افشای ناامنی پروتکل جدید رمزگذاری اینترنتی
زددینت |
گروهی از محققان امنیتی هشدار دادهاند پروتکل جدیدی که برای تایید صلاحیت و شناسایی کاربران بدون نیاز به کلمات عبور ابداع شده، آسیب پذیریهای جدی دارد.
گروهی از محققان امنیتی هشدار دادهاند پروتکل جدیدی که برای تایید صلاحیت و شناسایی کاربران بدون نیاز به کلمات عبور ابداع شده، آسیب پذیریهای جدی دارد.
این پروتکل که WebAuthn نام دارد بطور رسمی در اوایل سال جاری میلادی عرضه شد و استانداردی است که توسط کنسرسیوم W3C ابداع شده است. این کنسرسیوم نهاد رسمی جهانی است که استانداردهای وب را وضع کرده و مورد بررسی قرار میدهد.
پروتکل مذکور مبتنی بر رابط کاربری FIDO 2.0 Web API است که توسط برخی از شرکتهای بزرگ فناوری و علمی در جهان مورد پشتیبانی قرار میگیرد وهدف از استفاده از آن ارتقای استانداردهای شناسایی و تعیین هویت است. پروتکل جدید WebAuthn به کاربران رایانهها و گوشیها امکان میدهد تا با استفاده از یک کلید امنیتی مبتنی بر یو اس بی مجوز ورود به حسابهای کاربری خود را در سایتهای مختلف دریافت کنند. به بیان دیگر پروتکل یادشده نیاز به استفاده از کلمات عبور را برطرف میکند.
در این روش کاربر با استفاده از یک کلید گواهی فیزیکی مجوز ورود به سایت را کسب میکند و این کار بعدها هم تکرار میشود. با توجه به عدم امنیت این روش به نظر میرسد فعلا کاربران باید کماکان از کلمات عبور استفاده کنند.
