لأكثر من عقد من الزمان، تلقينا وعودا بأن عالما خاليا من كلمات المرور أصبح قاب قوسين أو أدنى. الآن، ولأول مرة، ثمّة شكل عملي للمصادقة بدون كلمة مرور، وهو على وشك أن يصبح متاحا للجماهير في شكل معيار تتبناه أبل وجوجل ومايكروسوفت، والذي يسمح بمفاتيح المرور عبر الأنظمة الأساسية وعبر الخدمات وليس عبر كلمات المرور التي عانت من مجموعة من المشكلات.
لكن أحد العيوب الرئيسية تمثّلت في الافتقار إلى آلية استرداد كلمات المرور -في حالة نسيانها أو تغييرها- قابلة للتطبيق، يتمثل أحد القيود الأخرى في أن معظم الحلول فشلت في النهاية في أن تكون بلا كلمة مرور حقا، بدلا من ذلك أعطوا المستخدمين خيارات لتسجيل الدخول باستخدام مسح الوجه أو بصمة الإصبع، لكن هذه الأنظمة رجعت في النهاية إلى كلمة مرور، وهذا يعني أن التصيد الاحتيالي وإعادة استخدام كلمات المرور ونسيان رموز المرور -كل الأسباب التي كرهنا كلمات المرور لأجلها- لم تذهب بعيدا.
في النهاية، فإن كلمات المرور معروفة بأنها غير آمنة، خاصة مع وجود بيانات اعتماد ضعيفة، وأن إمكانية تخمينها بسهولة تمثل أكثر من 80٪ من جميع انتهاكات البيانات، وفقا لتقرير "فيريزون (Verizon)" السنوي لخرق البيانات. لذلك، وفي تحالف نادر، تضافرت جهود أبل وجوجل ومايكروسوفت لتوسيع نطاق الدعم لعمليات تسجيل الدخول بدون كلمة مرور عبر الأجهزة المحمولة وسطح المكتب والمتصفحات، وفي الوقت نفسه تكون أكثر ملاءمة وأمانا(1). ليس ذلك فحسب، بل يُعد الحل الجديد لتلك المشكلة أسهل من أي وقت مضى للمستخدمين، وهو أقل تكلفة بالنسبة إلى الخدمات الكبيرة مثل غيتهاب الشهير، وفيسبوك. وقد تم أيضا تصميمه بدقة واستعراضه من قبل خبراء في المصادقة والأمان.
كيف سيحدث ذلك؟
أعلنت الشركات الثلاث عن توسيع نطاق الدعم لمعيار تسجيل الدخول بدون كلمة مرور من تحالف "فيدو (FIDO Alliance)"، وهو اتحاد صناعي مفتوح أُطلق في فبراير 2013، وتتمثل مهمته المعلنة في تطوير وتعزيز معايير المصادقة التي "تساعد على تقليل اعتماد العالم المفرط على كلمات المرور"؛ ما يعني أنك ستتمكن قريبا من استخدام هاتفك الذكي لتسجيل الدخول إلى أحد التطبيقات أو موقع ويب على جهاز قريب، بغض النظر عن نظام التشغيل أو المتصفح الذي تستخدمه، فقط ستستخدم الإجراء نفسه الذي تقوم به عدة مرات كل يوم لإلغاء قفل هاتفك الذكي، مثل التحقق من بصمة إصبعك أو مسح الوجه أو رقم التعريف الشخصي للجهاز.
إذا كنت تستخدم هاتفا ذكيا حديثا، فستعرف كيفية عمل ذلك. بدلا من مطالبتك بإدخال كلمة مرور، سترسل مواقع الويب -أيا كانت- إشعارا إلى هاتفك يطالبك بالتحقق من هويتك، أنت تقوم فقط بالمصادقة باستخدام الطريقة نفسها التي تستخدمها عادة لإلغاء قفل هاتفك، قد يكون ذلك إدخال رقم التعريف الشخصي، أو استخدام مستشعر بصمة الإصبع بهاتفك، أو استخدام نظام فتح الوجه. يتيح لك نظام مفتاح المرور الخاص بـ"فيدو" كذلك استخدام أحد أجهزتك الحالية الأخرى للمصادقة عن طريق إرسال طلب إلغاء القفل إلى ذلك الجهاز باستخدام البلوتوث. طالما كان هاتفك أو جهاز الكمبيوتر المحمول بالقرب منك، يمكنك تسجيل الدخول بهذه الطريقة في أي مكان.
الشركات الثلاث تدعم منذ فترة طويلة معيار تسجيل الدخول بدون كلمة مرور الذي أنشأه تحالف فيدو، وربما لاحظت ذلك في تسجيل الدخول لأول مرة من متصفح جديد، لكن لا يزال المستخدمون مجبرين على تسجيل الدخول إلى كل موقع ويب أو تطبيق مع كل جهاز قبل أن يتمكنوا من استخدام ميزة بدون كلمة مرور. على مدار العام المقبل، ستنفذ الشركات العملاقة في مجال التكنولوجيا الثلاث معايير تسجيل الدخول بدون كلمة مرور عبر أنظمة ماك أو-إس وأندرويد وويندوز. هذا يعني أنه، على سبيل المثال، سيتمكن المستخدمون من تسجيل الدخول على متصفح جوجل كروم الذي يعمل على مايكروسوفت ويندوز، باستخدام مفتاح مرور على جهاز أبل.
إلى جانب ذلك، سيتم تخزين بيانات الاعتماد على الإنترنت بحيث تكون متاحة عند استبدال الهاتف الحالي أو فقدانه؛ ما يؤدي إلى حل مشكلة أخرى أصابت بعض مستخدمي المصادقة متعددة العوامل (المستخدمة حاليا)، وهي خطر حظر الحسابات عند فقد الهواتف أو سرقتها. تعمل عمليات الاسترداد باستخدام جهاز تم التوكيد أنه ملكك بالفعل لتنزيل بيانات الاعتماد، دون الحاجة إلى كلمة مرور.
ماذا عن الأمان؟
كتب أندرو شيكيار، المدير التنفيذي لتحالف فيدو: "هذا هو بيت القصيد هنا حقا، لا توجد عملية استرداد لأن المفتاح الخاص متاح على الفور عبر أجهزة المستخدم، إنهم يحتاجون فقط إلى التحقق من أنفسهم على أجهزتهم لتسجيل الدخول إلى حساباتهم المسجلة مسبقا"، وأضاف: "إذا كان السؤال يتعلق بالاسترداد السحابي للجهاز (على سبيل المثال، كيف يمكنني العودة إلى حسابي على iCloud؟) هذا شيء يديره كل مزوّد منصة، وجميعهم لديهم طرق آمنة للغاية لضمان أن الاسترداد ممكن للمستخدمين الحقيقيين"(2).
وإلى جانب منح المستخدمين النهائيين عملية أكثر قابلية للاستخدام لتسجيل الدخول، يقدم البرنامج أيضا حماية أمنية قوية تتجاوز ما هو متاح من معظم الخدمات عبر الإنترنت اليوم. يقول بوب لورد، كبير المستشارين التقنيين في قسم الأمن السيبراني بوكالة الأمن السيبراني وأمن البنية التحتية: "في حين أن أي مصادقة متعددة العوامل أفضل من عدم وجودها، فإن مصادقة فيدو هي الوحيدة المقاومة للتصيد الاحتيالي، وهي المعيار الذهبي للمصادقة متعددة العوامل"(2).
من المهم أيضا ملاحظة أن نظام مفتاح المرور هذا لا يحل محل المصادقة ذات العاملين (two-factor authentication)، إنه يستبدل كلمة المرور فقط بتقنية مشابهة. نشر تحالف فيدو ذلك في ورقة بحثية في مارس تحدد هذا المفهوم، ولكن الإعلان عن تعهد الشركات الكبرى جاء باليوم العالمي لكلمة المرور(3).
بسبب كل ما سبق، سيكون من الصعب على المتسللين اختراق تفاصيل تسجيل الدخول عن بُعد، لأن تسجيل الدخول يتطلب الوصول إلى جهاز مادي. "إن العمل مع الصناعة لإنشاء طرق تسجيل دخول جديدة وأكثر أمانا توفر حماية أفضل وتقضي على نقاط الضعف في كلمات المرور أمر أساسي لالتزامنا ببناء منتجات توفر أقصى درجات الأمان وتجربة مستخدم شفافة، وكل ذلك بهدف الحفاظ على المستخدمين" كما صرح "كيرت نايت"، كبير مديري تسويق منتجات المنصات في شركة أبل، في بيان صحفي(4).
لذلك، حتى إذا حاول مهاجم عن بُعد تسجيل الدخول، فلن يتمكن مالكو الحسابات من استخدام مفاتيح المرور الخاصة بهم لمصادقة المعاملة، نظرا لأنه يجب أن يكون الهاتف أو أي جهاز مصادقة آخر قريبا فعليا من كمبيوتر المستخدم قبل أن يعرض مربع حوار "هل تريد تسجيل الدخول؟"، لذلك لن يتمكن مخادع في مدينة أو ولاية أو دولة أخرى من بدء تسجيل الدخول وتنفيذ تقنية معروفة مثل تقنيات التصديق الحالية. يقول لورد وخبراء أمنيون آخرون إن مفاتيح المرور تلغي أيضا الحاجة إلى إدخال كلمة مرور دون الإضرار بالضمانات الأمنية التي توفرها معظم الأشكال الحالية من أسلوب المصادقة المتعددة.
نظام بديل
يتألف معظم أسلوب المصادقة المتعددة من كلمة مرور ورمز أمان: أي شيء أعرفه، وشيء لدي. يوفر النظام الجديد شكلا آخر أسهل من الأسلوب المعتاد: شيء أمتلكه (هاتفي) وشيء متعلق بي (بصمة إصبعك أو مسح الوجه). قال أندرو شيكيار، المدير التنفيذي لتحالف فيدو، إنه يتوقع أن تبدأ عمليات الطرح بحلول نهاية هذا العام وأوائل العام المقبل.
كتب شيكيار قائلا: "كل مزود منصة لديه جداول زمنية خاصة به للنشر الأولي خلال العام المقبل. بمجرد تنفيذ جميع الشركات الثلاث للنظام بالكامل، سيتمكن المستخدمون من الاستفادة من وظيفة مفتاح المرور لعمليات تسجيل الدخول بدون كلمة مرور عبر الأجهزة على نظام أساسي للجهاز، ويمكنهم أيضا الانتقال من نظام أساسي إلى آخر. يتم تنفيذ هذا الإجراء الأخير عبر اقتران بلوتوث محلي في بروتوكول جديد يتم تضمينه في مواصفات فيدو".
إن "المعلومات الشخصية آمنة". هذا الالتزام الجماعي الجديد أشاد به جين إيسترلي، مدير وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA)، الذي وصفه بأنه "نوع من التفكير الموجه إلى الأمام"، وأضاف إيسترلي: "يعد اليوم معلما مهما في رحلة الأمان لتشجيع أفضل ممارسات الأمان المضمنة، ومساعدتنا في تجاوز كلمات المرور. الإنترنت هو رياضة جماعية، ويسعدنا أن نواصل تعاوننا "(4).
على الجانب الآخر، يرى البعض أن التخلص من كلمات المرور بالكامل احتمال صعب ومعقد، نظرا لأنها كانت الطريقة الفعلية للتحقق من هويتك على الإنترنت لعقود، وسيكره الكثير من الناس التخلي عن الطريقة المريحة والمألوفة لتسجيل الدخول. ومع ذلك، فإن استخدام المتصفحات الكبيرة بهذه الطريقة الجديدة يعد خطوة كبيرة. قد لا نضطر أبدا إلى كتابة nAsC4rr0xx420! مرة أخرى. بينما نجت كلمة المرور حتى الآن من العديد من المحاولات للقضاء نهائيا، فقد يكون هذا أحد المسامير الأخيرة في النعش الخاص بكلمة المرور.
-----------------------------------------
المصادر
1- 2022 Data Breach Investigations Report:
2- How Apple, Google, and Microsoft will kill passwords and phishing in one stroke:
3- FIDO Alliance white paper guides enterprise MFA choices, Summit details unveiled:
4- Apple, Google and Microsoft team up on passwordless login