تفاحة و جوجل و مايكروسوفت أعلنوا أنهم سيدعمون قريبًا نهجًا للمصادقة يتجنب كلمات المرور تمامًا ، وبدلاً من ذلك يطلبون من المستخدمين فتح هواتفهم الذكية فقط لتسجيل الدخول إلى مواقع الويب أو الخدمات عبر الإنترنت.
يقول الخبراء إن التغييرات يجب أن تساعد في هزيمة العديد من أنواع هجمات التصيد الاحتيالي وتخفيف العبء الإجمالي لكلمة المرور على مستخدمي الإنترنت ، لكن حذروا من أن المستقبل الحقيقي بدون كلمة مرور قد لا يزال بعيدًا عن معظم مواقع الويب.
عمالقة التكنولوجيا هم جزء من جهد تقوده الصناعة لاستبدال كلمات المرور ، التي يتم نسيانها بسهولة ، أو التي يتم سرقتها بشكل متكرر بواسطة البرامج الضارة ومخططات التصيد ، أو يتم تسريبها وبيعها عبر الإنترنت في أعقاب انتهاكات بيانات الشركات.
تعد Apple و Google و Microsoft بعض المساهمين الأكثر نشاطًا في معيار تسجيل الدخول بدون كلمة مرور الذي وضعه تحالف FIDO (“Fast Identity Online”) و اتحاد شبكة ويب العالمية (W3C) ، المجموعات التي عملت مع مئات من شركات التكنولوجيا على مدار العقد الماضي لتطوير معيار تسجيل دخول جديد يعمل بنفس الطريقة عبر متصفحات وأنظمة تشغيل متعددة.
وفقًا لـ FIDO Alliance ، سيتمكن المستخدمون من تسجيل الدخول إلى مواقع الويب من خلال نفس الإجراء الذي يقومون به عدة مرات كل يوم لإلغاء قفل أجهزتهم – بما في ذلك رقم التعريف الشخصي للجهاز ، أو القياسات الحيوية مثل بصمة الإصبع أو مسح الوجه.
كتب التحالف في 5 مايو: “هذا النهج الجديد يحمي من التصيد الاحتيالي وسيكون تسجيل الدخول أكثر أمانًا بشكل جذري مقارنة بكلمات المرور والتقنيات القديمة متعددة العوامل مثل رموز المرور لمرة واحدة التي يتم إرسالها عبر الرسائل القصيرة”.
سامباث سرينيفاسقال مدير مصادقة الأمان في Google ورئيس FIDO Alliance ، إنه في ظل النظام الجديد ، سيخزن هاتفك بيانات اعتماد FIDO تسمى “مفتاح المرور” والتي تُستخدم لفتح حسابك على الإنترنت.
كتب سرينيفاس: “يجعل مفتاح المرور تسجيل الدخول أكثر أمانًا ، لأنه يعتمد على تشفير المفتاح العام ولا يظهر إلا لحسابك على الإنترنت عندما تفتح هاتفك”. “لتسجيل الدخول إلى موقع ويب على جهاز الكمبيوتر الخاص بك ، ستحتاج فقط إلى هاتفك القريب منك وستتم مطالبتك ببساطة بإلغاء قفله للوصول إليه. بمجرد القيام بذلك ، لن تحتاج إلى هاتفك مرة أخرى ويمكنك تسجيل الدخول بمجرد فتح جهاز الكمبيوتر الخاص بك. “
مثل ZDNet ملاحظاتتدعم Apple و Google و Microsoft بالفعل هذه المعايير بدون كلمة مرور (مثل “تسجيل الدخول باستخدام Google”) ، ولكن يحتاج المستخدمون إلى تسجيل الدخول في كل موقع ويب لاستخدام وظيفة بدون كلمة مرور. بموجب هذا النظام الجديد ، سيتمكن المستخدمون من الوصول تلقائيًا إلى مفاتيح المرور الخاصة بهم على العديد من أجهزتهم – دون الحاجة إلى إعادة تسجيل كل حساب – واستخدام أجهزتهم المحمولة لتسجيل الدخول إلى تطبيق أو موقع ويب على جهاز قريب.
قال أولريتش: “أهم جزء في هذا المعيار هو أنه لن يطلب من المستخدمين شراء جهاز جديد ، ولكن بدلاً من ذلك قد يستخدمون الأجهزة التي يمتلكونها بالفعل ويعرفون كيفية استخدامها كمصدقين”.
ستيف بيلوفين، أستاذ علوم الكمبيوتر في جامعة كولومبيا وإنترنت في وقت مبكر باحث ورائد، وصف الجهد بدون كلمة مرور بأنه “تقدم هائل” في المصادقة ، لكنه قال إن الأمر سيستغرق وقتًا طويلاً للغاية حتى تتمكن العديد من مواقع الويب من اللحاق بالركب.
يقول بيلوفين وآخرون إن أحد السيناريوهات التي يحتمل أن تكون صعبة في نظام المصادقة الجديد بدون كلمة مرور هو ما يحدث عندما يفقد شخص ما جهازه المحمول ، أو ينكسر هاتفه ولا يمكنه تذكر كلمة مرور iCloud الخاصة به.
READ بوكيمون سكارليت وفيوليت قادمون إلى Switch في وقت لاحق من هذا العام
قال بيلوفين: “أشعر بالقلق بشأن الأشخاص الذين لا يستطيعون شراء جهاز إضافي ، أو لا يستطيعون بسهولة استبدال جهاز مكسور أو مسروق”. “أنا قلق بشأن استعادة كلمة المرور المنسية لحسابات السحابة.”
جوجل يقول أنه حتى في حالة فقد هاتفك ، “ستتم مزامنة مفاتيح المرور الخاصة بك بشكل آمن مع هاتفك الجديد من النسخ الاحتياطي عبر السحاب ، مما يتيح لك المتابعة من حيث توقف جهازك القديم”.
تمتلك Apple و Microsoft أيضًا حلول نسخ احتياطي سحابي يمكن للعملاء الذين يستخدمون هذه الأنظمة الأساسية استخدامها للتعافي من جهاز محمول مفقود. لكن بيلوفين قال إن الكثير يعتمد على مدى أمان إدارة أنظمة السحابة هذه.
“ما مدى سهولة إضافة مفتاح عمومي لجهاز آخر إلى حساب دون إذن؟” تساءل بيلوفين. “أعتقد أن بروتوكولاتهم تجعل ذلك مستحيلًا ، لكن البعض الآخر يختلف معه”.
نيكولاس ويفر، محاضر في قسم علوم الكمبيوتر في جامعة كاليفورنيا، بيركلي، قال إنه لا يزال يتعين على مواقع الويب أن تحتوي على بعض آليات الاسترداد لسيناريو “فقدت هاتفك وكلمة مرورك” ، والذي وصفه بأنه “مشكلة صعبة حقًا يجب القيام بها بأمان وهي بالفعل واحدة من أكبر نقاط الضعف في نظامنا الحالي”.
قال ويفر في رسالة بريد إلكتروني: “إذا نسيت كلمة المرور وفقدت هاتفك وتمكنت من استعادته ، فهذا هدف كبير للمهاجمين”. “إذا نسيت كلمة المرور وفقدت هاتفك ولا يمكنك ، حسنًا ، لقد فقدت الآن رمز التفويض المستخدم لتسجيل الدخول. يجب أن يكون هو الأخير. تمتلك Apple البنية التحتية اللازمة لدعمها (iCloud keychain) ، ولكن ليس من الواضح ما إذا كانت Google تفعل ذلك “.
ومع ذلك ، قال ، كان نهج FIDO العام أداة رائعة لتحسين كل من الأمن وسهولة الاستخدام.
READ تطرح Google نوافذ منبثقة جديدة لملفات تعريف الارتباط مع خيار "رفض الكل" في أوروبا
قال ويفر: “إنها حقًا خطوة جيدة إلى الأمام ، ويسعدني أن أرى ذلك”. “الاستفادة من مصادقة الهاتف القوية لمالك الهاتف (إذا كان لديك رمز مرور لائق) أمر رائع للغاية. وعلى الأقل بالنسبة لـ iPhone ، يمكنك جعل هذا قويًا حتى بالنسبة لتسوية الهاتف ، حيث إنه الجيب الآمن الذي سيتعامل مع هذا والجيب الآمن لا يثق في نظام التشغيل المضيف. “قال عمالقة التكنولوجيا إن القدرات الجديدة بدون كلمات مرور سيتم تمكينها عبر منصات Apple و Google و Microsoft “على مدار العام المقبل”. لكن الخبراء قالوا إن الأمر سيستغرق على الأرجح عدة سنوات أخرى لوجهات الويب الأصغر لتبني التكنولوجيا والتخلي عن كلمات المرور تمامًا.
تُظهر الأبحاث الحديثة أن عددًا كبيرًا جدًا من الأشخاص لا يزالون يعيدون استخدام كلمات المرور أو يعيدون استخدامها (تعديل نفس كلمة المرور قليلاً) ، مما يمثل خطرًا على الاستيلاء على الحساب عندما يتم كشف بيانات الاعتماد هذه في نهاية المطاف في خرق البيانات. أ أبلغ عن في مارس من شركة الأمن السيبراني SpyCloud وجد 64 بالمائة من المستخدمين يعيدون استخدام كلمات المرور لحسابات متعددة ، وأن 70 بالمائة من بيانات الاعتماد التي تم اختراقها في الانتهاكات السابقة لا تزال قيد الاستخدام.
