هل تصبح كلمات المرور جزءًا من الماضي؟

بدأت الشركات الكبرى بإتاحة استخدام تقنية باس كيز (Passkeys) التي تعد بتسهيل استخدام تطبيقات الويب دون الحاجة لكلمات المرور، وقد لاقت اهتمامًا كبيرًا من الناس، إذ طرحوا أسئلة كثيرة عن طريقة عملها وإمكانية الوثوق بها، يستعرض هذا المقال أكثر الأسئلة تكرارًا لتسليط الضوء على ما نعرفه وما لا نعرفه عن باس كيز.

2023/07/08   567

بدأت الشركات الكبرى بإتاحة استخدام تقنية باس كيز (Passkeys) التي تعد بتسهيل استخدام تطبيقات الويب دون الحاجة لكلمات المرور، وقد لاقت اهتمامًا كبيرًا من الناس، إذ طرحوا أسئلة كثيرة عن طريقة عملها وإمكانية الوثوق بها، يستعرض هذا المقال أكثر الأسئلة تكرارًا لتسليط الضوء على ما نعرفه وما لا نعرفه عن باس كيز.

بدايةً، إذا كنت من الفئة التي لا تستخدم جوجل فإن باس كيز الخاصة بغوغل ليست مناسبةً لك، وكذلك الأمر لمنتجات أبل أو مايكروسوفت، والمقال موجه إلى مئات الملايين من الأشخاص الذين يستخدمون هذه الأنظمة الرئيسية. لكن يتوسع انتشار باس كيز عمومًا خارج نطاق مستخدمي التكنولوجيا الرئيسيين، فستدعم 1Password وغيرها من الجهات الخارجية مزامنة باس كيز التي ستضم بيانات الاعتماد على جميع الأجهزة الموثوق بها. ومع إن غوغل هي الأكثر تقدمًا من أي خدمة أخرى في السماح بتسجيل الدخول باستخدام باس كيز، فتظهر خدمات جديدة أسبوعيًا تتيح للمستخدمين تسجيل الدخول إلى حساباتهم باستخدامها باس كيز.

إن كنت لا أثق بأي شركة لمزامنة بياناتي الخاصة بتسجيل الدخول وأفضّل الاحتفاظ بها على أجهزتي فقط. فلماذا أستخدام باس كيز؟

حتى إذا كنت لا تثق بأية حوسبة سحابية لذلك، فإن معايير FIDO (المواصفات القياسية) تتيح استخدام ما يسمى باس كيز لجهاز واحد، إذ تعمل لجهاز واحد فقط ولا تتزامن مع أية خدمة، وتُنشأ عادةً باستخدام مفتاح أمان من نوع FIDO2 مثل Yubikey.

ولكن إذا كنت تستخدم المتصفح لمزامنة كلمات المرور أو أي برنامج لإدارة كلمات المرور (مثل iCloud Keychain أو مكافآته من مايكروسوفت أو غوغل)، فيجب أن تعلم بأن ذلك يتحقق أساسًا باستخدام خدمة سحابية، وإن كنت لا تثق بالخدمات السحابية لمزامنة باس كيز، فلا ينبغي أن تثق بها لمزامنة كلمات المرور أساسًا.

 

تبدو مزامنة باس كيز خطيرة، فلماذا يجب أن أثق بالمزامنة من أية خدمة؟

تتطلب مواصفات FIDO حاليًا استخدام E2EE (تشفير من النهاية إلى النهاية) للمزامنة، وهذا يعني أنه لا يوجد سوى واحد فقط من أجهزة المستخدم النهائي الموثوق بها يستطيع الوصول إلى المفتاح الخاص بصيغة غير مشفرة (صالحة للاستخدام).

ولا تفرض المواصفات الحالية متطلبات محددة لهذا التشفير، فتستخدم أبل مثلًا آلية مزامنة باس كيز التي تعتمد على نفس E2EE الذي تستخدمه (iCloud Keychain) بالفعل، وقد وضحت أيضًا توثيقات تصميمية مفصلة لهذه الخدمة، ولا يرى خبراء الأمان المستقلون أي تناقضات في مزاعم أبل بأنها لا تمتلك وسائل للوصول إلى معلومات الدخول المخزنة في (iCloud Keychain).

وقد أتيحت أيضًا وثائق عن البنى التحتية المستخدمة لمزامنة باس كيز من كل من غوغل و1Password.

تُعد آي كلاود ميزة أمان أساسية، وعليه يقع العبء على الشركة لإثبات أمانها، لا على الآخرين لدحضها

كما ذُكر سابقًا، إن لم تكن تثق بأبل أو أية شركة أخرى تقدم خدمة المزامنة، فاستخدام باس كيز لجهاز واحد هو الحل، وإن كنت لا ترغب أيضًا في استخدام باس كيز لجهاز واحد فإن هذه الخدمة لا تناسبك. تذكر فقط أنه إذا لم تثق بهذه الخدمات لمزامنة باس كيز، فلا ينبغي أن تثق بها لمزامنة أية بيانات حساسة أخرى.

إن كنت تستخدم المنصات التي تعتمد الخدمات السحابية أساسًا لمزامنة بعض البيانات، فلا يوجد خطر إضافي يذكر عند مزامنة باس كيز أيضًا.

 

ماذا عن البرامج الخبيثة الجديدة التي تستطيع سرقة عناصر iCloud Keychain؟

انتشر الحديث عن برنامج MacStealer الخبيث في منتديات الجرائم الالكترونية، لكن لا توجد تقارير عن استخدامه الموسع ولا حتى من المؤكد وجوده أساسًا حتى الآن، ما يوجد حاليًا هو ادعاءات فقط.

ولكن حتى مع ذلك، يُعد هذا البرنامج بمرحلة بيتا المبكرة التي تأتي على شكل ملف DMG قياسي، والمستخدم النهائي بأمان ما لم يتلاعب بإعدادات أمان macOS، إذ يجب تثبيت هذا الملف يدويًا لأنه ليس موقعًا رقميًا، وحتى في هذه الحالة يجب على الضحية إدخال كلمة مرور iCloud من داخل التطبيق بعد تثبيته قبل استخراج البيانات.

وبحسب وصف شركة Uptycs الأمنية التي اكتشفت الإعلان عن MacStealer، لا مبرر لقلق الناس بشأنه كثيرًا، ولو كانت هذه البرامج الخبيثة تشكل تهديدًا، فإن هذا التهديد لا يقتصر فقط على باس كيز فقط، بل يشمل أي شيء آخر يخزنه مئات الملايين من الأشخاص بالفعل في iCloud Keychain.

تمنح باس كيز التحكم في بيانات الدخول للخدمة أو الموقع الذي أسجّل الدخول إليه، فلماذا أفعل ذلك؟

إذا كنت تستخدم كلمة مرور لتسجيل الدخول إلى خدمات مثل جيميل وغيرها، فأنت بالفعل تثق بهذه الشركات التي تصمم أنظمتها الخاصة بالمصادقة بطريقة لا تكشف الأسرار المشتركة التي تسمح لك بتسجيل الدخول، وبالمثل، عند تسجيل الدخول إلى أحد هذه المواقع باستخدام باس كيز بدلًا من كلمة مرور، فلها التحكم ذاته (لا أكثر ولا أقل) في بيانات الدخول التي كانت متاحة لها من قبل.

السبب في ذلك هو أن الجزء الخاص من باس كيز لا يغادر أجهزة المستخدم المشفرة، إذ يحدث التوثيق على جهاز المستخدم بإرساله دليلًا تشفيريًا إلى الموقع الذي يُسجل الدخول إليه، وذلك لإثبات أن الجزء الخاص موجود على الجهاز الذي يحاول تسجيل الدخول. وتضمن عملية التشفير هذه عدم إمكانية تزييف الدليل.

 

إذا لم يترك المفتاح الخاص الجهاز مطلقًا، فكيف يتزامن من جهاز إلى آخر؟

عند مزامنة المنصات للأجهزة الموثوق بها من جهاز موثوق به آخر، فإن ذلك يتم باستخدام مجموعة بيانات E2EE، وهي بيانات مشفرة تشفيرًا نهائيًا، وتختلف تفاصيل سلوكها هذه المجموعة من منصة إلى أخرى، ومن المرجح أن هذه المنصات ستصدر توثيقات حول تفاصيل التشفير المستخدم لحماية بيانات باس كيز.

لكن مرةً أخرى، إذا كنت تثق بأية خدمة سحابية لمزامنة كلمات المرور الآن، فلا يوجد سبب لعدم الثقة بها لمزامنة مفاتيح باس كيز أيضًا.

ماذا يحدث إذا فقدت الجهاز أو الأجهزة التي تخزن باس كيز الخاص بي؟ كيف سأعود إلى حسابي مجددا؟

بالنسبة للأشخاص الذين يستخدمون أكثر من جهاز لتسجيل الدخول إلى حساب واحد، فإن المفتاح سيكون موجودًا على تلك الأجهزة، ولكن حتى لو كان الجهاز المفقود هو الجهاز الوحيد الذي يحتوي على باس كيز، أو إذا فُقدت جميع الأجهزة، فمن الممكن ببساطة تسجيل الدخول باستخدام كلمة المرور. ولدى امتلاك رموز استرداد الحساب، بالوسع أيضًا استعادة الوصول من خلالها.

 

إذا كان تسجيل الدخول باستخدام كلمة مرور أو رمز استرداد ما يزال متاحًا، فلماذا إذن باس كيز أكثر أمانًا؟

الإجابة الأقصر هي أن باس كيز مُنعزلة عن اختراقات الاعتمادات المزيفة، فلا يجب على المستخدم إدخال أي شيء في موقع ضار أو تقديمه لشخص يحاول خداعه للحصول على بيانات دخوله (كمكالمة هاتفية تدّعي أنها من مدير النظام مثلًا). وتحتوي باس كيز أيضًا على ميزة المصادقة ذات العاملين المضاعفين.

الإجابة الأطول هي أن اللجوء إلى كلمات المرور أو رموز الاسترداد يشكل ثغرة على الأقل نظريًا، أي إذا استطاع المهاجم أن يخدعك ويجعلك تسجل الدخول إلى موقع احتيالي باستخدام كلمة المرور أو رمز الدخول، فكل شيء بخطر حينها، وينطبق هذا أيضًا على أي نوع من أشكال المصادقة ذات العاملين المضاعفين.

تتحدث المعايير في WebAuthn و FIDO عن نظام معقد جدًا فيه الكثير من الأجزاء المتحركة، وكلما كان الشيء أكثر تعقيدًا زاد احتمال الأخطاء. فما مدى أمان باس كيز حقًا؟ وهل يوجد ربح صافٍ بعد النظر في مخاطر التنفيذ السيئ؟

لا توجد طريقة لضمان عدم ارتكاب الأخطاء من الشركات أو الخدمات التي تستخدم باس كيز، لكن هذا المخاطرة موجودة بالفعل إلى حد كبير في أنظمة المصادقة القائمة على كلمات المرور، وبالنظر إلى OAuth أو خدمات المصادقة من الطرف الثالث مثل Okta، فلدينا عملية مصادقة معقدة بنفس قدر تعقيد باس كيز أو ربما أكثر.

الأهم من ذلك، أن معايير باس كيز وضعها مئات بل آلاف المهندسين في مختلف الشركات التقنية والحكومية، وهي أبعد ما يكون عن التطوير الفردي أو حتى تطوير عدد قليل من اللاعبين الكبار الذين لديهم دوافع خفية. وترى كثير من المنظمات مختلف المجالات أن باس كيز قادرة على جعل سرقة الحسابات أصعب وتحقيق بذلك بأقل قدر من الاحتكاك بالمستخدم.

شرط البلوتوث لا يناسبني، وكل البروتوكول سيئ ويجب ألا يكون جزءًا من أي عملية مصادقة

يرى البعض عناءً في طريقة عمل باس كيز بسبب بعض التفاصيل التي سمعوها عنه، لكن يجب فهم بعض الأمور أولًا، فاستخدام تقنية البلوتوث اختياري وليس ملزمًا، واستخدامها واجب فقط عند إجراء المصادقة العابرة بين الأجهزة المختلفة، أي استخدام جهاز سجل الدخول إلى الحساب بالفعل (كالهاتف) لمصادقة جهاز آخر لذات الحساب (كالحاسوب)، وحينها يجب أن يكون البلوتوث مُمكّنًا على الهاتف والحاسوب (لكن اقترانهما ليس ضروريًا)، وذلك لإثبات أن الجهازين قريبان من بعضهما وهذا هو الغرض الوحيد، إذ لا توجد أسرار مشتركة أو بيانات حساسة تنتقل بين الأجهزة، وإن كنت لا تحب تقنية البلوتوث، ببساطة سجل دخولك إلى الأجهزة الجديدة باستخدام كلمة المرور أو طريقة أخرى لا تنطوي على مصادقة بين الأجهزة.

 

ماذا يحدث إذا وصل أحدهم إلى جهاز غير مؤمَّن لكنه يخزن باس كيز؟

ما يزال عليه إلغاء قفل الجهاز عند تسجيل الدخول إلى حسابك باستخدام أحد باس كيز.

ماذا لو استغنى غوغل (أو غيره) عن كلمات المرور وسمح بتسجيل الدخول باستخدام باس كيز فقط؟

يبدو أن هذا أمر غير محتمل لأسباب عديدة تتعلق بالجوانب اللوجستية أساسًا، فلم تصرح أية شركة باعتزامها إلغاء استخدام كلمات المرور، وإن كنت ما تزال تعتقد أن شركة ما ستقوم بذلك، وأن باس كيز ليست بديلًا مناسبًا فيجب أن تنتقل إلى خارج هذه المنصة في أقرب وقت ممكن.

أما إذا كنت مثل معظم الأشخاص فإن عملية الانتقال ستكون مرهقة وتحتاج إلى مجهود كبير، وعليه يُنصح بتفعيل باس كي لتسهيل الأمور، لأنه إذا قرر موقع إلغاء استخدام كلمات المرور، فلن يحدث ذلك بسبب تشغيل أو عدم تشغيل باس كيز. سيكون ذلك قد حصل على أية حال، وباس كيز سيجعل عملية الانتقال أسهل فقط.

 

رموز المرور تجعل سرقة الأشخاص سهلة جدًا

يطرح البعض أمثلة وسيناريوهات مفادها أن سرقة هواتف الأشخاص والوصول إلى حساباتهم المصرفية أسهل بوجود هذه التقنيات، كضرب أحدهم وتوجيه هاتفه إلى وجهه لإلغاء القفل والمتابعة بعد ذلك.

في الواقع، إقفال الجهاز برمز مرور أو رقم تعريف شخصي، يضمن تمامًا عدم السماح (لمستخدمه أو للسارق) باستخدام باس كيز مع مسح الوجه أو بصمة الإصبع.

 

لماذا تنال باس كيز كل هذا الترويج؟

بناءً على المحادثات مع كثير من الخبراء المتخصصين في مصادقة الحسابات، يبدو أن باس كيز لديها مستقبل واعد، لأنها ستكون أسهل وأكثر أمانًا عمومًا ما إن يعتاد الناس عليها كاعتيادهم الآن على كلمات المرور.

ستظهر حقيقة هذا الادعاء مع الوقت، ولكن لا سبب يمنع الناس وحتى المشككين من تجربتها، وبالوسع حذف باس كيز والعودة إلى استخدام كلمات المرور في أي وقت (باستثناء المفاتيح السرية التي يُنشئها جوجل تلقائيًا على أجهزة أندرويد).

 

هل يتوفر مخدم المزامنة تتوفر بنسخة مفتوحة المصدر للاستخدام الخاص؟

لا مانع أبدًا من بناء أي شخص لشيء مثل هذا. ويسمح نظام أندرويد عبر API مدير بيانات المصادقة من غوغل باستخدام المزامنة بسهولة.

 

هل بالإمكان إنشاء نسخة احتياطية من باس كيز؟

ليس بعد، ولكن وفقًا لملاحظة أحد المهندسين المعنيين بتنفيذ باس كيز، يجري العمل على إمكانات الاستيراد والتصدير عبر الأجهزة ومديري باس كيز.

اضافة تعليق