كم منا قد نسي كلمة مرور أحد الحسابات من قبل؟ ربما جميعنا، أليس كذلك؟ هذه إحدى المشكلات المرتبطة بكلمات المرور التقليدية التي نستخدمها يوميًا. من أجل ضمان أمانها، يجب أن تكون الآن بالغة التعقيد، مما يتطلب ذاكرة استثنائية أو، في حالة العجز، مساعدة من تطبيقات إدارة كلمات المرور التي قد تكون محفوفة بالمخاطر إلى حد ما.

ماذا لو كان هناك وسيلة أكثر أمانًا للوصول إلى حساباتنا دون الحاجة إلى تذكر كلمات المرور؟ جوجل تعتقد أن مفاتيح المرور هي الحل.

مفتاح المرور هو هوية رقمية تسمح للمستخدمين بالمصادقة وتسجيل الدخول إلى التطبيقات والمواقع الإلكترونية دون الحاجة إلى تذكر اسم المستخدم وكلمة المرور، وذلك باستخدام مستشعر بيومتري (بصمة الإصبع أو التعرف على الوجه)، أو رمز PIN، أو نمط.

على عكس كلمات المرور، لا تتطلب هذه الطريقة في تسجيل الدخول عامل مصادقة إضافي (مثل OTP، كلمات المرور ذات الاستخدام الواحد). وفقًا لجوجل، مفاتيح المرور أسهل في الاستخدام وأسرع بنسبة 40٪ من كلمات المرور. كما تدعي جوجل أن مفاتيح المرور أكثر أمانًا، نظرًا لنوع التشفير الذي تعتمد عليه.

لهذا السبب، جعلت جوجل رسميًا مفاتيح المرور الخيار الافتراضي لتسجيل الدخول لجميع المستخدمين. إذن، ما هو الوقت الأفضل من هذا لاكتشاف فوائد ومخاطر وتحديات مفاتيح المرور؟

 

 

أولاً، لماذا كلمات المرور في طريقها إلى الزوال ببطء؟

عندما تم اختراع كلمات المرور في الستينيات من قبل أستاذ في معهد ماساتشوستس للتكنولوجيا، كانت كلمات بسيطة وسهلة التذكر كافية لمنع الوصول غير المصرح به. اليوم، مع ذلك، أصبح المهاجمون السيبرانيون قادرين على اكتشاف تركيبات معقدة من الأحرف بسرعة كبيرة، مما يجعل كلمات المرور كوسيلة تعريف غير آمنة وهشة.

ما يحدث هو أن معظم الأشخاص يكتبون كلمات مرورهم على ورقة ملاحظات، سواء كانت فعلية أو رقمية (وهذا ليس الحل الأكثر أماناً)، أو يستخدمون تطبيقات إدارة كلمات المرور التي هي أيضاً عرضة للاختراق. والدليل على ذلك ما حدث مع Last Pass، التي كانت هدفاً لهجوم سيبراني مقلق في أغسطس 2022، ومؤخراً مع Okta، التي تم اختراق بيانات مستخدميها في أكتوبر 2023.

صحيح أن المصادقة متعددة العوامل (MFA) قد زادت بشكل كبير من مستوى أمان هذه الطريقة في تسجيل الدخول مؤخراً، ولكن الحقيقة هي أنك لا تزال بحاجة إلى تذكر كلمة المرور الرئيسية للمضي قدماً.

لذلك، لم تعد كلمات المرور تعتبر سهلة الاستخدام أو آمنة، مما يؤدي إلى تراجع استخدامها.

 

 

ولادة مفاتيح المرور

في عام 2012، تم تأسيس تحالف FIDO (الهوية السريعة عبر الإنترنت) من قبل عدة قادة في شركات من مختلف القطاعات للعمل بشكل مشترك على بروتوكول مصادقة بدون كلمة مرور.

تم الانتهاء من النسخة الأولى من مصادقة FIDO ونشرها في عام 2014، في حين ظهرت FIDO2 في عام 2018، مما أتاح توحيد المصادقة القوية FIDO عبر جميع متصفحات الويب والبنية التحتية المرتبطة بها.

بشكل عام، تعتمد مصادقة FIDO على التشفير بالمفتاح العام، وهو الأساس الذي تقوم عليه مفاتيح المرور. يوضح أندريه كورتز، مدير أنظمة البنية التحتية في Alter Solutions، كيف يعمل هذا: "تستخدم مفاتيح المرور تشفيراً يتكون من مفتاحين: مفتاح عام مخزن على خادم الخدمة ومفتاح خاص موجود على جهاز المستخدم. بعد الموافقة البيومترية، يتم إرسال المفتاح العام ليتم اقترانه بمفتاح الخدمة وتتم عملية المصادقة. المفتاح الخاص لا يتم إرساله أبداً."

 

 

هل مفاتيح المرور أكثر أماناً من كلمات المرور حقاً؟

يبدو أن الإجابة هي نعم. وفقاً لأندريه كورتز، وبسبب طريقة التشفير المستخدمة في مفاتيح المرور، "لم يعد هناك أي خطر من سرقة كلمات المرور أو انتحال الهوية، حتى إذا فُقدت الأجهزة نفسها أو سُرقت"، كما يؤكد.

إلياس شمينغي، خبير الأمن السيبراني في Alter Solutions، يتفق مع رأي أندريه، مشيراً إلى أن مفاتيح المرور تتطلب القرب المادي للأجهزة. "تتيح مفاتيح المرور الحد من سرقة معلومات الهوية باستخدام المصادقة المادية. فهي ليست عرضة لهجمات التصيد الاحتيالي أو انتهاكات كلمة المرور. هذا يعني أنه حتى إذا حصل شخص ما على اسم المستخدم وكلمة المرور الخاصة بك، فإنه سيحتاج دائماً إلى مفتاح المرور المادي للوصول إلى حسابك، مما يقلل بشكل كبير من خطر الوصول غير المصرح به ويعزز الأمان العام"، يوضح إلياس.

باختصار، يرى خبير الأمن السيبراني لدينا أن "مفاتيح المرور يمكن أن تقلل بفعالية من التهديدات السيبرانية المختلفة"، وهي:

انتهاك بيانات الهوية
"نظرًا لأن مفاتيح المرور لا تعتمد على كلمات المرور، فإنها تمنع استخدام معلومات تسجيل الدخول المسروقة في محاولات تسجيل الدخول الآلية على منصات مختلفة."

السيطرة على الحسابات
"نظرًا لأن مفاتيح المرور توفر طبقة أمان إضافية، فإنه يصبح من الصعب جدًا على المهاجمين السيطرة على الحسابات، حتى لو تمكنوا من الحصول على بعض معلومات تسجيل الدخول."

الهجمات بالقوة الغاشمة
"مفاتيح المرور ليست عرضة للهجمات بالقوة الغاشمة، حيث يحاول المهاجمون تخمين كلمات المرور باستخدام أساليب آلية، لأنها تعمل خارج نظام المصادقة بكلمة المرور."

 

تحديات تنفيذ مفاتيح المرور

بالنسبة للشركات على وجه الخصوص، يجب ألا يشكل دمج مفاتيح المرور في البنية التحتية الحالية لتكنولوجيا المعلومات مشكلة اليوم. وفقاً لمدير الأنظمة والبنية التحتية لدينا، لا ينبغي أن يكون هذا مصدر قلق في الوقت الحاضر: "تقريباً جميع الهواتف المحمولة والأجهزة اللوحية وأجهزة الكمبيوتر المحمولة مجهزة بمستشعرات بيومترية، لذا يبدو لي أن هذه الأساليب الجديدة يمكن اعتمادها بسهولة. من جانب المستخدمين، البنية التحتية مضمونة، مع الأجهزة والأنظمة القادرة على إدارة والتعرف على السجلات البيومترية. الأمر يعتمد حقاً على الشركات لتكييف بنيتها التحتية الحالية لقبول مفاتيح المرور".

من جانبه، يعتقد إلياس شمينغي أن العملية المتمثلة في "ضمان التوافق والدمج السلس لمفاتيح المرور مع الأنظمة والبرامج الحالية قد تواجه مشكلات أثناء عملية التبني، مما يؤدي إلى اضطرابات في سير العمل". "قد يتطلب ذلك تعديلات أو تحديثات على التكوين الحالي. يمكن لخطة نشر جيدة أن تقلل من الاضطرابات"، كما يوضح.

فيما يتعلق بسياسات الخصوصية والتحكم، يعبر الخبيران من Alter Solutions عن بعض المخاوف: "أحد مزايا مفاتيح المرور هو التزامن بين الأجهزة في نفس النظام البيئي. رغم أن هذا مفيد للمستخدمين، فإنه يطرح مشكلة من حيث التحكم والأمان والامتثال. يمكن أن يؤدي التزامن بين الأجهزة الشخصية ومفاتيح المرور إلى مشاركة بيانات الهوية وبيانات الشركة مع أشخاص خارج المنظمة"، يحذر أندريه كورتز. ويضيف إلياس: "تتضمن البيومترية وأساليب المصادقة المتقدمة الأخرى جمع وتخزين بيانات المستخدم الحساسة. من الضروري ضمان خصوصية ومعالجة آمنة لهذه البيانات".

بالإضافة إلى هذه التحديات، يحدد خبير الأمن السيبراني لدينا بعض المشكلات المحتملة الأخرى التي يجب أن تضعها الشركات في الاعتبار:
الاعتماد على الأجهزة المادية
"الشركات التي تستخدم مفاتيح المرور قد تواجه مشكلات إذا نسي الموظفون مفاتيحهم أو فقدوها أو تعرضت للتلف. هذا الاعتماد على جهاز مادي يمكن أن يؤدي إلى مشكلات في الوصول وأوقات توقف محتملة إذا لم تكن هناك بدائل متاحة بالفعل."

التكلفة واللوجستيات
"تطبيق مفاتيح المرور داخل المنظمة يؤدي إلى تكاليف مرتبطة بشراء وتوزيع هذه الأجهزة المادية. إدارة واستبدال المفاتيح المفقودة أو التالفة يمكن أن يؤدي أيضًا إلى نفقات لوجستية إضافية."

نقطة فشل واحدة
"على الرغم من أن مفاتيح المرور تعزز الأمان، إذا تمكن أحد القراصنة من الوصول الفعلي إلى مفتاح أحد الموظفين، فإنه يمكنه تجاوز تدابير الأمان الأخرى، مما يشكل خطرًا إذا لم يتم التعامل معه بشكل صحيح."

 

 

أفضل الممارسات المتعلقة بمفاتيح المرور

وفقاً لخبرائنا، عند الانتقال إلى طريقة المصادقة باستخدام مفاتيح المرور، يجب على الشركات وموظفيها أن يضعوا في الاعتبار التدابير الأمنية التالية:
التخزين الآمن
احمِ مفاتيح المرور كما تفعل مع أي شيء آخر ذو قيمة. احتفظ بها في مكان آمن وتجنب تركها بدون مراقبة أو في مكان يسهل الوصول إليه.

الإبلاغ عن فقدان أو سرقة مفاتيح المرور
قم بالإبلاغ فوراً عن مفاتيح المرور المفقودة أو المسروقة إلى قسم تكنولوجيا المعلومات أو المسؤول الأمني. يتيح ذلك اتخاذ إجراءات سريعة، مثل تعطيل المفتاح لمنع الوصول غير المصرح به.

التحديثات المنتظمة للبرامج
حافظ على تحديث البرامج الثابتة لمفاتيح المرور والبرامج المرتبطة بها للاستفادة من التصحيحات والتحسينات الأمنية.

تجنب مشاركة أو إعارة مفاتيح المرور
شجع الموظفين على عدم مشاركة مفاتيح المرور الخاصة بهم أو إعارتها للآخرين، لأن ذلك يعرض الأمان للخطر. تأكد من توفير تدريب شامل حول استخدام مفاتيح المرور، بما في ذلك أفضل الممارسات والإجراءات الواجب اتباعها في حالة الفقدان أو السرقة.

الامتثال التنظيمي
تأكد من أن أنظمة مفاتيح المرور تتوافق مع المعايير واللوائح القطاعية لتجنب المشكلات القانونية والتوافقية.

التحكم
يعد إنشاء نظام قوي لمراقبة وإدارة واستبدال مفاتيح المرور، بالإضافة إلى ضمان التحديثات والتصحيحات في الوقت المناسب، أمراً ضرورياً لضمان الأمان المستمر.

 

من يستخدم مفاتيح المرور؟

إلى جانب جوجل، فإن الشركات التالية تدعم بالفعل استخدام مفاتيح المرور كبدائل لكلمات المرور:

PayPal
Adobe
TikTok
GitHub
Microsoft
Amazon
WhatsApp
Uber
X (تويتر سابقاً)
LinkedIn
eBay
وغيرهم…

 

 

ي المستقبل القريب...

على الرغم من اعتماد مفاتيح المرور كطريقة اتصال افتراضية لجميع المستخدمين، ستستمر Google في دعم كلمات المرور التقليدية. هذا يعني أن المستخدمين يمكنهم الاستمرار في استخدامها إذا رغبوا في ذلك، عن طريق تعطيل الخيار "تجاهل كلمة المرور عندما يكون ذلك ممكناً".

ومع ذلك، يتفق خبراء الصناعة عموماً على أن مفاتيح المرور يبدو أنها المستقبل، ليس فقط لأنها أكثر أماناً، ولكن أيضاً لأنها أبسط في الاستخدام.

على الرغم من المخاطر والتحديات المحتملة المذكورة سابقاً، يؤكد خبير الأمن السيبراني لدينا بشكل قاطع: "نعم، أعتقد أننا سنرى مستقبلًا بلا كلمات مرور".

شارك هذا المقال