X
Sep 21, 2018   07:43 am
facebook
twitter
you tube
whatsapp
Free Weather Widget
العلوم والتكنولوجيا
11-09-2018
مخاوف أمنية تحيط بمعيار WebAuthn الجديد لمصادقة الويب
T+ | T-


أعلن فريق من الباحثين الأمنيين أن هناك بعض المشكلات المتعلقة بتشفير معيار مصادقة الويب الجديد WebAuthn، الذي تم إطلاقه رسميًا في وقت سابق من هذا العام، وقد تم تطويره تحت رعاية منظمات لمعايير الإنترنت FIDO Alliance و W3C.

يسمح معيار WebAuthn الجديد لمستخدمي أجهزة الكمبيوتر أو الهاتف الذكي بالمصادقة على مواقع الويب باستخدام مفتاح أمان USB، أو بالاعتماد على تسجيل الدخول بالسمات الحيوية البيومترية – تقنيات التشفير الحيوية – حيث سيعتمد المستخدمين على بصمات الأصابع أو تقنية التعرف على الوجه مثلما يحدث في الهواتف الذكية والتطبيقات، لزيادة تأمين حساباتهم عبر المواقع الإلكترونية ومتصفحات الإنترنت.

لذلك يتمثل السيناريو المثالي في أن معيار WebAuthn سيحل محل الحاجة إلى إنشاء حسابات محمية بكلمة مرور تقليدية على مواقع الويب عبر الإنترنت، وبالتالي سيمكننا تَجنب المواقف التي يسرق فيها القراصنة هذه البيانات أثناء الاختراقات الأمنية التي زادت هذه الفترة.

وبدلاً من استخدام كلمات المرور يقوم المستخدم بالتسجيل على الموقع باستخدام جهاز ما عبر مفتاح تصديق Attestation Key، وبعد ذلك يمكنه أن يقوم بعملية المصادقة مرة ثانية عبر نفس الجهاز أو عبر أجهزة أخرى باستخدام مفاتيح المصادقة التي تم إنشاؤها بواسطة هذا الجهاز أثناء إجراءات تسجيل الدخول.

ومن جهتها اتفقت شركات التكنولوجيا المالكة لمتصفحات الويب المختلفة على دعم معيار WebAuthn، وذلك لأن معظمهم كانوا بالفعل أعضاء في منظمة FIDO Alliance، بالإضافة إلى المزايا الأمنية الواضحة لهذا المعيار.

ولكن في نهاية الشهر الماضي قام فريق من الباحثين الأمنيين في شركة Paragon Initiative، – وهي شركة متخصصة في الاستشارات البرمجية وتطوير التطبيقات وعمليات التشفير-  بإلقاء نظرة فاحصة على معيار WebAuthn الجديد الذي يشق طريقه إلى أشهر متصفحات مثل متصفح كروم Chrome من جوجل وإيدج Edge من شركة مايكروسوفت، وفايرفوكس Firefox من موزيلا.

قال الباحثون: “إنهم حددوا مشكلات مختلفة مع الخوارزميات المستخدمة لإنشاء مفاتيح التصديق خلال إجراء الفحص الأمني للمعيار”.

وأشاروا إلى أن مواصفات W3C WebAuthn توصي باستخدام خوارزميات قديمة مثل FIDO Alliance’s Elliptic Curve (EC) Direct Anonymous Attestation (DAA) أو RSASSA-PKCS1-v1_5.

قام الفريق البحثي بنشر تقرير فني يوضح بالتفصيل قائمة طويلة من المشاكل مع الخوارزميتين، حيث أنهما باختصار عرضة لعدد غير قليل من هجمات التشفير المعروفة، وعلى وجه الخصوص خورازميةRSASSA-PKCS1-v1_5  القديمة جدًا وضعيفة التأمين بالإضافة إلى أن خوارزمية التشفير ECDSA FIDO المرتبطة بهذه الخوارزمية ليست آمنة بما يكفي أيضًا.

قال Arciszewski رئيس  فريق الباحثين الأمنيين: “إذا تم استغلال ضعف هذه الخوارزميات فإن أي هجمات على خوارزمية EC-DAA ستسمح للمهاجمين بسرقة مفتاح التصديق من الخادم عن طريق اختراق (Trusted Platform Module (TPM وهي رقاقة مصمّمة لتوفير الوظائف الأساسية المتعلقة بالأمان والتي تتضمن في الأساس مفاتيح التشفير، مما سيسمح للمهاجمين باستنساخ رمز الأمان الخاص بالمستخدم عن بعد بشكل فعال”.

وأضاف: “تعتمد السيناريوهات التالية على مدى الثقة التي تم وضعها في أجهزة رموز الأمان Hardware security token، على الأقل أتخيل أنها ستتمكن من تجاوز طرق المصادقة الثنائية 2FA وإعادة تمكين هجمات التصيد الاحتيالي، لذلك إذا اختارت الشركات استخدام أجهزة رموز الأمان لتفادي استخدام كلمات المرور فإنها ستسمح بانتحال هوية المستخدم بشكل مباشر من قبل المهاجمين، ولهذا لا أعتقد أن تصميم خوارزمية  ECDAA جاهز لتحمل هذه المسؤولية الآن”.

من جهته رد بريت ماكدويل المدير التنفيذي لـ FIDO Alliance إحدى المنظمات المعنية بإعداد هذا المعيار قائلًا: “إن المنظمة تقدر مشاركة مجتمع الأبحاث الأمنية في تحديد نقاط الضعف المحتملة في معيار WebAuthn، وأن هذه ليست هي المرة الأولى التي يقوم فيها خبير تشفير خارجي بمراجعة مواصفات المعيار، ونحن نقر النقاط الصحيحة التي أثيرت حول نقاط الضعف المحتملة التي يمكن أن يتم استغلالها إذا لم يتم اتباع أفضل الممارسات، وقد بدأنا بالنظر في الإرشادات التي نرغب في توثيقها لمن سيقومون بتطبيق هذا المعيار وتتولى قيادة قسم الأمان لدينا مهمة التواصل مع Arciszewski رئيس الفريق البحثي القائم على هذه التقرير للتعاون في هذا الشأن”.

يلفت موقع صوت الفرح إلى أنه ليس مسؤولاً عن التعليقات التي ترده ويأمل من القرّاء الكرام الحفاظ على إحترام الأصول واللياقات في التعبير، ويحتفظ بعدم نشر أي تعليق يتضمن قدحاً أو ذمّاً أو تشهيراً أو تجريحاً أو شتائم.
  • عباس قشور (Ghana):سلامي الى الغالية بتول و اولادي فضل و ميريام. و كل التوفيق لاسرة صوت الفرح .
  • Maha Zaiter (France):سلامي الى الغالي مصطفى من معركة
  • Rzan (Lebanon):تحية الى حسام علي
  • ادهم الرفاعي (فلسطين):صوت الفرح الافضل و شكرا صوت الفرح
  • wael sharafeddine (London): the music of sawt Al Farah itself is healing. It's an explosive expression of feeling.
  • wael sharafeddine (London):No matter what culture we're from, everyone loves the music of sawt Al Farah
  • هزار (القصيبه):بشكرصوت فرح وبتمنى لهم التوفيق
  • نجوى جمال (صور):صوت الفرح هوي الفرح كلو و هني اهل المحبي و الفرح
  • نجوى جمال (صور):شكرا لصوت الفرح
  • احمد كساب (مباروك):الف مبارك
  • رضا حمود (صور):الف مبروووك بتستاهلي اكتر من هيك وبتمنى تصيري وزير دولة احلا عالم
  • نرجس (صور):التوفيق للجميع
  • Tatiana Safa (Lebanon):Nice photos 📸
  • نعمان ابو خليل (القليله):نشد على ايديكم ايها الشرفاء
  • محمد (صور):تحية الى كوثر عيسي
  • جومانة كرم عياد (الجنوب):شكرا لصوت الفرح
  • khadija yassine ( الرمادية):أحلى صوت صوت الفرح
  • نبيل مملوك (صور):صلي الفخر الكبير أنني جزء من عائلة اسمها صوت الفرح ...منبر الحرية والشفافية والموضوعية والمحبة
  • غدير فرح (الجنوب):تحية لجميع محبي صوت الفرح صوت الجنوب
  • نبيل مملوك (لبنان):صوت الفرح :عائلة,تعاون ومحبة
  • عباس الجواد (قاقعية الصنوبر):من افضل الاذاعات صوت الفرح تحياتي لكم
  • زينب غندور (معركة):المعنى الحقيقي للفرح اذاعة صوت الفرح
  • إبراهيم (لبنان):رمز الإستمرارية الإعلامية
  • نهاد بحسون (خيزران):always be the best
  • صوت الفرح (صور):لإعلاناتكم على راديو صوت الفرح والموقع الإلكتروني إتصل 07742130
  • صوت الفرح (صور):يمكنكم الإستماع إلى راديو صوت الفرح على الموجة 104.3