اتحاد Fast Identity Online (FIDO) پیش نویس استاندارد جدیدی را با هدف امکان انتقال ایمن رمز عبور بین برنامه های مختلف مدیریت رمز عبور و پلت فرم ها منتشر کرده است.
سیستم جدید پیشنهاد شده توسط FIDO Alliance اساساً پیچیدگی ها یا محدودیت های عملی ناشی از فقدان استانداردهای امن برای انتقال اعتبار بین ارائه دهندگان خدمات مختلف را حذف می کند. وب سایت رسمی FIDO گزارش می دهد که استفاده از Passkey برای ورود به سیستم 75 درصد سریع تر و 20 درصد موفق تر از احراز هویت مبتنی بر رمز عبور است.
Passkey یک روش احراز هویت بدون رمز عبور است که از رمزنگاری کلید عمومی برای احراز هویت کاربران بدون نیاز به ذخیره یا مدیریت رشته های طولانی کاراکترها استفاده می کند.
سیستمهای رمز عبور سنتی در برابر فیشینگ مقاوم هستند، اما یکی از چالشهای اصلی کلیدهای عبور این است که هیچ راه امنی برای انتقال آنها بین پلتفرمها و سرورهای مختلف از جمله مدیران رمز عبور وجود ندارد.
برای مثال، کاربرانی که گذرواژههایی را در مدیریت رمز عبور گوگل ایجاد کردهاند، نمیتوانند هنگام تعویض دستگاه، آنها را بهطور ایمن به iCloud Keychain اپل منتقل کنند و به نوعی روی دستگاههای فعلی خود قفل هستند.
این باعث ایجاد کلیدهای عبور برای خطرات امنیتی در هنگام تلاش برای انتقال کلید عبور به پلتفرم دیگری به جای ایجاد آزادی بیشتر می شود. اما اتحاد FIDO با آگاهی از این مشکل، سیستم جدیدی را طراحی کرده است که هنوز در مراحل اولیه توسعه است.
مشخصات این سیستم جدید در دو پیش نویس جداگانه، پروتکل تبادل اعتبار (CXP) و فرمت تبادل اعتبار (CXF) ارائه شده است.
روش جدید اتحادیه FIDO برای انتقال رمز عبور
CXP روشی را برای انتقال ایمن اعتبارنامه ها بین سرورهای مختلف با استفاده از تبادل کلید Diffie-Hellman و رمزنگاری کلید عمومی ترکیبی (HPKE) تعریف می کند. بنابراین، داده ها در حین انتقال ایمن می شوند.
CXF یک معماری استاندارد را برای انتقال امن اعتبارنامه ها بین سرورها در طول مهاجرت تعریف می کند و از قابلیت همکاری و یکپارچگی داده ها اطمینان می دهد. فرمتهای پیشنهادی شامل JSON در قالب ZIP است که در آن هر قطعه داده همانطور که توسط CXP تعریف شده رمزگذاری میشود.
این پیش نویس ها با مشارکت کارشناسان شرکت هایی مانند Dashlane، Bitwarden، 1Password، NordPas و Google تهیه شده است.
اتحاد FIDO که شامل رهبران فناوری مانند گوگل، مایکروسافت، اپل، ویزا، مسترکارت، پی پال، اینتل، سامسونگ، متا و آمازون است، امیدوار است دستورالعملهای جدید به افزایش پذیرش کلیدهای عبور کمک کند.
استانداردهای پیشنهادی در حال حاضر به صورت پیش نویس هستند و ممکن است تغییر کنند. در حال حاضر هیچ برنامه زمانی برای انتشار تعیین نشده است.
منبع خبر: https://digiato.com/app/fido-alliance-introduced-unified-password-system
تحریریه ABS NEWS | ای بی اس نیوز