ما هو FIDO؟ استكشاف مستقبل المصادقة على الهوية عبر الإنترنت بدون كلمة مرور

في عصر الرقمنة، نحتاج يوميًا إلى تسجيل الدخول إلى مجموعة متنوعة من الخدمات عبر الإنترنت، من البريد الإلكتروني إلى الحسابات المصرفية، ومن المنصات الاجتماعية إلى أنظمة العمل. لم تعد طريقة التحقق التقليدية باستخدام كلمات المرور فعالة، حيث إنها معقدة وسهلة النسيان، بالإضافة إلى وجود مخاطر أمنية خطيرة. وفقًا لتقرير مؤشر تهديدات IBM X-Force، فإن ثلث الهجمات الإلكترونية تقريبًا تتضمن اختراق حسابات المستخدمين الفعالة. في هذا السياق، ظهر بروتوكول FIDO، ليقدم لنا تجربة تحقق خالية من كلمات المرور أكثر أمانًا وملاءمة.

!

المفاهيم الأساسية لـ FIDO

FIDO (التعريف السريع عبر الإنترنت) هو معيار مفتوح للتحقق من الهوية، تم دفعه من قبل اتحاد FIDO بعد تأسيسه في يوليو 2012. يهدف الاتحاد إلى حل مشكلة عدم التوافق بين تقنيات التحقق القوي وتقليل اعتماد المستخدمين على أسماء المستخدمين وكلمات المرور المتعددة.

FIDO2 هو معيار مفتوح للمصادقة بدون كلمة مرور تم وضعه من قبل اتحاد FIDO و اتحاد الشبكة العالمية (W3C) ، وتم إصداره في عام 2018 كبديل للمعيار FIDO 1.0 الذي تم إصداره في عام 2014. يتكون جوهر FIDO2 من بروتوكولين: مصادقة الويب (WebAuthn) وبروتوكول العميل إلى موفر المصادقة الإصدار الثاني (CTAP2). تعمل هذه البروتوكولات معًا لتمكين المستخدمين من تسجيل الدخول إلى المواقع أو التطبيقات دون استخدام كلمات المرور التقليدية.

كيف يعمل FIDO: الاستخدامات الرائعة للتشفير بالمفتاح العمومي

توفر FIDO2 التحقق باستخدام تقنية تشفير المفتاح العام لإنشاء زوج مفاتيح فريد يُعرف باسم “مفتاح المرور” (Passkey) يرتبط بحساب المستخدم. يحتوي هذا الزوج على مفتاح عام مخزن لدى مزود الخدمة ومفتاح خاص مقيم على جهاز المستخدم.

عندما يرغب المستخدم في تسجيل الدخول إلى حسابه، يقوم مزود الخدمة بإرسال استفسار إلى جهاز المستخدم (عادةً ما يكون سلسلة من الأحرف العشوائية). سيطلب الجهاز من المستخدم التحقق من الهوية عن طريق إدخال PIN، أو استخدام التحقق البيومتري (مثل بصمة الإصبع أو التعرف على الوجه) أو استخدام مفتاح أمان.

إذا نجح المستخدم في التحقق، سيقوم الجهاز بتوقيع هذا الاستفسار باستخدام المفتاح الخاص، وإرساله مرة أخرى إلى مزود الخدمة. يستخدم مزود الخدمة المفتاح العام للتحقق مما إذا تم استخدام المفتاح الخاص المتطابق، وبناءً على ذلك يمنح المستخدم حق الوصول إلى حسابه.

نظرًا لأن المفتاح الخاص يتم تخزينه دائمًا على جهاز المستخدم ولا يغادر أبدًا، فإن ذلك يقلل بشكل كبير من مخاطر الثغرات الأمنية. حتى إذا تم اختراق خوادم مزود الخدمة، فإن المتسللين يمكنهم فقط الوصول إلى المفتاح العام، مما يجعله غير مفيد لهم تقريبًا.

مزايا FIDO: لماذا هو أفضل من كلمة المرور

بالمقارنة مع كلمات المرور التقليدية، فإن FIDO التحVerification لديه العديد من المزايا الملحوظة:

1. أمان معزز: يضمن موصل FIDO2 أن تكون بيانات اعتماد تسجيل الدخول المشفرة فريدة لكل موقع وأن تبقى دائمًا على جهاز المستخدم، ولا يتم تخزينها أبدًا على الخادم. هذه الطريقة فعالة في منع هجمات التصيد، وسرقة كلمات المرور، وملء بيانات الاعتماد، وهجمات الإعادة.
2. تجربة مستخدم مريحة: يمكن للمستخدمين التحقق من هويتهم من خلال طرق مدمجة بسيطة (مثل التعرف على بصمة الإصبع أو التعرف على الوجه)، مما يلغي الحاجة لتذكر كلمات مرور معقدة. أظهرت دراسة أن التحقق من FIDO يقدم بديلاً أكثر أمانًا وراحة مقارنة بكلمات المرور التقليدية والتحقق الثنائي عبر الرسائل النصية.
3. حماية الخصوصية: يضمن التحقق من FIDO أن مفتاح التشفير محدد لموقع الويب، مما يمنع التتبع عبر المواقع. عند استخدام القياسات الحيوية، لا تغادر بيانات القياسات الحيوية جهاز المستخدم، مما يوفر حماية إضافية للخصوصية.
4. التوافقية وقابلية التوسع: لقد حصل معيار FIDO2 على دعم معظم أجهزة المستخدمين، متصفحات الويب، أنظمة تسجيل الدخول الموحد، حلول إدارة الهوية والوصول، خوادم الويب، وكذلك أنظمة التشغيل (بما في ذلك iOS و MacOS و Android و Windows). من السهل جداً تفعيل مفتاح كلمة المرور FIDO2 على الموقع، كل ما تحتاجه هو استدعاء بسيط لواجهة برمجة تطبيقات JavaScript.

حالة الاستخدام الفعلية لـ FIDO

تم استخدام FIDO للتحقق على نطاق واسع في العديد من الصناعات والمواقف:

• القطاع المالي: تعاونت شركة ويكانغ التكنولوجية في تايوان مع 60% من الشركات المالية في البلاد، بما في ذلك بنك التعاون وبنك تشاوفنغ، لتقديم خدمة FIDO المالية الرائدة. حيث قام بنك تشاوفنغ وبنك تشاوفنغ للتأمين بإدخال خدمة FIDO المالية في يونيو 2023، مما تم تطبيقه في تحديث معلومات المعاملات المالية عبر السحابة، وفتح حسابات الأوراق المالية عبر الإنترنت، وربط حسابات التسليم.
• خدمات الدفع: أكبر شركة معالجة مدفوعات في كوريا BC Card تعتمد بروتوكول FIDO في تطبيق الدفع المحمول paybooc، باستخدام بصمة الإصبع، والتعرف على الوجه، والتعرف على الصوت لتسجيل الدخول. حتى مايو 2018، كان هناك أكثر من 1.2 مليون مستخدم قد سجلوا في paybooc باستخدام التحقق البيومتري، مع إجراء أكثر من مليون معاملة شهريًا.
• الأمان المؤسسي: أطلقت شركة HID مجموعة جديدة من منتجات التحقق من الهوية FIDO، بالإضافة إلى إضافة ميزة “إدارة مفاتيح المؤسسة” (Enterprise Passkey Management، EPM) لمساعدة المؤسسات على نشر وإدارة مفاتيح المرور بشكل أكثر كفاءة. وفقًا لدراسة FIDO Alliance، بدأ حوالي 87% من المؤسسات في اعتماد تقنية مفاتيح المرور.

مستقبل تطوير FIDO

مع التطور المستمر للهويات الرقمية، فإن معيار FIDO يتطور أيضًا باستمرار. في يونيو 2023، اعترفت لجنة الاتصالات الدولية ITU-T بمعيارين من اتحاد FIDO وهما FIDO UAF 1.2 و CTAP 2.1 كمعايير دولية. وهذه المعلمّة تؤكد على أن هذه المعايير أصبحت معايير رسمية للاتحاد الدولي للاتصالات، لاستخدامها في البنية التحتية العالمية لتكنولوجيا المعلومات والاتصالات.

قال ديفيد تورنر، المدير العام لتطوير المعايير في تحالف FIDO: “يعمل تحالف FIDO على تحسين التحقق من الهوية عبر الإنترنت من خلال المعايير المفتوحة القائمة على تقنية تشفير المفتاح العام، مما يجعل التحقق من الهوية أقوى وأسهل في الاستخدام مقارنة بكلمات المرور أو رموز لمرة واحدة.”

الاستنتاج

تمثل بروتوكول FIDO وسيلة أكثر أمانًا وملاءمة للتحقق من الهوية، حيث يوفر لنا تجربة تحقق لا تتطلب تذكر كلمات مرور معقدة من خلال استخدام علم التشفير بالمفتاح العام وتقنيات التعرف البيومتري الحديثة. مع تعقيد التهديدات الأمنية عبر الإنترنت وتعمق الحياة الرقمية، ستصبح معايير FIDO أكثر انتشارًا وتطبيقًا، مما يجعلها حجر الزاوية في بناء عالم رقمي آمن.

سواء كان المستخدمون الأفراد أو المنظمات الشركات، فإن فهم واعتماد التحقق من FIDO سيساعد في تعزيز الأمان عبر الإنترنت، مع تقديم تجربة مستخدم أكثر سلاسة. مع تطور التكنولوجيا المستمر وتحسين المعايير، من المتوقع أن تغير FIDO تمامًا إدراكنا وممارساتنا في التحقق من الهوية عبر الإنترنت، مما يحقق حقًا مستقبلًا بلا كلمات مرور.