माइक्रोसॉफ्ट और प्रमुख क्लाउड प्रदाता अपने व्यावसायिक ग्राहकों को प्रमाणीकरण के अधिक सुरक्षित रूपों और बुनियादी सुरक्षा कमजोरियों को खत्म करने के लिए कदम उठाना शुरू कर रहे हैं - जैसे कि क्लाउड सेवाओं तक पहुंचने के लिए अनएन्क्रिप्टेड चैनलों पर उपयोगकर्ता नाम और पासवर्ड का उपयोग करना।
उदाहरण के लिए, माइक्रोसॉफ्ट 1 अक्टूबर से अपनी एक्सचेंज ऑनलाइन सेवा के लिए बुनियादी प्रमाणीकरण का उपयोग करने की क्षमता को हटा देगा, जिसके लिए आवश्यक होगा कि उसके ग्राहक इसके बजाय टोकन-आधारित प्रमाणीकरण का उपयोग करें। इस बीच, Google ने अपनी दो-चरणीय सत्यापन प्रक्रिया में 150 मिलियन लोगों को स्वचालित रूप से नामांकित किया है, और ऑनलाइन क्लाउड प्रदाता रैकस्पेस ने वर्ष के अंत तक क्लियरटेक्स्ट ईमेल प्रोटोकॉल को बंद करने की योजना बनाई है।
मालवेयरबाइट्स के मैलवेयर इंटेलिजेंस शोधकर्ता पीटर अर्न्ट्ज़ का कहना है कि समय सीमा कंपनियों के लिए एक चेतावनी है कि क्लाउड सेवाओं तक उनकी पहुंच को सुरक्षित करने के प्रयासों को अब टाला नहीं जा सकता है। एक हालिया ब्लॉग पोस्ट लिखा माइक्रोसॉफ्ट एक्सचेंज ऑनलाइन उपयोगकर्ताओं के लिए आने वाली समय सीमा पर प्रकाश डाला गया।
"मुझे लगता है कि संतुलन उस बिंदु पर स्थानांतरित हो रहा है जहां उन्हें लगता है कि वे उपयोगकर्ताओं को यह समझा सकते हैं कि अतिरिक्त सुरक्षा उनके सर्वोत्तम हित में है, जबकि वे ऐसे समाधान पेश करने की कोशिश कर रहे हैं जो अभी भी उपयोग में अपेक्षाकृत आसान हैं," वे कहते हैं। "माइक्रोसॉफ्ट अक्सर एक ट्रेंडसेटर है और उसने वर्षों पहले इन योजनाओं की घोषणा की थी, लेकिन आप अभी भी संगठनों को उचित उपाय करने के लिए संघर्ष करते हुए पाएंगे।"
पहचान संबंधी उल्लंघन बढ़ रहे हैं
जबकि कुछ सुरक्षा-सचेत कंपनियों ने क्लाउड सेवाओं तक सुरक्षित पहुंच के लिए पहल की है, दूसरों को प्रेरित करना होगा - कुछ ऐसा जो क्लाउड प्रदाता, जैसे कि माइक्रोसॉफ्ट, ऐसा करने के लिए अधिक इच्छुक हैं, खासकर जब कंपनियां अधिक पहचान-संबंधी उल्लंघनों से जूझ रही हैं। 2022 में, 84% कंपनियों को पहचान-संबंधी उल्लंघन का सामना करना पड़ा, जो पिछले दो वर्षों में 79% से अधिक है। पहचान परिभाषित सुरक्षा गठबंधनकी "डिजिटल पहचान सुरक्षित करने में 2022 रुझान" रिपोर्ट।
प्रमाणीकरण के बुनियादी रूपों को बंद करना हमलावरों को रोकने का एक आसान तरीका है, जो पीड़ितों से समझौता करने के पहले कदम के रूप में क्रेडेंशियल स्टफिंग और अन्य बड़े पैमाने पर पहुंच प्रयासों का तेजी से उपयोग कर रहे हैं। कमजोर प्रमाणीकरण वाली कंपनियां खुद को क्रूर हमलों, पुन: उपयोग किए गए पासवर्ड के दुरुपयोग, फ़िशिंग के माध्यम से चुराए गए क्रेडेंशियल्स और अपहृत सत्रों के लिए खुला छोड़ देती हैं।
और एक बार जब हमलावरों को कॉर्पोरेट ईमेल सेवाओं तक पहुंच मिल जाती है, तो वे संवेदनशील जानकारी को बाहर निकाल सकते हैं या हानिकारक हमलों को अंजाम दे सकते हैं, जैसे कि बिजनेस ईमेल समझौता (बीईसी) और रैंसमवेयर हमले, क्लाउड के लिए पहचान सुरक्षा प्रदाता एर्मेटिक के शोध प्रमुख इगल गोफमैन कहते हैं। सेवाएँ।
उनका कहना है, ''कमजोर प्रमाणीकरण प्रोटोकॉल का उपयोग, विशेष रूप से क्लाउड में, बहुत खतरनाक हो सकता है और बड़े डेटा लीक का कारण बन सकता है।'' "राष्ट्र-राज्य और साइबर अपराधी क्लाउड सेवाओं के खिलाफ विभिन्न प्रकार के क्रूर-बल हमलों को अंजाम देकर लगातार कमजोर प्रमाणीकरण प्रोटोकॉल का दुरुपयोग कर रहे हैं।"
प्रमाणीकरण की सुरक्षा बढ़ाने के तत्काल लाभ हो सकते हैं। Google ने पाया कि उसकी दो-चरणीय सत्यापन प्रक्रिया में लोग स्वत: नामांकन कर रहे हैं परिणामस्वरूप खाता समझौता में 50% की कमी आई. आईडीएसए की "43 ट्रेंड्स इन सिक्योरिंग डिजिटल आइडेंटिटीज" रिपोर्ट के अनुसार, उल्लंघन का सामना करने वाली कंपनियों के एक महत्वपूर्ण हिस्से (2022%) का मानना है कि मल्टीफैक्टर प्रमाणीकरण होने से हमलावरों को रोका जा सकता था।
जीरो-ट्रस्ट आर्किटेक्चर की ओर किनारा
इसके अलावा, बादल और शून्य-विश्वास पहल डार्क रीडिंग को एक ईमेल में आईडीएसए के तकनीकी कार्य समूह के अनुसार, अधिक सुरक्षित पहचान की खोज को प्रेरित किया है, आधे से अधिक कंपनियों ने उन पहलों के हिस्से के रूप में पहचान सुरक्षा में निवेश किया है।
कई कंपनियों के लिए, सरल प्रमाणीकरण तंत्र से दूर जाना, जो केवल उपयोगकर्ता की साख पर निर्भर करता है, रैंसमवेयर और अन्य खतरों से प्रेरित है, जिसके कारण कंपनियों को अपने हमले के सतह क्षेत्र को कम करने और जहां वे कर सकते हैं, वहां बचाव को सख्त करने पर विचार करना पड़ा है, आईडीएसए की तकनीकी कार्यप्रणाली समूह ने लिखा.
"जैसा कि अधिकांश कंपनियां अपनी शून्य-विश्वास पहल में तेजी ला रही हैं, वे जहां संभव हो वहां मजबूत प्रमाणीकरण भी लागू कर रही हैं - हालांकि, यह आश्चर्य की बात है कि अभी भी कुछ कंपनियां बुनियादी बातों से जूझ रही हैं, या [कि] उन्होंने अभी तक शून्य विश्वास को नहीं अपनाया है, उन्हें उजागर करना,'' वहां के शोधकर्ताओं ने लिखा।
पहचान सुरक्षित करने में बाधाएँ बनी हुई हैं
प्रत्येक प्रमुख क्लाउड प्रदाता सुरक्षित चैनलों पर और OAuth 2.0 जैसे सुरक्षित टोकन का उपयोग करके मल्टीफैक्टर प्रमाणीकरण प्रदान करता है। हालांकि सुविधा को चालू करना सरल हो सकता है, सुरक्षित पहुंच का प्रबंधन करने से आईटी विभाग के लिए काम में वृद्धि हो सकती है - कुछ ऐसा जिसके लिए व्यवसायों को तैयार रहने की आवश्यकता है, मालवेयरबाइट्स के अर्न्ट्ज़ का कहना है।
उनका कहना है, ''कभी-कभी कंपनियां यह प्रबंधन करने में विफल हो जाती हैं कि सेवा तक किसकी पहुंच है और उन्हें किन अनुमतियों की आवश्यकता है।'' "यह आईटी कर्मचारियों के लिए काम की अतिरिक्त मात्रा है जो उच्च प्रमाणीकरण स्तर के साथ आती है - यही बाधा है।"
आईडीएसए के तकनीकी कार्य समूह के शोधकर्ताओं ने बताया कि विरासती बुनियादी ढांचा भी एक बाधा है।
उन्होंने कहा, "हालांकि माइक्रोसॉफ्ट कुछ समय से अपने प्रमाणीकरण प्रोटोकॉल को आगे बढ़ाने की प्रक्रिया में है, लेकिन पुराने ऐप्स, प्रोटोकॉल और उपकरणों के लिए माइग्रेटिंग और बैकवर्ड संगतता की चुनौती ने उन्हें अपनाने में देरी की है।" "यह अच्छी खबर है कि बुनियादी प्रमाणीकरण का अंत निकट है।"
उपभोक्ता-केंद्रित सेवाएँ भी प्रमाणीकरण के लिए अधिक सुरक्षित दृष्टिकोण अपनाने में धीमी हैं। जबकि Google के इस कदम से कई उपभोक्ताओं के लिए सुरक्षा में सुधार हुआ है, और Apple ने अपने 95% से अधिक उपयोगकर्ताओं के लिए दो-कारक प्रमाणीकरण सक्षम किया है, अधिकांश भाग उपभोक्ता केवल कुछ सेवाओं के लिए मल्टीफैक्टर प्रमाणीकरण का उपयोग करना जारी रखते हैं।
आईडीएसए की रिपोर्ट के अनुसार, जबकि लगभग दो-तिहाई कंपनियों (64%) ने 2022 में अपनी शीर्ष तीन प्राथमिकताओं में से एक के रूप में डिजिटल पहचान सुरक्षित करने की पहल की पहचान की है, केवल 12% संगठनों ने अपने उपयोगकर्ताओं के लिए मल्टीफैक्टर प्रमाणीकरण लागू किया है। हालाँकि, कंपनियाँ विकल्प प्रदान करना चाह रही हैं, 29% उपभोक्ता-केंद्रित क्लाउड प्रदाता वर्तमान में बेहतर प्रमाणीकरण लागू कर रहे हैं और 21% भविष्य के लिए इस पर योजना बना रहे हैं।
