يكره الناس كلمات المرور لأنّها صعبة التذكّر، وتنطوي على مواطن ضعف يستغلّها القراصنة الإلكترونيون، فضلاً عن أنّ ضبطها وتصحيحها لا يخلو من المشكلات.
خدمات جديدة
يستخدم بعضهم برامج مخصّصة لإدارة كلمات المرور، أبرزها «داشلين» و«لاست باس» و«1 باسوورد»، مهمّتها إنتاج كلمة مرور مختلفة غير مألوفة لكلّ حساب إلكتروني، ولكنّ استخدامها معقّد بعض الشيء.
وإضافة إلى ذلك، تقدّم لكم الشركات الكبرى، كـ«غوغل» و«آبل» و«فيسبوك»، خدمات تتيح لكم استخدام كلمات المرور التي تعتمدونها لديهم في مواقع أخرى، ولكنّ هذا الشيء لن يساهم إلا في منح هذه الشركات مزيداً من السطوة على حياتكم. وأخيراً وليس آخراً، يوجد أيضاً خيار المصادقة الثنائية الأبعاد التي تتطلّب رمز مرور ثانٍ، يُرسَل إليكم في رسالة نصية أو عبر تطبيق إلكتروني خاص في كلّ مرّة تسجّلون دخولكم في حساب ما؛ صحيح أنّ هذه التقنية تساهم في تعزيز حمايتكم الأمنية، إلا أنّها ليست عصية على الاختراق.
ولكن تغييراً كبيراً قد يؤدّي إلى القضاء على كلمات المرور بشكل كامل. فقد برزت أخيراً تقنية تُعرف باسم «فيدو» (FIDO)، تُستخدم لتحصين عملية تسجيل الدخول من خلال دمج ميزتي التعرّف على الوجه وبصمة الإصبع في هاتفكم، بالإضافة إلى أدوات إلكترونية جديدة تُعرف بالمفاتيح الأمنية. وفي حال أوفت تقنية «فيدو» بوعودها، فإنها ستحوّل كلمات المرور إلى مخلّفات من حقبة ماضية. ويرى ستيفن كوكس، المهندس الأمني البارز في شركة «سكيور أوث»، أنّ «كلمة المرور هي شيء تعلمونه، والجهاز هو شيء تملكونه، والقياسات الحيوية هي شيء موجود في أجسامكم... نحن الآن بصدد التحوّل إلى شيء تملكونه، وآخر موجود فيكم».
مخاطر كلمات المرور
برزت المخاطر المحيطة بكلمات المرور في الستينات. في ذلك الوقت، عمد الباحث آلان شير، من معهد ماساتشوستس للتقنية، إلى اختراق كلمات المرور الخاصّة بباحثين آخرين، ليتمكّن من استخدام حساباتهم، واستكمال «سرقة وقت استخدام الآلة» في العمل على مشروعه الخاص. وفي الثمانينات، تعقّب كليفورد ستول، عالم الفيزياء الفلكية من جامعة كاليفورنيا (بيركلي)، قرصاناً ألمانياً اخترق أجهزة كومبيوتر تابعة لمؤسسات حكومية وعسكرية مكشوفة أمنياً نتيجة إهمال إداري لتغيير كلمات المرور الغيابية.
وتدفع طبيعة كلمات المرور الناس إلى التعامل معها بكسل، إذ إنّ الطويلة المعقّدة منها (أي أكثرها أماناً) هي الأصعب لجهة التركيب، والتذكّر والطباعة، مما يدفع كثيرين إلى إهمال تغييرها.
ويؤدّي هذا الأمر إلى مشكلة كبيرة طبعاً، لا سيما أن القراصنة يملكون كثيراً من كلمات المرور التي نعتمدها.
وتتضمّن بعض المواقع، مثل «ذا هاف آي بين باوند»، 555 مليون كلمة مرور تعرضت فعلاً للاختراقات. كما يلجأ القراصنة إلى أتمتة اعتداءاتهم بإجراء عملية «الحشو الاعتمادي»، في محاولة منهم لإطالة لائحة أسماء الاستخدام وكلمات المرور المسروقة، والعثور على واحدة تعمل من بينها.
مفاتيح أمنية
«فيدو» (Fast Identity Online)، واختصاراً «FIDO»، أو «الهوية الإلكترونية السريعة»، ستعمل على حلّ هذه المشكلات، إذ تختبر هذه التقنية الجديدة معايير استخدام الأجهزة والأدوات، كالمفاتيح الأمنية المخصصة للمصادقة. ويشارك في تطوير «فيدو» شركات تقنية كبرى، أبرزها «غوغل» و«مايكروسوفت» و«يوبيكو» و«باي بال» ومختبرات «نوك نوك».
وتعد المفاتيح الأمنية نظيراً رقمياً للمفاتيح المنزلية؛ يكفي أن تدخلوها في منفذ USB أو منفذ «لايتنينغ»، ليصبح لديكم مفتاحٌ رقمي أمني واحد يعمل مع كثير من المواقع والتطبيقات الإلكترونية. ويتوافق المفتاح مع المصادقة «البيومترية» (بالقياسات الحيوية)، كميزة التعرّف على الوجه من «آبل»، أو «هيلّو» من «ويندوز»، حتّى أنّ بعض هذه المفاتيح يمكن استخدامها لاسلكياً.
وتدفع «فيدو» المواقع والخدمات إلى استبدال جميع كلمات المرور، في تغيير من شأنه تسهيل عمليات تسجيل الدخول، وتعقيد عمليات القرصنة المتوقّعة. ويعبّر محبّو «فيدو» عن ثقتهم بها، ويتوقعون لها انتشاراً واسعاً في وقت قصير. ويقول أندرو شيكيار، المدير التنفيذي لتحالف «فيدو»: «خلال السنوات الخمس المقبلة، سيصبح البديل الأمني الذي لا يتطلّب كلمة مرور بمتناول جميع مستخدمي الإنترنت، وسيكون (فيدو) خيار الغالبية الساحقة منهم».
ولأنّها تعمل مع مواقع إلكترونية مرخّصة فقط، تمنع تقنية «فيدو» عمليات التصيّد، وهي نوع من الاعتداءات الأمنية التي يستخدم فيها القراصنة رسالة إلكترونية احتيالية وموقعاً زائفاً لخداع المستخدمين ودفعهم إلى إعطاء معلوماتهم الخاصة بتسجيل الدخول. كما تخفّف «فيدو» مخاوف الشركات من الاختراقات البيانية الكارثية، وتحديداً تلك التي تستهدف معلومات حسّاسة خاصة بالزبائن، كالبيانات الثبوتية المستخدمة في الحساب. وعادة، لا تكفي كلمات المرور المسروقة القراصنة للدخول إلى حساب يستهدفونه. وفي حال أثبتت «فيدو» فعاليتها في أداء المهام المنوطة بها، قد لا تحتاج الشركات إلى كلمات مرور للبدء بتسجيل دخولها.
تسجيل الدخول
فيما يلي، ستتعرّفون على طريقة تسجيل الدخول التي تعتمد على «فيدو»، دون كلمة مرور.
* التسجيل. يزور المستخدم موقعاً لصفحة تسجيل الدخول على اللابتوب، ويطبع اسم المستخدم، ويضع المفتاح الأمني في المنفذ. ومن ثمّ، ينقر على زرّ يظهر أمامه، ويستخدم المصادقة البيومترية المتوفرة في اللابتوب، كتعريف البصمة من آبل (Apple›s Touch ID)، أو «هيلّو» من ويندوز (Windows Hello).
ولمزيد من السهولة، تتيح لكم «فيدو» استخدام الهاتف الذكي كمفتاح أمني. ويكفي أن تنقروا اسم المستخدم لتحصلوا على صفحة للتأكيد. ومن ثمّ، تفتحونها وتؤكّدون هويتكم في نظام المصادقة الحيوية. وفي حال كنتم تستخدمون اللابتوب، سيتواصل معكم الهاتف عبر البلوتوث.
وتدعم تقنية «فيدو» الحماية التي تؤمنها المصادقة المتعدّدة العوامل التي تتطلّب منكم تأكيد بيانات تسجيل الدخول بطريقتين على الأقلّ.
* كيف تعمل مصادقة «فيدو»؟ في أول تعامل لكم مع «فيدو»، لن تشعروا بأنّها مختلفة جداً عن المصادقة الثنائية الأبعاد. أولاً، ستطبعون كلمة مرور تقليدية، ومن ثمّ ستضعون المفتاح الأمني في منفذ، أو تصلونه لاسلكياً بالجهاز الذي تستخدمونه. بمعنى آخر، لا تزال عملية تسجيل الدخول تستخدم كلمة مرور، ولكنّها أكثر أماناً من كلمات المرور المنفردة، أو كلمات المرور المدعومة برموز مرسلة برسائل نصية، أو التي تنتجها تطبيقات المصادقة، كـ«غوغل أثونتيكيتور».
وتلخّص هذه المقاربة، أي كلمة المرور بالإضافة إلى المفتاح الأمني، وسيلة استخدام «فيدو» اليوم على «غوغل» و«دروبوكس» و«فيسبوك» و«تويتر»، وخدمات «آوتلوك» في أجهزة «مايكروسوفت»، وأخيراً على «ويندوز».
ويعد ديا جولي، مدير قسم المنتج في شركة «أوكتا» المتخصصة بخدمات المصادقة، أنّ «المفاتيح الأمنية تمنحكم أمناً محكماً». ولهذا السبب، تستخدمها جميع حملات الكونغرس الأميركي، وخدمات الحوسبة التابعة للحكومة الكندية، وموظفو «غوغل».
وتتطلّب معظم الخدمات الاستهلاكية اليوم استخدام المفتاح فقط عند تسجيل الدخول للمرّة الأولى في جهاز كومبيوتر أو هاتف جديد، أو عند القيام بعملية حساسة، كتحويل الأموال من الحساب المصرفي أو تغيير كلمات المرور. ولكنّ تجدر الإشارة إلى أنّ المفتاح الأمني قد يسبب بعض المتاعب، في حال كان غير متوفّر في وقت حاجتكم إليه.
حماية من التصيّد
تستخدم «فيدو» تقنية التشفير باستخدام المفتاح العام التي ساهمت في حماية أرقام البطاقات المصرفية عبر الإنترنت لعقود. وتقدم لكم هذه التقنية مكسباً كبيراً، وهو أنّ الجهاز الأمني من «فيدو» -سواء كان مفتاحاً قائماً أو مفتاحاً مدمجاً في الهاتف- لن يعمل مع المواقع المزيّفة التي يستخدمها معظم القراصنة في عمليّات التصيّد بحثاً عن كلمات مرور. وعلى عكس الأشخاص الذين لا يلحظون غالباً المواقع المزيّفة المصممة بإتقان، تعمل المفاتيح الأمنية مع المواقع المرخّصة فقط.
وفي إحدى مدوّناته، كتب مارك ريشر، رئيس قسم أعمال المصادقة في «غوغل»، أنّ «المستخدم الذي يستعمل المفاتيح الأمنية ليس بحاجة لإثبات نفسه للمواقع، بل هي بحاجة لإثبات نفسها للمفتاح». وتجدر الإشارة إلى أنّ عمليات التصيّد التي تتعرّض لها «غوغل» قد انخفضت إلى صفر، بعد أن نقلت تعامل عشرات آلاف الموظفين لديها إلى المفاتيح الأمنية.
ويساهم التخلّي عن كلمات المرور أيضاً في تراجع كمية البيانات الحسّاسة التي يستهدفها القراصنة عادة. وعد كوكس، من شركة «سيكيور أوث»، أنّ الشركات لم تعد اليوم تملك قواعد بيانات مركزية تحتوي على معلومات شخصية ثبوتية يمكن سرقتها.
وأخيراً، ولسوء الحظّ، لن يكون الانتقال إلى المستقبل الخالي من كلمات المرور سهلاً أبداً. فجميعنا يستخدم كلمات المرور، سواء كناً مرتاحين لها أم لا، وجميعنا يملك حيله الخاصّة لإبقائها منظّمة. وينطوي إعداد المفتاح الأمني على صعوبة أكبر من اختيار كلمة المرور، ويمكن عده معقّداً لأنّ المواقع تستخدم عمليات مختلفة لتسجيل واستخدام المفاتيح الأمنية. ويسمح لكم «تويتر» مثلاً باستخدام مفتاح أمني واحد فقط اليوم، أي أنّ المفاتيح الاحتياطية لن تعمل معه.
مفاتيح أمنية للهواتف الذكية
> طوّرت «غوغل» مفتاحاً أمنياً مدمجاً في إصدار «آندرويد» لعام 2019، وكذلك فعلت «آبل» في برمجيات «آيفون» في يناير (كانون الثاني) الفائت. ويتيح لكم هذا المفتاح المدمج تسجيل دخولكم في حسابكم في «غوغل» على اللابتوب، بواسطة صفحة تظهر أمامكم على الهاتف، ما دام أنّه ضمن نطاق البلوتوث الذي يتطلّبه جهاز اللابتوب.
ومن المتوقّع أن تتوسّع هذه المقاربة، لتشمل شركات أخرى غير «غوغل». وتحصل المواقع الإلكترونية ومحركات البحث على مصادقتها من «فيدو» من ميزة تُعرف باسم «ويب أوثن» (WebAuthn). وتتوفّر «فيدو» في «آندرويد»، لتتمكّن التطبيقات من استخدامها، فضلاً عن أنّ «آبل» انضمّت للتوّ إلى تحالف «فيدو»، وبدأت تروّج للميزة في تطبيقات «آيفون».
ويجب ألا ننسى أن «مايكروسوفت» هي أحد الداعمين الكبار أيضاً، حتّى أنّها تفوّقت على «غوغل»، من خلال إتاحة تسجيل الدخول في «آوتلوك» و«أوفيس» و«سكايب» و«إكس بوكس لايف»، وغيرها من خدماتها الإلكترونية عبر «فيدو»، دون كلمة مرور. كلّ ما تحتاجون إليه في هذه الحالة هو مفتاح أمني يعمل مع ميزة «هيلو» للتعرف على الوجه، أو مع قارئ للبصمة، أو مفتاح مزوّد برقم تعريف شخصي (PIN)، أو هاتف يشغّل تطبيق «مايكروسوفت» الهاتفي للمصادقة.
... وأخرى متنوعة
> تتنوع المفاتيح الأمنية المتوفرة اليوم في الأسواق، وأبرزها «يوبيكيز» (Yubikeys) من «يوبيكو» (Yubico)، و«تيتان» (Titan) من «غوغل». وتكلفكم النماذج العادية منها نحو 20 دولاراً، ولكنّ السعر يرتفع إلى 40 دولاراً إذا كنتم تريدون مفتاحاً يدعم منافذ «USB-C» و«لايتنينغ»، أو الاتصالات اللاسلكية. أمّا النماذج الأكثر تطوّراً، ومنها «ثينك» من «إنشوريتي»، و«غولدن غيت جي 320» من «eWBM»، و«بايو باس» من «فيتيان»، فتتضمّن قارئ بصمة مدمج، مع العلم أنّ «يوبيكو» تعمل على ضمّ هذه الميزة إلى منتجاتها أيضاً.
وينصحكم الخبراء بشراء مفتاحين أمنيين على الأقلّ للإنقاذ، في حالات ضياع أو كسر أو نسيان المفتاح الأساسي. وتتيح لكم غالبية الخدمات تسجيل عدّة مفاتيح، لتتمكّنوا من الاحتفاظ بواحد منها في المنزل أو في خزنة في مكان آخر.
- «سي نت»
- خدمات «تريبيون ميديا»
