آینده‌ای بدون رمز عبور؟

۱۴۰۱/۳/۳امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ روز جهانی پسورد امسال که همیشه در ماه می برگزار می‌شود مصادف شد با اخبار مربوط به غول فناوری گوگل، مایکروسافت و اپل. این شرکت‌ها اعلام کردند که قصد دارند فناوری جدیدی ابداع کنند که جایگزین پسورد باشد! با این تفاسیر باید شاهد آینده‌ای بدون پسورد باشیم؟ با ما همراه بمانید تا این موضوع را بررسی کنیم.

این استاندارد توسط FIDO Alliance با مشارکت W3C[1] -که اساساً ظاهر و عملکرد اینترنت مدرن را تعریف می‌کند- در حال توسعه است. این اقدامی جدی است در جهت ترک پسوردها به نفع احراز هویت مبتنی بر اسمارت‌فون یا دست‌کم از دریچه نگاه کاربر اینطور دیده می‌شود. شایان ذکر است که زمزمه‌های مرگ رمزعبور ده سالی می‌شود که پیچیده است. اقدمات پیشین برای این روش غیرقابل‌اعتماد احراز هویت کاربری راه به جایی نبرد- پسوردها هنوز هم با ما هستند! در این مقاله مزایای استاندارد جدید  FIDO/W3C را بررسی خواهیم کرد اما ابتدا بیایید با این سوال آشکار شروع کنیم که اساساً مشکل پسوردها چیست؟

مشکل پسوردها

عیب اصلی پسورد سرقت آسانش است. در روزهای اول اینترنت وقتی تقریباً همه ارتباطات بین کامپیوترها رمزگذاری‌نشده بود، پسوردها در متن ساده منتقل می‌شدند. با رشد قارچ‌گونه‌ی نقاط دسترسی شبکه عمومی- در کافه‌ها، کتابخانه‌ها و وسایل حمل و نقل- این به یک معضل بزرگ تبدیل شد: مهاجم می‌توانست بدون اینکه از خود ردی به جای بگذارد پسورد رمزگذاری‌نشده را رهگیری کند. اما این مشکل پسورد سرقت‌شده از اوایل تا اواسط دهه 2010 به اوج خود رسید- موجی از هک‌های اساسی روی سرویس‌های بزرگ اینترنتی شکل گرفت و پسوردهای کارری و آدرس‌های ایمیل به صورت انبوه سرقت می‌شدند. بگذارید اینطور بگوییم که همه پسوردهای از ده سال پیش در جایی در دامنه عمومی شناور مانده‌اند.

این روزها البته نشتی داده‌ها کمتر احتمال دارد حاوی پسوردهای متن ساده باشند: بسیاری از سرویس‌های اینترنتی مد‌ت‌هاس متوجه شده‌اند که ذخیره اطلاعات حساس کاربری به صورت رمزگذاری‌نشده دستورالعمل رسیدن به فاجعه است. پس هش کردن پسوردها دیگر به عرف تبدیل شده- بدین‌معنا که در قالب رمزگذار‌ی‌شده ذخیره می‌شوند. مشکل این بخش هم این است که اگر پسورد ساده باشد هنوز می‌شود با حمله جستجوی فراگیرِ همه ترکیب‌های احتمالی یا با حمله دیکشنری[2]، پسورد را از پایگاه داده رمزگذاری‌شده استخراج کرد.

رمزگشایی پسورد هش‌شده اگر اورجینالش چیزی مانند secret یا 123123 باشد بازی بچه‌گانه‌ای بیش نیست. مشکل دوم پسوردها: برای سهولت در حفظ کردن آن‌ها بسیاری افراد از پسوردهی بسیار ضعیف استفاده می‌کنند؛ اینجور پسوردها را می‌شود خیلی راحت از پایگاه داده نشت‌شده استخراج کرد حتی اگر رمزگذاری‌ شده باشند. و علاقه به سادگی و راحتی مستقیم به مشکل سوم منجر می‌شود: استفاده از همان پسورد برای سرویس‌ها و اکانت‌های مختلف. بنابراین یک نشت داده‌ از تالار آنلاین قدیمی که اصلا یادتان نمی‌آید چه زمان در آن ثبت‌نام کرده بودید می‌تواند به دلیل اینکه از همان پسورد برای اکانت ایمیل اصلی‌تان استفاده کرده‌اید آن اکانت‌تان را نیز از بین ببرد.

پسورد و ملحقات

مشکل البته برای این یکی دو روز نیست بلکه بسیار قدیمی است و از این روست که بیشتر سرویس‌ها دیگر فقط به یک پسورد ساده بسنده نمی‌کنند. اکنون فناوری احراز هویت چندعاملی هم به این بدنه اضافه شده است. موقع sign in کردن به سرویس‌های داخلی، شبکه‌های اجتماعی، اکانت‌های بانکی و غیره معمولاً مجبور می‌شوید بعد از وارد کردن اطلاعات خود از شما کد یکبار مصرف خواسته می‌شود. این کد به صورت پیام متنی برایتان فرستاده می‌شود یا در اپ بانکی روی گوشی‌تان یا اپ مخصوص برای احراز هویت کاربری چند عاملی مانند Google Authenticator ارسال می‌گردد. سیستم‌های بسیار پیچیده از کلید سخت‌افزاری که در پورت یو‌اس‌بی روی کامپیوتر درج می‌شوند استفاده می‌کنند یا از طریق بلوتوث یا ان‌اف‌سی به اسمارت‌فون شما وصل می‌شوند. در برخی موارد اصلاً به پسورد نیازی هم نمی‌شود. برای مثال وقتی به اکانت مایکروسافت sign in می‌کنید یک پسورد یکبار مصرف به ایمیل‌تان ارسال می‌شود. به طور پیش‌فرض اپ پیام‌رسان تلگرام از احراز هویت مبتنی بر کدهای یکبار مصرف ارسالی در قالب پیام متنی استفاده می‌کند که در آن نیازی هم به پسورد نیست (هرچند به عنوان اقدام امنیتی اضافی توصیه می‌شود). با این وجود در بیشتر موارد پسوردها هنوز هم در قالب بک‌آپ احراز هویت وجود دارند اما صرف تکیه بر آن‌ها روی کدهای عبور متن‌محور (تا اینجای کار شایع‌ترین و جامع‌ترین حالت همان 2FA است) به دلایلی نمی‌تواند ایده خوبی باشد. کوتاه بگوییم که مدت‌هاست درک شده آینده دیگر به پسوردها تعلق ندارد. و اکنون اینطور احتمال می‌رود که آن آینده بدون رمزعبور در حال ظهور است.

احراز هویت بدون رمزعبور همانطور که FIDO/W3C برایمان متصور شده است

برای پرداختن به موارد مهم و اساسی، این استاندارد احراز هویت جدید بدون پسورد، رمزعبور را (یا همان کلید عبور که متشکل از کلیدهای رمزگذاری، خصوصی و عمومی است) مؤلفه‌ای تماماً فنی کرده است که کاربر دیگر آن را نمی‌بیند. این استفاده از کلیدهای قوی و منحصر به فرد و نیز کریپتوگرافی قدرتمندی را میسر می‌سازد. در عوض زندگی برای سارقان سایبری سخت می‌شود و تضمین داده می‌شود اگر اکانتی هک شد هیچ اکانت دیگری قربانی این عمل نخواهد شد و مجرمان نخواهند توانست راز را به فیشرهای دیگر لو دهند. برای کاربران شبیه به تأیید لاگین به شبکه‌ای اجتماعی، اکانت ایمیل یا سرویس بانکداری آنلاین از اسمارت‌فون خواهد بود. مانند پرداخت با اسمارت‌فون که امروزه انجام می‌دهیم: دستگاه را با پین یا احراز هویت تشخیص چهره یا اثر انگشت آنلاک کرده و تراکنش را تأیید می‌کنیم تنها تفاوتش این است که به جای پرداخت به اکانت خود sign in می‌کنید. افزون بر این استاندارد مذکور توسعه‌داده‌شده توسط FIDO قابلیت اضافی دیگری هم دارد در قالب احراز هویت بلوتوثی روی چندین دستگاه. برای مثال لاگین اکانت روی لپ‌تاپ اگر دستگاه، اسمارت‌فون معتمدی را در این حوالی ببیند سریعتر پیش خواهد رفت. این سیستم احراز هویت جذاب برای اکثریت کاربران کار خواهد کرد به استثنای آن‌هایی که شاید بخواهند هنوز از اسمارت‌فون‌های از رده خارج استفاده کنند. با پشتیبانی این سه غول فناوری، قابلیت جدید به زودی جهانی خواهد شد. اما آیا به نفع امنیت خواهد بود؟ بیایید مزایا و معایب این فناوری را نیز مورد بررسی قرار دهیم.

مزایای احراز هویت بدون پسورد

حمایت گوگل، اپل و مایکروسافت می‌تواند قوت قلبی باشد که سرویس‌های بزرگ مانند جیمیل، یوتیوب، آی‌کلود و اکس‌باکس نیز (به همراه سیستم‌عامل آی‌اواس، اندروید و ویندوز) نیز بزودی به این فناوری روی آورند. از آنجایی که این استاندارد یکپارچه و باز است باید روی هر دستگاهی یکسان کار کند. گزینه سوئیچ از یک دستگاه به دستگاه دیگر نیز تضمین داده می‌شود. از آیفون به گلکسی سامسونگ مهاجرت کردید؟ مشکلی نیست: می‌توانید اسمارت‌فون جدید خود را در قالب دستگاه تأیید ورود خود تعیین نمایید. مزیت اصلی این متود جدید پیچیده شدن فیشینگ برای مهاجمین است. سرقت سنتی پسورد با ساختن وبسایت جعلی بانکی یا هر وبسایت جعلی دیگر و گول زدن قربانی برای بازدید از آن انجام می‌شد. آنجا کاربر اطلاعات محرمانه خود را وارد می‌کرد (برخی‌اوقات حتی احراز هویت دوعاملی هم شاملش می‌شد) و تمام- مهاجم دیگر به اکانت بانکی دسترسی داشت. جدای احراز هویت کاربر این استاندارد جدید خودسرویس را نیز احراز هویت می‌کند. صرف ارسال درخواست برای احراز هویت روی منبع وبی فردی دیگر کارساز نخواهد بود. نشت رمزعبور هم برای کاربر تهدید حساب نخواهد شد. در آخر اینکه این سیستم جدید سادگی و شهودی بودن را تضمین می‌دهد. اگر بدرستی اجرایی شود جایگزین کردن پسوردها حتی برای اکانت‌های از پیش موجود نیز باید ساده شود و این حمایت وعده‌داده شده در سطح سیستم عامل نیز (در اسمارت فون‌ها) دیگر مستلزم نصب اپ نخواهد بود. صرف رفتن به سایتی که می‌خواهید و وارد کردن شناساگر و تأیید درخواست روی اسمارت‌فون‌تان کافی خواهد بود!

 

معایب احراز هویت بدون پسورد

این استاندارد نباید مشکل خاصی ایجاد کند اما بسیاری این سوال برایشان پیش می‌آید که: اگر کسی به اسمارت‌فون قابل‌اعتماد من دستبرد بزند و لاگین به همه اکانت‌هایم را تأیید کند چه؟ پاسخ ساده است: در مدل امنیتی واقع‌گرایانه هیچ راهکار بدون ایرادی وجود ندارد. هر چیزی می‌شود هک شود- تنها سوال این است که مهاجم چه منابعی را برای آن خرج کند. از اینها گذشته حتی اگر شما در سر پسوردی 128 کاراکتری و رندوم را نیز ذخیره کنید راه‌هایی وجود دارد که از مغزتان آن را نیز استخراج کنند. همیشه افراد در تلاشند به اکانت‌ها دسترسی داشته باشند. اما چنین هک‌هایی تارگت‌هایی فردی یا هد‌ف‌هایی اولی هستند (اصطلاحاً بدان حمله بوتیکی گفته می‌شود). وقتی صحبت از بازار انبوه می‌شود –منظور تهدیدهای روزمره است- سرقت پسورد چندین مرتبه شدت رواجش از سرقت اسمارت‌فون‌ها و استفاده از محتوای دیجیتالشان بیشتر است. این فناوری جدید هدفش حل این مورد است. آن اوایل که بیومتریک هم می‌خواست معرفی شود چنین شک‌هایی وجود داشت. آن زمان بسیاری به طور مشابهی نگران بودند که فردی اثر انگشت‌شان را بدزدد (در وحشیانه‌ترین سناریو با بردین انگشت!) و اسمارت‌فنشان را آنلاک کند. تروی هانت، سازنده فناوری بیومتریک سال گذشته مقاله‌ای در باب همین موضع نوشت: در امنیت واقع‌گرایانه، مدل بیومتریک قوی‌تر از پسوردها عمل می‌کند. اما مشکل اصلی این است که دسترسی بدون مزعبور، مفقود شدن گوشی را توجیه نمی‌کند. مطمئناً این استاندارد جدید انتقال سیستم احراز هویت از یک دستگاه به دیگری را ممکن می‌سازد. ساده‌ترین راه زمانیست که دو گوشی دارید- برای مثال یکی قدیمی یکی جدید. اگر گوشی قدیمی گم شود بی‌شک باید برای احراز هویت خود از متود بک‌آپ استفاده کنید. اما این که چه نوع بک‌آپی، هنوز مشخص نیست. احتمالاً به تنظیمات دستگاه مربوطه بستگی خواهد داشت. در نتیجه باید این سوال را نیز پرسید: این سیستم جدید، کاربران را به کارکرد اکانت‌هایشان در گوگل و اپل وابسته نمی‌کند؟ آیا بلاک کردن اکانت گوگل به عدم دسترسی به همه منابع آنلاین به طور کلی منجر خواهد شد؟ حتی اگر فرض را بر این بگیریم که استانداد مربوطه باز است، سیستم عامل‌های اسمار‌ت‌فون و زیرساخت چنین نخواهند بود.

آینده‌ای روشن

حتی فردی شکاک هم نمی‌تواند اذعان کند پسوردها وجودشان از عدم وجودشان بهتر است. مفهوم منسوخ شدن پسورد مدت‌هاست نیاز به بازنگری داشته است. استاندارد بدون پسورد FIDO وعده می‌دهد خیلی مسائل را سامان دهد اما همچنین به مقامات اجرایی نیز وابسته است: گوگل، اپل، مایکروسافت و همکاران. اگر همگی متحد شوند زندگی دیجیتال ما کمی ساده‌تر و امن‌تر خواهد شد. اما احتمال می‌رود این اتفاق یک‌شبه هم رخ ندهد: پسوردها در تار و پود اینتنرت امروزی ما رخنه کرده‌اند و سال‌ها زمان می‌برد تا بشود آن‌ها را تماماً از بستر نت پاک کرد- حتی اگر گزینه جدید، یک سیستم پیشرفته‌ی بی‌نظیر باشد!

 

[1] World Wide Web Consortium

[2]در اين روش همان‌طور که از نامش پيداست از يک فرهنگ لغت يا همان ديکشنري که در آن مجموعه‌اي از رمزهاي عبور معمول در دنيا وجود دارد استفاده مي‌شود تا از اين طريق بتوان رمز عبور شخص يا شبکه را پيدا کرد و به منابع آن دسترسي يافت.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.