محمد بختیاری

در راه تلاشی عظیم برای حذف رمز عبور از دنیای کاربران

سال‌ها است که صحبت‌های وسوسه‌انگیزی از یک آینده‌ی دیجیتال بدون رمز عبور به‌گوش می‌رسد، اما شاید شما نیز تابه‌حال هیچ نشانه‌ای از احتمال تحقق این رویا در آینده‌ی نزدیک ندیده باشید. اکنون فیدو الاینس (FIDO Alliance)، اعلام داشته است که یک گام دیگر به این هدف نزدیک‌تر شدیه‌ایم و تکه‌ی گمشده‌ی پازل درنهایت پیدا شده است. تمرکز انجمن صنعتی فیدو الاینس یا اتحادیه‌ی فیدو بر ابداع روش‌های نوین احراز هویت امن معطوف شده است.

به‌تازگی اتحادیه‌ی فیدو با انتشار اوراق سفیدی چشم‌انداز این سازمان برای حل مشکلات مربوط به قابلیت استفاده‌ از فناوری خود را اعلام کرد؛ مشکلاتی که تاکنون روی ویژگی‌های مفید این فناوری سایه‌ افکنده و ظاهراً جلوی همه‌گیری استفاده از آن را گرفته است. تمام اعضای فیدو در انتشار این گزارش مشارکت داشته‌اند، این اعضا شامل سازندگان چیپ‌های رایانه‌ای مانند اینتل و کوالکوم نیز می‌شود. از دیگر اعضای فیدو می‌توان به توسعه‌دهندگان بزرگ پلتفرم‌ها مانند آمازون و متا، نهادهای مالی مانند امریکن‌ اکسپرس و بانک آمریکا و توسعه‌دهندگان سیستم‌های عامل مانند گوگل، مایکروسافت و اپل اشاره کرد.

گزارش منتشرشده، بیش از آن که دستورالعمل فنی باشد، یک راهنمای تئوری برای حل مشکلات مسیر پیش روی این اتحادیه است. پس از چندین سال تلاش در زمینه‌ی ادغام استانداردهای فیدو ۲ و WebAuthn در محصولاتی مانند ویندوز، اندروید و iOS، انتشار این گزارش یک گام مثبت در جهت برداشتن موانع همه‌گیری استفاده از این فناوری است.

اندرو شیکیار، مدیر اجرایی اتحادیه فیدو در این‌مورد می‌گوید:

نکته‌ی اصلی موفقیت فیدو به قابلیت استفاده‌ی بالای آن برمی‌گردد. ما باید به اندازه‌‌ی استفاده از رمز عبورها محبوب شویم. رمز عبورها تبدیل به بخشی از دی‌ان‌ای محیط وب شده‌اند و ما تلاش می‌کنیم جایگزینی برای آن پیدا کنیم. استفاده نکردن از رمز عبور باید بیشتر از استفاده کردن از آن راحت باشد.

اما در عمل حتی سریع‌ترین و بی‌عیب‌ونقص‌ترین روش‌های عدم‌استفاده از رمز عبور نیز در مراحل ابتدایی توسعه قرار دارند. بخشی از چالشی که این فناوری با آن روبه‌رو است به عادت کردن کاربران در استفاده از رمز عبور برمی‌گردد؛ موضوعی که باعث می‌شود تا آن‌ها به استفاده از روش‌های جدید تأیید هویت روی خوش نشان ندهند. استفاده و مدیریت رمز عبورها مشکل است و همین‌ موضوع باعث می‌شود برخی افراد به روش‌های میان‌بر مانند استفاده از رمز عبورهای تکراری روی بیاورند که به‌تبع خود باعث بروز مشکلات امنیتی می‌شود. اما درنهایت با وجود تمام این چالش‌ها کاربران به‌طور گسترده از رمز عبور استفاده می‌کنند. تجربه نشان داده است که آگاهی‌بخشی به مصرف‌کنندگان در مورد جایگزین‌های رمز عبور و احساس راحتی آن‌ها با تغییرات جدید یک فرایند طولانی و مشکل است.

مقاله‌ی مرتبط:

علاوه‌بر چالش انطباق‌پذیری کاربران با این فناوری، اتحادیه‌ی فیدو با یک چالش مهم دیگر نیز مواجه است و آن سختی ناوبری روش‌های عدم‌استفاده از رمز عبور در بین پلتفرم و محصولات مختلف است. مهندسان فیدو معتقدند که راه‌حل ریشه‌ای این مشکل جایگزین یا اضافه کردن یک دستگاه الکترونیکی است. درصورت استفاده از روش‌های عدم‌استفاده از رمز عبور، اگر فرایند شروع استفاده از یک تلفن‌همراه جدید بیش‌ازحد پیچیده باشد و یک روش ساده برای ورود مجدد به تمام حساب‌ها یا اپلیکیشن‌ها وجود نداشته باشد، یا مثالاً برای اثبات مالکیت حساب‌ شبکه‌های اجتماعی به استفاده‌ی مجدد از رمز عبور نیاز باشد، در این‌صورت بسیاری از کاربران عطای استفاده از این فناوری را به لقایش خواهند بخشید.

اسکنرهای بیومتریک در غیاب پسووردها نقش کلیدی در احراز هویت کاربران خواهند داشت

استاندارد عدم‌ استفاده از رمز عبور که اتحادیه‌ی فیدو در حال توسعه‌ی آن است برای احراز هویت کاربر به اسکنرهای بیومتریک دستگاه‌ها مانند حسگرهای اثرانگشت یا یک مسترپین انتخاب‌شده توسط کاربر متکی است. این احراز هویت به‌صورت محلی (لوکال) بدون‌ استفاده از اینترنت صورت می‌گیرد و هیچ داده‌ای از دستگاه‌های مورد استفاده‌ی کاربر برای اعتبارسنجی به سرورها منتقل نمی‌شود. اتحادیه‌ی فیدو معتقد است که ایده‌ی اصلی برای حل مشکل نیاز به استفاده‌ از دستگاه‌های جدید، پیاده‌سازی ابزار مدیریت‌کننده‌ی هویت‌سنجی فیدو در سیستم‌عامل‌ها است. این فرایند چیزی شبیه به برنامه‌ی مدیریت رمز عبور درون‌ساخت در سیستم‌های عامل است. در این مکانیزم به‌جای ذخیره‌‌ی رمزهای عبور، از روش‌های ذخیره‌سازی کلیدهای رمزنگاری استفاده می‌شود. این‌ کلید‌های رمزنگاری را که توسط اسکنرهای بیومتریک یا قفل گوشی موبایل محافظت می‌شوند، می‌توان بین دستگاه‌های مختلف همگام‌سازی کرده و به اشتراک گذاشت.

در کنفرانس جهانی توسعه‌دهندگان اپل که در تابستان گذشته برگزار شد، این شرکت از نمونه‌ی مشابه فیدو به‌نام کلید عبور Keychain به‌عنوان یکی از ویژگی‌های iCloud پرده‌برداری کرد. اپل اعلام کرده است که کلید‌های عبور کی‌چین گامی به‌سوی آینده‌ای بدون رمز عبور است.

میخی بر تابوت رمز عبور

گرت دیویدسن، یکی از مهندسان مشغول در برنامه‌ی احراز هویت اپل در ماه ژوئیه‌ی سال گذشته میلادی (تیرماه ۱۴۰۰ خورشیدی) در کنفرانس توسعه‌دهندگان اپل گفت:

کلیدهای عبور مانند مدارک تأیید هویت WebAuthn هستند و از شاخص‌های ایمنی شگفت‌انگیز این استاندارد در کنار قابلیت پشتیبان‌گیری و همگام‌سازی در تمام دستگاه‌ها بهره می‌برند. ما داده‌های کی‌چین را در iCloud ذخیره می‌کنیم و مانند همه‌ی داده‌های دیگر در iCloud این داده‌ها نیز به‌طور سرتاسری رمزگذاری می‌شوند و حتی اپل نیز نمی‌تواند آن‌ها را بخواند…خوانش این داده‌ها از سوی کاربر نیز راحت است. در اکثر موارد برای دسترسی به داده‌های احراز هویت به یک اشاره یا کلیک ساده نیاز است.

برای مثال اگر شما گوشی اپل قدیمی خود را گم کرده و یک گوشی دیگر خریده باشید، فرایند انتقال داده‌ها به گوشی جدید، هیچ‌گونه پیچیدگی فراتر از روش‌های احراز هویتی که اپل دراختیار خریداران محصولاتش می‌گذارد، نخواهد داشت. اما اگر آیفون خود را گم کرده‌اید و می‌خواهید از گوشی اندروید استفاده کنید، فرایند احراز هویت حساب‌ها و اپلیکیشن‌ها شاید به‌همان راحتی نباشد. اما راهنمای منتشر شده توسط اتحادیه‌ی فیدو دارای یک نکته‌ی قابل‌توجه دیگر نیز هست. قابلیت جدیدی که فیدو پیشنهاد داده است می‌تواند به یکی از دستگاه‌های کاربر، مثلا لپ‌تاپ او اجازه دهد تا نقش یک توکن سخت‌افزاری را ایفا کند، چیزی شبیه به دانگل‌های مستقل احرازهویت بلوتوثی که به‌شما اجازه می‌دهد از طریق بلوتوث و به‌صورت فیزیکی اقدام به تأیید هویت خود کنید. ایده‌ی اصلی فیدو در توسعه‌ی این قابلیت این است که بلوتوث، باتوجه به پروتکل‌ مبتنی بر فاصله‌ی آن، تقریباً یک فناوری ضدفیشینگ محسوب می‌شود، از این‌رو می‌توان از بلوتوث به شیوه‌های مختلفی در توسعه‌ی طرح‌های کنار گذاشتن رمز عبور بدون‌ نیاز به ذخیره‌ی رمز عبور پشتیبان استفاده کرد.

بلوتوث تقریباً یک فناوری ضدفیشینگ محسوب می‌شود

کریستین برند یکی از مدیران محصول شرکت گوگل است. تمرکز کاری او عمدتاً بر هویت‌سنجی و ایمنی دیجیتال بوده و از چند سال پیش در پروژه‌های اتحادیه‌ی فیدو همکاری داشته است. برند معتقد است که طرح‌های مبتنی بر کلید‌عبور از لحاظ منطقی دنباله‌روی تصویری از یک آینده‌ی بدون‌ رمز عبور برای گوشی‌های هوشمند یا اتصال چنددستگاهی است. او می‌گوید:

رویای بزرگ عبور کردن از دنیای رمز عبورها از مدت‌ها پیش در ذهن خیلی‌ها بوده است. اما [برای تحقق این رویا] پیش از همه چیز باید همه‌ی کاربران در جیب خود گوشی‌ هوشمند می‌داشتند، موضوعی که اکنون تقریباً محقق شده است. خوشبختانه کاربران برای استفاده از استاندارهای امنیتی که منجر به کنار گذاشتن رمز عبورها خواهند شد، تنها باید یک تغییر رفتاری کوچک انجام دهند؛ اما از لحاظ تکنولوژیک این یک جهش بزرگ رو‌به‌جلو خواهد بود.

گفتنی است گوگل تنها چند ماه بعد از تشکیل فیدو در سال ۲۰۱۳ به این اتحادیه پیوست. بزرگ‌ترین اولویت فیدو تغییر الگو و چارچوب‌های امنیتی حساب‌های کاربری است که منجر به از بین‌رفتن کلاه‌برداری‌های اینترنتی ازطریق جعل هویت یا همان فیشینگ خواهد شد. کلاه‌برداران اینترنتی در فریب کاربران برای ارائه‌ی ناخواسته‌ی اطلاعات‌ شخصی از جمله رمز عبورها از روش‌های استادانه‌ای استفاده می‌کنند و حتی کد‌های احرازهویت‌های دو‌مرحله‌ای نیز از حملات فیشینگ در امان نیستند. جعل هویت و کلاه‌برداری اینترنتی ازطریق آن علاوه بر سودهای مالی مجرمانه‌ای که نصیب حمله‌کنندگان می‌کند، ممکن است بخشی از برنامه‌های جاسوسی و حملات‌ سایبری خرابکارانه با هدف تأثیر بر ژئوپلیتیک و حوادث جهانی نیز باشد.

بایومتریک usb بلوتوث

حتی اگر قبول کنیم که اتحادیه‌ی فیدو فورمول جادویی را پیدا کرده است، بازهم دلایل زیادی وجود دارد که باور کنیم رمزهای عبور یک‌شبه ناپدید نخواهند شد. مهم‌ترین دلیلش هم این است که همه‌ی افراد از گوشی‌های هوشمند استفاده نمی‌کنند؛ بنابراین در صورت دزدیده‌ شدن یا گم شدن یک دستگاه، دستگاه پشتیبان دیگری برای جلوگیری از افشای اطلاعات وجود نخواهد داشت. همچنین سال‌ها طول می‌کشد تا همه‌ی افراد از دستگاه‌ها و سیستم‌عامل‌هایی استفاد کنند که از راه‌حل‌های فیدو برای کنارگذاشتن رمز عبور پشتیبانی می‌کنند. در این‌ حین شرکت‌های فناوری باید از دو روش لاگین مبتنی بر رمز عبور و بدون‌ نیاز به رمز عبور پشتیبانی کنند. اتحادیه‌ی فیدو در اوراق سفید اخیر و در گزارش‌های پیشین، حمایت خود از این فرایند انتقال را اعلام کرده است، اما مانند تمام مهاجرت‌های فناورانه‌ی پیشین (ویندوز ایکس‌پی) مسیر کوچ، به‌طرز غیرقابل‌اجتنابی دشوار خواهد بود.

هیچ استانداردی مصون از خطا نخواهد بود و ضعف‌های خود را خواهد داشت

با این‌که پشنهاد اتحادیه‌ی فیدو در تعیین استانداردهای امنیتی برای عبور از دنیای رمز عبورها یک جهش بزرگ به سوی آینده‌ی دیجیتال امن‌تر است؛ اما نباید فراموش کرد که حتی استاندارهای آتی نیز مصون از خطا نخواهند بود. موفقیت فیدو به امنیت عملکرد هر یک از سیستم‌های پیاده‌ساز بستگی خواهد داشت. شما احتمالاً با کابوس اعتماد اجباری به روش‌های مختلف احراز هویت اپلیکیشن‌ها، شبکه‌های اجتماعی و دیگر سرویس‌های اینترنتی آشنایی دارید؛ بااین‌حال باید به یاد داشته باشید که هیچ راه‌ جایگزینی کامل و عاری از خطا نیست. در صورت عملی‌شدن راهکار فیدو، محیط متفاوت و احتمالاً بهتر و معقولانه‌تری ایجاد خواهد شد که نقاط ضعف و آسیب‌پذیری‌های مخصوص خود را خواهد داشت. همان‌طور که فیدو اذعان کرده است، به‌کارگیری گسترده از روش‌های تأیید هویت بدون نیاز به رمز عبور بخشی از یک راه‌حل همه‌منظوره است و ممکن است با الزامات شدیداً سخت‌گیرانه‌ی امنیتی در آینده هم‌خوانی نداشته باشد.

جدای از همه‌ی این مسائل صنعت فناوری باید راهی برای تبدیل اورق سفید فیدو به ویژگی‌های کاربردی پیدا کند. راه‌حلی که استفاده از آن‌ راحت بوده و کاربران را برای کوچ از پروتکل‌های امنیتی مبتنی بر رمز عبور تشویق کند.

متیو گرین، دانشمند حوزه‌ی رمزنگاری از دانشگاه جان‌ هاپ‌کینگز در این‌مورد می‌گوید:

آن‌طور که اکنون به‌نظر می‌رسد، کلیدهای ‌عبور نسبت به رمزهای عبور عملکرد بهتر و امنیت بالاتری دارند. اما اگر رابط کاربری برای انتقال درون‌دستگاهی در برخی از دستگاه‌ها ضعیف باشد، به این معنی است که در تمام دستگاه‌ها ضعیف خواهد بود که همین امر باعث دلسرد شدن افراد می‌شود.

بعد از نزدیک به یک دهه تلاش، کاربرانی که به دنیای بدون رمز عبور امید بسته‌اند معتقدند اتحادیه‌ی فیدو و پروژه‌های آن به حدی بزرگ و گسترده شده است که احتمال شکست آن وجود ندارد. وقتی از کریستین برند می‌پرسیم که آیا واقعا این‌بار ناقوس مرگ رمز عبور به‌صدا در آمده است، بدون لحظه‌ای مکث پاسخ می‌دهد:

احساس می‌کنم همه چیز به آن سمت پیش می‌رود. این راه‌حل می‌تواند ماندگار باشد.

پاسخی بنویسید