لدى Apple و Google و Microsoft خطط كبيرة لإزالة كلمة المرور.
من خلال العمل مع مجموعة معايير تسمى FIDO Alliance، تدعم جميع الشركات الثلاث نظامًا يقوم فيه هاتفك أو جهاز الكمبيوتر بتسجيل دخولك إلى جميع حساباتك عبر الإنترنت تلقائيًا، باستخدام اكتشاف الوجه على الجهاز أو التعرف على بصمات الأصابع للتحقق من هويتك. فكر في الأمر على أنه امتلاك مدير كلمات مرور، ولكن بدون كلمات المرور الفعلية.
أسفرت أخبار الزوال المحتمل لكلمة المرور عن الكثير من التغطية الحماسية في الأسابيع الأخيرة، ولسبب مفهوم: يستخدم الكثير من الأشخاص نفس كلمات المرور الضعيفة في كل مكان، مما يترك أنفسهم عرضة لمخاطر أمنية خطيرة. يعد حذف كلمات المرور تمامًا طريقة لحماية الأشخاص من أنفسهم.
ولكن قد يكون للضغط من أجل جعل كلمات المرور قديمة أيضًا عواقب: من خلال تسليم مفاتيح المرور الرقمية الخاصة بك إلى Apple و Microsoft و Google ، فإنك تسهل على هذه الشركات محاصرتك داخل الأنظمة البيئية الخاصة بها. في الوقت الحالي، لا يوجد لدى FIDO Alliance حلول محددة لمشكلة الانغلاق التي يساعد في إنشائها.
من خلال العمل مع مجموعة معايير تسمى FIDO Alliance، تدعم جميع الشركات الثلاث نظامًا يقوم فيه هاتفك أو جهاز الكمبيوتر بتسجيل دخولك إلى جميع حساباتك عبر الإنترنت تلقائيًا، باستخدام اكتشاف الوجه على الجهاز أو التعرف على بصمات الأصابع للتحقق من هويتك. فكر في الأمر على أنه امتلاك مدير كلمات مرور، ولكن بدون كلمات المرور الفعلية.
أسفرت أخبار الزوال المحتمل لكلمة المرور عن الكثير من التغطية الحماسية في الأسابيع الأخيرة، ولسبب مفهوم: يستخدم الكثير من الأشخاص نفس كلمات المرور الضعيفة في كل مكان، مما يترك أنفسهم عرضة لمخاطر أمنية خطيرة. يعد حذف كلمات المرور تمامًا طريقة لحماية الأشخاص من أنفسهم.
ولكن قد يكون للضغط من أجل جعل كلمات المرور قديمة أيضًا عواقب: من خلال تسليم مفاتيح المرور الرقمية الخاصة بك إلى Apple و Microsoft و Google ، فإنك تسهل على هذه الشركات محاصرتك داخل الأنظمة البيئية الخاصة بها. في الوقت الحالي، لا يوجد لدى FIDO Alliance حلول محددة لمشكلة الانغلاق التي يساعد في إنشائها.
كيف ستعمل الأنظمة بدون كلمة مرور
يُطلق على اقتراح FIDO من الناحية الفنية اسم "بيانات اعتماد FIDO متعددة الأجهزة"، لكن شركات التكنولوجيا الكبرى تشير إليه بالعامية باسم "مفتاح المرور passkey". تكمن الفكرة في أنك عندما تقوم بإلغاء قفل هاتفك باستخدام وجهك أو بصمة إصبعك ، تكون قد أثبتت هويتك بشكل فعال، لذلك يجب أن تكون قادرًا أيضًا على تسجيل الدخول إلى التطبيقات والمواقع الأخرى دون أي مطالبات.
تخيل، على سبيل المثال، تريد إنشاء حساب Twitter. بدلاً من جعلك تقوم بإعداد كلمة مرور داخل تطبيق Twitter، سيقوم هاتفك بإنشاء مفتاح مرور مخفي وتخزينه بأمان على الجهاز. تويتر نفسه لا يتعلم أو يخزن مفتاح المرور؛ بدلاً من ذلك، يتلقى بيانات اعتماد من هاتفك للتحقق من هويتك وتتيح لك تسجيل الدخول.
فوائد هذا الأسلوب ذات شقين: لا يتعين عليك تذكر كلمات المرور الجديدة لكل تطبيق أو تعلم استخدام مدير كلمات المرور، ولا داعي للقلق من التطبيق أو موقع الويب بشأن فقدان كلمات مرور المستخدمين في خرق أمني.
يقول Andrew Shikiar، المدير التنفيذي لـ FIDO Alliance: "نريد أن يحصل الأشخاص على كلمات المرور من خوادمهم".
لا يلزم أن تكون مفاتيح مرور FIDO مقيدة بهاتفك أيضًا. تخطط Apple و Google لمزامنة مفاتيح المرور من خلال خدمات السحابة الخاصة بهما، لذلك إذا قمت بإنشاء حساب Twitter على جهاز iPhone الخاص بك وترغب في تسجيل الدخول على جهاز Mac الخاص بك، فستحصل على نفس تجربة تسجيل الدخول الفوري، باستخدام قارئ بصمات الأصابع في Mac للتحقق من هويتك .
هذا النهج متعدد الأجهزة هو أيضًا الطريقة التي ستعالج بها FIDO الترقية إلى جهاز جديد أو استبدال جهاز مفقود. عند شراء هاتف جديد ، ستتمكن من استخدام الهاتف القديم أو جهاز الكمبيوتر الخاص بك لمزامنة مفاتيح المرور عبر البلوتوث. (ومع ذلك ، قد لا تزال بحاجة إلى كلمة مرور فعلية وطريقة مصادقة احتياطية لحساب Apple أو Google الخاص بك، على الأقل في المدى القريب، لتجنب الصداع الكبير عند استبدال جهاز مفقود.)
كل هذا مشابه إلى حد ما لكيفية عمل مديري كلمات المرور المدمجين في Apple و Google اليوم. Apple ، على سبيل المثال، يمكنها بالفعل إنشاء وتخزين عمليات تسجيل الدخول لك على أجهزة iPhone و Macs، ويمكنها مزامنتها من خلال iCloud keychain. يمكن لـ Google أن تفعل الشيء نفسه مع هواتف Android ومتصفح Chrome. يعتمد نظام FIDO فقط على هذه الأساليب من خلال إزالة كلمات المرور الفعلية من المعادلة.
يقول Shikiar: "إنه يوفر تجربة شبيهة بتجربة إدارة كلمات المرور ، أو تجربة تخزين مشابهة للمتصفح ، ولكن بدلاً من إصدار كلمات المرور الحالية ، فإنه يُصدر أزواج مفاتيح FIDO".
لا يوجد مخرج (حتى الآن)
كما سيخبرك أي شخص يستخدم مدير كلمات المرور، فإن عدم الاضطرار إلى التفكير في كلمات المرور يمكن أن يشعر بالتحرر. ولكن من خلال القضاء عليها تمامًا، فإن اقتراح FIDO يخاطر بوضع المزيد من السيطرة على حياة المستخدمين الرقمية في أيدي عدد قليل من شركات التكنولوجيا الكبرى.
لا يحتوي اقتراح FIDO الحالي على آلية لنقل مفاتيح المرور بالجملة بين النظم الإيكولوجية. إذا كنت تريد التبديل من هاتف Android إلى iPhone - أو العكس - فلن تتمكن من نقل جميع مفاتيح المرور الخاصة بك بسهولة.
يقول Shikiar: "ليس لدينا حقًا طريقة تصدير مجمعة في الوقت الحالي". "أعتقد أنه من المحتمل أن يكون هذا تكرارًا في المستقبل".
على النقيض من ذلك، فإن الطبيعة الملموسة لكلمات المرور تجعل نقلها سهلًا إلى حد ما. يمكن لمتصفحات الويب الرئيسية استيراد كلمات المرور من متصفحات أخرى ببضع نقرات فقط، ويمكن لمعظم مديري كلمات المرور تنزيل معلومات تسجيل دخول المستخدمين إلى جدول بيانات .csv، مما يتيح للمستخدمين تحميلها يدويًا إلى خدمة منافسة.
يخطط FIDO للسماح للمستخدمين بنسخ مفاتيح المرور واحدًا تلو الآخر، لذلك إذا قمت بإنشاء حساب باستخدام iPhone وتريد تسجيل الدخول على جهاز كمبيوتر يعمل بنظام Windows، يمكن لشركة Microsoft إنشاء مفتاح المرور الخاص بها لهذه الخدمة بمجرد المصادقة من خلال هاتفك. ومع ذلك ، لن يكون نقل مفاتيح المرور واحدًا تلو الآخر ممكنًا للمستخدمين الذين يريدون ترك نظام بيئي معين وحفظوا العشرات أو المئات من عمليات تسجيل الدخول.
يقول Sam Srinivas، مدير إدارة المنتجات للمصادقة الآمنة في Google - وهو أيضًا رئيس FIDO Alliance- إن القفل ليس الهدف، وأن Google والشركات الأخرى مهتمة بإمكانية التشغيل البيني.
يقول: "لا تريد المنصات أن تكون في وضع يكون فيه القفل مثبطًا طويل المدى لهذا التغيير في العالم ، لأن هذا ليس هو الهدف". "الهدف هو جعل الإنترنت أكثر أمانًا".
ومع ذلك، تتحرك FIDO وشركاؤها بحذر لأسباب أمنية. الخوف هو أنه إذا تمكن المستخدمون من نقل جميع مفاتيح المرور الخاصة بهم بسهولة بين مقدمي الخدمة، فقد يحاول المتسللون استغلال هذه الإمكانية. في الوقت الحالي، ليس من الواضح متى أو كيف يمكن لـ FIDO معالجة هذه المشكلة.
يقول Srinivas: "من الصعب جدًا القيام بذلك بأمان من البداية، لأننا إذا قدمنا آلية دون رعاية كبيرة لشخص ما لتصدير كل هذه المفاتيح، فأنت تعلم من سيظهر أولاً لذلك". "لن يكون المستخدم الشرعي".
أعمال جارية
تتمثل إحدى طرق منع سيناريو القفل في السماح لمديري كلمات المرور التابعين لجهات خارجية مثل Bitwarden و 1Password بإدارة مفاتيح مرور المستخدمين. بهذه الطريقة، لن يضطر المستخدمون إلى الاعتماد على Apple و Google و Microsoft لإدارة عمليات تسجيل الدخول الخاصة بهم، ويمكنهم التنقل بسهولة بين الأنظمة الأساسية.
ولكن حتى هذا قد يعتمد على الأرجح على الدعم من شركات التكنولوجيا الكبرى، والتي يجب أن تسمح لمديري كلمات المرور بالتكامل مع أنظمة التشغيل الخاصة بهم. لقد فعلوا ذلك بالفعل إلى حد ما اليوم- يمكنك استخدام مدير كلمات مرور تابع لجهة خارجية لتعبئة كلمات المرور تلقائيًا على iOS و Android- ولكن العملية ليست سلسة تمامًا مثل الحلول المضمنة، وسيتطلب استيعاب مفاتيح المرور المزيد الشغل.
قد يفسر ذلك سبب مشاركة شركات إدارة كلمات المرور في هذه العملية. Bitwarden عضو قديم في FIDO Alliance بالفعل، ووقعت 1Password في وقت سابق من هذا الشهر، على أمل توجيه FIDO في اتجاه لا يترك المستخدمين محبوسين.
يقول Jeff Shiner، الرئيس التنفيذي لشركة 1Password، عبر البريد الإلكتروني: "بينما نتطلع إلى المستقبل، سيكون من المهم أن يتم منح العملاء خيار كيفية إدارة هوياتهم عبر الإنترنت". "أملنا هو العمل جنبًا إلى جنب مع رواد الصناعة مثل Apple و Google و Microsoft في تشكيل ما سيأتي بعد ذلك وجعله أفضل تجربة مستخدم ممكنة، بغض النظر عن الطريقة".
يقول Gary Orenstein، كبير مسؤولي العملاء في Bitwarden، إنه لا يقلق بشأن مستقبل محتمل بدون كلمة مرور. إنه يأمل في أن يوفر FIDO Alliance في النهاية المزيد من الخيارات بدون كلمة مرور للمستخدمين، وإذا لم تنته شركات التكنولوجيا الكبرى بإعطاء الأولوية لقابلية التشغيل البيني، فهو يعتقد أن ذلك سيساعد فقط الشركات التي تفعل ذلك.
يقول: "أنا متفائل بشأن اتجاه عدم استخدام كلمة المرور والراحة التي يجلبها للأشخاص، لكنني متفائل بنفس القدر بشأن الحاجة إلى حلول عبر الأنظمة الأساسية". "هذه الأشياء مجتمعة تعمل لصالح Bitwarden".
في غضون ذلك، على الرغم من ذلك، فإن مستقبلنا الخالي من كلمات المرور سيصبح فوضويًا بعض الشيء. بينما تخطط Apple و Google و Microsoft لتبني عمليات تسجيل الدخول بدون كلمة مرور خلال العام المقبل، فإن الحصول على تطبيقات ومواقع فردية على متن الطائرة سيكون جهدًا متعدد السنوات. على طول الطريق، قد ينتهي الأمر بالمستخدمين مع عدد قليل من عمليات تسجيل الدخول المنتشرة عبر أنظمة بيئية مختلفة، مع أو بدون كلمات مرور مرفقة، وفي بعض الحالات لا توجد طريقة واضحة لترحيلهم إلى منصات أخرى.
يقول Andrew Shikiar من FIDO Alliance إن هذا ما يجب أن يحدث إذا كانت كلمة المرور ستموت حقًا.
يقول: "أعلم أنه من المثير أن نقول، "دعونا ندع السوق يتكرر" ، لكنني أعتقد أن هذا ما يجب أن يحدث هنا". "هذا، مثل أي تقنية، سوف يحتاج إلى الظهور، وسيكون له بعض النجاح، وأعتقد أنه سيكون لديه بعض المجالات للتحسين".