آینده پر از وعدههای علمیتخیلی است که کمتر کسی انتظار دارد به واقعیت بپیوندند؛ وعدههایی چون خودروهای پرنده، زندگی در مریخ یا کلونهای انسانی؛ اما برخی وعدهها با اینکه قابل دستیابی به نظر میرسند، همچنان در انتظار به واقعیت تبدیل شدن آنها به سر میبریم؛ وعدهای مثل پایان عصر گذرواژهها.
خبر خوب اینکه زیرساختهای لازم برای پشتیبانی از لاگین بدون گذرواژه در حال حاضر در تمام سیستم عاملها و مرورگرهای معروف وجود دارد؛ اما خبر نهچندان خوب؟ ما همچنان برای ورود به وبسایتهای مختلف نیاز به وارد کردن گذرواژه داریم و تا مدتها اوضاع به همین شکل خواهد ماند.
در اینکه گذرواژهها در وقوع کابوسهای ترسناک امنیتی نقش پررنگی دارند، شکی نیست. بسیاری از افراد به این دلیل که ایجاد و مدیریت گذرواژهها واقعا آزاردهنده و زمانبر است، اغلب تنها از یک گذرواژه برای ورود به وبسایتهای مختلف استفاده میکنند یا گذرواژههای انتخابی آنها بسیار ساده و قابل حدس است؛ بگذریم که برخی نیز هر دوی این عادات بد را همزمان به کار میبرند. به همین خاطر است که نیاز به احراز هویت بدون گذرواژه به کمک روشهایی مانند زیستسنجی که ذاتی هستند و سرقت آنها دشوارتر است، بیشتر از هر وقت دیگری احساس میشود.
تمام زیرساختها برای دنیای بدون گذرواژه وجود دارد؛ اما پیادهسازی آن زمانبر است
احتمالا برخی از شما همین حالا از روش زیستسنجی برای باز کردن قفل گوشی هوشمند خود استفاده میکنید. مکانیزمهایی نظیر تشخیص چهره یا اثر انگشت بهطور محلی در گوشی اجرا میشوند و لازم نیست شرکتها گذرواژههای کاربر یا جزئیات بیومتریک او را در سرورهای خود که گهگاه مورد حمله هکرها قرار میگیرند، ذخیره کنند. در موارد نادری هم میتوان بدون اتصال به اینترنت و گذرواژه و به کمک توکنی فیزیکی وارد شبکه شد. در کل، دنیا دارد به سمتی میرود که بتوانیم تقریبا در تمام موارد، بدون نیاز به وارد کردن گذرواژه به حسابهای آنلاین خود دسترسی داشته باشیم.
به گفته مارک ریشر، مدیر ارشد بخش مدیریت محصولات گوگل برای پلتفرمهای احراز هویت و امنیت، «ما اوایل حتی نمیدانستیم چطور میتوان از شر گذرواژهها خلاص شد. حالا راهش را پیدا کردهایم، اما پیادهسازی آن کمی زمان میبرد.»
چالشهای گذار از دنیای گذرواژهها
مایکروسافت هنگام معرفی ویندوز ۱۱ از اقدامات بیشتری برای ورود بدون گذرواژه به سیستم به کمک روشهای بیومتریک و استفاده از PIN خبر داد. اپل هم چند هفته پیش اعلام کرد iOS 15 و macOS Monterey از گزینه جدیدی موسوم به Passkeys در برنامهی مدیریت رمز عبور iCloud Keychain استفاده خواهند کرد که این گامی در جهت استفاده از روشهای بیومتریک یا پین برای ورود به سیستم است. در همین راستا، گوگل از تلاشهای خود برای ارتقا امنیت مدیریت رمز عبور و متقاعد کردن کاربران به خودداری از استفاده از گذرواژه صحبت کرد.
با وجود این تلاشها و اقدامات سایر شرکتها برای جلب توجه توسعهدهندگان و کاربران به دنیایی بدون رمز عبور، دو چالش بیشتر از هر مانع دیگری تحقق این رؤیا را با مشکل روبهرو کرده است. اولین چالش این است که اگرچه تمام کاربران در دنیا دل خوشی از مدیریت و ایجاد گذرواژه ندارند، استفاده از گذرواژه برای ورود به حسابهای آنلاین روشی بسیار آشنا و رایج است و ترک عادتی که دهها سال در حال شکلگیری بوده، کار آسانی نیست.
به گفته اندرو شیکیار، مدیر اجرایی FIDO Alliance فعال در زمینه احراز هویت ایمن، اولین کاری که هر کاربر در اینترنت انجام میدهد، ایجاد گذرواژه است. «مسئله این است که ما به زیرساختی بسیار ضعیف و آسیبپذیر وابسته شدهایم. کاری که باید انجام بدهیم کنار گذاشتن این وابستگی است.»
اولین کاری که هر کاربر در اینترنت انجام میدهد ایجاد گذرواژه است
اما چالش دوم از اولی هم دردسرسازتر است. بسیاری از مکانیزمهای احراز هویت که جایگزین گذرواژه شدهاند، فقط در دستگاههای جدید قابل پیادهسازی هستند و به گوشی هوشمند و حداقل یک دستگاه دیگر نیاز دارند. این در حالی است که بسیاری از مردم جهان دستگاههای هوشمند خود را بهطور اشتراکی استفاده میکنند و نمیتوانند آنها را مرتب ارتقا بدهند. بسیاری هم از گوشیهای غیرهوشمند استفاده میکنند یا اصلا گوشی ندارند.
از طرفی، گزینههای مربوط به بازیابی حساب هم هنوز از دنیای بدون گذرواژه فاصله دارند. وقتی برای بازیابی حساب خود از پین استفاده میکنید یا به سؤالات امنیتی پاسخ میدهید، در اصل هنوز دارید از گذرواژه ولی به شکلی متفاوت استفاده میکنید. به همین خاطر، روشهایی که برای حذف رمز عبور طراحی شدهاند به سمت سیستمهایی میروند که در آنها، دستگاهی که قبلاً آن را احراز هویت کردهاید، اعتبار دستگاه جدید دیگری را تأیید میکند.
ریشر این وضعیت را اینگونه توضیح میدهد:
فرض کنید گوشی موبایل خود را در تاکسی جا گذاشتهاید، اما هنوز به لپتاپ خود در خانه دسترسی دارید. گوشی جدیدی میخرید و از لپتاپ برای احراز هویت و بازیابی اطلاعات گوشی قبلی خود استفاده میکنید. بعد کسی گوشی گمشده شما را پیدا میکند که هنوز اطلاعات آن به وسیله قفل محلی دستگاه محافظت شده است. ما قرار نیست مشکلات مربوط به رمز عبور را به روشهای بازیابی اکانت تحمیل کنیم.
این روش مطمئنا از نگهداری کدهای بازیابی اکانت روی کاغذ آسانتر است، اما باز باید برای مواردی که فرد نمیتواند یا نمیخواهد بیش از یک دستگاه شخصی داشته باشد، چارهای اندیشید.
مشکلات روش بیومتریک در احراز هویت
با افزایش استفاده از روشهای احراز هویت بدون گذرواژه، دغدغههایی در مورد گذار از روشهای سنتی مطرح میشود. آکشی بارگاوا، مدیر ارشد محصولات اپلیکیشن مدیریت رمز عبور 1Password که طبیعتا از ادامه روش احراز هویت به کمک رمز عبور سود میکند، میگوید از روشهای جدید در هرجایی که استفاده از آنها منطقی باشد، استقبال میکند.
به عنوان مثال، برای باز کردن اپلیکیشن 1Password در iOS و مک او اس، میتوانید به جای تایپ گذرواژه، آن را با روش بیومتریک TouchID یا FaceID باز کنید. البته بین گذرواژه اصلی که اپلیکیشن مدیریت رمز عبور را قفل میکند با گذرواژههایی که در این اپلیکیشن ذخیره شدهاند، تفاوت ظریفی وجود دارد؛ یک نسخه از تمام گذرواژههای ذخیرهشده در این اپلیکیشن در سرورهای آن برای احراز هویت کاربر ثبت شده است، اما گذرواژه اصلی که قفل اپلیکیشن را باز میکند، فقط در اختیار کاربر است و 1Password هیچ اطلاعی از آن ندارد.
به گفته بارگاوا، این تفاوت باعث میشود احراز هویت بدون گذرواژه حداقل به آن شکلی که اکنون وجود دارد، برای برخی موارد گزینه مناسبتری نسبت به موارد دیگر باشد.
تغییر گذرواژه آسان است؛ اما تغییر چهره یا اثر انگشت ممکن نیست
استفاده از روشهای بیومتریک برای احراز هویت از بسیاری جهات ایدهآل است؛ چون نیازمند حضور فیزیکی کاربر است؛ اما برخی متخصصان حوزه امنیت از جمله بارگاوا بابت استفاده بیش از حد از این روش نگران هستند. دغدغه این دسته افراد از این بابت است که اطلاعات بیومتریک کاربر مثل اثر انگشت یا چهره او ممکن است توسط مجرمان سایبری دزدیده و جعل شود؛ و درحالیکه تغییر گذرواژه بهراحتی امکانپذیر است و تنها نکته مثبت این روش سنتی احراز هویت محسوب میشود، چهره، اثر انگشت، صدا و ضربان قلب کاربر قابل تغییر نیستند.
ایجاد اکوسیستمی بدون گذرواژه که بتواند تمام عملکردهای گذرواژههای فعلی را پوشش بدهد و همچنین میلیاردها نفر بدون گوشی هوشمند یا چندین دستگاه را هم جا نگذارد، نیازمند زمان و آزمایشهای بیشتری است. از طرفی، به اشتراک گذاشتن اکانت با افراد معتمد در دنیای بدون گذرواژه دشوارتر خواهد بود و اتصال تمام اکانتهای خود تنها به یک دستگاه مثل گوشی هوشمند، هکرها را برای نفوذ به دستگاه بیشتر وسوسه خواهد کرد.
تا زمانی که گذرواژهها بهطور کامل از بین نرفتهاند، لازم است توصیههای ایمنی را برای ایجاد گذرواژههای قوی و منحصربهفرد، استفاده از اپلیکیشنهای مدیریت گذرواژه و احراز هویت دوعاملی در هر جایی که امکانش وجود دارد، جدی گرفت. در عین حال، هر جا که امکان استفاده از روش احراز هویت بدون گذرواژه وجود داشت، مثلاً هنگام راهاندازی ویندوز ۱۱، این روش را نیز امتحان کنید. شاید با انجام این کار متوجه برداشته شدن باری شوید که حتی نمیدانستید روی دوشتان سنگینی میکرده است.