به لطف اپل، مایکروسافت و گوگل، گذرواژه‌ها سرانجام خواهند مرد – اخبار


به عنوان تصویری از وضعیت دنیای هویت دیجیتال در سال ۲۰۲۲، بهتر از این نمی‌توانستم به شما بگویم که وقتی اخیراً در سن دیگو بودم (در گردهمایی برخی از درخشان‌ترین ستاره‌های دنیای هویت دیجیتال) مجبور شدم خودم را تغییر دهم. برنامه سفر برای من باز شد و (شاید به این دلیل که از یک مکان جدید می آمدم) باید یک مرحله تأیید هویت اضافی را تکمیل می کردم، که این بود که در مورد نژاد سگ مورد علاقه ام به آنها بگویم.

اکنون مطمئن هستم که چند سال پیش وقتی این حساب را ایجاد کردم، از من خواسته شد که چند سؤال امنیتی اضافی که باید شامل یک پازل سگ باشد، انتخاب کنم، اما البته همه آنها را فراموش کردم. خبر خوب این بود که پس از کمی حدس و گمان، به “Spaniel” رفتم و وارد سیستم شدم (نگران نباشید، من اکنون آن را تغییر دادم بنابراین نیازی به ایمیل زدن به من در مورد این نقض امنیتی گسترده نیست). در حالی که من این کار را انجام می دادم، یکی از همکاران حرفه ای شناسه دیجیتال من در حال گرفتن عکس از پاسپورت خود بود تا به کسی ایمیل بزند تا آن را تأیید کند. همه چیز در سال ۱۹۹۴ بود، با این حال ما از نمایشگرهای بسیار کوچکتر اذیت و گیج شدیم.

وضعیت امنیت اینترنت اسفناک است. جای تعجب نیست که کلاهبرداری در چنین سطوح حماسی است، زمانی که بسیاری از اینترنت همچنان برای امنیت به رمزهای عبور متکی است. رمزهای عبور امنیت نیستند و “امنیت رمز عبور” امنیت ندارند.

این چندان خبری نیست، و این باید ده میلیونمین ستونی باشد که باید به آن اشاره کرد، زیرا باید حدود یک هفته از آنلاین شدن جهان گذشته باشد و از آن زمان افراد باهوش خواستار پایان دادن به رمزهای عبور افشا شده بودند.

فقط برای آوردن یک مثال، در آغاز هزاره، بیل گیتس گفت که کارت های هوشمند باید جایگزین رمزهای عبور شوند، و سپس در سال ۲۰۰۴ در یک کنفرانس امنیتی RSA، او گفت که گذرواژه ها باید حذف شوند زیرا نمی توانند “با چالش” حفظ پاسخ دهند. ما امن این در سال ۱۹۹۴ درست بود، در سال ۲۰۰۴ و ۲۰۱۴ درست بود و هنوز هم در سال ۲۰۲۴ صادق است!

بنابراین همه ما قبول داریم که رمز عبور ایده بدی است، اما همه ما باید از آنها استفاده کنیم. من فقط مجبور شدم گذرواژه یکی از برنامه های هتل خود را بازنشانی کنم زیرا رمز عبور ذخیره شده در مدیر رمز عبور دستی تا حدودی اشتباه بود و پس از سه بار تلاش برای ورود به سیستم برای رزرو، اتاق هتل قفل شد.

(مانند بسیاری از سرویس‌های دیگر، ممکن است به‌طور خودکار من را مستقیماً به صفحه «رمز عبور خود را فراموش کرده‌ام» بفرستند تا در زمان تلاش برای ورود به سیستم صرفه‌جویی شود.)

جالب اینجاست که نتیجه کوتاه مدت این بود که یکی از برنامه های دیگر هتل را باز کردم و از آن برای رزرو اتاق استفاده کردم. عجیب است که فکر کنیم در این دنیای مدرن، انتخاب هتل من برای یک سفر کاری بر اساس رمز عبوری بود که می توانستم به خاطر بسپارم، نه امتیاز وفاداری یا امکانات چای و قهوه.

حروف بزرگ، کوچک و بزرگ

رمزهای عبور از تاریخ فروش گذشته است. سال گذشته، طبق گفته مدیر رمز عبور Nordpass، پنج رمز عبور برتر مورد استفاده در ایالات متحده عبارتند از: «۱۲۳۴۵۶»، «۱۲۳۴۵۶۷۸۹»، «۱۲۳۴۵»، «qwerty» و «password». جای تعجب نیست که بسیاری از هک‌ها، کلاهبرداری‌ها، تصاحب حساب‌ها و انواع دیگر آزار و اذیت وجود دارد که ناشی از این دیدگاه قدیمی است که رمز عبور یک راه‌حل امنیتی است. آنها نیستند و ما (بخش خدمات مالی دیجیتال) سالهاست که می دانیم آنها باید بمیرند.

باید با رمزگذاری واقعی جایگزین شود، ترجیحاً کلیدهای رمزگذاری که به جای نرم افزار در سخت افزار ضد دستکاری ذخیره می شوند. بسیاری از افراد در حال حاضر سخت افزار مناسب را دارند. سال گذشته بیش از نیمی از نوجوانان و بزرگسالان آمریکایی تبلت یا گوشی هوشمند داشتند و این تعداد همچنان در حال افزایش است و امسال به نزدیک به ۹۰ درصد خواهد رسید. این وسایل نزدیک به پروتز هستند. میانگین کاربران گوشی های هوشمند روزانه ۲۶۱۷ بار به دستگاه ضربه می زند. حدود نیمی از کاربران آمریکایی تلفن های هوشمند می گویند که “نمی توانند بدون دستگاه های خود زندگی کنند” و یک سوم بیش از ۵۰ بار در روز به تلفن های خود نگاه می کنند.

بنابراین، اگر اغلب مردم به دستگاهی متصل هستند که قادر به احراز هویت قوی برای کلیدها در دستگاه‌های مقاوم در برابر دستکاری است… چرا هنوز از رمز عبور استفاده می‌کنیم؟

خوب، ممکن است برای مدت طولانی در این مخمصه نباشیم. فکر می کنم اعلامیه اخیر اتحادیه FIDO و مایکروسافت
MSFT
و اپل و گوگل
گوگل
پشتیبانی آنها از گسترش استاندارد مشترک بدون رمز عبور ایجاد شده توسط FIDO و کنسرسیوم وب جهانی (W3C) واقعاً چشمگیر است و باید توجه رسانه های بیشتری را به خود جلب می کرد.

این سه غول اینترنتی اعلام کردند که از اعتبارنامه‌های چند دستگاهی جدید FIDO که گاهی اوقات «کلیدهای عبور» نامیده می‌شوند، برای شکستن دنیای رمزهای عبور استفاده خواهند کرد. آنها متعهد به پشتیبانی از ورود بدون رمز عبور هستند که در تمام پلتفرم‌های دسکتاپ، موبایل و مرورگرهایی که کنترل می‌کنند کار می‌کند. این بخش بزرگی از فناوری مدرن است که همه چیز را از لپ‌تاپ و رایانه‌های رومیزی گرفته تا تلفن‌های هوشمند، تبلت‌ها و ساعت‌های هوشمند را پوشش می‌دهد. این تبلیغ پر استفاده ترین سیستم عامل ها (اندروید، iOS، ویندوز و macOS) و همچنین سه مرورگر وب پر استفاده (Chrome، Edge و Safari) را پوشش می دهد.

رمز عبور اعتبارنامه هایی است که به یک به اصطلاح “منبع” (یعنی وب سایت یا برنامه ای که می خواهید وارد آن شوید) و یک دستگاه فیزیکی (گواهی دهنده) اختصاص داده می شود. کلیدهای عبور به کاربران این امکان را می دهند که بدون نیاز به وارد کردن نام کاربری یا رمز عبور یا ارائه هر عامل احراز هویت اضافی، احراز هویت کنند. این اعتبارنامه ها از استانداردهای FIDO و W3C Web Authentication (WebAuthn) پیروی می کنند. وب‌سایت‌ها و برنامه‌ها ممکن است از کاربر بخواهند که برای دسترسی به حساب خود رمز عبور ایجاد کند.

احراز هویت یک سخت افزار سازگار با FIDO است که همانطور که تصور می کنید برای احراز هویت کاربر استفاده می شود. این شامل دستگاه‌های با مقاصد خاص (مانند دستگاه‌های USB)، و همچنین تلفن‌های همراه و سایر رایانه‌هایی است که الزامات احراز هویت را برآورده می‌کنند (که اساساً باید دارای ذخیره‌سازی ایمن و مقاوم در برابر دستکاری کلیدهای رمزگذاری باشند).

آخرین ورود از دست رفت

اپل چند سال پیش از FIDO عقب نشینی کرد. این برنامه برنامه خود را “Passkeys in iCloud Keychain” می نامد و نتیجه این است که در آینده، وقتی وارد برنامه هواپیمایی یا وب سایت هتل می شوم، من را از طریق آیفون من احراز هویت می کند. این تا حدودی شبیه به نحوه عملکرد امروز ورود با اپل است، با این تفاوت که در هر جایی که استاندارد FIDO را اجرا می کند، کار می کند.

به طور مشابه، مایکروسافت مدتی پیش اعلام کرد که برخی از مشتریانش می توانند بدون رمز عبور کنند و سال گذشته نیز اعلام کرد که از مردم می خواهد به طور کامل از شر رمز عبور خود خلاص شوند. از قبل می‌توانید از Windows Hello برای ورود به هر سایتی که از کلیدهای عبور پشتیبانی می‌کند استفاده کنید، اما در آینده نزدیک می‌توانید با یک کلید عبور از دستگاه اپل یا Google وارد حساب کاربری مایکروسافت خود شوید.

امکان ورود به ویندوز با اپل واچ، گوگل با تبلت مایکروسافت و اپل با استفاده از تلفن اندرویدی قطعا تغییر دهنده بازی و گامی در جهت پایان دادن به هش راه حل های هویتی است که کاربر عادی را با مدیریت رمز عبور به چالش می کشد. آهسته. تدریجی. یادداشت ها و یادداشت های چسبناک.

دو دهه بعد، درخواست بیل گیتس برای جایگزینی رمزهای کارت هوشمند در شرف پاسخگویی است، حتی اگر کارت‌های هوشمند در تلفن‌های همراه، لپ‌تاپ و تبلت‌ها به جای کیف پول‌ها قرار بگیرند. همانطور که بررسی فناوری MIT اخیرا گزارش داده است، این جایگزین های رمز عبور بالاخره برنده شدند. نه قبل از زمان