كلمات المرور معطلة. WebAuthn هو المعيار الجديد للمصادقة

في الآونة الأخيرة ، أضاف iThemes Security Pro مفاتيح مرور كطريقة مصادقة أساسية لمواقع WordPress. هذا الإصدار الرائد هو الأول من نوعه في مساحة WordPress ، وهو شيء يجب أن تعرفه. مرة أخرى ، أظهر iThemes Security الريادة في توفير وظائف أمان استثنائية لمستخدمي WordPress.

في هذا المنشور ، سنراجع مشكلة كلمة المرور ، وما هو WebAuthn ، ولماذا ستبدأ في استخدام هذه التقنية في كل مكان. إذا كنت مالك موقع WordPress تتطلع إلى تحسين وظائف تسجيل الدخول والأمان للمستخدمين النهائيين لديك ، فلديك الآن أحدث المعايير لعمليات تسجيل الدخول الخالية من الاحتكاك المتاحة لك.

فهم مشكلة كلمة المرور التي يحلها WebAuthn

تعتمد حياتنا على الإنترنت ، بما في ذلك حسابات المستخدمين التي يستخدمها WordPress ، على اسم المستخدم والوصول إلى كلمة المرور. كان هذا جيدًا لفترة من الوقت. ولكن بعد ذلك ، أدت إعادة استخدام كلمات المرور ، وهجمات القوة الغاشمة على القاموس ، ومشاركة بيانات الحساب المخترقة من قبل الجهات الخبيثة ، إلى جعل نظام الأمان المستند إلى كلمة المرور لدينا غير فعال.

في الواقع ، يشير تقرير DBIR لعام 2022 من Verizon إلى أن أكثر من 80٪ من الانتهاكات يمكن أن تُعزى إلى بيانات الاعتماد المسروقة ، وأن هناك زيادة بنسبة 30٪ في بيانات الاعتماد المسروقة كمتجه أساسي للتطفل مقابل استغلال الثغرات الأمنية.

تشير بيانات الاعتماد إلى تركيبة اسم المستخدم / كلمة المرور. وتخبرنا بيانات Verizon شيئًا واحدًا: كلمات المرور معطلة. كانت إضافة المصادقة الثنائية (2FA) مفيدة ، ولكن لسوء الحظ ، فإن الاحتكاك والتعقيد الذي تضيفه يعني أنه تم اعتمادها فقط من قبل 28٪ من المستخدمين. لقد حصلنا عليها. تضيف ميزة 2FA طبقة أخرى من الاحتكاك للمهاجمين ، ولكنها تجعل تسجيل الدخول أكثر صعوبة للمستخدمين أيضًا. وفي حالة 2FA المستندة إلى الرسائل القصيرة ، فهي ليست آمنة بدرجة كافية. قصص الهجمات على منافذ SIM للأهداف عالية القيمة ليست شائعة ، لكنها تكون كارثية عند حدوثها.

يعمل FIDO (Fast Identity Online) Alliance على إصلاح هذه المشكلات ، و WebAuthn هو المواصفات التي خرجت من هذا العمل.

في هذه المرحلة من حياتنا الرقمية ، يتم كسر كلمات المرور. لحسن الحظ ، هناك طريقة جديدة وأفضل للمصادقة ، وهي WebAuthn.

ما هو WebAuthn؟

WebAuthn هو اختصار لـ Web Authentication API. هذه مواصفات مكتوبة من قبل W3C و FIDO ، بمشاركة Apple و Google و Mozilla و Microsoft و Yubico وغيرها. تسمح واجهة برمجة تطبيقات WebAuthn للخوادم بالتسجيل والمصادقة على المستخدمين باستخدام تشفير المفتاح العام بدلاً من كلمة المرور. منذ يناير 2019 ، أصبح WebAuthn مدعومًا على Chrome و Firefox و Microsoft Edge و Safari. في وقت كتابة هذا التقرير ، كان WebAuthn مدعومًا بأكثر من 90٪ من الأجهزة ومتصفحاتها.

يعد WebAuthn جزءًا من إطار عمل FIDO2 ، وهو عبارة عن مجموعة من التقنيات التي تتيح المصادقة بدون كلمة مرور بين الخوادم والمتصفحات والمصادقة. تم توحيد WebAuthn بواسطة اتحاد شبكة الويب العالمية.

الآن بعد أن استخدمت العديد من أجهزتنا المصادقة البيومترية ، مثل FaceID على جهاز iPhone الخاص بك ، أو التعرف على بصمات الأصابع على جهاز MacBook و Windows Hello والعديد من الأجهزة الأخرى ، لدينا طريقة جديدة لتحديد ما إذا كانت محاولة تسجيل الدخول هي المستخدم الصالح أم لا وليس هجوم القوة الغاشمة.

كيف يعمل WebAuthn؟

يستخدم WebAuthn تشفير المفتاح العام لتأمين الاتصالات بين المستخدمين والأنظمة التي يستخدمونها. باستخدام WebAuthn ، يمكنك استخدام طريقة مصادقة واحدة ، مثل القياسات الحيوية على أجهزتك أو مفتاح YubiKey ، على أي موقع يدعم المعيار. بهذه الطريقة ، كمستخدم ، لا تحتاج إلى كلمات مرور لكل موقع تزوره ، فقط أداة مصادقة قوية تعمل مع WebAuthn.

باستخدام هذه المصادقة القوية بدلاً من كلمة المرور ، يمكننا إنشاء مفتاح خاص وعام لموقع ويب. يتم تخزين المفتاح الخاص بشكل آمن على جهازك (على سبيل المثال ، الهاتف أو الكمبيوتر) ، ويتم إرسال المفتاح العام وبيانات الاعتماد التي تم إنشاؤها عشوائيًا إلى خادم الويب للتخزين. يمكن لخادم الويب وفي حالة iThemes Security Passkeys ، موقع WordPress الخاص بك ، استخدام المفتاح العام للتحقق من هوية المستخدم.

هذا المفتاح العمومي ليس سرا. على هذا النحو ، إذا تم اختراق خادم الويب أو موقع WordPress ، فإن بيانات الاعتماد المخزنة بالمفتاح العام تكون عديمة الفائدة للمهاجم. لا يمكن استخدام المفتاح العام بدون المفتاح الخاص.

لفهم كيفية عمل WebAuthn بالفعل ، يحتوي مشروع FIDO2 على بعض الموارد الرائعة.

WebAuthn يغير المشهد الأمني

يعد WebAuthn حقًا رائدًا في عالم الأمان. لم تعد قواعد البيانات جذابة للمتسللين ، لأن المفاتيح العامة ليست مفيدة لهم. بالإضافة إلى ذلك ، يجعل WebAuthn سرقة بيانات الاعتماد أكثر صعوبة.

وبالنسبة للمستخدمين النهائيين ، يلغي WebAuthn الحاجة إلى تذكر أسماء مستخدمين وكلمات مرور متعددة. كل مستخدم على جهاز MacBook ، على سبيل المثال ، يحتاج إلى بصمة أصابعه لتسجيل الدخول إلى موقعه باستخدام مفاتيح مرور أمان iThemes.

كما لاحظت Apple ، التي طبقت WebAuthn ، أن WebAuthn يحمي من هجمات التصيد الاحتيالي. هجوم التصيد الذي يرسل عبر البريد الإلكتروني للمستخدمين روابط لشاشات تسجيل دخول مزيفة لن يكون فعالاً بدون كلمات مرور. لن يكون لدى المستخدم الذي يستخدم مفاتيح المرور لتسجيل الدخول إلى الحساب كلمة مرور لتقديم نموذج تصيد احتيالي ضار. يتم التعامل مع المصادقة بالكامل من خلال المفتاح الخاص المخزن على أجهزتهم الذي يتصل بالمفتاح العام المخزن على خادم الويب. يجعل WebAuthn كلاً من هجمات التصيد العشوائية وكذلك هجمات التصيد المستهدف غير فعالة تمامًا.

لقد تغيرت لعبة الأمان مع WebAuthn. بينما قد يستغرق الأمر بعض الوقت حتى تصبح هجمات القوة الغاشمة وسرقة كلمات المرور أقل جاذبية للمهاجمين الضارين ، فإن مالكي المواقع الاستباقية الذين يختارون تنفيذ WebAuthn سيكونون روادًا في ضمان أن مواقعهم لم تعد جزءًا من اللعبة.

عمليات تسجيل الدخول بدون احتكاك تجعل العملاء أكثر سعادة

يوفر مالكو المواقع هؤلاء أيضًا ميزة إضافية ذات قيمة للمستخدمين أو العملاء أو الطلاب أو أي شخص يقوم بتسجيل الدخول إلى مواقع WordPress الخاصة بهم. بدلاً من طلب بروتوكولات مصادقة متعددة العوامل مليئة بالاحتكاك لضمان بقاء موقع WordPress آمنًا ، يسمح WebAuthn الذي ينفذه iThemes Security لأصحاب المواقع بتوفير تسجيل دخول بدون كلمة مرور بدون احتكاك مع جعل موقعهم أقل جاذبية للمتسللين.

المزيد من تطبيقات WebAuthn قادمة

قد تنظر في كيفية تغيير هذه التقنية للحياة وتتساءل عن سبب عدم استخدام المزيد من المواقع والخدمات والتطبيقات WebAuthn. في حين أن هذه التكنولوجيا رائدة ، فهي أيضًا جديدة جدًا. ستتطلب إضافة WebAuthn إلى الخدمات القديمة بعض إعادة البناء. ولكن كما رأينا مع العديد من التقنيات الجديدة التي تغير المشهد ، فإنها قادمة. تعد الحاجة إلى تجاوز كلمات المرور دافعًا واضحًا. ونظرًا لأن المزيد من المستخدمين يتمتعون بقدرات تسجيل دخول خالية من الاحتكاك ، فسنبدأ في رؤية طلبات المستخدمين لتوسيع عمليات تسجيل الدخول بدون كلمة مرور.

بهذه الطريقة ، رسخ iThemes Security نفسه كشركة رائدة في أمان WordPress ، مما أدى إلى تغيير وجه كيفية تسجيل دخول مستخدمي WordPress. iThemes Security Passkeys هو أول تطبيق WebAuthn في مساحة WordPress ، وسيكون بالتأكيد المعيار للمضي قدمًا.

للحصول على مفاتيح مرور أمان iThemes لموقع WordPress الخاص بك الآن ، ستحتاج إلى iThemes Security Pro. لحسن الحظ ، يمكنك حاليًا الحصول على هذا بسعر مخفض. ومع ذلك ، لن ترى هذه الأسعار المنخفضة لفترة طويلة. ينتهي البيع في 30 سبتمبر 2022.

كاثي زانت

كاثي هي مديرة تسويق المنتجات في Kadence في StellarWP وتعمل مع WordPress منذ أكثر من عقد. لديها خبرة فنية وتسويقية وعملت مع عدد من العلامات التجارية في مساحة WordPress. لقد ساعدت العديد من المنظمات في تمكين أعمالها باستخدام WordPress. لقد ساعدت في تنظيم كل من WordCamp Phoenix و WCUS. تعيش حاليًا خارج دنتون ، تكساس حيث يمكن العثور عليها غالبًا وهي تمشي على الأقدام الذهبية أو تتسكع في حظائر الخيول.