحصار کرتا ہے (یعنی، صارف سب سے پہلے توثیق کا آسان طریقہ استعمال کرتے ہوئے ایپلی کیشن میں لاگ ان ہوتا ہے، اور اگر وہ اہم ڈیٹا تک رسائی حاصل کرنا چاہتا ہے، تو وہ ایک اور تصدیقی طریقہ کار انجام دے گا، اس بار عام طور پر زیادہ قابل اعتماد طریقہ استعمال کرتے ہوئے).
آپ کو یہ سمجھنے کی ضرورت ہے کہ رپورٹ میں آپریٹنگ سسٹم ونڈوز، لینکس اور میک OS X میں دو فیکٹر تصدیق کے لیے کرپٹوگرافک ٹوکنز کے استعمال کو مدنظر نہیں رکھا گیا ہے۔ اور یہ فی الحال 2FA کا سب سے زیادہ وسیع استعمال ہے۔ (افسوس، FIDO معیارات کے مطابق بنائے گئے ٹوکن صرف Windows 2 کے لیے 10FA لاگو کر سکتے ہیں)۔
مزید برآں، اگر آن لائن اور موبائل ایپلی کیشنز میں 2FA کے نفاذ کے لیے اقدامات کے ایک سیٹ کی ضرورت ہے، جس میں ان ایپلی کیشنز میں ترمیم بھی شامل ہے، تو ونڈوز میں 2FA کو لاگو کرنے کے لیے آپ کو صرف PKI (مثال کے طور پر مائیکروسافٹ سرٹیفیکیشن سرور پر مبنی) اور تصدیق کی پالیسیاں ترتیب دینے کی ضرورت ہے۔ AD میں
اور چونکہ ورک پی سی اور ڈومین میں لاگ ان کی حفاظت کرنا کارپوریٹ ڈیٹا کی حفاظت کا ایک اہم عنصر ہے، اس لیے دو عنصر کی تصدیق کا نفاذ زیادہ سے زیادہ عام ہوتا جا رہا ہے۔
لاگ ان کرتے وقت صارفین کی توثیق کرنے کے اگلے دو سب سے عام طریقے ایک علیحدہ ایپ کے ذریعے فراہم کیے جانے والے ایک وقتی پاس ورڈ ہیں (13% کاروبار) اور ایک بار کے پاس ورڈ ایس ایم ایس کے ذریعے فراہم کیے جاتے ہیں (12%)۔ اس حقیقت کے باوجود کہ دونوں طریقوں کے استعمال کی فیصد بہت ملتی جلتی ہے، OTP SMS کا استعمال اکثر اجازت کی سطح کو بڑھانے کے لیے کیا جاتا ہے (24% کمپنیوں میں)۔ (شکل 12)۔
انٹرپرائز میں مضبوط توثیق کے استعمال میں اضافے کو ممکنہ طور پر انٹرپرائز آئیڈینٹیٹی مینجمنٹ پلیٹ فارمز میں کرپٹوگرافک توثیق کے نفاذ کی بڑھتی ہوئی دستیابی سے منسوب کیا جا سکتا ہے (دوسرے لفظوں میں، انٹرپرائز SSO اور IAM سسٹمز نے ٹوکن استعمال کرنا سیکھ لیا ہے)۔
ملازمین اور ٹھیکیداروں کی موبائل تصدیق کے لیے، انٹرپرائزز صارفین کی ایپلی کیشنز میں تصدیق کے بجائے پاس ورڈز پر زیادہ انحصار کرتے ہیں۔ صرف نصف (53%) انٹرپرائزز موبائل ڈیوائس کے ذریعے کمپنی کے ڈیٹا تک صارف کی رسائی کی تصدیق کرتے وقت پاس ورڈ استعمال کرتے ہیں (شکل 13)۔
موبائل ڈیوائسز کے معاملے میں، کوئی بایومیٹرکس کی عظیم طاقت پر یقین کرے گا، اگر جعلی انگلیوں کے نشانات، آوازوں، چہرے اور یہاں تک کہ جلن کے بہت سے معاملات کے لیے نہیں۔ ایک سرچ انجن کے استفسار سے پتہ چل جائے گا کہ بائیو میٹرک تصدیق کا کوئی قابل اعتماد طریقہ موجود نہیں ہے۔ واقعی درست سینسر موجود ہیں، لیکن وہ بہت مہنگے اور سائز میں بڑے ہیں - اور اسمارٹ فونز میں انسٹال نہیں ہوتے ہیں۔
لہذا، موبائل آلات میں واحد کام کرنے والا 2FA طریقہ کرپٹوگرافک ٹوکنز کا استعمال ہے جو NFC، بلوٹوتھ اور USB Type-C انٹرفیس کے ذریعے اسمارٹ فون سے جڑتے ہیں۔
کسی کمپنی کے مالیاتی ڈیٹا کی حفاظت کرنا پاس ورڈ کے بغیر تصدیق (44%) میں سرمایہ کاری کی سب سے بڑی وجہ ہے، 2017 کے بعد سب سے تیز رفتار ترقی (آٹھ فیصد پوائنٹس کا اضافہ) کے ساتھ۔ اس کے بعد املاک دانش (40%) اور پرسنل (HR) ڈیٹا (39%) کا تحفظ ہوتا ہے۔ اور یہ واضح ہے کہ کیوں - نہ صرف اس قسم کے ڈیٹا سے وابستہ قدر کو وسیع پیمانے پر تسلیم کیا جاتا ہے، بلکہ نسبتاً کم ملازمین ان کے ساتھ کام کرتے ہیں۔ یعنی، نفاذ کے اخراجات اتنے زیادہ نہیں ہیں، اور زیادہ پیچیدہ تصدیقی نظام کے ساتھ کام کرنے کے لیے صرف چند لوگوں کو تربیت دینے کی ضرورت ہے۔ اس کے برعکس، ڈیٹا اور آلات کی وہ قسمیں جن تک زیادہ تر انٹرپرائز ملازمین معمول کے مطابق رسائی حاصل کرتے ہیں اب بھی صرف پاس ورڈز کے ذریعے محفوظ ہیں۔ ملازمین کے دستاویزات، ورک سٹیشنز، اور کارپوریٹ ای میل پورٹلز سب سے زیادہ خطرے کے شعبے ہیں، کیونکہ صرف ایک چوتھائی کاروبار ہی ان اثاثوں کو پاس ورڈ کے بغیر تصدیق کے ساتھ محفوظ رکھتے ہیں (شکل 14)۔
عام طور پر، کارپوریٹ ای میل ایک بہت ہی خطرناک اور لیک چیز ہے، جس کے ممکنہ خطرے کی ڈگری کو زیادہ تر CIOs نے کم نہیں سمجھا ہے۔ ملازمین کو روزانہ درجنوں ای میلز موصول ہوتی ہیں، تو کیوں نہ ان میں کم از کم ایک فشنگ (یعنی دھوکہ دہی والی) ای میل شامل ہو۔ اس خط کو کمپنی کے خطوط کے انداز میں فارمیٹ کیا جائے گا، لہذا ملازم اس خط کے لنک پر کلک کرنے میں آسانی محسوس کرے گا۔ ٹھیک ہے، پھر کچھ بھی ہو سکتا ہے، مثال کے طور پر، حملہ آور مشین پر وائرس ڈاؤن لوڈ کرنا یا پاس ورڈ لیک کرنا (بشمول سوشل انجینئرنگ کے ذریعے، حملہ آور کی طرف سے تیار کردہ جعلی تصدیقی فارم داخل کرکے)۔
اس طرح کی چیزوں کو ہونے سے روکنے کے لیے، ای میلز پر دستخط کرنا ضروری ہے۔ اس کے بعد یہ فوری طور پر واضح ہو جائے گا کہ کون سا خط کسی جائز ملازم نے بنایا تھا اور کون سا حملہ آور نے۔ آؤٹ لک/ایکسچینج میں، مثال کے طور پر، کرپٹوگرافک ٹوکن پر مبنی الیکٹرانک دستخط کافی تیزی سے اور آسانی سے فعال کیے جاتے ہیں اور پی سی اور ونڈوز ڈومینز میں دو فیکٹر تصدیق کے ساتھ استعمال کیے جا سکتے ہیں۔
ان ایگزیکٹوز میں سے جو مکمل طور پر انٹرپرائز کے اندر پاس ورڈ کی تصدیق پر انحصار کرتے ہیں، دو تہائی (66%) ایسا کرتے ہیں کیونکہ ان کا خیال ہے کہ پاس ورڈ اس قسم کی معلومات کے لیے کافی سیکورٹی فراہم کرتے ہیں جس کی حفاظت ان کی کمپنی کو کرنا ہے (شکل 15)۔
لیکن مضبوط توثیق کے طریقے عام ہوتے جا رہے ہیں۔ بڑی حد تک اس حقیقت کی وجہ سے کہ ان کی دستیابی بڑھ رہی ہے۔ شناخت اور رسائی کے انتظام (IAM) سسٹمز، براؤزرز، اور آپریٹنگ سسٹمز کی بڑھتی ہوئی تعداد کرپٹوگرافک ٹوکنز کا استعمال کرتے ہوئے تصدیق کی حمایت کرتی ہے۔
مضبوط تصدیق کا ایک اور فائدہ ہے۔ چونکہ پاس ورڈ اب استعمال نہیں کیا جاتا ہے (ایک سادہ PIN کے ساتھ تبدیل کیا جاتا ہے)، ملازمین کی طرف سے کوئی درخواست نہیں ہے کہ وہ بھولے ہوئے پاس ورڈ کو تبدیل کریں۔ جس کے نتیجے میں انٹرپرائز کے آئی ٹی ڈیپارٹمنٹ پر بوجھ کم ہو جاتا ہے۔
خلاصہ اور نتائج
- مینیجرز کے پاس اکثر تشخیص کے لیے ضروری علم نہیں ہوتا ہے۔ حقیقی تصدیق کے مختلف اختیارات کی تاثیر۔ وہ ایسے بھروسہ کرنے کے عادی ہیں۔ پرانی سیکیورٹی کے طریقے جیسے پاس ورڈز اور سیکیورٹی سوالات صرف اس لیے کہ "اس سے پہلے کام ہوتا تھا۔"
- صارفین کے پاس اب بھی یہ علم ہے۔ کم، ان کے لئے اہم بات ہے سادگی اور سہولت. جب تک کہ ان کے پاس انتخاب کرنے کی کوئی ترغیب نہ ہو۔ زیادہ محفوظ حل.
- اپنی مرضی کے مطابق ایپلی کیشنز کے ڈویلپرز اکثر کوئی وجہ نہیںپاس ورڈ کی توثیق کے بجائے دو عنصر کی توثیق کو لاگو کرنا۔ صارف کی ایپلی کیشنز میں تحفظ کی سطح میں مقابلہ کوئی.
- ہیک کی مکمل ذمہ داری صارف کو منتقل کر دیا گیا۔. حملہ آور کو ون ٹائم پاس ورڈ دیا - مجرم. آپ کے پاس ورڈ کو روکا گیا یا اس کی جاسوسی کی گئی۔ مجرم. ڈویلپر کو پروڈکٹ میں تصدیق کے قابل اعتماد طریقے استعمال کرنے کی ضرورت نہیں تھی۔ مجرم.
- ٹھیک ہے ریگولیٹر سب سے پہلے کمپنیوں کو اس کے حل کو لاگو کرنے کی ضرورت ہے بلاک سزا دینے کے بجائے ڈیٹا لیک (خاص طور پر دو عنصر کی توثیق) پہلے ہی ہوا ہے ڈیٹا لیک.
- کچھ سافٹ ویئر ڈویلپر صارفین کو فروخت کرنے کی کوشش کر رہے ہیں۔ پرانا اور خاص طور پر قابل اعتماد نہیں۔ حل خوبصورت پیکنگ میں "جدید" مصنوعات. مثال کے طور پر، کسی مخصوص اسمارٹ فون سے لنک کرکے یا بائیو میٹرکس کا استعمال کرکے تصدیق۔ جیسا کہ رپورٹ سے دیکھا جا سکتا ہے، کے مطابق واقعی قابل اعتماد صرف مضبوط تصدیق پر مبنی حل ہو سکتا ہے، یعنی کرپٹوگرافک ٹوکن۔
- ایسا ہی کے لیے کرپٹوگرافک ٹوکن استعمال کیا جا سکتا ہے۔ کاموں کی ایک بڑی تعداد: کے لیے۔ مضبوط تصدیق انٹرپرائز آپریٹنگ سسٹم میں، کارپوریٹ اور صارف ایپلی کیشنز میں، کے لیے الیکٹرانک دستخط مالی لین دین (بینکنگ ایپلی کیشنز کے لیے اہم)، دستاویزات اور ای میل۔
ماخذ: www.habr.com