در راه تلاشی عظیم برای حذف رمز عبور از دنیای کاربران

سال‌ها است که صحبت‌های وسوسه‌انگیزی از یک آینده‌ی دیجیتال بدون رمز عبور به‌گوش می‌رسد، اما شاید شما نیز تابه‌حال هیچ نشانه‌ای از احتمال تحقق این رویا در آینده‌ی نزدیک ندیده باشید. اکنون فیدو الاینس (FIDO Alliance)، اعلام داشته است که یک گام دیگر به این هدف نزدیک‌تر شدیه‌ایم و تکه‌ی گمشده‌ی پازل درنهایت پیدا شده است. تمرکز انجمن صنعتی فیدو الاینس یا اتحادیه‌ی فیدو بر ابداع روش‌های نوین احراز هویت امن معطوف شده است.

به‌تازگی اتحادیه‌ی فیدو با انتشار اوراق سفیدی چشم‌انداز این سازمان برای حل مشکلات مربوط به قابلیت استفاده‌ از فناوری خود را اعلام کرد؛ مشکلاتی که تاکنون روی ویژگی‌های مفید این فناوری سایه‌ افکنده و ظاهراً جلوی همه‌گیری استفاده از آن را گرفته است. تمام اعضای فیدو در انتشار این گزارش مشارکت داشته‌اند، این اعضا شامل سازندگان چیپ‌های رایانه‌ای مانند اینتل و کوالکوم نیز می‌شود. از دیگر اعضای فیدو می‌توان به توسعه‌دهندگان بزرگ پلتفرم‌ها مانند آمازون و متا، نهادهای مالی مانند امریکن‌ اکسپرس و بانک آمریکا و توسعه‌دهندگان سیستم‌های عامل مانند گوگل، مایکروسافت و اپل اشاره کرد.

گزارش منتشرشده، بیش از آن که دستورالعمل فنی باشد، یک راهنمای تئوری برای حل مشکلات مسیر پیش روی این اتحادیه است. پس از چندین سال تلاش در زمینه‌ی ادغام استانداردهای فیدو ۲ و WebAuthn در محصولاتی مانند ویندوز، اندروید و iOS، انتشار این گزارش یک گام مثبت در جهت برداشتن موانع همه‌گیری استفاده از این فناوری است.

اندرو شیکیار، مدیر اجرایی اتحادیه فیدو در این‌مورد می‌گوید:

نکته‌ی اصلی موفقیت فیدو به قابلیت استفاده‌ی بالای آن برمی‌گردد. ما باید به اندازه‌‌ی استفاده از رمز عبورها محبوب شویم. رمز عبورها تبدیل به بخشی از دی‌ان‌ای محیط وب شده‌اند و ما تلاش می‌کنیم جایگزینی برای آن پیدا کنیم. استفاده نکردن از رمز عبور باید بیشتر از استفاده کردن از آن راحت باشد.

اما در عمل حتی سریع‌ترین و بی‌عیب‌ونقص‌ترین روش‌های عدم‌استفاده از رمز عبور نیز در مراحل ابتدایی توسعه قرار دارند. بخشی از چالشی که این فناوری با آن روبه‌رو است به عادت کردن کاربران در استفاده از رمز عبور برمی‌گردد؛ موضوعی که باعث می‌شود تا آن‌ها به استفاده از روش‌های جدید تأیید هویت روی خوش نشان ندهند. استفاده و مدیریت رمز عبورها مشکل است و همین‌ موضوع باعث می‌شود برخی افراد به روش‌های میان‌بر مانند استفاده از رمز عبورهای تکراری روی بیاورند که به‌تبع خود باعث بروز مشکلات امنیتی می‌شود. اما درنهایت با وجود تمام این چالش‌ها کاربران به‌طور گسترده از رمز عبور استفاده می‌کنند. تجربه نشان داده است که آگاهی‌بخشی به مصرف‌کنندگان در مورد جایگزین‌های رمز عبور و احساس راحتی آن‌ها با تغییرات جدید یک فرایند طولانی و مشکل است.

در کنفرانس جهانی توسعه‌دهندگان اپل که در تابستان گذشته برگزار شد، این شرکت از نمونه‌ی مشابه فیدو به‌نام کلید عبور Keychain به‌عنوان یکی از ویژگی‌های iCloud پرده‌برداری کرد. اپل اعلام کرده است که کلید‌های عبور کی‌چین گامی به‌سوی آینده‌ای بدون رمز عبور است.

گرت دیویدسن، یکی از مهندسان مشغول در برنامه‌ی احراز هویت اپل در ماه ژوئیه‌ی سال گذشته میلادی (تیرماه ۱۴۰۰ خورشیدی) در کنفرانس توسعه‌دهندگان اپل گفت:

کلیدهای عبور مانند مدارک تأیید هویت WebAuthn هستند و از شاخص‌های ایمنی شگفت‌انگیز این استاندارد در کنار قابلیت پشتیبان‌گیری و همگام‌سازی در تمام دستگاه‌ها بهره می‌برند. ما داده‌های کی‌چین را در iCloud ذخیره می‌کنیم و مانند همه‌ی داده‌های دیگر در iCloud این داده‌ها نیز به‌طور سرتاسری رمزگذاری می‌شوند و حتی اپل نیز نمی‌تواند آن‌ها را بخواند...خوانش این داده‌ها از سوی کاربر نیز راحت است. در اکثر موارد برای دسترسی به داده‌های احراز هویت به یک اشاره یا کلیک ساده نیاز است.

برای مثال اگر شما گوشی اپل قدیمی خود را گم کرده و یک گوشی دیگر خریده باشید، فرایند انتقال داده‌ها به گوشی جدید، هیچ‌گونه پیچیدگی فراتر از روش‌های احراز هویتی که اپل دراختیار خریداران محصولاتش می‌گذارد، نخواهد داشت. اما اگر آیفون خود را گم کرده‌اید و می‌خواهید از گوشی اندروید استفاده کنید، فرایند احراز هویت حساب‌ها و اپلیکیشن‌ها شاید به‌همان راحتی نباشد. اما راهنمای منتشر شده توسط اتحادیه‌ی فیدو دارای یک نکته‌ی قابل‌توجه دیگر نیز هست. قابلیت جدیدی که فیدو پیشنهاد داده است می‌تواند به یکی از دستگاه‌های کاربر، مثلا لپ‌تاپ او اجازه دهد تا نقش یک توکن سخت‌افزاری را ایفا کند، چیزی شبیه به دانگل‌های مستقل احرازهویت بلوتوثی که به‌شما اجازه می‌دهد از طریق بلوتوث و به‌صورت فیزیکی اقدام به تأیید هویت خود کنید. ایده‌ی اصلی فیدو در توسعه‌ی این قابلیت این است که بلوتوث، باتوجه به پروتکل‌ مبتنی بر فاصله‌ی آن، تقریباً یک فناوری ضدفیشینگ محسوب می‌شود، از این‌رو می‌توان از بلوتوث به شیوه‌های مختلفی در توسعه‌ی طرح‌های کنار گذاشتن رمز عبور بدون‌ نیاز به ذخیره‌ی رمز عبور پشتیبان استفاده کرد.

رویای بزرگ عبور کردن از دنیای رمز عبورها از مدت‌ها پیش در ذهن خیلی‌ها بوده است. اما [برای تحقق این رویا] پیش از همه چیز باید همه‌ی کاربران در جیب خود گوشی‌ هوشمند می‌داشتند، موضوعی که اکنون تقریباً محقق شده است. خوشبختانه کاربران برای استفاده از استاندارهای امنیتی که منجر به کنار گذاشتن رمز عبورها خواهند شد، تنها باید یک تغییر رفتاری کوچک انجام دهند؛ اما از لحاظ تکنولوژیک این یک جهش بزرگ رو‌به‌جلو خواهد بود.

گفتنی است گوگل تنها چند ماه بعد از تشکیل فیدو در سال ۲۰۱۳ به این اتحادیه پیوست. بزرگ‌ترین اولویت فیدو تغییر الگو و چارچوب‌های امنیتی حساب‌های کاربری است که منجر به از بین‌رفتن کلاه‌برداری‌های اینترنتی ازطریق جعل هویت یا همان فیشینگ خواهد شد. کلاه‌برداران اینترنتی در فریب کاربران برای ارائه‌ی ناخواسته‌ی اطلاعات‌ شخصی از جمله رمز عبورها از روش‌های استادانه‌ای استفاده می‌کنند و حتی کد‌های احرازهویت‌های دو‌مرحله‌ای نیز از حملات فیشینگ در امان نیستند. جعل هویت و کلاه‌برداری اینترنتی ازطریق آن علاوه بر سودهای مالی مجرمانه‌ای که نصیب حمله‌کنندگان می‌کند، ممکن است بخشی از برنامه‌های جاسوسی و حملات‌ سایبری خرابکارانه با هدف تأثیر بر ژئوپلیتیک و حوادث جهانی نیز باشد.

حتی اگر قبول کنیم که اتحادیه‌ی فیدو فورمول جادویی را پیدا کرده است، بازهم دلایل زیادی وجود دارد که باور کنیم رمزهای عبور یک‌شبه ناپدید نخواهند شد. مهم‌ترین دلیلش هم این است که همه‌ی افراد از گوشی‌های هوشمند استفاده نمی‌کنند؛ بنابراین در صورت دزدیده‌ شدن یا گم شدن یک دستگاه، دستگاه پشتیبان دیگری برای جلوگیری از افشای اطلاعات وجود نخواهد داشت. همچنین سال‌ها طول می‌کشد تا همه‌ی افراد از دستگاه‌ها و سیستم‌عامل‌هایی استفاد کنند که از راه‌حل‌های فیدو برای کنارگذاشتن رمز عبور پشتیبانی می‌کنند. در این‌ حین شرکت‌های فناوری باید از دو روش لاگین مبتنی بر رمز عبور و بدون‌ نیاز به رمز عبور پشتیبانی کنند. اتحادیه‌ی فیدو در اوراق سفید اخیر و در گزارش‌های پیشین، حمایت خود از این فرایند انتقال را اعلام کرده است، اما مانند تمام مهاجرت‌های فناورانه‌ی پیشین (ویندوز ایکس‌پی) مسیر کوچ، به‌طرز غیرقابل‌اجتنابی دشوار خواهد بود.

جدای از همه‌ی این مسائل صنعت فناوری باید راهی برای تبدیل اورق سفید فیدو به ویژگی‌های کاربردی پیدا کند. راه‌حلی که استفاده از آن‌ راحت بوده و کاربران را برای کوچ از پروتکل‌های امنیتی مبتنی بر رمز عبور تشویق کند.

متیو گرین، دانشمند حوزه‌ی رمزنگاری از دانشگاه جان‌ هاپ‌کینگز در این‌مورد می‌گوید:

آن‌طور که اکنون به‌نظر می‌رسد، کلیدهای ‌عبور نسبت به رمزهای عبور عملکرد بهتر و امنیت بالاتری دارند. اما اگر رابط کاربری برای انتقال درون‌دستگاهی در برخی از دستگاه‌ها ضعیف باشد، به این معنی است که در تمام دستگاه‌ها ضعیف خواهد بود که همین امر باعث دلسرد شدن افراد می‌شود.

بعد از نزدیک به یک دهه تلاش، کاربرانی که به دنیای بدون رمز عبور امید بسته‌اند معتقدند اتحادیه‌ی فیدو و پروژه‌های آن به حدی بزرگ و گسترده شده است که احتمال شکست آن وجود ندارد. وقتی از کریستین برند می‌پرسیم که آیا واقعا این‌بار ناقوس مرگ رمز عبور به‌صدا در آمده است، بدون لحظه‌ای مکث پاسخ می‌دهد:

احساس می‌کنم همه چیز به آن سمت پیش می‌رود. این راه‌حل می‌تواند ماندگار باشد.