ايتنا – پسوردهایتان را فراموش کنید!

سال ۱۹۶۱ است و فرناندو کورباتو، دانشمند رایانه در ام‌آی‌تی، با مشکلی مواجه شده است. این دانشگاه رایانه‌های بزرگی دارد که فایل‌های بزرگی در آن ذخیره شده‌اند و هرکسی می‌تواند به آن‌ها دسترسی داشته باشد.

راه‌حل فناوری‌ای به نام رمز عبور بود که بیش از ۶۰ سال است در تمام رایانه‌ها روزبه‌روز گسترش یافته است و کاربران را آزار می‌دهد.

به گزارش ایتنا و به نقل از ایندیپندنت، راه حل کورباتو ساخت سیستمی بود که فایل‌ها را فقط با مجموعه صحیحی از حروف باز می‌کرد و هم‌زمان برای امنیت فایل‌ها و به‌اشتراک‌گذاری منابع محاسباتی در زمانی که این منابع ارزشمند و محدود بودند کاربرد داشت.

یک سال بعد در سال ۱۹۶۲، آلن شر، یکی دیگر از دانشمندان رایانه در موسسه فناوری ماساچوست (ام‌آی‌تی)، درگیر مشکلی دیگر است. او در کاری که انجام می‌دهد از منابع محاسباتی بسیار زیادی استفاده می‌کند، و می‌خواهد برنامه‌هایش را حذف کند؛ ترفندی به ذهنش رسید تا بیشتر از زمان رایانه استفاده کند، اما برای اجرای کامل شبیه‌سازی‌هایی که می‌خواست کافی نبود.

او نیز با ارائه یک راه‌حل از مشکلی خبر داد که کاربران رایانه هنوز هم با آن مواجه‌اند: هک کردن رمز عبور. حدود ۲۵ سال بعد اعتراف کرد که راهی برای چاپ گذرواژه‌های محافظ سیستم یافته بود و از آن‌ها برای دستیابی به زمان موردنیازش استفاده می‌کرد.

کورباتو و شر شاید نخستین نمونه‌های حرکتی باشند که در طول تاریخ رایانه ادامه یافته است: یک طرف برای ایمن‌سازی سیستم تلاش می‌کند و طرف دیگر به دنبال از بین بردن آن است. تقریبا در طول تاریخ رایانه، این امنیت به رمز عبور– مجموعه‌ای کوتاه از نویسه‌های ضروری برای دسترسی – وابسته بوده است.

 

کورباتوهای امروزی برای ایمنی بیشتر رمز عبور به راه‌هایی جدید رسیده‌اند: آن‌ها را به‌گونه‌ای رمزگذاری می‌کنند تا نشود به راحتی سرقتشان کرد، آن‌ها را در مدیریت رمز عبور ذخیره می‌کنند تا مطمئن شوند رمز عبوری پیچیده دارند که گم نمی‌شود، و‌ سایر اقدام‌ها.

اما جانشینان شر که به‌مراتب از او پلیدترند همواره راه‌هایی نوین برای دور زدن این روش‌ها یافته‌اند، و با شیوه‌ای مانند «فیشینگ» رمز عبور را سرقت می‌کنند، که طی آن با تظاهر به اینکه وب‌سایتی قانونی‌اند، افراد را به ورود رمز عبور وادار می‌کنند.

با این حال، در سال‌های اخیر، ممکن است شرکت‌های فناوری راهی برای خلاصی از شر رمز عبور یافته باشند. با انبوهی از فناوری‌ها – از بیومتریک‌هایی مانند اثر انگشت و اسکن چهره در گوشی‌های تلفن گرفته تا استانداردهایی جدید که به دستگاه‌ها امکان می‌دهد یکدیگر را تایید کنند – شاید سرانجام از این فناوری ۶۰ ساله خلاص شویم.

قدمت رمز عبور ممکن است به اندازه خود زبان باشد. در روم باستان محافظت از رمزعبور به عهده سربازی به نام تسراریوس بود – نامش برگرفته از تکه چوبی بود که روی آن گذرواژه نوشته می‌شد، و مسئول تامین امنیت چیزی بود که ارتش آن را «اسم رمز» می‌نامید.

به همین سیاق، کلمه «شیبولث» به داستانی در کتاب مقدس برمی‌گردد که در آن به مردم می‌گفتند آن را تلفظ کنند: به گفته قوم گیلیاد که آن‌ها را شکار می‌کردند این واژه در لهجه قبیله افرایم «سیبولت» تلفظ می‌شد. آن‌هایی را که اشتباه تلفظ می‌کردند دستگیر می‌کردند و می‌کشتند و به نوشته کتاب داوران، ۴۲ هزار نفر به قتل رسیدند.

امروزه گذرواژه هنوز هم در جنگ و صلح چه برای گرفتن جان و چه محافظت از آن استفاده می‌شود. هزاران سال گذشته، اما مخاطرات به همان اندازه بالا است که همیشه بوده است.

 

این هفته، یک بار دیگر مشخص شد که رمز عبور کلی نقاط ضعف احتمالی دارد. جدیدترین مورد تهدیدی از جانب هوش مصنوعی است: مقاله‌ای پیش‌چاپ نشان داد که هوش مصنوعی می‌تواند با گوش دادن به صفحه کلید بفهمد با استفاده از آن، چه رمز عبوری تایپ می‌شود و به این ترتیب هکر می‌تواند آن را بازیابی کند.

آن‌ها که در حوزه رمز عبور کار می‌کنند نیز ممکن است گرفتار مسابقه با زمان و تهدید محاسبات کوانتومی شوند.

اکنون، ابزارهای رمزنگاری محافظ داده‌های پنهان پشت رمز عبور، از مسائل ریاضی بسیار پیچیده‌ برای این کار استفاده می‌کنند که عملا با داشتن کلمه رمز درست حل می‌شوند. اما رایانه‌های کوانتومی محاسباتی را که پیش‌تر بسیار دشوار بوده‌اند به محاسباتی بسیار ساده تبدیل می‌کنند و با این کار شکستن رمز برای افراد بسیار ساده‌تر می‌شود.   

اما گذرواژه‌ها یک ضعف بسیار قدیمی دارند، از آنجا که رمز عبور به حافظه انسان متکی‌ است، ممکن است در اثر خطاپذیری خود ما شکسته شود. کاربر تمایل دارد از عباراتی یکسان برای گذرواژه خود استفاده کند – گزارش‌های سالیانه رواج گذرواژه‌هایی مانند کلمه «گذرواژه» را نشان می‌دهد – و سپس از آن در وب‌سایت‌های مختلف استفاده می‌کند، یعنی با یک بار باز شدن رمز دسترسی به کل زندگی دیجیتالی فرد امکان‌پذیر می‌شود.

به‌تازگی، دانشمندان علوم رایانه سعی کرده‌اند این مشکل را با احراز هویت دو مرحله‌ای رفع کنند، که نه تنها به رمز عبور بلکه به رمزی نیاز دارد که به دستگاهی جداگانه و پیش‌تر احراز هویت شده مانند تلفن همراه ارسال می‌شود. این امر نفوذ به حساب کاربری را بسیار دشوار می‌کند، چون هکر به غیر از رمز عبور سرقت‌شده به دستگاه دیگر کاربر هم نیاز دارد.

در سال‌های اخیر، شرکت‌ها درصدد بودند از این روش به‌منزله راه اصلی ورود به حساب بهره بگیرند: آن دستگاه‌های احراز هویت‌شده به مرور راه اصلی ورود به سیستم خواهد شد. سال گذشته، اپل، گوگل و مایکروسافت به «استاندارد فیدو» که هدفش تسریع‌ پذیرش این فناوری است متعهد شدند.

زمانی که این همکاری اعلام شد اپل گفت: «احراز هویت فقط با استفاده از گذرواژه یکی از بزرگ‌ترین مشکلات امنیتی وب است، و مدیریت رمزهای عبور زیاد برای کاربر دست و پاگیر بوده، و اغلب باعث می‌شود همه جا از یک رمز عبور استفاده کند. این کار به تصاحب زیانبار حساب‌ها، نقض داده‌ها و حتی سرقت هویت منجر می‌شود. درحالی‌که مدیریت رمزعبور و روش‌های احراز هویت دو مرحله‌ای قدیمی، به‌تدریج شرایط بهتری را فراهم می‌کنند، در صنعت نیز همکاری‌هایی صورت گرفته تا فناوری راحت‌تر و ایمن‌تری برای ورود به حساب ایجاد شود.

اپل گفت بهبودهای جدید «استانداردهای ورود بدون رمز عبور» را امکان‌پذیر می‌کند، مانند استفاده از کلیدعبور که در دستگاه‌ها ذخیره‌ می‌شود یا امکان احراز هویت افراد با استفاده از دستگاهی که نزدیکشان است. همکاری شرکت‌های مختلف درگیر باید امکان استفاده از این روش را در پلتفرم‌های مختلف میسر کند: مثلا قفل رایانه شخصی مایکروسافت را بتوان با آیفون اپل باز کرد.

بسیاری از این کارها بی‌سروصدا انجام شده است، با آگاهی از اینکه بهترین راه برای تغییر رفتار مشتری این است که کار آن‌قدر ساده انجام شود که آن‌ها متوجه نشوند. برای نمونه، اپل کلید عبور را با به‌روزرسانی آی‌اواس ۱۷ جدید معرفی می‌کند اما به عمد طوری طراحی شده که مانعی ایجاد نکند و به نظر کارشناسان به پذیرشش کمک می‌کند.

الکس سیمونز، معاون مدیریت برنامه در بخش هویت مایکروسافت، سال گذشته گفت: «انتقال کامل به دنیای بدون رمز عبور از آنجا شروع می‌شود که کاربر آن را به بخش عادی زندگی خود تبدیل می‌کند. هر راه حل اجرایی باید ایمن‌تر، آسان‌تر و سریع‌تر از گذرواژه و روش‌های احراز هویت چند مرحله‌ای قدیمی باشد که امروزه استفاده می‌شود.‌ در اثر همکاری با یکدیگر به‌مثابه یک جامعه در سراسر بسترهای مجازی، درنهایت می‌توانیم به این چشم‌انداز دست پیدا کنیم و در جهت حذف رمز عبور پیشرفتی چشمگیر داشته باشیم.»

با این حال، بسیاری از جایگزین‌های رمز عبور مشکلات خاص خود را دارند. امنیت بیومتریک ممکن است به دلیل میزان خطا، نتواند مالک واقعی را شناسایی کند یا با اثر انگشت و سایر اطلاعات جعلی فریب داده شود؛ از این قسمت‌ بدن به این دلیل استفاده می‌شود که تغییر نمی‌کند، اما وقتی کسی یکبار اطلاعات را سرقت کرده باشد، آن اطلاعات تا ابد معتبر است و نمی‌توان آن را مثل رمز عبور  تغییر داد.

کارشناسان سال‌ها است که پایان عمر رمز عبور را وعده می‌دهند. در سال ۲۰۰۴، بیل گیتس در یک نشست امنیتی در سانفرانسیسکو گفت که این فناوری به‌زودی عرضه می‌شود.

او گفت: «شکی نیست که با گذشت زمان، وابستگی مردم به رمز عبور کمتر می‌شود. آن‌ها  در سیستم‌های مختلف از رمز عبوری یکسان استفاده می‌کنند، آن را یادداشت می‌کنند و واقعا برای تامین امینت هیچ چیزی دچار مشکل نمی‌شوند.»

تقریبا ۲۰ سال بعد، پیش‌بینی‌ گیتس در تشخیص این مشکل درست‌تر از سرعت آن بود. اما فناوری جدید ممکن است همچنان حق را به او بدهد.