تفاحةو جوجل و مايكروسوفت أعلنت هذا الأسبوع أنها ستدعم قريبًا نهج المصادقة الذي يلغي كلمات المرور تمامًا ، بدلاً من مطالبة المستخدمين بفتح هواتفهم الذكية لتسجيل الدخول إلى مواقع الويب أو الخدمات عبر الإنترنت. يقول الخبراء إن هذه التغييرات ستساعد في هزيمة العديد من أنواع هجمات التصيد الاحتيالي وتخفيف العبء الإجمالي لكلمات المرور على مستخدمي الإنترنت ، لكنهم يحذرون من أن المستقبل بدون كلمات مرور حقيقية سيستغرق سنوات عديدة لمعظم مواقع الويب.
الصورة: Blog.google
عمالقة التكنولوجيا هم جزء من جهد تقوده الصناعة لتغيير كلمات المرور التي يتم نسيانها بسهولة ، أو يتم سرقتها بشكل متكرر بواسطة البرامج الضارة وعمليات الخداع الاحتيالي ، أو التي يتم تسريبها عبر الإنترنت في أعقاب انتهاكات بيانات الشركات.
دخلت Apple و Google و Microsoft في شراكة مع FIDO (“Fast Identity Online”) و The اتحاد الويب العالمي (W3C) ، فرق تعمل مع مئات من شركات التكنولوجيا على مدار العقد الماضي لتطوير معيار تسجيل دخول جديد يعمل بشكل موحد عبر متصفحات وأنظمة تشغيل متعددة.
وفقًا لـ FIDO Alliance ، يمكن للمستخدمين تسجيل الدخول إلى مواقع الويب من خلال نفس العملية التي تستغرق عدة مرات كل يوم لإلغاء قفل أجهزتهم – بما في ذلك رقم التعريف الشخصي للجهاز أو القياسات الحيوية مثل بصمة الإصبع أو مسح الوجه.
كتب التحالف في 5 مايو: “يحمي هذا النهج الجديد من التصيد الاحتيالي ويجعل تسجيل الدخول أكثر أمانًا مقارنة بالتقنيات التقليدية متعددة العوامل مثل كلمات المرور وكلمات المرور لمرة واحدة والتي يتم إرسالها عبر الرسائل القصيرة”.
سامباث سرينيفاسقال مدير التفويض الأمني في Google ورئيس تحالف FIDO أنه بموجب النظام الجديد ، سيقوم هاتفك بتخزين شهادة FIDO المسماة “Basque” والتي يمكن استخدامها لفتح حسابك على الإنترنت.
كتب سرينيفاس: “استنادًا إلى تشفير المفتاح العام ، فإنه يجعل تسجيل الدخول بكلمة مرور آمنًا للغاية ، حيث سيتم عرضه فقط على حسابك عبر الإنترنت عند فتح هاتفك المحمول”. “ستحتاج إلى هاتفك القريب لتسجيل الدخول إلى موقع الويب على جهاز الكمبيوتر الخاص بك. سيُطلب منك فتحه للوصول. بمجرد القيام بذلك ، لن تحتاج بعد الآن إلى إعادة تشغيل هاتفك ويمكنك تسجيل الدخول عن طريق إلغاء قفل جهاز الكمبيوتر الخاص بك.
مثل ZDNet ملاحظاتتدعم Apple و Google و Microsoft هذه المعايير الخالية من كلمة المرور (على سبيل المثال “تسجيل الدخول باستخدام Google”) ، ولكن يجب على المستخدمين تسجيل الدخول إلى كل موقع ويب لاستخدام وظيفة خالية من كلمة المرور. بموجب هذا النظام الجديد ، سيتمكن المستخدمون من الوصول تلقائيًا إلى كلمات المرور الخاصة بهم عبر أجهزة متعددة – دون الحاجة إلى إعادة تسجيل كل حساب – لاستخدام أجهزتهم المحمولة لتسجيل الدخول إلى تطبيق أو موقع ويب على جهاز قريب.
يوهانس أولريتشالتين البحث عن شركة SANS Technologyووصف الإعلان بأنه “المحاولة الواعدة لحل تحدي الاعتماد”.
قال أولريتش: “أهم جزء في هذا المعيار هو أنه لا يتعين على المستخدمين شراء جهاز جديد ، ولكن بدلاً من ذلك يمكنهم استخدام الأجهزة الموجودة لديهم بالفعل ومعرفة كيفية استخدامها كمصدقين”.
ستيف بيلوأستاذ علوم الكمبيوتر والإنترنت المبكر في جامعة كولومبيا باحث ورائدوُصف بأنه “أكبر تحسن” في التعرف على مبادرة خالية من كلمة المرور ، لكنه قال إن العديد من المواقع الإلكترونية ستستغرق وقتًا طويلاً للحاق بالركب.
يدعي Bellow وآخرون أنه في موقف صعب مع برنامج المصادقة الجديد بدون كلمة مرور ، إذا فقد شخص ما جهازه المحمول أو تعطل هاتفه ، فلن يتمكن من استعادة كلمة مرور iCloud.
قال بيلوين: “أشعر بالقلق بشأن الأشخاص الذين لا يستطيعون شراء جهاز إضافي أو يمكنهم بسهولة استبدال جهاز مكسور أو مسروق”. “أنا قلق بشأن استعادة كلمة المرور للحسابات السحابية.”
جوجل يقول حتى إذا فقدت هاتفك المحمول ، “ستتم مزامنة كلمات المرور الخاصة بك بشكل آمن مع هاتفك المحمول الجديد من النسخة الاحتياطية السحابية ، مما يتيح لك استرداد جهازك القديم من ساحة الانتظار.”
تمتلك Apple و Microsoft حلول نسخ احتياطي سحابي يمكن للعملاء الذين يستخدمون هذه المواقع استخدامها للاسترداد من جهاز محمول مفقود. ولكن وفقًا لـ Bellow ، فإن ذلك يعتمد على مدى أمان إدارة أنظمة السحابة هذه.
“ما مدى سهولة إضافة مفتاح عام إلى جهاز آخر بدون مصادقة؟” تفاجأ بيلو. “أعتقد أن أخلاقهم تجعل ذلك مستحيلاً ، لكن الآخرين لا يوافقون”.
نيكولاس ويفرمحاضر في مجال علوم الحاسوب جامعة كاليفورنيا، بيركليوقال إن المواقع الإلكترونية يجب أن تظل لديها بعض آليات الاسترداد في حالة “فقد هاتفك وكلمة المرور الخاصة بك” ، والتي وصفها بأنها “مشكلة صعبة للغاية بشكل آمن وهي بالفعل واحدة من أكبر نقاط الضعف في نظامنا الحالي”.
قال ويفر في رسالة بالبريد الإلكتروني: “إذا نسيت كلمة مرورك وفقدت هاتفك واستعادته ، فهذا هدف كبير للمهاجمين”. “إذا نسيت كلمة مرورك وفقدت هاتفك المحمول ، فستفقد الآن رمز المصادقة المستخدم لتسجيل الدخول. يجب أن يكون الأخير. تمتلك Apple البنية التحتية لدعمها (iCloud keychain) ، ولكن ليس من الواضح ما إذا كانت Google ستفعل ذلك.
ومع ذلك ، قال إن نهج FIDO الشامل هو أداة ممتازة لتحسين الأمن وسهولة الاستخدام.
قال ويفر: “إنها خطوة جيدة وأنا سعيد برؤية ذلك”. “من الجيد جدًا استخدام المصادقة القوية لمالك الهاتف (إذا كان لديك رمز مرور لائق). وعلى الأقل بالنسبة لجهاز iPhone ، حتى التنازلات الهاتفية يمكن أن تجعل هذا الأمر قوياً ، لأنه جيب آمن يتعامل معه ولا يثق في نظام تشغيل مضيف آمن.
تقول أساطير التكنولوجيا إن الإمكانيات الجديدة الخالية من كلمات المرور سيتم تنفيذها “في العام المقبل” على أنظمة تشغيل Apple و Google و Microsoft. لكن الخبراء يقولون إن الأمر سيستغرق سنوات عديدة حتى تتبنى مواقع الإنترنت الصغيرة التكنولوجيا وتتخلص من كلمات المرور تمامًا.
تظهر الأبحاث الحديثة أن العديد من الأشخاص يعيدون استخدام كلمات المرور أو يعيدون استخدامها (بتعديل بسيط لكلمة المرور نفسها) ، مما يشكل خطرًا على اكتساب الحساب عندما يتم كشف بيانات الاعتماد هذه في خرق للبيانات. أ تقرير مسيرة من الأمن السيبراني SpyCloud يجد 64٪ من المستخدمين أنهم يعيدون استخدام كلمات المرور لحسابات متعددة ، و 70٪ من بيانات الاعتماد التي تم اختراقها في الانتهاكات السابقة لا تزال قيد الاستخدام.
يتوفر الكتاب الأبيض لشهر مارس 2022 حول نهج FIDO هنا (بي دي إف). لديها التعليمات هنا.
“مهووس البيرة. النينجا الشرير لثقافة البوب. عالم القهوة في الحياة. مدرس محترف للإنترنت. مدرس اللحوم.”
More Stories
سوني تغلق خوادم LittleBigPlanet 3 وNuking Fan Creations
يبلغ سعر جهاز HD Chromecast من Google 20 دولارًا فقط
ما هو تاريخ مداهمة التنسيق النهائي المثير للجدل للعبة Destiny 2؟