في عالم الأمن السيبراني cybersecurity، غالبًا ما يعني إيقاف الخصم أنه يجب على الشركات أولاً منع موظفيها من القيام بأشياء غبية. خاصة عندما يتعلق الأمر بكلمات المرور Passwords والنقر على رسائل البريد الإلكتروني المشبوهة.
تعد كلمات المرور المخترقة مسؤولة عن 81% من الانتهاكات المتعلقة بالقرصنة، حسبما أفادت شركة Verizon. ومع ذلك، تستمر كلمات المرور الضعيفة وهجمات التصيد الناجحة في الانتشار.
نتيجة لذلك، يستمر التصيد الاحتيالي phishing وبرامج الفدية ransomware وسرقة البيانات في التدهور. شهدت 83% من المؤسسات هجومًا تصيدًا ناجحًا يعتمد على البريد الإلكتروني في عام 2021، وهي قفزة كبيرة من 57% في عام 2020، وفقًا لبيانات Proofpoint.
وكما يتضح من حوادث مثل هجوم خط أنابيب كولونيال Colonial Pipeline attack، يمكن أن يكون لكلمة مرور واحدة تم اختراقها تأثير بعيد المدى.
التخلي عن كلمة المرور Ditching the password
استجابةً لذلك، كان العديد من بائعي خدمات الأمان والشركات الناشئة يدفعون بالمصادقة بدون كلمة مرور passwordless authentication كإجابة نهائية.
لكن الرئيس التنفيذي لشركة ناشئة يتساءل عما إذا كان مجرد إتاحة التكنولوجيا- وإثبات نجاحها- لن يكون كافياً.
Mickey Boodaei، رائد أعمال متسلسل في صناعة الأمن كانت شركته السابقة Imperva (التي أصبحت عامة) و Trusteer (التي استحوذت عليها شركة IBM)، يهدف الآن إلى المساعدة في القضاء على كلمة المرور بالكامل مع شركته الحالية، Transmit Security. قال Boodaei إن الشركة الناشئة، التي شارك في تأسيسها في 2014 وجمعت 543 مليون دولار العام الماضي، تساعد في إثبات أن التكنولوجيا للشركات والأفراد للعمل بدون كلمة مرور جاهزة لوقت الذروة.
وبمجرد أن يدرك المنظمون أن كلمات المرور لم تعد ضرورية، فإنه يعتقد أن حظر كلمات المرور تمامًا سيكون أمرًا لا مفر منه.
قال Boodaei في مقابلة: "أعتقد حقًا أنه بسبب التغييرات في السوق اليوم- بسبب التعليم الذي نراه حول مدى سوء كلمات المرور ومدى جودة المصادقة بدون كلمة مرور- أعتقد أنه في غضون بضع سنوات من الآن، سنقوم بالفعل انظر إلى المنظمين وهم يحظرون كلمات المرور تمامًا".
وقال إن هذا لن يحدث على الأرجح دفعة واحدة- من المحتمل أن يبدأ بالخدمات المالية- ومنطقة تلو الأخرى. قال Boodaei إنه ليس لديه تنبؤ بموعد حدوث ذلك، لكنه يعتقد أنه "من الممكن في بعض القطاعات، في بعض المناطق، أن يحدث هذا عاجلاً وليس آجلاً".
قال: "أعتقد أنه بمجرد قيام المنظم الأول بذلك، فإن الآخرين سيتبعون ذلك بسرعة كبيرة". "بمجرد أن يقتنع المنظمون بأن البدائل جاهزة وأن البدائل تثبت أنها حل أمني أفضل بكثير مما لدينا اليوم- سيكون من غير المنطقي بالنسبة لهم حظر كلمات المرور تمامًا".
في النهاية، قال Boodaei، "لا يوجد سبب للسماح بكلمات المرور بعد الآن".
الأيام معدودة Days are numbered
قال Greg Dracon، الشريك في .406 Ventures، الذي قاد استثمار الشركة في HYPR المصادقة بدون كلمة مرور، إن كلمات المرور هي بلا شك "كنز دفين للممثلين السيئين".
قال Dracon عن كلمات المرور: "يتم بيعها بسهولة على شبكة الإنترنت المظلمة. يمكن تحقيق الدخل منها. لقد ساعدوا في تشجيع النظام البيئي حول الجرائم الإلكترونية"، "ومن المؤلم في الرقبة تدويرها أو تغييرها".
مع كل هذه المشكلات، قال "كلمات المرور يجب أن تختفي". وقال Dracon إنه مع توفر تقنيات المصادقة بدون كلمة مرور قابلة للتطوير مثل HYPR، فلا شك أنه سيتم التخلص التدريجي من كلمات المرور بمرور الوقت.
قال Anders Ranum، الشريك في Sapphire Ventures، إنه حتى مع كل المخاطر المعروفة المرتبطة بكلمات المرور، "ما زلنا نمتلكها- ولا تزال الشركات تنشر أنظمة قائمة على كلمات المرور لأن معظم المؤسسات تعتبر التكاليف الأولية أرخص". الشركة التي دعمت مزودي المصادقة بدون كلمة مرور بما في ذلك Auth0 (التي استحوذت عليها Okta مقابل 6.5 مليار دولار) و Ping Identity.
ومع ذلك، قال Ranum: "نظرًا لأن مشتري هذه الأنظمة يصبحون أكثر راحة في فهم التكاليف الإجمالية ومزايا الأعمال مع تقليل احتكاك العملاء، سنشهد اعتمادًا سريعًا لتقنيات جديدة وآمنة بدون كلمة مرور".
وعلى الرغم من أنه لا يعتقد أن المنظمين سوف يحظرون كلمات المرور "بضربات واسعة in broad strokes" في أي وقت قريب، إلا أنه يمكن تسريع التحول إلى "بدون كلمة مرور passwordless" إذا بدأ بائعو التأمين الإلكتروني، على سبيل المثال، في طلب هذا النوع من التكنولوجيا من أجل توفير التغطية.
ومع ذلك، فليس من المستبعد أن يقوم المنظمون باتخاذ إجراءات صارمة ضد استخدام كلمات المرور في مرحلة ما في المستقبل، وفقًا لـ Jonathan Blavin، الشريك في شركة المحاماة Munger، Tolles & Olson، المتخصص في قضايا الخصوصية وأمن البيانات.
قال Blavin: "إذا تغير الوضع الراهن في هذا الاتجاه وحصلت على إجماع كاف على أن هذا هو ما تحتاجه لحماية المستخدمين- فربما ستصل إلى هناك". "لا أعتقد أنه سيكون فوريًا، بأي وسيلة. لكن يمكنني أن أرى ذلك يحدث في المدى المتوسط إلى المدى الطويل".
في غضون ذلك، قال Blavin إنه يتوقع أن يركز المنظمون بشكل متزايد على الآليات لتشجيع نشر المصادقة بدون كلمة مرور.
ومع ذلك، حتى الآن، لم ير أي مقترحات حكومية تشير إلى معيار أمان جديد، حيث لا يكون استخدام كلمات المرور كافيًا لحماية البيانات.
قال Blavin: "أعتقد أن ما ستحصل عليه على الأكثر هو توجيه من المنظمين، بالقول إننا نعتقد أن هذه أفضل ممارسة". "ومن المحتمل بعد ذلك بمرور الوقت، أن يصبح هذا التوجيه معيارًا أمنيًا حقيقيًا سيتطلع إليه المنظمون في التحقيق في انتهاكات البيانات".
تعد كلمات المرور المخترقة مسؤولة عن 81% من الانتهاكات المتعلقة بالقرصنة، حسبما أفادت شركة Verizon. ومع ذلك، تستمر كلمات المرور الضعيفة وهجمات التصيد الناجحة في الانتشار.
نتيجة لذلك، يستمر التصيد الاحتيالي phishing وبرامج الفدية ransomware وسرقة البيانات في التدهور. شهدت 83% من المؤسسات هجومًا تصيدًا ناجحًا يعتمد على البريد الإلكتروني في عام 2021، وهي قفزة كبيرة من 57% في عام 2020، وفقًا لبيانات Proofpoint.
وكما يتضح من حوادث مثل هجوم خط أنابيب كولونيال Colonial Pipeline attack، يمكن أن يكون لكلمة مرور واحدة تم اختراقها تأثير بعيد المدى.
التخلي عن كلمة المرور Ditching the password
استجابةً لذلك، كان العديد من بائعي خدمات الأمان والشركات الناشئة يدفعون بالمصادقة بدون كلمة مرور passwordless authentication كإجابة نهائية.
لكن الرئيس التنفيذي لشركة ناشئة يتساءل عما إذا كان مجرد إتاحة التكنولوجيا- وإثبات نجاحها- لن يكون كافياً.
Mickey Boodaei، رائد أعمال متسلسل في صناعة الأمن كانت شركته السابقة Imperva (التي أصبحت عامة) و Trusteer (التي استحوذت عليها شركة IBM)، يهدف الآن إلى المساعدة في القضاء على كلمة المرور بالكامل مع شركته الحالية، Transmit Security. قال Boodaei إن الشركة الناشئة، التي شارك في تأسيسها في 2014 وجمعت 543 مليون دولار العام الماضي، تساعد في إثبات أن التكنولوجيا للشركات والأفراد للعمل بدون كلمة مرور جاهزة لوقت الذروة.
وبمجرد أن يدرك المنظمون أن كلمات المرور لم تعد ضرورية، فإنه يعتقد أن حظر كلمات المرور تمامًا سيكون أمرًا لا مفر منه.
قال Boodaei في مقابلة: "أعتقد حقًا أنه بسبب التغييرات في السوق اليوم- بسبب التعليم الذي نراه حول مدى سوء كلمات المرور ومدى جودة المصادقة بدون كلمة مرور- أعتقد أنه في غضون بضع سنوات من الآن، سنقوم بالفعل انظر إلى المنظمين وهم يحظرون كلمات المرور تمامًا".
وقال إن هذا لن يحدث على الأرجح دفعة واحدة- من المحتمل أن يبدأ بالخدمات المالية- ومنطقة تلو الأخرى. قال Boodaei إنه ليس لديه تنبؤ بموعد حدوث ذلك، لكنه يعتقد أنه "من الممكن في بعض القطاعات، في بعض المناطق، أن يحدث هذا عاجلاً وليس آجلاً".
قال: "أعتقد أنه بمجرد قيام المنظم الأول بذلك، فإن الآخرين سيتبعون ذلك بسرعة كبيرة". "بمجرد أن يقتنع المنظمون بأن البدائل جاهزة وأن البدائل تثبت أنها حل أمني أفضل بكثير مما لدينا اليوم- سيكون من غير المنطقي بالنسبة لهم حظر كلمات المرور تمامًا".
في النهاية، قال Boodaei، "لا يوجد سبب للسماح بكلمات المرور بعد الآن".
الأيام معدودة Days are numbered
قال Greg Dracon، الشريك في .406 Ventures، الذي قاد استثمار الشركة في HYPR المصادقة بدون كلمة مرور، إن كلمات المرور هي بلا شك "كنز دفين للممثلين السيئين".
قال Dracon عن كلمات المرور: "يتم بيعها بسهولة على شبكة الإنترنت المظلمة. يمكن تحقيق الدخل منها. لقد ساعدوا في تشجيع النظام البيئي حول الجرائم الإلكترونية"، "ومن المؤلم في الرقبة تدويرها أو تغييرها".
مع كل هذه المشكلات، قال "كلمات المرور يجب أن تختفي". وقال Dracon إنه مع توفر تقنيات المصادقة بدون كلمة مرور قابلة للتطوير مثل HYPR، فلا شك أنه سيتم التخلص التدريجي من كلمات المرور بمرور الوقت.
قال Anders Ranum، الشريك في Sapphire Ventures، إنه حتى مع كل المخاطر المعروفة المرتبطة بكلمات المرور، "ما زلنا نمتلكها- ولا تزال الشركات تنشر أنظمة قائمة على كلمات المرور لأن معظم المؤسسات تعتبر التكاليف الأولية أرخص". الشركة التي دعمت مزودي المصادقة بدون كلمة مرور بما في ذلك Auth0 (التي استحوذت عليها Okta مقابل 6.5 مليار دولار) و Ping Identity.
ومع ذلك، قال Ranum: "نظرًا لأن مشتري هذه الأنظمة يصبحون أكثر راحة في فهم التكاليف الإجمالية ومزايا الأعمال مع تقليل احتكاك العملاء، سنشهد اعتمادًا سريعًا لتقنيات جديدة وآمنة بدون كلمة مرور".
وعلى الرغم من أنه لا يعتقد أن المنظمين سوف يحظرون كلمات المرور "بضربات واسعة in broad strokes" في أي وقت قريب، إلا أنه يمكن تسريع التحول إلى "بدون كلمة مرور passwordless" إذا بدأ بائعو التأمين الإلكتروني، على سبيل المثال، في طلب هذا النوع من التكنولوجيا من أجل توفير التغطية.
ومع ذلك، فليس من المستبعد أن يقوم المنظمون باتخاذ إجراءات صارمة ضد استخدام كلمات المرور في مرحلة ما في المستقبل، وفقًا لـ Jonathan Blavin، الشريك في شركة المحاماة Munger، Tolles & Olson، المتخصص في قضايا الخصوصية وأمن البيانات.
قال Blavin: "إذا تغير الوضع الراهن في هذا الاتجاه وحصلت على إجماع كاف على أن هذا هو ما تحتاجه لحماية المستخدمين- فربما ستصل إلى هناك". "لا أعتقد أنه سيكون فوريًا، بأي وسيلة. لكن يمكنني أن أرى ذلك يحدث في المدى المتوسط إلى المدى الطويل".
في غضون ذلك، قال Blavin إنه يتوقع أن يركز المنظمون بشكل متزايد على الآليات لتشجيع نشر المصادقة بدون كلمة مرور.
ومع ذلك، حتى الآن، لم ير أي مقترحات حكومية تشير إلى معيار أمان جديد، حيث لا يكون استخدام كلمات المرور كافيًا لحماية البيانات.
قال Blavin: "أعتقد أن ما ستحصل عليه على الأكثر هو توجيه من المنظمين، بالقول إننا نعتقد أن هذه أفضل ممارسة". "ومن المحتمل بعد ذلك بمرور الوقت، أن يصبح هذا التوجيه معيارًا أمنيًا حقيقيًا سيتطلع إليه المنظمون في التحقيق في انتهاكات البيانات".
