گوشی خود را گم کنید، زندگی خود را از دست بدهید
هدف Passkeyها جایگزینی رمزهای عبور است. اکثر شرکتها خواهان آنها هستند. دادهها نشان میدهند که ۹۳٪ سازمانها Passkeyهای مبتنی بر WebAuthn را آزمایش میکنند، اما تنها ۱۳٪ آنها را در مقیاس گسترده پیادهسازی میکنند.
مهندسان بر ورود بینقص تمرکز میکنند. شما سیستمی میسازید که در آن اسکن بیومتریک در چند ثانیه کار میکند. این همان «مسیر خوشیمن» (happy path) است.
صنعت در مواجهه با «مسیر ناخوشایند» (unhappy path) به بنبست میرسد. منظور همان بازیابی دستگاه است.
Passkeyها امنیت را از یک رمز عبور مشترک به یک کلید خصوصی متصل به سختافزار منتقل میکنند. گوشی شما از بیومتریک برای باز کردن این کلید استفاده میکند. حسگرها فاصله ریاضی بین یک اسکن زنده و الگوی ثبتشده را محاسبه میکنند. اگر تطابق با حد نصاب (threshold) مطابقت داشته باشد، سختافزار کلید را آزاد میکند.
این موضوع مشکل بزرگی ایجاد میکند. اگر کلید فقط روی یک دستگاه باشد، گم کردن آن دستگاه به معنای از دست دادن هویت شماست.
شرکتهایی مانند Apple و Google برای کمک به این مسئله از همگامسازی ابری (cloud syncing) استفاده میکنند. این کار پیچیدگی را برای توسعهدهندگان افزایش میدهد. شما باید بین کلیدهای سختافزاری با امنیت بالا یا کلیدهای همگامسازیشده با کاربری آسان، یکی را انتخاب کنید.
بسیاری از توسعهدهندگان سعی میکنند این مشکل را با بازیابی ضعیف از طریق ایمیل حل کنند. این کار امنیت را از بین میبرد. شما یک درِ خزانه میسازید اما پنجره پشتی را باز میگذارید. یک لینک ایمیل به اندازه یک Passkey رمزنگاریشده امن نیست.
ما در CaraComp بر معیارهای مقایسهای تمرکز میکنیم. ما معتقدیم احراز هویت به یک شبکه ایمنی حرفهای نیاز دارد. الگوریتمهای عالی اگر معماری پیرامونی آنها ضعیف باشد، شکست میخورند.
هدف برای توسعهدهندگان، تطبیق بهتر چهره نیست؛ ما در حال حاضر اسکنهای چهره دقیقی داریم. هدف، پروتکلهای بازیابی بهتر است. ما به روشهایی برای بازیابی حسابها نیاز داریم بدون اینکه دوباره با ریسکهای فیشینگ روبرو شویم.
حالات مرزی (Edge cases) اعتبار شما را در حوزه امنیت تعیین میکنند.
شما در سیستمهای بدون رمز عبور خود، بازیابی حساب را چگونه مدیریت میکنید؟ آیا از بازنشانیهای ناامن از طریق ایمیل اجتناب میکنید؟
Optional learning community: https://t.me/GyaanSetuAi