خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

۴ دلیل که من هنوز برای کلیدهای عبور، گذرواژه‌ام را رها نمی‌کنم

ارشیا یوسفی ادیب ۷ اسفند, ۱۴۰۴ 8 min read

هر چند سال یک بار، چیزی ظاهر می‌شود که وعده می‌دهد در نهایت رمز عبور را نابود کند. و هر چند سال یک بار، رمز عبور زنده می‌ماند. پاسکی‌ها جدیدترین رقیب هستند و صادقانه بگویم، شاید تا به حال معتبرترین باشند. وقتی رمزهای عبور و پاسکی‌ها و تفاوت‌های آن‌ها را ارزیابی می‌کنید، خواهید دید که رمزنگاری آن‌ها صحیح است. مقاومت در برابر فیشینگ واقعی است. اپل، گوگل و مایکروسافت همه در این زمینه مشارکت دارند. ائتلاف FIDO جشن می‌گیرد و بسیاری از حامیان امنیتی اعلام می‌کنند بله، گزینه جدید جایگزین رمز عبور در واقع ایمن‌تر است.

هر چند سال یک بار، چیزی ظاهر می‌شود که قول می‌دهد سرانجام رمز عبور را از بین ببرد. و هر چند سال یک بار، رمز عبور زنده می‌ماند. کلیدهای عبور جدیدترین مدعی هستند و صریحاً ممکن است معتبرترین تا به امروز باشند. وقتی رمزها در مقابل کلیدهای عبور و تفاوت‌های آن‌ها را ارزیابی می‌کنید، می‌بینید که رمزنگاری صحیح است. مقاومت در برابر فیشینگ واقعی است. اپل، گوگل و مایکروسافت همه مشارکت دارند. ائتلاف FIDO جشن می‌گیرد و بسیاری از مدافعان امنیت اعلام می‌کنند که بله، گزینه جدید رمز عبور در واقع ایمن‌تر است.

پس چرا من هنوز تغییر ندادم؟ چون زیر تمام هیاهو، کلیدهای عبور در عمل موجودی بسیار متفاوتی نسبت به نظریهٔ خود دارند. اگر نسبت به این سر و صدا شک داشته‌اید یا کلیدهای عبور را امتحان کرده‌اید و گیج شده‌اید، تنها نیستید و اشتباه نمی‌کنید. در اینجا دلایل مشروعی وجود دارد که چرا رمزهای عبور شما هنوز نیستند.

هنوز در اکوسیستم کسی قفل شده‌اید — فقط یک اکوسیستم متفاوت

نگهبان تغییر کرد، اما دیوارها تغییر نکردند

گزینه ذخیره‌کردن کلید عبور در یک کلید امنیتی برای حساب مایکروسافت

رمزهای عبور همیشه یک راز کثاف داشتند: بیشتر مردم آن‌ها را دوباره استفاده می‌کنند چون به‌خاطر سپردن رمزهای منحصر به‌فرد عملاً یک شغل دوم است. کلیدهای عبور قرار بود این مشکل را با جایگزینی رازهای حافظه‌ای با کلیدهای رمزنگاری حل کنند. و این کار را کردند، اما برای مدت طولانی، آن‌ها یک دام را با دیگری عوض کردند: قفل شدن در اکوسیستم. این همان است که چرا کلیدهای عبور برای ساده‌سازی ورود طراحی شدند، اما بسیاری از کاربران هنوز گیج هستند دربارهٔ نحوه کار آن‌ها در دستگاه‌های مختلف.

هنگامی که یک کلید عبور را روی آی‌فون ایجاد می‌کنید، به‌صورت پیش‌فرض در iCloud Keychain ذخیره می‌شود. این کار در صورتی که تمام زندگی‌تان روی سخت‌افزارهای اپل باشد، بی‌دردسر است، اما تا اخیراً، دسترسی به همان حساب‌ها روی دستگاه‌های اندروید یا ویندوز نیاز به راه‌حل‌های دردسرناک مانند اسکن کدهای QR داشت. مدیر رمزهای گوگل نیز به‌صورت مشابه عمل می‌کند و کلیدهای عبور را به‌دقت در «باغ دیواری» اندروید و کروم همگام‌سازی می‌کند. Windows Hello آخرین مانع بود که به‌صورت تاریخی کلیدهای عبور را به یک ماشین فیزیکی محدود می‌کرد. اما از اواخر ۲۰۲۵، مایکروسافت این شکاف را پر کرد و قابلیت همگام‌سازی ابری برای Windows Hello را ارائه داد که اجازه می‌دهد کلیدهای عبور در چندین دستگاه ویندوز ۱۱ از طریق حساب مایکروسافت شما دنبال کنند.

مطلب مرتبط:   یک رمز عبور قوی ضد گلوله نیست: هنوز هم برای این 7 حمله ضعیف است

شکست واقعی برای قابلیت حمل‌پذیری واقعی در اواخر ۲۰۲۴ و ۲۰۲۵ رخ داد. ائتلاف FIDO پروتکل تبادل اعتبار (پروتکل تبادل اعتبار (CXP) و فرمت (CXF)) را منتشر کرد که به‌طور خاص برای اجازه دادن به کاربران جهت استخراج و وارد کردن امن کلیدهای عبور بینِ ارائه‌دهندگان مختلف طراحی شده است. اگرچه فروشندگان بزرگ مانند اپل و گوگل شروع به پیاده‌سازی APIهای لازم برای این استاندارد کرده‌اند، اما برای کاربران عادی هنوز در حال توسعه است.

در حال حاضر، عملی‌ترین راه‌حل برای زندگی چندپلتفرمی این است که یک مدیر شخص ثالث مانند NordPass یا Bitwarden را انتخاب کنید که از کلیدهای عبور در تمام سیستم‌عامل‌ها پشتیبانی می‌کند. این سرویس‌ها به‌طور مؤثری «قفل‌پذیری پلتفرمی» تکنولوژی‌های بزرگ را می‌شکنند. با این حال، وابستگی زیرین شما تغییر کرده است: به‌جای قفل شدن به اپل یا گوگل، اکنون به یک فروشنده امنیتی خصوصی وابسته‌اید. قفل‌پذیری ناپدید نشده؛ فقط بازبرند شد — حداقل تا زمانی که CXP جابه‌جایی بین این سرویس‌ها را به آسانی یک فهرست مخاطبین کند.

تجربه راه‌اندازی از روان تا کافکایی متغیر است

موفقیت شما ممکن است به‌طرزی وحشی متفاوت باشد

ورود Gmail با کلید عبور

یک نسخه از کلیدهای عبور وجود دارد که به نظرم جادویی است. شما به صفحه‌تان نگاه می‌کنید، با چهره یا اثر انگشت خود احراز هویت می‌کنید و وارد می‌شوید. این نسخه واقعا وجود دارد و دقیقاً دلیل این است که استدلال می‌کنید رمزها رسما منقضی شده‌اند و باید به کلیدهای عبور سوئیچ کنید. مشکل این است که این تجربه بدون اصطکاک در همه جا وجود ندارد و فاصله بین بهترین و بدترین پیاده‌سازی‌ها می‌تواند تکان‌دهنده باشد.

تنظیم کلید عبور در Stripe می‌تواند حس یک مسیر موانع را بدهد. ابتدا با رمز عبور وارد می‌شوید، لایه‌های متعدد تنظیمات امنیتی را جست‌وجو می‌کنید، احراز هویت دو عاملی را تأیید می‌کنید، ایمیل‌تان را تأیید می‌کنید و فقط پس از آن می‌توانید روی «ایجاد» کلیک کنید. این مقدار حلقه برای چیزی است که باید زندگی را ساده‌تر کند. در مقابل Target، کلیدهای عبور به‌وضوح روی صفحه ورود نشان داده می‌شوند، یا Nintendo که به‌طور فنی از آن‌ها پشتیبانی می‌کند اما گزینه را زیر یک فیلد رمز عادی که مردم به‌طور عادت‌شده به‌صورت خودکار پر می‌کنند، مخفی می‌کند.

مطلب مرتبط:   وام کریپتو فلش چیست؟ چگونه از حملات وام فلش جلوگیری کنیم

یک آیفون با برنامه Apple iCloud Passwords باز در خانه

رمز موفقیت مدیریت امن و بدون دردسر رمزهای عبور را بدون هزینهٔ بالا کشف کنید.

اگرچه اپل که اغلب به‌عنوان «ستارهٔ راه UX» شناخته می‌شود، به سردرگمی اولیه افزود. در حال حاضر اپل از مدیران رمز شخص ثالث مانند 1Password و Bitwarden برای ایجاد و ذخیرهٔ کلیدهای عبور در iOS و macOS پشتیبانی می‌کند، اما بسیاری از کاربران هنوز به‌صورت پیش‌فرض به Keychain اپل هدایت می‌شوند. اگر در دنیای چندپلتفرمی زندگی می‌کنید، این عدم وضوح می‌تواند کمتر شبیه پیشرفت و بیشتر شبیه مانعی باشد. مسئله واقعی ناسازگاری است. وقتی هر سایت کلید عبور را به‌صورت متفاوتی مدیریت می‌کند، مدل ذهنی ثابتی برای کاربر وجود ندارد. و همان‌طور که هر طراح می‌داند، ناآشنا بودن دشمن پذیرش است.

از دست دادن دستگاه، نوع جدیدی از اضطراری می‌شود

امیدوارم از صحبت با پشتیبانی مشتری لذت ببرید

صفحه ردیابی Google Find Hub

با رمزها، از دست دادن تلفن‌تان بسیار ناراحت‌کننده است اما قابل مدیریت. می‌توانید در جای دیگری وارد شوید، «فراموشی رمز» را بزنید، از طریق ایمیل بازنشانی کنید و دسترسی را دوباره به دست آورید. این کار کمی کُند است، اما آشنا و مهم‌تر از همه قابل بازیابی است. کلیدهای عبور این دینامیک را تغییر می‌دهند و شبکهٔ ایمنی پیچیده‌تر می‌شود. به‌هرحال، باید این بررسی امنیتی سریع را انجام دهید تا مطمئن شوید می‌توانید حساب Gmail خود را بازیابی کنید.

اگر یک کلید عبور به‌صورت محلی به یک دستگاه یا یک کلید امنیتی فیزیکی متصل باشد، از دست دادن یا خراب شدن آن می‌تواند یک‌باره دسترسی به چندین حساب را مسدود کند، به‌شرط اینکه نسخهٔ پشتیبان وجود نداشته باشد. اکثر مردم این مشکل را با همگام‌سازی کلیدهای عبور از طریق سرویس‌های ابری مانند iCloud Keychain یا Google Password Manager حل می‌کنند، به‌طوری‌که یک تلفن شکسته پایان جهان نیست. مشکل زمانی شروع می‌شود که دسترسی به آن حساب ابری را از دست می‌دهید؛ در آن مرحله، بازیابی بسیار پیچیده می‌شود.

صادقانه بگویم، بیشتر سرویس‌ها هنوز مسیرهای خروجی سنتی مانند بازیابی ایمیل یا SMS را حفظ کرده‌اند. گوگل همچنین کدهای بازیابی آفلاین ارائه می‌دهد و به‌شدت پیشنهاد می‌کند آن‌ها را چاپ یا نوشتن کرده و در مکانی امن نگهداری کنید. این یک تضاد جالب است؛ آیندهٔ امنیت ورود، در لحظهٔ حساس‌ترین خود، به یک برگ کاغذی که در یک کشو قرار دارد متکی است.

تصویر کد ۲FA PayPal که از طریق SMS ارسال شده

این اصلاً امن نیست.

قوی‌ترین نسخه پشتیبان، افزونگی دستگاه است. یعنی ثبت یک کلید عبور دوم روی دستگاه دیگری یا یک دستگاه کوچک جداگانه مانند YubiKey تا اطمینان حاصل شود که همیشه یک نسخهٔ فیزیکی پشتیبان دارید. این کار مؤثر است، اما به ندرت تشویق می‌شود. اکثر سرویس‌ها اجازه افزودن یک کلید عبور را می‌دهند، سپس راضی می‌شوند و بقیه را به عهدهٔ کاربر می‌گذارند. یک کلید عبور تنها یک اثبات مفهوم است. برنامهٔ بازیابی، سیستم واقعی است. هم‌اکنون اکثر افراد فقط اثبات را دارند.

مطلب مرتبط:   چرا هکرها اکانت های ChatGPT را هدف قرار می دهند؟

رمزهای عبور هنوز در همه جا لازم هستند، بنابراین کلیدهای عبور فقط گام‌ها را اضافه می‌کنند

کار بیشتر، ریسک مشابه، بازاریابی عالی

این بخش از تبلیغات کلید عبور است که معمولاً نادیده گرفته می‌شود: برای بیشتر سرویس‌ها، کلیدهای عبور یک افزودنی هستند، نه جایگزینی پاک. چند پیشرو اولیه، مانند مایکروسافت، به کاربر اجازه می‌دهند تا رمزهای عبور خود را به‌طور کامل حذف کند. اکنون می‌توانید بدون رمز به حساب مایکروسافت خود وارد شوید با حذف رمز از تنظیمات امنیتی و تکیه بر احراز هویت بیومتریک یا کلیدهای امنیتی. اما اکثر سرویس‌های بزرگ، از جمله گوگل و آمازون، هنوز برای استفاده به‌عنوان پشتیبان، یک رمز عبور سنتی را لازم می‌دانند.


برای دریافت خبرنامه و دریافت شفافیت واقعی دربارهٔ کلیدهای عبور مشترک شوید

این وضعیت یک میانهٔ ناآرام ایجاد می‌کند. کلیدهای عبور کاری عالی برای بستن در برابر فیشینگ انجام می‌دهند، زیرا چیزی برای فریب‌دادن مهاجم برای تایپ وجود ندارد. در همان زمان، حساب شما همچنان به یک ضعف قدیمی بسته است. اگر پایگاه دادهٔ یک شرکت نقض شود و هش‌های رمز عبور فاش شود، مهم نیست که اکنون با یک کلید عبور وارد می‌شوید؛ رمز عبور شما هنوز روی سرورهای آن‌ها حضور دارد و در انتظار سوءاستفاده است.

تا زمانی که شرکت‌های بیشتری از مسیر مایکروسافت پیروی کنند و رمزها را به‌طور کامل حذف نکنند، ما در فاز انتقال باقی می‌مانیم.

متأثر، اما قانع نشده

هیچ‌کدام از این‌ها نشان نمی‌دهد که کلیدهای عبور مسیر بن‌بست هستند. خود فناوری نمایانگر پیشرفت معناداری است و مقاومت در برابر فیشینگ به تنهایی نشانگر تغییر بزرگی در دنیایی است که گزارش‌های مایکروسافت بیش از ۷۰۰۰ حملهٔ مبتنی بر رمز عبور را هر ثانیه مسدود می‌کند. پذیرش نیز در حال شتاب گرفتن است. بر اساس گزارش Authsignal، تا سال ۲۰۲۵، کلیدهای عبور ۶۲ درصد از چالش‌های احراز هویت در مجموعه‌های دادهٔ واقعی بزرگ را تشکیل می‌دهند و تقریباً ۵۷ درصد کاربران می‌دانند کلید عبور چیست.

با این حال، «بهتر روی کاغذ» و «آماده برای همه» یکسان نیستند. تا زمانی که کلیدهای عبور به‌صورت یکپارچه در تمام دستگاه‌های شما حرکت کنند و بتوانند به‌طور کامل رمزها را جایگزین کنند، چسباندن یک رمز قوی، منحصر به‌فرد و احراز هویت دو عاملی تصمیمی معقول است. رمز عبور هنوز مرده نیست؛ فقط در حال انتظار است تا جایگزین آن بارگیری کامل شود.

Tags: