مفاتيح المرور: لماذا لا يجب استخدامها لتشفير بيانات المستخدم

في عالم التكنولوجيا المتسارع، تبرز مفاتيح المرور كتقنية واعدة لتعزيز أمن المصادقة. ومع ذلك، يثير استخدامها لتشفير بيانات المستخدم، بما في ذلك النسخ الاحتياطية والملفات الحساسة، قلقاً عميقاً بشأن فقدان البيانات المحتمل. هذا المقال يسلط الضوء على هذه المخاطر ويقدم حلولاً عملية.

مفاتيح المرور وتشفير البيانات: استخدامات شائعة ومخاطر خفية

شهدت الفترة الأخيرة انتشاراً واسعاً لمفاتيح المرور، وهي تقنية تهدف إلى تسهيل عملية المصادقة وجعلها أكثر أماناً. إلا أن بعض المؤسسات بدأت في استخدامها، إلى جانب وظائف الاستخلاص العشوائي الزائف (PRF)، لتشفير بيانات المستخدم. تشمل حالات الاستخدام الشائعة ما يلي:

• تشفير النسخ الاحتياطية للرسائل (بما في ذلك الوسائط).
• توفير التشفير من النهاية إلى النهاية.
• تشفير المستندات والملفات الأخرى.
• تشفير محافظ العملات المشفرة وفتحها.
• فتح مديري كلمات المرور.
• تسجيل الدخول إلى الحسابات المحلية.

توسيع نطاق فقدان البيانات: الخطر الحقيقي

المشكلة الأساسية تكمن في توسيع نطاق “الانفجار” عند فقدان بيانات الاعتماد. عندما يتم استخدام مفتاح المرور المستخدم للمصادقة أيضاً لتشفير البيانات، فإن فقدان هذا المفتاح يعني فقدان الوصول إلى كل من الحساب والبيانات المشفرة. تخيل سيناريو لمستخدم يدعى إيريكا، تقوم بإعداد نسخ احتياطية مشفرة لتطبيق المراسلة باستخدام مفتاح المرور الخاص بها. بعد فترة، تقوم بتنظيف مدير كلمات المرور الخاص بها وتحذف المفتاح دون أن تدرك أنه يربطها بنسخها الاحتياطية. عند الحاجة إلى استعادة البيانات لاحقاً، تجد إيريكا نفسها عاجزة عن الوصول إلى ذكرياتها الثمينة.

لا يمكننا، ولا ينبغي لنا، توقع فهم المستخدم العادي لهذه التعقيدات التقنية. الاعتماد على تذكر المستخدم لتفاصيل فنية دقيقة بعد فترة طويلة يعد أمراً غير واقعي ويؤدي إلى فقدان البيانات.

الاستخدامات المشروعة لـ PRF ومتى يجب التوقف

وظيفة PRF لها استخدامات مشروعة وهامة في معايير WebAuthn، خاصة لدعم مديري كلمات المرور وأنظمة التشغيل. يمكن لمفتاح المرور المزود بـ PRF تسريع وتأمين فتح مدير كلمات المرور. يمتلك مديرو كلمات المرور آليات حماية قوية خاصة بهم، وغالباً ما يؤدي فقدان مفتاح مرور واحد إلى فتح مدير كلمات المرور إلى فقدان كامل للبيانات المخزنة.

دعوة للعمل: نحو استخدام مسؤول لمفاتيح المرور

لضمان مستقبل آمن لمفاتيح المرور، نقترح الخطوات التالية:

• إلى صناعة الهوية: يرجى التوقف عن الترويج لاستخدام مفاتيح المرور لتشفير بيانات المستخدم. دع هذه التقنية تركز على تقديم مصادقة قوية ومقاومة للتصيد الاحتيالي.
• لمديري كلمات المرور: إعطاء الأولوية لإضافة تحذيرات واضحة للمستخدمين عند حذف مفتاح مرور يستخدم PRF، مع توفير رابط لمعلومات إضافية حول هذا الاستخدام.
• للمواقع والخدمات: إذا كان لا بد من استخدام PRF، يجب توفير صفحة معلومات تشرح هذا الاستخدام، وربطها بملف تعريف نقطة نهاية مفتاح المرور (prfUsageDetails)، وتقديم تحذيرات كافية للمستخدمين عند تمكين هذه الميزة.

شكراً لقراءتكم، وللمساهمة في جعل عالم التكنولوجيا أكثر أماناً للجميع.