آیا از به خاطر سپردن و مدیریت لیست های طولانی رمز عبور حساب های مختلف خسته شده اید؟ خبر خوب، آینده ای نه چندان دور دیگر خبری از رمز عبور نخواهد بود. حتی در حال حاضر نیز ممکن است بتوانید از برخی از خدمات و سرویس ها بدون رمز عبور (یا حداقل تقریبا بدون رمز عبور) استفاده کنید. فکر می کنید چقدر برای زندگی در دنیای بدون رمز عبور آمادگی داشته باشید؟
جالب است بدانید که تمام زیرساخت های مورد نیاز جهت پشتیبانی از لاگین بدون رمز عبور به سیستم در بسیاری از مرورگرها و سیستم عامل ها وجود دارد، اما هنوز برای محقق کردن رویای آینده بدون رمز عبور راه زیادی در پیش است و هنوز تا مدتی برای استفاده از سرویس های مختلف به رمز عبور نیاز داریم.
[box type=”shadow” align=”alignright” class=”” width=”100%”][/box]
دسترسی سریع
اصطلاح “بدون رمز عبور” دقیقا به چه معناست؟
دنیای بدون رمز عبور چه مزیت هایی به همراه دارد؟
چه سرویس هایی به شما اجازه لاگین بدون رمز عبور را می دهند؟
رویکرد دنیای بدون رمز عبور نیز کاملا بدون نقص نیست!
اصطلاح “بدون رمز عبور” دقیقا به چه معناست؟
لاگین بدون رمز عبور همان طور که از نام آن پیداست نیاز به ارائه رمز عبور هنگام ورود به هر سیستمی را از بین می برد، چه رمز عبوری باشد که آن را حفظ کرده اید و چه رمز عبوری باشد که آن را با استفاده از نرم افزارهای مدیریت رمز عبور مانند lastpass، مدریت می کنید. در ورود بدون رمز عبور هنوز لازم است تا شما شناسه خود مانند نام کاربری، آدرس ایمیل یا شماره تلفن خود را به خاطر بسپارید، اما به جای استفاده از رمز عبور هویت خود را از طریق روش های دیگری اثبات می کنید.
درجات مختلفی از پیاده سازی مفهوم بدون رمز عبور وجود دارد. هدف کلی برای بسیاری از سرویس ها حذف کلی رمز عبور است، این به این معنی است که اصلا امکان ورود به سیستم با رمز عبور وجود ندارد. برخی از رویکردهای بدون رمز عبور که در حال حاضر نیز در برخی از سیستم ها اعمال شده اند رمز عبور را به عنوان یکی از گزینه های ورود در نظر می گیرند اما به شما این امکان را می دهند تا بتوانید هویت خود را با استفاده از روش ها و ابزارهای دیگری به جز رمز عبور نیز تایید نمایید.
برای رها شدن از شر رمزهای عبور، روش های بسیاری برای تایید هویت به میان آمده اند. این روش ها می توانند شامل مواردی مانند یک برنامه احراز هویت در تلفن همراه (مانند lastpass authenticator) باشند که فقط خودتان به آن دسترسی دارید، روش بیومتریک مانند اسکن اثر انگشت یا صورت، یک دستگاه فیزیکی مانند یو اس بی یا کلید کارتی(کارت هوشمندهایی که برای باز کردن در استفاده می شوند و…) و رویکردهایی با امنیت کم تر مانند ارسال کد با پیامک یا ایمیل باشند.
ممکن است که از شما خواسته شود تا از بیش از یک روش برای اثبات هویت خود استفاده کنید. روشی مانند احراز هویت دو مرحله یا تایید دو مرحلهای که در حال حاضر نیز در برخی برنامه ها (مانند تایید دو مرحله ای اینستاگرام) از آن استفاده می کنیم ممکن است در آینده بدون رمز عبور نیز هم چنان یکی از روش های احراز هویت باشد.
به لطف استاندارد های جدیدی مانند احراز هویت وب Web Authentication (WebAuthn) گام هایی در راستای راه اندازی لاگین های بدون نیاز به رمز عبور برداشته شده است. این رویکرد نیاز به این که داده های بیومتریک مانند سوابق اثر انگشت و تشخیص چهره در یک سرور مرکزی ذخیره شوند(که می تواند اثرات مخرب امنیتی در پی داشته باشد) را از بین می برد.
احراز هویت وب این اجازه را می دهد تا داده های حساس در دستگاه شما باقی بمانند در حالی که تنها یک کلید به سرور مرکزی ارسال می شود. اثبات هویت نیز به صورت محلی و در دستگاه شما صورت می گیرد و سپس با استفاده از کلید عمومی در سرور تایید می شود. از این جایی در این حالت تنها لازم است اطلاعات محرمانه شما در سیستم خودتان و به صورت محلی وجود داشته باشند در نتیجه نیاز به محافظت از این اطلاعات در سرور(مانند رمز عبور) از بین می رود.
بیشتر بخوانید
دنیای بدون رمز عبور چه مزیت هایی به همراه دارد؟
یکی از بزرگ ترین مزیت های ورود بدون رمز عبود سادگی است. درست است که امروزه مردم خود را به استفاده از برنامه ها و پلتفرم های مدیریت رمز عبور وفق داده اند اما هنوز هم بعضی رمزهای عبور (مانند رمز عبور اصلی یا رمز عبور مادر خود برنامه مدیریت رمز عبور) هستند که نیاز دارند در ذهن شما نگه داری شوند. به هر حال واقعیت این است که شما نمی توانید در یک پایگاه داده که وظیفه آن نگه داری از رمزهای عبور شماست رمز عبور خود پایگاه داده را ذخیره کنید و در نهایت ناچار خواهید بود تا حداقل این رمز عبور را حفظ کنید.
با ورود بدون رمز عبور می توانید بدون این که چیزی را به خاطر بسپارید هویت خود را تایید کنید. ممکن است لازم باشد که از یک برنامه احراز هویت استفاده کنید یا این که با اسکن اثر انگشت یا صورت این کار را انجام دهید اما دیگر نیازی نیست هیچ یک از این اطلاعات را به خاطر بسپارید.
البته همین امروز هم همه کاربران از برنامه های مدیریت پسورد استفاده نمی کنند، هرچند که در حال حاضر بهترین گزینه برای تضمین امنیت حساب های کاربری و رمز های عبور استفاده از این برنامه هاست. برخی افراد هنوز برای تمام حساب های خود از یک رمز استفاده می کنند در حالی که بسیاری از کاربران دیگر برای ثبت نام در هر سرویسی یک رمز عبور منحصر به فرد و جداگانه تعریف می کنند. هم چنین بسیاری از برنامه ها هستند که هنوز از احراز هویت دو مرحله ای استفاده نمی کنند.
می توانید برای این که ببینید چه تعداد نقض داده یا data breach مرتبط با آدرس ایمیل شما وجود دارد به سایت Have I Been Pawned مراجعه کنید.
با حذف رمزهای عبور، در حقیقت نقطه ضعفی در امنیت حساب کاربری افراد از بین می رود. البته این موضوع یک شبه به حقیقت نخواهد پیوست و مطمئنا زمان زیادی طول می کشد تا کاربران با استفاده از روش های دیگر احراز هویت امنیتی در دنیای دیجیتال کنار بیایند. هم چنین دنیای تجارت در حال حاضر راه حل هایی مانند YubiKey را اتخاذ کرده است چرا که هزینه های مربوط به نقض پسورد می تواند هزینه های سنگینی در پی داشته باشد.
این هزینه همیشه به معنای پول نیست. بسیاری از خدمات مانند بانک ها و صندوق های بازنشستگی برای بازنشانی رمز عبور نیاز دارند تا این کار را از طریق تلفن یا ایمیل خود انجام دهید و این امر هم برای بانک و هم برای مشتری زمان بر خواهد بود. البته راه حل های بدون رمز عبور هم همیشه خالی از مشکل نخواهند بود، اما بر کاربر نهایی تاکید کمتری برای به خاطر سپردن یا محافظت از یک رشته دلخواه از اعداد، خروف و نمادها دارند.
بیشتر بخوانید
چه سرویس هایی به شما اجازه لاگین یا ورود بدون رمز عبور را می دهند؟
در زمان نگارش این مقاله در ماه ژانویه 2022، فقط مایکروسافت به کاربران اجازه میدهد تا به طور کامل بدون رمز عبور وارد حساب های خود شوند. این بدان معناست که می توانید رمزهای عبور خود را به طور کامل از حساب خود حذف کنید و هم چنان از خدمات مایکروسافت از جمله ایکس باکس، Microsoft 365 و ویندوز بدو نیاز به تایپ یا پیست کردن رمز عبور خود استفاده کنید.
برای انجام این کار می توانید برنامه Microsoft Authenticator را برای اندروید یا iOS دانلود کنید و سپس با یک مرورگر وب وارد حساب مایکروسافت خود شوید. پس از ورود به سیستم «Advanced Security Options» را انتخاب کنید، سپس به سمت پایین صفحه اسکرول کنید و به قسمت « Additional security » رفته و روی «Turn on» در کنار گزینه «Passwordless account» کلیک کنید.
به عنوان بخشی از این فرایند از شما درخواست می شود تا یک سری کدهای پشتیبان را ذخیره نمایید تا در صورت از دست دادن دسترسی خود به برنامه Microsoft Authenticator، بتوانید از این کدها برای ورود به حساب مایکروسافت خود استفاده کنید.
البته هر زمان که بخواهید می توانید به وب سایت Microsoft security options مراجعه کرده و این ویژگی را غیرفعال نمایید. با این کار دفعه بعدی که قصد وارد شدن به حساب خود را دارید مجددا ورود به رمز عبور برای حساب شما فعال خواهد شد.
گوگل نیز در حال حرکت به سمت آینده بدون رمز عبور است. این کمپانی در ماه می 2021 اعلام کرد ” در حال ساخت آینده ای هستیم که روزی شما دیگر به استفاده از رمز عبور نیاز نخواهید داشت”. اگر گوشی هوشمند دارید، می توانید از آن برای ورود به وب استفاده کنید. کافیست به سادگی وارد حساب گوگل خود شوید، روی گزینه «Security» ضربه بزنید و سپس گزینه «Set It Up» را در کنار بخش Use Your Phone to Sign in انتخاب کنید.
هم چنین اپل نیز در پیاده سازی ورود بدون رمز عبور در سافاری در iOS15 و macOS12 که اواخر سال 2021 منتشر شد، اقدامات مثبتی انجام داده است. ویژگی جدید «passkeys in iCloud Keychain» برای انجام تست های لازم در دسترس توسعه دهندگان قرار دارد هرچند هنوز هیچ چیز برای قرار گرفتن در دسترس کاربران آماده نیست.
گرت دیویدسون از کمپانی اپل در جلسه WWDC 2021 به توضیح این که چگونه این رویکرد از احراز هویت وب به وسیله دو کلید عمومی و خصوصی استفاده می کند پرداخت:
دستگاه شما به جای رمز عبور یک جفت کلید ایجاد می کند. یکی از این کلیدها درست مانند نام کاربری شما عمومی است و می توان آن را با هر کسی به اشتراک گذاشت و محرمانه نیست. کلید دیگر خصوصی است… زمانی که یک حساب را ایجاد می کنید، دستگاه شما این دو کلید مرتبط را تولید می کند. سپس کلید عمومی را با سرور به اشتراک می گذارد.
اکنون سرور یک کپی از کلید عمومی دارد… کلید خصوصی روی دستگاه شما می ماند و فقط خود آن دستگاه مسئول محافظت از آن است. به این ترتیب زمانی که بعدا قصد دارید به سیستم وارد شوید هیچ چیز محرمانه ای برای سرور ارسال نخواهید کرد. در عوض با اثبات این که دستگاه شما کلید خصوصی مرتبط با کلید عمومی حسابتان را در دست دارد و آن را می شناسد، ثابت می کنید که این حساب متعلق به شماست.
دستگاه شما به جای رمز عبور یک جفت کلید ایجاد می کند. یکی از این کلیدها درست مانند نام کاربری شما عمومی است و می توان آن را با هر کسی به اشتراک گذاشت و محرمانه نیست. کلید دیگر خصوصی است… زمانی که یک حساب را ایجاد می کنید، دستگاه شما این دو کلید مرتبط را تولید می کند. سپس کلید عمومی را با سرور به اشتراک می گذارد.
اکنون سرور یک کپی از کلید عمومی دارد… کلید خصوصی روی دستگاه شما می ماند و فقط خود آن دستگاه مسئول محافظت از آن است. به این ترتیب زمانی که بعدا قصد دارید به سیستم وارد شوید هیچ چیز محرمانه ای برای سرور ارسال نخواهید کرد. در عوض با اثبات این که دستگاه شما کلید خصوصی مرتبط با کلید عمومی حسابتان را در دست دارد و آن را می شناسد، ثابت می کنید که این حساب متعلق به شماست
اگر بخواهیم به زبان ساده بگوییم، دستگاه شما از کلید عمومی استفاده می کند تا به صورت محلی از طریق یک روش “امضا” تایید کند که شما همان کسی هستید که ادعا می کنید. از آن جایی که فقط کلید خصوصی شما قابلیت تولید امضای معتبر را دارد، فقط دستگاهی قادر خواهد بود تست را پشت سر بگذارد که کلید خصوصی را در دست داشته باشد. سپس سرور امضای خصوصی شما را با کلید عمومی مقایسه می کند و درباره این که به شما اجازه دسترسی بدهد یا خیر تصمیم گیری می کند.
این یک دید کلی از نحوه عملکرد احراز هویت وب و این که اپل چگونه قصد استفاده از آن برای جایگزینی با رمز عبور در دستگاه های خود و ترکیب آن با فناوری هایی مانند تشخیص چهره و اسکن اثر انگشت استفاده کند.
البته در حال حاضر نیز می توانید استفاده از رمز عبور را برای پرداخت های اپل پی و دانلود های اپ استور در آیپد، آیفون و مک خود غیرفعال کنید، اما در آینده این رویکرد بسیار بهبود خواهد یافت و به سرویس های دیگر نیز راه پیدا خواهد کرد.
بیشتر بخوانید
رویکرد دنیای بدون رمز عبور نیز کاملا بدون نقص نیست!
هیچ روش و رویکرد جدیدی کاملا بی نقص، ضدهک و کاملا خالی از خطا نیست. برای مثال ممکن است دسترسی خود به یک دستگاه را از دست بدهید یا در جایی لاگین کنید که بتواند حساب های شما را در معرض خطر قرار دهد. حتی می توان با استفاده از FACE ID و TOUCH ID بر روی افراد بیهوش یا خوابیده و یا با استفاده از رونوشت های برابر اصل از داده های بیومتریک افراد به روش های مختلف سوء استفاده کرد.
شاید بزرگ ترین چالش دنیای بدون رمز عبور، متقاعد کردن اکثریت مردم کنار گذاشتن رمزهای عبور خود و استفاده از راه های جدید برای انجام کارها باشد.
اما وجود نقص در یک رویکرد جدید دلیلی برای کنار گذاشتن کامل آن نیست. به هر حال رمزهای عبور قدیمی و ناکارآمد شده اند و دیگر زمان آن رسیده که آن ها را کنار گذاشته و قدمی رو به جلو برداریم. روش احراز هویت یا تایید دو مرحله ای نیز کامل نیست اما دلیلی وجود دارد که شرکتهایی مانند اپل (و به زودی نیز گوگل) آن را موردی الزامی می دانند.
همین امر در مورد استفاده از نحوه مدیریت رمزهای عبور نیز صدق می کند. بهتر است برای مدیریت رمزهای عبور خود به جای ذخیره آنها در خود مرورگر از یک نرم افزار مدیریت رمز عبور استفاده کنید.
