پایان کابوس فیشینگ؛ گوگل، اپل و مایکروسافت چطور میخواهند به عصر رمزهای عبور پایان دهند؟
بیش از یک دهه است که از گوشهوکنار سیلیکونولی و سیاتل وعدهی زندگی در دنیایی بدون رمزعبور را میشنویم؛ اما سالبهسال خبری از تحقق این وعده نیست. سال گذشته، نوشتیم که اگرچه پایان عصر رمزعبور برخلاف وعدههایی چون خودروهای پرنده یا زندگی در مریخ کاملاً دستیافتنی است، با مشکلات بزرگی روبهرو است که تحقق آن را به این زودیها تقریباً غیرممکن میکند.
حالا درست در روز جهانی رمزعبور (اولین پنجشنبه ماه مه به انتخاب اینتل) سه غول دنیای فناوری، یعنی گوگل و اپل و مایکروسافت، در اقدامی بیسابقه رقابتها و اختلافات را کنار گذاشتند و حمایت همهجانبهی خود را از مکانیزم جدیدی اعلام کردند که قرار است برای اولینبار، احراز هویت بینیاز از رمزعبور را برای عموم کاربران در تمام سیستمعاملها و سرویسهای مختلف ممکن کند. این همکاری مخصوصاً از این نظر بیسابقه و شگفتانگیز است که اپل سیاست سختگیرانهای درمقابل حمایت از تکنولوژیای خودش آن را توسعه نداده باشد، دارد.
چرا این خبر تا این حد ما را هیجانزده کرده است؟
اگر جزو آن دسته از افراد خوششانس یا بهشدت قاعدهمندی هستید که تابهحال اطلاعات کاربریتان بهسرقت نرفته است و تجربهی شخصی از دردسرهای عظیم انتخاب یا تغییر رمزعبور نداشتهاید، کافی است به این ارقام تکاندهنده نگاهی بیندازید:
- ۲۰۲۰: سالی که بیشترین اطلاعات بهسرقترفته در دنیا رمزعبور بود
- ۸۲ درصد: درصد کارمندانی که اقرار کردند از رمزعبور یکسان برای چندین اکانت استفاده میکنند.
- ۶۰ درصد: درصد رمزعبورهای یکسان چندبار استفادهشده در چندین حملهی افشای داده در سال ۲۰۲۰.
- سهچهارم: تعداد کارمندانی که از رمزعبور یکسان برای اکانتهای کاری و شخصی استفاده میکنند.
- ۴۰ درصد: درصد سازمانهایی که رمزهای عبور را روی کاغذ یادداشت میکنند.
رمزعبور یکی از دادههای آسیبپذیر هر فرد است و در بسیاری از مواقع، روش سرقت آن سادهترین نوع هک، یعنی بروت فورس است که حتی از عهدهی هکری کاملاً مبتدی نیز برمیآید. کاربران معمولاً ترجیح میدهند عباراتی را برای رمزعبور انتخاب کنند که بهیادآوردن آنها آسان باشد؛ بههمیندلیل، مسئولیت افزایش امنیت کاربران اینترنتی اغلب بر دوش شرکتهای فناوری و زیرساختها است.
این روزها روشهای متعددی برای حفاظت از رمزعبور دردسترس کاربران قرار گرفته است؛ ازجمله احراز هویت چندعاملی یا اپلیکیشنهای مدیریت رمزعبور. بااینحال، تا زمانی که رمزعبور وجود داشته باشد، هکرها راههای جدیدی برای سرقت آن پیدا خواهند کرد. شاید بتوان گفت رمزعبور قوی، رمزعبوری است که اصلاً وجود نداشته باشد و بیجهت نیست این روش احراز هویت دردسرساز جایی در آیندهی زندگی دیجیتال ما نداشته باشد.
طرحهایی که در گذشته برای حذف رمزعبور پیشنهاد شدهاند، مشکلات بیشماری داشتند. مهمترین ضعف همهی آنها، نبود مکانیزم بازیابی برای زمانی بود که فرد دسترسی خود را به شمارهتلفن یا توکنهای فیزیکی یا موبایل متصل به حساب گم میکرد.
مشکل دیگر این بود که اکثر راهحلها درنهایت نمیتوانستند کاملاً رمزعبور را کنار بگذارند و حتی گزینهی تشخیص چهره و اثر انگشت همچنان به رمزعبور متکی بودند و این یعنی تمام دلایل نفرت ما از رمزعبور ازجمله خطر فیشینگ و سرقت اطلاعات کاربری، استفاده چندباره از یک رمزعبور و فراموشکردن کدهای عبور همچنان پابرجا بودند. علاوهبراین، هیچکدام از این روشها راهحلی برای استفاده از توکن امنیتی در تمام سیستمعاملها و سرویسهای مختلف در نظر نداشتند.
چرا این بار داستان با دفعات قبل فرق دارد؟
به این دلیل که اپل و گوگل و مایکروسافت که پرکاربردترین مرورگرها و محبوبترین برند گوشی هوشمند در دستان آنها توسعه یافته، سرانجام بر سر راهحلی مشخص توافق کردهاند. این راهحل «اعتبارسنجی چنددستگاهی» یا به زبان عامیانه، «Passkey» نام دارد و گروه صنعتی FIDO Alliance آن را توسعه داده است؛ شرکتی که مأموریتش توسعه مکانیزمهای احراز هویت بدون نیاز به رمزعبور است.
همانطورکه از عبارت «چنددستگاهی» مشخص است، این مکانیزم در تمام دستگاههای مبتنیبر iOS یا اندروید یا ویندوز و در مرحلهی اول پیادهسازی، در تمام سرویسهای متعلق به اپل و گوگل و مایکروسافت اجراشدنی است.
رمزعبور قوی، رمزعبوری است که اصلاً وجود نداشته باشد
مکانیزم Passkey در مقالهای که فایدو الاینس ماه مارس امسال منتشر کرد، درواقع نوعی بهروزرسانی برای پروتکلهای احراز هویت کنونی بهشمار میرود و استفاده از آن نهتنها برای کاربران بهشدت آسان است؛ بلکه پیادهسازی آن برای سرویسهای بزرگی چون گیتهاب و فیسبوک بسیار کمهزینهتر از روشهای پیشنهادی قبلی است؛ چون زیرساخت آن در مرورگرها و گوشیهایی که همینحالا از آنها استفاده میکنیم، وجود دارد.
مایکروسافت Passkey را جایگزین امنتر و سریعتر و آسانتری برای رمزعبور توصیف میکند که دربرابر حملات فیشینگ کاملاً مصون است. گوگل نیز از این مکانیزم بهعنوان گام تاریخی و عظیمی بهسمت دنیایی بدون رمزعبور یاد میکند. خود فایدو الاینس نیز میگوید این تکنولوژی برای اولینبار میتواند بهعنوان روش غالب احراز هویت در اینترنت جایگزین رمزعبور شود.
روشهای کنونی احراز هویت چندعاملی معروف به MFA نظیر رمزعبورهای یکبارمصرف زماندار در پنج سال گذشته پیشرفت زیادی کردهاند؛ اما ازآنجاکه این روشها برای هر پلتفرم متفاوت است و هر سرویس برای خود مکانیزم احراز هویت جداگانهای دارد، تاکنون موفق نشدهاند به راهحلی جامع برای حذف کامل رمزعبور برسند. ازاینرو، مکانیزم Passkey با توانایی پیادهسازی در تمام سیستمعاملها و سرویسها آنهم به روشی آسان و کمهزینه، بهترین گزینه برای تحقق رؤیای زندگی در دنیایی بدون رمزعبور است.
مکانیزم Passkey دقیقاً چیست؟
پیش از توضیح مکانیزم Passkey، بیایید کمی دربارهی روشهای احراز هویت کنونی صحبت کنیم؛ چراکه این مکانیزم در اصل نسخهی بهبودیافته همین روشها است. متخصصان امنیت سایبری عوامل احراز هویت را به سه گروه تقسیمبندی میکنند: ۱. چیزی که میدانید (مثلاً رمزعبور)؛ ۲. چیزی که دارید (مثلاً گوشی موبایل)؛ ۳. چیزی که هستید (مثلاً اثر انگشت یا هر روش بیومتریک دیگر).
احتمالاً در شبکههای اجتماعی نظیر اینستاگرام با گزینهی Two-factor authentication بهمعنی احراز هویت دوعاملی روبهرو شدهاید؛ این یعنی روشی که برای احراز هویت استفاده میکنید، شامل دو عامل از تقسیمبندی بالا است: چیزی که میدانید (رمزعبور) + چیزی که دارید (گوشی موبایل). بدینترتیب، حتی اگر هکر به رمزعبور شما دسترسی پیدا کند، برای ورود به حساب اینستاگرامتان به گوشی شما نیز نیاز دارد که خوشبختانه دراختیار خودتان است.
مکانیزم Passkey عامل «چیزی که میدانید» را با «چیزی که هستید» جایگزین میکند؛ درحالیکه عامل «چیزی که دارید» همچنان پابرجا است. این یعنی کاربر بهجای وارد کردن رمزعبور، از روشهای بیومتریک نظیر اثر انگشت یا اسکن چهره استفاده میکند و این روش را درواقع برای آنلاککردن گوشی خود، یعنی عامل دوم این مکانیزم بهکار میبرد.
راز ضدفیشینگ بودن مکانیزم Passkey، استفاده از بلوتوث است
سیستم Passkey برای اینکه کاملاً از دسترسی هکرها به حسابهای کاربران جلوگیری کند، ارسال درخواست احراز هویت را بهجای استفاده از اینترنت، ازطریق بلوتوث انجام میدهد. درواقع، راز ضدفیشینگبودن این مکانیزم استفاده از بلوتوث است. در دنیای بدون رمزعبور، فرض بر این است که تمام کاربران اینترنت صاحب دستکم دو دستگاه (مثلاً یک گوشی و یک کامپیوتر) هستند؛ چراکه گوشی آنها قرار است بهعنوان کلید احراز هویت آنها بهکار برده شود.
وقتی برای آنلاککردن گوشی، اثرانگشت یا چهرهی خود را ثبت میکنید، همزمان دارید این عامل بیومتریک را بهعنوان توکن امنیتی برای ورود به اکانت در گوشی خود ذخیره میکنید. حالا هر زمان که بخواهید وارد اکانت اینستاگرام خود شوید، چه ازطریق کامپیوتر چه گوشی آیفون یا اندروید، بدون نیاز به وارد کردن رمزعبور یا حتی نام کاربری، روی دکمه لاگین با Passkey کلیک میکنید تا نوتیفیکیشنی ازطریق بلوتوث به گوشی شما فرستاده شود. تنها کافی است گوشی خود را با اثر انگشت یا اسکن چهره آنلاک کنید تا در همان لحظه به حساب خود وارد شوید.
استفاده از بلوتوث در این روش دو مزیت دارد: ۱. همگامسازی Passkey در سیستمعاملهای مختلف را ممکن میکند؛ ۲. خطر ورود هکرها به حسابهای کاربری را به صفر میرساند؛ چراکه احراز هویت بهطور محلی انجام میشود. درضمن، ازآنجاکه این توکنها در فضای ابری نیز ذخیره میشوند، نیازی نیست بابت گم شدن گوشی یا عوض کردن آن نگران باشید و تمام دستگاههای خود را احراز هویت کنید. بهگفتهی مایکروسافت، اطلاعات بیومتریک کاربر نیز هرگز از دستگاه خارج نمیشوند؛ درنتیجه، از این بابت نیز جای نگرانی نیست.
دنیای بدون رمزعبور در چند قدمی ما
ده سال است که شرکتهای بزرگ فناوری از پایان عمر رمزعبور حرف میزنند و منطقی است که بخواهیم همچنان به این ماجرا با شکوتردید نگاه کنیم. تا زمانی که همهی مهرهها سر جای خود قرار نگیرند و پشتیبانی از Passkey بهطور گسترده در اکثر پلتفرمها و سرویسها اتفاق نیفتد، نمیتوان از دنیای بدون رمزعبور صحبت کرد. خودِ گوگل هم بیان میکند که دردسترس قرار گرفتن این تکنولوژی در تمام دستگاهها و پشتیبانی تمام وبسایتها و اپلیکیشنها از آن، فرایند زمانبری خواهد بود.
پیادهسازی Passkey از اواخر ۲۰۲۲ یا اوایل ۲۰۲۳ شروع خواهد شد
بااینحال، با حمایت گوگل و مایکروسافت و اپل از این پروژه، برای اولینبار است که در فاصلهی بسیار نزدیکی با تحقق این رؤیا قرار داریم. بهگفتهی اندرو شیکیار، مدیر اجرایی FIDO Alliance، پیادهسازی این سیستم از اواخر ۲۰۲۲ یا اوایل ۲۰۲۳ شروع خواهد شد و هریک از این سه شرکت جدول زمانی خاص خود را برای پشتیبانی از Passkey در سال آینده دارند.
حذف کامل رمزعبور فرایندی بهشدت دشوار است؛ چون دهها سال است که تنها روش احراز هویت کاربران اینترنتی بوده و بسیاری از افراد تمایلی به کنار گذاشتن آن ندارند. بااینحال، حمایت غولهای دنیای فناوری از این روش قدم بسیار بزرگی است. به این امید که دیگر هرگز مجبور نباشیم برای ورود به هرکدام از اکانتهای خود رشتهحروف و اعداد بیمعنی mCdC4css0!zd570 را تایپ کنیم!