درباره استاندارد FIDO/W3C چه میدانیم
گذر از عصر گذرواژهها
تاریخ انتشار
يکشنبه ۸ خرداد ۱۴۰۱ ساعت ۱۱:۰۱
آیتیمن- این استاندارد توسط FIDO Alliance با مشارکت W3Cدر حال توسعه است. این اقدامی جدی است در جهت ترک گذرواژهها به نفع احراز هویت مبتنی بر گوشی هوشمند یا دستکم از دریچه نگاه کاربر اینطور دیده میشود. شایان ذکر است که زمزمههای مرگ گذرواژه ده سالی میشود که پیچیده است. هرچند که اقدمات پیشین برای این روش غیرقابلاعتماد احراز هویت کاربری راه به جایی نبرده است.
در این مقاله مزایای استاندارد جدید FIDO/W3C را بررسی خواهیم کرد اما ابتدا بیایید با این سوال آشکار شروع کنیم که اساساً مشکل گذرواژهها چیست؟
مشکل گذرواژهها
عیب اصلی گذرواژه سرقت آساناش است. در روزهای اول اینترنت وقتی تقریباً همه ارتباطات بین کامپیوترها رمزگذارینشده بود، گذرواژهها در متن ساده منتقل میشدند. با رشد قارچگونه نقاط دسترسی شبکه عمومی- در کافهها، کتابخانهها و وسایل حمل و نقل- این به یک معضل بزرگ تبدیل شد: مهاجم میتوانست بدون اینکه از خود ردی به جا بگذارد گذرواژه رمزگذارینشده را رهگیری کند. اما این مشکل گذرواژه سرقتشده از اوایل تا اواسط دهه 2010 به اوج خود رسید، موجی از هکهای اساسی روی سرویسهای بزرگ اینترنتی شکل گرفت و گذرواژههای کاری و آدرسهای ایمیل به صورت انبوه سرقت میشدند.
این روزها البته نشتی دادهها کمتر احتمال دارد حاوی گذرواژههای متن ساده باشند: بسیاری از سرویسهای اینترنتی مدتهاست متوجه شدهاند که ذخیره اطلاعات حساس کاربری به صورت رمزگذارینشده دستورالعمل رسیدن به فاجعه است. پس هش کردن گذرواژهها دیگر به عرف تبدیل شده- و گذرواژهها در قالب رمزگذاریشده ذخیره میشوند. مشکل این بخش هم این است که اگر گذرواژه ساده باشد هنوز میشود با حمله جستوجوی فراگیرِ همه ترکیبهای احتمالی یا با حمله دیکشنری، گذرواژه را از پایگاه داده رمزگذاریشده استخراج کرد.
مشکل دیگر اینکه بسیاری از افراد برای سهولت در حفظ کردن، از گذرواژههای بسیار ضعیف استفاده میکنند؛ این گذرواژهها را میشود خیلی راحت از پایگاه داده نشتشده استخراج کرد حتی اگر رمزگذاری شده باشند. علاقه به سادگی و راحتی مستقیم به مشکل سوم منجر میشود: استفاده از همان گذرواژه برای سرویسها و اکانتهای مختلف. بنابراین یک نشت داده از تالار آنلاین قدیمی که اصلا یادتان نمیآید چه زمان در آن ثبتنام کرده بودید، میتواند به دلیل اینکه از همان گذرواژه برای اکانت ایمیل اصلیتان استفاده کردهاید آن اکانتتان را نیز از بین ببرد.
گذرواژه و ملحقات آن
مشکل البته برای این یکی دو روز نیست بلکه بسیار قدیمی است و از این روست که بیشتر سرویسها دیگر فقط به یک گذرواژه ساده بسنده نمیکنند. اکنون فناوری احراز هویت چندعاملی هم به این بدنه اضافه شده است. موقع sign in کردن به سرویسهای داخلی، شبکههای اجتماعی، اکانتهای بانکی و غیره معمولاً از شما کد یکبار مصرف خواسته میشود. این کد به صورت پیام متنی برایتان فرستاده میشود یا در اپ بانکی روی گوشیتان یا اپ مخصوص برای احراز هویت کاربری چند عاملی مانند Google Authenticator ارسال میگردد. سیستمهای بسیار پیچیده از کلید سختافزاری که در پورت یواسبی روی کامپیوتر درج میشوند استفاده میکنند یا از طریق بلوتوث یا انافسی به گوشی هوشمند شما وصل میشوند. در برخی موارد اصلاً به گذرواژه نیازی هم نمیشود. برای مثال وقتی به اکانت مایکروسافت sign in میکنید یک گذرواژه یکبار مصرف به ایمیلتان ارسال میشود. به طور پیشفرض اپ پیامرسان تلگرام از احراز هویت مبتنی بر کدهای یکبار مصرف ارسالی در قالب پیام متنی استفاده میکند که در آن نیازی هم به گذرواژه نیست. با این وجود در بیشتر موارد گذرواژهها هنوز هم در قالب بکآپ احراز هویت وجود دارند اما صرف تکیه بر آنها روی کدهای عبور متنمحور به دلایلی نمیتواند ایده خوبی باشد. کوتاه بگوییم که مدتهاست درک شده آینده دیگر به گذرواژهها تعلق ندارد و اکنون احتمال میرود که آینده بدون رمزعبور در حال ظهور است.
احراز هویت بدون رمزعبور
برای پرداختن به موارد مهم و اساسی، این استاندارد احراز هویت جدید بدون گذرواژه، رمزعبور (یا همان کلید عبور) را به مؤلفهای تماماً فنی تبدیل کرده که کاربر دیگر آن را نمیبیند. این استفاده از کلیدهای قوی و منحصر به فرد و نیز کریپتوگرافی قدرتمندی را میسر میسازد. در عوض زندگی برای سارقان سایبری سخت میشود و تضمین داده میشود اگر اکانتی هک شد هیچ اکانت دیگری قربانی این عمل نخواهد شد. برای کاربران شبیه به تأیید لاگین به شبکهای اجتماعی، اکانت ایمیل یا سرویس بانکداری آنلاین از گوشی هوشمند خواهد بود. مانند پرداخت با گوشی هوشمند که امروزه انجام میدهیم: دستگاه را با پین یا احراز هویت تشخیص چهره یا اثر انگشت آنلاک کرده و تراکنش را تأیید میکنیم تنها تفاوتش این است که به جای پرداخت به اکانت خود sign in میکنید. افزون بر این استاندارد مذکور توسعهدادهشده توسط FIDO قابلیت اضافی دیگری هم دارد در قالب احراز هویت بلوتوثی روی چندین دستگاه. برای مثال لاگین اکانت روی لپتاپ اگر دستگاه، گوشی هوشمند معتمدی را در این حوالی ببیند سریعتر پیش خواهد رفت. این سیستم احراز هویت جذاب برای اکثریت کاربران کار خواهد کرد به استثنای آنهایی که شاید بخواهند هنوز از گوشی هوشمندهای از رده خارج استفاده کنند. با پشتیبانی این سه غول فناوری، قابلیت جدید به زودی جهانی خواهد شد.
اما آیا به نفع امنیت خواهد بود؟ بیایید مزایا و معایب این فناوری را نیز مورد بررسی قرار دهیم.
مزایای احراز هویت بدون گذرواژه
حمایت گوگل، اپل و مایکروسافت میتواند قوت قلبی باشد که سرویسهای بزرگ مانند جیمیل، یوتیوب، آیکلود و اکسباکس نیز (به همراه سیستمعامل آیاواس، اندروید و ویندوز) نیز بهزودی به این فناوری روی آورند. از آنجا که این استاندارد یکپارچه و باز است باید روی هر دستگاهی یکسان کار کند. گزینه سوئیچ از یک دستگاه به دستگاه دیگر نیز تضمین داده میشود.
مزیت اصلی این روش جدید پیچیده شدن فیشینگ برای مهاجمین است. سرقت سنتی گذرواژه با ساختن وبسایت جعلی بانکی یا هر وبسایت جعلی دیگر و گول زدن قربانی برای بازدید از آن انجام میشد. آنجا کاربر اطلاعات محرمانه خود را وارد میکرد و مهاجم به اکانت بانکی دسترسی داشت. جدای احراز هویت کاربر این استاندارد جدید خود سرویس را نیز احراز هویت میکند. صرف ارسال درخواست برای احراز هویت روی منبع وبی فردی دیگر کارساز نخواهد بود. نشت رمزعبور هم برای کاربر تهدید حساب نخواهد شد. در آخر اینکه این سیستم جدید سادگی و شهودی بودن را تضمین میدهد. اگر بدرستی اجرایی شود جایگزین کردن گذرواژهها حتی برای اکانتهای از پیش موجود نیز باید ساده شود و این حمایت وعدهداده شده در سطح سیستم عامل نیز دیگر مستلزم نصب اپ نخواهد بود.
معایب احراز هویت بدون گذرواژه
این استاندارد نباید مشکل خاصی ایجاد کند اما این سوال پیش میآید که اگر کسی به گوشی هوشمند قابلاعتماد من دستبرد بزند و لاگین به همه اکانتهایم را تأیید کند چه؟ پاسخ ساده است: در مدل امنیتی واقعگرایانه هیچ راهکار بدون ایرادی وجود ندارد. هر چیزی قابل هک شدن است. از اینها گذشته حتی اگر شما در سر گذرواژه 128 کاراکتری و رندوم را نیز ذخیره کنید راههایی وجود دارد که از مغزتان آن را نیز استخراج کنند. همیشه افراد در تلاشند به اکانتها دسترسی داشته باشند. اما چنین هکهایی هدفهای فردی یا هدفهایی اولی هستند (اصطلاحاً بدان حمله بوتیکی گفته میشود). وقتی صحبت از بازار انبوه میشود، شدت رواج سرقت گذرواژه چندین مرتبه از سرقت گوشی هوشمندها و استفاده از محتوای دیجیتالشان بیشتر است و هدف این فناوری جدید، حل این مشکل است. آن اوایل که بیومتریک هم میخواست معرفی شود چنین شکهایی وجود داشت وبسیاری نگران بودند که فردی اثر انگشتشان را بدزدد و موبایلشان را آنلاک کند.
مطمئناً این استاندارد جدید انتقال سیستم احراز هویت از یک دستگاه به دیگری را ممکن میسازد. سادهترین راه زمانی است که دو گوشی دارید و اگر گوشی قدیمی گم شود بیشک باید برای احراز هویت خود از روش بکآپ استفاده کنید. اما این که چه نوع بکآپی، هنوز مشخص نیست. احتمالاً به تنظیمات دستگاه مربوطه بستگی خواهد داشت. در نتیجه باید این سوال را نیز پرسید: این سیستم جدید، کاربران را به کارکرد اکانتهایشان در گوگل و اپل وابسته نمیکند؟ آیا بلاک کردن اکانت گوگل به عدم دسترسی به همه منابع آنلاین به طور کلی منجر خواهد شد؟ حتی اگر فرض را بر این بگیریم که استانداد مربوطه باز است، سیستم عاملهای گوشی هوشمند و زیرساخت چنین نخواهند بود.
آینده روشن
حتی فردی شکاک هم نمیتواند اذعان کند گذرواژهها وجودشان از عدم وجودشان بهتر است. مفهوم منسوخ شدن گذرواژه مدتهاست نیاز به بازنگری داشته است. استاندارد بدون گذرواژه FIDO وعده میدهد خیلی مسائل را سامان دهد اما همچنین به مقامات اجرایی نیز وابسته است: گوگل، اپل، مایکروسافت و همکاران. اگر همگی متحد شوند زندگی دیجیتال ما کمی سادهتر و امنتر خواهد شد. اما احتمال میرود این اتفاق یکشبه هم رخ ندهد: گذرواژهها در تار و پود اینتنرت امروزی ما رخنه کردهاند و سالها زمان میبرد تا بشود آنها را تماماً از بستر نت پاک کرد، حتی اگر گزینه جدید، یک سیستم پیشرفته بینظیر باشد!
مرجع : کسپرسکی آنلاین