كلمة المرور ليست في طريقها إلى الزوال
في العام الماضي، كانت هناك مقالات إخبارية تنتشر على الإنترنت تدعي أن شركات التكنولوجيا الكبرى كانت تتحد للقضاء على كلمات المرور. حتى أن بعض الشركات الناشئة أعلنت أن كلمات المرور أصبحت زائدة عن الحاجة وعفا عليها الزمن.
Founder
المقدمة
في العام الماضي، كانت هناك مقالات إخبارية تنتشر على الإنترنت تدعي أن شركات التكنولوجيا الكبرى مثل Apple وGoogle وMicrosoft كانت تتحد للقضاء على كلمات المرور. حتى أن بعض الشركات الناشئة أعلنت أن كلمات المرور أصبحت زائدة عن الحاجة وعفا عليها الزمن. بعد التعمق في مجال إدارة الهوية لعدة أشهر، بدأت أشكك في صحة وفعالية هذه الادعاءات.
ماذا تفعل كلمة المرور؟
للوهلة الأولى، يبدو الجواب بديهيًا: تُستخدم كلمات المرور لتسجيل الدخول والتحقق من الهويات. مع ذلك، لدي وجهة نظر مختلفة إذا أخذت في الاعتبار حقيقة أن كلمات المرور لا يمكنها فعليًا التحقق من هويتك:
- عندما يسجل المستخدم الدخول إلى موقع ويب باستخدام بريد إلكتروني وكلمة مرور، لا توجد طريقة للموقع لتأكيد الشخص الفعلي وراء هذه البيانات. قد يكون إنسانًا أو حتى قطة.
- يمكن لأي شخص فتح جهاز iPhone باستخدام رمز PIN الصحيح.
في الواقع، الغرض من كلمة المرور هو إثبات الملكية بشكل مجهول لشيء ما: حساب مستخدم، جهاز، أو الوصول إلى باب.
"قتلة كلمة المرور" الحاليون
الشركات المذكورة سابقًا قد اقت�رحت عدة "قتلة لكلمات المرور". يدعي الكثيرون أنها بدائل أكثر أمانًا تلغي الحاجة للمستخدمين لتذكر كلمات مرور معقدة وثابتة أثناء المصادقة. مع ذلك، فإن معظم هذه البدائل ليست عملية تمامًا لإزالة كلمات المرور بشكل كامل.
مصادقة FIDO
مصادقة FIDO (هوية سريعة عبر الإنترنت)، كما هو موضح في الوثائق الرسمية، تستخدم تقنيات التشفير بالمفتاح العام للتسجيل وتسجيل الدخول (من الجدير بالذكر أن WebAuthn هو مكون أساسي في مواصفات FIDO2). على السطح، يبدو أن العملية مغرية:
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_A_B_0' d='M150.266%2c35L154.432%2c35C158.599%2c35%2c166.932%2c35%2c174.599%2c35C182.266%2c35%2c189.266%2c35%2c192.766%2c35L196.266%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_B_C_1' d='M376.625%2c35L380.792%2c35C384.958%2c35%2c393.292%2c35%2c400.958%2c35C408.625%2c35%2c415.625%2c35%2c419.125%2c35L422.625%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_C_D_2' d='M598.922%2c35L603.089%2c35C607.255%2c35%2c615.589%2c35%2c623.255%2c35C630.922%2c35%2c637.922%2c35%2c641.422%2c35L644.922%2c35'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(79.1328125%2c 35)' id='flowchart-A-0' class='node default'%3e%3crect height='54' width='142.265625' y='-27' x='-71.1328125' style='' class='basic label-container'/%3e%3cg transform='translate(-41.1328125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='82.265625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3e%d9%8a%d8%a8%d8%af%d8%a3 %d8%a7%d9%84%d8%aa%d8%b3%d8%ac%d9%8a%d9%84%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(288.4453125%2c 35)' id='flowchart-B-1' class='node default'%3e%3crect height='54' width='176.359375' y='-27' x='-88.1796875' style='' class='basic label-container'/%3e%3cg transform='translate(-58.1796875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='116.359375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3e%d9%85%d9%88%d8%a7%d9%81%d9%82%d8%a9 %d8%a7%d9%84%d9%85%d8%b3%d8%aa%d8%ae%d8%af%d9%85%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(512.7734375%2c 35)' id='flowchart-C-3' class='node default'%3e%3crect height='54' width='172.296875' y='-27' x='-86.1484375' style='' class='basic label-container'/%3e%3cg transform='translate(-56.1484375%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='112.296875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3e%d8%a5%d9%86%d8%b4%d8%a7%d8%a1 %d9%85%d9%81%d8%aa%d8%a7%d8%ad %d8%ac%d8%af%d9%8a%d8%af%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(697.828125%2c 35)' id='flowchart-D-5' class='node default'%3e%3crect height='54' width='97.8125' y='-27' x='-48.90625' style='' class='basic label-container'/%3e%3cg transform='translate(-18.90625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='37.8125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3e%d8%a5%d9%83%d9%85%d8%a7%d9%84%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
بسيط، صحيح؟ للأسف، هناك عقبة كبيرة في الطريق: التوافق. عند المقارنة بالتركيبة التقليدية "المعرف وكلمة المرور"، تتطلب مصادقة FIDO:
- أن تدعم المواقع الإلكترونية أو التطبيقات FIDO.
- أن تدعم المتصفحات و/أو أنظمة التشغيل FIDO.
- أن تحتوي أجهزة المستخدم على آلية تحقق سهلة الاستخدام.
فشل أي من هذه المتطلبات يجعل مصادقة FIDO غير متاحة، مما يجبر على الرجوع لطرق أخرى.
علاوة على ذلك، حتى إذا تم استيفاء جميع الشروط، ما الذي يؤهل كـ "آلية تحقق سهلة الاستخدام" على الجهاز؟ حاليًا، قد يتضمن طرق بيومترية مثل بصمة الإصبع أو التعرف على الوجه، يرافقها خيار احتياطي مثل رمز PIN، المعروف أيضًا بكلمة المرور. في النهاية، نعود إلى المربع الأول.
من الناحية الفنية، ليست "قاتل كلمة المرور" بل هي عملية مصادقة أو تحقق أكثر أمانًا وسهولة في الاستخدام محمية بكلمات المرور.
كلمة المرور لمرة واحدة
على الرغم من أن الاسم يتضمن مصطلح "كلمة المرور"، فإن كلمات المرور لمرة �واحدة (OTPs) ليست كلمات مرور تقليدية لأنها ديناميكية. هناك نوعان شائعان من OTPs:
- كلمة المرور لمرة واحدة القائمة على الوقت (TOTP): يتم إنشاؤها حسابيًا باستخدام الوقت الحالي كمصدر للتمييز. تُستخدم بشكل شائع في المصادقة متعددة العوامل (MFA) أو 2FA.
- كلمة المرور لمرة واحدة عبر الرسائل النصية أو البريد الإلكتروني: يتم إنشاؤها في الخادم باستخدام خوارزميات عشوائية. في بعض البلدان، تم تبنيها على نطاق واسع كوسيلة تسجيل دخول رئيسية.
قد لا تكون TOTPs معروفة على نطاق واسع بالاسم. على سبيل المثال، عندما يطلب منك موقع ويب إعداد MFA واستخدام تطبيق مثل Google Authenticator أو Duo لمسح رمز QR، فمن المرجح أنك تستخدم TOTP. قد تكون لاحظت أيضًا أن الموقع غالبًا ما يعرض "رمز استعادة" طويل وينصحك بحفظه لأنه سيتم عرضه مرة واحدة فقط. تشجع بعض المواقع حتى المستخدمين على طباعته على الورق. في جوهرها، يعمل رمز الاستعادة هذا ككلمة مرور طويلة.
بالنسبة لكلمات المرور لمرة واحدة عبر الرسائل النصية أو البريد الإلكتروني، قد تكون مكلفة وغير موثوقة:
- بناء مرسل رسائل نصية أو بريد إلكتروني من الصفر يتطلب إعدادًا.
- يتعين على مرسلي البريد الإلكتروني إنشاء "سمعة" إيجابية لتحسين التسليم، وإلا قد يتم تصنيف المرسل كرسائل غير مرغوب فيها.
- لكل دولة مشغلي شبكات الهاتف المحمول مما يؤدي إلى زمن تسليم غير متوقع وتكاليف ملحوظة لإرسال الرسائل النصية، خاصةً بالنسبة للشركات الناشئة.
البيومتريا
يشير مصطلح "البيومتريا" إلى استخدام الطرق البيومترية فقط للمصادقة عبر الإنترنت. في الواقع، هناك اختلاف جوهري عند المقارنة مع الطرق الأخرى: تحول المصادقة البيومترية المهمة الأصلية "إثبات ملكية شيء ما" إلى "إثبات من أنت". بسبب المخاوف بشأن الخصوصية، تُستخدم الطرق البيومترية في المقام الأول للمصادقة المحلية.
كلمة المرور ليست مثالية، مع ذلك
كما نرى، "قتلة كلمة المرور" يخفيون بشكل أساسي كلمات المرور أو يستخدمون كلمات المرور كخيارات احتياطية. إليك ملخصًا لمزايا كلمات المرور استنادًا إلى مناقشتنا:
- سهولة الوصول والتوافق: يمكن استخدام كلمات المرور في أنظمة متنوعة ومتاحة لمجموعة واسعة من المستخدمين.
- التكلفة الفعالة والتنوع: تعد مصادقات كلمة المرور بشكل عام أكثر فعالية من حيث التكلفة من الطرق الأخرى وتتكيف مع سيناريوهات مختلفة.
- عدم الكشف عن الهوية والخصوصية: تتيح كلمات المرور الاستخدام المجهول وتحمي خصوصية المستخدم.
لكن لكل عملة وجهان. في حين أن كلمات المرور لها مزاياها، فإن الاعتماد عليها فقط لأغراض المصادقة يعرض نقاط ضعف كبيرة. يمكن أن تكون صعبة للتمكن منها من قبل المستخدمين النهائيين، وإذا فشل مالكو المواقع في اتباع ممارسات الأمان الصحيحة، فإن كلمات المرور تصبح سهلة للتعرض للخطر. تشمل ممارسات الأمان الخطرة، على سبيل المثال لا الحصر:
- السماح بكلمات المرور الضعيفة أو المسربة.
- عدم فرض استخدام HTTPS للاتصالات.
- استخدام خوارزميات التجزئة غير الآمنة.
- الفشل في الالتزام بمعايير مجربة مثل OAuth أو OpenID Connect (OIDC).
- كشف قاعدة البيانات للجمهور.
الخاتمة
لا أنوي التقليل من شأن أي من طرق المصادقة المذكورة أعلاه. على العكس من ذلك، أثناء عملي على بناء Logto، طورت احترامًا عميقًا لهذه الطرق المميزة للمصادقة والأفراد خلفها.
ومع ذلك، تحقيق الأمان بنسبة 100% هو هدف لا يمكن تحقيقه. ما يمكن أن نطمح إليه هو تقليل احتمالية الهجمات. إحدى الطرق الفعالة هي الجمع بين مصادقة كلمات المرور وكلمات المرور لمرة واحدة بناءً على الجهاز أو البيئة الحالية، مما يضيف طبقة إضافية من التحقق وقد تم تبنيها على نطاق واسع. من خلال الاستفادة من نقاط القوة في مختلف تقنيات المصادقة، يمكننا إنشاء نهج متوازي يوفر حماية أقوى.
في الختام، بدلاً من التركيز على مصطلحات مثل "قاتل كلمة المرور" عندما لا يتم القضاء على كلمات المرور فعليًا، سيكون من الأكثر قيمة التركيز على تحقيق التوازن بين الأمان وتجربة المستخدم. يتطلب ذلك فهم نقاط القوة والقيود لطرق المصادقة المختلفة وتطبيقها بطريقة تضمن أمان بيانات المستخدم وتجربة مستخدم سلسة.