تلفن شما ممکن است به زودی جایگزین بسیاری از رمزهای عبور شما شود – Krebs on Security


سیب، گوگل و مایکروسافت این هفته اعلام کردند که به زودی از رویکردی برای احراز هویت پشتیبانی می‌کنند که از رمز عبور به‌کلی اجتناب می‌کند و در عوض از کاربران می‌خواهد فقط قفل گوشی‌های هوشمند خود را برای ورود به وب‌سایت‌ها یا خدمات آنلاین باز کنند. کارشناسان می گویند این تغییرات باید به شکست بسیاری از انواع حملات فیشینگ و کاهش بار کلی رمز عبور بر روی کاربران اینترنت کمک کند، اما احتیاط می کنند که آینده واقعی بدون رمز عبور ممکن است هنوز سال ها برای اکثر وب سایت ها باقی بماند.

تصویر: Blog.google

غول‌های فناوری بخشی از تلاش‌های صنعتی برای جایگزینی رمزهای عبور هستند که به راحتی فراموش می‌شوند، اغلب توسط بدافزارها و طرح‌های فیشینگ به سرقت می‌روند، یا به‌دنبال نقض داده‌های شرکتی به بیرون درز کرده و به فروش می‌رسند.

اپل، گوگل و مایکروسافت برخی از مشارکت‌کنندگان فعال‌تر استاندارد ورود بدون رمز عبور هستند که توسط اتحاد FIDO («هویت سریع آنلاین») و کنسرسیوم وب جهانی (W3C) ساخته شده است، گروه‌هایی که با صدها فناوری کار می‌کنند. شرکت‌ها در دهه گذشته استاندارد ورود جدیدی را ایجاد کردند که در چندین مرورگر و سیستم‌عامل یکسان عمل می‌کند.

طبق اعلام FIDO Alliance، کاربران می توانند از طریق همان اقدامی که هر روز چندین بار برای باز کردن قفل دستگاه خود انجام می دهند – از جمله پین ​​دستگاه یا بیومتریک مانند اثر انگشت یا اسکن چهره، وارد وب سایت ها شوند.

این اتحاد در ۵ می نوشت: «این رویکرد جدید در برابر فیشینگ محافظت می‌کند و ورود به سیستم در مقایسه با گذرواژه‌ها و فناوری‌های چند عاملی قدیمی مانند رمزهای عبور یک‌بارمصرف ارسال شده از طریق پیامک، به طور اساسی ایمن‌تر خواهد بود».

سامپات سرینیواسمدیر احراز هویت امنیتی گوگل و رئیس FIDO Alliance، گفت که تحت سیستم جدید تلفن شما یک اعتبار FIDO به نام “passkey” را ذخیره می کند که برای باز کردن قفل حساب آنلاین شما استفاده می شود.

سرینیواس نوشت: «کلید عبور ورود به سیستم را بسیار ایمن‌تر می‌کند، زیرا بر اساس رمزنگاری کلید عمومی است و تنها زمانی که قفل تلفن خود را باز می‌کنید به حساب آنلاین شما نشان داده می‌شود. «برای ورود به یک وب‌سایت در رایانه‌تان، فقط به تلفنتان در نزدیکی آن نیاز دارید و به سادگی از شما خواسته می‌شود قفل آن را باز کنید تا دسترسی داشته باشید. هنگامی که این کار را انجام دادید، دیگر به تلفن خود نیاز نخواهید داشت و می توانید فقط با باز کردن قفل رایانه خود وارد سیستم شوید.”

مانند ZDNet توجه داشته باشید، اپل، گوگل و مایکروسافت در حال حاضر از این استانداردهای بدون رمز عبور پشتیبانی می کنند (مثلاً «ورود با Google»)، اما کاربران برای استفاده از عملکرد بدون رمز عبور باید در هر وب سایتی وارد شوند. تحت این سیستم جدید، کاربران می‌توانند به طور خودکار به کلید عبور خود در بسیاری از دستگاه‌های خود دسترسی داشته باشند – بدون نیاز به ثبت نام مجدد هر حساب – و از دستگاه تلفن همراه خود برای ورود به یک برنامه یا وب‌سایت در یک دستگاه نزدیک استفاده کنند.

یوهانس اولریچرئیس تحقیقات موسسه فناوری SANS، این اعلامیه را “به مراتب امیدوارکننده ترین تلاش برای حل چالش احراز هویت” نامید.

اولریچ گفت: “مهم ترین بخش این استاندارد این است که کاربران را ملزم به خرید دستگاه جدید نمی کند، اما در عوض ممکن است از دستگاه هایی استفاده کنند که قبلاً مالک آنها هستند و می دانند چگونه از آنها به عنوان احراز هویت استفاده کنند.”

استیو بلووینپروفسور علوم کامپیوتر در دانشگاه کلمبیا و محقق اولیه اینترنت و پیشگام، تلاش بدون رمز عبور را “پیشرفتی عظیم” در احراز هویت نامید، اما گفت که زمان زیادی طول می کشد تا بسیاری از وب سایت ها به موفقیت دست یابند.

بلووین و دیگران می گویند که یک سناریوی بالقوه دشوار در این طرح احراز هویت بدون رمز عبور جدید این است که وقتی شخصی دستگاه تلفن همراه خود را گم می کند یا تلفنش می شکند و نمی تواند رمز عبور iCloud خود را به خاطر بیاورد، اتفاق می افتد.

بلووین گفت: “من نگران افرادی هستم که توانایی خرید یک وسیله اضافی را ندارند، یا نمی توانند به راحتی یک دستگاه شکسته یا دزدیده شده را جایگزین کنند.” “من نگران بازیابی رمز عبور فراموش شده برای حساب های ابری هستم.”

گوگل می گوید که حتی اگر تلفن خود را گم کنید، «کلیدهای عبور شما به طور ایمن با تلفن جدیدتان از پشتیبان گیری ابری همگام می شوند و به شما این امکان را می دهند که درست از جایی که دستگاه قدیمی خود متوقف شده است، آن را انتخاب کنید».

اپل و مایکروسافت نیز راه‌حل‌های پشتیبان‌گیری ابری دارند که مشتریانی که از آن پلتفرم‌ها استفاده می‌کنند می‌توانند برای بازیابی از دستگاه تلفن همراه گمشده استفاده کنند. اما بلووین گفت که خیلی به این بستگی دارد که چنین سیستم های ابری تا چه حد ایمن اداره شوند.

«چقدر آسان است که کلید عمومی دستگاه دیگری را بدون مجوز به یک حساب اضافه کنید؟» بلووین تعجب کرد. فکر می‌کنم پروتکل‌های آن‌ها این کار را غیرممکن می‌کند، اما دیگران مخالف هستند.»

نیکلاس ویور، مدرس دپارتمان علوم کامپیوتر در دانشگاه کالیفرنیا، برکلی، گفت که وب سایت ها هنوز باید مکانیزم بازیابی برای سناریوی “تلفن و رمز عبور خود را گم کرده اید” داشته باشند، که او آن را به عنوان “مشکل واقعاً سخت برای انجام ایمن و یکی از بزرگترین ضعف های سیستم فعلی ما” توصیف کرد.

ویور در ایمیلی گفت: “اگر رمز عبور را فراموش کردید و تلفن خود را گم کردید و بتوانید آن را بازیابی کنید، اکنون این یک هدف بزرگ برای مهاجمان است.” “اگر رمز عبور را فراموش کردید و تلفن خود را گم کردید و نمی توانید، خوب، اکنون رمز مجوز خود را که برای ورود به سیستم استفاده می شود از دست داده اید. باید دومی باشد. اپل زیرساخت هایی را برای پشتیبانی از آن (iCloud keychain) در اختیار دارد، اما مشخص نیست که گوگل این کار را می کند یا خیر.

با این حال، او گفت، رویکرد کلی FIDO ابزاری عالی برای بهبود امنیت و قابلیت استفاده بوده است.

ویور گفت: “این یک گام واقعاً بسیار خوب به جلو است، و من از دیدن آن خوشحالم.” «استفاده از احراز هویت قوی تلفن از صاحب تلفن (اگر رمز عبور مناسبی دارید) بسیار خوب است. و حداقل برای آیفون شما می‌توانید این کار را حتی در معرض خطر قرار دهید، زیرا این محصور امن است که این کار را انجام می‌دهد و محصور امن به سیستم عامل میزبان اعتماد ندارد.

غول‌های فناوری گفتند که قابلیت‌های جدید بدون رمز عبور در پلتفرم‌های اپل، گوگل و مایکروسافت «در طول سال آینده» فعال خواهند شد. اما کارشناسان می گویند که احتمالاً چندین سال دیگر طول می کشد تا مقاصد وب کوچکتر از این فناوری استفاده کنند و رمزهای عبور را به طور کلی حذف کنند.

تحقیقات اخیر نشان می‌دهد که افراد بسیار زیادی هنوز از گذرواژه‌ها استفاده مجدد یا بازیافت می‌کنند (که همان رمز عبور را کمی تغییر می‌دهند)، که زمانی که آن اعتبارنامه‌ها در نهایت در معرض نقض داده‌ها قرار می‌گیرند، خطر تصاحب حساب را ایجاد می‌کند. گزارشی در ماه مارس از شرکت امنیت سایبری SpyCloud دریافتند ۶۴ درصد از کاربران از رمزهای عبور برای چندین حساب استفاده مجدد می‌کنند و ۷۰ درصد از اعتبارنامه‌هایی که در نقض‌های قبلی به خطر افتاده هنوز در حال استفاده هستند.

مقاله سفید مارس ۲۰۲۲ در مورد رویکرد FIDO در اینجا (PDF) موجود است. سؤالات متداول در مورد آن اینجا است.