أصدرت شركة «مايكروسوفت» تحذيراً جديداً بعد أن أكدت أنها ستزيل كلمات المرور من حسابات أكثر من مليار مستخدم حول العالم. ويشير التحذير إلى أن جميع حسابات «مايكروسوفت» قد تصبح غير قابلة للوصول إذا لم يتم تفعيل طريقة تحقق أخرى، مثل المصادقة متعددة العوامل أو تطبيقات التحقق.
الهدف من هذه الخطوة هو تعزيز الأمان على حسابات المستخدمين ومنع هجمات القرصنة، حيث إن كلمات المرور يمكن أن تكون عرضة للاختراق بسهولة، وتعد المصادقة متعددة العوامل بديلاً أكثر أمانًا.
وتشجع «مايكروسوفت» المستخدمين على تحديث حساباتهم بشكل فوري، والانتقال إلى أساليب تحقق بديلة لتفادي فقدان الوصول إلى حساباتهم.
وبحسب «مايكروسوفت»، فقد تصدت لـ 7000 هجوم على كلمات المرور في الثانية الواحدة أي ما يقرب من ضعف ما حدث قبل عام، من جهات خبيثة تسرع من هجماتها الإلكترونية، وهو رقم قياسي، كان الدافع الأكبر وراء قرار إزالة كلمات المرور تماماً.
ووفقاً لشركة التكنولوجيا، فسيتم استبدال مفاتيح مرور تقدم تجربة مستخدم محسنة من خلال السماح بتسجيل الدخول بشكل أسرع باستخدام الوجه أو بصمة الإصبع أو رقم التعريف الشخصي، كما أنها ليست عرضة لنفس أنواع الهجمات مثل كلمات المرور، إضافة إلى ذلك، تعمل مفاتيح المرور على التخلص من كلمات المرور المنسية والرموز لمرة واحدة وتقليل مكالمات الدعم.
من جهتها، حذرت هيئة الأمن السيبراني التابعة للحكومة البريطانية من أن مفاتيح المرور هي مستقبل المصادقة، ولكن التبني الواسع النطاق يواجه تحديات عديدة، قبل أن تتحول رؤية «مايكروسوفت» لمستقبل بلا كلمات مرور إلى حقيقة.
وخلال العامين الماضيين، ارتفع الوعي باستخدام مفاتيح المرور بنسبة 50%، وفقاً لتحالف فيدو المختص بخدمات واستشارات تكنولوجيا المعلومات، (FIDO) وتم إتاحتها للاستخدام من قبل المستهلكين، فيما يقول المركز الوطني للأمن السيبراني في المملكة المتحدة إن معظم الأضرار السيبرانية التي تؤثر على المواطنين تحدث من خلال إساءة استخدام بيانات الاعتماد المشروعة.
وبمعنى آخر فإن القراصنة أو المهاجمين حصلوا على كلمة مرور الضحايا من خلال التصيد الاحتيالي أو استغلال حقيقة أن كلمات المرور ضعيفة أو أُعِيد استخدامها، فكلمات المرور ليست ببساطة طريقة جيدة للتحقق من هوية المستخدمين على الإنترنت الحديث، وفقاً لمركز الأمن السيبراني البريطاني.
ويحدد المركز الوطني للأمن الإلكتروني عشر قضايا حاسمة تعوق التبني الجماعي لفكرة إلغاء كلمات المرور:
1. الدعم والتجارب غير المتسقة: هناك حاليا أنواع متعددة من مفاتيح المرور المتاحة التي يحتاج مقدمو الخدمة والمستخدمون إلى فهمها، مما يعقد الأمور بالنسبة لمواقع الويب التي تريد تقديم دعم فعال لمفتاح المرور.
2. سيناريوهات فقدان الجهاز: يشعر المستخدمون بعدم اليقين إلى حد كبير حول العواقب المترتبة على مفاتيح المرور الخاصة بهم في حالة فقدان أو كسر أجهزتهم، حيث يبدو أن أجهزتهم تحتوي على القدرة الكاملة على المصادقة.
3. مشكلات الترحيل: تتمتع مفاتيح المرور بـعمر طويل لأن المستخدمين لا يمكنهم نسيانها أو إنشاء واحدة ضعيفة، لذا إذا تم تنفيذها بشكل جيد، فلا داعي لإعادة تعيينها أو تحديثها.
4. عمليات استرداد الحسابات: بالنسبة للحسابات المحمية بمفتاح المرور، أصبح القراصنة أو مهاجمون محتملون الآن أكثر ميلاً إلى التركيز على إيجاد نقاط الضعف في طلبات استرداد الحسابات وإعادة تعيينها والتحول إلى التصيد الاحتيالي للحصول على مفاتيح الاسترداد.
5. الاختلافات بين المنصات: تستخدم المنصات المختلفة مصطلحات مختلفة لوصف عملية تسجيل الدخول باستخدام مفاتيح المرور، وهو ما قد يربك المستخدمين، ويثنيهم عن استخدام مفاتيح المرور.
6. الملاءمة للسيناريوهات جميعها: يفترض استخدام مفاتيح المرور أن المستخدم يتمتع بوصول حصري وخاص إلى حساب أو جهاز لإعداد والوصول إلى مدير بيانات الاعتماد الذي يحمل مفاتيح المرور الخاصة به.
7. تعقيد التنفيذ: من الصعب تقديم مفاتيح المرور للمستخدمين للخدمات التي تستخدم حاليًا نطاقات متعددة للمصادقة، مثل (account.example.co.uk) و (account.example.com)، وقد يحتاج المستخدمون إلى مفاتيح مرور متعددة لتسجيل الدخول إلى ما يبدو أنه الخدمة نفسها.
8. الاستخدام غير المتسق: لا يوجد إجماع حول متى يجب استخدام مفاتيح المرور في رحلة تسجيل الدخول أو مدى الضمان الذي يوفره كل "نوع" من مفاتيح المرور.
ونتيجة لذلك، تختار بعض المواقع الإلكترونية طلب مفتاح مرور وعامل إضافي، بينما تسمح مواقع أخرى بتسجيل الدخول باستخدام مفتاح المرور فقط.
9. عدم اليقين حول حالة العوامل المتعددة: لم يتوصل مالكو مواقع الويب والجهات التنظيمية بعد إلى إجماع بشأن ما إذا كانت جميع "نكهات" مفاتيح المرور تُحسب على أنها "متعددة العوامل" (أو ما يعادلها) عند التحقق من المستخدم، عادةً باستخدام القياسات الحيوية للجهاز المحلي أو رقم التعريف الشخصي.
10. عدم اليقين بشأن المزامنة والمشاركة: بالنسبة للحسابات الحرجة والحساسة حيث يلزم التحقق من هوية المستخدم، هناك حالة من عدم اليقين بشأن ما إذا كانت مفاتيح المرور التي يمكن مزامنتها ومشاركتها آمنة بما يكفي في حد ذاتها.
الخبر السار هو أن كل هذا يتم العمل عليه بتنسيق من قِبَل تحالف فيدو وغيرها من المنظمات، وبدعم من مقدمي التكنولوجيا والصناعات المالية وغيرها من الصناعات التي تعتمد على التصميم الآمن، وكلها تسعى إلى إنهاء آفة الهجمات الخبيثة، ولتحقيق هذه الرؤية يقول المركز الوطني للأمن الإلكتروني إنه يتطلب جهوداً مكثفة من جميع الأطراف وتعاوناً أكبر لتماسك الرؤية ومنع تفتتها إلى الحد الذي قد يدفع المستخدمين إلى الانفصال.