امروزه برای تمام نیازها اپلیکیشن های مختلفی در دسترس کاربران قرار دارد. بر اساس آمار بدست آمده از اپلیکیشن های موبایل، هر فرد به طور میانگین بیش از 80 اپلیکیشن بر روی موبایل خود نصب کرده است. همین فرد به طور میانگین از 9 اپلیکیشن به صورت روزانه و 30 اپلیکیشن در ماه استفاده می کند.
به دلیل میل شدید به داده های کاربران و نظارت بر رفتار آن ها، اغلب این اپلیکیشن ها به احتمال زیاد به یک حساب کاربری هم نیاز دارند. این حساب می تواند یک حساب رسانه اجتماعی یا حساب مستقل باشد. اغلب اپلیکیشن ها کاربر را به ثبت نام تشویق می کنند تا بتوانند به کاربردی ترین یا جذاب ترین قابلیت ها دسترسی داشته باشند.
این اپلیکیشن ها به احتمال خیلی زیاد رسانه اجتماعی هم دارند. بر اساس داده های دیگر (که به احتمال زیاد از خود اپلیکیشن ها استخراج شده اند) در سال 2018 به طور میانگین 8.5 حساب اجتماعی داشتیم که نسبت به رقم 4.8 در سال 2014 دو برابر شده است.
اینجاست که موضوع جالب می شود. میانگین تعداد حساب های ایمیل به ازای هر کاربر اینترنت در سال 2018 برابر با 1.8 و 2.5 بود (به ترتیب بر اساس آمارهای Radicati و DMA). در هر دو حالت تعداد آدرس های ایمیل به ازای هر کاربر نسبت به تعداد حساب رسانه های اجتماعی و اپلیکیشن های مورد استفاده روزانه و ماهانه به میزان قابل توجهی کمتر است.
این آمارها منطقی اند. معمولاً تعداد حساب رسانه های اجتماعی و آدرس های ایمیل ما برابر نیستند. ما به همان اندازه که به آدرس ایمیل خود وابسته ایم، به تلفن های همراه خود هم وابستگی داریم. پژوهش DMA به این نتیجه رسید که 51 درصد از افراد به مدت بیش از 10 سال یک آدرس ایمیل داشته اند. این یافته برای من جای تعجب ندارد چون بیش از 20 سال است که از یک آدرس ایمیل شخصی استفاده می کنم و عمر آدرس ایمیل شرکتی ام نیز در حدود 13 سال است.
حال تصور کنید این دو آدرس ایمیل با چیزی بیش از میانگین تعداد اپلیکیشن ها و حساب رسانه های اجتماعی در ارتباط است.
علاوه بر این تعداد دفعاتی که آدرس ایمیل شخصی در فهرست آدرس های مختل شده توسط نفوذ اطلاعاتی قرار گرفته است هم جای تعجب ندارد. این اتفاقات زیاد رخ می دهند. من بیشتر به آمارهایی شک دارم که اغلب افراد در آن اظهارات یکسانی دارند. اگر رشد تقریباً خطی حساب رسانه های اجتماعی را برای بیش از 4 سال در نظر بگیریم، احتمال این که این تعداد با تعداد اهداف موجود افزایش یابد بسیار زیاد است.
حال به این مسئله فکر کنید و این یافته های لَست پَس (LastPass) که ارائه دهنده خدمات مدیریت رمز عبور است را در نظر بگیرید:
- 43 درصد از 30 دامنه پراستفاده کارکنان، اپلیکیشن های مصرفی مشهوری هم هستند (مثل دراپ باکس).
- 50 درصد از افراد برای حساب های شخصی و حساب های کاری خود رمز عبورهای متفاوتی ایجاد نمی کنند.
اگر فکر می کنید این مشکل حاد است به ادامه پژوهش توجه کنید. همین پژوهش دریافت که هر کارمند به طور میانگین 6 رمز عبور دارد که میان همکاران به اشتراک گذاشته شده است. اما باز هم جای نگرانی نیست.
اگرچه به ما آموخته اند که امنیت مسئولیت همه افراد است اما نه تنها به موانع و تجهیزات دفاعی شرکت و مصرف کنندگان مرتباً نفوذ صورت می گیرد، بلکه در اپلیکیشن ها و رمز عبورها حتی ابتدایی ترین راهکارهای رمز عبور هم به کلی نادیده گرفته می شوند. گزارش بررسی های نفوذ به داده وریزون (Verizon) نشان داد که بیش از 70 درصد کارمندان در محل کار مجدداً از رمز عبور خود استفاده می کنند.
به همین دلیل سازمان ها باید دارایی های شرکتی خود را به خوبی شناسایی و از آن ها محافظت کنند، دارایی های شرکتی که معمولاً با یکی از 2.5 میلیون آدرس ایمیل قابل دسترس اند. استفاده از شناسایی چند مرحله ای (MFA) و تدوین الزامات پیچیدگی رمز عبور از جمله بهترین اقدامات مقابله با مهاجمینی است که برای دستیابی به منابع داده سودآور از حمله بروت فورس استفاده می کنند. علاوه بر این یکی از بهترین روش های مقابله با اشتراک گذاری رمز عبور است، چون MFA شما را وارد مرحله بعدی می کند و اغلب همکاران شما قادر به تکمیل آن نخواهند بود.
با افشای هر حساب کاربری توسط اپلیکیشن هایی که افراد درون شرکت را به هم متصل می کند ریسک هم افزایش می یابد. از جمله این ریسک ها می توان به ریسک اشتراک گذاری رمز عبور، ریسک آدرس ایمیل استاتیک با چند رمز عبور و ریسک هکرهایی که از تمام این آمارها و نحوه سوء استفاده از آن ها مطلع اند اشاره کرد.
MFA حلال تمام مشکلات نیست اما شروع خوبی برای جلوگیری از ریسک های ناشی از رشد تعداد اپلیکیشن ها بر روی تلفن های همراه و اپلیکیشن های مورد استفاده در دامنه های شخصی و شرکتی محسوب می شود.
اگر از BIG-IP APM استفاده می کنید، برای افزودن MFA به فرایند شناسایی خود این گزینه ها را مورد بررسی قرار دهید:
دفتر تهران
