Passkey آینده امنیت نرم افزارها و رمز عبور های حال حاضر

مرگ گذرواژه اینترنتی بارها اعلام شده است، اما این بار، ممکن است در واقع زودتر از آنچه فکر می کنید رخ دهد. جایگزین آن؟ کلید عبور Passkey.

به گفته کاتلین موریارتی، مدیر ارشد فناوری در مرکز امنیت اینترنت، کلیدهای عبور مسیر آینده در امنیت اولیه اینترنت هستند، زیرا ذاتاً ایمن تر هستند و در برابر فیشینگ مقاوم هستند. همچنین شرکت های بزرگ از جمله اپل ، گوگل و مایکروسافت در حال  کار کردن با استانداردهای توسعه یافته توسط FIDO Alliance و World Wide Web Consortium - دو سازمانی که استانداردهای احراز هویت رمز عبور را ایجاد می کنند - برای پشتیبانی از کلیدهای عبور در پلتفرم های خود میباشند ، لیست سازمان هایی که کلیدهای عبور را به عنوان جایگزینی برای رمز عبور ارائه می دهند در حال رشد است.

موریارتی همچنین اضافه نمود : "کلیدهای عبور نمونه ای از امنیت هستند: یکپارچه و نامرئی برای کاربر نهایی."

کلیدهای عبور چگونه کار می کنند

استفاده از کلید عبور به فرد امکان می دهد با تأیید ورود به سیستم در یک دستگاه خارجی، بدون نیاز به رمز عبور، به یک حساب دسترسی پیدا کند.

هنگامی که شخصی با یک رمز عبور وارد حساب کاربری می شود، درخواستی که چالش  Challenge نیز نامیده می شود، به دستگاه دیگری که متعلق به کاربر است، مانند تلفن او ارسال می شود که به آنها اجازه می دهد با وارد کردن نوعی پین یا استفاده از بیومتریک، ورود خود را تأیید کنند. مانند اثر انگشت یا اسکن صورت. یک رابطه ریاضی بین کلید عمومی در سیستمی که کاربر به آن وارد می‌شود و همچنین کلید خصوصی در دستگاه شخصی کاربر به سیستم اجازه می‌دهد تأیید کند که تنها شخصی که وارد حساب می‌شود شخصی است که کلید خصوصی را دارد.

جلوگیری از خطای انسانی و هکرها

از منظر ایمنی، کلیدهای عبور به دلایلی بسیار امن تر از رمزهای عبور هستند.

آنها احراز هویت فردی را برای هر کاربر برای هر برنامه ارائه می کنند - هر چالشی که توسط سرور ارسال می شود یک چالش جدید است و رمزگذاری را هر بار متفاوت می کند. احراز هویت متقابل که هنگام احراز هویت سرور توسط کاربر رخ می دهد، آنها را کمتر مستعد حملات امنیت سایبری می کند. دسترسی به کلید بسیار دشوارتر است، زیرا هکرها باید هم به کلید عمومی برنامه و هم به کلید خصوصی دستگاه کاربر دسترسی داشته باشند تا بتوانند به حساب کاربر وارد شوند.

یک مشکل عمده در مورد رمز عبور این است که انسان ها تمایل دارند از عبارات یکسان یا بسیار مشابه برای رمزهای عبور خود در چندین پلتفرم استفاده کنند تا به خاطر سپردن آنها آسان تر شود و اغلب حاوی اطلاعات شخصی هستند. حتی بدتر از آن، انتخاب رمزهای عبور ساده (فکر کنید "abc123" یا "password") هدف مناسبی را برای هکرها ایجاد می کند تا به راحتی به حساب های افراد دسترسی پیدا کنند. این بدان معنی است که یک هکر ممکن است بتواند به چند حساب متعلق به یک کاربر فقط با کشف رمز عبور یک وب سایت یا پلتفرم واحد وارد شود.

کلیدهای عبور این مشکل را از بین می برند زیرا آنها،  فضا را برای خطاهای انسانی که ممکن است به مسائل امنیتی تبدیل شوند حذف می کنند. استفاده مجدد از کلیدهای عبور وجود ندارد، زیرا هر یک برای هر کاربر و همچنین برنامه منحصر به فرد است.

موریارتی گفت: «در گذشته به شما هشدار داده شده بود که از رمزهای عبور بین برنامه‌های مختلف استفاده نکنید. "کلیدهای عبور بر اساس این طراحی شده اند که از هرگونه استفاده مجدد جلوگیری می کنند، به طوری که اگر کلید شما برای یک برنامه در معرض دید قرار گرفته ، شما قادر به استفاده در برنامه دیگر نیستید . زیرا آنها کاملاً مجزا هستند ."

تلاش‌های دیگری برای داشتن امنیت بهتر در مورد رمزهای عبور حتی در صورت عدم استفاده از کلید عبور انجام شده است، مانند استفاده از یک مدیر رمز عبور که به طور ایمن رمزهای عبور و سایر اطلاعات حساس را در مرورگر یا یک برنامه جداگانه ردیابی می‌کند. اما همانطور که در هک LastPass در آگوست 2022- یکی از بزرگترین مدیران رمز عبور جهان - نشان داده شده است، این برنامه‌ها کاملاً از نقض‌های امنیتی مصون نیستند.

اما صرف نظر از این، کاربران باید نوعی گام برای ایمن سازی بهتر رمز عبور خود بردارند. بر اساس آخرین گزارش دفاع دیجیتال مایکروسافت، حجم حملات رمز عبور به 921 حمله در هر ثانیه افزایش یافته است که در یک سال 74 درصد افزایش داشته است.

احراز هویت مقاوم در برابر فیشینگ به زودی عادی خواهد شد

اکثر سرویس‌های عامل اصلی اکنون اجازه استفاده از رمز عبور را می‌دهند. جدیدترین به‌روزرسانی اپل، iOS 16 برای آیفون‌ها و همچنین macOS Ventura برای Mac، اکنون از کلیدهای عبور پشتیبانی می‌کند. گوگل در دسامبر 2022 شروع به ارائه پشتیبانی از کلید عبور برای کروم در اندروید، ویندوز و macOS کرد.

تا پایان سال 2024، انتظار می‌رود دولت فدرال به طور کامل به شکل احراز هویت مقاوم در برابر فیشینگ تبدیل شود.

موریارتی گفت: «سیستم‌های عامل اصلی در حال حاضر از پشتیبانی کاملی برخوردار هستند، جایی که فقط پشتیبانی جزئی (قبلا) وجود داشت. بنابراین این چرخش و فشار برای پشتیبانی از کلیدهای عبور اکنون بسیار سریع است.»

ریسک های خدمات اینترنت و دستگاه

از آنجایی که کلیدهای عبور هنوز یک شکل نسبتاً جدید برای ورود به حساب های شخصی هستند، اما هنوز همه سرویس ها  از آنها پشتیبانی نمی کنند، اگرچه در حال تبدیل شدن به یک ویژگی رایج تر هستند.

تنها عیب احتمالی استفاده از کلیدهای عبور زمانی اتفاق می افتد که کاربر دستگاه ثانویه ای را که برای دسترسی به حساب های خود استفاده می کند از دست بدهد. اگر این اتفاق بیفتد، رمز عبور باید بازنشانی شود، اما توصیه می‌شود برای جلوگیری از بروز این مشکل، یک دستگاه پشتیبان نیز در دسترس داشته باشید.

منبع CNBC

ترجمه محمدحسین اکبرزاده