گذر از عصر گذرواژه‌ها

آی‌تی‌من- این استاندارد توسط FIDO Alliance با مشارکت  W3Cدر حال توسعه است. این اقدامی جدی است در جهت ترک گذرواژه‌ها به نفع احراز هویت مبتنی بر گوشی هوشمند یا دست‌کم از دریچه نگاه کاربر اینطور دیده می‌شود. شایان ذکر است که زمزمه‌های مرگ گذرواژه ده سالی می‌شود که پیچیده است. هرچند که اقدمات پیشین برای این روش غیرقابل‌اعتماد احراز هویت کاربری راه به جایی نبرده است.

در این مقاله مزایای استاندارد جدید FIDO/W3C را بررسی خواهیم کرد اما ابتدا بیایید با این سوال آشکار شروع کنیم که اساساً مشکل گذرواژه‌ها چیست؟

 مشکل گذرواژه‌ها
عیب اصلی گذرواژه سرقت آسان‌اش است. در روزهای اول اینترنت وقتی تقریباً همه ارتباطات بین کامپیوترها رمزگذاری‌نشده بود، گذرواژه‌ها در متن ساده منتقل می‌شدند. با رشد قارچ‌گونه‌ نقاط دسترسی شبکه عمومی- در کافه‌ها، کتابخانه‌ها و وسایل حمل و نقل- این به یک معضل بزرگ تبدیل شد: مهاجم می‌توانست بدون اینکه از خود ردی به جا بگذارد گذرواژه رمزگذاری‌نشده را رهگیری کند. اما این مشکل گذرواژه سرقت‌شده از اوایل تا اواسط دهه 2010 به اوج خود رسید، موجی از هک‌های اساسی روی سرویس‌های بزرگ اینترنتی شکل گرفت و گذرواژه‌های کاری و آدرس‌های ایمیل به صورت انبوه سرقت می‌شدند. 

این روزها البته نشتی داده‌ها کمتر احتمال دارد حاوی گذرواژه‌های متن ساده باشند: بسیاری از سرویس‌های اینترنتی مد‌ت‌هاست متوجه شده‌اند که ذخیره اطلاعات حساس کاربری به صورت رمزگذاری‌نشده دستورالعمل رسیدن به فاجعه است. پس هش کردن گذرواژه‌ها دیگر به عرف تبدیل شده- و گذرواژه‌ها در قالب رمزگذار‌ی‌شده ذخیره می‌شوند. مشکل این بخش هم این است که اگر گذرواژه ساده باشد هنوز می‌شود با حمله جست‌وجوی فراگیرِ همه ترکیب‌های احتمالی یا با حمله دیکشنری، گذرواژه را از پایگاه داده رمزگذاری‌شده استخراج کرد.

مشکل دیگر اینکه بسیاری از افراد برای سهولت در حفظ کردن، از گذرواژه‌های بسیار ضعیف استفاده می‌کنند؛ این گذرواژه‌ها را می‌شود خیلی راحت از پایگاه داده نشت‌شده استخراج کرد حتی اگر رمزگذاری‌ شده باشند. علاقه به سادگی و راحتی مستقیم به مشکل سوم منجر می‌شود: استفاده از همان گذرواژه برای سرویس‌ها و اکانت‌های مختلف. بنابراین یک نشت داده‌ از تالار آنلاین قدیمی که اصلا یادتان نمی‌آید چه زمان در آن ثبت‌نام کرده بودید، می‌تواند به دلیل اینکه از همان گذرواژه برای اکانت ایمیل اصلی‌تان استفاده کرده‌اید آن اکانت‌تان را نیز از بین ببرد.

 گذرواژه و ملحقات آن
مشکل البته برای این یکی دو روز نیست بلکه بسیار قدیمی است و از این روست که بیشتر سرویس‌ها دیگر فقط به یک گذرواژه ساده بسنده نمی‌کنند. اکنون فناوری احراز هویت چندعاملی هم به این بدنه اضافه شده است. موقع sign in کردن به سرویس‌های داخلی، شبکه‌های اجتماعی، اکانت‌های بانکی و غیره معمولاً از شما کد یکبار مصرف خواسته می‌شود. این کد به صورت پیام متنی برایتان فرستاده می‌شود یا در اپ بانکی روی گوشی‌تان یا اپ مخصوص برای احراز هویت کاربری چند عاملی مانند Google Authenticator ارسال می‌گردد. سیستم‌های بسیار پیچیده از کلید سخت‌افزاری که در پورت یو‌اس‌بی روی کامپیوتر درج می‌شوند استفاده می‌کنند یا از طریق بلوتوث یا ان‌اف‌سی به گوشی هوشمند شما وصل می‌شوند. در برخی موارد اصلاً به گذرواژه نیازی هم نمی‌شود. برای مثال وقتی به اکانت مایکروسافت sign in می‌کنید یک گذرواژه یکبار مصرف به ایمیل‌تان ارسال می‌شود. به طور پیش‌فرض اپ پیام‌رسان تلگرام از احراز هویت مبتنی بر کدهای یکبار مصرف ارسالی در قالب پیام متنی استفاده می‌کند که در آن نیازی هم به گذرواژه نیست. با این وجود در بیشتر موارد گذرواژه‌ها هنوز هم در قالب بک‌آپ احراز هویت وجود دارند اما صرف تکیه بر آن‌ها روی کدهای عبور متن‌محور به دلایلی نمی‌تواند ایده خوبی باشد. کوتاه بگوییم که مدت‌هاست درک شده آینده دیگر به گذرواژه‌ها تعلق ندارد و اکنون احتمال می‌رود که آینده بدون رمزعبور در حال ظهور است.

 احراز هویت بدون رمزعبور 
برای پرداختن به موارد مهم و اساسی، این استاندارد احراز هویت جدید بدون گذرواژه، رمزعبور (یا همان کلید عبور) را به مؤلفه‌ای تماماً فنی تبدیل کرده که کاربر دیگر آن را نمی‌بیند. این استفاده از کلیدهای قوی و منحصر به فرد و نیز کریپتوگرافی قدرتمندی را میسر می‌سازد. در عوض زندگی برای سارقان سایبری سخت می‌شود و تضمین داده می‌شود اگر اکانتی هک شد هیچ اکانت دیگری قربانی این عمل نخواهد شد. برای کاربران شبیه به تأیید لاگین به شبکه‌ای اجتماعی، اکانت ایمیل یا سرویس بانکداری آنلاین از گوشی هوشمند خواهد بود. مانند پرداخت با گوشی هوشمند که امروزه انجام می‌دهیم: دستگاه را با پین یا احراز هویت تشخیص چهره یا اثر انگشت آنلاک کرده و تراکنش را تأیید می‌کنیم تنها تفاوتش این است که به جای پرداخت به اکانت خود sign in می‌کنید. افزون بر این استاندارد مذکور توسعه‌داده‌شده توسط FIDO قابلیت اضافی دیگری هم دارد در قالب احراز هویت بلوتوثی روی چندین دستگاه. برای مثال لاگین اکانت روی لپ‌تاپ اگر دستگاه، گوشی هوشمند معتمدی را در این حوالی ببیند سریع‌تر پیش خواهد رفت. این سیستم احراز هویت جذاب برای اکثریت کاربران کار خواهد کرد به استثنای آن‌هایی که شاید بخواهند هنوز از گوشی هوشمند‌های از رده خارج استفاده کنند. با پشتیبانی این سه غول فناوری، قابلیت جدید به زودی جهانی خواهد شد. 

اما آیا به نفع امنیت خواهد بود؟ بیایید مزایا و معایب این فناوری را نیز مورد بررسی قرار دهیم.

 مزایای احراز هویت بدون گذرواژه
حمایت گوگل، اپل و مایکروسافت می‌تواند قوت قلبی باشد که سرویس‌های بزرگ مانند جیمیل، یوتیوب، آی‌کلود و اکس‌باکس نیز (به همراه سیستم‌عامل آی‌اواس، اندروید و ویندوز) نیز به‌زودی به این فناوری روی آورند. از آنجا که این استاندارد یکپارچه و باز است باید روی هر دستگاهی یکسان کار کند. گزینه سوئیچ از یک دستگاه به دستگاه دیگر نیز تضمین داده می‌شود. 

مزیت اصلی این روش جدید پیچیده شدن فیشینگ برای مهاجمین است. سرقت سنتی گذرواژه با ساختن وبسایت جعلی بانکی یا هر وبسایت جعلی دیگر و گول زدن قربانی برای بازدید از آن انجام می‌شد. آنجا کاربر اطلاعات محرمانه خود را وارد می‌کرد و مهاجم به اکانت بانکی دسترسی داشت. جدای احراز هویت کاربر این استاندارد جدید خود سرویس را نیز احراز هویت می‌کند. صرف ارسال درخواست برای احراز هویت روی منبع وبی فردی دیگر کارساز نخواهد بود. نشت رمزعبور هم برای کاربر تهدید حساب نخواهد شد. در آخر اینکه این سیستم جدید سادگی و شهودی بودن را تضمین می‌دهد. اگر بدرستی اجرایی شود جایگزین کردن گذرواژه‌ها حتی برای اکانت‌های از پیش موجود نیز باید ساده شود و این حمایت وعده‌داده شده در سطح سیستم عامل نیز دیگر مستلزم نصب اپ نخواهد بود. 

  معایب احراز هویت بدون گذرواژه
این استاندارد نباید مشکل خاصی ایجاد کند اما این سوال پیش می‌آید که اگر کسی به گوشی هوشمند قابل‌اعتماد من دستبرد بزند و لاگین به همه اکانت‌هایم را تأیید کند چه؟ پاسخ ساده است: در مدل امنیتی واقع‌گرایانه هیچ راهکار بدون ایرادی وجود ندارد. هر چیزی قابل هک شدن است. از اینها گذشته حتی اگر شما در سر گذرواژه 128 کاراکتری و رندوم را نیز ذخیره کنید راه‌هایی وجود دارد که از مغزتان آن را نیز استخراج کنند. همیشه افراد در تلاشند به اکانت‌ها دسترسی داشته باشند. اما چنین هک‌هایی هدف‌های فردی یا هد‌ف‌هایی اولی هستند (اصطلاحاً بدان حمله بوتیکی گفته می‌شود). وقتی صحبت از بازار انبوه می‌شود، شدت رواج سرقت گذرواژه چندین مرتبه از سرقت گوشی هوشمند‌ها و استفاده از محتوای دیجیتال‌شان بیشتر است و هدف این فناوری جدید، حل این مشکل است. آن اوایل که بیومتریک هم می‌خواست معرفی شود چنین شک‌هایی وجود داشت وبسیاری نگران بودند که فردی اثر انگشت‌شان را بدزدد و موبایل‌شان را آنلاک کند. 

مطمئناً این استاندارد جدید انتقال سیستم احراز هویت از یک دستگاه به دیگری را ممکن می‌سازد. ساده‌ترین راه زمانی است که دو گوشی دارید و اگر گوشی قدیمی گم شود بی‌شک باید برای احراز هویت خود از روش بک‌آپ استفاده کنید. اما این که چه نوع بک‌آپی، هنوز مشخص نیست. احتمالاً به تنظیمات دستگاه مربوطه بستگی خواهد داشت. در نتیجه باید این سوال را نیز پرسید: این سیستم جدید، کاربران را به کارکرد اکانت‌هایشان در گوگل و اپل وابسته نمی‌کند؟ آیا بلاک کردن اکانت گوگل به عدم دسترسی به همه منابع آنلاین به طور کلی منجر خواهد شد؟ حتی اگر فرض را بر این بگیریم که استانداد مربوطه باز است، سیستم عامل‌های گوشی هوشمند و زیرساخت چنین نخواهند بود.

 آینده‌ روشن
حتی فردی شکاک هم نمی‌تواند اذعان کند گذرواژهها وجودشان از عدم وجودشان بهتر است. مفهوم منسوخ شدن گذرواژه مدت‌هاست نیاز به بازنگری داشته است. استاندارد بدون گذرواژه FIDO وعده می‌دهد خیلی مسائل را سامان دهد اما همچنین به مقامات اجرایی نیز وابسته است: گوگل، اپل، مایکروسافت و همکاران. اگر همگی متحد شوند زندگی دیجیتال ما کمی ساده‌تر و امن‌تر خواهد شد. اما احتمال می‌رود این اتفاق یک‌شبه هم رخ ندهد: گذرواژه‌ها در تار و پود اینتنرت امروزی ما رخنه کرده‌اند و سال‌ها زمان می‌برد تا بشود آن‌ها را تماماً از بستر نت پاک کرد، حتی اگر گزینه جدید، یک سیستم پیشرفته‌ بی‌نظیر باشد!