لم تعُد كلمات مرور حساباتنا مجدية.. فما البديل؟

يني يمن – عربي بوست

نشر بتاريخ : 2 نوفمبر 2019

لم تعُد كلمات مرور حساباتنا مجدية.. فما البديل؟

إيزابيلا هي ممثلةٌ مُقيمةٌ في لندن، سُرِقَت هويتها عام 2017. تقول: «وصلت إلى المنزل في أحد الأيام، لأجد صندوقاً بريدياً مكسوراً ومسروقاً، وحصلت على موافقةٍ بإصدار بطاقتي ائتمانٍ لم أتقدم بطلبٍ للحصول عليهما، ووجدت رسالةً من بنكٍ آخر يقول إنَّه غيَّر رأيه ولن يمنحني بطاقة ائتمانٍ أخرى».

وأنفقت إيزابيلا 150 جنيهاً إسترلينياً (192.90 دولار أمريكي) على خدمات التحقُّق من الائتمان فقط، من أجل محاولة تعقُّب البطاقات الصادرة باسمها. وأضافت إيزابيلا التي طلبت عدم ذكر اسمها الثاني: «يستغرق الأمر جهداً وأموالاً كبيرة».

يقول موقع BBC البريطاني، إن جرائم سرقة الهوية وصلت إلى أعلى مستوياتها داخل بريطانيا وحدها. إذ سجَّلت منظمة منع الاحتيال (سيفاس) 190 ألف قضية سرقة هوية بالمملكة المتحدة على مدار العام الماضي، بالتزامن مع إسهام حياتنا الرقمية بشكلٍ مُتزايد في تسهيل وصول المُحتالين إلى معلوماتنا الشخصية.

لذا، كيف نُحافظ على أمان هوياتنا عبر الإنترنت؟

في الكثير من الأحيان تكون كلمة المرور هي خط الدفاع الأول، ولكن كلمات المرور احتلَّت عناوين الأخبار مؤخراً لأسبابٍ خاطئة. إذ اعترفت شركة Facebook في أبريل/نيسان بتسريب كلمات مرور ملايين حسابات مُستخدمي إنستغرام.

وأواخر العام الماضي، تعرَّض موقع Quora للأسئلة والأجوبة للاختراق، مما جعل أسماء وعناوين البريد الإلكتروني لـ100 مليون مستخدم عرضةً لاستغلال المُخترقين. ونجح موقع Yahoo مؤخراً في تسوية قضيةٍ تتعلَّق بفقدان بياناتٍ تخُص ثلاثة مليارات مستخدم، وتشمل عناوين البريد الإلكتروني وأسئلة الأمان وكلمات المرور.

التخلي عن كلمات المرور

ولا عجب في إعلان Microsoft، العام الماضي، أنَّ الشركة تُخطِّط للتخلِّي عن كلمات المرور، واستخدام الاستدلال البيولوجي (القياسات الحيوية) أو مفاتيح الأمان الخاصة.

وتتوقَّع شركة Gartner لأبحاث تكنولوجيا المعلومات أنَّ 60% من الشركات الكبرى، وكافة الشركات متوسطة الحجم تقريباً ستكون قد قلَّصت اعتمادها على كلمات المرور إلى النصف بحلول عام 2022.

إذ قال جيسون تولي، كبير موظفي الإيرادات بشركة Veridium التي تُقدِّم خدمات المصادقة عبر الاستدلال البيولوجي: «تُمثِّل كلمات المرور النهج الأسهل في الاختراق بالنسبة للمُهاجمين. إذ يميل الناس إلى استخدام كلمات المرور التي يسهُل تذكُّرها، لذا تكون أكثر عرضةً للاختراق».

والتخلُّص من كلمات المرور سيرفع مستوى الأمان، إلى جانب أنَّه سيُوفِّر الكثير من الوقت والمال الذي تُنفقه أقسام تكنولوجيا المعلومات على إعادة ضبط كلمات المرور المنسية.

وأوضح تولي: «هناك تكلفةٌ تصل إلى 200 دولار أمريكي للموظف الواحد، فيما يتعلَّق باستخدام كلمات المرور، ناهيك عن الإنتاجية المهدرة، وهذه تكلفةٌ كبيرة داخل المنظمات الكبيرة».

«مخاطرٌ جديدة»

يعمل فيليب بالاك مديراً تجارياً في شركة Post-Quantum، وهي شركةٌ تُصمِّم أنظمة تشفيرٍ قوية لحماية البيانات.

ويتفق بالاك مع الرأي القائل إنَّ كلمات المرور تُمثِّل نقطة ضعفٍ فعلية: «عليك صياغة وإدارة الكثير من كلمات المرور. وهذا أمرٌ يصعب تنفيذه، لذا يلجأ الناس إلى استخدام كلمة المرور نفسها، مما يجعلها ثغرةً أمنية».

وصيغت القوانين الجديدة التي أقرَّها الاتحاد الأوروبي للتعامل مع هذه القضية. إذ يُلزِم «توجيه خدمات الدفع» الشركات باستخدام عنصري مصادقةٍ على الأقل للتأكُّد من هوية العميل.

ويُمكن أن تشمل تلك العناصر شيئاً يمتلكه العميل في حوزته (مثل بطاقات البنوك)، أو شيئاً يعرفه (مثل رقم التعريف الشخصي PIN)، أو شيئاً في جسده (وهذا يشمل الاستدلال البيولوجي).

وتجاهل الكثيرون الاستدلال البيولوجي في الماضي، مُفضِّلين الرموز وكلمات المرور والأكواد التي تُرسَل عبر الرسائل النصية القصيرة، لكن الاهتمام بالاستدلال البيولوجي صار آخذاً في التزايد. فبحسب مسح الاحتيال المصرفي العالمي الذي أجرته شركة KPMG International عام 2019 استثمرت 67% من البنوك في القياسات الحيوية المادية، مثل: بصمات الأصابع ونمط الصوت والتعرُّف إلى الوجوه.

وهذا العام، بدأت شركة NatWest المصرفية في تجربة بطاقات سحبٍ آلي تحتوي على ماسحٍ ضوئي لبصمات الأصابع مُدمجٍ داخل البطاقة نفسها.

لكن حتى بيانات الاستدلال البيولوجي غير آمنة أيضاً

وتُوفِّر القياسات الحيوية تجربةً سلسةً للمستهلكين، لكن استخدامها تأخَّر بسبب الحاجة إلى معدات متخصِّصة. وفي ظل وجود الهواتف الذكية يحمل الكثير منَّا الآن المعدات اللازمة داخل جيبه. وكشف بحثٌ أجرته شركة Deloitte أنَّ خُمس سكَّان المملكة المتحدة يمتلكون هاتفاً ذكياً قادراً على مسح بصمات الأصابع، وهذا الرقم آخذٌ في الازدياد بسرعة.

ولكن بيانات الاستدلال البيولوجي يمكن سرقتها أيضاً، على غرار بياناتنا الشخصية المُعرضة للسرقة. ففي سبتمبر/أيلول، عرض باحثون صينيون طريقةً يُمكن عن طريقها التقاط بصمات إصبع الشخص، من خلال صورةٍ مُلتقطة على بُعد عدة أمتار، وذلك في مؤتمرٍ للأمن السيبراني بشنغهاي.

وإذا كنت تعتقد أنَّ إعادة ضبط كلمة المرور هي أمرٌ صعب، فجرِّب تغيير بصمات أصابعك. ولتعزيز الأمان، تعتمد الشركات بشكلٍ متزايد على «المصادقة متعددة العناصر»، والتي تسعى إلى التعرُّف إلى الأشخاص باستخدام أكبر عددٍ ممكن من الوسائل المُختلفة.

ويُمكن أن تشمل تلك العناصر أرقام التعريف الشخصية، ومسح بصمات الأصابع، إلى جانب عمليات التأكُّد من خلفية الشخص، مثل: الموقع الجغرافي، وتاريخ المشتريات، وأنماط الضغط على الشاشة، وأنماط تحريك الأصابع على الشاشة، وهوية الهاتف، والطريقة التي تُمسك الهاتف بها.

وقال علي نيكنام، الرئيس التنفيذي في شركة Bunq للخدمات المصرفية عبر الهاتف المحمول: «هل سيحل الاستدلال البيولوجي محل كلمات المرور؟ لا، ولكن مجموعةً من العناصر هي ما ستحل محل كلمات المرور، نحن نتحرك في هذا الاتجاه، وهذا ما يتعيَّن علينا فعله».

ولكن يظل هناك خطر أنَّ هذا النوع من المصادقة متعددة العناصر سيجعل عملية المصادقة أكثر صعوبة، رغم أمانه. فإذا لم تكُن تعرف نوعية المعلومات المستخدمة للتعرُّف إليك عبر الإنترنت، فكيف ستستطيع حماية تلك المعلومات؟