ستساعدك المقالة التالية: مفاتيح المرور أكثر أمانًا ، ولكن هناك تهديد أكبر …
في الأسبوع الماضي ، قفزت Google إلى عربة رموز المرور ، مدعية أنها كانت “بداية نهاية كلمة المرور”. في حين أن هذا البيان له بعض الأرضية ، فإن مفاتيح المرور تمثل أيضًا بداية النهاية لتحكم المستخدم.
كلمات المرور التي نستخدمها اليوم لا تعتمد على النظام الأساسي ، وآمنة بشكل عام ، وتشكل جزءًا من نظام بيئي أوسع. من ناحية أخرى ، فإن مفاتيح المرور خاصة بالمورد ، وعلى الرغم من أنها قد تكون أكثر أمانًا من كلمات المرور ، إلا أنها تتخطى جزءًا مهمًا من الأمن السيبراني – اللامركزية. علاوة على ذلك ، فإن أكبر مؤيدي مفاتيح المرور هم شركات مثل Microsoft و Google و Apple التي تستفيد أكثر من إضعاف تحكم المستخدم.
وأوضح مفاتيح المرور
تعد مفاتيح المرور شكلاً جديدًا من أشكال المصادقة تم اقتراحه لأول مرة بواسطة FIDO (Fast Identity Online) Alliance. يهدف هذا المعيار الجديد إلى استبدال كلمات المرور ، بدعوى أن الطريقة القديمة سهلة التصيد والحصاد ، وأنها “سهلة الاستخدام”. من خلال اعتماد معيار مفتاح المرور ، يمكن لمواقع الويب وموفري الخدمات السماح بكلمة مرور آمنة وتسجيل دخول أقل إلى خدماتهم.
يعمل النظام باستخدام تشفير المفتاح العام لمصادقة الوصول إلى مواقع الويب. في هذه الطريقة ، يقوم الخادم الموجود على موقع الويب بحفظ “مفتاح عام” ، وهو جزء من اللغز. الجزء الآخر ، وهو المفتاح الخاص ، المخزن على جهاز المستخدم ، يعمل كطريقة لإثبات أن المستخدم هو من يقوم بالوصول إلى موقع الويب.
تخيل أن هناك ناديًا سريًا ، والحارس لديه عبارة مرور معروفة (مفتاح عام). سيتم تخصيص استكمال سري لعبارة المرور لكل شخص يصل إلى الباب ، مع منح حق الوصول فقط في حالة تطابق عبارة الحارس مع عبارة العميل. هذا أكثر أمانًا من وجود عبارة مرور للنادي يتم تمريرها علنًا.
وفقًا لمعايير FIDO ، سيتم حفظ مفتاح المرور الخاص ببيانات اعتماد كل شخص على أجهزتهم ، ويمكن الوصول إليه من خلال المصادقة إما عن طريق القياسات الحيوية أو عامل ثانٍ (2FA). وبحسب ما ورد ، ستكون مفاتيح المرور هذه قابلة للاستيراد والتصدير وعبر الأجهزة ومتوافقة عبر مديري مفاتيح المرور في المستقبل.
في حين أن هذا قد يبدو ظاهريًا خيارًا بديلاً أكثر أمانًا وأسهل لكلمات المرور ، إلا أنه يمثل لعبة شد الحبل بين جوانب مختلفة من الأمن السيبراني. توجد بالفعل حلول لجعل كلمات المرور أقوى ، مثل المصادقة متعددة العوامل ، أو لجعلها زائدة عن الحاجة ، مثل OAuth ومديري كلمات المرور ، ويتم نشرها على نطاق واسع. بينما تحافظ هذه الخيارات على القوة في أيدي المستخدمين ، فإن مفاتيح المرور ، من ناحية أخرى ، تمنح المزيد من القوة للشركات المسؤولة عنها.
مركزية السلطة
عند إلقاء نظرة على أعضاء مجلس الإدارة في تحالف FIDO ، يمكننا العثور على عمالقة التكنولوجيا مثل Amazonو Appleو Google و Meta و Microsoft ، بالإضافة إلى المؤسسات المالية مثل VISA و Bank of America و AmEx. القائمة تطول ، لكن الاتجاه واضح – فهذه جميع الشركات التي ترغب في فرض أمان أفضل على الإنترنت.
ومع ذلك ، في سعيها لتحقيق الأمن ، يبدو أن هذه الأحزاب راضية تمامًا عن التغاضي عن المركزية. فكرة وضع كل البيض في سلة واحدة بعيدة كل البعد عن أن تكون آمنة ، خاصة عندما تكون السلة مدفوعة مالياً لتأمين عملائها.
لنأخذ Appleنشر مفاتيح المرور على سبيل المثال. لتفعيل مفاتيح المرور Apple الأجهزة ، يتعين على المستخدمين الاشتراك في كل من خدمة Keychain و iCloud لاستخدام الميزة. بصرف النظر عن مجموعة الثغرات الأمنية في iCloud ، تزيل الخدمة أيضًا الشفافية حول كيفية التعامل مع مفتاح المرور. في الواقع ، حتى بعد عام من الإصدار ، فإن مفاتيح المرور غير قابلة للتصدير ، مما يمنع نقلها إلى أجهزة أخرى حيث يرغب المستخدمون في استخدام مفاتيح المرور.
تسمح مفاتيح المرور بمكان آخر للشركات لتأمين مزيد من العملاء في خدماتهم بحجة الأمن وسهولة الاستخدام. هذه الخطوة تضعف قوة المستخدم بينما تضاعف مشكلة موفري الهوية المركزية. موفرو الهوية هم شركات مثل Google أو Facebook التي تقدم “تسجيل الدخول باستخدام Google” أو “تواصل مع Facebook”كخيار تسجيل الدخول.
إذا أصبحت مفاتيح المرور هي الخيار الوحيد لتسجيل الدخول في المستقبل ، فإن فكرة تحكم المستخدمين في كلمات المرور الخاصة بهم تتلاشى ، ويتم استبدالها بالتحكم المركزي بواسطة التقنيات الكبيرة. تتطفل مفاتيح المرور أيضًا على مفهوم الهوية الذاتية السيادية ، حيث يتم منح الأفراد السيطرة على معلوماتهم.
من خلال إجراءات مثل مفاتيح المرور ، يستمر المستخدمون في منح المزيد من القوة لموفري الهوية المركزيين ، وتسليم المزيد من بياناتهم ووكالاتهم إلى الشركات. في حين أن حلول الهوية اللامركزية موجودة بالفعل ، فإن الزخم الذي تحمله FIDO وأعضاؤها سيثبت أنه من الصعب للغاية كسره ، مما يجعل الإنترنت بعيدًا عن جذوره مفتوحة المصدر.
