کمیته رکن چهارم – آیا تصوری از احراز هویت و حفظ امنیت خودتان در فضای دیجیتال بدون اتکا به پسوردها یا رمزهای عبور دارید؟ تلاشی عظیم برای گذار از رمز عبور و جایگزینی آن با روشهای بهتر در جریان است.
سالها است که صحبتهای وسوسهانگیزی از یک آیندهی دیجیتال بدون رمز عبور بهگوش میرسد، اما شاید شما نیز تابهحال هیچ نشانهای از احتمال تحقق این رویا در آیندهی نزدیک ندیده باشید. اکنون فیدو الاینس (FIDO Alliance)، اعلام داشته است که یک گام دیگر به این هدف نزدیکتر شدیهایم و تکهی گمشدهی پازل درنهایت پیدا شده است. تمرکز انجمن صنعتی فیدو الاینس یا اتحادیهی فیدو بر ابداع روشهای نوین احراز هویت امن معطوف شده است.
بهتازگی اتحادیهی فیدو با انتشار اوراق سفیدی چشمانداز این سازمان برای حل مشکلات مربوط به قابلیت استفاده از فناوری خود را اعلام کرد؛ مشکلاتی که تاکنون روی ویژگیهای مفید این فناوری سایه افکنده و ظاهراً جلوی همهگیری استفاده از آن را گرفته است. تمام اعضای فیدو در انتشار این گزارش مشارکت داشتهاند، این اعضا شامل سازندگان چیپهای رایانهای مانند اینتل و کوالکوم نیز میشود. از دیگر اعضای فیدو میتوان به توسعهدهندگان بزرگ پلتفرمها مانند آمازون و متا، نهادهای مالی مانند امریکن اکسپرس و بانک آمریکا و توسعهدهندگان سیستمهای عامل مانند گوگل، مایکروسافت و اپل اشاره کرد.
گزارش منتشرشده، بیش از آن که دستورالعمل فنی باشد، یک راهنمای تئوری برای حل مشکلات مسیر پیش روی این اتحادیه است. پس از چندین سال تلاش در زمینهی ادغام استانداردهای فیدو ۲ و WebAuthn در محصولاتی مانند ویندوز، اندروید و iOS، انتشار این گزارش یک گام مثبت در جهت برداشتن موانع همهگیری استفاده از این فناوری است.
اندرو شیکیار، مدیر اجرایی اتحادیه فیدو در اینمورد میگوید:
نکتهی اصلی موفقیت فیدو به قابلیت استفادهی بالای آن برمیگردد. ما باید به اندازهی استفاده از رمز عبورها محبوب شویم. رمز عبورها تبدیل به بخشی از دیانای محیط وب شدهاند و ما تلاش میکنیم جایگزینی برای آن پیدا کنیم. استفاده نکردن از رمز عبور باید بیشتر از استفاده کردن از آن راحت باشد.
اما در عمل حتی سریعترین و بیعیبونقصترین روشهای عدماستفاده از رمز عبور نیز در مراحل ابتدایی توسعه قرار دارند. بخشی از چالشی که این فناوری با آن روبهرو است به عادت کردن کاربران در استفاده از رمز عبور برمیگردد؛ موضوعی که باعث میشود تا آنها به استفاده از روشهای جدید تأیید هویت روی خوش نشان ندهند. استفاده و مدیریت رمز عبورها مشکل است و همین موضوع باعث میشود برخی افراد به روشهای میانبر مانند استفاده از رمز عبورهای تکراری روی بیاورند که بهتبع خود باعث بروز مشکلات امنیتی میشود. اما درنهایت با وجود تمام این چالشها کاربران بهطور گسترده از رمز عبور استفاده میکنند. تجربه نشان داده است که آگاهیبخشی به مصرفکنندگان در مورد جایگزینهای رمز عبور و احساس راحتی آنها با تغییرات جدید یک فرایند طولانی و مشکل است.
علاوهبر چالش انطباقپذیری کاربران با این فناوری، اتحادیهی فیدو با یک چالش مهم دیگر نیز مواجه است و آن سختی ناوبری روشهای عدماستفاده از رمز عبور در بین پلتفرم و محصولات مختلف است. مهندسان فیدو معتقدند که راهحل ریشهای این مشکل جایگزین یا اضافه کردن یک دستگاه الکترونیکی است. درصورت استفاده از روشهای عدماستفاده از رمز عبور، اگر فرایند شروع استفاده از یک تلفنهمراه جدید بیشازحد پیچیده باشد و یک روش ساده برای ورود مجدد به تمام حسابها یا اپلیکیشنها وجود نداشته باشد، یا مثالاً برای اثبات مالکیت حساب شبکههای اجتماعی به استفادهی مجدد از رمز عبور نیاز باشد، در اینصورت بسیاری از کاربران عطای استفاده از این فناوری را به لقایش خواهند بخشید.
- اسکنرهای بیومتریک در غیاب پسووردها نقش کلیدی در احراز هویت کاربران خواهند داشت
استاندارد عدم استفاده از رمز عبور که اتحادیهی فیدو در حال توسعهی آن است برای احراز هویت کاربر به اسکنرهای بیومتریک دستگاهها مانند حسگرهای اثرانگشت یا یک مسترپین انتخابشده توسط کاربر متکی است. این احراز هویت بهصورت محلی (لوکال) بدون استفاده از اینترنت صورت میگیرد و هیچ دادهای از دستگاههای مورد استفادهی کاربر برای اعتبارسنجی به سرورها منتقل نمیشود. اتحادیهی فیدو معتقد است که ایدهی اصلی برای حل مشکل نیاز به استفاده از دستگاههای جدید، پیادهسازی ابزار مدیریتکنندهی هویتسنجی فیدو در سیستمعاملها است. این فرایند چیزی شبیه به برنامهی مدیریت رمز عبور درونساخت در سیستمهای عامل است. در این مکانیزم بهجای ذخیرهی رمزهای عبور، از روشهای ذخیرهسازی کلیدهای رمزنگاری استفاده میشود. این کلیدهای رمزنگاری را که توسط اسکنرهای بیومتریک یا قفل گوشی موبایل محافظت میشوند، میتوان بین دستگاههای مختلف همگامسازی کرده و به اشتراک گذاشت.
در کنفرانس جهانی توسعهدهندگان اپل که در تابستان گذشته برگزار شد، این شرکت از نمونهی مشابه فیدو بهنام کلید عبور Keychain بهعنوان یکی از ویژگیهای iCloud پردهبرداری کرد. اپل اعلام کرده است که کلیدهای عبور کیچین گامی بهسوی آیندهای بدون رمز عبور است.
- میخی بر تابوت رمز عبور
گرت دیویدسن، یکی از مهندسان مشغول در برنامهی احراز هویت اپل در ماه ژوئیهی سال گذشته میلادی (تیرماه ۱۴۰۰ خورشیدی) در کنفرانس توسعهدهندگان اپل گفت:
کلیدهای عبور مانند مدارک تأیید هویت WebAuthn هستند و از شاخصهای ایمنی شگفتانگیز این استاندارد در کنار قابلیت پشتیبانگیری و همگامسازی در تمام دستگاهها بهره میبرند. ما دادههای کیچین را در iCloud ذخیره میکنیم و مانند همهی دادههای دیگر در iCloud این دادهها نیز بهطور سرتاسری رمزگذاری میشوند و حتی اپل نیز نمیتواند آنها را بخواند…خوانش این دادهها از سوی کاربر نیز راحت است. در اکثر موارد برای دسترسی به دادههای احراز هویت به یک اشاره یا کلیک ساده نیاز است.
برای مثال اگر شما گوشی اپل قدیمی خود را گم کرده و یک گوشی دیگر خریده باشید، فرایند انتقال دادهها به گوشی جدید، هیچگونه پیچیدگی فراتر از روشهای احراز هویتی که اپل دراختیار خریداران محصولاتش میگذارد، نخواهد داشت. اما اگر آیفون خود را گم کردهاید و میخواهید از گوشی اندروید استفاده کنید، فرایند احراز هویت حسابها و اپلیکیشنها شاید بههمان راحتی نباشد. اما راهنمای منتشر شده توسط اتحادیهی فیدو دارای یک نکتهی قابلتوجه دیگر نیز هست. قابلیت جدیدی که فیدو پیشنهاد داده است میتواند به یکی از دستگاههای کاربر، مثلا لپتاپ او اجازه دهد تا نقش یک توکن سختافزاری را ایفا کند، چیزی شبیه به دانگلهای مستقل احرازهویت بلوتوثی که بهشما اجازه میدهد از طریق بلوتوث و بهصورت فیزیکی اقدام به تأیید هویت خود کنید. ایدهی اصلی فیدو در توسعهی این قابلیت این است که بلوتوث، باتوجه به پروتکل مبتنی بر فاصلهی آن، تقریباً یک فناوری ضدفیشینگ محسوب میشود، از اینرو میتوان از بلوتوث به شیوههای مختلفی در توسعهی طرحهای کنار گذاشتن رمز عبور بدون نیاز به ذخیرهی رمز عبور پشتیبان استفاده کرد.
- بلوتوث تقریباً یک فناوری ضدفیشینگ محسوب میشود
کریستین برند یکی از مدیران محصول شرکت گوگل است. تمرکز کاری او عمدتاً بر هویتسنجی و ایمنی دیجیتال بوده و از چند سال پیش در پروژههای اتحادیهی فیدو همکاری داشته است. برند معتقد است که طرحهای مبتنی بر کلیدعبور از لحاظ منطقی دنبالهروی تصویری از یک آیندهی بدون رمز عبور برای گوشیهای هوشمند یا اتصال چنددستگاهی است. او میگوید:
رویای بزرگ عبور کردن از دنیای رمز عبورها از مدتها پیش در ذهن خیلیها بوده است. اما [برای تحقق این رویا] پیش از همه چیز باید همهی کاربران در جیب خود گوشی هوشمند میداشتند، موضوعی که اکنون تقریباً محقق شده است. خوشبختانه کاربران برای استفاده از استاندارهای امنیتی که منجر به کنار گذاشتن رمز عبورها خواهند شد، تنها باید یک تغییر رفتاری کوچک انجام دهند؛ اما از لحاظ تکنولوژیک این یک جهش بزرگ روبهجلو خواهد بود.
گفتنی است گوگل تنها چند ماه بعد از تشکیل فیدو در سال ۲۰۱۳ به این اتحادیه پیوست. بزرگترین اولویت فیدو تغییر الگو و چارچوبهای امنیتی حسابهای کاربری است که منجر به از بینرفتن کلاهبرداریهای اینترنتی ازطریق جعل هویت یا همان فیشینگ خواهد شد. کلاهبرداران اینترنتی در فریب کاربران برای ارائهی ناخواستهی اطلاعات شخصی از جمله رمز عبورها از روشهای استادانهای استفاده میکنند و حتی کدهای احرازهویتهای دومرحلهای نیز از حملات فیشینگ در امان نیستند. جعل هویت و کلاهبرداری اینترنتی ازطریق آن علاوه بر سودهای مالی مجرمانهای که نصیب حملهکنندگان میکند، ممکن است بخشی از برنامههای جاسوسی و حملات سایبری خرابکارانه با هدف تأثیر بر ژئوپلیتیک و حوادث جهانی نیز باشد.
حتی اگر قبول کنیم که اتحادیهی فیدو فورمول جادویی را پیدا کرده است، بازهم دلایل زیادی وجود دارد که باور کنیم رمزهای عبور یکشبه ناپدید نخواهند شد. مهمترین دلیلش هم این است که همهی افراد از گوشیهای هوشمند استفاده نمیکنند؛ بنابراین در صورت دزدیده شدن یا گم شدن یک دستگاه، دستگاه پشتیبان دیگری برای جلوگیری از افشای اطلاعات وجود نخواهد داشت. همچنین سالها طول میکشد تا همهی افراد از دستگاهها و سیستمعاملهایی استفاد کنند که از راهحلهای فیدو برای کنارگذاشتن رمز عبور پشتیبانی میکنند. در این حین شرکتهای فناوری باید از دو روش لاگین مبتنی بر رمز عبور و بدون نیاز به رمز عبور پشتیبانی کنند. اتحادیهی فیدو در اوراق سفید اخیر و در گزارشهای پیشین، حمایت خود از این فرایند انتقال را اعلام کرده است، اما مانند تمام مهاجرتهای فناورانهی پیشین (ویندوز ایکسپی) مسیر کوچ، بهطرز غیرقابلاجتنابی دشوار خواهد بود.
- هیچ استانداردی مصون از خطا نخواهد بود و ضعفهای خود را خواهد داشت
با اینکه پشنهاد اتحادیهی فیدو در تعیین استانداردهای امنیتی برای عبور از دنیای رمز عبورها یک جهش بزرگ به سوی آیندهی دیجیتال امنتر است؛ اما نباید فراموش کرد که حتی استاندارهای آتی نیز مصون از خطا نخواهند بود. موفقیت فیدو به امنیت عملکرد هر یک از سیستمهای پیادهساز بستگی خواهد داشت. شما احتمالاً با کابوس اعتماد اجباری به روشهای مختلف احراز هویت اپلیکیشنها، شبکههای اجتماعی و دیگر سرویسهای اینترنتی آشنایی دارید؛ بااینحال باید به یاد داشته باشید که هیچ راه جایگزینی کامل و عاری از خطا نیست. در صورت عملیشدن راهکار فیدو، محیط متفاوت و احتمالاً بهتر و معقولانهتری ایجاد خواهد شد که نقاط ضعف و آسیبپذیریهای مخصوص خود را خواهد داشت. همانطور که فیدو اذعان کرده است، بهکارگیری گسترده از روشهای تأیید هویت بدون نیاز به رمز عبور بخشی از یک راهحل همهمنظوره است و ممکن است با الزامات شدیداً سختگیرانهی امنیتی در آینده همخوانی نداشته باشد.
جدای از همهی این مسائل صنعت فناوری باید راهی برای تبدیل اورق سفید فیدو به ویژگیهای کاربردی پیدا کند. راهحلی که استفاده از آن راحت بوده و کاربران را برای کوچ از پروتکلهای امنیتی مبتنی بر رمز عبور تشویق کند.
متیو گرین، دانشمند حوزهی رمزنگاری از دانشگاه جان هاپکینگز در اینمورد میگوید:
آنطور که اکنون بهنظر میرسد، کلیدهای عبور نسبت به رمزهای عبور عملکرد بهتر و امنیت بالاتری دارند. اما اگر رابط کاربری برای انتقال دروندستگاهی در برخی از دستگاهها ضعیف باشد، به این معنی است که در تمام دستگاهها ضعیف خواهد بود که همین امر باعث دلسرد شدن افراد میشود.
بعد از نزدیک به یک دهه تلاش، کاربرانی که به دنیای بدون رمز عبور امید بستهاند معتقدند اتحادیهی فیدو و پروژههای آن به حدی بزرگ و گسترده شده است که احتمال شکست آن وجود ندارد. وقتی از کریستین برند میپرسیم که آیا واقعا اینبار ناقوس مرگ رمز عبور بهصدا در آمده است، بدون لحظهای مکث پاسخ میدهد:
منبع : زومیت
