كيف تقوم Apple و Google و Microsoft بمسح كلمات المرور والتصيد في ضربة واحدة

لأكثر من عقد من الزمان ، تأكدنا من أن العالم الخالي من كلمات المرور في الزاوية ، ومع ذلك عامًا بعد عام ، لا يمكن تحقيق هذا التعري الأمني. الآن ، ولأول مرة ، يتم توفير شكل وظيفي للمصادقة الخالية من كلمة المرور للجمهور بتنسيق قياسي مقبول من Apple و Google و Microsoft ، مما يسمح باستخدام كلمات المرور عبر المواقع وعبر الخدمات.

واجهت خطط قتل كلمات المرور العديد من المشاكل في الماضي. العيب الرئيسي هو عدم وجود آلية استرداد محتملة في حالة فقد شخص ما السيطرة على أرقام الهواتف أو الرموز المادية والهواتف المتصلة بالحساب. يتمثل أحد القيود الأخرى في أن معظم الحلول تفشل في النهاية في أن تكون خالية من كلمة المرور بالفعل. بدلاً من ذلك ، أعطوا المستخدمين خيار تسجيل الدخول باستخدام مسح الوجه أو بصمة الإصبع ، لكن هذه الأنظمة تندرج في النهاية في فئة التصيد الاحتيالي وإعادة استخدام كلمة المرور ورموز المرور المنسية – الأسباب التي دفعتنا إلى كره كلمات المرور. لا تذهب.

نهج جديد

الأمر المختلف هذه المرة هو أن كل من Apple و Google و Microsoft لديها نفس الحل المحدد جيدًا. ليس ذلك فحسب ، فالحل أسهل للمستخدمين من أي وقت مضى ، كما أن إطلاق خدمات رائعة مثل Kit و Facebook يكلف أقل. تم تصميمه بدقة ومراجعته من قبل خبراء في الاعتراف والحماية.

حققت أنظمة الاعتماد متعدد العوامل الحالية (MFA) تحسينات كبيرة على مدى السنوات الخمس الماضية. على سبيل المثال ، تسمح لي Google بتنزيل تطبيق iOS أو Android الذي أستخدمه كعامل ثانٍ عند تسجيل الدخول إلى حساب Google الخاص بي من جهاز جديد. بناء على CTAP بروتوكول المصادقة الأول للعميل—يستخدم هذا النظام تقنية Bluetooth للتأكيد على أن الهاتف قريب من الجهاز الجديد وأن الجهاز الجديد متصل بالفعل بـ Google وليس موقعًا تمويهًا مثل Google. مما يعني أنه من المستحيل الصيد. يضمن المعيار أنه لا يمكن استخراج سر التشفير المخزن على الهاتف.

جوجل يوفر أيضا خطة أمنية متقدمة المفاتيح المادية في شكل أجهزة دونجل مخصصة أو هواتف المستخدم النهائي مطلوبة لمصادقة عمليات تسجيل الدخول من الأجهزة الجديدة.

القيد الأكبر الآن هو أن المصادقة الخالية من كلمات المرور MFA والمصادقة الخالية من كلمة المرور يتم تمييزها – إن وجدت – من قبل كل مزود خدمة. لا يزال بعض مقدمي الخدمة ، مثل معظم البنوك والخدمات المالية ، يرسلون كلمات المرور عبر الرسائل القصيرة أو البريد الإلكتروني. وإدراكًا منها أن الحساسية الأمنية ليست وسيلة آمنة لحمل الأسرار ، فقد تحولت العديد من الخدمات إلى نظام يسمى TOTP. كلمة مرور لمرة واحدة تستند إلى الوقت– يسمح لك بإضافة عامل ثانٍ يعمل على تحسين كلمة المرور بشكل فعال باستخدام عامل “لدي واحد”.

تشكل مفاتيح الأمان المادية و TOTPs ، وبدرجة أقل ، المصادقة الثنائية عبر الرسائل القصيرة والبريد الإلكتروني ، خطوة مهمة ، ولكن هناك ثلاثة قيود رئيسية. أولاً ، يتم إنشاء TOTPs بواسطة تطبيقات المصادقة وإرسالها عن طريق الرسائل النصية أو البريد الإلكتروني مريب، كلمات المرور العادية هي نفسها. ثانيًا ، كل خدمة لها نظام تشغيل MFA مغلق خاص بها. هذا يعني أنه حتى عند استخدام النماذج غير التصيدية الخاصة بـ MFA – المفاتيح المادية الخاصة أو المفاتيح المستندة إلى الهاتف – يحتاج المستخدم إلى مفتاح منفصل لـ Google و Microsoft وجميع أصول الإنترنت الأخرى. لجعل الأمور أسوأ ، يحتوي كل نظام تشغيل OS على خوارزميات مختلفة لتنفيذ أسلوب العائالت المتعددة MFA.

تؤدي هذه المشكلات إلى مشكلة ثالثة: مشكلة غير قابلة للاستخدام بالنسبة لمعظم المستخدمين النهائيين والتكلفة غير الملحوظة والتعقيد الذي تواجهه كل خدمة عند محاولة تقديم أسلوب العائالت المتعددة MFA.