در روز جهانی رمز عبور چه گذشت ؟ آینده بدون رمز عبور؟

در روز جهانی رمز عبور  که در ماه می ، برگزار شد ، همزمان با اخبار مرتبط از سه شرکت بزرگ فناوری اطلاعات از جمله : گوگل، مایکروسافت و اپل برنامه‌های خود را برای فناوری جدیدی در خصوص جایگزینی رمز عبور اعلام کردند.

این استاندارد توسط اتحاد FIDO، همراه با کنسرسیوم وب جهانی (W3C) توسعه یافته است، که اساساً نحوه ظاهر و عملکرد اینترنت مدرن را مشخص می کند. این یک تلاش کاملا جدی برای کنار گذاشتن رمزهای عبور به نفع احراز هویت مبتنی بر تلفن هوشمند است، یا حداقل از دیدگاه کاربران اینگونه به نظر می رسد.

با این حال، شایان ذکر است که "مرگ گذرواژه ها" حدود یک دهه است که مطرح شده است. و تلاش‌های قبلی برای از بین بردن این روش غیرقابل اعتماد احراز هویت کاربر، عملاً به جایی نرسیده است و رمزهای عبور هنوز با ما هستند. این مقاله به بررسی مزایای استاندارد جدید FIDO/W3C می پردازد. اما بیایید با بیان مجدد چیزهای بدیهی شروع کنیم: رمز عبور چه مشکلی دارد؟

مشکل با پسوردها :

ایراد شماره یک پسوردها این است که سرقت آنها نسبتاً آسان است. در روزهای اولیه شروع استفاده از اینترنت، زمانی که تقریباً تمام ارتباطات بین رایانه ها رمزگذاری نشده بود، رمزهای عبور به صورت متن ساده منتقل می شدند. با رشد قارچ گونه نقاط دسترسی شبکه عمومی در کافه ها، کتابخانه ها، و در وسایل حمل و نقل و ...  این یک مشکل واقعی شد: یک مهاجم می تواند یک رمز عبور رمزگذاری نشده را بدون اینکه متوجه شود رهگیری کند.

اما موضوع رمزهای عبور دزدیده شده در اوایل تا اواسط دهه 2010 پس از موجی از هک‌های گسترده در سرویس‌های اینترنتی بزرگ، با سرقت عمده آدرس‌های ایمیل و رمزهای عبور کاربران، منفجر شد. به جرات می توان گفت که تمام رمزهای عبور ده سال پیش شما در جایی در دامنه عمومی شناور هستند. اگر ما را باور نمی کنید؟ سرویس مفید HaveIBeenPwned را بررسی کنید.

این روزها، البته، احتمال کمتری وجود دارد که درزها حاوی رمزهای عبور متن شفاف باشند: بسیاری از سرویس‌های اینترنتی مدت‌هاست متوجه شده‌اند که ذخیره اطلاعات حساس کاربر بدون رمزگذاری، دستور العملی فاجعه بار است. بنابراین هش شدن رمزهای عبور ( یعنی به شکل رمزگذاری شده) یکی از ضرورات در ذخیره می باشد.

مشکل اینجاست که اگر رمز عبور ساده باشد، باز هم می‌توان آن را از یک پایگاه داده رمزگذاری‌شده با اعمال فشار بر همه ترکیب‌های ممکن استخراج کرد. رمزگشایی رمز عبور هش شده در صورتی که رمز اصلی چیزی شبیه به"123123" باشد، بازی کودکانه است. این دومین مشکل رمزهای عبور است بسیاری از افراد از رمزهای عبور بسیار ضعیفی استفاده می کنند که به راحتی از پایگاه داده لو رفته استخراج می شوند  حتی اگر رمزگذاری شده باشند.

و میل به سادگی و راحتی مستقیماً منجر به سومین مشکل رمز عبور می شود: استفاده از رمز عبور یکسان برای حساب ها و خدمات مختلف. بنابراین، نشت داده‌ها از برخی انجمن‌های آنلاین قدیمی، که حتی به خاطر نمی‌آورید در آن ثبت نام کرده باشید، می‌تواند منجر به از دست دادن حساب ایمیل اصلی شما شود زیرا از همان رمز عبور استفاده کرده‌اید.

رمز عبور به علاوه یک مقدار اضافی :

البته مشکل بسیار جدید نیست، بنابراین بیشتر سرویس‌ها دیگر تنها به یک رمز عبور تکیه نمی‌کنند، بلکه از نوعی احراز هویت چند عاملی استفاده می‌کنند. هنگام ورود به سرویس‌های اینترنتی، شبکه‌های اجتماعی، حساب‌های بانکی و غیره، معمولاً پس از وارد کردن اطلاعات کاربری، از شما یک کد یکبار مصرف خواسته می‌شود. این کد در یک پیام متنی ارسال می شود یا به برنامه بانکی تلفن شما یا یک برنامه ویژه برای احراز هویت چند عاملی کاربر مانند Google Authenticator تحویل داده می شود. سیستم‌های بسیار پیچیده از یک کلید سخت‌افزاری استفاده می‌کنند که در پورت USB رایانه قرار می‌گیرد یا از طریق بلوتوث یا NFC به تلفن هوشمند شما متصل می‌شود.

در برخی موارد، به هیچ وجه نیازی به رمز عبور ندارید. به عنوان مثال، هنگامی که وارد حساب کاربری مایکروسافت می شوید، یک رمز عبور یک بار مصرف از طریق ایمیل برای شما ارسال می شود. به‌طور پیش‌فرض، اپلیکیشن پیام‌رسان تلگرام از احراز هویت بر اساس کدهای یک‌بار مصرف ارسال شده در پیام‌های متنی استفاده می‌کند، بدون نیاز به رمز عبور (اگرچه رمز عبور به عنوان یک اقدام امنیتی اضافی توصیه می‌شود).

با این حال، در بیشتر موارد، رمزهای عبور هنوز به عنوان یک فرم پشتیبان احراز هویت وجود دارند. اما تکیه صرف بر رمزهای عبور مبتنی بر متن نیز به چند دلیل ایده خوبی نیستند. به طور خلاصه، مدتهاست که درک شده است که آینده متعلق به رمزهای عبور نیست. اکنون، در نهایت، به نظر می رسد که این آینده در نزدیکی است.

استاندارد جدید احراز هویت بدون رمز عبور طراحی شده توسط FIDO/W3C چیست؟

استاندارد جدید احراز هویت بدون رمز عبور، رمز عبور را به عنصری کاملاً فنی تبدیل می کند که کاربر دیگر آن را نمی بیند. این امکان استفاده از کلیدهای قوی و منحصر به فرد و رمزنگاری قدرتمند را فراهم می کند. این به نوبه خود زندگی را برای سارقان سایبری سخت‌تر می‌کند و تضمین می‌کند که در صورت هک شدن یک حساب، هیچ حساب دیگری از دست نخواهد رفت و افشای "راز" به فیشرها را غیرممکن می‌کند.

برای کاربران، به این شکل است که آنها برای ورود به یک شبکه اجتماعی، حساب ایمیل یا خدمات بانکداری آنلاین  از تلفن هوشمند استفاده می کنند. قفل دستگاه را از طریق پین یا احراز هویت چهره/اثرانگشت باز می‌کنند و یا برای پرداخت «تراکنش» ، وارد حساب خود می‌شوند. با انجام این کار، باز کردن قفل موفقیت آمیز تأیید می کند که شما هستید. خوب به نظر می رسد!

علاوه بر این، استاندارد در حال توسعه توسط FIDO دارای یک ویژگی اضافی در قالب احراز هویت بلوتوث در چندین دستگاه است. به عنوان مثال، اگر دستگاه یک گوشی هوشمند مورد اعتماد را در نزدیکی خود ببیند، ورود به حساب در لپ تاپ سریعتر است. این سیستم احراز هویت هیجان انگیز برای اکثریت قریب به اتفاق کاربران کار خواهد کرد، به جز آنهایی که به استفاده غیراصولی از تلفن دکمه ای ادامه می دهند. با پشتیبانی سه غول اینترنتی، این ویژگی در آینده نزدیک جهانی خواهد شد. پس آیا برای امنیت خوب خواهد بود؟ بیایید به مزایا و معایب فناوری جدید نگاه کنیم.

مزایای احراز هویت بدون رمز عبور

پشتیبانی گوگل، اپل و مایکروسافت دلیلی برای این باور است که هر دو سرویس اصلی (Gmail، YouTube، iCloud، Xbox) و همه دستگاه‌های iOS، Android و Windows به زودی به سمت احراز هویت بدون رمز عبور خواهند رفت. از آنجایی که استاندارد یکپارچه و باز است، احراز هویت باید در هر دستگاهی یکسان عمل کند. به علاوه گزینه تغییر از یک دستگاه به دستگاه دیگر وعده داده شده است. آیفون خود را با گلکسی سامسونگ عوض کردید؟ مشکلی نیست: می توانید گوشی هوشمند جدید را به عنوان دستگاه تأیید ورود خود تعیین کنید.

مزیت اصلی روش جدید این است که فیشینگ را به طور جدی پیچیده می کند. سرقت رمز عبور سنتی با ایجاد یک بانکداری جعلی یا وب سایت دیگر و جذب قربانی به آن کار می کند. در آنجا، کاربر اعتبار ورود خود را وارد می کند و تمام . مهاجم به حساب بانکی دسترسی دارد. استاندارد جدید علاوه بر احراز هویت کاربر، صحت خود سرویس را بررسی می کند. ارسال یک درخواست برای احراز هویت در منبع وب شخص دیگری کارساز نخواهد بود. همچنین افشای رمز عبور تهدیدی برای کاربران نخواهد بود.

در نهایت، سیستم جدید قول می دهد ساده و شهودی باشد. اگر به درستی اجرا شود، جایگزینی رمزهای عبور حتی برای حساب های موجود باید بسیار ساده می باشد، و پشتیبانی وعده داده شده در سطح سیستم عامل در گوشی های هوشمند حتی نیازی به نصب هیچ برنامه ای نخواهد داشت. به سادگی به سایت مورد نظر خود بروید، شناسه خود را وارد کنید و درخواست را در گوشی هوشمند خود تأیید کنید. همه چیز تمام شد!

مشکلاتی که بدون رمز عبور حل نمی شود؟

به طور دقیق، این نباید به عنوان یک مشکل در نظر گرفته شود، اما بسیاری از مردم مطمئناً این سوال را می پرسند: اگر شخصی به گوشی هوشمند "معتمد" من دست پیدا کند و ورود به همه حساب های من را تایید کند، چه؟ پاسخ بسیار ساده است: در یک مدل امنیتی واقع گرایانه، هیچ راه حل فعلا وجود ندارد. هر چیزی را می توان هک کرد . به هر حال، حتی اگر رمزهای عبور واقعی تصادفی 128 کاراکتری خود را به طور انحصاری در ذهن خود ذخیره کنید، راه های اثبات شده ای برای استخراج آنها از شما وجود دارد.

مطمئناً تلاش هایی برای هک کردن تلفن های هوشمند فردی برای دسترسی به حساب ها وجود دارد. اما چنین هک‌هایی فردی خواهند بود که اهداف خاصی را دنبال می کنند وقتی صحبت از بازار انبوه - یعنی تهدیدات روزمره در زندگی واقعی - می شود ، سرقت رمز عبور چندین مرتبه گسترده تر از سرقت تلفن های هوشمند و استفاده از محتوای دیجیتال آنها است. و فناوری جدید با هدف حل این مشکل طراحی شده است.

به یاد بیاورید که تردیدهای مشابهی در مورد معرفی انبوه بیومتریک ابراز شد. در آن زمان، بسیاری از مردم به طور مشابه نگران بودند که کسی اثر انگشت آنها را بدزدد (در هاردکورترین نسخه، با قطع انگشت آنها) و قفل گوشی هوشمند آنها را باز کند. تروی هانت، خالق HaveIBeenPwned فوق، سال گذشته یک مقاله کامل در مورد یک موضوع مرتبط نوشت: در یک مدل امنیتی واقعی، بیومتریک قوی تر از رمز عبور است.

آینده ای روشن

حتی یک فرد شکاک هم به سختی می تواند استدلال کند که رمزهای عبور بهتر از بدون رمز عبور بودن است. مفهوم رمز منسوخ شده مدتهاست که نیاز به بازنگری دارد. استاندارد بدون رمز عبور FIDO وعده می دهد که بسیاری از چیزها را مستقیماً تنظیم می کند، اما بسیاری از موارد نیز به مجریان آن بستگی دارد: گوگل، اپل، مایکروسافت و دیگران. اگر آنها آن را درست انجام دهند، زندگی دیجیتالی ما کمی آسان‌تر و امن‌تر می‌شود. اما بعید است که یک شبه اتفاق بیفتد: گذرواژه‌ها آنقدر در اینترنت امروزی جا افتاده‌اند که سال‌ها طول می‌کشد تا کاملاً پاک شوند  حتی با وجود یک سیستم جدید بهبودیافته.