خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

بله، گزینهٔ جدید رمز عبور در واقع ایمن‌تر است

ارشیا یوسفی ادیب ۴ آذر, ۱۴۰۴ 6 min read

ما تقریباً تمام زندگی‌مان را در یک چرخهٔ رمز عبور می‌گذرانیم: آن‌ها را می‌سازیم، فراموش می‌کنیم، بازنشانی می‌کنیم، شستشو می‌دهیم و دوباره تکرار می‌کنیم. ورودها تبدیل به آزمونی برای حافظه می‌شوند، نه حفاظ امنیت هویت که باید باشند. با وجود تمام این تلاش‌ها، ما ایمن‌تر نشده‌ایم. یک مهاجم نیازی به حدس زدن رمز پیچیدهٔ شما ندارد—یک کی‌لاگر یا ایمیل فیشینگ می‌تواند رمز شما را به دست آورد، و اگر مهاجمان صبور باشند، رمز شما می‌تواند در نفوذ بعدی فاش شود. ما در دورانی زندگی می‌کنیم که یک رمز عبور می‌تواند دهه‌ها از زندگی دیجیتال یک فرد را باز کند، به‌طوری که گزینه‌های احراز هویت سنتی قدیمی به‌نظر می‌رسند.

ما تقریباً تمام عمرمان را در یک چرخهٔ رمز عبور می‌گذرانیم: ایجادشان، فراموش‌شان، بازنشانی‌شان، شستشو و تکرار. ورود به سیستم تبدیل به آزمونی برای حافظه می‌شود، نه حفاظ هویتی که باید باشد. با تمام این زحمت‌ها، ایمنی بیشتری نداریم. یک مهاجم نیازی به حدس زدن رمز پیچیدهٔ شما ندارد؛ یک کی‌لاگر یا ایمیل فیشینگ می‌تواند رمز شما را به دست آورد و اگر مهاجمان صبور باشند، رمز شما می‌تواند در نقض بعدی فاش شود. ما در عصری زندگی می‌کنیم که یک رمز می‌تواند دهه‌ها از زندگی دیجیتال یک فرد را باز کند و گزینه‌های سنتی تأیید هویت را قدیمی به نظر می‌رساند.

کلیدهای عبور راه‌حلی ارائه می‌دهند. به جای به خاطر سپردن یک راز، دستگاه شما هویت شما را به‑صورت امن و منحصربه‌فرد برای حساب‌های مختلف ثابت می‌کند. آنها خطر استفاده مجدد از رمز، خطاهای تایپی یا حدس زدن را حذف می‌کنند و ورود به سیستم را بی‌دردسر می‌سازند و تا حد امکان غیرقابل شکست می‌کنند. در نهایت، کمتر نگران «چند وقت یک‌بار باید رمز خود را تغییر دهید» خواهید بود.

مشکل رمز عبوری که با آن گیر کرده‌ایم

حتی رمزهای عبور قوی در برابر حملات امروزی شکست می‌خورند

اگر پیچیدگی معادل امنیت باشد، منطقی است که دهه‌ها را به ترکیب نمادها، اعداد و حروف بزرگ برای ساختن قوی‌ترین رمزها اختصاص داده‌ایم. صرف‌نظر از اینکه چقدر پیچیده باشند، رمزها هنوز یک آسیب‌پذیری بزرگ‌اند. آنها ثابت هستند و می‌توانند کپی، دزدیده یا نشت شوند. وقتی به دست افراد نادرست می‌افتند، خسارت به تمام حساب‌هایی که از همان فرمول استفاده می‌کنند گسترش می‌یابد.

مطلب مرتبط:   چگونه یک فایل اکسل را با رمز عبور فقط در یک دقیقه محافظت کنیم

به دلیل دفعات زیاد رخدادهای نشت داده، تغییر رمزها بیشتر شبیه یک کار روتین می‌شود تا یک اقدام امنیتی. حتی قوی‌ترین رمزهای شما ممکن است در پایگاه‌داده‌ای که مهاجمان به آن دسترسی دارند، بیفتند و «احراز هویت دو عاملی (۲FA) در برابر فیشینگ آسیب‌پذیر است» و تنها یک باتوم است، نه یک راه‌حل.

مدل رمز عبور در واقع مشکل است. تضاد این است که امنیت نمی‌تواند مشکل اساسی را حل کند: رمزها شما را مجبور می‌کنند رازی را که بارها دوباره استفاده می‌شود، به‌اشتراک بگذارید. به جای یافتن راه‌هایی برای به یاد آوردن رمزهای قوی‌تر، ما به یک راه‌حل نیاز داریم که نیاز به آنها را کاملاً حذف کند.

چرا کلیدهای عبور متفاوت (و عالی) هستند

روشی برای ورود که هویت شما را بدون فاش کردن هیچ‌چیزی ثابت می‌کند

راه‌اندازی یک کلید عبور اضافی برای حساب گوگل

کلیدهای عبور از اثبات رمزنگاری برای جایگزینی رمزهای ثابت و قابل حدس استفاده می‌کنند. به جای به خاطر سپردن یک راز، دستگاه شما یک کلید عمومی و یک کلید خصوصی ایجاد می‌کند. کلید عمومی بر روی سرورهای سرویس موردنظر—گوگل، بانک شما یا هر سرویس دیگر—ذخیره می‌شود، در حالی که کلید خصوصی بر روی دستگاه شما باقی می‌ماند. این جفت منحصربه‌فرد ریاضی‌اً به‌صورت پیوندی است که امکان معکوس‌سازی آن وجود ندارد.

در زمان ورود، وب‌سایت یک چالش می‌فرستد که دستگاه شما با کلید خصوصی‌اش امضا می‌کند و هویت شما را بدون فاش کردن راز ثابت می‌کند. این فرآیند برای شما نامرئی است، حتی‌اگر با PIN، Face ID یا Touch ID تأیید هویت کنید.

ساختار کلیدهای عبور زنجیرهٔ حمله را به‌طور کامل می‌شکند. چیزی برای هکر برای رهگیری، فیشینگ یا بازاستفاده در وب‌سایت دیگر باقی نمی‌گذارد. کلیدهای عبور به سخت‌افزار شما وابسته‌اند و هر یک به‌صورت منحصربه‌فرد برای یک حساب هستند، به‌طوری که حتی نشت کامل پایگاه‌داده برای مهاجمان بی‌فایده است.

مطلب مرتبط:   نحوه ایجاد و استفاده از دیسک بازنشانی رمز عبور در ویندوز 10 و 11

در حالی که کلیدهای عبور در مقابل بسیاری از حملات مقاوم هستند، شما همچنان باید گزینه‌های بازیابی دستگاه و نسخه‌های پشتیبان را داشته باشید، زیرا از دست دادن دستگاه بدون بازیابی می‌تواند شما را قفل کند.

کلیدهای عبور تمام مشکلاتی که رمزها ایجاد کردند را حل می‌کنند

به‌طور ذاتی در برابر فیشینگ، نشت‌ها و استفادهٔ مجدد از رمزها مقاوم هستند

استفاده از ایمیل‌های فیشینگ برای به دست آوردن گذرواژه‌های سنتی

در جایی که رمزها به انضباط شما وابسته‌اند و ممکن است شکست بخورند، کلیدهای عبور با حذف کامل متغیر انسانی موفق می‌شوند. شما نمی‌توانید به‌صورت اشتباه آنها را در صفحات تقلبی وارد کنید یا در چندین وب‌سایت دوباره استفاده کنید و آنها هرگز به‌صورت متن ساده نمایش داده نمی‌شوند. حتی زمانی که یک وب‌سایت به خطر بیفتد، کلید عمومی روی سرور بدون کلید خصوصی متناظر بر روی دستگاه شما بی‌استفاده است.

شما به‌صورت دستی کلید عبور را وارد نمی‌کنید، بنابراین مرورگر فقط می‌تواند این دست‌دادن رمزنگاری را با دامنه‌هایی که تأیید کرده است کامل کند و هیچ فرصتی برای حملهٔ فیشینگ باقی نمی‌ماند. در مواردی که مهاجم یک کپی کامل از وب‌سایت ایجاد کند، احراز هویت شکست می‌خورد مگر آنکه URL دقیقاً با دامنه‌ای که کلید عبور در آن ثبت شده مطابقت داشته باشد.

دزدیده شدن دستگاه نیز کمتر نگران‌کننده است، زیرا کلیدهای خصوصی در ماژول پلتفرم قابل اعتماد (TPM) ذخیره می‌شوند. این محفظهٔ امن با بیومتریک‌های شما و لایه‌ای مبتنی بر سخت‌افزار محافظت می‌شود و بدون اثر انگشت یا چهرهٔ شما غیرقابل دسترسی است. این مدل بر یک عمل ساده برای تأیید حضور شما متکی است نه به یادآوری یا حدس زدن. با این حال، گم شدن فیزیکی دستگاه همچنان نیاز به اقدام سریع کاربر (مثلاً پاک‌کردن دستگاه) دارد تا از حملهٔ احتمالی در صورت به‌دست آمدن بیومتریک‌ها یا PIN جلوگیری شود.

TPM (یا Secure Element/Enclave) مکانیسمی است که توسط دستگاه‌ها—ویندوز، اندروید و Secure Enclave اپل—برای حفاظت از مواد کلیدی استفاده می‌شود.

مطلب مرتبط:   چگونه یک رمز عبور برای حساب Google خود در اندروید تنظیم کنید

آینده بدون رمزهای عبور

فناوری‌های بزرگ در حال تغییر هستند؛ شما نیز باید این کار را انجام دهید

راه‌اندازی FaceID بر روی سیستم‌عامل

کلیدهای عبور استاندارد جدید هستند و پذیرش گستردهٔ آنها به‌وضوح این را نشان می‌دهد. شرکت‌های بزرگ تکنولوژی، از جمله اپل، گوگل و مایکروسافت، پشت سر این سیستم تازه می‌ایستند و نشان می‌دهند که این یک روند گذرا نیست—«زمان آن رسیده که از کلیدهای عبور استفاده کنید». این سه سازمان ادغام کلید عبور را در مرورگرها، سیستم‌های همگام‌سازی ابری و دستگاه‌ها انجام داده‌اند. سازمان‌های بزرگ مانند PayPal، Best Buy، eBay و حساب‌های گوگل اکنون اجازه می‌دهند با Face ID، Touch ID یا Windows Hello وارد شوید، نه فقط با رمز عبور سنتی.

این باعث می‌شود سیستم امروزه قابل استفاده باشد: می‌توانید گزینهٔ «ورود با کلید عبور» را انتخاب کنید. حتی مدیران رمز عبور مشهور مانند 1Password و Dashlane نیز در حال پذیرش این فناوری جدید هستند و این اعتبارنامه‌های رمزنگاری‌شده را بین دستگاه‌های شما همگام‌سازی می‌کنند.

مهم نیست که این انتقال چقدر طول می‌کشد، نتیجهٔ نهایی احراز هویت نامرئی خواهد بود که بار فکر کردن به ورود را حذف می‌کند، چرا که امنیت ورود به‌صورت خودکار بخشی از دستگاه می‌شود که به‌صورت خودکار عمل می‌کند.

دورهٔ رمزهای عبور به پایان می‌رسد: این‌جا چیزی است که بعد از آن می‌آید

بدون هیاهو، رمزها در حال ناپدید شدن هستند. کلیدهای عبور نمایانگر تغییر در تأیید هویت آنلاین است که امنیت را سخت‌تر برای نفوذ می‌کند در حالی که به‌طور تقریباً نامرئی باقی می‌ماند. ورود به سیستم تبدیل به یک دست دادن بین سرویس‌ها و دستگاه‌ها می‌شود، جایگزین تایپ می‌شود و ریسک مواجهه را کاهش می‌دهد.

تفاوت‌های معماری «تفاوت‌های بین رمزها و کلیدهای عبور» وجود دارد. کلیدهای عبور به‌عنوان قوی‌ترین شکل MFA مقاوم در برابر فیشینگ (PR‑MFA) محسوب می‌شوند، بنابراین تا زمانی که این گزینه در دسترس باشد، همیشه باید کلید عبور را انتخاب کنید و آیندهٔ امنیت آنلاین را در آغوش بگیرید.

Tags: