المستقبل بلا كلمة مرور: كيف ستعمل مفاتيح المرور على تبسيط حياتك وتحمينا جميعًا
نشرت: 2022-11-16ليس سراً أن المصادقة بدون كلمة مرور تتولى زمام الأمور. يتحول رواد التكنولوجيا العالميون ، مثل Apple و Google و Microsoft ، نحو استخدام مفاتيح المرور. من خلال الاستفادة من تشفير المفتاح العام ، توفر مفاتيح المرور تجربة شبه تحول نموذجي في الأمن الرقمي.
تقود iThemes الطريق نحو جعل WordPress ، وفي النهاية ، الإنترنت بالكامل أكثر أمانًا وقابلية للاستخدام للجميع. المستقبل بلا كلمة مرور ، ونحن هنا لنخبرك بالسبب.
في هذا الدليل للمصادقة بدون كلمة مرور ، ستتعلم كيف تتغلب مفاتيح المرور على نقاط الضعف الأمنية للمصادقة المستندة إلى كلمة المرور ولماذا يجب أن تبدأ في استخدامها.
الرحلة إلى المصادقة بدون كلمة مرور
لقد بدأت بالفعل رحلة المصادقة بدون كلمة مرور. قدمت جميع المتصفحات الرئيسية وعمالقة التكنولوجيا الدعم الكامل لمفاتيح المرور. أصبح عام 2022 علامة فارقة جديدة في تنفيذ عمليات تسجيل دخول أكثر اتساقًا وأمانًا وسهولة بدون كلمة مرور عبر أجهزة ومنصات رقمية متعددة.
كل عام ، اليوم العالمي لكلمة المرور ، الذي تم تحديده ليكون أول خميس من شهر مايو ، يحتفل بالتطورات الجديدة التي تم إحرازها في جهد مشترك لجعل الويب أكثر أمانًا وقابلية للاستخدام للجميع. في 5 مايو 2022 ، أعلنت Apple و Google و Microsoft عن خطط لتوسيع نطاق الدعم لمعيار تسجيل الدخول بدون كلمة مرور الذي أنشأه تحالف FIDO و World Wide Web Consortium.
لسنوات ، عمل تحالف FIDO (Fast Identity Online) و World Wide Web Consortium على مجموعة من المعايير التي ستسمح بتنفيذ المصادقة بدون كلمة مرور عبر الإنترنت. FIDO 2 هو أحدث مجموعة من المواصفات ، وهي مدعومة الآن من قبل معظم المتصفحات والأنظمة الأساسية.
سنراجع كيفية عمل المصادقة بدون كلمة مرور بمزيد من التفصيل في الدليل. ولكن قبل ذلك ، دعنا نرى لماذا أصبحت مصادقة كلمة المرور شيئًا من الماضي تدريجيًا.
لماذا تُترك المصادقة المستندة إلى كلمة المرور؟
كانت المصادقة المستندة إلى كلمة المرور معنا طوال فترة وجود الإنترنت تقريبًا ، مما يسمح للمستخدمين بتسجيل الدخول إلى موقع ويب أو تطبيق ويب باستخدام زوج بيانات اعتماد - اسم مستخدم وكلمة مرور. لقد أثبت هذا النهج موثوقيته وتعدد استخداماته وكان معيار الصناعة لسنوات.
ومع ذلك ، على الرغم من سهولة التنفيذ والاستخدام ، تم اكتشاف العديد من العيوب والمخاطر الأمنية المرتبطة بالمصادقة المستندة إلى كلمة المرور بسرعة من جانب المستخدم والخادم. ببساطة ، يفتقر كل من المستخدمين والخوادم إلى القدرة على الحفاظ على أمان السر المشترك.
تتمحور مخاطر الأمان الرئيسية المرتبطة بالمصادقة المستندة إلى كلمة المرور حول استخدام كلمة المرور كسر مشترك. يمكن أن يصبح هذا متاحًا لعامل ضار في مراحل مختلفة من عملية المصادقة. يمكن اختراق كلمات المرور أو تخمينها ببساطة بسبب هجوم القوة الغاشمة الناجح.
3 طرق شائعة للكشف عن كلمات المرور
أظهرت الدراسات أن أكثر من 80٪ من جميع الخروقات المتعلقة بالقرصنة تُعزى إلى اختراق كلمة المرور. هذا يعني أنه في مرحلة ما ، تمكن المتسلل من الوصول غير المصرح به إلى النظام من خلال انتحال شخصية المالك الشرعي لموقع ويب أو تطبيق ويب. ولكن كيف يتم اختراق مواقع الويب بالضبط؟
تشمل الطرق الأكثر شيوعًا للكشف عن كلمات المرور التصيد الاحتيالي وهجمات القوة الغاشمة وخروقات البيانات. يمكن خداع المستخدمين للتخلي عن معلومات المصادقة الخاصة بهم. أو يمكن تخمين كلمات المرور أو تسريبها في حالة حدوث خرق للبيانات من جانب مزود الخدمة.
هجمات القوة الغاشمة وخروقات البيانات
تتزايد هجمات القوة الغاشمة ، حيث تمثل حوالي 80٪ من جميع هجمات الشبكة. نظرًا لأن تخمين كلمة المرور تم تلقائيًا ، فلن يستغرق المهاجم وقتًا طويلاً لاختراق أي حساب.
يمكن لجهاز المتسلل (أو حتى شبكة من أجهزة الكمبيوتر المعروفة باسم الروبوتات) توليد آلاف المجموعات في الثانية. يسمح هذا للمهاجم بالوصول غير المصرح به إلى موقع ويب أو تطبيق ويب في أي وقت من الأوقات.
وإذا كنت تتساءل عن سبب قيام أحد المتطفلين بمهاجمة موقع الويب الخاص بك ، فإن التفسير بسيط. يمتلك المتسللون القدرة على إجراء آلاف طلبات الويب في الثانية. نادرًا ما يختارون مواقع الويب التي يرغبون في اختراقها - سيحاولون اختراق أكبر عدد ممكن من المواقع.
إن الحصول على وصول المسؤول إلى موقع ويب أو حتى خادم كامل يفتح فرصًا غير محدودة تقريبًا للمتسللين لاستغلال النظام. أحدها هو تسريب معلومات المستخدم ، بما في ذلك أسماء المستخدمين وكلمات المرور ، من قاعدة بيانات التطبيق.
لماذا استخدام كلمات مرور قوية لن يعالج جميع المخاطر الأمنية
يعد استخدام كلمات مرور قوية أمرًا ضروريًا للغاية وسيوفر خط دفاع قويًا ضد هجمات القوة الغاشمة. يُعتقد أن استخدام كلمة مرور قوية يعالج جميع المخاطر الأمنية. ومع ذلك ، يمكن أن يقلل فقط من فرص اختراق بيانات الاعتماد الخاصة بك إلى حد معين.
يقوم حوالي 30٪ فقط من المستخدمين بتكوين المصادقة الثنائية. بدون استخدام المصادقة متعددة العوامل ، يكون المتسللون على بعد خطوة واحدة فقط من الوصول إلى المعلومات الحساسة.
يعد إعداد كلمات مرور لمرة واحدة أو التحقق من الرسائل القصيرة أو أي نوع آخر من المصادقة الثنائية خيارًا رائعًا للتغلب على معظم نقاط الضعف الأمنية في مصادقة كلمة المرور. ومع ذلك ، يمكن لمفاتيح المرور أن تحدث فرقًا حقيقيًا في عالم الأمن السيبراني.
ما هي مفاتيح المرور؟
مفاتيح المرور هي بيانات اعتماد رقمية يتم تشغيلها بواسطة تشفير غير متماثل يمكن أن يحل محل المصادقة المستندة إلى كلمة المرور بالكامل. كشكل من أشكال المصادقة بدون كلمة مرور ، توفر مفاتيح المرور طريقة أسرع وأكثر أمانًا لتسجيل الدخول إلى الخدمات والتطبيقات عبر أجهزة مستخدم متعددة.
تتيح لك المصادقة بدون كلمة مرور الابتعاد عن الاضطرار إلى إدخال اسم مستخدم وكلمة مرور لتسجيل الدخول. وبدلاً من ذلك ، سيقوم جهازك بإنشاء مفتاح مرور - زوج من مفاتيح التشفير يحددها معرّف اعتماد معين.
كيف تضمن مفاتيح المرور المصادقة الآمنة
يعد كل مفتاح مرور تقوم بإنشائه فريدًا ويتم تحديد نطاقه على موقع ويب فردي أو تطبيق ويب. نظرًا لعدم وجود أسرار أو كلمات مرور مشتركة يجب على المستخدم تذكرها ، توفر مفاتيح المرور الحماية الكاملة ضد التصيد الاحتيالي وهجمات القوة الغاشمة.
بمجرد إنشاء مفتاح مرور جديد ، سيحفظ الخادم المفتاح العام ومعرف بيانات الاعتماد. سيتم تخزين المفتاح الخاص بشكل آمن على جهاز المستخدم أو مفتاح أمان للجهاز مثل YubiKey الذي يمكنك حمله معك.
لدعم مفاتيح المرور ، يجب أن يحتوي جهاز المستخدم على شريحة أمان Trusted Platform Module (TPM) لإجراء عمليات التشفير مثل إنشاء المفاتيح ومصادق النظام الأساسي. عادةً ما يدعم مصدق النظام الأساسي أنواعًا متعددة من التحقق من الهوية ، بما في ذلك المعلومات البيومترية ورموز PIN.
يمكن أيضًا مزامنة مفاتيح المرور تلقائيًا بين أجهزة المستخدم عبر خدمة سحابية. لذلك ، لا يتعين عليك إنشاء زوج مفاتيح جديد على الأجهزة الأخرى. يتم تشفير مزامنة مفتاح المرور من طرف إلى طرف ، وستقوم الخدمة السحابية بتخزين نسخة مشفرة من مفتاح المرور بأمان.
حتى إذا تم تسريب المفتاح العام ، فسيكون عديم الفائدة للمتسلل بدون المفتاح الخاص المقابل. هذا يلغي أي احتمال للوصول غير المصرح به بسبب خرق البيانات. لا توجد طريقة حقيقية لممثل ضار لانتحال شخصيتك.
كيف تعمل مفاتيح المرور؟
أصبح استخدام مفاتيح المرور ممكنًا بفضل تطوير التشفير غير المتماثل والعديد من المعايير والبروتوكولات التي أنشأها FIDO Alliance و World Wide Web Consortium. دعنا نراجع كيفية عمل مفاتيح المرور بمزيد من التفصيل من خلال معرفة المزيد حول تشفير المفتاح العام و WebAuthn و Client to Authenticator Protocol.
تشفير المفتاح العام
يتضمن المفتاح العام ، أو التشفير غير المتماثل ، زوجًا من المفاتيح - الخاصة والعامة - التي تُستخدم لتشفير وفك تشفير البيانات المتبادلة بين أطراف مختلفة. يجب الحفاظ على سرية المفتاح الخاص أثناء نشر المفتاح العام عبر الإنترنت (أو إعطاؤه للخادم عند إنشاء مفتاح مرور).
بصرف النظر عن المصادقة بدون كلمة مرور ، يساعد التشفير غير المتماثل على ضمان التشفير من طرف إلى طرف لتأمين حركة المرور التي تنتقل عبر الشبكة. تحتوي شهادة SSL / TLS على المفتاح الخاص المثبت على الخادم الأصلي ، بينما يتم استخدام المفتاح العام للتحقق من هوية موقع الويب قبل إنشاء اتصال.
واجهة برمجة تطبيقات مصادقة الويب (WebAuthn) والعميل إلى بروتوكول المصادقة
إلى جانب بروتوكول Client to Authenticator Protocol ، تعد واجهة برمجة تطبيقات مصادقة الويب جزءًا من إطار عمل FIDO2 ، وهي مجموعة من التقنيات التي تتيح استخدام المصادقة بدون كلمة مرور بين الخوادم والمتصفحات والمصادقين.
WebAuthn ، اختصار لـ Web Authentication API ، هو مواصفات جديدة تم تطويرها بواسطة World Web Consortium و FIDO التي تسمح للخوادم بتنفيذ المصادقة بدون كلمة مرور. بدءًا من عام 2019 ، أصبح WebAuthn مدعومًا من جميع المتصفحات الرئيسية ، بما في ذلك Chrome و Firefox و Safari و Edge.
كواجهة برمجة تطبيقات ، يسمح WebAuthn لمواقع الويب وتطبيقات الويب بتسجيل المستخدمين والمصادقة عليهم باستخدام مفاتيح المرور بدلاً من كلمات المرور.
تعمل مصادقة الويب جنبًا إلى جنب مع معايير FIDO الأخرى ، مثل إدارة بيانات الاعتماد و Client to Authenticator Protocol 2 (CTAP 2). CTAP 2 هو بروتوكول طبقة تطبيق يحدد الاتصال بين المستعرض ونظام التشغيل والمصادق المتجول.
تسجيل مفتاح المرور
عند تسجيل مفتاح مرور جديد للمصادقة ، سيُنشئ الخادم الذي يستضيف التطبيق تحديًا. بعد ذلك ، سيقوم جهازك بإنشاء زوج مفاتيح جديد ، والتوقيع على التحدي ، وإرسال المفتاح العام إلى الخادم ، جنبًا إلى جنب مع معرف بيانات الاعتماد.
سيقوم الخادم بحفظ المفتاح العام ومعرف بيانات الاعتماد للمصادقة عليك في المرة التالية التي تقوم فيها بتسجيل الدخول. يمكنك إنشاء مفاتيح مرور متعددة لكل حساب للتكرار. يساعد هذا أيضًا في استرداد الحساب بشكل أسرع في حالة فقد مفتاح المرور الأساسي.
سيتم حفظ المفتاح الخاص على جهازك وتخزينه بأمان هناك. الطريقة الوحيدة التي يمكنك من خلالها الوصول إلى المفتاح الخاص هي التحقق من هويتك باستخدام مستشعر المقاييس الحيوية. يتضمن ذلك بصمة إصبعك أو أنماط وجهك أو رمز PIN.
عملية المصادقة بدون كلمة مرور
بمجرد إنشاء مفتاح مرور جديد لحسابك ، يمكنك الاستفادة من المصادقة بدون كلمة مرور كلما احتجت إلى تسجيل الدخول إلى موقع ويب أو تطبيق. بدلاً من تسجيل الدخول باسم مستخدم وكلمة مرور ، يمكنك اختيار استخدام مفتاح مرور.
سيرسل الخادم معرف بيانات الاعتماد (أو معرفات متعددة إذا قمت بإنشاء أكثر من مفتاح مرور واحد للحساب) والتحدي. سيستخدم جهازك بعد ذلك معرف بيانات الاعتماد للعثور على المفتاح الصحيح ويطلب منك التحقق من هويتك باستخدام إحدى طرق المصادقة المدعومة.
بمجرد إلغاء قفل المفتاح ، سيقوم جهازك بالتوقيع على التحدي وإرساله إلى الخادم للمصادقة. سيتحقق الخادم من التحدي الموقع باستخدام المفتاح العام من الزوج ويمنح الوصول إلى حسابك.
يجلب iThemes المصادقة بدون كلمة مرور إلى WordPress
لطالما كان WordPress هدفًا ذا أولوية عالية للمتسللين في جميع أنحاء العالم.
لا تمر الزيادة في عدد الهجمات على مواقع WordPress وأحجام البرامج الضارة العالمية مرور الكرام. نظرًا لأن الهجمات الضارة تستهدف المزيد ، أصبح أمان موقع الويب الآن أكثر أهمية من أي وقت مضى.
لسنوات ، كانت iThemes تبحث عن طرق جديدة لحماية مواقع WordPress من التهديدات الأمنية المتزايدة باستمرار. ساعدتنا تقارير الثغرات الأمنية الأسبوعية في WordPress على فهم كيفية تأمين أحد المجالات الحاسمة في موقع WordPress - لوحة تحكم المسؤول الخاصة به.
تعد مفاتيح المرور بلا شك واحدة من أبرز الابتكارات في عالم الأمن السيبراني. يمكن أن يؤدي التكيف المتزايد لمفاتيح المرور عبر الأنظمة الأساسية وأنظمة التشغيل إلى تغيير الإنترنت إلى الأبد. يمكن أن تحدث مفاتيح مرور WordPress فرقًا حقيقيًا في أمان WordPress. ولم تنتظر iThemes دقيقة أخرى لإتاحة المصادقة بدون كلمة مرور لمجتمع WordPress.
في سبتمبر 2022 ، تضمن iThemes Security Pro دعمًا لمفاتيح مرور WordPress للمصادقة بدون كلمة مرور. من خلال تقديم أحدث التطورات في الأمن السيبراني إلى موقع WordPress الخاص بك ، اتخذ iThemes Security Pro خطوة كبيرة نحو تجربة مصادقة أكثر أمانًا واتساقًا.
باستخدام iThemes Security Pro ، تتوفر مفاتيح المرور لمصادقة WordPress عبر جميع أنواع الأجهزة. يمكنك استخدام أداة مصادقة النظام الأساسي مثل Apple Touch ID و Face ID و Windows Hello ، بالإضافة إلى أي أداة مصادقة متجولة.
ابدأ باستخدام مفاتيح المرور لـ WordPress
لبدء استخدام مفاتيح المرور لمصادقة مسؤول WordPress ، تأكد من تحديث iThemes Security Pro إلى أحدث إصدار. سيكون خيار تمكين المصادقة بدون كلمة مرور متاحًا من علامة التبويب تسجيل الدخول. بمجرد تمكين دعم مفاتيح المرور ، قم بتكوين مفاتيح المرور لمستخدمي WordPress من لوحة تحكم المسؤول.
إذا كنت لا تزال لا تستفيد من تحديثات WordPress الأساسية والسمات والمكونات الإضافية التلقائية ، فقد حان الوقت للبدء. سيساعدك BackupBuddy ، وهو حل نسخ احتياطي حائز على جوائز لـ WordPress ، على بناء إستراتيجية نسخ احتياطي قوية للتعامل مع جميع التحديثات بثقة.
تشغيل أكثر من موقع واحد؟ سيساعدك iThemes Sync على إدارة العديد من مواقع WordPress من لوحة تحكم واحدة ، مما يوفر لك الوقت والمال. المراقبة المتقدمة وتتبع مقاييس تحسين محركات البحث والتكامل مع BackupBuddy و iThemes Security Pro - كل ذلك متاح لك مع مساعد موقع WordPress الشخصي الخاص بك.
كيف ينفذ عمالقة التكنولوجيا مفاتيح المرور
قادت شركات التكنولوجيا العالمية الثلاثة - Apple و Google و Microsoft - الطريق نحو المصادقة بدون كلمة مرور عبر جميع المتصفحات وأنظمة التشغيل الرئيسية. يمكن الآن لأجهزة Android و iOS و Windows استخدام مصادقات النظام الأساسي المضمنة القوية ومزامنة مفاتيح المرور عبر أجهزة متعددة.
تفاحة
قدمت Apple مفاتيح مرور مع إصدار IOS 16 و macOS Ventura ، مما يجعل المصادقة بدون كلمة مرور متاحة للمستخدمين عبر جميع أجهزة Apple. تسمح المصادقة المضمنة من Apple ، مثل Touch ID و Face ID ، باستخدام مفاتيح المرور في Safari والمتصفحات الرئيسية الأخرى.
تتم مزامنة مفاتيح المرور عبر جميع أجهزة Apple الخاصة بالمستخدم بمساعدة iCloud Keychain. عندما يقوم المستخدم بتمكين iCloud Keychain لأول مرة ، فإن جهاز Apple ينشئ دائرة ثقة وينشئ زوج مفاتيح فريدًا جديدًا مخزنًا في سلسلة مفاتيح الجهاز. بهذه الطريقة ، توفر iCloud Keychain تشفيرًا شاملاً مع مفاتيح تشفير قوية.
جوجل
مرة أخرى في أكتوبر ، أعلنت Google عن تقديم دعم مفتاح المرور لكل من Google Chrome و Android. كان هذا معلمًا رئيسيًا في دمج مفاتيح المرور في النظام البيئي. في Chrome و Android ، يتم تخزين مفاتيح المرور في Google Password Manager. تتم مزامنة بيانات الاعتماد بين أجهزة المستخدم التي تم تسجيل دخولها إلى حساب Google نفسه.
تخطط Google في المستقبل لتوسيع دعم مفاتيح المرور لنظام Android. ستعمل واجهة برمجة تطبيقات جديدة على تمكين استخدام مفاتيح المرور لتطبيقات Android.
مايكروسوفت
كانت Microsoft رائدة في تنفيذ المصادقة بدون كلمة مرور عبر الإنترنت. قبل عام 2022 ، تم بالفعل تضمين دعم مفاتيح المرور لنظامي التشغيل Windows 365 و Azure Virtual Desktop.
تمكّن Microsoft عمليات تسجيل الدخول بدون كلمة مرور باستخدام Windows Hello ، وهو أداة مصادقة قوية لمنصة أساسية مضمنة الآن في Windows 10 و 11. يشبه تنفيذ Microsoft لمفاتيح المرور تطبيق Apple. يسمح لك بمزامنة مفاتيح المرور الخاصة بك بين الأجهزة المسجلة في نفس حساب Microsoft.
شركات أخرى تستخدم مفاتيح المرور
اعتمدت العديد من الشركات بالفعل المصادقة بدون كلمة مرور استنادًا إلى المعايير التي طورها FIDO Alliance. تعد PayPal و Amazon و eBay و Facebook و Netflix و IBM من بين المبتكرين الذين يقدمون المصادقة بدون كلمة مرور إلى منصاتهم.
تغليف
استنادًا إلى التشفير غير المتماثل والعديد من البروتوكولات والمواصفات القوية التي طورها FIDO Alliance و World Web Consortium ، يمكن لمفاتيح المرور أن تحل محل المصادقة المستندة إلى كلمة المرور بالكامل في المستقبل القريب. تعمل أكبر شركات التكنولوجيا تدريجياً على توسيع دعمها لمفاتيح المرور. يمكن أن ننسى قريبًا هجمات القوة الغاشمة والوصول غير المصرح به.
بعد سنوات من البحث عن الحل المناسب لتوفير تجربة مصادقة أكثر اتساقًا ، أصبحت مفاتيح المرور هنا لتبسيط حياتنا وحمايتنا. هل يجب أن تنسى بالفعل ما هي كلمات المرور؟ ليس بعد ، ولكن عليك بالتأكيد أن تكون جاهزًا لاستخدام مفاتيح المرور.
مستقبل المصادقة هو مفاتيح المرور! قم بتسجيل الدخول إلى موقع WordPress الخاص بك باستخدام المقاييس الحيوية المتوفرة فقط في iThemes Security Pro
جعلت مشاكل هجمات القوة الغاشمة من خلال حشو بيانات الاعتماد وهجمات التصيد الاحتيالي وكلمات المرور المعاد استخدامها حياتنا الرقمية أقل أمانًا. لقد حاولنا جميعًا تشجيع المصادقة الثنائية كحماية ، لكن أقل من 30٪ من المستخدمين يستخدمون المصادقة الثنائية فعليًا. تمثل عمليات تسجيل الدخول المستندة إلى كلمة المرور مشكلة.
مستقبل المصادقة هو مفاتيح المرور ، و iThemes Security Pro هو أول من جلب هذه التقنية المتقدمة إلى مواقع WordPress. باستخدام تقنية WebAuthn المتقدمة القائمة على التشفير العام / الخاص ، تجعل مفاتيح المرور كلمات المرور قديمة. الآن ، يمكن لمسؤولي مواقع الويب والمستخدمين النهائيين تسجيل دخول آمن دون إزعاج التطبيقات الإضافية ذات العاملين أو مديري كلمات المرور أو متطلبات كلمات المرور المعقدة.
Kiki حاصل على درجة البكالوريوس في إدارة نظم المعلومات وأكثر من عامين من الخبرة في Linux و WordPress. تعمل حاليًا كأخصائي أمان في Liquid Web و Nexcess. قبل ذلك ، كانت Kiki جزءًا من فريق دعم Liquid Web Managed Hosting حيث ساعدت المئات من مالكي مواقع WordPress على الويب وتعرفت على المشكلات الفنية التي يواجهونها غالبًا. شغفها بالكتابة يسمح لها بمشاركة معرفتها وخبرتها لمساعدة الناس. بصرف النظر عن التكنولوجيا ، يستمتع Kiki بالتعرف على الفضاء والاستماع إلى ملفات بودكاست الجريمة الحقيقية.