اتحاد Fast Identity Online (FIDO) پیشنویس استاندارد جدیدی را منتشر کرده که هدف آن فعالکردن قابلیت انتقال امن کلیدهای عبور (Passkeys) بین پلتفرمها و اپهای مختلف مدیریت رمز است.
سیستم جدیدی که اتحاد FIDO پیشنهاد میکند اساساً عوارض یا محدودیتهای عملی فقدان استانداردهای ایمن برای انتقال مدارک شناسایی بین سرویسدهندگان مختلف را از بین میبرد. سایت رسمی FIDO گزارش میدهد که استفاده از Passkey برای ورود به سیستم 75 درصد سریعتر و 20 درصد موفقیتآمیزتر از احراز هویت مبتنیبر رمز عبور بوده است.
کلید عبور روشی برای احراز هویت بدون رمز عبور است که از رمزنگاری کلید عمومی برای احراز هویت کاربران بدون نیاز به حفظ یا مدیریت رشتههای طولانی کاراکترها استفاده میکند.
سیستم رمز عبور سنتی در برابر فیشینگ مقاوم است اما یکی از چالشهای اصلی Passkeys این است که هیچ راه امنی برای انتقال آنها بین پلتفرمها و سرویسدهندگان مختلف ازجمله پسورد منیجرها وجود ندارد.
برای مثال، کاربرانی که کلیدهای عبور را در نرمافزار مدیریت رمز عبور گوگل ایجاد کردهاند، نمیتوانند هنگام تعویض دستگاهها، آنها را بهطور ایمن به iCloud Keychain اپل منتقل کنند و بهنوعی به دستگاه فعلی خود محدود میشوند.
این قضیه باعث میشود کلیدهای عبور بهجای ایجاد آزادی بیشتر، هنگام تلاش برای انتقال Passkey به پلتفرم دیگری، خطرات امنیتی ایجاد کنند. اما اتحاد FIDO با آگاهی از این موضوع، سیستم جدیدی طراحی کرده که البته هنوز در مراحل اولیه توسعه قرار دارد.
مشخصات این سیستم جدید در دو پیشنویس جداگانه ارائه شده است، پروتکل تبادل اعتبار (CXP) و فرمت تبادل اعتبار (CXF).
روش سیستم جدید اتحادیه FIDO برای انتقال Passkeys
CXP روشی را برای انتقال ایمن اعتبارنامهها بین سرویسدهندگان مختلف با استفاده از تبادل کلید Diffie-Hellman و رمزگذاری کلید عمومی ترکیبی (HPKE) تعریف میکند؛ بنابراین دادهها حین انتقال، ایمن میشوند.
CXF ساختار استانداردی برای انتقال امن اعتبارنامهها بین سرویسدهندگان در طول جابهجایی تعریف میکند و از قابلیت همکاری و یکپارچگی دادهها اطمینان مییابد. فرمتهای پیشنهادی شامل JSON در ZIP است که در آن هر قسمت از اطلاعات آنطور که CXP مشخص کرده است، رمزگذاری میشود.
این پیشنویسها با مشارکت متخصصان شرکتهایی مانند Dashlane ،Bitwarden ،1Password ،NordPas و گوگل تهیه شده است.
اتحاد FIDO که متشکل از رهبران فضای فناوری مانند گوگل، مایکروسافت، اپل، ویزا، مسترکارت، پیپل، اینتل، سامسونگ، متا و آمازون میشود، امیدوار است دستورالعملهای جدید به پذیرش هرچه بیشتر کلیدهای عبور کمک کند.
استانداردهای پیشنهادی درحالحاضر بهصورت پیشنویس مطرح شدهاند و ممکن است تغییر کنند. فعلاً هیچ جدول زمانی برای ارائه آن مشخص نشده است.
source