أعلن كل من W3C و FIDO Alliance
عن استكمال معيار المصادقة بدون كلمة مرور
الخاص بـ WebAuthn ، والذي تم
تطبيقه منذ عام 2015. سنخبرك المزيد عنها لاحقًا.
/ Flickr / Mark Burnett / CC BY (تم تغيير حجم الصورة)لماذا تحتاج إلى معيار
تظل كلمات المرور الضعيفة هي السبب الأكثر شيوعًا في تسرب البيانات في الشركات. إنهم مسؤولون عن معظم الهجمات - 81٪ من الحالات ، وفقًا
لـ Verizon. تلك المؤسسات التي تعمل حقًا على سياسات كلمة المرور تنفق الكثير من الموارد على ذلك.
يدعي معهد بونيمون أن إجراءات إعادة الضبط والتحديث لشركات بيانات المصادقة تكلف 5.2 مليون دولار سنويًا.
إذا تحدثنا عن الوضع العام في مجال المصادقة ، فيمكننا الرجوع إلى بيانات المتخصصين من جامعة كامبريدج. في عام 2010 ، قاموا بتحليل سياسات الأمان لـ 150 موقعًا كبيرًا
ووجدوا أن 57٪ منهم لا يستخدمون TLS. في نفس الوقت ، 84 ٪ من المواقع تسمح لك بتحديد بيانات المصادقة بلا نهاية.
بعد تسع سنوات ، تحسن الوضع مع انتشار التشفير ، لكنه لا يزال يثير بعض المخاوف - وفقًا لإحصائيات WatchGuard للربع الثالث من عام 2018 ، فإن حوالي 21٪ من أفضل 100 ألف موقع من مواقع
Alexa لا يستخدمون HTTPS.
WebAuthn معيار المصادقة بدون كلمة سر يأتي إلى الإنقاذ هنا.
يجب عليه حل المشاكل المذكورة أعلاه. بدلاً من عبارات المرور ، يقترح مطوروها استخدام البيانات الحيوية: بصمات الأصابع والشبكية والوجه.
كيف يعمل؟
تشارك ثلاثة كيانات في عملية المصادقة. الأول هو
WebAuthn Relying Party . إنه موقع يريد المستخدم الدخول إليه.
الكيان الثاني هو
WebAuth API . يعتمد على طريقتين أساسيتين مسؤولتين عن التسجيل وتسجيل الدخول:
navigator.credentials.create () و
navigator.credentials.get () . ينشئ واحد تفاصيل الوصول عند تسجيل حساب جديد ويربط زوج المفاتيح بحساب موجود. آخر - يستخدم البيانات المعروفة للترخيص على الموقع. تستخدم كلتا الطريقتين اتصالاً آمنًا لنقل المعلومات (على سبيل المثال ، HTTPS).
الكيان الثالث هو
الموثق . يدير أوراق اعتماد المستخدم وهو المسؤول عن إنشاء مفاتيح الحساب العام.
بشكل عام ، قد يبدو إجراء التفويض على الموقع كما يلي:
- يقوم المستخدم بزيارة الموقع وتحديد خيار المصادقة بدون كلمة مرور (على سبيل المثال ، استخدام الهاتف).
- يرسل الموقع طلب JavaScript المطابق إلى عميل WebAuthn (المستعرض).
- يقوم المستعرض بالاتصال بالمصادق (الهاتف الذكي) بحيث يقوم بإنشاء المفاتيح وإرسالها إلى الطرف المعتمد.
- يتحقق الخادم من معلومات تسجيل الدخول.
- إذا كان كل شيء على ما يرام ، فسيتم إذن المستخدم على الموقع.
للحماية ضد التصيد الاحتيالي ، يستخدم المعيار المعاملات الخاصة المرتبطة بجلسة معينة. إذا لاحظ الخادم أن المعرف قد تغير ، فإنه يفهم أن الطلب يأتي من المحتالين ولن يؤكد التفويض.
المحتملة وعيوب
وفقًا لمنشئي WebAuthn ، فإن تطبيق المعيار الجديد سيساعد في التخلص من كلمات المرور ، وبالتالي نقاط الضعف المرتبطة بها. يقول يوري أكرمان ، كبير مهندسي شهادات FIDO Alliance ، إن تسجيل الدخول بدون كلمة مرور يحمي المستخدمين من التصيد ، ويبسط التفاعل مع المواقع ، ويجعل تكنولوجيات القياس الحيوي أكثر سهولة.
في مدونتنا ، قمنا
بنشر مقابلة مع Yuri تحدثنا فيها عن أمان الويب والحلول التي لا تحتوي على كلمة مرور.
وقال سيرجي بلكين ، رئيس قسم تطوير IaaS 1cloud.ru ، "يمكن أن يغير WebAuthn الطريقة التي نتفاعل بها مع موارد الإنترنت". - لا يتعين على المستخدمين اختراع كلمات المرور وتذكرها. ومع ذلك ، حتى هذه النقطة ، يجب على مالكي مواقع الويب ومطوري التطبيقات البدء في استخدام المعيار. يتم تنفيذه بالفعل بواسطة Google و Dropbox و Bank of America. ولكن قبل أن تصبح المصادقة بدون كلمة مرور واسعة ، سوف يستغرق الأمر بعض الوقت. "
ومع ذلك ، يشعر عدد من خبراء الأمن بالقلق من حقيقة أن WebAuthn يستخدم نظام تشفير ECDAA غير متماثل. هناك حاجة لإنشاء التواقيع الرقمية.
يعتقد مهندسو Paragon أن استخدام أساليب التشفير بناءً على
المنحنيات الإهليلجية (التي تستخدمها ECDAA) غير آمن نظرًا لوجود عدد من الثغرات المحتملة.
انتقد باراجون أيضا المبدعين من المعيار أنفسهم. زُعم أنهم لم يتشاوروا مع رواد التشفير في صناعة تكنولوجيا المعلومات وقادوا التطوير "سراً" ، دون توفير معيار لإجراء اختبارات التشفير على نطاق واسع.
ولكن على الرغم من كل ما سبق ، لا يزال ممثلو مبادرة Paragon يؤمنون باحتمالية المصادقة بدون كلمة مرور ويدافعون عن التنفيذ الشامل لـ WebAuthn.
WebAuthn
معتمد بالفعل في المتصفحات ونظام التشغيل الأكثر شعبية. لم يكن إكمال المعيار سوى الخطوة الأولى نحو انتشار الأنظمة الخالية من كلمات المرور.
ما نكتب عنه في مدونة الشركات: