تزامن اليوم العالمي لكلمات المرور لهذا العام، الذي يتم الاحتفال به تقليديًا في مايو، مع الأخبار ذات الصلة من ثلاث شركات تقنية رئيسية: معلن تخطط Google وMicrosoft وApple للحصول على تقنية جديدة لتحل محل كلمات المرور.
يتم تطوير المعيار من قبل تحالف FIDO، جنبًا إلى جنب مع اتحاد الويب العالمي (W3C)، والذي يحدد بشكل أساسي كيف يبدو الإنترنت الحديث ويعمل. هذه محاولة جادة تمامًا للتخلي عن كلمات المرور لصالح المصادقة القائمة على الهاتف الذكي، أو على الأقل هذه هي الطريقة التي تظهر بها من منظور المستخدم.
ومع ذلك، فمن الجدير بالذكر أن “موت كلمات المرور” قد تم مناقشته منذ حوالي عقد من الزمان. ولم تؤد المحاولات السابقة للتخلص من هذه الطريقة غير الموثوقة بشكل يائس لمصادقة المستخدم إلى أي شيء فعليًا — إذ لا تزال كلمات المرور معنا. تناقش هذه المقالة مزايا معيار FIDO/W3C الجديد. ولكن دعونا نبدأ بالتذكير بما نعرفه: ما المشكلة في كلمات المرور؟
المشكلة في كلمات المرور
العيب الأول في كلمات المرور هو أنه من السهل إلى حد ما سرقتها. في الأيام الأولى من الإنترنت، عندما كانت جميع الاتصالات تقريبًا بين أجهزة الكمبيوتر غير مشفرة، كان يتم إرسال كلمات المرور عبر نص عادي. مع انتشار نقاط الوصول إلى الشبكة العامة — في المقاهي والمكتبات والنقل — أصبحت هذه مشكلة حقيقية: يمكن للمهاجم اعتراض كلمة مرور غير مشفرة دون أن يلاحظه أحد.
لكن مسألة كلمات المرور المسروقة انفجرت في أوائل إلى منتصف عام 2010 بعد موجة من الاختراقات البارزة لبعض خدمات الإنترنت الكبيرة، مع سرقة عناوين البريد الإلكتروني وكلمات مرور المستخدم مرة واحدة. من الآمن أن نقول إن جميع كلمات المرور الخاصة بك منذ عشر سنوات تطفو في مكان ما في المجال العام. ألا تصدقنا؟ تحقق من الخدمة المفيدة HasIBeenPwned.
[ التحقق من كلمة المرور القديمة على HasIBeenPwned]
[التعليق: يتيح لك HasIBeenPwned التحقق مما إذا كانت كلمات المرور الخاصة بك قد تم تسريبها. إذا كان عمر كلمة المرور عقدًا أو أكثر، فمن شبه المؤكد أن الإجابة هي نعم]
في هذه الأيام؛ من غير المرجح أن تحتوي التسريبات على كلمات مرور نصية واضحة: أدركت العديد من شركات خدمات الإنترنت منذ فترة طويلة أن تخزين معلومات المستخدم الحساسة غير المشفرة هو وسيلة لإحداث الكوارث. لذلك أصبح من المعتاد تجزئة كلمات المرور — أي تخزينها في شكل مشفر.
المشكلة هنا هي أنه إذا كانت كلمة المرور بسيطة، فلا يزال من الممكن استخراجها من قاعدة بيانات مشفرة عن طريق فرض جميع التوليفات الممكنة، أو عن طريق هجوم معجمي.فك تشفير كلمة المرور المجزأة إذا كانت كلمة المرور الأصلة شيئًا مثل “سري” أو “123123” هو مهمة شديدة السهولة. هذه هي المشكلة الثانية مع كلمات المرور: للمساعدة في الحفظ، يستخدم العديد من الناس كلمات مرور ضعيفة للغاية يسهل استخراجها من قاعدة بيانات مسربة — حتى لو كانت مشفرة.
والرغبة في البساطة والراحة تؤدي مباشرة إلى المشكلة الثالثة مع كلمات المرور: استخدام نفس كلمة المرور للحسابات والخدمات المختلفة. وبالتالي، يمكن أن يؤدي تسرب البيانات من بعض المنتديات القديمة عبر الإنترنت، والتي لا تتذكر حتى التسجيل فيها، إلى فقدان حساب بريدك الإلكتروني الرئيسي لأنك استخدمت نفس كلمة المرور.
كلمة المرور بالإضافة إلى شيءٍ إضافيٍ آخرٍ
والمشكلة بطبيعة الحال ليست جديدة على الإطلاق، لذا فإن أغلب الخدمات لم تعد تعتمد على كلمة مرور واحدة فقط، بل إنها تستخدم نوعًا من المصادقة المتعددة العوامل. عند تسجيل الدخول إلى خدمات الإنترنت والشبكات الاجتماعية والحسابات المصرفية وما إلى ذلك، يُطلب منك عادةً الحصول على رمز لمرة واحدة بعد إدخال بيانات الاعتماد الخاصة بك. يتم إرسال هذا الرمز في رسالة نصية أو تسليمه إلى التطبيق المصرفي على هاتفك، تطبيق خاص لمصادقة المستخدم متعدد العوامل أو مثل Google Authenticator.تستخدم الأنظمة المعقدة جدًا مفتاح جهاز يتم إدخاله في منفذ USB في الكمبيوتر أو توصيله بهاتفك الذكي عبر Bluetooth أو NFC .
في بعض الحالات، لا تحتاج إلى كلمة مرور على الإطلاق. على سبيل المثال، عند تسجيل الدخول إلى حساب Microsoft، يتم إرسال كلمة مرور لمرة واحدة إليك عبر البريد الإلكتروني. بشكل افتراضي، يستخدم تطبيق الرسائل Telegram المصادقة بناءً على رموز لمرة واحدة يتم إرسالها في رسائل نصية، دون الحاجة إلى كلمة مرور على الإطلاق (على الرغم من أنه يوصى باستخدامها كإجراء أمان إضافي).
ومع ذلك، في معظم الحالات، لا تزال كلمات المرور موجودة كشكل احتياطي من أشكال المصادقة. لكن الاعتماد فقط على رموز المرور القائمة على النص (خاصة الشكل الأكثر شيوعًا في فهم المستخدم ليست فكرة جيدة لـ 2FA) يحدث لعدد من الأسباب. باختصار، كان من المفهوم منذ فترة طويلة أن المستقبل لن يتضمن كلمات المرور. والآن، في نهاية المطاف، يبدو كما لو كان ذلك المستقبل قاب قوسين أو أدنى.
مصادقة بدون كلمة مرور كما تصورها FIDO/W3C
وخلاصة القول، فإن معيار المصادقة الجديد بدون كلمة مرور يجعل كلمة المرور (أو بالأحرى — مفتاح المرور، وهو زوج من مفاتيح التشفير، الخاصة والعامة) عنصرًا تقنيًا بحتًا لم يعد المستخدم يراه. وهذا يسمح باستخدام مفاتيح قوية وفريدة من نوعها وبالتشفير القوي. وهذا بدوره يجعل الحياة أكثر صعوبة على لصوص الإنترنت، ويضمن أنه إذا تم اختراق حساب واحد، فلن يُفقد أي حساب آخر، ويجعل من المستحيل الكشف عن “السر” للمحتالين.
بالنسبة للمستخدمين؛ سيبدو أنهم يؤكدون تسجيل الدخول إلى شبكة اجتماعية أو حساب بريد إلكتروني أو خدمة مصرفية عبر الإنترنت من هاتفنا الذكي. سيكون الأمر مثل الدفع عبر الهاتف الذكي اليوم: يمكنك فتح الجهاز عبر مصادقة رقم التعريف الشخصي (PIN) أو بصمة الوجه/ الإصبع، وتأكيد “المعاملة” — فقط، بدلًا من الدفع، تقوم بتسجيل الدخول إلى حسابك. عند القيام بذلك، يتحقق الدخول الناجح من أنك أنت. يبدو ذلك جيدًا!
علاوة على ذلك، فإن المعيار الذي يتم تطويره بواسطة FIDO له ميزة إضافية تكمن في شكل مصادقة البلوتوث على أجهزة متعددة. على سبيل المثال، يكون تسجيل الدخول إلى الحساب على جهاز كمبيوتر محمول أسرع إذا كان الجهاز “يرى” هاتفًا ذكيًا موثوقًا به قريبًا. سيعمل نظام المصادقة المثير هذا مع الغالبية العظمى من المستخدمين، ربما باستثناء أولئك الذين يواصلون استخدام الهاتف الذي يعمل بضغط الأزرار بشكل غير متوافق مع المبدأ. بدعم من ثلاثة من عمالقة إنترنت، من المحتم أن تصبح هذه الميزة عالمية على المدى القريب. إذاً هل سيكون هذا جيدًا للأمن؟ دعونا ننظر إلى إيجابيات وسلبيات التكنولوجيا الجديدة.
مزايا المصادقة بدون كلمة مرور
يوفر الدعم المقدم من Google وApple وMicrosoft سببًا للاعتقاد بأن كلًا من الخدمات الرئيسية (Gmail وYouTube وiCloud وXbox) وجميع أجهزة iOS وAndroid وWindows سيبدأ قريبًا في الانتقال إلى المصادقة بدون كلمة مرور. نظرًا لأن المعيار موحد ومفتوح، يجب أن تعمل المصادقة بشكل متماثل على أي جهاز. بالإضافة إلى خيار التبديل من جهاز إلى آخر. هل استبدلت هاتفك بجهاز سامسونج جالاكسي؟ ليست هناك مشكلة: يمكنك تعيين الهاتف الذكي الجديد كجهاز التحقق من تسجيل الدخول الخاص بك.
الفائدة الرئيسية من الطريقة الجديدة هي أنها تزيد من صعوبة حدوث التصيد الاحتيالي بشكل خطير. تعمل سرقة كلمة المرور التقليدية من خلال إنشاء بنك مزيف أو موقع ويب آخر وجذب الضحية إليه. هناك، يقوم المستخدم بإدخال بيانات اعتماد تسجيل الدخول الخاصة به (في بعض الأحيان يتم احتساب 2FA)، وهذه هي حقيقة الأمر — المهاجم لديه حق الوصول إلى الحساب المصرفي. بالإضافة إلى مصادقة المستخدم، يتحقق المعيار الجديد من صحة الخدمة نفسها. ببساطة: إرسال طلب للمصادقة على مورد ويب لشخص آخر لن يعمل. كما أن تسريبات كلمة المرور لن تشكل تهديدًا للمستخدمين.
وأخيرًا، يعِد النظام الجديد بأن يكون بسيطًا وبديهيًا. إذا تم تنفيذه بشكل صحيح، فيجب أن يكون استبدال كلمات المرور حتى للحسابات الحالية واضحًا للغاية، ولن يتطلب الدعم الموعود على مستوى نظام التشغيل في الهواتف الذكية حتى تثبيت أي تطبيق. ما عليك سوى الانتقال إلى الموقع الذي تريده، وإدخال المعرف الخاص بك وتأكيد الطلب على هاتفك الذكي. تم الانتهاء!
المشاكل التي لن يحلها عدم استخدام كلمة المرور
بالمعنى الدقيق للكلمة، لا ينبغي اعتبار هذا مشكلة، ولكن من المؤكد أن العديد من الناس سيطرحون السؤال: ماذا لو وضع شخص ما يديه على هاتفي الذكي “الموثوق به” ووافق على تسجيل الدخول إلى جميع حساباتي؟ الإجابة بسيطة للغاية: في نموذج أمني واقعي، لا توجد حلول غير قابلة للكسر. يمكن اختراق أي شيء — السؤال الوحيد هو ما هي الموارد التي يرغب الدخيل في إقحامها؟ بعد كل شيء، حتى لو قمت بتخزين كلمات المرور العشوائية الحقيقية المكونة من 128 حرفًا في رأسك مباشرة، فهناك طرق مثبتة لاستخراجها منك.
من المحتم أن تكون هناك محاولات لاختراق الهواتف الذكية الفردية للوصول إلى الحسابات. ولكن مثل هذه الاختراقات سوف تكون فردية، وتستهدف أهدافًا بارزة، وهي نوع من الهجمات البوتيكية. عندما يتعلق الأمر بالسوق الشامل — أي التهديدات اليومية الواقعية — فإن سرقة كلمة المرور هي أكثر انتشارًا من سرقة الهواتف الذكية والاستفادة من محتواها الرقمي. وتهدف التكنولوجيا الجديدة إلى حل هذه المشكلة بالذات.
تذكر أنه تم الإعراب عن شكوك مماثلة حول الإدخال الجماعي للقياسات الحيوية. في ذلك الوقت، كان العديد من الناس قلقين بالمثل من أن يسرق شخص ما بصمة إصبعه (في الصورة الأكثر عنفًا: عن طريق قطع إصبعه) ويفتح هاتفه الذكي. كتب تروي هانت، مؤسس HasIBeenPwned المذكور أعلاه، خلال العام الماضي بأكمله حول موضوع ذي صلة: في نموذج أمني واقعي، القياسات الحيوية أقوى من كلمات المرور. المقال
لكن المشكلة الحقيقية التي لن يعالجها الوصول بدون كلمة مرور هي فقدان الهاتف الذكي. بالتأكيد، يتيح المعيار الجديد نقل نظام المصادقة من جهاز إلى آخر. أسهل طريقة للقيام بذلك هي عندما يكون لديك جهازان — على سبيل المثال: هاتف قديم وهاتف جديد. إذا ضاع الهاتف القديم، فلا شك أنك ستضطر إلى استخدام طريقة احتياطية ما لإثبات أنك أنت. لكن أي نوع من طرق النسخ الاحتياطي؟ قد يكون هذا ليس واضحًا بعد؛ وعلى الأرجح سيعتمد على إعدادات الخدمة المعنية.
في الختام، فمن الجدير طرح السؤال: ألن يجعل النظام الجديد المستخدمين أكثر اعتمادًا على وظائف حساباتهم مع Google أو Apple ؟ هل سيؤدي حظر حساب Google إلى فقدان الوصول إلى جميع الموارد عبر الإنترنت بشكل عام؟ حتى لو افترضنا أن المعيار مفتوح، فإن أنظمة تشغيل الهاتف الذكي، ناهيك عن البنية التحتية، أقل من ذلك.
مستقبل مشرق
وحتى المشككين سوف يكون من الصعب عليهم أن يزعموا أن كلمات المرور أفضل من عدم وجود كلمات المرور. إن مفهوم كلمة السر الذي عفا عليه الزمن يحتاج منذ وقت طويل إلى إصلاح. يعد معيار FIDO الخالي من كلمة المرور بتصحيح العديد من الأشياء، ولكنه يعتمد كثيرًا أيضًا على المنفذين:Google، Apple، Microsoft، وآخرون. إذا فهموا الأمر بشكل صحيح، فستصبح حياتنا الرقمية أسهل وأكثر أمانًا. ولكن من غير المرجح أن يحدث ذلك بين عشية وضحاها: إن كلمات المرور متأصلة في الإنترنت اليوم إلى الحد الذي يجعل محوها بالكامل يستغرق سنوات عديدة — حتى مع وجود نظام محسن جديد.