قد لا تكون مفاتيح المرور مناسبة لك ، لكنها آمنة وسهلة – وإليك السبب

جذبت الميزة الأخيرة الخاصة بي على مفاتيح المرور اهتمامًا كبيرًا ، وأثار عدد من أكثر من 1100 تعليق أسئلة حول كيفية عمل نظام مفتاح المرور بالفعل وما إذا كان يمكن الوثوق به. رداً على ذلك ، قمت بتجميع هذه القائمة من الأسئلة المتداولة لتبديد بعض الأساطير وإلقاء بعض الضوء على ما نعرفه – ولا نعرفه – عن مفاتيح المرور.

س: أنا لا أثق في Google. لماذا يجب علي استخدام مفاتيح المرور؟

ج: إذا كنت لا تستخدم Google ، فإن مفاتيح مرور Google ليست مناسبة لك. إذا كنت لا تستخدم منتجات Apple أو Microsoft ، فإن الوضع مشابه. كان المقال الأصلي موجهًا لمئات الملايين من الأشخاص الذين يستخدمون هذه المنصات الرئيسية (حتى لو كان ذلك على مضض).

ومع ذلك ، فإن استخدام مفتاح المرور يتوسع بسرعة إلى ما بعد اللاعبين التكنولوجيين الرئيسيين. في غضون شهر أو شهرين ، على سبيل المثال ، ستدعم 1Password والجهات الخارجية الأخرى مزامنة مفاتيح المرور التي ستعمل على ملء بيانات الاعتماد لجميع أجهزتك الموثوقة. بينما تعد Google أبعد من أي خدمة أخرى في السماح بتسجيل الدخول باستخدام مفاتيح المرور ، فإن الخدمات الجديدة تسمح للمستخدمين بتسجيل الدخول إلى حساباتهم باستخدام مفاتيح المرور كل أسبوع تقريبًا. في وقت قصير ، يمكنك استخدام مفاتيح المرور حتى إذا كنت لا تثق في Google أو Apple أو Microsoft.

س: أنا لا أثق في أي شركة لمزامنة بيانات اعتماد تسجيل الدخول الخاصة بي ؛ أنا فقط احتفظ بها مخزنة على أجهزتي المحلية. لماذا سأستخدم مفاتيح المرور؟

ج: حتى لو كنت لا تثق أي خدمة سحابية لمزامنة بيانات اعتماد تسجيل الدخول الخاصة بك ، تسمح مواصفات FIDO بشيء يسمى مفاتيح مرور الجهاز الواحد. كما يوحي الاسم ، تعمل مفاتيح المرور هذه على جهاز واحد ولا تتم مزامنتها من خلال أي خدمة. عادةً ما يتم إنشاء مفاتيح المرور أحادية الجهاز باستخدام مفتاح أمان FIDO2 ، مثل Yubikey.

ومع ذلك ، إذا كنت تقوم بمزامنة كلمات المرور من خلال مستعرض أو مدير كلمات مرور أو iCloud Keychain أو أحد مكافئات Microsoft أو Google ، فاحذر من أنك تثق بالفعل في خدمة سحابية لمزامنة بيانات الاعتماد الخاصة بك. إذا كنت لا تثق في الخدمات السحابية لمزامنة مفاتيح المرور ، فلا يجب أن تثق بها لمزامنة كلمات المرور الخاصة بك أيضًا.

س: يبدو أنه من الخطورة بشكل لا يصدق مزامنة مفاتيح المرور. لماذا يجب أن أثق في المزامنة من أي خدمة؟

ج: في الوقت الحالي ، لا تفرض مواصفات FIDO التزامًا صارمًا بالمزامنة مع التشفير من طرف إلى طرف ، وهو ما يعني بحكم التعريف أنه لا يوجد شيء غير أحد أجهزة المستخدم النهائي الموثوقة لديه حق الوصول إلى المفتاح الخاص غير المشفر (أي قابل للاستخدام) استمارة. تعتمد آلية المزامنة من Apple ، على سبيل المثال ، على نفس التشفير من طرف إلى طرف الذي تستخدمه iCloud Keychain بالفعل لمزامنة كلمة المرور. قامت Apple بتوثيق تصميم هذه الخدمة بتفصيل كبير هنا ، هنا ، هنا ، هنا ، وهنا. لم يبلغ خبراء الأمان المستقلون حتى الآن عن أي تناقضات في ادعاء شركة Apple بأنها تفتقر إلى الوسائل اللازمة لإلغاء تأمين بيانات الاعتماد المخزنة في iCloud Keychain.

س: أنا لا أستخدم / أثق في Apple. ماذا عن الخدمات الأخرى؟ أين وثائقهم؟

ج: لم تقدم Microsoft ولا Google وثائق حول كيفية تأمينهما لأنظمة مزامنة مفاتيح المرور الخاصة بهما ، ولكن من الرهان أنها قوية نسبيًا. يحتوي 1Password على وثائق حول البنية الأساسية التي يستخدمها لمزامنة كلمات المرور (هنا وهنا). مرة أخرى ، إذا كنت تثق بالفعل أي منصة مزامنة كلمات المرور المستندة إلى مجموعة النظراء ، فقد فاتك طلب التوثيق الآن. هناك القليل من المخاطر الإضافية ، إن وجدت ، لمزامنة مفاتيح المرور أيضًا.

س: ألم يكن هناك مقال حديث حول برامج macOS الضارة الجديدة التي يمكنها سرقة عناصر iCloud Keychain؟

ج: قد يكون هذا إشارة إلى MacStealer ، وهو برنامج ضار تم الإعلان عنه مؤخرًا في منتديات الجريمة السرية. لا توجد تقارير عن استخدام MacStealer في البرية ، ولا يوجد تأكيد على وجود البرامج الضارة. نحن نعرف الإعلانات فقط ادعاء أن مثل هذه البرامج الضارة موجودة.

ومع ذلك ، يقول برنامج MacStealer الإعلاني إنه في مرحلة تجريبية مبكرة ويأتي في شكل ملف DMG قياسي يجب تثبيته يدويًا على جهاز Mac. لم يتم توقيع ملف DMG رقميًا ، لذلك لن يتم تثبيته ما لم يتحرك المستخدم النهائي في إعدادات أمان macOS. حتى ذلك الحين ، سيتعين على الضحية المضي قدمًا لإدخال كلمة مرور iCloud الخاصة به في التطبيق بعد تثبيته قبل استخراج البيانات المستندة إلى مجموعة النظراء.

استنادًا إلى وصف MacStealer من Uptycs ، شركة الأمان التي رصدت الإعلان ، لا أعتقد أن الناس لديهم الكثير ليقلقوا بشأنه. وحتى إذا كانت البرامج الضارة تشكل تهديدًا ، فإن هذا التهديد لا يمتد فقط إلى مفاتيح المرور ولكن إلى أي شيء آخر يخزنه مئات الملايين من الأشخاص بالفعل في iCloud Keychain.

س: تمنح مفاتيح المرور التحكم في بيانات الاعتماد الخاصة بك لـ Apple / Google / Microsoft أو لخدمة مزامنة تابعة لجهة خارجية أو إلى الموقع الذي تقوم بتسجيل الدخول إليه. لماذا أفعل ذلك؟

ج: بافتراض أنك تستخدم كلمة مرور لتسجيل الدخول إلى خدمة مثل Gmail أو Azure أو Github ، فأنت تثق بالفعل في هذه الشركات لتنفيذ أنظمة المصادقة الخاصة بها بطريقة لا تكشف الأسرار المشتركة التي تسمح لك لتسجيل الدخول. تسجيل الدخول إلى أحد هذه المواقع باستخدام مفتاح مرور بدلاً من كلمة مرور يمنح المواقع نفس التحكم – لا أكثر ولا أقل – في بيانات الاعتماد الخاصة بك عما كانت عليه من قبل.

والسبب هو أن جزء المفتاح الخاص من مفتاح المرور لا يترك أبدًا الأجهزة المشفرة للمستخدم. تحدث المصادقة على جهاز المستخدم. يرسل جهاز المستخدم بعد ذلك الموقع الذي تم تسجيل دخوله إلى دليل تشفير بأن المفتاح الخاص لا يزال موجودًا على الجهاز الذي يقوم بتسجيل الدخول. ويضمن التشفير المتضمن في هذه العملية عدم إمكانية انتحال الدليل.