تفاحةو جوجل و مايكروسوفت أعلنوا هذا الأسبوع أنهم سيدعمون قريبًا نهج المصادقة الذي يتجنب كلمات المرور تمامًا وبدلاً من ذلك يطلبون من المستخدمين ببساطة فتح هواتفهم الذكية لتسجيل الدخول إلى مواقع الويب أو الخدمات عبر الإنترنت. يقول الخبراء إن التغييرات يجب أن تساعد في هزيمة العديد من أنواع هجمات التصيد الاحتيالي وتخفيف العبء الإجمالي لكلمة المرور لمستخدمي الإنترنت ، لكنهم يحذرون من أن المستقبل الحقيقي الخالي من كلمات المرور قد يستغرق سنوات حتى يكتمل. معظم مواقع الويب.
الصورة: blog.google
عمالقة التكنولوجيا هم جزء من جهد تقوده الصناعة لاستبدال كلمات المرور ، التي يتم نسيانها بسهولة ، أو التي يتم سرقتها بشكل متكرر بواسطة البرامج الضارة وبرامج التصيد الاحتيالي ، أو يتم تسريبها وبيعها عبر الإنترنت بعد حدوث انتهاكات أمنية.بيانات الأعمال.
تعد Apple و Google و Microsoft من بين المساهمين الأكثر نشاطًا في معيار تسجيل الدخول بدون كلمة مرور الذي طوره FIDO Alliance (“Fast Identity Online”) و اتحاد شبكة ويب العالمية (W3C) ، المجموعات التي عملت مع مئات من شركات التكنولوجيا على مدار العقد الماضي لتطوير معيار تسجيل دخول جديد يعمل بنفس الطريقة عبر العديد من المتصفحات وأنظمة التشغيل.
وفقًا لـ FIDO Alliance ، سيتمكن المستخدمون من تسجيل الدخول إلى مواقع الويب بنفس الإجراء الذي يتخذونه عدة مرات في اليوم لإلغاء قفل أجهزتهم ، بما في ذلك رقم التعريف الشخصي للجهاز أو القياسات الحيوية مثل بصمة الإصبع أو كلمة المرور.مسح الوجه.
كتب التحالف في 5 مايو أن “هذا النهج الجديد يحمي من التصيد الاحتيالي وتسجيل الدخول سيكون أكثر أمانًا بشكل جذري مقارنة بكلمات المرور والتقنيات القديمة متعددة العوامل مثل رموز المرور لمرة واحدة والتي يتم إرسالها عبر رسالة نصية”.
سامباث سرينيفاسقال مدير مصادقة الأمان في Google ورئيس FIDO Alliance ، إنه بموجب النظام الجديد ، سيخزن هاتفك معرف FIDO يسمى “مفتاح المرور” والذي يستخدم لفتح حسابك على الإنترنت.
كتب سرينيفاس: “تجعل كلمة المرور تسجيل الدخول أكثر أمانًا ، لأنها تستند إلى تشفير المفتاح العام ولا يتم عرضها إلا في حسابك عبر الإنترنت عند فتح هاتفك”. “لتسجيل الدخول إلى موقع ويب على جهاز الكمبيوتر الخاص بك ، ستحتاج فقط إلى هاتفك القريب منك وستتم مطالبتك فقط بإلغاء قفله للوصول إليه. بمجرد القيام بذلك ، لن تحتاج إلى هاتفك بعد الآن. وأنت يمكن تسجيل الدخول ببساطة عن طريق فتح جهاز الكمبيوتر الخاص بك.
مثل ZDNet ملاحظاتتدعم Apple و Google و Microsoft هذه المعايير بدون كلمة مرور (على سبيل المثال “تسجيل الدخول باستخدام Google”) ، ولكن يجب على المستخدمين تسجيل الدخول إلى كل موقع ويب لاستخدام ميزة “بدون كلمة مرور”. Dans le cadre de ce nouveau système, les utilisateurs pourront accéder automatiquement à leur mot de passe sur plusieurs de leurs appareils – sans avoir à réinscrire chaque compte – et utiliser leur appareil mobile pour se connecter à une application ou à un site Web sur un appareil بجوار.
يوهانس أولريشعميد البحث عن معهد SANS للتكنولوجياووصف هذا الإعلان بأنه “إلى حد بعيد أكثر الجهود الواعدة لحل تحدي المصادقة”.
قال أولريتش: “الجزء الأكثر أهمية في هذا المعيار هو أنه لن يتطلب من المستخدمين شراء جهاز جديد ، ولكن بدلاً من ذلك سيكونون قادرين على استخدام الأجهزة التي يمتلكونها بالفعل ويعرفون كيفية استخدامها كمصدقين”.
ستيف بيلوفينأستاذ علوم الكمبيوتر بجامعة كولومبيا ومن أوائل مستخدمي الإنترنت باحث ورائدوصف الجهد بدون كلمة مرور بأنه “خطوة كبيرة إلى الأمام” في المصادقة ، لكنه قال إن الأمر سيستغرق وقتًا طويلاً حتى تتمكن العديد من مواقع الويب من اللحاق بالركب.
يقول بيلوفين وآخرون إن السيناريو الذي يحتمل أن يكون صعبًا في نظام المصادقة الجديد بدون كلمة مرور هو ما يحدث عندما يفقد شخص ما جهازه المحمول أو يتعطل هاتفه ولا يمكنه تذكر كلمة مرور iCloud الخاصة بك.
قال بيلوفين: “أشعر بالقلق بشأن الأشخاص الذين لا يستطيعون شراء جهاز إضافي أو لا يمكنهم بسهولة استبدال جهاز مكسور أو مسروق”. “أنا قلق بشأن استعادة كلمة المرور المنسية لحسابات السحابة.”
جوجل قالت أنه حتى إذا فقدت هاتفك ، “ستتم مزامنة مفاتيح المرور الخاصة بك بشكل آمن مع هاتفك الجديد من النسخ الاحتياطي السحابي ، مما يتيح لك المتابعة من حيث توقف جهازك القديم.”
تمتلك Apple و Microsoft أيضًا حلول نسخ احتياطي سحابي يمكن للعملاء الذين يستخدمون هذه الأنظمة الأساسية استخدامها للتعافي من جهاز محمول مفقود. لكن بيلوفين قال إن الكثير يعتمد على الأمان الذي تدار به هذه الأنظمة السحابية.
“هل من السهل إضافة مفتاح عام لجهاز آخر إلى حساب بدون إذن؟” تساءل بيلوفين. “أعتقد أن بروتوكولاتهم تجعل ذلك مستحيلاً ، لكن البعض الآخر يختلف معه”.
نيكولا تيسيرانمحاضر في قسم علوم الحاسب الآلي جامعة كاليفورنيا، بيركليقال إن مواقع الويب لا تزال بحاجة إلى آلية استرداد لسيناريو “فقدت هاتفك وكلمة المرور” ، والذي وصفه بأنه “مشكلة صعبة حقًا لإصلاحها بشكل آمن وهي بالفعل واحدة من أكبر نقاط الضعف في نظامنا الحالي”.
قال ويفر في رسالة بالبريد الإلكتروني: “إذا نسيت رمز المرور وفقدت هاتفك وتمكّنت من استعادته ، فهذا هدف كبير للمهاجمين”. “إذا نسيت كلمة المرور وفقدت هاتفك ولا يمكنك ذلك ، حسنًا ، لقد فقدت الآن رمز التفويض المستخدم لتسجيل الدخول. يجب أن يكون هذا الأخير. تمتلك Apple البنية التحتية اللازمة لدعمها (iCloud Keychain) ، ولكن من غير الواضح ما إذا كانت Google تفعل ذلك.
ومع ذلك ، قال ، كان نهج FIDO الشامل أداة رائعة لتحسين كل من الأمن وسهولة الاستخدام.
قال ويفر: “إنها حقًا خطوة جيدة إلى الأمام ، وأنا متحمس لرؤية ذلك”. “الاستفادة من المصادقة القوية لمالك الهاتف (إذا كان لديك كلمة مرور لائقة) أمر رائع. وعلى الأقل بالنسبة لـ iPhone ، يمكنك جعل ذلك قويًا حتى للتغلب على الهاتف ، لأن هذا هو الجيب الآمن الذي سيتعامل مع هذا والجيب الآمن يفعل لا تثق في نظام التشغيل المضيف.
قال عمالقة التكنولوجيا إن الميزات الجديدة بدون كلمات مرور سيتم تمكينها عبر منصات Apple و Google و Microsoft “في العام المقبل”. لكن الخبراء قالوا إن الأمر سيستغرق على الأرجح عدة سنوات أخرى لوجهات الويب الأصغر لاحتضان التكنولوجيا والتخلي عن كلمات المرور تمامًا.
تظهر الأبحاث الحديثة أن عددًا كبيرًا جدًا من الأشخاص لا يزالون يعيدون استخدام كلمات المرور أو إعادة تدويرها (عن طريق تغيير كلمة المرور نفسها بشكل طفيف) ، مما يشكل خطرًا على الاستيلاء على الحساب عندما يتم كشف بيانات الاعتماد هذه في النهاية أثناء القرصنة.خرق البيانات. أ أبلغ عن في مسيرة شركة الأمن السيبراني SpyCloud وجد أن 64٪ من المستخدمين يعيدون استخدام كلمات المرور لحسابات متعددة و 70٪ من بيانات الاعتماد التي تم اختراقها في الانتهاكات السابقة لا تزال قيد الاستخدام.
يتوفر مستند أبيض في مارس 2022 حول نهج FIDO هنا (بي دي إف). التعليمات حول هذا هو هنا.
“Social media addict. Zombie fanatic. Travel fanatic. Music geek. Bacon expert.”