تفاحةو جوجل و مايكروسوفت أعلنوا هذا الأسبوع أنهم سيدعمون قريبًا نهج حماية كلمة المرور الذي يلغي كلمات المرور تمامًا ، وبدلاً من ذلك يطلبون من المستخدمين ببساطة فتح هواتفهم الذكية للوصول إلى المواقع أو الخدمات عبر الإنترنت. يقول الخبراء إن التغييرات من المفترض أن تساعد في هزيمة العديد من أنواع هجمات التصيد الاحتيالي وتخفيف العبء الإجمالي لكلمات المرور على مستخدمي الإنترنت ، لكن حذروا من أن المستقبل الحقيقي بدون كلمة مرور قد لا يزال بعيدًا لسنوات بالنسبة لمعظم المواقع.
الصورة: Blog.google
عمالقة التكنولوجيا هم جزء من جهد رائد في الصناعة لتغيير كلمات المرور ، والتي يتم نسيانها بسهولة ، وغالبًا ما يتم سرقتها بواسطة البرامج الضارة وبرامج التصيد الاحتيالي ، أو يتم تسريبها وبيعها عبر الإنترنت بسبب انتهاكات معلومات الشركة.
تعد Apple و Google و Microsoft من المساهمين الأكثر نشاطًا في تسجيل الدخول الخالي من كلمة المرور الذي أنشأته FIDO (“Fast Identity Online”) و اتحاد الإنترنت العالمي (W3C) ، المجموعات التي عملت مع مئات من شركات التكنولوجيا على مدار العقد الماضي لتطوير معيار جديد للمبتدئين يعمل بنفس الطريقة عبر العديد من المتصفحات وأنظمة التشغيل.
وفقًا لـ FIDO Alliance ، سيتمكن المستخدمون من الوصول إلى المواقع باستخدام نفس الإجراء الذي يقومون به عدة مرات كل يوم لإلغاء قفل أجهزتهم – بما في ذلك رقم التعريف الشخصي للجهاز ، أو القياسات الحيوية مثل بصمة الإصبع أو مسح الوجه.
كتب التحالف في 5 مايو: “هذا النهج الجديد يحمي من التصيد الاحتيالي وسيكون الوصول آمنًا للغاية مقارنةً بالجيل السابق من كلمات المرور متعددة العوامل والتقنيات مثل كلمة المرور لمرة واحدة والتي يتم إرسالها عبر الرسائل القصيرة”.
سامباث سرينيفاسصرح مدير التحقق من أمان Google ورئيس تحالف FIDO أنه في ظل النظام الجديد سيخزن هاتفك شهادة FIDO تسمى “مفتاح” تُستخدم لفتح حسابك على الإنترنت.
كتب سرينيفاس: “يجعل مفتاح كلمة المرور تسجيل الدخول أكثر أمانًا ، لأنه يعتمد على تشفير المفتاح العام ولا يتم عرضه إلا على حسابك عبر الإنترنت عند فتح هاتفك”. “لتسجيل الدخول إلى موقع ويب على جهاز الكمبيوتر الخاص بك ، فأنت تحتاج فقط إلى هاتفك في مكان قريب وسيُطلب منك فقط إلغاء قفله لتتمكن من الوصول. وبمجرد قيامك بذلك ، لن تحتاج إلى هاتفك مرة أخرى ويمكنك تسجيل الدخول بمجرد فتح قفل الحاسوب.”
مثل ZDNet ملاحظاتتدعم Apple و Google و Microsoft هذه المعايير بالفعل بدون كلمة مرور (على سبيل المثال ، “تسجيل الدخول باستخدام Google”) ، ولكن يجب على المستخدمين تسجيل الدخول إلى كل موقع لاستخدام وظيفة خالية من كلمة المرور. بموجب هذا النظام الجديد ، سيتمكن المستخدمون من الوصول تلقائيًا إلى مطور كلمات المرور الخاصة بهم على العديد من أجهزتهم – دون الحاجة إلى إعادة تسجيل أي حساب – واستخدام أجهزتهم المحمولة للوصول إلى التطبيق أو الموقع على جهاز قريب.
يوهانس أولريتشعميد البحث عن هـ معهد SANS للتكنولوجياأطلق على المنشور اسم “أكثر الجهود الواعدة لحل تحدي المصادقة”.
وقال أولريتش: “أهم جزء في هذا الجهاز هو أنه لن يطلب من المستخدمين شراء جهاز جديد ، بل يمكنهم استخدام الأجهزة التي يمتلكونها بالفعل ويعرفون كيفية استخدامها كأدوات للتحقق”.
ستيف بلوبينأستاذ علوم الكمبيوتر بجامعة كولومبيا والإنترنت المبكر باحث ورائدووصف الجهد دون شعار “تقدم هائل” في التحقق ، لكنه قال إن الأمر سيستغرق وقتًا طويلاً للغاية حتى تتمكن العديد من المواقع من اللحاق بالركب.
يقول Belovin وآخرون أن أحد السيناريوهات التي قد تكون معقدة في نظام المصادقة الجديد الخالي من كلمة المرور هو ما يحدث عندما يفقد شخص ما جهازه المحمول ، أو ينكسر هاتفه ولا يمكنه تذكر كلمة مرور iCloud الخاصة به.
قال بيلوبين: “أشعر بالقلق بشأن الأشخاص الذين لا يستطيعون شراء جهاز آخر ، أو الذين لا يستطيعون بسهولة استبدال جهاز مكسور أو مسروق”. “أنا قلق بشأن استعادة كلمة المرور المنسية لحسابات السحابة.”
جوجل يقول حتى إذا فقدت هاتفك ، “ستتم مزامنة مفاتيحك بشكل آمن مع هاتفك الجديد من نسخة احتياطية على السحابة ، مما يتيح لك المتابعة بالضبط من حيث توقف جهازك القديم.”
تمتلك Apple و Microsoft أيضًا حلول نسخ احتياطي سحابي يمكن للعملاء الذين يستخدمون هذه الأنظمة الأساسية استخدامها للتعافي من جهاز محمول مفقود. لكن بيلوبين قال إن الكثير يعتمد على مدى أمان إدارة هذه الأنظمة السحابية.
“ما مدى سهولة إضافة مفتاح عام لجهاز آخر إلى حساب بدون إذن؟” تساءل لوبين. “أعتقد أن بروتوكولاتهم تجعل ذلك مستحيلاً ، لكن البعض الآخر يختلف معه”.
نيكولاس ويفرمحاضر في قسم علوم الحاسب ب جامعة كاليفورنيا، بيركليلا تزال المواقع المذكورة بحاجة إلى نوع من آلية الاسترداد لسيناريو “فقد هاتفك وكلمة المرور” ، والذي وصفه بأنه “مشكلة يصعب إصلاحها بشكل آمن وهي بالفعل واحدة من أكبر نقاط الضعف في نظامنا الحالي”.
قال ويفر في رسالة بالبريد الإلكتروني: “إذا نسيت كلمة مرورك وفقدت هاتفك وتمكنت من استعادته ، فقد أصبح الآن هدفًا كبيرًا للمهاجمين”. “إذا نسيت كلمة المرور وفقدت هاتفك ولم تستطع ، حسنًا ، فقد فقدت الآن رمز تسجيل الدخول المستخدم لتسجيل الدخول. يجب أن يكون هذا هو الأخير. تمتلك Apple البنية التحتية لدعمها (iCloud keychain) ، لكنها ليست كذلك من الواضح ما إذا كان لدى Google “.
على الرغم من ذلك ، قال ، كان نهج FIDO الشامل أداة رائعة لتحسين الأمان وسهولة الاستخدام على حد سواء.
قال ويفر: “إنها خطوة جيدة حقًا إلى الأمام ، وأنا سعيد برؤيتها”. “إن استخدام المصادقة القوية لهاتف مالك الهاتف (إذا كان لديك كلمة مرور لائقة) أمر رائع. وعلى الأقل بالنسبة لـ iPhone ، يمكنك جعله قويًا حتى للتغلب على الهاتف ، نظرًا لأنه المنطقة الآمنة التي ستهتم به والجيب الآمن لا يثق في نظام التشغيل المضيف “.
قال عمالقة التكنولوجيا إن الإمكانيات الجديدة الخالية من كلمات المرور سيتم تمكينها على منصات Apple و Google و Microsoft “خلال العام المقبل”. لكن الخبراء قالوا إن الأمر قد يستغرق بضع سنوات أخرى حتى تتبنى وجهات الإنترنت الأصغر التكنولوجيا وتتخلص تمامًا من كلمات المرور.
تشير الدراسات الحديثة إلى أن عددًا كبيرًا جدًا من الأشخاص لا يزالون يعيدون استخدام كلمات المرور أو يعيدون استخدامها (تغيير كلمة المرور نفسها قليلاً) ، مما يمثل مخاطرة بالاستيلاء على الحساب عندما يتم كشف بيانات الاعتماد هذه في نهاية المطاف في خرق البيانات. و تقرير مسيرة من شركة للأمن السيبراني SpyCloud اكتشف أن 64 بالمائة من المستخدمين يعيدون استخدام كلمات المرور لحسابات متعددة ، وأن 70 بالمائة من بيانات الاعتماد التي تم اختراقها في الانتهاكات السابقة لا تزال قيد الاستخدام.
يتوفر مقال أبيض في مارس 2022 حول نهج FIDO هنا (بي دي إف). الأسئلة المتداولة حول هذا الموضوع هنا.
“Social media addict. Zombie fanatic. Travel fanatic. Music geek. Bacon expert.”
