يستخدم مئات الملايين من الأشخاص كلمات المرور كل يوم، فهي تفتح قفل أجهزتنا، وبريدنا الإلكتروني، وشبكاتنا الاجتماعية، وحتى حساباتنا المصرفية. ومع ذلك، فإن كلمات المرور هي ضعيفة على نحو متزايد طريقة لحماية أنفسنا: لا يكاد يمر أسبوع دون أن تصل الأخبار إلى زلة أمنية كبيرة. هذا الأسبوع، هو سيسكو - صانع الكثير من الأجهزة التي تعمل بشكل أساسي على تشغيل الإنترنت.
في الوقت الحالي، يتطلع الجميع تقريبًا إلى تجاوز كلمات المرور إلى مصادقة متعددة العوامل: تتطلب "شيء لديك" أو "شيء أنت عليه" بالإضافة إلى شيء تعرفه. التقنيات البيومترية التي تقيس العيون وبصمات الأصابع والوجوه و/أو الأصوات الحصول على أكثر عملية، ولكنها تفشل في كثير من الأحيان بالنسبة لبعض الأشخاص، ويصعب جلبها إلى مئات الملايين من المستخدمين.
مقاطع الفيديو الموصى بها
ألسنا نتجاهل ما هو واضح؟ أليس الحل للأمن متعدد العوامل في جيوبنا بالفعل؟
متعلق ب
- أهم 15 هاتفًا ذكيًا غيرت العالم إلى الأبد
- تعتبر ميزة 2FA عبر الرسائل القصيرة غير آمنة وسيئة - استخدم تطبيقات المصادقة الخمسة الرائعة هذه بدلاً من ذلك
- يؤدي إرهاق الاشتراك في التطبيقات إلى تدمير هاتفي الذكي بسرعة
الخدمات المصرفية عبر الإنترنت
صدق أو لا تصدق، كان الأمريكيون يستخدمون المصادقة متعددة العوامل لسنوات عندما يقومون بإجراء الخدمات المصرفية عبر الإنترنت - أو على الأقل، نسخ مخففة منها. في عام 2001، طلب مجلس فحص المؤسسات المالية الفيدرالية (FFIEC) من الخدمات المصرفية عبر الإنترنت في الولايات المتحدة أن تطرح مصادقة حقيقية متعددة العوامل بحلول عام 2006.
إنه عام 2013 وما زلنا نسجل الدخول إلى الخدمات المصرفية عبر الإنترنت باستخدام كلمات المرور. ماذا حدث؟
وقال ريتش موجول، الرئيس التنفيذي والمحلل في شركة "بشكل أساسي، قامت البنوك بالضغط". تسمم. "يمكن أن تعمل القياسات الحيوية والرموز الأمنية بشكل جيد بمعزل عن غيرها، ولكن من الصعب جدًا توسيع نطاقها حتى لتشمل الخدمات المصرفية فقط. لا يرغب المستهلكون في التعامل مع أشياء متعددة من هذا القبيل. معظم الناس لا يضعون حتى رموز المرور على الهواتف”.
لذلك، تراجعت البنوك. بحلول عام 2005، FFIEC أصدرت المبادئ التوجيهية المحدثة والتي سمحت للبنوك بالمصادقة عن طريق كلمة المرور و"تحديد الجهاز" - في الأساس، تحديد ملفات تعريف أنظمة المستخدمين. إذا قام العميل بتسجيل الدخول من جهاز معروف، فهو يحتاج فقط إلى كلمة مرور؛ وبخلاف ذلك، سيحتاج العميل إلى تجاوز المزيد من العوائق، وعادةً ما يكون هناك أسئلة تحدي. والفكرة هي أن أجهزة التنميط ترقى إلى التحقق من شيء ما للمستخدمين يملك (جهاز كمبيوتر أو هاتف ذكي أو جهاز لوحي) لمرافقة كلمة المرور الخاصة بهم يعرف.
أصبحت البنوك أكثر تطورا في تحديد الأجهزة، و لا تزال المبادئ التوجيهية الفيدرالية الأحدث تتطلب من البنوك استخدام أكثر من مجرد ملف تعريف ارتباط للمتصفح يسهل نسخه. لكن النظام لا يزال ضعيفا. كل شيء يحدث عبر قناة واحدة، لذلك إذا تمكن أحد الأشخاص السيئين من استغلال اتصال المستخدم (ربما عن طريق السرقة أو الاختراق أو البرامج الضارة)، فسينتهي كل شيء. علاوة على ذلك، يتم التعامل مع أي شخص كعميل يستخدم جهازًا جديدًا - وكما هو الحال نيويورك تايمز كاتب عمود يمكن لديفيد بوج أن يشهد، فإن الأسئلة الأمنية التي تتم الإجابة عليها بصدق توفر أحيانًا حماية ضئيلة.
ومع ذلك، فقد أصبح الشكل المحدود للأمان متعدد العوامل للخدمات المصرفية عبر الإنترنت موجودًا كبير الاتجاه الصعودي للمستهلكين. بالنسبة لمعظم المستخدمين، في معظم الأوقات، يكون ملف تعريف الجهاز غير مرئي ويعمل تمامًا مثل كلمة المرور - والتي يفهمها الجميع تقريبًا.
أداة مصادقة جوجل
تم استخدام الرموز الرقمية وبطاقات الأمان والأجهزة الأخرى في المصادقة متعددة العوامل لعقود من الزمن. ومع ذلك، مثل القياسات الحيوية، لم يثبت أي شيء حتى الآن أنه عملي لملايين الأشخاص العاديين. لا توجد أيضًا معايير واسعة النطاق، لذلك قد يحتاج الأشخاص إلى عشرات من وحدات fobs والرموز المميزة ووحدات USB والبطاقات المختلفة للوصول إلى خدماتهم المفضلة. لا أحد سوف يفعل ذلك
فماذا عن الهواتف في جيوبنا؟ منذ ما يقرب من عام وجد الباحثون ما يقرب من 90 بالمائة من البالغين الأمريكيين يمتلكون هواتف محمولة – ما يقرب من نصفهم لديهم هواتف ذكية. يجب أن تكون الأرقام أعلى الآن: هل من المؤكد أنها ستُستخدم للمصادقة متعددة العوامل؟
هذه هي الفكرة وراء التحقق بخطوتين من Google، والذي يرسل رمز PIN لمرة واحدة إلى الهاتف عبر رسالة نصية قصيرة أو صوتًا عند تسجيل الدخول إلى خدمات Google. يقوم المستخدمون بإدخال كلمة المرور والرمز لتسجيل الدخول. بالطبع، يمكن فقدان الهواتف أو سرقتها، وإذا نفدت البطارية أو لم تتوفر خدمة الهاتف المحمول، فسيتم إغلاق المستخدمين. لكن الخدمة تعمل حتى مع الهواتف العادية، وهي بالتأكيد أكثر أمانًا - وإن كانت أقل ملاءمة - من كلمة المرور وحدها.
أصبح التحقق بخطوتين من Google أكثر إثارة للاهتمام مع أداة مصادقة جوجل، وهو متاح لأنظمة Android، وiOS، وBlackBerry. يستخدم Google Authenticator كلمات المرور المستندة إلى الوقت (TOTP)، وهو معيار مدعوم من قبل مبادرة المصادقة المفتوحة. في الأساس، يحتوي التطبيق على سر مشفر ويقوم بإنشاء رمز جديد مكون من ستة أرقام كل 30 ثانية. يقوم المستخدمون بإدخال هذا الرمز مع كلمة المرور الخاصة بهم لإثبات أن لديهم الجهاز الصحيح. وطالما أن ساعة الهاتف صحيحة، فإن Google Authenticator يعمل بدون خدمة الهاتف؛ علاوة على ذلك، تعمل رموزه التي تبلغ مدتها 30 ثانية آخر الخدمات التي تدعم TOTP: في الوقت الحالي، يتضمن ذلك بصندوق الإسقاط, لاست باس، و خدمات الويب الأمازون. وبالمثل، يمكن للتطبيقات الأخرى التي تدعم TOTP أن تعمل مع Google.
ولكن هناك قضايا. يرسل المستخدمون رموز التحقق على نفس القناة مثل كلمات المرور، لذا فهم عرضة لنفس سيناريوهات الاعتراض مثل الخدمات المصرفية عبر الإنترنت. نظرًا لأن تطبيقات TOTP تحتوي على سر، يمكن لأي شخص (في أي مكان في العالم) إنشاء رموز شرعية في حالة اختراق التطبيق أو السر. ولا يوجد نظام مثالي: قامت Google الشهر الماضي بإصلاح مشكلة قد تسمح بذلك إجمالي عمليات الاستحواذ على الحساب عبر كلمات المرور الخاصة بالتطبيقات. هزار.
أين نذهب من هنا؟
أكبر مشكلة في أنظمة مثل التحقق بخطوتين من Google هي ببساطة أنها تمثل ألمًا في المؤخرة. هل تريد العبث بهاتفك ورموزك في كل مرة قمت بتسجيل الدخول إلى الخدمة؟ هل والديك أو أجدادك أو أصدقائك أو أطفالك؟ معظم الناس لا يفعلون ذلك. حتى عشاق التكنولوجيا الذين يحبون العامل الرائع (والأمان) من المحتمل أن يجدوا العملية غريبة في غضون أسابيع قليلة فقط.
تشير الأرقام إلى أن الألم حقيقي. وفي يناير/كانون الثاني، قدمت جوجل سلكي روبرت ماكميلان رسم بياني لاعتماد خطوتين، بما في ذلك ارتفاع مصاحبًا لـ مات هونان "القرصنة الملحمة" مقال في أغسطس الماضي. لاحظ أي محور ليس له تسميات؟ رفض ممثلو جوجل تحديد عدد الأشخاص الذين يستخدمون المصادقة الثنائية، لكن نائب رئيس أمان جوجل، إريك جروس، أخبر ماكميلان أن ربع مليون مستخدم مسجلون بعد مقال هونان. وبهذا المقياس، فإن تقديري التقريبي هو أن حوالي 20 مليون شخص قاموا بالتسجيل حتى الآن - وهو ما يمثل انخفاضًا طفيفًا عن أكثر من 500 مليون شخص. المطالبات لديك حسابات جوجل+. بدا هذا الرقم صحيحًا بالنسبة لموظفة في Google لم ترغب في الكشف عن اسمها: فقد قدرت أن أقل من عشرة بالمائة من مستخدمي Google+ "النشطين" قاموا بالتسجيل. وأشارت إلى أن "جميعهم لا يلتزمون بها".
"عندما يكون لديك جمهور جامح، لا يمكنك افتراض أي نوع من السلوك يتجاوز الأساسيات - خاصة إذا لم تعط هذا الجمهور سببًا لفعل ذلك." يريد قال كريستيان هيسلر، الرئيس التنفيذي لشركة مصادقة الهاتف المحمول: "هذا السلوك". LiveEnsure. "ليس هناك طريقة لتدريب مليار شخص على القيام بشيء لا يريدون القيام به."
يعتمد LiveEnsure على قيام المستخدمين بالتحقق خارج النطاق باستخدام أجهزتهم المحمولة (أو حتى عبر البريد الإلكتروني). أدخل اسم مستخدم فقط (أو استخدم خدمة تسجيل دخول واحدة مثل Twitter أو Facebook)، ويستفيد LiveEnsure من السياق الأوسع للمستخدم للمصادقة: لا توجد كلمة مرور مطلوبة. في الوقت الحالي، يستخدم LiveEnsure "خط البصر" - حيث يقوم المستخدمون بمسح رمز الاستجابة السريعة الموجود على الشاشة باستخدام هواتفهم لتأكيد تسجيل الدخول - ولكن سيتم طرح طرق تحقق أخرى قريبًا. يتجنب LiveEnsure الاعتراض باستخدام اتصال منفصل للتحقق، ولكنه لا يعتمد أيضًا على الأسرار المشتركة في المتصفحات أو الأجهزة أو حتى الخدمة الخاصة به. إذا تم اختراق النظام، تقول LiveEnsure أن القطع الفردية ليس لها قيمة بالنسبة للمهاجم.
وقال هيسلر: "إن ما هو موجود في قاعدة بياناتنا يمكن إرساله بالبريد على أقراص مضغوطة كهدية عيد الميلاد، وسيكون عديم الفائدة". "لا يتم نقل أي أسرار عبر الأسلاك، المعاملة الوحيدة هي مجرد نعم أو لا."
يعد أسلوب LiveEnsure أسهل من إدخال أرقام التعريف الشخصية، ولكنه لا يزال يتطلب من المستخدمين التلاعب بالأجهزة المحمولة والتطبيقات لتسجيل الدخول. ويهدف آخرون إلى جعل العملية أكثر شفافية.
توفير تعمل على الاستفادة من وعي الأجهزة المحمولة بموقعها عبر نظام تحديد المواقع العالمي (GPS) أو شبكة Wi-Fi كوسيلة لمصادقة المستخدمين بشفافية - على الأقل من المواقع المعتمدة مسبقًا.
قال المؤسس ومدير التكنولوجيا التنفيذي إيفان جريم: "يوفر Toopher مزيدًا من السياق لقرار المصادقة لجعله غير مرئي". "إذا كان المستخدم عادةً في المنزل يقوم بإجراء الخدمات المصرفية عبر الإنترنت، فيمكن للمستخدم تشغيلها تلقائيًا لجعل القرار غير مرئي."
الأتمتة ليست مطلوبة: يمكن للمستخدمين التأكيد على أجهزتهم المحمولة في كل مرة، إذا رغبوا في ذلك. ولكن إذا أخبر المستخدمون Toopher بما هو طبيعي، فلن يحتاجوا إلا إلى وضع هواتفهم في جيوبهم وستتم عملية المصادقة بشفافية. يقوم المستخدمون فقط بإدخال كلمة المرور وكل شيء آخر غير مرئي. إذا كان الجهاز في مكان غير معروف، فسيحتاج المستخدمون إلى التأكيد على هواتفهم - وإذا لم يكن هناك أي تأكيد الاتصال، يلجأ Toopher إلى رقم التعريف الشخصي المعتمد على الوقت باستخدام نفس التقنية التي تستخدمها Google الموثق.
قال جريم: "لا يحاول Toopher تغيير تجربة المستخدم بشكل أساسي. "لم تكن المشكلة في الحلول المتعددة العوامل الأخرى أنها لم تضيف الحماية، ولكنها غيرت تجربة المستخدم، وبالتالي كانت هناك عوائق أمام اعتمادها."
عليك أن تكون في اللعبة
لن تختفي كلمات المرور، ولكن سيتم تعزيزها من خلال المواقع، وأرقام التعريف الشخصية لمرة واحدة، وحلول خط البصر وخط الصوت، والقياسات الحيوية، أو حتى المعلومات حول أجهزة Bluetooth وWi-Fi القريبة. تبدو الهواتف الذكية والأجهزة المحمولة هي الطريقة الأكثر ترجيحًا لإضافة المزيد من السياق للمصادقة.
وبطبيعة الحال، عليك أن تكون في اللعبة إذا كنت تريد اللعب. لا يملك الجميع هواتف ذكية، وقد تستبعد تكنولوجيا المصادقة الجديدة المستخدمين الذين لا يملكون التكنولوجيا الحديثة، مما يجعل بقية العالم أكثر عرضة للاختراق وسرقة الهوية. يمكن أن يصبح الأمن الرقمي بسهولة شيئًا يميز من يملكون عن من لا يملكون.
وحتى الآن، لا يمكن التنبؤ بالحلول التي ستنتصر. إن Toopher وLiveEnsure ليسا سوى اثنين من بين العديد من اللاعبين، وجميعهم يواجهون مشكلة الدجاجة والبيضة: فبدون اعتمادها من قبل كل من المستخدمين والخدمات، فإنهم لن يساعدوا أي شخص. حصل Toopher مؤخرًا على تمويل بقيمة 2 مليون دولار لبدء التشغيل؛ تتحدث LiveEnsure مع بعض الأسماء الكبيرة وتأمل في الخروج من وضع التخفي قريبًا. ولكن من السابق لأوانه تحديد أين سينتهي الأمر بأي شخص.
في غضون ذلك، إذا كانت الخدمة التي تعتمد عليها تقدم أي شكل من أشكال المصادقة متعددة العوامل - سواء عبر الرسائل القصيرة أو تطبيق الهاتف الذكي أو حتى مكالمة هاتفية - ففكر فيها بجدية. من المؤكد تقريبًا أنها توفر حماية أفضل من كلمة المرور وحدها... حتى لو كانت أيضًا بمثابة ألم في المؤخرة.
الصورة عبر صراع الأسهم / آدم رادوسافليفيتش
[تم التحديث في 24 مارس 2013 لتوضيح التفاصيل حول FFIEC وLiveEnsure، وتصحيح خطأ في الإنتاج.]
توصيات المحررين
- كيفية العثور على الملفات التي تم تنزيلها على هاتفك الذكي iPhone أو Android
- حصلت خطتك في Google One على تحديثين أمنيين كبيرين للحفاظ على أمانك على الإنترنت
- كيف يمكن أن يحل هاتفك الذكي محل الكاميرا الاحترافية في عام 2023؟
- يعد هاتف Pixel 6 من Google هاتفًا ذكيًا جيدًا، ولكن هل سيكون كافيًا لإقناع المشترين؟
- يقول رئيس شركة Google إنه "يشعر بخيبة أمل" تجاه برنامج أمان iPhone الجديد من Apple
