«ويب أوثن».. معيار تأمين جديد يلغي «باسوورد»

بدأت كبرى شركات التقنية عالمياً، الأسبوع الجاري، الاستخدام الرسمي لمعيار تأمين الدخول للمواقع وخدمات الـ«ويب» الجديد الذي أقره «اتحاد شبكة الويب العالمية» بصفة نهائية، ويلغي الحاجة لطريقة التأمين المعتادة القائمة على كلمات المرور الشهيرة «باسوورد»، ويستخدم بدلاً منها بيانات المصادقة والتأمين القائمة على القياسات الحيوية، مثل بصمة الأصابع، وقرنية العين، وبصمة الوجه.

تطوير المعيار

حمل المعيار الجديد اسم «معيار مصادقة الويب»، أو اختصاراً «ويب أوثن». وكان «اتحاد شبكة الويب العالمية» (دبليو 3 سي) أعلن عن بدء تطوير هذا المعيار للمرة الأولى في نوفمبر 2015، ثم طرحه رسمياً بصورة اختبارية في أبريل 2018، وفي الرابع من مارس 2019 تم إقراره رسمياً بصفة نهائية، ونشرت التفاصيل التقنية الخاصة به وكيفية استخدامه عبر صفحة مخصصة له على الموقع الرسمي للاتحاد w3.org/‏‏TR/‏‏webauthn.

وفي 16 مارس الجاري كان عدد شركات التقنية الكبرى التي أعلنت بدء استخدامه وتطبيقه بلغ 12 شركة، هي: «مايكروسوفت»، و«إنتل»، و«غوغل»، و«آي بي إم»، و«أبل»، و«علي بابا»، و«تنسنت»، و«موزيلا»، و«باي بال»، و«سوفت بانك»، و«يوبيكو»، و«ايربينب»، وذلك بحسب تقارير نشرتها مواقع تقنية كبرى، من بينها موقع «بي سي وورلد» pcworld.com، في ما نشرت «الإمارات اليوم» تقريراً في 13 سبتمبر 2018 حول هذا المعيار، وما يواجهه من تحديات أمنية، وذلك في إطار متابعتها للتطورات التي يمر بها قبل إقراره.

«ويب أوثن»

يعتبر «ويب أوثن» معياراً أو بروتوكولاً فنياً صدر عن تحالف شبكة الويب العالمية، بغرض الاستغناء تدريجياً عن استخدام الأسلوب الحالي في تنفيذ المصادقات الخاصة بتحديد الهوية، عند إجراء أي معاملة عبر الإنترنت، والمعتمد بالأساس على كلمة المرور واسم المستخدم، ليحل محله أسلوب آخر يعتمد على مفتاح مصادقة أكثر تعقيداً وتأميناً يمكن للشخص الحصول عليه من وحدة «يو إس بي» تتصل مباشرة بالأداة أو الجهاز الذي يستخدمه، أو يعتمد على أي من معايير التأمين البيولوجية مثل بصمة الأصبع، أو قرنية العين، أو التعرف إلى الوجه.

ويمكن لهذا المعيار العمل مع مجموعة من آليات المصادقة للمفتاح العام، بدءاً من تطبيقات البرامج البحتة إلى التطبيقات التي تستخدم بيئات أجهزة متخصصة مثل بيئة التنفيذ الموثوق بها للمعالج، أو وحدة النظام الأساسي الموثوق به، أو رمز مميز خارجي للأجهزة يتم الوصول إليه عبر منفذ «يو إس بي»، أو اتصال بتقنية «بلوتوث» اللاسلكية منخفضة الطاقة، أو تقنية الاتصالات قريبة المجال «إن إف سي».

ويمكن للشخص أن يستخدم مفتاح المصادقة المستند إلى «ويب أوثن» من جهاز واحد لديه، مثل الهاتف أو الكمبيوتر المحمول أو اللوحي أو المكتبي، ليجري بعد ذلك معاملاته بصورة مؤمنة علي أي من الأجهزة الأخرى التي يعمل عليها من دون إجراءات دخول وتسجيل جديدة، إذ يسمح المعيار بسحب إجراءات المصادقة والتصديق من جهاز إلى آخر تلقائياً، شرط أن يكون الجميع مستخدماً لمفتاح المصادقة نفسه، سواء بصمة أصبع أو قرنية عين. وبهذه الطريقة، يحقق «ويب أوثن» مستويات تأمين غير مسبوقة، فهو يعمل على تفادي خروقات البيانات وحوادث السطو على ملايين من أسماء المستخدمين وكلمات المرور ونشرها على الويب. ولأن «ويب أوثن» لا يطلب كلمة مرور، وينشئ رمزاً للمصادقة لمرة واحدة في كل مرة تسجيل، فهو لا يجعل هناك من الأصل كلمات مرور مخزنة لكي يتم السطو عليها وتسريبها.

أهداف المعيار

يحاول «ويب أوثن» توفير أربعة أهداف هي تحقيق الأمان بعدم ترك البصمات والقياسات الحيوية أو الأسرار الأخرى مثل كلمات المرور بجهاز المستخدم أو تخزينها على الخادم، وإنما بوحدة تخزين مستقلة، ثم يعمل نموذج الأمان هذا على التخلص من مخاطر التصيد الاحتيالي، وجميع أشكال سرقة كلمات المرور وإعادة الهجمات.

أما الهدف الثاني فيتمثل في الراحة، إذ يسجل المستخدمون الدخول بطرق بسيطة مثل أجهزة قراءة بصمات الأصابع، أو الكاميرات، أو مفاتيح أمان، أو أجهزتهم المحمولة الشخصية.

والهدف الثالث هو الخصوصية، لأنه يوفر مفاتيح أمان فريدة لكل موقع على الإنترنت لا يمكن استخدامها لتتبع المستخدمين عبر المواقع، والهدف الرابع هو القابلية للتوسع، إذ يمكن استخدامه عبر جميع المتصفحات والأنظمة الأساسية المدعومة على مليارات الأجهزة التي يستخدمها المستهلكون كل يوم.

وبمناسبة الإقرار النهائي للمعيار الجديد، قال الرئيس التنفيذي لتحالف شبكة الويب العالمية، جيف جافي، إن الوقت حان لأن تعتمد خدمات الويب والشركات على معيار «ويب أوثن» وتقتل أو تتجاوز كلمات المرور الضعيفة، لمساعدة مستخدمي الويب على تحسين أمان تجاربهم على الإنترنت.

«تحالف فايدو»

أعلن «تحالف فايدو»، وهو كيان من أكبر الداعمين لتطبيق «ويب أوثن»، ويتكون من أكبر 260 شركة عاملة في مجال الإنترنت حول العالم، أنه يسعى إلى استخدام «ويب أوثن» في «قتل» كلمة المرور في كل مكان، وليس على مواقع الإنترنت فقط. وأكد «فايدو» أن «ويب أوثن» هو أسلوب للتأمين يعتمد علي مصادقة وتحديد للهوية استناداً إلي عوامل متعددة، وليس اسم وكلمة مرور فقط، وهذه العوامل ربما تتضمن الإيماءات والبصمات، بدلاً من الاكتفاء بمطالبة المستخدمين بكتابة سلاسل طويلة ومعقدة من الأحرف.