معيار Fido 2.. تسجيل الدخول بأمان وبدون كلمات مرور

09:28 ص - الإثنين 26 سبتمبر 2022

لدواعي الأمان على الإنترنت يجب على المرء إنشاء كلمة مرور خاصة بكل خدمة أو حساب على الإنترنت، ولكن يصعب عليه بطبيعة الحال تذكر كل كلمات المرور الخاصة به بدون الاستعانة بأدوات مدير كلمات المرور، وبغض النظر عن قوة كلمة المرور وكفاءتها، فإنه يمكن للقراصنة والمهاجمين اختراق كلمات المرور أو سرقتها في كثير من الأحيان.

وتعمل وظيفة تسجيل الدخول بخطوتين أو وظيفة المصادقة ثنائية العامل 2FA على زيادة مستوى الأمان على الإنترنت؛ حيث يتم التحقق من صحة الحساب عن طريق عامل ثان إلى جانب كلمة المرور، مثلا من خلال الاعتماد على أحد التطبيقات، التي تقوم بإنشاء كود الأمان، غير أن هذه الوظيفة تجعل عملية تسجيل الدخول أكثر تعقيدا.

هوية سريعة على الإنترنت

وتعمل وظيفة الهوية السريعة على الإنترنت (Fast Identity Online)، والمعروفة اختصارا باسم وظيفة Fido، على حل هذه المشكلة، بل إنها ستجعل كلمة المرور نفسها ليس لها أهمية، ويشير الاختصار Fido إلى مجموعة من معايير أمان تكنولوجيا المعلومات.

ويتيح المعيار الأحدث Fido 2 إمكانية تسجيل الدخول الآمن في خدمات الإنترنت بدون كلمة مرور، وهنا يظهر التساؤل حول كيفية عمل هذه الوظيفة؟ فإذا رغب المستخدم في تسجيل الدخول عن طريق معيار Fido 2 فإنه يتعين عليه في البداية تسجيل جهاز في الخدمة المعنية، مثل الهاتف الذكي أو الحاسوب اللوحي أو الحاسوب المكتبي.

وأثناء عملية التسجيل يتم إنشاء سلسلتين مشفرتين؛ حيث يتم إنشاؤهما كزوج، وهما ما يمثل المفتاح العام والمفتاح الخاص، وتحصل الخدمة على المفتاح العام، ويتم تخزين المفتاح الخاص أو المفتاح السري على الجهاز، وهو ما يمكن تسميته عامل المصادقة.

وإذا رغب المستخدم في تسجيل الدخول في الخدمة يقوم الجهاز بإنشاء توقيع إلكتروني بواسطة المفتاح السري، وبعد ذلك يمكن للخدمة التحقق من صحة هذا التوقيع عن طريق المفتاح العام.

وأوضح البروفيسور ماركوس دورموت، من معهد أمان تكنولوجيا المعلومات في جامعة لايبتيز بمدينة هانوفر الألمانية، أن هذه الوظيفة تعمل بنفس طريقة التوقيع التقليدي على الورق، وأضاف قائلا: "يتم التحقق من صحة التوقيع عن طريق مقارنة طريقة كتابة التوقيع بالعينة المحفوظة".

وتعتبر هذه الطريقة آمنة؛ نظرا لأن المفتاح الخاص يكون لدى المستخدم فقط، وأوضح البروفيسور الألماني ماركوس دورموت أن معيار Fido 2 يوفر درجة أمان إضافية؛ حيث يحتوي التوقيع الإلكتروني على ختم زمني، وحتى إذا تمكن القراصنة من اختراق التوقيع الإلكتروني فلن يتمكنوا من استغلاله لاحقا.

وبالإضافة إلى ذلك، يتم حفظ المفتاح الخاص أو المفتاح السري بأمان على أجهزة المصادقة. وأوضح يان مان، من مجلة «c't» الألمانية المتخصصة، أنه يتم تخزين المفتاح الخاص على أجهزة المصادقة في وحدة النظام الأساسي الموثوقة (TPM)، وهي عبارة عن شرائح هاردوير مصممة بحيث لا يكون بها أي منفذ لاختراق المفتاح السري.

ويتم حوسبة المفتاح الخاص لمرة واحدة على الجهاز وتخزينه عليه، وعند تسجيل الدخول يقوم الجهاز بترك التوقيع الإلكتروني فقط وليس المفتاح الخاص نفسه، وتجدر الإشارة إلى أن وحدة النظام الأساسي الموثوقة (TPM) مع الشرائح المشفرة توجد في معظم الهواتف الذكية والحواسيب وأجهزة اللاب توب الجديدة، وأعلنت شركة مايكروسوفت أيضا أن وحدة النظام الأساسي الموثوقة (TPM) أصبحت ضمن المتطلبات الحالية لتثبيت نظام التشغيل ويندوز 11.

وفي حالة الاعتماد على حاسوب قديم أو هاتف ذكي بدون وحدة النظام الأساسي الموثوقة (TPM)، فإنه يمكن تخزين المفتاح الخاص على وحدات الذاكرة الفلاشية، التي يتم توصيلها بالحاسوب عن طريق منفذ USB أو توصيلها بالهاتف الذكي عن طريق تقنية NFC.

التوكن

وتعرف وحدات الذاكرة الفلاشية المزودة بشريحة مشفرة باسم "التوكن"، ولا تقتصر أهميتها على استبدال كلمة المرور مع معيار Fido 2 فحسب، بل يمكن استعمالها كعامل مصادقة ثان حسب الخدمة؛ نظرا لأن وظيفة المصادقة ثنائية العامل 2FA تعتبر جزءا من معيار Fido.

وهنا يظهر تساؤل حول الإجراءات المتبعة عند فقدان الهاتف الذكي المخزن عليه المفتاح الخاص، وللإجابة على هذا التساؤل أوضح ماركوس دورموت قائلا: "تنص التوصية الرسمية عند استعمال معيار Fido 2 بضرورة تسجيل المفتاح الخاص على جهازين". ويجب أن يكون الجهاز الثاني هاتفا ذكيا أو حاسوبا مكتبيا، كما يمكن استعمال توكن USB، يتم تخزينه في مكان آمن، كنسخة احتياطية للمفتاح الخاص.

مزامنة سحابية

وتعتبر المزامنة السحابية للمفتاح الخاص أحد الحلول الجديدة نسبيا لمواجهة مشكلات فقدان الأجهزة المخزن عليها المفتاح الخاص، وتمتاز مثل هذه الحلول بسهولة الاستخدام؛ حيث يقوم المستخدم بتخزين المفتاح الخاص على خوادم الإنترنت مع إمكانية مزامنته على الكثير من الأجهزة عبر الإنترنت، وهي نفس الطريقة، التي تتبعها شركة أبل مع وظيفة Fido 2 الخاصة بها.

وفي بداية آيار/مايو 2022 أعلنت شركات أبل وجوجل ومايكروسوفت التعاون معا لإضافة وظائف جديدة لمعيار Fido 2 حتى عام 2023؛ حيث سيتمكن المستخدم من الوصول تلقائيا إلى بيانات الوصول على أجهزة مختلفة، بما في ذلك الأجهزة الجديدة دون الحاجة إلى تسجيل الدخول مجددا في كل حساب.

وبالإضافة إلى ذلك، سيكون من المتاح استعمال جهاز جوال كعامل مصادقة لتسجيل الدخول في التطبيقات أو مواقع الويب على الأجهزة الأخرى في النطاق القريب بصرف النظر عن نظام التشغيل أو المتصفح.

ويعتبر المكتب الاتحادي لأمان تكنولوجيا المعلومات (BSI) أحد أعضاء اتحاد Fido، وقد قام المكتب الاتحادي الألماني بتصنيف معيار Fido 2 بشكل إيجابي من حيث العديد من الجوانب، ولكن لا تتحقق درجة الأمان الإضافية إلا إذا تم تأمين جهاز المصادقة بشكل مناسب.

ولتحقيق مستويات أمان أعلى يجب التحقق من كيفية تنفيذ معيار Fido 2 على مواقع الويب؛ نظرا لأن درجات الأمان ترتبط بكيفية قيام الشركة بتنفيذ معيار Fido 2 في الخدمة الخاصة بها.

وأوضح يان مان أنه أصبح من السهل استعمال معيار Fido 2 مع مكونات الهاردوير المتوافرة لمعظم أجهزة أندرويد وأبل "آي أو إس" أو "ماك أو إس" وكذلك الحواسيب المزودة بنظام مايكروسوفت ويندوز، ونصح الخبير الألماني بضرورة التحقق من إعدادات الخدمة المعنية للتعرف على الخيارات المتوافرة واستعمال معيار Fido 2 طالما كان متاحا، سواء كان ذلك بديلا لكلمة المرور أو كعامل مصادقة ثنائية.