Proton پشتیبانی از رمز عبور را به Password Mgr اضافه می کند، Bashes Big Tech

پروتون، سازنده یک سیستم ایمیل که به دلیل امنیت قوی خود شناخته شده است، پشتیبانی از رمز عبور را برای مدیر رمز عبور خود اضافه کرده است، در حالی که “Big Tech” را برای به دام انداختن کلیدهای عبور کاربران خود در پشت “باغ های دیواری” ضربه می زند.

با وجود اینکه کلیدهای عبور توسط اتحاد FIDO و کنسرسیوم وب جهانی برای جایگزینی رمزهای عبور توسعه داده شده اند و قرار است ورود سریع تر، آسان تر و ایمن تر به وب سایت ها و برنامه ها در دستگاه های کاربر را ارائه دهند، اما عرضه آنها انجام نشده است. سون نگوین، بنیانگذار SimpleLogin و توسعه دهنده Proton Pass، دوشنبه در وبلاگی نوشت.

او ادامه داد: «در عوض، اولین سازمان‌هایی که کلیدهای عبور را ارائه کردند، اپل و گوگل، استفاده از این فناوری را برای حبس کردن افراد در باغ‌های دیواری خود به جای ارائه راه‌حل امن برای همه، در اولویت قرار دادند. این رویکرد بسته ارزش رمزهای عبور را برای همه کاهش می‌دهد و احتمال استفاده جهانی از آن‌ها را کاهش می‌دهد، که برای جایگزینی رمزهای عبور بسیار مهم است.

راجر گریمز، مبشر دفاعی در KnowBe4، ارائه‌دهنده آموزش آگاهی امنیتی در کلیرواتر، فلوریدا، با نگوین موافق بود. او به TechNewsWorld گفت: «استاندارد اصلی و فعلی رمز عبور FIDO و روشی که فروشندگان بزرگ مانند مایکروسافت، گوگل و اپل آن را پیاده‌سازی می‌کنند، باغ‌های دیواری ایجاد می‌کنند.

او گفت: “FIDO از این مشکل آگاه است و در حال حاضر روی نسخه به روز شده کلیدهای عبور کار می کند که این محدودیت را برطرف می کند.”

او افزود: «پروتون اولین شرکتی نیست که با مشکل قفل پلت فرم کلید عبور مقابله می کند. به عنوان مثال، مدیر رمز عبور 1Password به شما امکان می دهد از کلیدهای عبور در همه پلتفرم ها استفاده کنید.

بدون قفل فروشنده

با این حال، اتحاد FIDO با اظهارات پروتون مخالفت کرد. اندرو شیکیار، مدیر اجرایی و مدیر عامل شرکت، گفت: «کلیدهای رمز هرگز ساخته نشدند تا فقط حوزه فناوری بزرگ باشند.

او به TechNewsWorld گفت: «ما همیشه به یک اکوسیستم باز در اطراف این موضوع فکر کرده‌ایم، به همین دلیل است که می‌بینید شرکت‌هایی مانند 1Password، Dashlane و سایر مدیران اعتباری که در اتحاد FIDO شرکت می‌کنند.

او گفت: «هیچ قفل فروشنده وجود ندارد. «در واقع، همه این شرکت‌ها به طور فعال در اتحاد FIDO کار می‌کنند تا پروتکل جدیدی را ببینند تا امکان حمل اعتبار را فراهم کند. همه آنها در حال کار بر روی اجازه دادن به شما برای انتقال کلیدهای عبور از یک ابر به ابر دیگر هستند.”

جیمز ای لی، مدیر عامل مرکز منابع سرقت هویت، یک سازمان غیرانتفاعی در سن دیگو که وقف به حداقل رساندن ریسک و کاهش تأثیرات آن است، افزود: «کلیدهای عبور برای پیاده‌سازی با انواع پلتفرم‌ها، برنامه‌ها و سیستم‌های عامل طراحی شده‌اند. سازش هویت و جنایت

او به TechNewsWorld گفت: “این دقیقاً همان چیزی است که ما اکنون می بینیم.” “در غیر این صورت، حتی پذیرش فرآیندی به طور تصاعدی ایمن تر را به تاخیر می اندازد.”

تجارب کاربر نامطلوب

نگوین اظهار داشت که پس از مشاهده راه‌اندازی کلیدهای عبور Big Tech، چندین مدیر رمز عبور نیز با عجله اقدام به انتشار کلیدهای عبور خود کردند که منجر به تجربه کاربری بدی شد.

او نوشت: «برخی از مدیران رمز عبور فقط از طریق برنامه افزودنی وب خود از کلیدهای عبور پشتیبانی می‌کنند، و این کار را برای هرکسی که سعی می‌کند با کلید رمز روی تلفن همراه خود وارد همان برنامه شود، دشوار می‌کند. اکثر مدیران رمز عبور که از کلیدهای عبور پشتیبانی می‌کنند، آنها را فقط با یک طرح پولی ارائه می‌دهند، به این معنی که Google Password Manager و Apple Keychain تنها ارائه‌دهندگان رمز عبور رایگان بودند تا زمانی که Proton Pass آنها را اضافه کرد.

کتاب الکترونیکی - راهنمای هوش مصنوعی Coveo برای جستجو و کشف محصول

آنا پوبلتس، رئیس بخش بدون رمز عبور در 1Password، اضافه کرد: «تکنولوژی بزرگ جزو اولین کسانی بود که راه‌حل‌هایی را برای دنیای بدون رمز عبور شروع کرد، اما رویکرد باغ‌های دیواری پتانسیل پذیرش کلیدهای عبور را در میان مصرف‌کنندگان محدود می‌کند.

او به TechNewsWorld گفت: «در 1Password، ما یک رویکرد تعاملی را در پیش گرفته‌ایم تا کاربران بتوانند از گذرواژه‌ها به بدون رمز عبور عبور کنند و اطمینان حاصل کنند که در نحوه مدیریت هویت آنلاین خود در پلت‌فرم‌ها و دستگاه‌ها – هر دو در محل کار – انتخاب دارند. و در خانه.»

راه حل مقاوم در برابر فیشینگ

دارن گوچیون، مدیر عامل Keeper Security، یک شرکت مدیریت رمز عبور و ذخیره‌سازی آنلاین در شیکاگو، خاطرنشان کرد که سیستم‌های مبتنی بر رمز عبور سنتی با آسیب‌پذیری‌های ذاتی، از جمله حساسیت به حملات brute-force، فیشینگ و ضعف‌های عامل انسانی مواجه هستند.

او به TechNewsWorld گفت: «روش‌های احراز هویت بدون رمز عبور که از بیومتریک، احراز هویت چند عاملی و فناوری‌های پیشرفته استفاده می‌کنند، دفاعی قوی در برابر این تهدیدات ارائه می‌کنند.

او توضیح داد که برخلاف رمزهای عبور که معمولاً از ترکیبی از کاراکترها، اعداد و نمادها تشکیل شده‌اند، کلیدهای عبور بر اصول رمزنگاری کلید عمومی متکی هستند. آنها از یک جفت کلید رمزنگاری استفاده می کنند: یک کلید خصوصی که به طور ایمن در دستگاه کاربر ذخیره می شود و یک کلید عمومی ثبت شده در ارائه دهنده خدمات.

او ادامه داد که در پشت صحنه، کلیدهای عبور از مکانیزم چالش-پاسخ استفاده می کنند.

هنگامی که کاربر سعی می کند به حساب خود دسترسی پیدا کند، ارائه دهنده خدمات چالشی را به دستگاه کاربر ارسال می کند. پس از آن، دستگاه چالش را با کلید خصوصی امضا می کند و پاسخ امضا شده را برای اعتبار سنجی به سرور ارسال می کند.

از آنجایی که کلید خصوصی هرگز دستگاه کاربر را ترک نمی‌کند و از طریق شبکه منتقل نمی‌شود، کلیدهای عبور در مقایسه با رمزهای عبور سنتی سطح بالایی از امنیت را ارائه می‌کنند و در برابر فیشینگ مقاوم هستند.

Guccione گفت: «کلیدهای عبور محدود به دستگاهی است که در آن ایجاد شده است، مگر اینکه رمز عبور را در یک مدیر رمز عبور ایجاد و ذخیره کنید. “ذخیره کلیدهای عبور در یک مدیر رمز عبور ایمن، بدون توجه به اینکه از چه دستگاهی استفاده می‌کنید یا از کجا وارد سیستم می‌شوید، دسترسی به کلیدهای عبور شما را فراهم می‌کند و به شما امکان می‌دهد از آنها در مرورگرها و سیستم‌عامل‌های مختلف استفاده کنید.”

Pobletts اضافه کرد: «کلیدهای رمز برخی از رایج ترین حملات مهندسی اجتماعی مانند فیشینگ یا پر کردن اعتبار را به طور کلی حذف می کنند، زیرا پاداشی را که هکرها به دنبال آن هستند – اعتبارنامه ها را حذف می کنند.

جایگزین نکردن پسوردها

گوچیونه خاطرنشان کرد که آینده کلیدهای عبور امیدوارکننده به نظر می رسد اما با احتیاط و با پیشرفت تدریجی مشخص می شود. او گفت: «پشتیبانی قوی از رهبران فناوری مانند مایکروسافت، اپل، گوگل و آمازون گامی در مسیر درست است. تلاش‌های استانداردسازی ممکن است نقشی اساسی در غلبه بر چالش‌های قابلیت همکاری و ترویج پذیرش گسترده‌تر داشته باشد.»

وی افزود: «با این وجود، مهم است که اذعان کنیم که کلیدهای عبور در آینده نزدیک جایگزین رمزهای عبور نخواهند شد.»

او ادامه داد: «در میان میلیاردها وب‌سایت موجود، تنها کسری از درصد در حال حاضر از کلیدهای عبور پشتیبانی می‌کنند». این پذیرش بسیار محدود را می‌توان به عوامل مختلفی نسبت داد، از جمله سطح پشتیبانی از پلتفرم‌های زیربنایی، نیاز به تنظیمات وب‌سایت، و نیاز به پیکربندی توسط کاربر.»

نگوین افزود، برای اینکه یک راه حل امنیتی واقعی حساب باشد، کلیدهای عبور باید جهانی شوند.

او نوشت: «مانند بسیاری از ویژگی‌های آنلاین، کلیدهای عبور از یک اثر شبکه بهره می‌برند. هر چه سایت‌ها و سرویس‌های بیشتری از کلیدهای عبور استفاده کنند، راه‌حل بهتر و آسان‌تری برای کاربران خواهند داشت (با مزیت افزوده ایمن‌تر کردن داده‌های همه). متأسفانه، Big Tech کلیدهای عبور را به عنوان فرصتی برای پیشبرد منافع تجاری خود به جای ابزاری برای تأمین امنیت جهانی در نظر گرفته است.

منبع