چگونه بلاک‌چین می‌تواند گذرواژه‌ها را منسوخ کند؟

مترجم: رسول اخوان مهدوی

 

به نظر می آید هر روز یک شکاف اطلاعاتی جدید به تیتر روزنامه‌ها راه پیدا می‌کند. از بانکداری گرفته تا چت کردن با دوستان، یک فرد عادی هر روز بیش از ۱۰ ساعت از روز آنلاین است. اما بیشتر سایت ها و منابع آنلاینی که روزانه از آنها استفاده می کنیم، مانند فیسبوک و جیمیل، توسط یک گذرواژه‌ی ساده محافظت می‌شوند.

اغلب خلاهای امنیتی به خاطر ضعف انسانی روی می‌دهند.  یک گذرواژه ممکن است به آسانی قابل حدس باشد، همان‌طور که تحقیقات نشان می‌دهند ۱۰۰۰۰ مورد از رایج‌ترین ‌گذرواژه‌ها مانند ۱۲۳۴۵۶ و qwerty قابلیت دسترسی به ۹۸ درصد از حساب‌های کاربری را فراهم می‌کنند.

باز گذاشتن مرورگرها بر روی کامپیوترهای عمومی، نوشتن پسورد بر روی یک کاغذ و یا یک فایل در کامپیوتر و یا فریب خوردن و لو دادن گذرواژه‌ مصادیق دیگر شکست‌های امنیتی هستند.

با آن که می‌دانیم گذرواژه‌های امن باید چه ویژگی‌هایی داشته باشند، ترجیح می‌دهیم به آنها بی‌تفاوت باشیم و از ‌گذرواژه‌هایی که به راحتی در ذهن می‌مانند استفاده می‌کنیم، چون ترس فراموشی گذرواژه بیشتر از ترس از هک شدن است.

شکاف‌های اطلاعاتی به تیتر اخبار راه پیدا می‌کنند

از زمان اولین استفاده از گذرواژه در سال ۱۹۶۱ توسط MIT، سیستم‌های احراز هویت مسیر طولانی‌ای را طی کرده‌اند. امروزه کامپیوترهای مدرن از روشی استفاده می‌کنند که «نمک زدن» (Salting) نام دارد اما به دلیل این که بیشتر گذرواژه‌ها بسیار ساده هستند و سیستم‌ها اجازه‌ی حدس چندباره‌ی گذرواژه را به کاربر می‌دهند، سیستم‌های مبتنی بر گذرواژه همچنان در برابر هک شدن آسیب پذیر هستند.

در سال ۲۰۱۱ هکرها بیش از ۱۰ میلیون گذرواژه از شبکه‌ی پلی‌استیشن‌های سونی سرقت کردند. در سال ۲۰۱۴ چهارصد هزار ایمیل یاهو هک شد.  iCloud شرکت اپل هم نسبت به هک گذرواژه آسیبپ‌ذیر بود که باعث افشای عکس‌های هنرمندان در سال 2014 شد. در همان سال، 5 میلیون گذرواژه‌ی جیمیل هک شد و به صورت آنلاین منتشر شد. این ها فقط منتخبی هستند از لیست بزرگی از بزرگترین خلاهای اطلاعاتی دنیا که در اینجا به آنها اشاره شد.

نرم افزارهای مدیریت گذرواژه هم می‌توانند شکست بخورند

همین فضا بود که بر محبوبیت نرم افزارهای مدیریت گذرواژه مانند LastPass و 1Password که کاربران را از حفظ گذرواژه ها بی‌نیاز می‌کرد، افزود. این نرم افزارها همچنین می‌توانند گذرواژه‌های تصادفی و قوی‌ای برای حساب‌های کاربری آنلاین تولید کنند.

اما مشکل استفاده از یک شخص ثالث مبتنی بر وب برای مدیریت گذرواژه‌ها این است که آنها را هم می‌توان هک کرد، که همان اتفاقی است که برای LastPass در سال 2015 رخ داد. این پلتفرم یک نشت اطلاعاتی را تجربه کرد که آدرس ایمیل، گذرواژه‌ها و راهنمایی‌های یادآوری گذرواژه‌ی خیلی از کاربران را انتشار داد.

همانطور که توضیح دادیم، LastPass  قطعا احتیاط‌های امنیتی زیادی را مد نظر قرار داد و بعضی از آنها موثر واقع شدند. برای مثال LastPass هیچ‌گاه به گذرواژه‌ی اصلی مشتریان به صورت متن عادی دسترسی نداشت. اما برخی اطلاعات دیگر درباره‌ی کاربران را به صورت متن کامل ذخیره می‌کرد، و همین اطلاعات است که می‌تواند به حدس گذرواژه‌های اصلی ضعیف کمک کند.

مشکل جدی‌تر، معماری متمرکز پایگاه داده‌ی سرورهایی است که نام کاربری و گذرواژه‌ها را ذخیره می‌کنند. به این معنی که اگر هک شوند، تمامی اطلاعات به صورت یکجا قابل دسترسی است. متاسفانه ثابت شده حتی احراز هویت دو مرحله ای (2FA) هم  آسیب‌پذیر است.

شرکت Remme استارتاپی است که به دنبال این است که گذرواژه را منسوخ کند و به این وسیله، عامل انسانی را از فرایند احراز هویت حذف کند و جلوی این گونه حملات را بگیرد.این شرکت ادعا می‌کند که با حل کردن مشکل سرورهای متمرکزی که می‌توانند هک شوند، حملات مخرب مانند فیشینگ (phishing)، نشت سرور و گذرواژه و استفاده‌ی چندباره از گذرواژه‌ها عملاً بی استفاده می‌شود.

به جای گذرواژه، REMME به هر دستگاه یک گواهی SSL می‌دهد. اطلاعات گواهی بر روی بلاک‌چین مدیریت می‌شود و به همین دلیل گواهی تقلبی کار نمی‌کند. با این روش، این استارتاپ از سرور احراز هویت و پایگاه داده‌ی گذرواژه‌ها رهایی پیدا می‌کند. همچنین هکرها هیچ هدف بالقوه‌ی مرکزی‌ای برای حمله ندارند، یعنی هیچ نقطه‌ی شکستی وجود ندارد. استارتاپ REMME ادعا می‌کند: «این روش در برابر حملات رایج، محافظت 100 درصد می‌دهد.» این استارتاپ همچنین به منظور امنیت بیشتر، احراز هویت‌های دومرحله‌ای نیز ارائه می‌دهد.

هدف این سیستم، ایجاد یک سیستم مدیریت زیرساخت کلید عمومی(PKI) به صورت توزیع شده بر روی استاندارد x.509 روی بلاک‌چین است. این دسته از سیاست‌ها پتانسیل این را دارد که به بسیاری از بخش‌های صنعت کمک کند تا بر مشکلات امنیتی غلبه کنند، به همین جهت REMME بر روی بخش‌های اینترنت اشیا، زیرساخت مالی، تکنولوژی درمانی و شرکت‌های مبتنی بر بلاک‌چین تمرکز می‌کند.

آیا فرایندهای نوآورانه‌ی این چنینی پا می‌گیرند؟ در نهایت، فقط به این بستگی دارد که مصرف‌‎کنندگان حاضرند چند نشت اطلاعاتی را تحمل کنند.

منبع: cointelegraph

0 پاسخ

دیدگاه خود را ثبت کنید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *