تفشل كلمات المرور لأسباب أصبحت الآن هيكلية، وليست عرضية.
حتى كلمة المرور المحوسبة بشكل جيد لا تزال سرا مشتركا. إذا قام المستخدم بكتابتها في الصفحة الخطأ، فإن المهاجم يفوز قبل أن يحصل الجزء الخلفي على فرصة لإثبات مدى حرصه على تخزين بيانات الاعتماد.
مفاتيح المرور مهمة لأنها تغير هذا النموذج.
لماذا تعتبر WebAuthn مختلفة
من خلال WebAuthn، يشارك المتصفح والمُصادق في عملية مفتاح عمومي. يخزن الخادم مفتاحًا عموميًا. يحتفظ جهاز المستخدم بالمفتاح الخاص. كما أن بيانات الاعتماد مرتبطة بأصل الطرف المعتمد، مما يجعل التصيد أكثر صعوبة.
هذا يعني أن النطاق المزيف المقنع لا يمكنه ببساطة خداع المستخدم للكشف عن سر قابل لإعادة الاستخدام كما تفعل تدفقات كلمة المرور.
كيف تبدو عملية التسجيل
على مستوى عالٍ:
- يرسل الخادم تحديًا
- يطلب المتصفح من المُصادق إنشاء بيانات اعتماد
- يُرجع المُصادق بيانات مفتاح العمومي وبيانات التصديق
- يخزن الخادم بيانات الاعتماد الوصفية
عند تسجيل الدخول، يرسل الخادم تحديًا جديدًا ويتحقق من الاستجابة الموقعة.
ما الذي لا تزال الفرق بحاجة إلى تصميمه
مفاتيح المرور ليست "أمانًا تم حله". لا تزال الفرق بحاجة إلى:
- استعادة الحساب
- توقعات متعددة الأجهزة
- تجربة إدارة بيانات اعتماد جيدة
- مسارات احتياطية لا تعيد تقديم الضعف الأصلي بهدوء
هذا الجزء الأخير هو المكان الذي تفشل فيه العديد من التنفيذات. لا يزال تدفق مفتاح المرور القوي مع تدفق إعادة تعيين بريد إلكتروني ضعيف له نظام حساب ضعيف.
تحسين وضع المنتج
الإطار الأفضل ليس "كلمات المرور ميتة غداً." بل هو:
مفاتيح المرور هي أكثر الطرق الواعدة السائدة بعيداً عن تدفقات تسجيل الدخول المعرضة للتصيد.
هذا بالفعل تحول كبير.
قراءة إضافية