الأمن البيومتري - مفتاح المصادقة بدون كلمة مرور أم بدعة؟

نشرت: 2022-03-11

كانت المصادقة بدون كلمة مرور هي الكأس المقدسة للأمان لسنوات ، لكن التقدم كان بطيئًا بشكل مؤلم. هذا لا يعني أنه لم يتم اتخاذ خطوات كبيرة ، ولكن لسوء الحظ ، تم إحالة معظم هذه التطورات إلى مختبرات البحث أو المنافذ المهنية. حتى بضع سنوات ماضية ، لم تكن التكنولوجيا الخاصة بتنفيذ المصادقة بدون كلمة مرور على نطاق واسع متاحة ببساطة.

القياسات الحيوية والأمن البيومتري

ومع ذلك ، فإن الطاغوت الصناعي يغير هذا ببطء ولكن بثبات. هناك بعض الاعتبارات التقنية والقانونية وحتى الأخلاقية التي يجب مراعاتها ، ولكن مهما كان الأمر ، فإن الأمان البيومتري والمصادقة بدون كلمة مرور موجودة لتبقى.

تعمل القياسات الحيوية بالفعل على تغيير اللعبة ، وستواصل القيام بذلك.

لماذا الذهاب بدون كلمات المرور في المقام الأول؟

نظرًا لأن هذه مدونة هندسية ، فلا أشعر بالحاجة إلى أن أشرح لمجموعة من المطورين المهتمين بالأمان مزايا تسجيل الدخول السريع. لا نحتاج إلى النظر إلى المشكلة من منظور المستهلك - فنحن جميعًا مضطرون إلى استخدام عدد لا يحصى من الخدمات عبر الإنترنت وعدد متزايد من الأجهزة. لن يتغير هذا في أي وقت قريب ، وإذا كان هناك أي شيء ، فسيستمر عدد الخدمات والأجهزة التي سيتعين علينا تسجيل الدخول إليها في الازدياد.

بالطبع ، هناك الكثير من الطرق التي يتم بها الاستغناء عن كلمات المرور ، بما في ذلك المصادقة البيومترية. من وجهة نظر المستخدم ، يعمل استخدام حسابات Google و Microsoft و Facebook لتسجيل الدخول إلى خدمات الجهات الخارجية ، حيث يمكن للمستخدم تجنب ازدحام كلمة المرور وعدم الاضطرار إلى إنشاء حسابات لكل خدمة وجهاز.

تم استخدام OAuth و OpenID لسنوات لدمج الهويات الرقمية ، ويتم استخدام المعايير من قبل بعض أكبر الأسماء في صناعة التكنولوجيا.

من الناحية الفنية ، هذا ليس حقًا أسلوبًا بدون كلمة مرور ، ولكن المستخدم العادي قد لا يرى الفرق.

إيجابيات وسلبيات استخدام هذا الأسلوب هي:

الايجابيات:

  • راحة
  • سهل التنفيذ
  • أمن جيد
  • اسم العلامة التجارية راحة البال

سلبيات:

  • الاعتماد على خدمة مركزية
  • كل البيض في سلة واحدة - من خلال اختراق حساب واحد ، يمكن للمهاجم الوصول إلى حسابات أخرى
  • يمكن استخدام الثغرات الأمنية المحتملة ، الخارجة عن إرادتك ، ضدك
  • قد يحجم الناس عن استخدام هذه الخدمات بسبب مخاوف تتعلق بالخصوصية

ينطبق الكثير من هذا على الحلول البديلة ، على الرغم من أنه لا ينطبق على شهادات الأمان التي عادةً ما يتم إبعادها إلى مستخدمي الأعمال بدلاً من المستهلكين. تفوق الإيجابيات على السلبيات ، وبالتالي يمكننا بالفعل تسجيل الدخول إلى عدد لا يحصى من خدمات الجهات الخارجية باستخدام حساباتنا الحالية.

كيف يمكن أن تساعد القياسات الحيوية والأمن البيومتري؟

يعالج استخدام أنظمة المصادقة البيومترية العديد من القضايا ؛ لا يوجد اعتماد على الخدمات المركزية ، والخصوصية ليست مصدر قلق ، ولا يتم المساس بتجربة المستخدم - بشرط أن يتم ذلك بشكل صحيح. لذا ، دعونا نلقي نظرة على الإيجابيات والسلبيات.

الايجابيات:

  • مسح بصمات الأصابع سريع ورخيص وآمن نسبيًا
  • التعرف على الصوت سهل الاستخدام ويصعب التلاعب به
  • تعد عمليات مسح قزحية العين آمنة جدًا وقد تكون أكثر ملاءمة من مسح بصمات الأصابع
  • توفر تقنية مخطط كهربية القلب مصادقة "تعمل دائمًا"
  • تعالج جميع طرق الأمان البيومترية مخاوف الخصوصية مع توفير أمان جيد

سلبيات:

  • القياسات الحيوية ليست مناسبة لجميع التطبيقات
  • غالبًا ما تكون تكلفة نشر الأمن البيومتري باهظة
  • يقتصر الدعم على أنظمة أساسية معينة وغير متاح في معظم الأحيان
  • بعض التقنيات لا تزال غير ناضجة
  • لا تعتبر القياسات الحيوية حلاً سحريًا - فلا يزال من الممكن اختراق الأمن

القياسات الحيوية ليست مفهومًا جديدًا أو تقنية جديدة. تم استخدام الأمان البيومتري في العديد من الصناعات لعقود من الزمن ، وكان عنصرًا أساسيًا لكتاب السيناريو في هوليوود لفترة أطول. أنا متأكد من أن العديد من القراء قد أتيحت لهم الفرصة للعب مع التعرف على الوجه وماسحات بصمات الأصابع على دفاترهم منذ سنوات - أعلم أنني فعلت ذلك ، وأعلم أيضًا أنني لم أكن معجبًا بذلك ؛ كانت معظم هذه الحلول المبكرة حيلًا رخيصة.

ومع ذلك ، فقد قطعنا شوطًا طويلاً منذ ذلك الحين. يتوفر المزيد من قوة المعالجة ، جنبًا إلى جنب مع مستشعرات التصوير الفائقة ، وكل شيء مدعوم ببرامج متطورة بشكل متزايد. هذا هو سبب عودة بعض هذه التقنيات ، وهو ما يفعلونه بالانتقام.

الصناعة تعطي الإبهام لماسح بصمات الأصابع

من المحتمل أن يكون معرف اللمس من Apple هو حل مصادقة بصمات الأصابع الأكثر شهرة في السوق ، ولكنه ليس الحل الوحيد بأي حال من الأحوال. فتحت Apple Touch ID لمطوري الطرف الثالث في iOS 8 وشرعت في دمج التكنولوجيا في أجهزة iPhone و iPad الجديدة ، بالإضافة إلى خدمة Apple Pay.

هذا هو السبب وراء تقدم iOS الواضح على Android والأنظمة الأساسية الأخرى ؛ سيتم شحن كل جهاز iPhone و iPad جديد بمعرف اللمس حتى يأتي كوبرتينو بشيء أفضل.

الأمن البيومترية بصمة

هذا لا يعني أنه يجب شطب Android لأن عددًا متزايدًا من هواتف Android يتم شحنها باستخدام ماسحات بصمات الأصابع. تضمنت أجهزة المصادقة البيومترية الأولى ماسحات ضوئية صغيرة تطلب من المستخدم تمرير إصبعه على الماسح ، لكن وحدات المسح باللمس ، المشابهة لوحدات Apple ، أصبحت شائعة بشكل متزايد. من المهم ملاحظة أن هذه الميزة ليست مخصصة للمنتجات الرئيسية باهظة الثمن - حتى أن بعض الهواتف التي يبلغ سعرها 200 دولار والتي يتم تسويقها من قبل البائعين الصينيين تتميز بمثل هذه الماسحات الضوئية.

ومع ذلك ، لا يزال هناك اعتبار ؛ لم تدمج Google ماسحًا لبصمات الأصابع على أي من أجهزة Nexus الخاصة بها ، على الرغم من الشائعات بأنها كانت تنوي في الأصل تضمينها على هاتف Nexus 6 الذكي. في الواقع ، قدم مشروع Android Open Source Project (AOSP) دليلاً على إزالة دعم بصمات الأصابع من الجهاز. هذه ليست أخبارًا جيدة لمطوري Android ، حيث تعرض Google عادةً تقنية جديدة على أجهزة Nexus وتتابع الوثائق وواجهات برمجة التطبيقات ، كما كان الحال مع دعم NFC على Nexus S ، أو مستشعر البارومتر في Galaxy Nexus.

ومع ذلك ، فإن هذا لم يمنع البائعين من استخدام التعليمات البرمجية الخاصة بهم ، مع أنواع قليلة من الماسحات الضوئية. ولكن هذه أخبار سيئة للمطورين الذين يتم تقييد أيديهم نظرًا لعدم وجود معيار من شأنه القضاء على التجزئة ويضمن إمكانية التشغيل البيني. حاولت Samsung التغلب على المشكلة من خلال السماح للمطورين بالتلاعب باستخدام Pass API الخاص بها ، لكن هذا لا يزال حلاً مثاليًا. حاولت Motorola أن تفعل الشيء نفسه منذ أربع سنوات مع أجهزة Atrix القديمة.

أصدر عدد من مصنعي الأجهزة والمطورين أيضًا حزم SDK لتمكين المطورين من دمج الدعم لمختلف ماسحات بصمات الأصابع ، لكن عدم وجود بيئة موحدة من شأنها أن تقلل أو تقضي على التجزئة لا يزال يمثل مشكلة كبيرة.

قد يستغرق الأمر بعض الوقت قبل أن نرى ماسحات ضوئية لبصمات الأصابع في معظم الهواتف ، ولكن يتم إحراز الكثير من التقدم. انتقلنا من عدم وجود ماسحات ضوئية على الهواتف الرئيسية إلى ماسحات ضوئية موثوقة نسبيًا على هواتف بقيمة 200 دولار في غضون عامين.

ماسحات بصمات الأصابع

لكن ما مدى فائدتها؟ هل هي مجرد حيل مثل ماسح بصمات الأصابع من الجيل الأول على أجهزة الكمبيوتر المحمولة القديمة؟

التكنولوجيا تعمل ، ولا شك في ذلك ، ولكن التطبيقات في الوقت الحالي محدودة. يجب أن يواكب تطوير البرامج الأجهزة ، فنحن بحاجة إلى المزيد من الخدمات التي يمكنها استخدام مثل هذا الحل ، ونحتاج إلى المزيد من واجهات برمجة التطبيقات والمعايير والإرشادات من قادة الصناعة (وبالتحديد ، Google). في هذه المرحلة ، تعد الماسحات الضوئية لبصمات الأصابع على العديد من أجهزة Android حيلًا ، لا أكثر.

بشكل عام ، تعد ماسحات بصمات الأصابع مريحة ، لكنها ليست حلاً مثاليًا. في حين أن كل بصمة إصبع فريدة من نوعها ، لا تزال هناك بعض المخاوف الأمنية. يمكن خداع العديد من الماسحات الضوئية ، على الرغم من تزايد صعوبة سحبها بصورة بسيطة. ومع ذلك ، هناك بدائل ، بما في ذلك الطباعة ثلاثية الأبعاد ، وبعض الطرق المروعة للقيام بذلك ، كما أشار أحد خبراء الأمن قبل عامين.

وغني عن القول ، لا يمكنك استخدام قارئات بصمات الأصابع مع قفازات ، أو إبهام مصاب ، أو في المواقف المتطرفة الأخرى. لكن هذه عيوب بسيطة نسبيًا.

تريد Microsoft أن تنظر إليك في عينيك

لذا ، دعونا نلخص. يمكن لنظامي Android و iOS بالفعل استخدام ماسحات بصمات الأصابع للأمان البيومتري ، وهي غير مستغلة حاليًا. لكن ماذا عن بيئات سطح المكتب؟ يمكننا فتح هواتفنا ومصادقة المدفوعات باستخدام القياسات الحيوية ، لكننا ما زلنا نعمل على أجهزة الكمبيوتر المكتبية ، فماذا عن جعلها بلا كلمة مرور حقًا؟

أعلنت Microsoft مؤخرًا عن Windows Hello وفي حالة فاتتك ، تحقق من مدونة Windows الرسمية للحصول على نظرة عامة شاملة على هذه المبادرة.

هذه هي الطريقة التي تشرح بها Microsoft رؤيتها لـ Windows Hello:

بدلاً من استخدام سر مشترك أو قابل للمشاركة مثل كلمة المرور ، يساعد Windows 10 في المصادقة بأمان على التطبيقات ومواقع الويب والشبكات نيابة عنك - دون إرسال كلمة مرور. وبالتالي ، لا توجد كلمة مرور مشتركة مخزنة على خوادمهم ليتمكن المتسلل من اختراقها.

سيطلب منك Windows 10 التحقق من امتلاكك لجهازك قبل أن يقوم بالمصادقة نيابة عنك ، باستخدام PIN أو Windows Hello على الأجهزة المزودة بأجهزة استشعار المقاييس الحيوية. بمجرد المصادقة باستخدام "Passport" ، ستتمكن من الوصول فورًا إلى مجموعة متزايدة من مواقع الويب والخدمات عبر مجموعة من الصناعات - مواقع التجارة المفضلة والبريد الإلكتروني وخدمات الشبكات الاجتماعية والمؤسسات المالية وشبكات الأعمال والمزيد.

Windows Hello هو نظام مصادقة بيومترية سيمكن المستخدمين من الوصول الفوري إلى أجهزتهم التي تعمل بنظام Windows 10 ، باستخدام مسح بصمات الأصابع أو مسح قزحية العين أو التعرف على الوجه. تقول Microsoft إن "الكثير" من أجهزة Windows 10 الجديدة ستدعم Windows Hello ، ولكن ، شخصيًا ، أجد تقنية واحدة مثيرة للاهتمام بشكل خاص.

يعد مسح قزحية العين إحدى الطرق التي تدعمها Microsoft وله بعض الفوائد على البدائل. يجب أن يكون أكثر موثوقية وربما أكثر ملاءمة من مسح بصمات الأصابع. إذا كنت تتساءل ، فلن يتم التعامل مع هذا من خلال كاميرات الويب أو كاميرات الهاتف الخاصة بنا - تريد Microsoft استخدام "مجموعة من الأجهزة والبرامج الخاصة" للتأكد من عدم إمكانية التغلب على النظام.

مسح قزحية العين والقياسات الحيوية

سوف يعتمد ماسح قزحية العين على تقنية الأشعة تحت الحمراء (من المحتمل أن تكون قريبة من الأشعة تحت الحمراء). هذا يعني أنه سيكون قادرًا على العمل في جميع ظروف الإضاءة ورؤية قزحية العين من خلال النظارات ، حتى النظارات الملونة. لن يضطر مصممو الأجهزة إلى تخصيص مساحة كبيرة على الجهاز لدمج الماسح الضوئي ؛ يمكن دمجها بجوار كاميرا السيلفي على هواتفنا المحمولة ، أو كإضافة لكاميرات الويب المستقلة المستخدمة في العديد من أجهزة المكاتب اليوم. هذا يعني أنه يمكن تعديله بسهولة إلى أجهزة الكمبيوتر المكتبية الموجودة.

بصرف النظر عن الماسحات الضوئية التي تعمل بالأشعة تحت الحمراء ، ستستخدم Microsoft أيضًا تدابير أمان بيومترية تقليدية مثل التعرف على الوجه ، بالاعتماد على تقنية كاميرا Intel RealSense. هذا من شأنه أن يساعد في جعل Windows Hello أكثر غزارة ، خاصة مع قيام المستخدمين بالترقية إلى أجهزة كمبيوتر محمولة وهجينة جديدة تعتمد على منصات Intel.

على واجهة الهاتف المحمول ، يوفر ماسح قزحية العين العديد من المزايا مقارنة بمصادقة بصمات الأصابع ؛ يمكن أن تعمل مع القفازات ، وإصابات قزحية العين أقل شيوعًا بكثير من إصابات الإبهام ، ويجب أن يكون التغلب على ماسح قزحية العين من الدرجة الاستهلاكية أكثر صعوبة من ماسح بصمات الأصابع.

هناك زاوية أخرى لنهج Microsoft - لن يخزن عملاق البرمجيات البيانات الحيوية للمستخدمين. سيتم تأمين التوقيع البيومتري محليًا على الأجهزة ومشاركته مع أحد غير المستخدم. سيتم استخدام التوقيع فقط لإلغاء قفل الجهاز و Passport ، لذلك لن يتم استخدامه لمصادقة المستخدمين عبر الشبكة.

لا تزال هيئة المحلفين خارج خطط القياسات الحيوية من Microsoft وسيتعين علينا انتظار Windows 10 لرؤيتها قيد التنفيذ.

ماذا عن مصادقة Always-On؟

في حين أن كل هذه التقنيات قد تقوم بعمل جيد في استبدال كلمات المرور التقليدية ، إلا أن هناك مفاهيم ناشئة يمكن أن تمنح المهندسين مزيدًا من الحرية. ماذا لو تمكنا من الاستغناء عن العملية بالكامل ، بدون كلمات مرور ، ولا فحص لبصمات الأصابع - لا شيء؟

"المصادقة على الدوام" هي الحدود التالية ، وقد تم بالفعل اقتراح عدد من الطرق للوصول إلى هناك. ومع ذلك ، يجب عمل تمييز مهم. عادةً ما تشير المصادقة التي يتم تشغيلها دائمًا إلى المصادقة من جهاز إلى آخر ، مثل نظام مصادقة SSL "دائم التشغيل" واتصالات SHH وبيانات اعتماد NFC وتقنيات الشبكات المختلفة. يتم تطويرها عادةً لمراقبة المعاملات المالية والمصادقة عليها ، وبالتالي تقليل مخاطر الاحتيال عبر الإنترنت.

هناك عدد قليل نسبيًا من الحلول لمصادقة المستخدم التي تعمل دائمًا. أحد الأمثلة على ذلك هو سوار المعصم Nymi من Bionym. إنه جهاز يمكن ارتداؤه يشبه إلى حد كبير متتبع اللياقة البدنية العادي ، ولكنه أكثر ذكاءً من ذلك.

دائما على المصادقة

يقوم Nymi بفحص مخطط كهربية القلب (ECG) الفريد للمستخدم. هذا يعني أنك تحتاج فقط إلى تثبيت الجهاز على معصمك لتوفير مصادقة دائمة. طالما أن قلبك ينبض ، فسوف يتم تسجيل دخولك.

إذا كنت تفكر في تجربة نفس الحيلة على ساعة Apple Watch أو Android Wear ، فاحمل خيولك ، فنحن لم نصل إلى هناك بعد. لا يقوم جهاز Nymi فقط بتتبع معدل ضربات قلب المستخدم مثل الساعة الذكية ، بل يقوم في الواقع بتحليل شكل موجة ECG للمستخدم ، والتي تأخذ مستشعرًا أكثر حساسية. تبدو الساعات الذكية مثل النظام الأساسي المثالي للأجهزة لهذا التطبيق ، وستكون قادرة ، عاجلاً أم آجلاً ، على فعل الشيء نفسه.

تخيل فتح هاتفك ، وسيارتك ، ومكتبك ، وجهاز الكمبيوتر الخاص بك بمجرد التواجد هناك والنبض؟ تسجيل الدخول إلى أي حساب بسلاسة ، ثم الدفع مقابل الغداء ، والقيام ببعض التسوق في طريق العودة إلى المنزل وربما سحب النقود من أجهزة الصراف الآلي ، كل ذلك دون الحاجة إلى التوفيق بين مشترياتك من البقالة وبطاقات الائتمان. لم نصل إلى هناك بعد ، لكننا نحقق ذلك ببطء.

ماذا يعني كل هذا لمطوري البرامج والمستخدمين؟

في الوقت الحالي ، يمكن لمطوري البرامج استخدام البرامج الوسيطة والرموز المميزة الجاهزة لنشر حلول بدون كلمات مرور. أحد الأمثلة على ذلك هو Passwordless ، وهو إطار عمل مفتوح المصدر قائم على الرموز المميزة لـ Node.js و Express. إذا كنت مهتمًا بكيفية نشرها ، فإن Mozilla لديها منشور مدونة شامل يشرح ذلك.

سيستغرق الأمر بعض الوقت ، لكن وحدات البناء البيومترية بدأت تتساقط ببطء في مكانها. سيتم زيادة المحصول الحالي من التقنيات بدون كلمة مرور ، واستبدالها في النهاية بالمصادقة البيومترية.

لا يعتقد العديد من المتشككين في مجال الأمن البيومتري ، بمن فيهم العديد من زملائي ، أن هذا سيحدث في أي وقت قريب ، لكنني متفائل لا يمكن إصلاحه ؛ أعتقد أن الأمان بدون كلمة مرور سيكون معيارًا بحلول نهاية العقد ، ولهذا السبب: إذا لاحظنا مجالًا معينًا فقط ، سواء كان برنامجًا أو جهازًا ، فسنجد مشاكل لا حصر لها في القياسات الحيوية ، وقد أوضحت العديد منها بالفعل. ومع ذلك ، إذا عدنا بضع خطوات إلى الوراء ونظرنا إلى الصورة الكبيرة ، إذا ألقينا نظرة على اتجاهات الصناعة الجديدة والتركيز المتزايد على الأمن الشخصي وأمن الشركات ، والانتهاكات الأمنية المعلنة بشكل كبير ، ومخاوف الخصوصية - فنحن ملزمون برؤية الأشياء من منظور مختلف.

ومع ذلك ، فإن الفيل الموجود في الغرفة ليس خصوصية أو أمان B2B ، إنه مدفوعات عبر الهاتف المحمول.

من المتوقع أن يتضاعف حجم المعاملات عبر الهاتف المحمول في الولايات المتحدة هذا العام إلى 10 مليارات دولار. بحلول عام 2018 ، تتوقع بلومبرج أن يصل الحجم إلى 110 مليار دولار. على أساس نصيب الفرد ، سيحقق المستهلك الأمريكي العادي حوالي 30 دولارًا في المعاملات هذا العام ، ولكن بحلول عام 2018 ، سيرتفع الرقم إلى 330 دولارًا للفرد ، لكل رجل وامرأة وطفل. بافتراض نفس معدل النمو السنوي المركب في 2019 و 2020 ، يمكننا النظر إلى أربعة أرقام للفرد بحلول عام 2021.

مع هذا النوع من المال في اللعب ، ما رأيك؟