FIDO استاندارد جدیدی برای انتقال ایمن کلیدهای عبور معرفی کرد

انجمن FIDO با انتشار پیش‌نویس استاندارد فنی جدیدی، گامی بزرگ در جهت بهبود امنیت و سهولت استفاده از کلیدهای عبور برداشته است.

به‌گزارش تک‌ناک، مدتی است که کلیدهای عبور به‌عنوان روش نوین احراز هویت، جایگزین رمزهای عبور سنتی شده‌اند. این روش با بهره‌گیری از رمزنگاری کلید عمومی، امکان ورود کاربران به حساب‌هایشان را بدون نیاز به حفظ رمزهای عبور پیچیده فراهم می‌آورد.

مطالعات FIDO نشان می‌دهد که استفاده از کلیدهای عبور، فرایند ورود به سیستم را بهبود چشمگیری بخشیده است؛ به‌طوری‌که به‌طور متوسط ورود به سیستم با کلیدهای عبور ۷۵ درصد سریع‌تر و ۲۰ درصد موفق‌تر از روش‌های سنتی مبتنی‌بر رمز‌عبور است.

با وجود مزایای فراوان کلیدهای عبور، یکی از مشکلات اصلی در این حوزه، فقدان مکانیزم استاندارد و ایمن برای انتقال آن‌ها بین پلتفرم‌ها و سرویس‌های مختلف است. برای مثال، کاربرانی که کلید عبور خود را در سرویسی ایجاد می‌کنند، نمی‌توانند آن را به‌سادگی به سرویسی دیگر منتقل کنند. این محدودیت کاربران را به استفاده از پلتفرمی خاص محدود می‌کند و امنیت داده‌های آن‌ها را به‌خطر می‌اندازد.

استاندارد جدید FIDO با هدف رفع این مشکل، راهکاری جامع برای انتقال ایمن کلیدهای عبور ارائه می‌دهد. این استاندارد ضمن افزایش امنیت، تجربه کاربری را بهبود می‌بخشد و به کاربران امکان می‌دهد تا به‌صورت یکپارچه و بدون محدودیت بین سرویس‌های مختلف جابه‌جا شوند.

استانداردسازی قابلیت انتقال گذرواژه‌های امن

به‌نقل از بلیپینگ‌کامپیوتر، مشخصات جدیدی که FIDO پیشنهاد می‌کند، اساساً به نبود استانداردهای امن گسترده برای انتقال اعتبارنامه‌ها رسیدگی می‌کند و پیچیدگی‌ها یا محدودیت‌های عملی هنگام تغییر بین ارائه‌دهندگان را از بین می‌برد. این مشخصات در دو پیش‌نویس جداگانه ارائه شده‌اند: پروتکل تبادل اعتبارنامه (CXP) و فرمت تبادل اعتبارنامه (CXF).

• CXP روشی را برای انتقال ایمن اعتبارنامه‌ها بین ارائه‌دهندگان مختلف با استفاده از تبادل کلید Diffie-Hellman و رمزگذاری کلید عمومی هیبریدی (HPKE) تعریف می‌کند تا داده‌ها در حین انتقال ایمن شوند.

• CXF ساختاری استاندارد برای انتقال ایمن اعتبارنامه‌ها بین ارائه‌دهندگان در طول مهاجرت تعریف می‌کند تا قابلیت همکاری و یکپارچگی داده‌ها را تضمین کند. فرمت‌های پیشنهادی شامل JSON در داخل ZIP هستند که هر قسمت مطابق آنچه CXP مشخص کرده، رمزگذاری می‌شود.

این پیش‌نویس‌ها با مشارکت متخصصان اعضای انجمن FIDO و ذی‌نفعانی مانند Dashlane ،‌Bitwarden ،‌1Password ،‌NordPass و Google توسعه یافته‌اند.

انجمن FIDO متشکل از رهبران حوزه فناوری مانند گوگل، مایکروسافت، اپل، ویزا، مسترکارد، پی‌پال، اینتل، سامسونگ، متا و Amazon است. این انجمن امیدوار است تا مشخصات جدید باعث افزایش پذیرش گذرواژه‌های امن شود که امروزه برای محافظت از بیش از ۱۲ میلیارد حساب آنلاین استفاده می‌شوند.

در‌حال‌حاضر، مشخصات پیشنهادی به‌صورت پیش‌نویس و ممکن است تغییر کنند. شایان ذکر است که پیش‌نویس‌ها به‌تدریج به‌روز می‌شوند تا تغییرات و بخش‌های اضافه‌شده را منعکس کنند. بااین‌حال، فعلاً جدول زمانی مشخصی برای این کار ارائه نشده است.