شروحات عامة

مفاتيح مرور Apple: لماذا سيستفيد منه الجميع على الإنترنت

كم من الوقت تقضيه في تذكر كلمات المرور الخاصة بك؟ هل تنشئ مفاتيح أمان جديدة كل عام وتولي اهتمامًا لقوة الأمان بناءً على تسلسل الأحرف والأرقام؟ ربما لا ، لأن شركات الأمن تجد كلمات مرور غير آمنة في كثير من الأحيان في قواعد بياناتها كل عام. معظم كلمات المرور بسيطة للغاية ، ولا يتم تغييرها أبدًا ، ويمكن اختراقها في غضون بضع دقائق.

Ein Screenshot، der Apples Passkey-System zeigt.

هذا هو مدى سهولة استخدام مفاتيح مرور Apple. / © Apple / لقطة الشاشة: NextPit

وبالتالي ، فمن الجدير بالثناء أن شركة Apple قد أعلنت عن طريقة مصادقة جديدة تُعرف باسم Passkeys لاستبدال كلمات المرور. على الويب ، ترتبط الطريقة الجديدة ارتباطًا وثيقًا بنظام Apple البيئي ، وهو أمر مؤسف. هذا لأنه باستخدام Passkeys ، قدمت Apple فقط طريقتها الخاصة في التعامل مع بيانات اعتماد WebAuthn الجديدة.

لماذا “مفاتيح المرور” لا تهم مستخدمي Apple فقط

تقرأ هذا الحق. “مفاتيح المرور” ليست اختراعًا حصريًا لشركة Apple ، حتى لو بدت كذلك في WWDC 2022. إنها علامة تجارية داخلية لشركة Apple لنوع جديد من بيانات اعتماد تسجيل الدخول ، والتي طورها تحالف FIDO. Apple ليست جزءًا من التحالف ، ولكن وفقًا لها ، فقد تعاونت مع Google و Android ، من بين آخرين ، وتتبع معايير FIDO لمفاتيح المرور الخاصة بها. عاجلاً أم آجلاً ، سيستفيد جميع مستخدمي الإنترنت تقريبًا من استخدام مفاتيح المرور.

أبل WWDC 2022

تتم مزامنة “مفاتيح المرور” بين أجهزة Apple ، ولكنها ليست حصرية من Apple. / © أبل ؛ لقطة الشاشة: NextPit

الفكرة الأساسية هي تنفيذ عمليات تسجيل الدخول باستخدام مفاتيح الأمان بدلاً من كلمات المرور. من وجهة نظر المستخدم ، يتم تأمين عمليات تسجيل الدخول بعد ذلك باستخدام طرق المقاييس الحيوية التي تتيح مقارنة مفاتيح الأمان بالخادم. إذا كنت تستخدم Face ID و Touch ID بالفعل لإلغاء قفل iCloud keychain ، فهذا يعني أن القليل جدًا سيتغير من حيث الوصول إلى حساباتك.

على الرغم من أن عمليات تسجيل الدخول إلى نظام التشغيل iOS أصبحت مريحة بالفعل مثل الفترة اللاحقة عندما أصبحت مفاتيح المرور سائدة ، إلا أن هناك عيبًا واحدًا كبيرًا. حاليًا ، أنت تسمح فقط لـ iCloud keychain بنسخ كلمة المرور الخاصة بك في شاشة تسجيل الدخول. من هناك ، يتم نقله بعد ذلك إلى مشغل الخادم. لا يزال هناك خطر يتمثل في إمكانية الحصول على كلمات مرورك من خلال هجمات man-in-the-middle (MITM) أو غير ذلك.

حتى التصيد الاحتيالي ، أي الاحتيال على كلمات المرور من خلال التظاهر بأنه خدمة طوارئ مهمة جدًا أو تكتيكات أخرى للهندسة الاجتماعية ، لا يزال ممكنًا باستخدام هذه الطريقة. حاليًا ، يمكنك بسهولة نسخ كلمات المرور من سلسلة المفاتيح الخاصة بك ولصقها في أي بريد إذا تعرضت لعملية احتيال.

هذا هو السبب في أن Passkeys ومعالجة Apple آمنة للغاية

ومن ثم ، فإن استخدام Passkeys بطريقة ما يحميك من الخطر الذي يضرب به المثل وهو الجلوس ببساطة أمام شاشتك. في الجزء السفلي منه ، يعتمد على مفتاحي أمان – عام وآخر خاص. يوجد المفتاح العام على الخادم بعد الإعداد ، بينما يظل المفتاح الخاص دائمًا على الجهاز المستخدم لتسجيل الدخول. تكمن الحيلة في الصيغة الرياضية المستخدمة التي تستند إليها الطريقة.

لقطة شاشة لـ NordVPN

حاليًا ، أفضل طريقة لمنع هجمات MITM هي عبر موفري VPN. / © NextPit

كما كتبت Popular Science ، تم تصميم هذا بحيث لا يلزم نقل المفتاح الخاص إلى الخادم أثناء محاولات تسجيل الدخول. هذا يحافظ على أمان مفتاح المرور الخاص بك حتى في حالة هجمات MITM أو الاختراقات الناجحة على خوادم الشركات. تستند مفاتيح المرور إلى معيار WebAuthentification (WebAuthn) ، والذي تم استخدامه لعمليات تسجيل الدخول بدون كلمة مرور على الويب لبعض الوقت.

إذا كان كل هذا متاحًا بالفعل ، فالسؤال هو لماذا يتصرف الجميع مثل Apple أعاد اختراع كلمة المرور؟

لماذا يتصرف الجميع مثل Apple أعاد اختراع كلمة المرور؟

مرحبًا ، سؤال جيد! ما يمكنك حقًا منحه لشركة Apple: إنهم أول من استخدم مفاتيح المرور عبر الأجهزة. في الوقت نفسه ، يقدمون واجهة برمجة التطبيقات ، أو API ، لمفاتيح المرور الخاصة بهم. من أجل تمكين تسجيل الدخول عبر مفاتيح المرور ، يجب على مواقع الويب والخدمات أولاً إنشاء المتطلبات الأساسية ، بالطبع. نظرًا لأن Apple تقدم أنظمة التشغيل الجديدة iOS 16 و watchOS 9 و iPadOS 16 و macOS 13 كإصدارات تجريبية للمطورين قبل نصف عام من الإطلاق ، فمن المتوقع بالفعل التوفر عند الإطلاق عبر العديد من التطبيقات والأجهزة. على أي حال ، قدمت Apple بالفعل بيانات اعتماد WebAuthn الخاصة بها لـ WWDC 2021.

ترتبط مفاتيح المرور أيضًا ارتباطًا وثيقًا بسلسلة مفاتيح iCloud. يمكنك الوصول إلى هذا من أي جهاز Apple قمت بالتسجيل عليه باستخدام معرف Apple الخاص بك. نظرًا لأن Apple تستخدم التشفير من طرف إلى طرف لسلسلة المفاتيح الخاصة بها ولا تعرف مفاتيح الأمان ، فإن صفحة الدعم تدعي أن هذا مكان آمن لمفاتيح المرور.

النظام محمي أيضًا باستخدام المصادقة ذات العاملين. لذلك إذا كنت ترغب في التسجيل للحصول على مفتاح مرور جديد ، فسيتعين عليك تأكيد هذه العملية مرة أخرى على جهاز Apple أو عبر متصفح الويب عن طريق إدخال رمز مكون من ستة أرقام.

لم تقم Apple (بإعادة) اختراع تسجيل الدخول بدون كلمة مرور ، ولكنها طبقته ببساطة بطريقة ذكية وآمنة. بالإضافة إلى ذلك ، تُستخدم أجهزة Apple على نطاق واسع لدرجة أن تقدم Cupertino سيكون حافزًا جيدًا للخدمات والمواقع الإلكترونية للترقية أخيرًا إلى WebAuthn.

هل ستجعل مفاتيح المرور من المستحيل التبديل إلى Android و Windows؟

لا يزال تحرك Apple نحو Passkeys يقلقني قليلاً أثناء البث المباشر. بدا الأمر كما لو أن شركة آبل ستدعم مرة أخرى “حديقتها المسورة” بالميثيلين. ألا يجعل إدخال مفاتيح المرور من المستحيل تقريبًا استخدام أجهزة غير تابعة لشركة Apple أو الهروب من عالم Apple بطريقة أخرى؟

في حين أنه لم يتضح تمامًا بعد إلى أي مدى سيكون تكامل Apple’s Passkeys مغلقًا ، إلا أن هناك ثلاث حجج ضد خوفي.

عرض التفاح der Passkeys auf einem Windows-Notebook.

في المستقبل ، ستتمكن أيضًا من تسجيل الدخول إلى أجهزة Windows عبر رموز QR باستخدام Passkeys. / © Apple / لقطة الشاشة: NextPit

1: أثناء مؤتمر المطورين ، أوضحت Apple بإيجاز كيف ستصبح عمليات تسجيل الدخول ممكنة على أجهزة غير تابعة لـ Apple. على شاشة الكمبيوتر المحمول الذي يعمل بنظام Windows ، يمكن رؤية رمز الاستجابة السريعة حيث يجب مسحه ضوئيًا باستخدام جهاز Apple لتسجيل الدخول. لذلك سيكون من الممكن تسجيل الدخول أيضًا على نظامي التشغيل Windows و Android ، ولكن يجب أن يكون لديك جهاز iPhone أو iPad معك.

2: يمكنك بالفعل الوصول إلى سلسلة مفاتيح iCloud الخاصة بك على Windows. كل ما عليك فعله هو تثبيت تطبيق iCloud وسترى برنامجًا مطابقًا على جهاز الكمبيوتر الخاص بك. يعمل إلغاء القفل عبر خدمة المصادقة الخاصة بـ Windows والمعروفة باسم Windows Hello ، وبالتالي أيضًا عبر طريقة تسجيل الدخول البيومترية. ومع ذلك ، أشك في أن هذا النظام آمن بما يكفي لمفاتيح المرور الخاصة بشركة Apple. وذلك لأن Windows يعتمد على رقم التعريف الشخصي (PIN) كإجراء احتياطي ، والذي يتكون من أربعة أرقام فقط في أسوأ سيناريو.

3 :: Standard WebAuthn ، كما ذكرنا سابقًا ، ليس ملكًا لشركة Apple وسيكون بالتأكيد قابلاً للاستخدام محليًا مع Android و Windows وأنظمة التشغيل الأخرى في المستقبل. هذا يعني أنه يمكنك تعيين مفاتيح أمان جديدة لعمليات تسجيل الدخول من أجل الوصول إلى مواقع الويب. حتى لو كانت تختلف عن مفاتيح Apple المتزامنة ، فإنها لا تحدث فرقًا في المعالجة بعد الإعداد. بعد كل شيء ، ما عليك سوى تسجيل الدخول باستخدام مستشعر بصمات الأصابع أو التعرف على الوجه على أي حال.

الخلاصة: تعد مفاتيح المرور ثورية ، ولكنها ليست من Apple.

دعونا نلخص التطورات مرة أخرى. بغض النظر عن Apple ، سيجعل WebAuthn عمليات تسجيل الدخول على الويب أكثر أمانًا. بعد وقت طويل جدًا ، لم تعد بياناتنا تعتمد على مقدار الوقت أو القوة الذهنية التي نستثمرها في الحفاظ على كلمات المرور الخاصة بنا. بالإضافة إلى ذلك ، يوفر المعيار حماية موثوقة ضد التصيد والقرصنة وحتى نوع الشركات التي نختار تسجيل الدخول إليها.

تتخذ Apple خطوة كبيرة في هذا الصدد ، لتصبح أول شركة تطرح الخدمة عبر الأجهزة. في الوقت نفسه ، تستفيد الشركة من نظامها الإيكولوجي المغلق لجعل عمليات تسجيل الدخول عبر Passkeys جهدًا آمنًا ومريحًا.

يعد قرار Apple بتقديم Passkeys كموضوع مهم أثناء مؤتمر المطورين ، دون استخدام اسمها ، خطوة رائعة أيضًا. بطريقة ما ، تحصد Apple الأمجاد التي زرعها تحالف FIDO ونما في التعاون.

بعد كل شيء ، إذا أعلن Android أو Windows عن دعم Passkeys في أي وقت قريبًا ، فسيقوم الجمهور بالتأكيد بربطه بـ Apple كمنشئ.

تاتش ، أبل. تاتش!

مصادر:

زر الذهاب إلى الأعلى