کلیدهای عبور (Passkeys) در حال ایجاد تغییرات اساسی در حوزه احراز هویت

 

تکامل کلیدهای عبور

با توجه به متفاوت بودن معنای کلید عبور برای افراد مختلف باید به جزئیات آن دقت بسیار نمود. Fast Identity Online (FIDO) را در نظر بگیرید، استاندارد احراز هویت منبع باز که راهی برای اتصال هویت به یک دستگاه و فعال کردن احراز هویت بدون رمز عبور فراهم می کند. اعتبارنامه‌های بدون رمز FIDO اغلب با کلیدهای عبور اشتباه گرفته می‌شوند، و حتی اتحادیه FIDO برای توصیف اعتبارنامه‌های بدون رمز FIDO از اصطلاح «کلید عبور» استفاده می‌کند، زیرا این واژه جذابیت زیادی پیدا کرده است.

اما FIDO یک تجربه احراز هویت چند عاملی (MFA) است که به یک تجربه بدون رمز تبدیل شده است. پشت صحنه، یک کلید رمزگذاری شده است که معمولاً در یک مخزن رمز عبور امن است. این روش جایگزین رویکرد سنتی ذخیره گذرواژه‌ها در یک سرور متمرکز شده است که منبع بسیاری از خطرات و مشکلات همچون فیشینگ برای چندین دهه بوده است. از آنجایی که FIDO در مرورگرها و پلتفرم‌های محبوب پشتیبانی می‌شود، به نظر می‌رسد پذیرش کلید عبور به طور تصاعدی رشد نماید.

 

چالش‌ها و وعده‌های کلیدهای عبور

پیشرفت‌های اخیر اکنون به کلیدهای خصوصی اجازه می‌دهد بین دستگاه‌ها پرسه بزنند و قابلیت استفاده سازمان‌ها را بهبود ببخشند، هرچند این کار خطر اشتراک‌گذاری آنها با بازیگران بد یا قربانی شدن در حمله فیشینگ را نیز به همراه خواهد داشت.

برای سازمان‌ها، می‌توان تعداد دستگاه‌هایی را که می‌توانند از کلید عبور استفاده کنند محدود کرد. در این مورد، کلید عبور متصل به دستگاه نیاز به تأیید صاحب دستگاه دارد، به طوری که این کلید فقط به کارکردن بر روی یک تلفن یا فقط به دستگاهی که از طریق یک توکن احراز هویت شده است محدود می‌شود. در حال حاضر بسیار پیچیده و تقریبا غیرممکن است که شخص دیگری از کلیدهای موجود بر روی یک دستگاه استفاده کند مگر اینکه کاربر مجاز آن را برای استفاده باز نماید.

ترکیب FIDO در سامانه‌ها نیز بسیار آسان است و نیاز به کدنویسی بسیار ندارد. تقریبا FIDO تمامی کارها در این زمینه را خود انجام داده و بخش اندکی را برای توسعه‌دهندگان باقی گذاشته است. در واقع به راحتی می‌توان تشخیص داد که آیا مرورگر از کلید عبور پشتیبانی می‌کند یا خیر و در ادامه تمام فرآیندهای تبادل داده‌های لازم برای ثبت نام کاربر به سادگی انجام خواهد شد. دفعه بعد که کاربر سعی می کند وارد سامانه مربوطه شود، دستگاه از او می‌خواهد که از مکانیسم مناسب که آن را در زمان ثبت نام مشخص کرده است، همچون اثر انگشت، استفاده کند.

علاوه بر این، یک راهکار مبتنی بر FIDO می تواند سیاست‌هایی را اعمال کند که بتواند برای انطباق با سطح ریسک یک تراکنش یا برنامه اجرا شود. این توانایی نیاز به ایجاد سیاست اجرایی پایین دستی در هر برنامه را از بین می‌برد.

مزیت سوم زمانی حاصل می‌شود که کاربران بخواهند روی برنامه‌های مختلف در سازمان کار کنند. داشتن یک کلید عبور واحد در تمام برنامه‌هایی که کاربر مجاز به دسترسی به آن است، یک ورود واحد (Single Sign-On) محافظت شده با MFA را فراهم می‌کند.

برای فعال کردن استفاده گسترده از کلیدهای عبور – چه در Apple iOS، Google Android یا مرورگرهای وب – به پلتفرمی نیاز است که از هر گونه احراز هویت FIDO پشتیبانی کند. با اجازه دادن به کاربر برای جابه‌جایی بین دستگاه‌ها، از جمله توکن‌های فیزیکی، با حداقل تلاش، کلیدهای عبور می‌توانند نقش مهمی در حرکت سازمان‌ها به سمت شیوه احراز هویت بدون رمز عبور داشته باشند.