هر چیزی برای خودش تاریخچهای دارد. جالب است بدانید که کامپیوترها از همان اول، پسوردی نداشتند.
در اوایل دهه ۱۹۶۰ میلادی فرناندو کورباتو استاد علوم کامپیوتر دانشگاه MIT بود، آن زمان او و همکارانش فقط یک کامپیوتر مینفریم داشتند. هر کسی برای خودش فایلهایی روی این کامپیوتر ذخیره کرده بود و همه هم میتوانستند به فایلهای هم سرک بکشند. اما این موضوع کم کم ناخوشایند شده بود.
به همین خاطر کورباتو، اولین سیستم ورود با یوزر و پسورد را در آن زمان پایه نهاد.
جالب است که در آن زمان، آلن شِر -یکی از همکاران او- ادعا کرد پسورد تعدادی از همکارانش را پیدا کرده است. البته او نیت بدی نداشت و فقط به خاطر اینکه محدودیت ۴ ساعته برای کار با کامپیوتر برای هر فرد وجود داشت، با این پسوردها گاهی شیطنت میکرد و بیشتر با کامپیوتر کار میکرد.
و باز هم جالب است بدانید که پدر پسوردهای کامپیوتر، در زمانه اینترنت، شخصا از شیوه درست و حسابی برای محافظت از پسوردهای خود استفاده نمیکند، او حالا ۸۷ ساله است و همه پسوردهای خود را که حدود ۱۵۰ عدد میشوند، روی سه ورق کاغذ به صورت تایپشده نگهداری میکند!
از دید کورباتو این سیستم یوزر و پسورد کنونی در عصر کنونی اصلا جوابگو نیست.
(برنامهنویسان با اقای کورباتو شاید به خاطر قانون کورباتو آشنا باشند، تعداد خطهای برنامهای که یک برنامهنویس در یک بازه زمانی مینویسد، ثابت و مستقل از زبان برنامهنویسی است!)
اما در قسمت دوم این نوشته در مورد خود پسوردها و کارایی آنها صحبت میکنیم:
دو سال پیش یکی از خبرنگاران سایت Wired به نام مت هونان به دردسر جدی افتاد. هکری اپل آی دی و اکانت گوگل و توییتر و آمازون او را هک کرد. در عرض یک ساعت، همه زندگی دیجیتال او متلاشی شد. هکر علاوه بر این اکانت توییتر و نیز حافظه آیفون و آیپد و مکبوک او را به صورت کامل پاک کرد!
دو ماه پیش هم یکی از کاربران شبکه اجتماعی ردیت متوجه شد که هکری با نفوذ به اکانت پلیاستیشن او، آنقدر هزینه برای او بالا آورده است که او عملا در آن ماه پولی برای پرداخت اجاره خانه ندارد.
ماه پیش هم که جنجال بزرگ باگ خونریزی قلبی یا Hearbleed رخ داد و معلوم شد یک نفوذپذیری ناجور در استاندارد رمزنگاری محبوب OpenSSL وجود دارد، طوری که هکرها میتوانستند با نفوذ به اطلاعات شخصی کاربران دست پیدا کنند.
همه اینها این سؤال را برمیانگیزد که آیا پسوردها، چیزهای کارایی هستند؟
مشکل فراموش کردن پسوردها چیز شایعی است و حتی کارکنان شرکت و نهادهای امنیتی هم احتیاط لازم را نمیکنند و از بیم فراموش کردن پسوردهایشان خیلی وقتها آنها را خیلی ساده روی یک تکه کاغذ مینویسند.
مسئله بعدی این است که علیرغم رمزنگاریای که حین ارسال یوزر و پسوردها بین سرورها وجود دارد، همواره احتمال وجود داد که آدم زرنگی مثل مورد خونریزی قلبی بیاید و یک نفوذپذیری پیدا کند.
پس ناامن بود و فراموش کردن پسوردها، چیزهایی هستند که ذاتا با پسوردها هستند.
حتی اثر انگشت هم نمیتواند مشکل را حل کند. اپل و سامسونگ گوشیهای پرچمدار خود را مجهز به سیستم تشخیص اثر انگشت کردهاند. اما مشکل این است که هر اثر انگشتی که شما در طول روز روی اشیای دور و بر خود میگذارید، از نظر تئوریک میتواند یک مشکل امنیتی محسوب شود!
سال پیش، تنها دو روز بعد از رونمایی از آیفون ۵S هکرهای آلمانی نشان دادند که چطور میشود حسگر اثر انگشتی آیفون را دور زد. پژوهشگران آلمانی دیگری هم نشان دادند که یا استفاده از قالب اثر انگشت یک شخص میشود به آسانی اسکنر اثر انگشت گلکسی اس ۵ را فریب داد.
پس نه پسورد و نه اثر انگشت هیچ کدام سیستم امنیتی و ورود امن و کارایی نیستند.
اما شاید امنترین شیوه وروردی که ما فعلا داریم، سیستم ورود چند مرحلهای است. در مورد گوگل حتما میدانید که میتوانید از این شیوه استفاده کنید.
در این شیوه، نخست باید پسورد اولیه خود را وارد کنید، اگر پسورد اول صحیح باشد، پسورد دومی که در جا ساخته میشود به گوشی شما فرستاده میشود و بعد شما با وارد کردن این پسورد میتوانید وارد اکانت خود شوید.
از نظر تئوری یک هکر برای ورود به یک حساب فرضی، هم نیاز به پسورد اولیه دارد و هم گوشی فردی صاحب اکانت و احتمال رخ دادن هر دوی اینها خیلی کم است! (مگر اینکه تصور کنید فردی ربوده شود و با زور پسورد اولیه گرفته شود و بعد گوشیاش هم دست ربایندگان باشد!!)
اما شیوه پیشرفتهتر ترکیب شیوههای ورود بالاست. در آینده هم امیدواریم که فناوری تشخیص چهره یا فناوریهایی که از شاخصهای زیستی دیگر استفاده میکنند، آنقدر ارتقا پیدا کنند که مشکل به شیوه بهتری حل شود.