روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ روز جهانی پسورد امسال که همیشه در ماه می برگزار میشود مصادف شد با اخبار مربوط به غول فناوری گوگل، مایکروسافت و اپل. این شرکتها اعلام کردند که قصد دارند فناوری جدیدی ابداع کنند که جایگزین پسورد باشد! با این تفاسیر باید شاهد آیندهای بدون پسورد باشیم؟ با ما همراه بمانید تا این موضوع را بررسی کنیم.
این استاندارد توسط FIDO Alliance با مشارکت W3C[1] -که اساساً ظاهر و عملکرد اینترنت مدرن را تعریف میکند- در حال توسعه است. این اقدامی جدی است در جهت ترک پسوردها به نفع احراز هویت مبتنی بر اسمارتفون یا دستکم از دریچه نگاه کاربر اینطور دیده میشود. شایان ذکر است که زمزمههای مرگ رمزعبور ده سالی میشود که پیچیده است. اقدمات پیشین برای این روش غیرقابلاعتماد احراز هویت کاربری راه به جایی نبرد- پسوردها هنوز هم با ما هستند! در این مقاله مزایای استاندارد جدید FIDO/W3C را بررسی خواهیم کرد اما ابتدا بیایید با این سوال آشکار شروع کنیم که اساساً مشکل پسوردها چیست؟
مشکل پسوردها
عیب اصلی پسورد سرقت آسانش است. در روزهای اول اینترنت وقتی تقریباً همه ارتباطات بین کامپیوترها رمزگذارینشده بود، پسوردها در متن ساده منتقل میشدند. با رشد قارچگونهی نقاط دسترسی شبکه عمومی- در کافهها، کتابخانهها و وسایل حمل و نقل- این به یک معضل بزرگ تبدیل شد: مهاجم میتوانست بدون اینکه از خود ردی به جای بگذارد پسورد رمزگذارینشده را رهگیری کند. اما این مشکل پسورد سرقتشده از اوایل تا اواسط دهه 2010 به اوج خود رسید- موجی از هکهای اساسی روی سرویسهای بزرگ اینترنتی شکل گرفت و پسوردهای کارری و آدرسهای ایمیل به صورت انبوه سرقت میشدند. بگذارید اینطور بگوییم که همه پسوردهای از ده سال پیش در جایی در دامنه عمومی شناور ماندهاند.
این روزها البته نشتی دادهها کمتر احتمال دارد حاوی پسوردهای متن ساده باشند: بسیاری از سرویسهای اینترنتی مدتهاس متوجه شدهاند که ذخیره اطلاعات حساس کاربری به صورت رمزگذارینشده دستورالعمل رسیدن به فاجعه است. پس هش کردن پسوردها دیگر به عرف تبدیل شده- بدینمعنا که در قالب رمزگذاریشده ذخیره میشوند. مشکل این بخش هم این است که اگر پسورد ساده باشد هنوز میشود با حمله جستجوی فراگیرِ همه ترکیبهای احتمالی یا با حمله دیکشنری[2]، پسورد را از پایگاه داده رمزگذاریشده استخراج کرد.
رمزگشایی پسورد هششده اگر اورجینالش چیزی مانند secret یا 123123 باشد بازی بچهگانهای بیش نیست. مشکل دوم پسوردها: برای سهولت در حفظ کردن آنها بسیاری افراد از پسوردهی بسیار ضعیف استفاده میکنند؛ اینجور پسوردها را میشود خیلی راحت از پایگاه داده نشتشده استخراج کرد حتی اگر رمزگذاری شده باشند. و علاقه به سادگی و راحتی مستقیم به مشکل سوم منجر میشود: استفاده از همان پسورد برای سرویسها و اکانتهای مختلف. بنابراین یک نشت داده از تالار آنلاین قدیمی که اصلا یادتان نمیآید چه زمان در آن ثبتنام کرده بودید میتواند به دلیل اینکه از همان پسورد برای اکانت ایمیل اصلیتان استفاده کردهاید آن اکانتتان را نیز از بین ببرد.
پسورد و ملحقات
مشکل البته برای این یکی دو روز نیست بلکه بسیار قدیمی است و از این روست که بیشتر سرویسها دیگر فقط به یک پسورد ساده بسنده نمیکنند. اکنون فناوری احراز هویت چندعاملی هم به این بدنه اضافه شده است. موقع sign in کردن به سرویسهای داخلی، شبکههای اجتماعی، اکانتهای بانکی و غیره معمولاً مجبور میشوید بعد از وارد کردن اطلاعات خود از شما کد یکبار مصرف خواسته میشود. این کد به صورت پیام متنی برایتان فرستاده میشود یا در اپ بانکی روی گوشیتان یا اپ مخصوص برای احراز هویت کاربری چند عاملی مانند Google Authenticator ارسال میگردد. سیستمهای بسیار پیچیده از کلید سختافزاری که در پورت یواسبی روی کامپیوتر درج میشوند استفاده میکنند یا از طریق بلوتوث یا انافسی به اسمارتفون شما وصل میشوند. در برخی موارد اصلاً به پسورد نیازی هم نمیشود. برای مثال وقتی به اکانت مایکروسافت sign in میکنید یک پسورد یکبار مصرف به ایمیلتان ارسال میشود. به طور پیشفرض اپ پیامرسان تلگرام از احراز هویت مبتنی بر کدهای یکبار مصرف ارسالی در قالب پیام متنی استفاده میکند که در آن نیازی هم به پسورد نیست (هرچند به عنوان اقدام امنیتی اضافی توصیه میشود). با این وجود در بیشتر موارد پسوردها هنوز هم در قالب بکآپ احراز هویت وجود دارند اما صرف تکیه بر آنها روی کدهای عبور متنمحور (تا اینجای کار شایعترین و جامعترین حالت همان 2FA است) به دلایلی نمیتواند ایده خوبی باشد. کوتاه بگوییم که مدتهاست درک شده آینده دیگر به پسوردها تعلق ندارد. و اکنون اینطور احتمال میرود که آن آینده بدون رمزعبور در حال ظهور است.
احراز هویت بدون رمزعبور همانطور که FIDO/W3C برایمان متصور شده است
برای پرداختن به موارد مهم و اساسی، این استاندارد احراز هویت جدید بدون پسورد، رمزعبور را (یا همان کلید عبور که متشکل از کلیدهای رمزگذاری، خصوصی و عمومی است) مؤلفهای تماماً فنی کرده است که کاربر دیگر آن را نمیبیند. این استفاده از کلیدهای قوی و منحصر به فرد و نیز کریپتوگرافی قدرتمندی را میسر میسازد. در عوض زندگی برای سارقان سایبری سخت میشود و تضمین داده میشود اگر اکانتی هک شد هیچ اکانت دیگری قربانی این عمل نخواهد شد و مجرمان نخواهند توانست راز را به فیشرهای دیگر لو دهند. برای کاربران شبیه به تأیید لاگین به شبکهای اجتماعی، اکانت ایمیل یا سرویس بانکداری آنلاین از اسمارتفون خواهد بود. مانند پرداخت با اسمارتفون که امروزه انجام میدهیم: دستگاه را با پین یا احراز هویت تشخیص چهره یا اثر انگشت آنلاک کرده و تراکنش را تأیید میکنیم تنها تفاوتش این است که به جای پرداخت به اکانت خود sign in میکنید. افزون بر این استاندارد مذکور توسعهدادهشده توسط FIDO قابلیت اضافی دیگری هم دارد در قالب احراز هویت بلوتوثی روی چندین دستگاه. برای مثال لاگین اکانت روی لپتاپ اگر دستگاه، اسمارتفون معتمدی را در این حوالی ببیند سریعتر پیش خواهد رفت. این سیستم احراز هویت جذاب برای اکثریت کاربران کار خواهد کرد به استثنای آنهایی که شاید بخواهند هنوز از اسمارتفونهای از رده خارج استفاده کنند. با پشتیبانی این سه غول فناوری، قابلیت جدید به زودی جهانی خواهد شد. اما آیا به نفع امنیت خواهد بود؟ بیایید مزایا و معایب این فناوری را نیز مورد بررسی قرار دهیم.
مزایای احراز هویت بدون پسورد
حمایت گوگل، اپل و مایکروسافت میتواند قوت قلبی باشد که سرویسهای بزرگ مانند جیمیل، یوتیوب، آیکلود و اکسباکس نیز (به همراه سیستمعامل آیاواس، اندروید و ویندوز) نیز بزودی به این فناوری روی آورند. از آنجایی که این استاندارد یکپارچه و باز است باید روی هر دستگاهی یکسان کار کند. گزینه سوئیچ از یک دستگاه به دستگاه دیگر نیز تضمین داده میشود. از آیفون به گلکسی سامسونگ مهاجرت کردید؟ مشکلی نیست: میتوانید اسمارتفون جدید خود را در قالب دستگاه تأیید ورود خود تعیین نمایید. مزیت اصلی این متود جدید پیچیده شدن فیشینگ برای مهاجمین است. سرقت سنتی پسورد با ساختن وبسایت جعلی بانکی یا هر وبسایت جعلی دیگر و گول زدن قربانی برای بازدید از آن انجام میشد. آنجا کاربر اطلاعات محرمانه خود را وارد میکرد (برخیاوقات حتی احراز هویت دوعاملی هم شاملش میشد) و تمام- مهاجم دیگر به اکانت بانکی دسترسی داشت. جدای احراز هویت کاربر این استاندارد جدید خودسرویس را نیز احراز هویت میکند. صرف ارسال درخواست برای احراز هویت روی منبع وبی فردی دیگر کارساز نخواهد بود. نشت رمزعبور هم برای کاربر تهدید حساب نخواهد شد. در آخر اینکه این سیستم جدید سادگی و شهودی بودن را تضمین میدهد. اگر بدرستی اجرایی شود جایگزین کردن پسوردها حتی برای اکانتهای از پیش موجود نیز باید ساده شود و این حمایت وعدهداده شده در سطح سیستم عامل نیز (در اسمارت فونها) دیگر مستلزم نصب اپ نخواهد بود. صرف رفتن به سایتی که میخواهید و وارد کردن شناساگر و تأیید درخواست روی اسمارتفونتان کافی خواهد بود!
معایب احراز هویت بدون پسورد
این استاندارد نباید مشکل خاصی ایجاد کند اما بسیاری این سوال برایشان پیش میآید که: اگر کسی به اسمارتفون قابلاعتماد من دستبرد بزند و لاگین به همه اکانتهایم را تأیید کند چه؟ پاسخ ساده است: در مدل امنیتی واقعگرایانه هیچ راهکار بدون ایرادی وجود ندارد. هر چیزی میشود هک شود- تنها سوال این است که مهاجم چه منابعی را برای آن خرج کند. از اینها گذشته حتی اگر شما در سر پسوردی 128 کاراکتری و رندوم را نیز ذخیره کنید راههایی وجود دارد که از مغزتان آن را نیز استخراج کنند. همیشه افراد در تلاشند به اکانتها دسترسی داشته باشند. اما چنین هکهایی تارگتهایی فردی یا هدفهایی اولی هستند (اصطلاحاً بدان حمله بوتیکی گفته میشود). وقتی صحبت از بازار انبوه میشود –منظور تهدیدهای روزمره است- سرقت پسورد چندین مرتبه شدت رواجش از سرقت اسمارتفونها و استفاده از محتوای دیجیتالشان بیشتر است. این فناوری جدید هدفش حل این مورد است. آن اوایل که بیومتریک هم میخواست معرفی شود چنین شکهایی وجود داشت. آن زمان بسیاری به طور مشابهی نگران بودند که فردی اثر انگشتشان را بدزدد (در وحشیانهترین سناریو با بردین انگشت!) و اسمارتفنشان را آنلاک کند. تروی هانت، سازنده فناوری بیومتریک سال گذشته مقالهای در باب همین موضع نوشت: در امنیت واقعگرایانه، مدل بیومتریک قویتر از پسوردها عمل میکند. اما مشکل اصلی این است که دسترسی بدون مزعبور، مفقود شدن گوشی را توجیه نمیکند. مطمئناً این استاندارد جدید انتقال سیستم احراز هویت از یک دستگاه به دیگری را ممکن میسازد. سادهترین راه زمانیست که دو گوشی دارید- برای مثال یکی قدیمی یکی جدید. اگر گوشی قدیمی گم شود بیشک باید برای احراز هویت خود از متود بکآپ استفاده کنید. اما این که چه نوع بکآپی، هنوز مشخص نیست. احتمالاً به تنظیمات دستگاه مربوطه بستگی خواهد داشت. در نتیجه باید این سوال را نیز پرسید: این سیستم جدید، کاربران را به کارکرد اکانتهایشان در گوگل و اپل وابسته نمیکند؟ آیا بلاک کردن اکانت گوگل به عدم دسترسی به همه منابع آنلاین به طور کلی منجر خواهد شد؟ حتی اگر فرض را بر این بگیریم که استانداد مربوطه باز است، سیستم عاملهای اسمارتفون و زیرساخت چنین نخواهند بود.
آیندهای روشن
حتی فردی شکاک هم نمیتواند اذعان کند پسوردها وجودشان از عدم وجودشان بهتر است. مفهوم منسوخ شدن پسورد مدتهاست نیاز به بازنگری داشته است. استاندارد بدون پسورد FIDO وعده میدهد خیلی مسائل را سامان دهد اما همچنین به مقامات اجرایی نیز وابسته است: گوگل، اپل، مایکروسافت و همکاران. اگر همگی متحد شوند زندگی دیجیتال ما کمی سادهتر و امنتر خواهد شد. اما احتمال میرود این اتفاق یکشبه هم رخ ندهد: پسوردها در تار و پود اینتنرت امروزی ما رخنه کردهاند و سالها زمان میبرد تا بشود آنها را تماماً از بستر نت پاک کرد- حتی اگر گزینه جدید، یک سیستم پیشرفتهی بینظیر باشد!
[1] World Wide Web Consortium
[2]در اين روش همانطور که از نامش پيداست از يک فرهنگ لغت يا همان ديکشنري که در آن مجموعهاي از رمزهاي عبور معمول در دنيا وجود دارد استفاده ميشود تا از اين طريق بتوان رمز عبور شخص يا شبکه را پيدا کرد و به منابع آن دسترسي يافت.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
