اتحاد Fast Identity Online (FIDO) پیش‌نویس استاندارد جدیدی را منتشر کرده که هدف آن فعال‌کردن قابلیت انتقال امن کلیدهای عبور (Passkeys) بین پلتفرم‌ها و اپ‌های مختلف مدیریت رمز است.

سیستم جدیدی که اتحاد FIDO پیشنهاد می‌کند اساساً عوارض یا محدودیت‌های عملی فقدان استانداردهای ایمن برای انتقال مدارک شناسایی بین سرویس‌دهندگان مختلف را از بین می‌برد. سایت رسمی FIDO گزارش می‌دهد که استفاده از Passkey برای ورود به سیستم 75 درصد سریع‌تر و 20 درصد موفقیت‌آمیزتر از احراز هویت مبتنی‌بر رمز عبور بوده است.

کلید عبور روشی برای احراز هویت بدون رمز عبور است که از رمزنگاری کلید عمومی برای احراز هویت کاربران بدون نیاز به حفظ یا مدیریت رشته‌های طولانی کاراکترها استفاده می‌کند.

سیستم رمز عبور سنتی در برابر فیشینگ مقاوم است اما یکی از چالش‌های اصلی Passkeys این است که هیچ راه امنی برای انتقال آ‌ن‌ها بین پلتفرم‌ها و سرویس‌دهندگان مختلف ازجمله پسورد منیجرها وجود ندارد.

برای مثال، کاربرانی که کلیدهای عبور را در نرم‌افزار مدیریت رمز عبور گوگل ایجاد کرده‌اند، نمی‌توانند هنگام تعویض دستگاه‌ها، آن‌ها را به‌طور ایمن به iCloud Keychain اپل منتقل کنند و به‌نوعی به دستگاه فعلی خود محدود می‌شوند.

این قضیه باعث می‌شود کلیدهای عبور به‌جای ایجاد آزادی بیشتر، هنگام تلاش برای انتقال Passkey به پلتفرم دیگری، خطرات امنیتی ایجاد کنند. اما اتحاد FIDO با آگاهی از این موضوع، سیستم جدیدی طراحی کرده که البته هنوز در مراحل اولیه توسعه قرار دارد.

مشخصات این سیستم جدید در دو پیش‌نویس جداگانه ارائه شده است، پروتکل تبادل اعتبار (CXP) و فرمت تبادل اعتبار (CXF).

سیستم جدید اتحادیه FIDO

روش سیستم جدید اتحادیه FIDO برای انتقال Passkeys

CXP روشی را برای انتقال ایمن اعتبارنامه‌ها بین سرویس‌دهندگان مختلف با استفاده از تبادل کلید Diffie-Hellman و رمزگذاری کلید عمومی ترکیبی (HPKE) تعریف می‌کند؛ بنابراین داده‌ها حین انتقال، ایمن می‌شوند.

CXF ساختار استانداردی برای انتقال امن اعتبارنامه‌ها بین سرویس‌دهندگان در طول جابه‌جایی تعریف می‌کند و از قابلیت همکاری و یکپارچگی داده‌ها اطمینان می‌یابد. فرمت‌های پیشنهادی شامل JSON در ZIP است که در آن هر قسمت از اطلاعات آن‌طور که CXP مشخص کرده است، رمزگذاری می‌شود.

این پیش‌نویس‌ها با مشارکت متخصصان شرکت‌هایی مانند Dashlane ،Bitwarden ،1Password ،NordPas و گوگل تهیه شده است.

اتحاد FIDO که متشکل از رهبران فضای فناوری مانند گوگل، مایکروسافت، اپل، ویزا، مسترکارت، پی‌پل، اینتل، سامسونگ، متا و آمازون می‌شود، امیدوار است دستورالعمل‌های جدید به پذیرش هرچه بیشتر کلیدهای عبور کمک کند.

استانداردهای پیشنهادی درحال‌حاضر به‌صورت پیش‌نویس مطرح شده‌اند و ممکن است تغییر کنند. فعلاً هیچ جدول زمانی برای ارائه آن مشخص نشده است.

source