کلیدهای عبور (Passkeys) در حال ایجاد تغییرات اساسی در حوزه احراز هویت
با گسترش استفاده از شیوه احراز هویت بدون رمز عبور، اصطلاح «کلیدهای عبور» یا همان Passkeys، به سرعت در حال تبدیل شدن به یک کلمه کلیدی جدید در حوزه امنیت سایبری است. اما کلید عبور دقیقاً چیست و چرا به آن نیاز داریم؟ کلید عبور یک اعتبار دیجیتالی است که فقط توسط کاربر مجاز قابل استفاده است. این کار معمولاً مستلزم باز کردن قفل دستگاه با یک نشانگر بیومتریک (مانند اسکن صورت یا اثر انگشت) یا یک عامل منحصر به فرد (مثلاً یک پین) است. احتمالا در آینده نزدیک، گوگل، اپل و بسیاری از سامانهها از کاربران خواهند خواست که برای «ورود به سیستم» یک کلید عبور فعال کنند. این فناوری مبتنی بر استاندارد احراز هویت بدون رمز عبور FIDO است.
استفاده از کلیدهای عبور (Passkeys) در سال گذشته زمانی که غولهای فناوری مانند اپل، گوگل و مایکروسافت پشتیبانی از آنها را در محصولات خود اعلام کردند، به سرعت رشد کرد. اپل کلیدهای عبور را در آخرین نسخههای خود بهطور خودکار ایجاد کرد، مایکروسافت استفاده از کلید عبور را در ویندوز 11 گسترش داد، و گوگل آنها را در دستگاههای کروم و اندروید فعال کرد. در اکتبر 2023، گوگل شروع به ارائه کلیدهای عبور به عنوان روش پیش فرض برای ورود کاربران به حسابهای خود کرده است.
تکامل کلیدهای عبور (Passkeys)
با توجه به متفاوت بودن معنای کلید عبور برای افراد مختلف باید به جزئیات آن دقت بسیار نمود. Fast Identity Online (FIDO) را در نظر بگیرید، استاندارد احراز هویت منبع باز که راهی برای اتصال هویت به یک دستگاه و فعال کردن احراز هویت بدون رمز عبور فراهم میکند. اعتبارنامههای بدون رمز FIDO اغلب با کلیدهای عبور اشتباه گرفته میشوند، و حتی اتحادیه FIDO برای توصیف اعتبارنامههای بدون رمز FIDO از اصطلاح «کلید عبور» استفاده میکند، زیرا این واژه جذابیت زیادی پیدا کرده است.
اما FIDO یک تجربه احراز هویت چند عاملی (MFA) است که به یک تجربه بدون رمز تبدیل شده است. پشت صحنه، یک کلید رمزگذاری شده است که معمولاً در یک مخزن رمز عبور امن است. این روش جایگزین رویکرد سنتی ذخیره گذرواژهها در یک سرور متمرکز شده است که منبع بسیاری از خطرات و مشکلات همچون فیشینگ برای چندین دهه بوده است. از آنجایی که FIDO در مرورگرها و پلتفرمهای محبوب پشتیبانی میشود، به نظر میرسد پذیرش کلید عبور به طور تصاعدی رشد نماید.
چالشها و وعدههای کلیدهای عبور (Passkeys)
پیشرفتهای اخیر اکنون به کلیدهای خصوصی اجازه میدهد بین دستگاهها پرسه بزنند و قابلیت استفاده سازمانها را بهبود ببخشند، هرچند این کار خطر اشتراکگذاری آنها با بازیگران بد یا قربانی شدن در حمله فیشینگ را نیز به همراه خواهد داشت.
برای سازمانها، میتوان تعداد دستگاههایی را که میتوانند از کلید عبور استفاده کنند محدود کرد. در این مورد، کلید عبور متصل به دستگاه نیاز به تأیید صاحب دستگاه دارد، به طوری که این کلید فقط به کارکردن بر روی یک تلفن یا فقط به دستگاهی که از طریق یک توکن احراز هویت شده است محدود میشود. در حال حاضر بسیار پیچیده و تقریبا غیرممکن است که شخص دیگری از کلیدهای موجود بر روی یک دستگاه استفاده کند مگر اینکه کاربر مجاز آن را برای استفاده باز نماید.
ترکیب FIDO در سامانهها نیز بسیار آسان است و نیاز به کدنویسی بسیار ندارد. تقریبا FIDO تمامی کارها در این زمینه را خود انجام داده و بخش اندکی را برای توسعهدهندگان باقی گذاشته است. در واقع به راحتی میتوان تشخیص داد که آیا مرورگر از کلید عبور پشتیبانی میکند یا خیر و در ادامه تمام فرآیندهای تبادل دادههای لازم برای ثبت نام کاربر به سادگی انجام خواهد شد. دفعه بعد که کاربر سعی میکند وارد سامانه مربوطه شود، دستگاه از او میخواهد که از مکانیسم مناسب که آن را در زمان ثبت نام مشخص کرده است، همچون اثر انگشت، استفاده کند.
علاوه بر این، یک راهکار مبتنی بر FIDO میتواند سیاستهایی را اعمال کند که بتواند برای انطباق با سطح ریسک یک تراکنش یا برنامه اجرا شود. این توانایی نیاز به ایجاد سیاست اجرایی پایین دستی در هر برنامه را از بین میبرد.
مزیت سوم زمانی حاصل میشود که کاربران بخواهند روی برنامههای مختلف در سازمان کار کنند. داشتن یک کلید عبور واحد در تمام برنامههایی که کاربر مجاز به دسترسی به آن است، یک ورود واحد (Single Sign-On) محافظت شده با MFA را فراهم میکند.
برای فعال کردن استفاده گسترده از کلیدهای عبور (Passkeys) – چه در Apple iOS، Google Android یا مرورگرهای وب – به پلتفرمی نیاز است که از هر گونه احراز هویت FIDO پشتیبانی کند. با اجازه دادن به کاربر برای جابهجایی بین دستگاهها، از جمله توکنهای فیزیکی، با حداقل تلاش، کلیدهای عبور میتوانند نقش مهمی در حرکت سازمانها به سمت شیوه احراز هویت بدون رمز عبور داشته باشند.
