نظام كلمات المرور قابل للاختراق بسهولة.. ومشروع أوروبي لتمييز الأجهزة نفسها

بحوث لتغيير نظام «باسوورد» بمقاييس حيوية ذات كلفة زهيدة

قراصنة سرقوا في أغسطس الماضي 1.2 مليار كلمة مرور لحسابات بريد إلكتروني. أرشيفية

كلمات المرور الطويلة غير عملية في حين أن شيئاً مثل بصمة الإصبع عملية جداً. أرشيفية

المصدر:

دبي ـــ الإمارات اليوم

التاريخ: 03 سبتمبر 2014

يُمثل استخدام كلمات المرور خطوة مُتكررة في الحياة اليومية لملايين الأشخاص، سواء استخدموا أجهزة الكمبيوتر أو الأجهزة المحمولة وخدمات الإنترنت، وربما هذا ما يدفع عديدين لاختيار كلمات بسيطة يسهل عليهم تذكرها، لكن ذلك يُسهل على القراصنة اختراقها، وهو أمر يتكرر حالياً بمعدل يدعو إلى القلق، كما لا تمنع السهولة نسيان المستخدمين كلمات المرور.

وفي مطلع أغسطس الماضي، تداولت أخبار سرقة قراصنة روس 1.2 مليار كلمة مرور لحسابات بريد إلكتروني، ما دفع البعض إلى التساؤل عما إذا كان ينبغي التخلي عن نظام كلمات المرور، ويتبع ذلك بالضرورة سؤال آخر عن البدائل المتاحة، بحسب ما تناول تقرير لموقع «بي.بي.سي».

ويرى خبير التوثيق في شركة «غارتنر» للأبحاث، الدكتور آنت آلان، في استخدام المقاييس البيومترية أو الحيوية Biometrics للأشخاص، بديلاً منخفض الكلفة، وذلك بالاستفادة من مُكبرات الصوت والكاميرات، وكاميرات الـ«ويب» التي تتوافر في معظم أجهزة الكمبيوتر، والأجهزة المحمولة.

وقد يكون تمييز وجه المستخدم الطريقة الأسهل لتسجيل الدخول، وهو ما يُطلق عليه آلان «المصادقة من خلال سيلفي» في إشارة إلى الصور التي يلتقطها الأشخاص لأنفسهم أو «سيلفي» Selfie؛

واعتبر «آلان» أن تسجيل الدخول بوساطة التعرف إلى الصوت عملية واضحة أيضاً.

ويُمكن تعزيز هذا النوع من أساليب المصادقة، من خلال إضافة معلومات سياقية مثل بيانات الموقع الجغرافي والوقت، ما يعني أنه إذا ما حاول المستخدم تسجيل الدخول من جهاز آخر، أو وقت بخلاف الجهاز والوقت المعتادين، فإنه يمكن عندها طلب معلومات إضافية للتحقق.

وتستخدم الشركات المتخصصة في نظم التوثيق الحيوية مثل «بيو كاتش» BioCatach أنواعاً مختلفة من المقاييس الحيوية، إضافة إلى معلومات أخرى لبناء ملف معقد لكل مستخدم، يعمل بمثابة صورة شخصية رقمية يُمكن استخدامها للتعرف إليه.

وتتضمن أبسط مستويات التحقق معلومات عن الأجهزة وعنوان الإنترنت المعتاد للمستخدم، ويُضاف إلى ذلك ملف مادي للمستخدم مثل معلومات عن سمات الصوت أو الوجه، وغيرها من الميزات التي يُمكن التعرف إليها عن طريق كاميرا الكمبيوتر، وخاصية تحديد المواقع الجغرافية، وحساس «جيروسكوب» لحفظ التوازن، وغيره من أنواع أجهزة الاستشعار.

ويُمكن أن تشمل هذه الميزات ما إذا كان المستخدم يعتمد أساساً على يده اليمنى أو اليسرى، وطول اليدين، والمشية ومدى التناسق بين اليدين والعين. ويُبنى هذا النوع من الملفات الشخصية المعرفية استناداً إلى متابعة تفضيلات المستخدم في موضع النوافذ على الشاشة، وسرعته في استخدام الكمبيوتر أو المحمول، وأنماط الطباعة على لوحة المفاتيح وعند لمس الشاشة.

وفي المرحلة الأخيرة، يجري قياس أنماط استجابة المستخدم لمجموعة متنوعة من التحديات. وبحسب ما يشرح الدكتور «آلان»، فربما يُدخل نظام التحقق قدراً من التحيز يجعل الجهاز يُغير الموضع الذي يختاره المستخدم لوضع إصبعه، وهو ما يكون دقيقاً جداً بحيث لا يُلاحظه المستخدم، لكنه في الوقت نفسه كافٍ لدفعه إلى تصويب وضع يده. وتُنتج الاستجابات المختلفة للأشخاص لهذا النوع من التحديات الخفية معلومات تُضاف إلى ملفاتهم الشخصية العامة.

كما يُميز هذا النوع من طرق المصادقة كونها «نشطة» أو «مستمرة»، ما يعني أنها لا تعتبر المصادقة خطوة تتم مرة واحدة وينتهي الأمر، بل يستمر النظام في مراقبة سمات المستخدم وسلوكه بعد إتمامه عملية تسجيل الدخول.

وأوضح «آلان» أن ذلك يُفيد في توفير مزيد من الثقة في شخصية المستخدم طيلة الوقت، كما يُتيح التحقق من أن الشخص الذي سجل الدخول في البداية هو نفسه من يستخدم الجهاز أو الخدمة، مشيراً إلى طريقة أخرى أبسط وتُناسب بعض الظروف، تعتمد على ربط المستخدم بكمبيوتر أو جهاز محمول معين. وقال: «إذا ما حاول مستخدم تسجيل الدخول بوساطة جهاز مختلف سيكون عليه القيام بشيء إضافي لتوثيق شخصيته».

ويدرس باحثون في ألمانيا وهولندا طرقاً مختلفة لتمييز الأجهزة نفسها، وذلك ضمن مشروع أوروبي يُطلق عليه «بوفين» Puffin (التي تختصر عبارة «خصائص غير قابلة للاستنساخ مادياً توجد في المكونات القياسية للكمبيوتر الشخصي»).

وفحص الباحثون بعض مكونات الكمبيوتر المُتطابقة ظاهرياً مثل شرائح الذاكرة، ووجدوا أن الاختلافات الطفيفة أثناء عملية التصنيع تجعل لكل قطعة بصمة رقمية فريدة من نوعها، أو سمات غير قابلة للاستنساخ مادياً (PUF).

وبحسب ما قال الرئيس التنفيذي لشركة «إنترينسيك آي دي »، بيم تويلس، الشريك التجاري في مشروع «بوفين»، فإنه يُمكن للبرمجيات قراءة هذه الخصائص غير القابلة للاستنساخ، واستخدامها للتعرف إلى أجهزة الكمبيوتر أو الأجهزة المحمولة بشكل موثوق.

لكن هذه الأساليب لا تُجدي عند الحاجة للتحقق من شخصية المستخدم عبر الهاتف التقليدي، وهو ما يحدث مثلاً عند استخدام الخدمات المصرفية الهاتفية. ونظراً إلى أن الصوت هو المقياس الحيوي الوحيد الذي يُمكن التعرف إليه عبر الهاتف، بدأ مصرف «باركليز» إتاحة التوثيق من خلال «بصمة الصوت» لبعض المتعاملين معه.

ويُتيح هذا النظام التحقق من صوت المتحدث في الوقت الحقيقي ومقارنته بتوقيع لصوته سبق تخزينه. وقال مدير التسويق في شركة «نوانسي» Nuance المسؤولة عن نظام التحقق، سيب ريفي، إنه من الضروري أن يعمل النظام بطريقة واضحة وبسيطة، بحيث لا يعرف المتعامل أنه يقوم في الواقع بتسجيل الدخول.

وشرح «ريفي» أن نظام التحقق يستمع إلى صوت المستهلك، وخلال 10 أو 15 ثانية يُومض ضوءٌ أخضر في مركز الاتصال يعني التأكد من صحة هوية المتصل، وهنا يُمكن أن تتواصل المحادثة بطريقة عادية.

وفي المقابل، يُحذر عضو جمعية «سيكيوريتي ريسيش لابز» الألمانية المهتمة بمجال الأمن، كارستن نول، من «تفاهة» عملية تمييز الأصوات، وإمكانية جعل أي صوت شبيهاً بصوتٍ آخر، لافتاً إلى مشكلة أخرى تواجه القياسات الحيوية، إذ لا يُمكن تغيير بصمة الإصبع أو نمط قزحية العين أو الصوت، في الوقت الذي يُمكن فيه تغيير كلمات المرور عند اختراقها.

وبحسب نول، ترجع خطورة ذلك إلى إمكانية صنع القراصنة إصبعاً مزيفة تحمل بصمة أحد المستخدمين، كما سيُسهل عليهم إضفاء بعض مظاهر الحياة مثل رشّها بالغرافيت لمحاكاة خصائص الجلد، والنفخ فيها لإضافة قدر حقيقي من الرطوبة.

لكن مع ذلك، يُقر نول أنه في حين قد لا تتمتع المقاييس الحيوية بمستوى أمان كلمات المرور الطويلة والعشوائية، إلا أنها أكثر أمناً من كلمات المرور البسيطة التي يُسهل تذكرها، ويستخدمها العديد من الأشخاص. وقال: «كلمات المرور الطويلة غير عملية ببساطة، في حين أن شيئاً مثل بصمة الإصبع عملي جداً».

وحتى الآن، يظل نظام اسم المستخدم وكلمات المرور الطريقة الأكثر شيوعاً للتأكد من شخصية المستخدمين عبر الإنترنت.

تويتر