پروتون، سازنده یک سیستم ایمیل که به دلیل امنیت قوی خود شناخته شده است، پشتیبانی از رمز عبور را برای مدیر رمز عبور خود اضافه کرده است، در حالی که “Big Tech” را برای به دام انداختن کلیدهای عبور کاربران خود در پشت “باغ های دیواری” ضربه می زند.
با وجود اینکه کلیدهای عبور توسط اتحاد FIDO و کنسرسیوم وب جهانی برای جایگزینی رمزهای عبور توسعه داده شده اند و قرار است ورود سریع تر، آسان تر و ایمن تر به وب سایت ها و برنامه ها در دستگاه های کاربر را ارائه دهند، اما عرضه آنها انجام نشده است. سون نگوین، بنیانگذار SimpleLogin و توسعه دهنده Proton Pass، دوشنبه در وبلاگی نوشت.
او ادامه داد: «در عوض، اولین سازمانهایی که کلیدهای عبور را ارائه کردند، اپل و گوگل، استفاده از این فناوری را برای حبس کردن افراد در باغهای دیواری خود به جای ارائه راهحل امن برای همه، در اولویت قرار دادند. این رویکرد بسته ارزش رمزهای عبور را برای همه کاهش میدهد و احتمال استفاده جهانی از آنها را کاهش میدهد، که برای جایگزینی رمزهای عبور بسیار مهم است.
راجر گریمز، مبشر دفاعی در KnowBe4، ارائهدهنده آموزش آگاهی امنیتی در کلیرواتر، فلوریدا، با نگوین موافق بود. او به TechNewsWorld گفت: «استاندارد اصلی و فعلی رمز عبور FIDO و روشی که فروشندگان بزرگ مانند مایکروسافت، گوگل و اپل آن را پیادهسازی میکنند، باغهای دیواری ایجاد میکنند.
او گفت: “FIDO از این مشکل آگاه است و در حال حاضر روی نسخه به روز شده کلیدهای عبور کار می کند که این محدودیت را برطرف می کند.”
او افزود: «پروتون اولین شرکتی نیست که با مشکل قفل پلت فرم کلید عبور مقابله می کند. به عنوان مثال، مدیر رمز عبور 1Password به شما امکان می دهد از کلیدهای عبور در همه پلتفرم ها استفاده کنید.
بدون قفل فروشنده
با این حال، اتحاد FIDO با اظهارات پروتون مخالفت کرد. اندرو شیکیار، مدیر اجرایی و مدیر عامل شرکت، گفت: «کلیدهای رمز هرگز ساخته نشدند تا فقط حوزه فناوری بزرگ باشند.
او به TechNewsWorld گفت: «ما همیشه به یک اکوسیستم باز در اطراف این موضوع فکر کردهایم، به همین دلیل است که میبینید شرکتهایی مانند 1Password، Dashlane و سایر مدیران اعتباری که در اتحاد FIDO شرکت میکنند.
او گفت: «هیچ قفل فروشنده وجود ندارد. «در واقع، همه این شرکتها به طور فعال در اتحاد FIDO کار میکنند تا پروتکل جدیدی را ببینند تا امکان حمل اعتبار را فراهم کند. همه آنها در حال کار بر روی اجازه دادن به شما برای انتقال کلیدهای عبور از یک ابر به ابر دیگر هستند.”
جیمز ای لی، مدیر عامل مرکز منابع سرقت هویت، یک سازمان غیرانتفاعی در سن دیگو که وقف به حداقل رساندن ریسک و کاهش تأثیرات آن است، افزود: «کلیدهای عبور برای پیادهسازی با انواع پلتفرمها، برنامهها و سیستمهای عامل طراحی شدهاند. سازش هویت و جنایت
او به TechNewsWorld گفت: “این دقیقاً همان چیزی است که ما اکنون می بینیم.” “در غیر این صورت، حتی پذیرش فرآیندی به طور تصاعدی ایمن تر را به تاخیر می اندازد.”
تجارب کاربر نامطلوب
نگوین اظهار داشت که پس از مشاهده راهاندازی کلیدهای عبور Big Tech، چندین مدیر رمز عبور نیز با عجله اقدام به انتشار کلیدهای عبور خود کردند که منجر به تجربه کاربری بدی شد.
او نوشت: «برخی از مدیران رمز عبور فقط از طریق برنامه افزودنی وب خود از کلیدهای عبور پشتیبانی میکنند، و این کار را برای هرکسی که سعی میکند با کلید رمز روی تلفن همراه خود وارد همان برنامه شود، دشوار میکند. اکثر مدیران رمز عبور که از کلیدهای عبور پشتیبانی میکنند، آنها را فقط با یک طرح پولی ارائه میدهند، به این معنی که Google Password Manager و Apple Keychain تنها ارائهدهندگان رمز عبور رایگان بودند تا زمانی که Proton Pass آنها را اضافه کرد.
آنا پوبلتس، رئیس بخش بدون رمز عبور در 1Password، اضافه کرد: «تکنولوژی بزرگ جزو اولین کسانی بود که راهحلهایی را برای دنیای بدون رمز عبور شروع کرد، اما رویکرد باغهای دیواری پتانسیل پذیرش کلیدهای عبور را در میان مصرفکنندگان محدود میکند.
او به TechNewsWorld گفت: «در 1Password، ما یک رویکرد تعاملی را در پیش گرفتهایم تا کاربران بتوانند از گذرواژهها به بدون رمز عبور عبور کنند و اطمینان حاصل کنند که در نحوه مدیریت هویت آنلاین خود در پلتفرمها و دستگاهها – هر دو در محل کار – انتخاب دارند. و در خانه.»
راه حل مقاوم در برابر فیشینگ
دارن گوچیون، مدیر عامل Keeper Security، یک شرکت مدیریت رمز عبور و ذخیرهسازی آنلاین در شیکاگو، خاطرنشان کرد که سیستمهای مبتنی بر رمز عبور سنتی با آسیبپذیریهای ذاتی، از جمله حساسیت به حملات brute-force، فیشینگ و ضعفهای عامل انسانی مواجه هستند.
او به TechNewsWorld گفت: «روشهای احراز هویت بدون رمز عبور که از بیومتریک، احراز هویت چند عاملی و فناوریهای پیشرفته استفاده میکنند، دفاعی قوی در برابر این تهدیدات ارائه میکنند.
او توضیح داد که برخلاف رمزهای عبور که معمولاً از ترکیبی از کاراکترها، اعداد و نمادها تشکیل شدهاند، کلیدهای عبور بر اصول رمزنگاری کلید عمومی متکی هستند. آنها از یک جفت کلید رمزنگاری استفاده می کنند: یک کلید خصوصی که به طور ایمن در دستگاه کاربر ذخیره می شود و یک کلید عمومی ثبت شده در ارائه دهنده خدمات.
او ادامه داد که در پشت صحنه، کلیدهای عبور از مکانیزم چالش-پاسخ استفاده می کنند.
هنگامی که کاربر سعی می کند به حساب خود دسترسی پیدا کند، ارائه دهنده خدمات چالشی را به دستگاه کاربر ارسال می کند. پس از آن، دستگاه چالش را با کلید خصوصی امضا می کند و پاسخ امضا شده را برای اعتبار سنجی به سرور ارسال می کند.
از آنجایی که کلید خصوصی هرگز دستگاه کاربر را ترک نمیکند و از طریق شبکه منتقل نمیشود، کلیدهای عبور در مقایسه با رمزهای عبور سنتی سطح بالایی از امنیت را ارائه میکنند و در برابر فیشینگ مقاوم هستند.
Guccione گفت: «کلیدهای عبور محدود به دستگاهی است که در آن ایجاد شده است، مگر اینکه رمز عبور را در یک مدیر رمز عبور ایجاد و ذخیره کنید. “ذخیره کلیدهای عبور در یک مدیر رمز عبور ایمن، بدون توجه به اینکه از چه دستگاهی استفاده میکنید یا از کجا وارد سیستم میشوید، دسترسی به کلیدهای عبور شما را فراهم میکند و به شما امکان میدهد از آنها در مرورگرها و سیستمعاملهای مختلف استفاده کنید.”
Pobletts اضافه کرد: «کلیدهای رمز برخی از رایج ترین حملات مهندسی اجتماعی مانند فیشینگ یا پر کردن اعتبار را به طور کلی حذف می کنند، زیرا پاداشی را که هکرها به دنبال آن هستند – اعتبارنامه ها را حذف می کنند.
جایگزین نکردن پسوردها
گوچیونه خاطرنشان کرد که آینده کلیدهای عبور امیدوارکننده به نظر می رسد اما با احتیاط و با پیشرفت تدریجی مشخص می شود. او گفت: «پشتیبانی قوی از رهبران فناوری مانند مایکروسافت، اپل، گوگل و آمازون گامی در مسیر درست است. تلاشهای استانداردسازی ممکن است نقشی اساسی در غلبه بر چالشهای قابلیت همکاری و ترویج پذیرش گستردهتر داشته باشد.»
وی افزود: «با این وجود، مهم است که اذعان کنیم که کلیدهای عبور در آینده نزدیک جایگزین رمزهای عبور نخواهند شد.»
او ادامه داد: «در میان میلیاردها وبسایت موجود، تنها کسری از درصد در حال حاضر از کلیدهای عبور پشتیبانی میکنند». این پذیرش بسیار محدود را میتوان به عوامل مختلفی نسبت داد، از جمله سطح پشتیبانی از پلتفرمهای زیربنایی، نیاز به تنظیمات وبسایت، و نیاز به پیکربندی توسط کاربر.»
نگوین افزود، برای اینکه یک راه حل امنیتی واقعی حساب باشد، کلیدهای عبور باید جهانی شوند.
او نوشت: «مانند بسیاری از ویژگیهای آنلاین، کلیدهای عبور از یک اثر شبکه بهره میبرند. هر چه سایتها و سرویسهای بیشتری از کلیدهای عبور استفاده کنند، راهحل بهتر و آسانتری برای کاربران خواهند داشت (با مزیت افزوده ایمنتر کردن دادههای همه). متأسفانه، Big Tech کلیدهای عبور را به عنوان فرصتی برای پیشبرد منافع تجاری خود به جای ابزاری برای تأمین امنیت جهانی در نظر گرفته است.