دنیای بدون رمز عبور همچنان می تواند کاربران را به اپل یا اندروید قفل کند


چشم انداز جهانی بدون رمز عبور نمی تواند به زودی برای من به وجود بیاید، اما مشکلی با استاندارد FIDO که برای رفع نیاز به آن طراحی شده است، به وجود آمده است. یعنی حذف گذرواژه‌ها می‌تواند جابه‌جایی بین اکوسیستم‌ها را سخت‌تر کند.

اگر کلیدهای دسترسی خود را برای دستگاه‌های اپل پیکربندی کرده‌اید، هیچ چیز در استاندارد به شما اجازه نمی‌دهد آن‌ها را به دستگاه اندرویدی منتقل کنید یا برعکس…

دنیای بدون رمز عبور

دنیای بدون رمز عبور، ماموریت اتحاد FIDO (Fast Identity Online) است.

در حال حاضر، برای ورود به یک وب سایت یا برنامه، معمولاً یک نام کاربری و رمز عبور وارد می کنیم. ما سال‌ها استدلال کرده‌ایم که گذرواژه‌ها یک رویکرد بسیار وحشتناک برای امنیت هستند – و با هر سرویس اضافی که استفاده می‌کنیم این موضوع بیشتر می‌شود. پرسش‌های امنیتی به‌عنوان شکلی خام از احراز هویت دو مرحله‌ای، یک آشفتگی حتی بزرگ‌تر است.

در عوض، کاری که FIDO انجام می دهد این است که به دستگاه ما اجازه می دهد ما را احراز هویت کند. منطق به شرح زیر است (به عنوان مثال از یک آیفون با Face ID استفاده کنید):

  • یک وب‌سایت یا اپلیکیشن از شما می‌خواهد خودتان را شناسایی کنید و هویت خود را ثابت کنید.
  • آیفون شما این درخواست را دریافت کرده و Face ID را فعال می کند.
  • اگر چهره شما مطابقت دارد، آیفون شما به وب سایت می گوید که شما کی هستید،
    و اینکه هویت شما را تایید کرده است.

به هیچ وجه گذرواژه در کار نیست: احراز هویت در دستگاه شما انجام می شود، نه در سرور وب سایت. وب سرور به آیفون شما اعتماد می کند که دقیقاً به همان روشی که پایانه های پرداخت به تلفن شما برای تراکنش های Apple Pay اعتماد می کنند، شما را احراز هویت می کند.

اپل از این استاندارد پشتیبانی می کند

ما برای اولین بار در سال 2019 نمونه ای از نحوه عملکرد آن بر روی دستگاه های اپل را دیدیم. سپس اپل رسما تایید کرد که در سال بعد از استاندارد FIDO پشتیبانی خواهد کرد.

همچنین توسط غول های فناوری دیگر مانند آمازون، آرم، فیس بوک، گوگل، اینتل، مایکروسافت و سامسونگ پشتیبانی می شود. و برای نشان دادن اینکه حتی شرکت های خدمات مالی از امنیت این رویکرد راضی هستند، اعضای هیئت مدیره FIDO شامل American Express، ING، Mastercard، Paypal، Visa و Wells Fargo هستند.

یک به‌روزرسانی پیشنهادی برای استاندارد، با اجازه دادن به یک دستگاه اپل برای احراز هویت دستگاه دیگر، از طریق بلوتوث، زندگی را آسان‌تر می‌کند. به عبارت دیگر، اگر تا به حال از FIDO برای اتصال به یک وب سایت در آیفون خود استفاده کرده باشید، اگر در محدوده بلوتوث باشد، شما را به مک شما نیز متصل می کند. اپل اجرای این ویژگی را Passkeys در iCloud Keychain می نامد. در حال حاضر این فقط یک پیشنهاد است، اما اپل، گوگل و مایکروسافت همه در حال برنامه ریزی برای پشتیبانی از آن هستند.

مشکل حصر

با این حال، همانطور که تجارت سریع گزارش ها، در حال حاضر هیچ چیزی در استاندارد وجود ندارد که اجازه جابه جایی بین اکوسیستم ها را بدهد. کلیدهای عبور در دستگاه‌های شما (و در صورت تأیید این ویژگی در فضای ابری) ذخیره می‌شوند، که اگر می‌خواهید از آیفون به تلفن اندرویدی تغییر دهید یا بالعکس مشکل ایجاد می‌کند.

پیشنهاد فعلی FIDO هیچ مکانیزمی برای انتقال عمده کلیدهای دسترسی بین اکوسیستم ها ندارد. اگر می خواهید از یک گوشی اندرویدی به آیفون یا برعکس تغییر دهید، نمی توانید به راحتی همه رمزهای عبور خود را جابجا کنید.

اندرو شیکیار، مدیر اجرایی FIDO Alliance می گوید: «در حال حاضر واقعاً روش صادرات دسته ای نداریم. “من فکر می کنم این احتمالاً یک تکرار در آینده است.”

در مقابل، ماهیت ملموس پسوردها انتقال آنها را نسبتاً آسان می کند. مرورگرهای وب اصلی می توانند رمزهای عبور را از مرورگرهای دیگر با چند کلیک وارد کنند و اکثر مدیران رمز عبور می توانند اعتبار کاربری را در صفحه گسترده csv. آپلود کنند و به کاربران امکان می دهند آنها را به صورت دستی در یک سرویس رقیب آپلود کنند.

یا بهتر است بگوییم، شما فقط می توانید این یک رمز عبور را در یک زمان انجام دهید، که بسیار خسته کننده خواهد بود.

در تئوری، این یک مشکل ساده برای حل است: فقط اجازه دهید کلیدهای امنیتی به همان روشی که رمزهای عبور امروز می‌توانند صادر و وارد شوند. اما با توجه به اینکه FIDO قرار است امنیت بیشتری نسبت به رمزهای عبور داشته باشد، اتحاد تمایلی به اجازه دادن به آن ندارد.

ترس این است که اگر کاربران بتوانند به راحتی همه رمزهای عبور خود را بین ارائه دهندگان جابجا کنند، هکرها ممکن است سعی کنند از این توانایی سوء استفاده کنند. در حال حاضر، مشخص نیست که چه زمانی یا چگونه FIDO ممکن است این مشکل را برطرف کند.

Srinivas می‌گوید: «انجام این کار از همان ابتدا به‌طور ایمن بسیار دشوار است، زیرا اگر مکانیزم بی‌دقتی به کسی بدهیم تا همه این کلیدها را صادر کند، می‌دانید که چه کسی برای این کار ابتدا ظاهر می‌شود.» “این کاربر قانونی نخواهد بود.”

محتمل ترین راه حل این است که با شرکت های مدیریت رمز عبور مانند 1Password و LastPass کار کنید، زیرا آنها به یک نقش جدید در دنیای بدون رمز عبور نیاز دارند. 1Password و Bitwarden مطمئن هستند که این اتفاق خواهد افتاد – اما احتمالاً نباید انتظار آن را داشته باشیم که FIDO برای اولین بار در اواخر امسال یا اوایل سال آینده راه اندازی شود.

عکس: نیلای پاتل/پاشیدن

FTC: ما از لینک های وابسته خودکار درآمدزا استفاده می کنیم. بعد از.


برای اخبار بیشتر اپل، 9to5Mac را در YouTube بررسی کنید:



Source link

بخش appl 9to5mac فارسی