پایان کابوس فیشینگ؛ گوگل، اپل و مایکروسافت چطور می‌خواهند به عصر رمزهای عبور پایان دهند؟

اینترنت و شبکه
امنیت و حریم خصوصی
سه‌شنبه ۲۰ اردیبهشت ۱۴۰۱ - ۲۱:۳۰
مطالعه 7 دقیقه
مرجان شیخی
سه توسعه‌دهنده از میان بزرگ‌ترین توسعه‌دهندگان مرورگر در اتحادی بی‌سابقه گرد‌ هم آمده‌اند تا به‌کمک مکانیزم فایدو (FIDO) و Passkey دنیا را به‌زودی به جهنم سارقان اطلاعات کاربری تبدیل کنند.
تبلیغات

بیش از یک دهه است که از گوشه‌وکنار سیلیکون‌ولی و سیاتل وعده‌ی زندگی در دنیایی بدون رمز‌عبور را می‌شنویم؛ اما سال‌به‌سال خبری از تحقق این وعده نیست. سال گذشته، نوشتیم که اگرچه پایان عصر رمزعبور برخلاف وعده‌هایی چون خودروهای پرنده یا زندگی در مریخ کاملاً دست‌یافتنی است،‌ با مشکلات بزرگی رو‌به‌رو است که تحقق آن را به این‌ زودی‌ها تقریباً غیرممکن می‌کند.

حالا درست در روز جهانی رمزعبور (اولین پنجشنبه ماه مه به‌ انتخاب اینتل‌) سه غول دنیای فناوری، یعنی گوگل و اپل و مایکروسافت، در اقدامی بی‌سابقه رقابت‌ها و اختلافات را کنار گذاشتند و حمایت همه‌جانبه‌ی خود را از مکانیزم جدیدی اعلام کردند که قرار است برای اولین‌بار، احراز هویت بی‌نیاز از رمزعبور را برای عموم کاربران در تمام سیستم‌عامل‌ها و سرویس‌های مختلف ممکن کند. این همکاری مخصوصاً از این نظر بی‌سابقه و شگفت‌انگیز است که اپل سیاست سخت‌گیرانه‌ای درمقابل حمایت از تکنولوژی‌ای خودش آن را توسعه نداده باشد، دارد.

کپی لینک

چرا این خبر تا این حد ما را هیجان‌زده کرده است؟

اگر جزو آن دسته از افراد خوش‌شانس یا به‌شدت قاعده‌مندی هستید که تا‌به‌حال اطلاعات کاربری‌تان به‌سرقت نرفته است و تجربه‌ی شخصی از دردسرهای عظیم انتخاب یا تغییر رمزعبور نداشته‌اید، کافی است به این ارقام تکان‌دهنده نگاهی بیندازید:‌

  • ۲۰۲۰: سالی که بیشترین اطلاعات به‌سرقت‌رفته در دنیا رمزعبور بود
  • ۸۲ درصد:‌ درصد کارمندانی که اقرار کردند از رمزعبور یکسان برای چندین اکانت استفاده می‌کنند.
  • ۶۰ درصد: درصد رمزعبورهای یکسان چند‌بار استفاده‌شده در چندین حمله‌ی افشای داده در سال ۲۰۲۰.
  • سه‌چهارم: تعداد کارمندانی که از رمزعبور یکسان برای اکانت‌های کاری و شخصی استفاده می‌کنند.
  • ۴۰ درصد: درصد سازمان‌هایی که رمزهای عبور را روی کاغذ یادداشت می‌کنند.

رمزعبور یکی از داده‌های آسیب‌پذیر هر فرد است و در بسیاری از مواقع، روش سرقت آن ساده‌ترین نوع هک، یعنی بروت فورس است که حتی از عهده‌ی هکری کاملاً مبتدی نیز برمی‌آید. کاربران معمولاً ترجیح می‌دهند عباراتی را برای رمزعبور انتخاب کنند که به‌یاد‌آوردن آن‌ها آسان باشد؛ به‌همین‌دلیل، مسئولیت افزایش امنیت کاربران اینترنتی اغلب بر دوش شرکت‌های فناوری و زیرساخت‌ها است.

این روزها روش‌های متعددی برای حفاظت از رمزعبور دردسترس کاربران قرار گرفته است؛‌ از‌جمله احراز هویت چندعاملی یا اپلیکیشن‌های مدیریت رمزعبور. بااین‌حال، تا زمانی که رمزعبور وجود داشته باشد، هکرها راه‌های جدیدی برای سرقت آن پیدا خواهند کرد. شاید بتوان گفت رمزعبور قوی، رمزعبوری است که اصلاً وجود نداشته باشد و بی‌جهت نیست این روش احراز هویت دردسرساز جایی در آینده‌ی زندگی دیجیتال ما نداشته باشد.

طرح‌هایی که در گذشته برای حذف رمزعبور پیشنهاد شده‌اند، مشکلات بی‌شماری داشتند. مهم‌ترین ضعف همه‌ی آن‌ها، نبود مکانیزم بازیابی برای زمانی بود که فرد دسترسی خود را به شماره‌تلفن یا توکن‌های فیزیکی یا موبایل متصل به حساب گم می‌کرد.

مشکل دیگر این بود که اکثر راه‌حل‌ها درنهایت نمی‌توانستند کاملاً رمزعبور را کنار بگذارند و حتی گزینه‌ی تشخیص چهره و اثر انگشت همچنان به رمزعبور متکی بودند و این یعنی تمام دلایل نفرت ما از رمزعبور ازجمله خطر فیشینگ و سرقت اطلاعات کاربری، استفاده چندباره از یک رمزعبور و فراموش‌کردن کدهای عبور همچنان پابرجا بودند. علاوه‌براین، هیچ‌کدام از این روش‌ها راه‌حلی برای استفاده از توکن امنیتی در تمام سیستم‌عامل‌ها و سرویس‌های مختلف در نظر نداشتند.

کپی لینک

چرا این بار داستان با دفعات قبل فرق دارد؟

به این دلیل که اپل و گوگل و مایکروسافت که پرکاربردترین مرورگرها و محبوب‌ترین برند گوشی هوشمند در دستان آن‌ها توسعه یافته، سرانجام بر سر راه‌حلی مشخص توافق کرده‌اند. این راه‌حل «اعتبارسنجی چنددستگاهی» یا به زبان عامیانه‌، «Passkey» نام دارد و گروه صنعتی FIDO Alliance آن را توسعه داده است؛ شرکتی که مأموریتش توسعه مکانیزم‌های احراز هویت بدون نیاز به رمزعبور است.

همان‌طور‌که از عبارت «چنددستگاهی» مشخص است، این مکانیزم در تمام دستگاه‌های مبتنی‌بر iOS یا اندروید یا ویندوز و در مرحله‌ی اول پیاده‌سازی، در تمام سرویس‌های متعلق به اپل و گوگل و مایکروسافت اجراشدنی است.

رمزعبور قوی، رمزعبوری است که اصلاً وجود نداشته باشد

مکانیزم Passkey در مقاله‌ای که فایدو الاینس ماه مارس امسال منتشر کرد، درواقع نوعی به‌روزرسانی برای پروتکل‌های احراز هویت کنونی به‌شمار می‌رود و استفاده از آن نه‌تنها برای کاربران به‌شدت آسان است؛ بلکه پیاده‌سازی آن برای سرویس‌های بزرگی چون گیت‌هاب و فیسبوک بسیار کم‌هزینه‌تر از روش‌های پیشنهادی قبلی است؛ چون زیرساخت‌ آن در مرورگرها و گوشی‌هایی که همین‌حالا از آن‌ها استفاده می‌کنیم،‌ وجود دارد.

مایکروسافت Passkey را جایگزین امن‌تر و سریع‌تر و آسان‌تری برای رمزعبور توصیف می‌کند که دربرابر حملات فیشینگ کاملاً مصون است. گوگل نیز از این مکانیزم به‌عنوان گام تاریخی و عظیمی به‌سمت دنیایی بدون رمزعبور یاد می‌کند. خود فایدو الاینس نیز می‌گوید این تکنولوژی برای اولین‌بار می‌تواند به‌عنوان روش غالب احراز هویت در اینترنت جایگزین رمزعبور شود.

روش‌های کنونی احراز هویت چند‌عاملی معروف به MFA نظیر رمزعبورهای یک‌بار‌مصرف زمان‌دار در پنج سال گذشته پیشرفت زیادی کرده‌اند؛ اما ازآن‌‌‌جاکه این روش‌ها برای هر پلتفرم متفاوت است و هر سرویس برای خود مکانیزم احراز هویت جداگانه‌ای دارد، تاکنون موفق نشده‌اند به راه‌حلی جامع برای حذف کامل رمزعبور برسند. ازاین‌رو، مکانیزم Passkey با توانایی پیاده‌سازی در تمام سیستم‌عامل‌ها و سرویس‌ها آن‌هم به روشی آسان و کم‌هزینه، بهترین گزینه برای تحقق رؤیای زندگی در دنیایی بدون رمزعبور است.

کپی لینک

مکانیزم Passkey دقیقاً چیست؟

پیش از توضیح مکانیزم Passkey، بیایید کمی درباره‌ی روش‌های احراز هویت کنونی صحبت کنیم؛ چراکه این مکانیزم در اصل نسخه‌ی بهبودیافته همین روش‌ها است. متخصصان امنیت سایبری عوامل احراز هویت را به سه گروه تقسیم‌بندی می‌کنند:‌ ۱. چیزی که می‌دانید (مثلاً رمزعبور)؛ ۲. چیزی که دارید (مثلاً گوشی موبایل)؛ ۳. چیزی که هستید (مثلاً اثر‌ انگشت یا هر روش بیومتریک دیگر).

احتمالاً در شبکه‌های اجتماعی نظیر اینستاگرام با گزینه‌ی Two-factor authentication به‌معنی احراز هویت دوعاملی رو‌به‌رو شده‌اید؛ این یعنی روشی که برای احراز هویت استفاده می‌کنید، شامل دو عامل از تقسیم‌بندی بالا است: چیزی که می‌دانید (رمزعبور) + چیزی که دارید (گوشی موبایل). بدین‌ترتیب، حتی اگر هکر به رمزعبور شما دسترسی پیدا کند، برای ورود به حساب اینستاگرامتان به گوشی شما نیز نیاز دارد که خوشبختانه دراختیار خودتان است.

مکانیزم Passkey عامل «چیزی که می‌دانید» را با «چیزی که هستید» جایگزین می‌کند؛ درحالی‌که عامل «چیزی که دارید»‌ همچنان پابرجا است. این یعنی کاربر به‌جای وارد‌ کردن رمزعبور، از روش‌های بیومتریک نظیر اثر انگشت یا اسکن چهره استفاده می‌کند و این روش را درواقع برای آنلاک‌کردن گوشی خود، یعنی عامل دوم این مکانیزم به‌کار می‌برد.

راز ضد‌فیشینگ‌ بودن مکانیزم Passkey، استفاده از بلوتوث است

سیستم Passkey برای اینکه کاملاً از دسترسی هکرها به حساب‌های کاربران جلوگیری کند، ارسال درخواست احراز هویت را به‌جای استفاده از اینترنت، ازطریق بلوتوث انجام می‌دهد. درواقع، راز ‌ضدفیشینگ‌بودن این مکانیزم استفاده از بلوتوث است. در دنیای بدون رمزعبور، فرض بر این است که تمام کاربران اینترنت صاحب دست‌کم دو دستگاه (مثلاً یک گوشی و یک کامپیوتر) هستند؛ چراکه گوشی آن‌ها قرار است به‌عنوان کلید احراز هویت آن‌ها به‌کار برده شود.

وقتی برای آنلاک‌کردن گوشی، اثرانگشت یا چهره‌ی خود را ثبت می‌کنید، هم‌زمان دارید این عامل بیومتریک را به‌عنوان توکن امنیتی برای ورود به اکانت‌ در گوشی خود ذخیره می‌کنید. حالا هر زمان که بخواهید وارد اکانت اینستاگرام خود شوید، چه ازطریق کامپیوتر چه گوشی آیفون یا اندروید، بدون نیاز به وارد کردن رمزعبور یا حتی نام کاربری، روی دکمه لاگین با Passkey کلیک می‌کنید تا نوتیفیکیشنی ازطریق بلوتوث به گوشی شما فرستاده شود. تنها کافی است گوشی خود را با اثر‌ انگشت یا اسکن چهره آنلاک کنید تا در همان لحظه به حساب خود وارد شوید.

استفاده از بلوتوث در این روش دو مزیت دارد: ۱. همگام‌سازی Passkey در سیستم‌عامل‌های مختلف را ممکن می‌کند؛ ۲. خطر ورود هکرها به حساب‌های کاربری را به صفر می‌رساند؛ چراکه احراز هویت به‌طور محلی انجام می‌شود. درضمن، ازآن‌‌جاکه این توکن‌ها در فضای ابری نیز ذخیره می‌شوند، نیازی نیست بابت گم‌ شدن گوشی یا عوض‌ کردن آن نگران باشید و تمام دستگاه‌های خود را احراز هویت کنید. به‌گفته‌ی مایکروسافت، اطلاعات بیومتریک کاربر نیز هرگز از دستگاه خارج نمی‌شوند؛ درنتیجه، از این بابت نیز جای نگرانی نیست.

کپی لینک

دنیای بدون رمزعبور در چند قدمی ما

ده سال است که شرکت‌های بزرگ فناوری از پایان عمر رمزعبور حرف می‌زنند و منطقی است که بخواهیم همچنان به این ماجرا با شک‌و‌تردید نگاه کنیم. تا زمانی که همه‌ی مهره‌ها سر جای خود قرار نگیرند و پشتیبانی از Passkey به‌طور گسترده در اکثر پلتفرم‌ها و سرویس‌ها اتفاق نیفتد، نمی‌توان از دنیای بدون رمزعبور صحبت کرد. خودِ گوگل هم بیان می‌کند که دردسترس قرار‌ گرفتن این تکنولوژی در تمام دستگاه‌ها و پشتیبانی تمام وب‌سایت‌ها و اپلیکیشن‌ها از آن، فرایند زمان‌بری خواهد بود.

پیاده‌سازی Passkey از اواخر ۲۰۲۲ یا اوایل ۲۰۲۳ شروع خواهد شد

بااین‌حال، با حمایت گوگل و مایکروسافت و اپل از این پروژه، برای اولین‌بار است که در فاصله‌ی بسیار نزدیکی با تحقق این رؤیا قرار داریم. به‌گفته‌ی اندرو شیکیار، مدیر اجرایی FIDO Alliance، پیاده‌سازی این سیستم از اواخر ۲۰۲۲ یا اوایل ۲۰۲۳ شروع خواهد شد و هریک از این سه شرکت جدول زمانی خاص خود را برای پشتیبانی از Passkey در سال آینده دارند.

حذف کامل رمزعبور فرایندی به‌شدت دشوار است؛ چون ده‌ها سال است که تنها روش احراز هویت کاربران اینترنتی بوده و بسیاری از افراد تمایلی به کنار گذاشتن آن ندارند. بااین‌حال، حمایت غول‌های دنیای فناوری از این روش قدم بسیار بزرگی است. به این امید که دیگر هرگز مجبور نباشیم برای ورود به هر‌کدام از اکانت‌های خود رشته‌حروف و اعداد بی‌‌معنی mCdC4css0!zd570 را تایپ کنیم!

مقاله رو دوست داشتی؟
نظرت چیه؟
داغ‌ترین مطالب روز
تبلیغات

نظرات

تبلیغات
پخش از رسانه

مشاهده تمامی لیست‌های مطالعاتی

با چشم باز خرید کنید
زومیت شما را برای انتخاب بهتر و خرید ارزان‌تر راهنمایی می‌کند
ورود به بخش محصولات
گوشی
تبلت
لپ‌تاپ
تلویزیون
ساعت هوشمند
هدفون
هارد
کنسول بازی
کارت گرافیک
پردازنده
مانیتور
SSD
دوربین‌
پاوربانک
شارژر
اسپیکر