مفاتيح الوصول - Microsoft و Apple و Google's password killer - هنا أخيرًا
مفاتيح الوصول - Microsoft و Apple و Google's password killer - هنا أخيرًا
توسيع
صور جيرتي
لسنوات ، أصرت شركات التكنولوجيا الكبرى على أن وفاة كلمة المرور وشيكة. لسنوات ، كانت هذه التأكيدات وعودًا جوفاء. قدمت بدائل كلمات المرور ، مثل الدفع ، وتسجيل الدخول الفردي OAUTH ، ووحدات النظام الأساسي للثقة ، العديد من مشكلات الاستخدام والأمان بقدر ما تم حلها. لكننا الآن على وشك العثور على كلمة مرور بديلة تعمل بالفعل.
يُعرف البديل الجديد باسم مفاتيح الأمان. بشكل عام ، تشير مفاتيح المرور إلى مخططات مختلفة لتخزين معلومات المصادقة في الأجهزة ، وهو مفهوم كان موجودًا منذ أكثر من عقد. الأمر المختلف الآن هو أن Microsoft و Apple و Google ومجموعة من الشركات الأخرى قد توحدوا حول معيار مفتاح مرور واحد بقيادة FIDO Alliance. ليست فقط مفاتيح المرور أسهل في استخدامها بالنسبة لمعظم الناس من كلمات المرور ؛ كما أنها مقاومة تمامًا للتصيد الاحتيالي وحشو بيانات الاعتماد وهجمات الاستيلاء على الحساب المماثلة.
في يوم الإثنين ، قال PayPal إن المستخدمين المقيمين في الولايات المتحدة سيكون لديهم قريبًا القدرة على تسجيل الدخول باستخدام مفاتيح الوصول المستندة إلى FIDO ، والانضمام إلى Kayak و eBay و Best Buy و CardPointers و WordPress كخدمات عبر الإنترنت ستوفر البديل لكلمة المرور. في الأشهر الأخيرة ، قامت Microsoft و Apple و Google بتحديث أنظمة التشغيل والتطبيقات الخاصة بها لتمكين مفاتيح الأمان. دعم مفاتيح المرور لا يزال غير مكتمل. ستعمل المفاتيح المخزنة على iOS أو macOS على نظام Windows ، على سبيل المثال ، لكن العكس ليس متاحًا بعد. لكن في الأشهر المقبلة ، يجب تسوية كل هذا.
ما هي مفاتيح الوصول بالضبط؟
تكبير
تحالف فيدو
تعمل مفاتيح الأمان بنفس الطريقة التي تعمل بها مصادقات FIDO التي تسمح لنا باستخدام الهواتف وأجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر ومفاتيح الأمان Yubico أو Feitian للمصادقة متعددة العوامل. مثل الكثير من مصادقات FIDO المخزنة على أجهزة MFA هذه ، تكون مفاتيح المرور غير مرئية وتتكامل مع Face ID أو Windows Hello أو أجهزة قراءة المقاييس الحيوية الأخرى التي تقدمها الشركات المصنعة للأجهزة. لا توجد طريقة لاستعادة أسرار التشفير المخزنة في المصدقين إلا إذا قمت بتفكيك الجهاز فعليًا أو تعرضه لهجوم كسر حماية أو تجذير.
حتى إذا كان الخصم قادرًا على استخراج سر التشفير ، فلا يزال يتعين عليهم تقديم بصمة الإصبع أو مسح الوجه أو رقم التعريف الشخصي المرتبط بالرمز المميز في حالة عدم وجود إمكانيات المقاييس الحيوية. بالإضافة إلى ذلك ، تستخدم الرموز المميزة للأجهزة تدفق المصادقة عبر الأجهزة من FIDO ، أو CTAP ، والتي تعتمد على تقنية Bluetooth منخفضة الطاقة للتحقق من أن جهاز المصادقة على مقربة فعليًا من الجهاز الذي يحاول تسجيل الدخول.
حتى الآن ، كانت مفاتيح الأمان المستندة إلى FIDO تُستخدم بشكل أساسي لتوفير مصادقة MFA ، وهي اختصار للمصادقة متعددة العوامل ، والتي تتطلب من شخص ما تقديم عامل مصادقة منفصل بالإضافة إلى كلمة المرور الصحيحة. تأتي العوامل الإضافية التي تقدمها FIDO عادةً في شكل شيء يمتلكه المستخدم (هاتف ذكي أو كمبيوتر يحتوي على رمز الجهاز) وشيء مستخدم: بصمة الإصبع أو مسح الوجه أو القياسات الحيوية الأخرى التي لا تترك الجهاز أبدًا.
حتى الآن ، كانت الهجمات ضد مؤسسات التمويل الأصغر المتوافقة مع FIDO نادرة. على سبيل المثال ، فشلت حملة تصيد بيانات الاعتماد المتقدمة التي اخترقت مؤخرًا Twilio وشركات أمنية رائدة أخرى ، ضد Cloudflare لسبب: على عكس الأهداف الأخرى ، استخدمت Cloudflare رموز الأجهزة المتوافقة FIDO التي كانت محصنة ضد تقنية التصيد الاحتيالي التي يستخدمها المهاجمون. اعتمدت جميع الضحايا اللاتي تعرضن للاغتصاب على أشكال أضعف من ضمور العضلات الشوكي.
لسنوات ، أصرت شركات التكنولوجيا الكبرى على أن وفاة كلمة المرور وشيكة. لسنوات ، كانت هذه التأكيدات وعودًا جوفاء. قدمت بدائل كلمات المرور ، مثل الدفع ، وتسجيل الدخول الفردي OAUTH ، ووحدات النظام الأساسي للثقة ، العديد من مشكلات الاستخدام والأمان بقدر ما تم حلها. لكننا الآن على وشك العثور على كلمة مرور بديلة تعمل بالفعل.
يُعرف البديل الجديد باسم مفاتيح الأمان. بشكل عام ، تشير مفاتيح المرور إلى مخططات مختلفة لتخزين معلومات المصادقة في الأجهزة ، وهو مفهوم كان موجودًا منذ أكثر من عقد. الأمر المختلف الآن هو أن Microsoft و Apple و Google ومجموعة من الشركات الأخرى قد توحدوا حول معيار مفتاح مرور واحد بقيادة FIDO Alliance. ليست فقط مفاتيح المرور أسهل في استخدامها بالنسبة لمعظم الناس من كلمات المرور ؛ كما أنها مقاومة تمامًا للتصيد الاحتيالي وحشو بيانات الاعتماد وهجمات الاستيلاء على الحساب المماثلة.
في يوم الإثنين ، قال PayPal إن المستخدمين المقيمين في الولايات المتحدة سيكون لديهم قريبًا القدرة على تسجيل الدخول باستخدام مفاتيح الوصول المستندة إلى FIDO ، والانضمام إلى Kayak و eBay و Best Buy و CardPointers و WordPress كخدمات عبر الإنترنت ستوفر البديل لكلمة المرور. في الأشهر الأخيرة ، قامت Microsoft و Apple و Google بتحديث أنظمة التشغيل والتطبيقات الخاصة بها لتمكين مفاتيح الأمان. دعم مفاتيح المرور لا يزال غير مكتمل. ستعمل المفاتيح المخزنة على iOS أو macOS على نظام Windows ، على سبيل المثال ، لكن العكس ليس متاحًا بعد. لكن في الأشهر المقبلة ، يجب تسوية كل هذا.
ما هي مفاتيح الوصول بالضبط؟
تكبير
تحالف فيدو
تعمل مفاتيح الأمان بنفس الطريقة التي تعمل بها مصادقات FIDO التي تسمح لنا باستخدام الهواتف وأجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر ومفاتيح الأمان Yubico أو Feitian للمصادقة متعددة العوامل. مثل الكثير من مصادقات FIDO المخزنة على أجهزة MFA هذه ، تكون مفاتيح المرور غير مرئية وتتكامل مع Face ID أو Windows Hello أو أجهزة قراءة المقاييس الحيوية الأخرى التي تقدمها الشركات المصنعة للأجهزة. لا توجد طريقة لاستعادة أسرار التشفير المخزنة في المصدقين إلا إذا قمت بتفكيك الجهاز فعليًا أو تعرضه لهجوم كسر حماية أو تجذير.
حتى إذا كان الخصم قادرًا على استخراج سر التشفير ، فلا يزال يتعين عليهم تقديم بصمة الإصبع أو مسح الوجه أو رقم التعريف الشخصي المرتبط بالرمز المميز في حالة عدم وجود إمكانيات المقاييس الحيوية. بالإضافة إلى ذلك ، تستخدم الرموز المميزة للأجهزة تدفق المصادقة عبر الأجهزة من FIDO ، أو CTAP ، والتي تعتمد على تقنية Bluetooth منخفضة الطاقة للتحقق من أن جهاز المصادقة على مقربة فعليًا من الجهاز الذي يحاول تسجيل الدخول.
حتى الآن ، كانت مفاتيح الأمان المستندة إلى FIDO تُستخدم بشكل أساسي لتوفير مصادقة MFA ، وهي اختصار للمصادقة متعددة العوامل ، والتي تتطلب من شخص ما تقديم عامل مصادقة منفصل بالإضافة إلى كلمة المرور الصحيحة. تأتي العوامل الإضافية التي تقدمها FIDO عادةً في شكل شيء يمتلكه المستخدم (هاتف ذكي أو كمبيوتر يحتوي على رمز الجهاز) وشيء مستخدم: بصمة الإصبع أو مسح الوجه أو القياسات الحيوية الأخرى التي لا تترك الجهاز أبدًا.
حتى الآن ، كانت الهجمات ضد مؤسسات التمويل الأصغر المتوافقة مع FIDO نادرة. على سبيل المثال ، فشلت حملة تصيد بيانات الاعتماد المتقدمة التي اخترقت مؤخرًا Twilio وشركات أمنية رائدة أخرى ، ضد Cloudflare لسبب: على عكس الأهداف الأخرى ، استخدمت Cloudflare رموز الأجهزة المتوافقة FIDO التي كانت محصنة ضد تقنية التصيد الاحتيالي التي يستخدمها المهاجمون. اعتمدت جميع الضحايا اللاتي تعرضن للاغتصاب على أشكال أضعف من ضمور العضلات الشوكي.
توسيع
صور جيرتي
تكبير
تحالف فيدو
تعمل مفاتيح الأمان بنفس الطريقة التي تعمل بها مصادقات FIDO التي تسمح لنا باستخدام الهواتف وأجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر ومفاتيح الأمان Yubico أو Feitian للمصادقة متعددة العوامل. مثل الكثير من مصادقات FIDO المخزنة على أجهزة MFA هذه ، تكون مفاتيح المرور غير مرئية وتتكامل مع Face ID أو Windows Hello أو أجهزة قراءة المقاييس الحيوية الأخرى التي تقدمها الشركات المصنعة للأجهزة. لا توجد طريقة لاستعادة أسرار التشفير المخزنة في المصدقين إلا إذا قمت بتفكيك الجهاز فعليًا أو تعرضه لهجوم كسر حماية أو تجذير.
