دنیای بدون رمز عبور؛ نزدیک اما چالش‌برانگیز

در دنیای تکنولوژی و در زمانی احتمالا نه‌چندان دور در آینده، دیگر خبری از گذرواژه‌ نخواهد بود؛ شما چقدر برای زندگی در دنیای بدون گذرواژه آماده‌اید؟

آینده پر از وعده‌های علمی‌تخیلی است که کمتر کسی انتظار دارد به واقعیت بپیوندند؛ وعده‌هایی چون خودروهای پرنده، زندگی در مریخ یا کلون‌های انسانی؛ اما برخی وعده‌ها با اینکه قابل دستیابی به نظر می‌رسند، همچنان در انتظار به واقعیت تبدیل شدن آن‌ها به سر می‌بریم؛ وعده‌ای مثل پایان عصر گذرواژه‌ها.

خبر خوب اینکه زیرساخت‌های لازم برای پشتیبانی از لاگین بدون گذرواژه در حال حاضر در تمام سیستم عامل‌ها و مرورگرهای معروف وجود دارد؛ اما خبر نه‌چندان خوب؟ ما همچنان برای ورود به وب‌سایت‌های مختلف نیاز به وارد کردن گذرواژه داریم و تا مدت‌ها اوضاع به همین شکل خواهد ماند. 

در اینکه گذرواژه‌ها در وقوع کابوس‌های ترسناک امنیتی نقش پررنگی دارند، شکی نیست. بسیاری از افراد به این دلیل که ایجاد و مدیریت گذرواژه‌ها واقعا آزاردهنده و زمان‌بر است، اغلب تنها از یک گذرواژه برای ورود به وب‌سایت‌های مختلف استفاده می‌کنند یا گذرواژه‌های انتخابی آن‌ها بسیار ساده و قابل حدس است؛ بگذریم که برخی نیز هر دوی این عادات بد را هم‌زمان به کار می‌برند. به همین خاطر است که نیاز به احراز هویت بدون گذرواژه به کمک روش‌هایی مانند زیست‌سنجی که ذاتی هستند و سرقت آن‌ها دشوارتر است، بیشتر از هر وقت دیگری احساس می‌شود.‌

تمام زیرساخت‌ها برای دنیای بدون گذرواژه وجود دارد؛ اما پیاده‌سازی آن زمان‌بر است

احتمالا برخی از شما همین حالا از روش‌ زیست‌سنجی برای باز کردن قفل گوشی هوشمند خود استفاده می‌کنید. مکانیزم‌هایی نظیر تشخیص چهره یا اثر انگشت به‌طور محلی در گوشی اجرا می‌شوند و لازم نیست شرکت‌ها گذرواژه‌های کاربر یا جزئیات بیومتریک او را در سرورهای خود که گهگاه مورد حمله هکرها قرار می‌گیرند، ذخیره کنند. در موارد نادری هم می‌توان بدون اتصال به اینترنت و گذرواژه و به کمک توکنی فیزیکی وارد شبکه شد. در کل، دنیا دارد به سمتی می‌رود که بتوانیم تقریبا در تمام موارد، بدون نیاز به وارد کردن گذرواژه به حساب‌های آنلاین خود دسترسی داشته باشیم. 

به گفته مارک ریشر، مدیر ارشد بخش مدیریت محصولات گوگل برای پلتفرم‌های احراز هویت و امنیت، «ما اوایل حتی نمی‌دانستیم چطور می‌توان از شر گذرواژه‌ها خلاص شد. حالا راهش را پیدا کرده‌ایم، اما پیاده‌سازی آن کمی زمان می‌برد.»

چالش‌های گذار از دنیای گذرواژه‌ها 

مایکروسافت هنگام معرفی ویندوز ۱۱ از اقدامات بیشتری برای ورود بدون گذرواژه به سیستم به کمک روش‌های بیومتریک و استفاده از PIN خبر داد. اپل هم چند هفته پیش اعلام کرد iOS 15 و macOS Monterey از گزینه جدیدی موسوم به Passkeys در برنامه‌ی مدیریت رمز عبور iCloud Keychain استفاده خواهند کرد که این گامی در جهت استفاده از روش‌های بیومتریک یا پین برای ورود به سیستم است. در همین راستا، گوگل از تلاش‌های خود برای ارتقا امنیت مدیریت رمز عبور و متقاعد کردن کاربران به خودداری از استفاده از گذرواژه صحبت کرد. 

با وجود این تلاش‌ها و اقدامات سایر شرکت‌ها برای جلب توجه توسعه‌دهندگان و کاربران به دنیایی بدون رمز عبور، دو چالش بیشتر از هر مانع دیگری تحقق این رؤیا را با مشکل روبه‌رو کرده است. اولین چالش این است که اگرچه تمام کاربران در دنیا دل خوشی از مدیریت و ایجاد گذرواژه ندارند، استفاده از گذرواژه برای ورود به حساب‌های آنلاین روشی بسیار آشنا و رایج است و ترک عادتی که ده‌ها سال در حال شکل‌گیری بوده، کار آسانی نیست.

به گفته اندرو شیکیار، مدیر اجرایی FIDO Alliance فعال در زمینه احراز هویت ایمن، اولین کاری که هر کاربر در اینترنت انجام می‌دهد، ایجاد گذرواژه است. «مسئله این است که ما به زیرساختی بسیار ضعیف و آسیب‌پذیر وابسته شده‌ایم. کاری که باید انجام بدهیم کنار گذاشتن این وابستگی است.»

اولین کاری که هر کاربر در اینترنت انجام می‌دهد ایجاد گذرواژه است

اما چالش دوم از اولی هم دردسرسازتر است. بسیاری از مکانیزم‌های احراز هویت که جایگزین گذرواژه شده‌اند، فقط در دستگاه‌های جدید قابل پیاده‌سازی هستند و به گوشی هوشمند و حداقل یک دستگاه دیگر نیاز دارند. این در حالی است که بسیاری از مردم جهان دستگاه‌های هوشمند خود را به‌طور اشتراکی استفاده می‌کنند و نمی‌توانند آن‌ها را مرتب ارتقا بدهند. بسیاری هم از گوشی‌های غیرهوشمند استفاده می‌کنند یا اصلا گوشی ندارند. 

از طرفی، گزینه‌های مربوط به بازیابی حساب هم هنوز از دنیای بدون گذرواژه فاصله دارند. وقتی برای بازیابی حساب خود از پین استفاده می‌کنید یا به سؤالات امنیتی پاسخ می‌دهید، در اصل هنوز دارید از گذرواژه ولی به شکلی متفاوت استفاده می‌کنید. به همین خاطر، روش‌هایی که برای حذف رمز عبور طراحی شده‌اند به سمت سیستم‌هایی می‌روند که در آن‌ها، دستگاهی که قبلاً آن را احراز هویت کرده‌اید، اعتبار دستگاه جدید دیگری را تأیید می‌کند. 

ریشر این وضعیت را این‌گونه توضیح می‌دهد:

فرض کنید گوشی موبایل خود را در تاکسی جا گذاشته‌اید، اما هنوز به لپ‌تاپ خود در خانه دسترسی دارید. گوشی جدیدی می‌خرید و از لپ‌تاپ برای احراز هویت و بازیابی اطلاعات گوشی قبلی خود استفاده می‌کنید. بعد کسی گوشی گمشده شما را پیدا می‌کند که هنوز اطلاعات آن به وسیله قفل محلی دستگاه محافظت شده است. ما قرار نیست مشکلات مربوط به رمز عبور را به روش‌های بازیابی اکانت تحمیل کنیم. 

این روش مطمئنا از نگه‌داری کدهای بازیابی اکانت روی کاغذ آسان‌تر است، اما باز باید برای مواردی که فرد نمی‌تواند یا نمی‌خواهد بیش از یک دستگاه شخصی داشته باشد، چاره‌ای اندیشید. 

مشکلات روش بیومتریک در احراز هویت

با افزایش استفاده از روش‌های احراز هویت بدون گذرواژه، دغدغه‌هایی در مورد گذار از روش‌های سنتی مطرح می‌شود. آکشی بارگاوا، مدیر ارشد محصولات اپلیکیشن مدیریت رمز عبور 1Password که طبیعتا از ادامه روش احراز هویت به کمک رمز عبور سود می‌کند، می‌گوید از روش‌های جدید در هرجایی که استفاده از آن‌ها منطقی باشد، استقبال می‌کند. 

به عنوان مثال، برای باز کردن اپلیکیشن 1Password در iOS و مک او اس، می‌توانید به جای تایپ گذرواژه، آن را با روش بیومتریک TouchID یا FaceID باز کنید. البته بین گذرواژه اصلی که اپلیکیشن مدیریت رمز عبور را قفل می‌کند با گذرواژه‌هایی که در این اپلیکیشن ذخیره شده‌اند، تفاوت ظریفی وجود دارد؛ یک نسخه از تمام گذرواژه‌های ذخیره‌شده در این اپلیکیشن در سرورهای آن‌ برای احراز هویت کاربر ثبت شده است، اما گذرواژه اصلی که قفل اپلیکیشن را باز می‌کند، فقط در اختیار کاربر است و 1Password هیچ اطلاعی از آن ندارد. 

به گفته بارگاوا، این تفاوت باعث می‌شود احراز هویت بدون گذرواژه حداقل به آن شکلی که اکنون وجود دارد، برای برخی موارد گزینه مناسب‌تری نسبت به موارد دیگر باشد. 

تغییر گذرواژه آسان است؛ اما تغییر چهره یا اثر انگشت ممکن نیست

استفاده از روش‌های بیومتریک برای احراز هویت از بسیاری جهات ایده‌آل است؛ چون نیازمند حضور فیزیکی کاربر است؛ اما برخی متخصصان حوزه امنیت از جمله بارگاوا بابت استفاده بیش از حد از این روش نگران هستند. دغدغه این دسته افراد از این بابت است که اطلاعات بیومتریک کاربر مثل اثر انگشت یا چهره او ممکن است توسط مجرمان سایبری دزدیده‌ و جعل شود؛ و درحالی‌که تغییر گذرواژه به‌راحتی امکان‌پذیر است و تنها نکته مثبت این روش سنتی احراز هویت محسوب می‌شود، چهره، اثر انگشت، صدا و ضربان قلب کاربر قابل تغییر نیستند.  

ایجاد اکوسیستمی بدون گذرواژه که بتواند تمام عملکردهای گذرواژه‌های فعلی را پوشش بدهد و همچنین میلیاردها نفر بدون گوشی هوشمند یا چندین دستگاه را هم جا نگذارد، نیازمند زمان و آزمایش‌های بیشتری است. از طرفی، به اشتراک گذاشتن اکانت با افراد معتمد در دنیای بدون گذرواژه دشوارتر خواهد بود و اتصال تمام اکانت‌های خود تنها به یک دستگاه مثل گوشی هوشمند، هکرها را برای نفوذ به دستگاه بیشتر وسوسه خواهد کرد. 

تا زمانی که گذرواژه‌ها به‌طور کامل از بین نرفته‌اند، لازم است توصیه‌های ایمنی را برای ایجاد گذرواژه‌های قوی و منحصر‌به‌فرد، استفاده از اپلیکیشن‌های مدیریت گذرواژه و احراز هویت دوعاملی در هر جایی که امکانش وجود دارد، جدی گرفت. در عین حال، هر جا که امکان استفاده از روش احراز هویت بدون گذرواژه وجود داشت، مثلاً هنگام راه‌اندازی ویندوز ۱۱، این روش را نیز امتحان کنید. شاید با انجام این کار متوجه برداشته شدن باری شوید که حتی نمی‌دانستید روی دوشتان سنگینی می‌کرده است.