بدأت كل من جوجل و مايكروسوفت بالتحذير من استمرار الاعتماد على كلمات المرور كوسيلة لحماية الحسابات، داعيتين المستخدمين إلى استخدام مفاتيح المرور (Passkeys) بدلًا من ذلك.
يعتبر مفاتيح المرور هي بيانات اعتماد رقمية تُتيح للمستخدم تسجيل الدخول إلى التطبيقات أو المواقع الإلكترونية دون الحاجة إلى إدخال اسم المستخدم أو كلمة المرور.
بدلًا من ذلك، تعتمد هذه التقنية على نفس آليات فتح الجهاز، مثل:
التعرف على الوجه أو بصمة الإصبع، مثل Face ID وTouch ID وتقنية Fingerprint/Face Unlock على أجهزة أندرويد، بالإضافة إلى Windows Hello على ويندوز و رمز PIN أو نمط القفل المستخدم لفتح الهاتف.
مفاتيح المرور مقاومة للهجمات الإلكترونية
الميزة الأبرز في مفاتيح المرور أنها لا تعتمد على كلمات مرور أو رموز تحقق ثنائية، مما يجعلها مقاومة لهجمات التصيد الإلكتروني (Phishing-Resistant). وبحسب تقارير متخصصة في أمن المعلومات، فإن هذه التقنية تسد ثغرة استغلال كلمات المرور المسروقة أو التنصت على رموز التحقق الثنائية التي يتم إرسالها عبر الرسائل النصية أو البريد الإلكتروني.
هجمات التصيد بالذكاء الاصطناعي: تطور التهديدات
شركة Okta الأميركية المتخصصة في إدارة الهوية والوصول (IAM) كشفت عن تطور خطير في أدوات التصيد، يتمثل في استخدام الذكاء الاصطناعي لتوليد مواقع وهمية بشكل واقعي تمامًا. وأشارت الشركة إلى أن بعض المهاجمين باتوا يستخدمون أداة "v0.dev" التابعة لشركة Vercel، وهي منصة تعتمد على الذكاء الاصطناعي لإنشاء واجهات مواقع إلكترونية انطلاقًا من أوامر نصية بسيطة.
رصدت Okta استخدام هذه الأداة لبناء نسخ مطابقة لمواقع تسجيل دخول شهيرة مثل Microsoft 365 وحتى بعض منصات العملات الرقمية، مع استضافة هذه المواقع على خوادم Vercel.
المفزع في الأمر أن هذه النسخ لم تعد تحتوي على الأخطاء الإملائية أو اللغوية التقليدية، ما يصعّب على المستخدمين كشف أنها مزيفة.
لم تعد المصادقة الثنائية كافية
حتى المصادقة الثنائية (2FA) لم تعد ملاذًا آمنًا بالكامل. فقد بات من الممكن أيضًا خداع المستخدمين لتمرير رموز التحقق من خلال صفحات تسجيل دخول مزيفة تبدو حقيقية. لهذا السبب، توصي Okta والمختصون في أمن المعلومات باستخدام مفاتيح المرور متى ما توفرت، والاستغناء عن كلمات المرور كليًا في الحسابات التي تسمح بذلك.
أما في حال كان لا بد من استخدام كلمة مرور، فمن الضروري أن تكون طويلة، فريدة، ومعززة بمصادقة ثنائية لا تعتمد على الرسائل النصية القصيرة (SMS).
0 تعليق