جدول المحتويات:
فيديو: من زينو نهار اليوم ØµØ Ø¹ÙŠØ¯ÙƒÙ… انشر الÙيديو Øتى يراه كل Ø§Ù„Ø (سبتمبر 2024)
في عام 2012 ، كتب Wired 's Matt Honan عن العواقب الوخيمة لربط حياتك الرقمية بأكملها بسلسلة من الحروف والأرقام والرموز. Honan هي واحدة من عدد لا يحصى من الأشخاص الذين اختطفت حساباتهم على الإنترنت بعد أن اكتشف المتسللون كلمات المرور الخاصة بهم ؛ تحتوي قائمة الضحايا أيضًا على مدراء تنفيذيين رفيعي المستوى في مجال التكنولوجيا ، بما في ذلك مارك زوكربيرج.
ومع ذلك ، تظل كلمات المرور هي الطريقة الرئيسية لحماية الحسابات عبر الإنترنت.
لم يكن هناك مقدار صغير من الابتكار في مساحة المصادقة. في عام 2016 ، كتبت عن تقنيات المصادقة التي توفر بدائل آمنة وسهلة الاستخدام لكلمات المرور ، ولكن حتى وقت قريب ، لم يحقق أي منها تبنيًا جماعيًا.
الآن ، على الرغم من ذلك ، هناك أمل في أننا يمكن أن نتخلص أخيرًا من كلمات المرور المعقدة الطويلة بفضل سلسلة من اللوائح والمعايير المفتوحة التي تسهل وتشجع على تنفيذ أساليب المصادقة بدون كلمة مرور في التطبيقات عبر الإنترنت.
ما هو منع المصادقة بدون كلمة مرور؟
يقول Stina Ehrensvard ، المدير التنفيذي ومؤسس شركة Yubico ، التي تصنع مفاتيح الأمان المادي مثل Yubikey 5 NFC: "أصبح العدد الهائل من كلمات المرور اللازمة في حياتنا اليومية عبئًا ، ولهذا نرى الكثير من بيانات الاعتماد الثابتة المعاد استخدامها أو الضعيفة".. "كنا بحاجة إلى التفكير في كيفية معالجة هذه المشكلة بطريقة تسهل عملية تسجيل الدخول مع إضافة أعلى مستوى من الأمان. حتى الآن ، لم تكن هناك بالفعل طريقة للقيام بكل من هذين الأمرين بنجاح."
لا تضيع نقاط ضعف كلمات المرور على المؤسسات التي تواصل استخدامها. ولكن قبل النظر في البدائل ، يجب أن تأخذ في الاعتبار أمان التقنية وسهولة الاستخدام والتوفر وتكاليفها.
"السبب في أننا لم نستبدل كلمات المرور من قبل بشيء أكثر موثوقية هو أن جميع البدائل التي قد تكون أفضل للأمان أو قابلية الاستخدام لم تكن متوفرة في كل مكان لجميع أشكال وأحجام الأجهزة المتصلة بالإنترنت ، كما أنها لم تكن مكلفة يقول بريت ماكدويل ، المدير التنفيذي لتحالف فييدو ، وهو اتحاد يعمل على تطوير معايير المصادقة ، إنه فعال.
أيضًا ، يعد إدخال كلمة المرور هو تقنية المصادقة الأقل تكلفةً وأسهل لتنفيذها في مواقع الويب الجديدة وتطبيقات الأجهزة المحمولة. بينما أصبحت بدائل مثل تقنية المصادقة البيومترية متاحة على نطاق أوسع على الأجهزة المحمولة ، إلا أن إدخال كلمة المرور يظل الميزة في كل مكان تدعمها جميع الأجهزة. ستؤدي إزالته إلى منع العديد من المستخدمين من الوصول إلى هذه الخدمات.
عدم وجود معايير يجعل من الصعب الابتعاد عن كلمات المرور. إن التكلفة العامة لإضافة الدعم لعشرات من تقنيات المصادقة المختلفة في تطبيقات العميل والخوادم الخلفية هي شيء لا تستطيع معظم المؤسسات تحمله.
وبالطبع ، هناك دائمًا العامل البشري. يقول أليكس: "لا تزال بعض الشركات والأفراد يعتقدون أنهم لن يتأثروا بالهجمات الإلكترونية وأنهم لا يهتمون بالمجرمين الإلكترونيين. إن الافتقار إلى الرغبة والموارد لتغيير الحلول الحالية يعوق اعتماد حلول مصادقة جديدة بدون كلمة مرور". Momot ، الرئيس التنفيذي لشركة REMME ، شركة ناشئة تعمل على تطوير نظام مصادقة لامركزي.
وفدس تعال يطرق
في السنوات الأخيرة ، كانت هناك زيادة في الوعي المحيط بأمان وخصوصية المستخدمين عبر الإنترنت ، لا سيما بين الهيئات الحكومية والهيئات التنظيمية. في حين أنه في السابق ، كان بإمكان المؤسسات أن تتجاهل خروقات البيانات والحوادث الأمنية التي لها عواقب قانونية ومالية قليلة ، لم يعد الأمر كذلك.
يقول ماكدويل: "لقد سئم المنظمون العناوين الرئيسية لخرق البيانات مثل أي شخص آخر ، وبدأوا في اتخاذ إجراءات ، مما أدى إلى إضافة المزيد من الشركات إلى مصادقة قوية لممارسات حماية البيانات الخاصة بهم".
من بين الإجراءات التنظيمية الأكثر صلة ، اللائحة العامة لحماية البيانات (GDPR) ، وهي مجموعة من القواعد التي تحدد كيفية قيام الشركات بجمع بيانات المستخدم ومعالجتها وتأمينها. يحدد إجمالي الناتج المحلي أيضًا معايير المصادقة القوية للمستخدم. سيتم تغريم الشركات التي لا تمتثل للقواعد وحماية بيانات عملائها. ينطبق إجمالي الناتج المحلي على اختصاص الاتحاد الأوروبي فقط ، ولكن نظرًا لأن العديد من الشركات التي لا يوجد مقرها في الاتحاد الأوروبي ما زالت تمارس أعمالًا تجارية في المنطقة ، فإنها تعتبر الآن معيارًا ذهبيًا للأمان.
"في الوقت الذي تتبنى فيه المزيد والمزيد من الشركات مصادقة قوية ، ويتسبب المزيد من انتهاكات البيانات عن طريق تسوية كلمة المرور ، سيكون من الصعب بشكل متزايد على أي شركة تقديم القضية إلى منظم إجمالي الناتج المحلي أن مصادقة كلمة المرور فقط هي يقول ماكدويل: "إن الأمن المناسب ، والذي يُحتمل أن يعرض شركتهم لغرامات أعلى تكلفة بكثير من سعر الانتقال من كلمات المرور إلى المصادقة القوية الحقيقية".
تعتبر اللوائح الأخرى الخاصة بالصناعة أكثر وضوحًا حول استخدام تقنية المصادقة. على سبيل المثال ، توجيه خدمات الدفع 2 (PSD2) ، الذي ينظم التجارة الإلكترونية والخدمات المالية عبر الإنترنت في أوروبا ويجعل المصادقة ثنائية العوامل (2FA) إلزامية. يشجع PSD2 أيضًا على استخدام بطاقات الأمان والأجهزة المحمولة والماسحات الضوئية البيولوجية لتحسين تجربة المستخدم دون المساس بالأمن.
ويذكر المعهد الوطني للمعايير والتكنولوجيا (NIST) ، الذي يحدد معايير الصناعات المختلفة ، في إرشادات الهويات الرقمية الخاصة به أنه يجب على المنظمات الابتعاد عن كلمات المرور ورموز المرور لمرة واحدة واعتماد مصادقة قوية حديثة.
يقول ماكدويل: "بشكل أكثر تحديداً ، توصي NIST بالمصادقة التي ينشئ بها جهازك الحديث مفاتيح تشفير خاصة ويستخدمها كأوراق اعتماد جديدة لحسابك ويخزنها بشكل آمن على جهازك الشخصي بالطريقة نفسها التي تخزن بها الآن معظم الهواتف الذكية بأمان بيانات بصمتك".
هناك جدل حول ما إذا كان التنظيم الحكومي سيعرقل الابتكار أو يشجعه. ولكن في هذه المرحلة ، قد نحتاج إلى دفعة تنظيمية نحو اعتماد آليات مصادقة أكثر أمانًا.
يقول إيرنسفارد: "يمكن للحكومات أن تلعب دوراً حاسماً في تبني المعايير المفتوحة". "ألقِ نظرة على حزام الأمان ، على سبيل المثال. إنه أيضًا معيار مفتوح ، وقد تم تنظيم استخدامه من قِبل الحكومة. ولهذا السبب ، هناك 10 أضعاف السيارات على الطريق اليوم ولكن هناك عدد إجمالي أقل من حوادث السيارات المميتة ".
الحصول على نفس الصفحة
يحتاج استبدال مصادقة كلمة المرور على نطاق واسع إلى أكثر من اللوائح. بدون مجموعة من البروتوكولات القياسية ، ستكافح المنظمات والشركات لإيجاد تقنية مصادقة تجعلها متوافقة مع لوائح الأمان مع إتاحة تطبيقاتها لمستخدميها.
هذه هي المشكلة التي تم حل FIDO لحلها. تعتمد FIDO Authentication على مجموعة من معايير التكنولوجيا المجانية والمفتوحة ، التي تم تطويرها بالشراكة مع اتحاد شبكة الويب العالمية (W3C). الهدف هو خلق قابلية التشغيل البيني بين الأجهزة والخدمات من خلال تمكين صناعة الإلكترونيات الاستهلاكية بأكملها من دمج التكنولوجيا في منتجاتها ومنصاتها.
FIDO يستبدل كلمات المرور مع تشفير المفتاح العمومي. هذا يعني أنه بدلاً من كلمات المرور ، يتم تعريف المستخدمين باستخدام زوج من المفاتيح العامة والخاصة. لا يمكن فك تشفير أي شيء مشفر باستخدام مفتاح عام إلا بواسطة المفتاح الخاص المقابل. عندما يسجل مستخدم ما خدمة عبر الإنترنت تدعم مصادقة FIDO ، تنشئ الخدمة زوج مفاتيح وتخزين المفتاح العام على خوادمها. يتم تخزين المفتاح الخاص على جهاز المستخدم فقط. عند تسجيل الدخول ، يتم تقديم طلب العميل مع تحدي تشفير تم إنشاؤه بواسطة المفتاح العمومي ، والذي لا يمكن حله إلا عن طريق المفتاح الخاص. يجب على المستخدمين التحقق من هويتهم بواسطة أجهزتهم (من خلال بصمة الإصبع أو الوجه أو رقم التعريف الشخصي) لإلغاء قفل المفتاح الخاص وحل التحدي.
ميزة هذا النموذج هي أنه يوفر مصادقة متعددة العوامل دون الحاجة إلى تخزين وتبادل كلمات المرور. حتى إذا تمكن المتسللون من اختراق خوادم موفر الخدمة ، فسيحصلون فقط على إمكانية الوصول إلى المفاتيح العامة ، والتي لا فائدة منها دون تخزين المفاتيح الخاصة المقابلة على أجهزة المستخدمين. إذا قام المتسللون بسرقة جهاز المستخدم ، فسيظل عليهم تجاوز التحقق من الهوية المحلية للحصول على المفتاح الخاص. من وجهة نظر المستخدم ، يؤدي هذا إلى تجنب الحاجة إلى حفظ كلمات مرور طويلة ومعقدة لكل حساب مع توفير حماية فائقة.
لكن أكبر إنجازات FIDO هو الحصول على دعم واسع من صناعة التكنولوجيا. جمع التحالف أسماء كبيرة مثل Google و Microsoft و Amazon و Intel لتطوير معايير يسهل تنفيذها على أنواع الأجهزة وأنظمة التشغيل المختلفة.
"أدركت الشركات التي اجتمعت لتشكيل FIDO Alliance أن استبدال كلمات المرور للمصادقة عبر الإنترنت يمكن أن يصبح قابلاً للتطبيق على نطاق تجاري من خلال مجموعة من معايير التكنولوجيا المجانية والمفتوحة ، وتجربة مستخدم فائقة التفوق ، واتباع نهج مختلف تمامًا في نموذج الأمان يقول ماكدويل.
أصدرت FIDO مؤخرًا FIDO2 ، امتدادًا لمعيارها الذي يضيف دعمًا لمصادقة المفتاح العام للمتصفحات ومجموعة واسعة من أطر التطبيق. يتم دعم المعيار بواسطة Windows 10 وخدمات Google Play على Android ومتصفحات الويب Chrome و Firefox و Edge. WebKit ، التكنولوجيا وراء متصفح Safari من Apple ، قد تضيف أيضًا دعمًا لـ FIDO2 قريبًا.
يقول Ehrensvard ، الذي تعد شركته Yubico من بين الأعضاء الرئيسيين في FIDO: "يتيح معيار FIDO2 استبدال المصادقة الضعيفة القائمة على كلمة المرور بمصادقة قوية قائمة على الأجهزة تستخدم تشفير المفتاح العام". "يسمح هذا المعيار للمصادقة بدون كلمة مرور بعدة أشكال ، بما في ذلك عبر USB و NFC أثناء التنقل ، والذي يوفر تجربة مستخدم مثالية ، ويحسن بشكل كبير الأمان والإنتاجية."
متى ستختفي كلمات المرور؟
على الرغم من أن الصناعة قطعت شوطًا طويلاً نحو تطوير طرق بديلة للمصادقة ، إلا أن كلمات المرور لن تختفي بين عشية وضحاها. يقول موموت ، الرئيس التنفيذي لشركة REMME: "يجب أن نأخذ في الاعتبار أن لدينا الكثير من برامج وأنظمة المعلومات" القديمة "، ولهذا السبب ليس من الممكن دائمًا تغيير قواعد المصادقة المعمول بها بسهولة بما في ذلك تلك التي تعتمد على كلمة المرور".
يعتقد خبراء آخرون ، مثل Sandor Palfy ، CTO of LogMeIn ، أن كلمات المرور ستبقى بمثابة وجه مركزي لتحديد المستخدمين. كما يعتقد أن الصناعة يجب أن تركز على تحسين تجربة كلمة المرور.
- أفضل مدراء كلمات المرور لعام 2019 أفضل مدراء كلمات المرور لعام 2019
- ما كلمة السر؟ تشغيل بعض الموسيقى وتسجيل الدخول عبر Brainwaves ما هي كلمة المرور؟ لعب بعض الموسيقى وتسجيل الدخول عبر Brainwaves
- رسائل البريد الإلكتروني الإباحية وهمية باستخدام كلمات المرور القديمة لخداعك من النقدية رسائل البريد الإلكتروني الإباحية وهمية باستخدام كلمات المرور القديمة لخداعك من النقدية
"حتى يتم توفير تغطية شاملة للمصادقة متعددة العوامل (أو حتى المصادقة السلوكية أو السياقية) ، تحتاج الشركات إلى الاستثمار في تعزيز الخدمات المحمية بكلمة مرور المستخدمة في جميع أنحاء المؤسسة" ، يقول Palfy.
"إن تذكر كلمات المرور الفريدة والمعقدة لجميع أعمالنا وحساباتنا الشخصية لا يتماشى مع السلوك البشري الطبيعي. باستخدام أدوات مثل مديري كلمة المرور ، يجب أن يكون تذكر كلمات المرور المتعددة شيئًا من الماضي ، حيث يتعين على المستخدمين فقط تذكر كلمة مرور رئيسية واحدة ، يقول Palfy ، الذي تعد شركته مطور مدير كلمة مرور LastPass.
لكن بالنسبة لماكدويل ، الذي كان على رأس FIDO منذ عام 2014 ، فإن السعي لاستئصال كلمات المرور قد وصل أخيرًا إلى مراحله النهائية. "اليوم أصبح المستقبل الذي لا كلمة له حقيقة واقعة ، تطبيق واحد في المرة الواحدة. في غضون بضع سنوات ، أتوقع أن تكون نماذج إدخال كلمة المرور نادرة في العثور على صفحات الويب مثل أكشاك الهاتف العامة في الأماكن العامة هذه الأيام ، وللأغراض التالية: السبب نفسه - لدينا بديل فعال التكلفة في كل مكان يوفر تجربة مستخدم أفضل بكثير ".
