خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

من نوشتن رمزهای عبور را به لطف این ابزار کوچک متوقف کردم

ارشیا یوسفی ادیب ۴ آذر, ۱۴۰۴ 6 min read

رمزهای عبور وارد کردن و به خاطر سپردن دردسرآفرین هستند. حتی اگر رمز عبور قوی ایجاد کنید، احتمالاً آن را برای تمام حساب‌های مهم خود دوباره استفاده می‌کنید. بدتر از آن، رمزهای عبور می‌توانند از طریق سایت‌های فیشینگ یا نفوذهای داده‌ای دزدیده شوند.

رمزهای عبور وارد کردن و به خاطر سپردن آن‌ها دردسر است. حتی اگر رمز عبور قوی‌ای ایجاد کنید، به احتمال زیاد آن را برای تمام حساب‌های مهم خود دوباره استفاده می‌کنید. بدتر از آن این است که رمزها می‌توانند از طریق سایت‌های فیشینگ یا نفوذهای داده‌ای دزدیده شوند.

در حالی که مدیران رمز عبور می‌توانند کمک کنند، من به دنبال چیزی امن‌تر بودم. بنابراین به پس‌کلیدها تغییر یافتم، یک گزینه‌ی مقاوم در برابر فیشینگ که به جای رشته‌های به‌ خاطر سپرده‌شده از کلیدهای رمزنگاری استفاده می‌کند. تمام چیزی که نیاز داشتم، PIN دستگاهم برای ورود بود—دستگاه من بقیه کارها را انجام داد. مشکل حل شد، نه؟

با این حال، پس از استفاده از پس‌کلیدهای مبتنی بر دستگاه در لپ‌تاپ ویندوزی و تلفن اندرویدم، محدودیت‌ها واضح بود (بعداً بیشتر در مورد آن می‌پردازیم). به‌طرز عجیبی، راه حل بازگشت به کلیدهای امنیتی سخت‌افزاری بود — فناوری‌ای که پیش از این که اپل، گوگل و مایکروسافت به احراز هویت بدون رمز عبور بپیوندند، این رویکرد را پیشگام شد. بنابراین، شجاعت کردم و در یک دستگاه YubiKey Security Key NFC مقرون به صرفه سرمایه‌گذاری کردم و از آن پس رمز عبوری تایپ نکرده‌ام.

چرا من یک کلید امنیتی سخت‌افزاری انتخاب کردم

پس‌کلیدهای توکار در کامپیوترها و گوشی‌های هوشمند به اندازه کافی انعطاف‌پذیر نیستند

برنامه تنظیمات ویندوز ۱۱ نشان‌گر گزینه پس‌کلیدها

من فوراً YubiKey خریداری نکردم. لپ‌تاپ ویندوزی و تلفن اندرویدم از پیش پشتیبانی از پس‌کلیدهای توکار داشتند، بنابراین فکر کردم این کافی است. اما وقتی رمزهای عبور سنتی را برای پس‌کلیدها ترک کردم روی دستگاه‌های ویندوز و اندرویدم، متوجه شدم سیستم ورود جدید دو نکتهٔ عجیب دارد.

اولاً، پس‌کلیدها به یک اکوسیستم وابسته به دستگاه هستند. این به این معنی است که برای لپ‌تاپ ویندوزی و دستگاه اندرویدم باید برای هر حسابی که قصد ورود با پس‌کلید را دارم، یک پس‌کلید جداگانه ایجاد می‌کردم. اگرچه همچنان ورود بدون رمز عبور را فراهم می‌کرد، اما به‌قدر که انتظار داشتم یک‌پارچه نبود.

مطلب مرتبط:   هر چند بار باید رمزهای عبور خود را تغییر دهید؟ این پاسخ واقعی است

نقطهٔ عجیبی دیگر، که بسیار بزرگ است، این است که پس‌کلیدها برای تأیید درخواست‌های ورود از بیومتریک یا PIN قفل صفحهٔ دستگاه شما استفاده می‌کنند. به‌عبارت ساده، اگر کسی PIN ویندوز هَلو من را می‌دانست و به لپ‌تاپم دسترسی داشت، می‌توانست به تمام حساب‌های محافظت‌شده با پس‌کلید دست پیدا کند — امکانی که به‌خصوص وقتی شخص دیگری به‌طور معمول در غیاب شما به کامپیوتر دسترسی دارد، محتمل است.

کلید امنیتی Yubico متصل به یک لپ‌تاپ

یک کلید امنیتی سخت‌افزاری مانند YubiKey هر دو مشکل را حل می‌کند. این کلید از PIN خود استفاده می‌کند، بدون وابستگی به دستگاه است و پس‌کلیدها را به‌صورت مستقل ذخیره می‌کند. می‌توانم با همان حساب‌ها روی هر دستگاهی وارد شوم بدون اینکه به ویندوز، اندروید یا هر فناوری بزرگ برای حفاظت از کلیدهای خصوصی‌ام تکیه کنم.

بله، YubiKey نیز نیاز به PIN دارد، اما نکتهٔ کلیدی جدایی فیزیکی است. PIN ویندوز من در طول روز مکرراً تایپ می‌شود و به راحتی توسط هر کسی در اطراف دیده می‌شود. و زمانی که کسی آن را بداند، دسترسی به لپ‌تاپ من و تمام پس‌کلیدهای ذخیره‌شده در آن را دارد.

با این حال، PIN YubiKey بدون داشتن فیزیکی کلید بی‌استفاده است. حتی اگر هر دو PIN به خطر بیفتند، مهاجم هنوز باید سخت‌افزار را از زنجیرهٔ کلیدهای من دزدیده کند، که وضعیت بسیار غیرممکن است.

نحوه کار YubiKey

پس‌کلیدها را روی خود کلید ذخیره می‌کند، نه روی دستگاه شما

فردی که YubiKey را جلوی مانیتور دسکتاپ ویندوز ۱۱ نگه داشته است

یک YubiKey یک دستگاه احراز هویت سخت‌افزاری گواهی‌نامهٔ FIDO2 است. برخلاف پس‌کلیدهای مبتنی بر دستگاه که در تراشه TPM ویندوز یا Enclave امن آیفون زندگی می‌کنند، YubiKey پس‌کلیدها را مستقیماً روی کلید فیزیکی ذخیره می‌کند. وقتی برای یک وب‌سایت پس‌کلید ایجاد می‌کنید، کلید رمزنگاری‌شده در حافظهٔ امن YubiKey ذخیره می‌شود، نه در رایانهٔ شما.

YubiKey Security Key NFC فعلی (نسخه ارزان‌تری که من انتخاب کردم)، با نسخهٔ فرم‌ویر 5.7.4، می‌تواند تا ۱۰۰ پس‌کلید ذخیره کند. ممکن است محدود به نظر برسد، اما اکثر افراد برای حساب‌های اساسی مانند ایمیل، بانک و ابزارهای کاری به بیش از این نیاز ندارند.

مطلب مرتبط:   این مدیر رمز عبور جدید مورد علاقه من است

هنگام ورود، وب‌سایت از طریق پروتکل FIDO2 با YubiKey ارتباط برقرار می‌کند. کلید صحت وب‌سایت را تأیید می‌کند، هویت شما را با استفاده از PIN خود که تنظیم کرده‌اید (یا با ضربه‌ای به یک تلفن سازگار با NFC) تأیید می‌کند و سپس امضای رمزنگاری‌شده مورد نیاز برای ورود را ارائه می‌دهد. رایانه شما فقط نقش پیام‌رسان را در این تبادل دارد.

این باعث می‌شود Yubikeyها امن‌ترین شکل ذخیره‌سازی پس‌کلید باشند زیرا کلیدهای خصوصی هرگز از دستگاه خارج نمی‌شوند. حتی اگر رایانهٔ شما به‌وسیلهٔ بدافزار آلوده شود، مهاجم نمی‌تواند پس‌کلیدهای شما را استخراج کند چون آن‌ها اصلاً روی کامپیوتر ذخیره نشده‌اند.

راه‌اندازی YubiKey

شروع کار تنها چند دقیقه طول می‌کشد

راه‌اندازی YubiKey آسان است. من با حساب Google خود شروع کردم زیرا پشتیبانی بسیار خوبی از پس‌کلیدها دارد. به تنظیمات امنیتی حساب Google بروید، اگر هنوز فعال نکرده‌اید تأیید هویت دو مرحله‌ای را فعال کنید و سپس گزینه افزودن کلید امنیتی را انتخاب کنید.

زمانی که درخواست شد، روی استفاده از دستگاه دیگر کلیک کنید، سپس YubiKey را وارد کنید. Google به‌طور خودکار آن را شناسایی می‌کند و شما را در فرآیند ثبت‌نام راهنمایی می‌کند. این کلید دارای یک تماس فلزی کوچک است که هنگام درخواست به آن لمس می‌کنید؛ این کار تأیید می‌کند که شما به‌صورت فیزیکی حضور دارید و نه یک مهاجم از راه دور.

بعد از ثبت‌YubiKey، باید کدهای پشتیبان برای حساب Google خود تولید کنید و آن‌ها را در مکان امنی ذخیره کنید. این امر حیاتی است زیرا اگر کلید را گم کنید، برای بازیابی حساب به کد پشتیبان نیاز دارید. علاوه بر این، در صورت امکان یک YubiKey پشتیبان تهیه کنید و در منزل در مکانی امن نگهداری کنید.

صفحهٔ وب‌دایرکتوری Fido در ویندوز ۱۱

می‌توانید ورود مبتنی بر YubiKey را در هر سرویس‌ که از پس‌کلیدها یا کلیدهای امنیتی پشتیبانی می‌کند، ثبت کنید. علاوه بر Google، غول‌های فناوری همچون Apple، Microsoft، Amazon، Meta، LinkedIn، Adobe، GitHub، PayPal و Cloudflare از ورود بدون رمز عبور پشتیبانی می‌کنند. می‌توانید فهرست کامل خدمات پشتیبانی‌شده را در دایرکتوری FIDO برای پس‌کلیدها مشاهده کنید.

مطلب مرتبط:   چگونه شبکه ها رمز عبور و سایر اطلاعات ورود شما را ذخیره می کنند؟

برای مدیریت پس‌کلیدها می‌توانید از برنامه YubiKey Authenticator روی رایانه و گوشی هوشمند خود استفاده کنید. پس از نصب، برنامه را با PIN یا از طریق NFC تأیید کنید تا تنظیمات را تغییر داده و پس‌کلیدهای ذخیره‌شده را مشاهده کنید.

برنامه YubiKey Authenticator باز روی یک لپ‌تاپ HP

برنامه authenticator تمام پس‌کلیدهای ذخیره‌شده بر روی YubiKey شما را نشان می‌دهد و اجازه می‌دهد از آن‌ها برای کدهای رمز عبور یک‌بار مصرف نیز استفاده کنید. می‌توانید با اسکن کدهای QR چندین سرویس را اضافه کنید و YubiKey خود را به‌عنوان یک authenticator فیزیکی تبدیل کنید که برنامه‌هایی مانند Google Authenticator را جایگزین می‌کند.

یکی از مواردی که باید به خاطر داشته باشید تنظیم PIN برای YubiKey است. این کار لایهٔ امنیتی اضافی اضافه می‌کند زیرا حتی اگر کسی کلید شما را بدست آورد، بدون دانستن PIN نمی‌تواند از آن استفاده کند. برنامه Yubico Authenticator در تنظیم اولیه این مرحله را برای شما راهنمایی می‌کند.

ورودهای بدون رمز عبور آینده هستند و یک کلید سخت‌افزاری آن را بهتر می‌کند

برای هر کسی که از رمزهای عبور ناامید شده یا نگران امنیت است، یک کلید سخت‌افزاری مانند YubiKey ارزش بررسی دارد. هزینه آن حدود ۲۵ تا ۵۰ دلار است، بسته به مدل، اما یک خرید یک‌باره (واقعاً دارای پوسته‌ای مقاوم در برابر فشار و گواهینامه IP68) که بر روی تمام دستگاه‌ها و حساب‌های شما کار می‌کند.

با YubiKey، در هیچ اکوسیستمی قفل نمی‌شوید و حساب‌های حساس‌ترین شما حتی اگر دستگاه‌هایتان به خطر بیفتند، محافظت می‌شوند. در حالی که یک آسیب‌پذیری امنیتی مربوط به حملهٔ کانال جانبی در سال ۲۰۲۴ کشف شد، این مشکل بر دستگاه‌های YubiKey که با فرم‌ویر نسخهٔ 5.7 و بالاتر کار می‌کنند، تأثیری ندارد. بنابراین هر چیزی که امروز خریداری کنید، به‌قدر ممکن ایمن است.

Tags: