كلمات المرور ميتة وكلمات المرور الحية

كلمات السر تمتص. دعونا لا تندم الكلمات هنا أو تغلب على الأدغال. الجميع يكره كلمات المرور ، وهم على حق في القيام بذلك. كلمات المرور هي لعنة وجودنا الحديث عبر الإنترنت. لا عجب أن آذاننا الجماعية تطفو ونحن نتوق إلى الاعتقاد عندما نسمع هذه العبارة: كلمة المرور القاتل! اصمت وخذ مالي!

ساوضح كيف وصلنا إلى هذا المكان الفظيع وكيفية الاستفادة منه. سأكشف بعد ذلك عن مجموعة من التقنيات الجديدة التي تدعي أنها "قتلة كلمة المرور" … وأشرح لماذا يجب أن نتجنبها بأي ثمن. وأخيراً ، سوف أعرضك على مخلوق لطيف غامض قد ينقذنا جميعًا.

مأزق كلمة المرور

دعنا نرجع قليلاً ونراجع كيف وصلنا إلى هنا في المقام الأول. بمجرد انتقالنا من العالم الواقعي إلى الفضاء الإلكتروني ، واجهنا مشكلة: كيف نعرف أنك من تقول أنت؟ هذه هي مشكلة المصادقة - العثور على طريقة آمنة وقوية للتحقق من هويتك. لاحظ ، مع ذلك ، أن هذا لا يختلف عن معرفة من أنت على وجه التحديد . يوفر Cyberspace للمستخدمين إخفاء الهوية (أو على الأقل إمكانية عدم الكشف عن هويتهم). على الرغم من أن هذا لا ينطبق عادةً على المعاملات المالية (على سبيل المثال ، الخدمات المصرفية والتسوق) ، إلا أنه في معظم الحالات تحتاج فقط إلى إنشاء نوع من الاسم المستعار لنفسك لا يرتبط باسمك وعنوانك وما إلى ذلك.

يتم تحديد الهوية عادةً بواسطة واحد أو أكثر من الطرق التالية:

• شيء تعرفه (كلمة المرور ، PIN ، إجابات على "أسئلة سرية")
• شيء أنت (بصمة ، قزحية ، وجه)
• شيء لديك (الشارة ، معرف الصورة ، الهاتف الخليوي)

بالنسبة لمعظم عصر الإنترنت ، كانت طرق المصادقة المتاحة في الفضاء الإلكتروني محدودة. جهاز الإدخال الوحيد الذي يمكنك ضمان حصول الجميع عليه هو لوحة المفاتيح. لذا فإن أكثر أشكال تحديد الهوية منطقية ، والتي تلبي هذا القاسم الأقل شيوعًا ، كانت كلمة المرور. ونحن هنا.

لكي تعمل الأنظمة المستندة إلى كلمة المرور بشكل جيد ، يجب أن يكون لدى المستخدمين كلمة مرور مختلفة لكل حساب وكل كلمة مرور يجب أن لا يمكن تخمينها. لسوء الحظ ، فإن عقل الإنسان ليس ببساطة على عاتق هذه المهمة - ولذا فإن معظم الناس يتوصلون إلى 2-3 كلمات مرور سيئة ويستخدمونها مرارًا وتكرارًا. يعرف المتسللون ذلك وقاموا بتطوير أدوات آلية يمكنها كسر الغالبية العظمى من كلمات المرور التي أنشأها الإنسان في غضون دقائق أو حتى ثوانٍ. يبدأون بتخمين كلمات المرور والعبارات الشائعة ، ثم كل مجموعة من الكلمات في القاموس وكلمات الأغاني وعناوين الأفلام والفرق الرياضية والأسماء الشائعة والتواريخ وما إلى ذلك - إلى الوراء وكذلك للأمام ، حتى مع استبدال بعض الأحرف بأرقام (صفر لـ "0" ، إلخ). مجرد البشر فقط لا تقف فرصة.

يوجد حل بسيط لهذه المشكلة ، ومع ذلك: مدير كلمة المرور. هذه التطبيقات المفيدة (مثل LastPass أو 1Password) لن تتذكر فقط وتدخل جميع كلمات المرور الخاصة بك تلقائيًا ، ولكنها ستساعد أيضًا في إنشاء كلمات مرور قوية يبعث على السخرية لكل حساب لديك. ومع ذلك ، على الرغم من الفائدة الواضحة لمديري كلمة المرور ، فإن عددًا قليلًا جدًا من الأشخاص يستخدمونها (أقل من 8٪ وفقًا لتقرير أصدرته Siber Systems العام الماضي).

ومع معرفة مدى عدم كفاءة الأشخاص في إنشاء كلمات مرور جيدة ، بدأت الشركات والحكومات المهتمة بالأمان في طلب نوعين من "الهوية" الآن ، ما يسمى "المصادقة ثنائية عامل". يتكون هذا عادةً من كلمة مرور مع رمز رقمي لمرة واحدة ، يتم تسليمه إلى هاتفك الذكي عبر الرسائل القصيرة أو يتم إنشاؤه بواسطة تطبيق الهاتف الذكي. حتى إذا نجح الأشرار في تخمين كلمة مرورك ، فلا يزال يتعين عليهم امتلاك هاتفك الذكي للوصول إلى حسابك. هذا هو المعيار الذهبي الحالي ويمكن (عند تنفيذه بشكل صحيح) توفير أمان قوي إلى حد ما. لسوء الحظ ، لا يزال يتطلب كلمة المرور اللعين. وكلمات المرور لا تزال تمتص. من المؤكد أنه في هذه الحقبة من أجهزة الكمبيوتر القوية الرائعة والمعالجة المتطورة للصوت والفيديو ، والهواتف الذكية المنتشرة في كل مكان والتي تزخر بأجهزة استشعار ، يمكننا التوصل إلى شيء أفضل …

أدخل كلمة المرور القاتل!

تعتقد Google ، الشركة المصنعة لنظام التشغيل Android وخطوط Nexus و Pixel للهواتف الذكية ، أن هذا الأمر تم أخيرًا: فهم يعتقدون أنهم ابتكروا تقنية ستؤدي في النهاية إلى "قتل" كلمة المرور الجليلة كوسيلة أساسية للمصادقة. باستخدام مجموعة أجهزة الاستشعار المذكورة أعلاه في الهواتف الذكية ، سيتمكنون من التعرف عليك باستخدام مزيج من وجهك ، قزحية العين ، صوتك ، موقعك ، سرعة كتابتك وأسلوبك ، والتطبيقات التي تستخدمها وعند استخدامها ، و حتى كيف تمشي. إذا تم تجميعهم جميعًا ، فسيقومون بتطوير "درجة ثقة" - وهي خوارزمية سرية لتحديد مدى احتمال أن تكون أنت. ستتاح هذه النتيجة لتطبيقات هاتفك ، مما يتيح لهم خيار التخلي عن كلمة المرور إذا كانوا متأكدين بما يكفي من هو الذي يحمل الهاتف. من الواضح ، أن التطبيقات المختلفة قد تتطلب مستويات مختلفة من الثقة: في حين أن Jewel Mania قد تكون غير متماسكة ، فمن المحتمل أن يكون Wells Fargo صارمًا للغاية (وهو محق في ذلك).

قد تفكر: كم هو رائع ؟؟ لا مزيد من كلمات السر! انها سوف تعرف فقط انها لي! ولكن دعنا نتراجع لحظة … لنفكر في ما يجري هنا بالفعل ونفحص الآثار.

يعد نظام نقاط الثقة من Google واحدًا من العديد من التقنيات الجديدة "القاتلة لكلمات المرور" في الأفق. ومن الأمثلة الأخرى التعرف على الصوت من شركات مثل بنك باركليز وميزة التعرف على الوجه في Windows 10 الجديدة والتي تسمى Windows Hello. تعتمد كل هذه التقنيات على شكل من أشكال البيانات البيومترية - أي شيء أنت (على عكس شيء تعرفه: كلمات المرور). ما تسعى هذه الأنظمة إلى فعله هو التوصل إلى طريقة ما - حتى بطرق متعددة - لتحديد هويتك بشكل إيجابي وقوي. باستخدام أجهزة استشعار مختلفة ، تلتقط هذه الأنظمة جميع أنواع البيانات من أجل تطوير "توقيع بيومتري" لك ، لتقطير جوهرك الفيزيائي إلى تمثيل رقمي. ثم يتم تخزين هذه التواقيع حتى يتمكن النظام من استخدامها لتحديد هويتك في المستقبل - مقارنة بيانات المستشعر الحالي بالبيانات المخزنة وتحديد ما إذا كانت مطابقة.

كلمة المرور أو معرف المستخدم؟

في رأيي ، هناك ثلاث مشاكل رئيسية مع نهج القياس الحيوي للمصادقة. أولاً وقبل كل شيء ، على المستوى الأساسي ، تمثل معلوماتك البيومترية اسم مستخدم أو معرف مستخدم أكثر من كلمة مرور - ومعرف مستخدم غير مرن وضعيف في ذلك. من ناحية ، ما لم تكن على استعداد لتشويه نفسك ، لا يمكنك تغيير هذه الخصائص ؛ من ناحية أخرى ، ماذا لو تشوهت عينيك أو وجهك أو أصابعك في حادث ما؟ التهاب الحنجرة أو حتى نزلات البرد قد يجعل صوتك غير معروف. على الرغم من أنك لا تزال أنت ، بالنسبة لهذه الأنظمة ، لم تعد أنت كذلك. أيضًا ، أنت لست joecool85 على هذا الموقع و therealjsw على موقع آخر … أنت جوزيف ويليام سميث. دائما. في كل مكان.

الخصوصية وعدم الكشف عن هويته

الأمر الذي يقودنا إلى المشكلة الثانية: عدم الكشف عن الهوية والخصوصية. باستخدام المصادقة البيومترية ، لا توجد وسيلة لتكون مجهولًا ولا توجد وسيلة لفصل أو عزل هويتك من موقع إلى آخر. بمعنى أنك تريد أن تكون قادرًا على التفاعل مع بعض مواقع الويب ولكن لا تجعلهم يعرفون على وجه التحديد من أنت (عدم الكشف عن هويتك). كما ترغب في أن تكون إجراءاتك على موقع الويب هذا غير معروفة للأشخاص الآخرين ومواقع الويب الأخرى (الخصوصية). مع مصادقة البيومترية ، كلاهما مستحيل. في عصر الإرهاب العالمي هذا ، يبدو أن الكثير من الناس مستعدون للتخلي عن الخصوصية على الإنترنت لأنهم يعتقدون أن ذلك سيساعد حكومتهم في الحفاظ على سلامتهم. لكن الخصوصية وإخفاء الهوية ضروريان - ليس فقط من أجل الديمقراطية ، ولكن من أجل الإنسانية. قد يكون هذا كتابًا كاملاً في حد ذاته ، لكن إذا لم تصدق هذا ، فسأحيلك إلى هذا الحديث الرائع الذي أجرته TED بقلم غلين جرينوالد. في الوقت الحالي ، دعنا نتفق فقط على أن المصادقة البيومترية تعمل على تعطيل الخصوصية وعدم الكشف عن الهوية.

يمكن العثور على درامية ممتازة لهذا التأثير في فيلم Minority Report . في هذا الفيلم ، لا يمكن لشخصية Tom Cruise التجول في أي مكان دون أن يتم التعرف عليها تلقائيًا بواسطة أنظمة المراقبة في كل مكان. هذه ليست مجرد أنظمة مراقبة حكومية ، إنها أنظمة إعلانات للشركات تحاول فقط "تحسين تجربة العملاء". باسم استهداف وإعلان إعلاناتهم ، يشعرون أنه يجب عليهم معرفة أكبر قدر ممكن عنك - والتعرف عليك أينما ذهبت ، جسديًا أو فعليًا. ومع ذلك ، لم يعد هذا خيالًا علميًا - إنه يحدث بالفعل.

الأمان

المشكلة الأخيرة في نظام المصادقة المستندة إلى القياسات الحيوية هي أنه غير آمن بدرجة كافية. لا يمكن لأي نظام أن يكون آمنًا على الإطلاق بنسبة 100٪ ، ولذا فإن هندسة أمان أي نظام هي دائمًا مقايضة التكلفة والراحة مقابل عواقب الفشل. إذا اقتحم أحد المتطفلين موقع Amazon.com وتمكن من سرقة جميع كلمات مرور عملائه ، فيمكن لـ Amazon ببساطة إبطال كل كلمات المرور المفقودة وإجبار الجميع على اختيار كلمة مرور جديدة. ولكن كيف تختار وجهًا جديدًا أو بصمة أو صوتًا جديدًا؟ أي شيء رقمي سهل النسخ أو السرقة ، ويمكن مشاركته على الفور في جميع أنحاء العالم. بمجرد أن يتم سرقة هذه المعلومات ، يكون القط خارج الحقيبة ، ويخرج الجني من الزجاجة ، ويكون الحصان الرقمي خارج الحظيرة الافتراضية. انتهت اللعبة. كمثال واحد فقط ، سرق المتسللين أكثر من 5 ملايين بصمة رقمية من مكتب إدارة شؤون الموظفين الأمريكي العام الماضي. لا يمكن لهؤلاء الموظفين أبدًا استخدام أي نوع من المصادقة المستندة إلى بصمات الأصابع لبقية حياتهم.

ولكن هذا مجرد جانب واحد لمشكلة الأمن. يمكن ملاحظة الصفات الحيوية الخاصة بك بسهولة من قبل الآخرين - ومن الممكن نسخها باستخدام نفس أنواع أجهزة الاستشعار التي تم استخدامها لالتقاط توقيعك الرقمي في المقام الأول. يمكن خداع التعرف على الوجه وأنظمة مسح القزحية بواسطة صورة. يمكن نسخ بصمات الأصابع من شيء لمسته. يمكن خداع أنظمة التعرف على الصوت باستخدام مقتطفات من الكلام المسجل. حتى مع تحسن أنظمة التعرف ، كذلك الأدوات التي يمكن استخدامها لخداعها. أيضًا ، ما الذي يمنعك من الإكراه أو الخداع في توفير معلومات التعريف البيومترية هذه لشخص آخر شرير؟ ليس عليك أن تكون على استعداد أو حتى واعيًا لتوفير بصمة أو مسح ضوئي للوجه. إذا كنت تريد أن تشعر بالحزن حقًا ، فبعض سماتك الجسدية تكون في الواقع قابلة للسرقة (رجل الهدم ، أي شخص؟).

بصراحة ، لقد خدشنا فقط سطح المشاكل. من يملك تواقيك البيومترية؟ أين وكيف يتم تخزين هذه المعلومات؟ من الذي يُسمح له بالوصول إلى هذه البيانات وما التحكم الذي تتمتع به على هذا الوصول؟ لأي أغراض أخرى يمكن استخدام هذه المعلومات؟ بمجرد الاشتراك في هذا النظام ، هل هناك أي طريقة مفيدة لإلغاء الاشتراك؟

ما زال هناك أمل

في حين أن النظام الحالي لكلمات المرور والمصادقة ثنائية العوامل مؤلم للغاية ، إلا أنني هنا لأخبركم: المصادقة البيومترية ليست هي الحل. ويبدو أن الناس قد يدركون هذا بالفعل.

ومع ذلك ، هناك بعض الحلول الواعدة الأخرى. على سبيل المثال ، يسمح لك نظام مصادقة جديد يسمى SQRL (يُشار إليه بـ "السنجاب") بإثبات هويتك لموقع ويب باستخدام تقنية ذكية للتحدي والاستجابة لا تتطلب من المستخدم سوى النقر فوق صورة أو مسح رمز الاستجابة السريعة باستخدام هاتفه الذكي الة تصوير. لا يوجد شيء يدخله المستخدم ، وبالتالي لا يوجد شيء يجب على المستخدم تذكره. هذا يعني أيضًا أنه لا يوجد شيء يحتاجه موقع الويب لمحاولة تخزين ما قد يسرقه المتسللون. وفقط لوضع الكعكة على الكعكة ، لديك هوية فريدة و "مجهولية الهوية" لكل موقع ويب - مع الحفاظ على هويتك على هذا الموقع ، وحماية خصوصيتك على جميع المواقع الأخرى.

من المحتمل أن تسوء الأمور قبل أن تتحسن ، لكنني أعتقد أنها ستتحسن. علينا فقط أن نكون حريصين على عدم القفز قبل أن نتوصل فعليًا إلى حلول يمكن أن تبقينا آمنين مع الحفاظ على إمكانية إخفاء الهوية والخصوصية على الأقل.

ما رأيك في مستقبل المصادقة؟

الآن بعد أن كنت في نهاية مقالي ، أحب أن أسمع تعليقاتك حول هذه المشكلة! يرجى ترك التعليقات والحصول على بعض المناقشة الجارية. سأقفز من وقت لآخر لإضافة سنتي ، والإجابة على أسئلتك قدر الإمكان. شكرا لك على القراءة والمشاركة في المحادثة.