انجمن FIDO با انتشار پیشنویس استاندارد فنی جدیدی، گامی بزرگ در جهت بهبود امنیت و سهولت استفاده از کلیدهای عبور برداشته است.
بهگزارش تکناک، مدتی است که کلیدهای عبور بهعنوان روش نوین احراز هویت، جایگزین رمزهای عبور سنتی شدهاند. این روش با بهرهگیری از رمزنگاری کلید عمومی، امکان ورود کاربران به حسابهایشان را بدون نیاز به حفظ رمزهای عبور پیچیده فراهم میآورد.
مطالعات FIDO نشان میدهد که استفاده از کلیدهای عبور، فرایند ورود به سیستم را بهبود چشمگیری بخشیده است؛ بهطوریکه بهطور متوسط ورود به سیستم با کلیدهای عبور ۷۵ درصد سریعتر و ۲۰ درصد موفقتر از روشهای سنتی مبتنیبر رمزعبور است.
با وجود مزایای فراوان کلیدهای عبور، یکی از مشکلات اصلی در این حوزه، فقدان مکانیزم استاندارد و ایمن برای انتقال آنها بین پلتفرمها و سرویسهای مختلف است. برای مثال، کاربرانی که کلید عبور خود را در سرویسی ایجاد میکنند، نمیتوانند آن را بهسادگی به سرویسی دیگر منتقل کنند. این محدودیت کاربران را به استفاده از پلتفرمی خاص محدود میکند و امنیت دادههای آنها را بهخطر میاندازد.
استاندارد جدید FIDO با هدف رفع این مشکل، راهکاری جامع برای انتقال ایمن کلیدهای عبور ارائه میدهد. این استاندارد ضمن افزایش امنیت، تجربه کاربری را بهبود میبخشد و به کاربران امکان میدهد تا بهصورت یکپارچه و بدون محدودیت بین سرویسهای مختلف جابهجا شوند.
استانداردسازی قابلیت انتقال گذرواژههای امن
بهنقل از بلیپینگکامپیوتر، مشخصات جدیدی که FIDO پیشنهاد میکند، اساساً به نبود استانداردهای امن گسترده برای انتقال اعتبارنامهها رسیدگی میکند و پیچیدگیها یا محدودیتهای عملی هنگام تغییر بین ارائهدهندگان را از بین میبرد. این مشخصات در دو پیشنویس جداگانه ارائه شدهاند: پروتکل تبادل اعتبارنامه (CXP) و فرمت تبادل اعتبارنامه (CXF).
- CXP روشی را برای انتقال ایمن اعتبارنامهها بین ارائهدهندگان مختلف با استفاده از تبادل کلید Diffie-Hellman و رمزگذاری کلید عمومی هیبریدی (HPKE) تعریف میکند تا دادهها در حین انتقال ایمن شوند.
- CXF ساختاری استاندارد برای انتقال ایمن اعتبارنامهها بین ارائهدهندگان در طول مهاجرت تعریف میکند تا قابلیت همکاری و یکپارچگی دادهها را تضمین کند. فرمتهای پیشنهادی شامل JSON در داخل ZIP هستند که هر قسمت مطابق آنچه CXP مشخص کرده، رمزگذاری میشود.
این پیشنویسها با مشارکت متخصصان اعضای انجمن FIDO و ذینفعانی مانند Dashlane ،Bitwarden ،1Password ،NordPass و Google توسعه یافتهاند.
انجمن FIDO متشکل از رهبران حوزه فناوری مانند گوگل، مایکروسافت، اپل، ویزا، مسترکارد، پیپال، اینتل، سامسونگ، متا و Amazon است. این انجمن امیدوار است تا مشخصات جدید باعث افزایش پذیرش گذرواژههای امن شود که امروزه برای محافظت از بیش از ۱۲ میلیارد حساب آنلاین استفاده میشوند.
درحالحاضر، مشخصات پیشنهادی بهصورت پیشنویس و ممکن است تغییر کنند. شایان ذکر است که پیشنویسها بهتدریج بهروز میشوند تا تغییرات و بخشهای اضافهشده را منعکس کنند. بااینحال، فعلاً جدول زمانی مشخصی برای این کار ارائه نشده است.