ما هي مفاتيح المرور Passkeys وما الفرق بينها وبين كلمات المرور؟
تشير الإحصائيات إلى أن المتسللين يطلقون 50 مليون هجوم لكلمات المرور يوميًا أي نحو 580 هجومًا في الثانية، وتقريبًا تُعزى نسبة 60% من خروقات البيانات التي تحدث حتى يومنا هذا إلى كلمات المرور الضعيفة وبيانات التسجيل المخترقة.
على الرغم من ذلك لا تزال “123456” كلمة المرور الأكثر استخدامًا عبر الإنترنت، حيث يستخدمها أكثر من 103 ملايين شخص لحماية حساباتهم، لذلك يقول نسبة 85% من محترفي تكنولوجيا المعلومات والأمن الإلكتروني إن الأمان بدون كلمات مرور يمثل أولوية قصوى اليوم.
تعمل شركات التكنولوجيا الآن على التخلص من كلمات المرور التقليدية، حيث تعاونت كل من آبل وجوجل ومايكروسوفت مع تحالف FIDO، ومنظمة W3C لاعتماد تقنية مفاتيح المرور (Passkeys) في أنظمة تشغيلها ومتصفحاتها باعتبارها وسيلة تسجيل دخول أكثر أمانًا وأسهل في الاستخدام من كلمات المرور وجميع طرق المصادقة الثنائية الحالية.
ما هي مفاتيح المرور Passkeys ؟
مفاتيح المرور (Passkeys) هي عبارة عن وسيلة تسجيل دخول جديدة تعتمد على معيار WebAuthn بحيث يمكنك استخدام المصادقة البيومترية: بصمة الإصبع Touch ID أو التعرف على الوجه Face ID، أو رمز PIN أو نمط التمرير المستخدَم مع أجهزة أندرويد للتحقق من محاولة تسجيل الدخول بدلاً من الاعتماد على تركيبة اسم المستخدم وكلمة المرور.
تحل مفاتيح المرور محل كلمة المرور والمصادقة الثانية في خطوة واحدة، لذلك ستكون تجربة المستخدم بسيطة مثل الملء التلقائي لنموذج كلمة المرور. توفر مفاتيح المرور حماية قوية ضد هجمات التصيد الاحتيالي، على عكس الرسائل النصية القصيرة أو كلمات المرور المعتمدة على التطبيق التي تستخدم لمرة واحدة.
تعمل مفاتيح المرور عن طريق إنشاء زوج من المفاتيح: مفتاح عام ومفتاح خاص مخزنين في الجهاز، يُخزن المفتاح العام في السحابة لمشاركته بين الأجهزة التي لها مفاتيحها الخاصة، ويضمن هذا أيضًا أنه في حالة اختراق الخادم، لا يمتلك المخترق كلا المفتاحين للوصول إلى الحسابات.
عند تسجيل الدخول إلى أحد المواقع سيُرسل إشعارًا إلى هاتفك، مما يسمح لك بمصادقة هويتك عبر المقاييس الحيوية أو رقم التعريف الشخصي دون الحاجة إلى كلمة مرور.
تعتبر مفاتيح المرور تقنية عالمية، لذا يجب أن تعمل مع أي نظام تشغيل أو متصفح، مما يجعلها في متناول المزيد من المستخدمين، ولكن ستحتاج الشركات إلى توفير التقنية في أنظمة التشغيل والمتصفحات لتتمكن من البدء باستخدامها.
كيف تعمل مفاتيح المرور؟
على عكس المصادقة الثنائية؛ يستخدم مفتاح المرور البلوتوث بدلاً من الواي فاي، لأنه يتطلب تقاربًا ماديًا مع الأجهزة، مما سيساعد في التحقق من أن المستخدم هو من يحاول تسجيل الدخول.
سيعني هذا أيضًا أن المستخدم سيحتاج إلى تفعيل البلوتوث في الحاسوب المحمول والهاتف لاستخدام مفتاح المرور، لن تكون هذه مشكلة بالنسبة لمعظم الأجهزة الحالية، ولكنها قد تكون صعبة على أي شخص يستخدم حاسوب سطح مكتب قديم.
كما يتضح في الصورة التالية؛ بمجرد التسجيل وربط حساباتك المختلفة، سيتم إرسال إشعار فوري إلى هاتفك عبر البلوتوث، ومن خلال إلغاء قفل هاتفك إما عن طريق رقم التعريف الشخصي أو المقاييس الحيوية، سيقوم جهازك بعد ذلك بإنشاء مفتاح عام فريد وإرساله إلى خدمة الويب ذات الصلة المرتبطة بحسابك. إذا كان هناك تطابق، فسيتم تسجيل دخولك إلى حسابك.
الأهم من ذلك؛ أن بياناتك الحيوية لا تترك هاتفك الذكي أبدًا، لذلك ليس هناك احتمال من وصول أي جهة خارجية إلى بياناتك.
كيف تكون مفاتيح المرور أكثر أمانًا من كلمات المرور؟
تشير التقديرات إلى وجود أكثر من 300 مليار كلمة مرور قيد الاستخدام حاليًا، وهو ما يعادل نحو 38 كلمة مرور لكل مستخدم للإنترنت، وهذا يعني أن هناك الكثير من كلمات المرور التي يجب تذكرها.
كلمات المرور هي المعيار الحالي المستخدم في عمليات تسجيل الدخول، لكنها ليست المعيار المثالي. أولًا؛ يجب أن يتذكر الأشخاص كلمات المرور المتعددة الخاصة بهم، كما يجب عليهم إنشاء كلمات مرور معقدة لتجنب سرقتها واختراق الحسابات.
بينما مفاتيح المرور لا يمكن سرقتها لأن البيانات مخزنة في جهازك وليس خادم ويب، كما سيحتاج المتسللون إلى الوصول إلى هاتفك، وبصمة إصبعك أو رمز PIN أو نمط التمرير لاختراق حساباتك.
يحتاج المخترقون أيضًا إلى أن يكونوا على مقربة من هاتفك والجهاز الذي يحاولون تسجيل الدخول إليه نظرًا لأن مفتاح المرور يستخدم البلوتوث.
يستخدم العديد من الأشخاص كلمة المرور نفسها في عدة حسابات مما يعني أنه إذا حصل المخترق على كلمة مرورك، فمن السهل عليه اختراق الحسابات المتعددة المستخدمة فيها، وهنا ستعالج مفاتيح المرور هذه المشكلة، حيث لن يتمكن المخترق من جمع كلمات مرورك إذا كنت تستخدم بصمة إصبعك أو تقنية التعرف على الوجه لتسجيل الدخول.
لماذا تنتقل الشركات إلى المصادقة بدون كلمة مرور؟
وفقًا لتقرير “تكلفة خرق البيانات لعام 2021” لشركة IBM Security ارتفعت تكلفة خرق البيانات إلى أعلى معدلاتها على الإطلاق خلال السنوات السبع الماضية في عام 2021، حيث يكلف الاختراق الأمني الآن نحو 4.2 مليون دولار.
بالإضافة إلى ذلك؛ تعتبر عمليات إعادة تعيين كلمة المرور من أهم الأسباب التي تجعل الموظفين يتصلون بمكاتب تكنولوجيا المعلومات، وفي المتوسط تتكلف الشركة 70 دولارًا لإعادة تعيين كلمة مرور واحدة، وتخصص الشركات الأمريكية الكبيرة أكثر من مليون دولار سنويًا لتكاليف الدعم المتعلقة بإعادة تعيين كلمات المرور.
كما تشكل إدارة كلمات المرور السيئة أيضًا خطرًا لحدوث انتهاكات أمنية، حيث يدرك 91% من الأشخاص مخاطر استخدام كلمة المرور نفسها في حسابات متعددة، ومع ذلك يستمر 61% منهم في إعادة استخدام كلمة المرور نفسها في أكثر من حساب.
لذلك فاستخدام نظام مصادقة بيومتري واحد – الذي يمثل هنا مفاتيح المرور – في إجراء مصادقة عالية الأمان بدلاً من كلمة المرور التقليدية يوفر ضمانًا أفضل للهوية، نظرًا لأن هذه السمات الجسدية فريدة لكل شخص، وبناء عليه سيقلل من مخاطر خروقات البيانات، وسيوفر للشركات الكثير من الأموال والموارد.