أعلن فريق من الباحثين الأمنيين أن هناك بعض المشكلات المتعلقة بتشفير عفوا ,,, لايمكنك مشاهده الروابط لانك غير مسجل لدينا [ للتسجيل اضغط هنا ] الجديد WebAuthn، الذيعفوا ,,, لايمكنك مشاهده الروابط لانك غير مسجل لدينا [ للتسجيل اضغط هنا ]، وقد تم تطويره تحت رعاية منظمات لمعايير الإنترنت FIDO Alliance و W3C.
يسمح معيار WebAuthn الجديد لمستخدمي أجهزة الكمبيوتر أو الهاتف الذكي بالمصادقة على مواقع الويب باستخدام مفتاح أمان USB، أو بالاعتماد على تسجيل الدخول بالسمات الحيوية البيومترية – عفوا ,,, لايمكنك مشاهده الروابط لانك غير مسجل لدينا [ للتسجيل اضغط هنا ] – حيث سيعتمد المستخدمين على بصمات الأصابع أو تقنية التعرف على الوجه مثلما يحدث في الهواتف الذكية والتطبيقات، لزيادة تأمين حساباتهم عبر المواقع الإلكترونية ومتصفحات الإنترنت.
لذلك يتمثل السيناريو المثالي في أن معيار WebAuthn سيحل محل الحاجة إلى إنشاء حسابات محمية بكلمة مرور تقليدية على مواقع الويب عبر الإنترنت، وبالتالي سيمكننا تَجنب المواقف التي يسرق فيها القراصنة هذه البيانات أثناء الاختراقات الأمنية التي زادت هذه الفترة.
وبدلاً من استخدام كلمات المرور يقوم المستخدم بالتسجيل على الموقع باستخدام جهاز ما عبر مفتاح تصديق Attestation Key، وبعد ذلك يمكنه أن يقوم بعملية المصادقة مرة ثانية عبر نفس الجهاز أو عبر أجهزة أخرى باستخدام مفاتيح المصادقة التي تم إنشاؤها بواسطة هذا الجهاز أثناء إجراءات تسجيل الدخول.
ومن جهتها اتفقت شركات التكنولوجيا المالكة لمتصفحات الويب المختلفة على دعم معيار WebAuthn، وذلك لأن معظمهم كانوا بالفعل أعضاء في منظمة FIDO Alliance، بالإضافة إلى المزايا الأمنية الواضحة لهذا المعيار.
ولكن في نهاية الشهر الماضي قام فريق من الباحثين الأمنيين في شركة عفوا ,,, لايمكنك مشاهده الروابط لانك غير مسجل لدينا [ للتسجيل اضغط هنا ]، – وهي شركة متخصصة في الاستشارات البرمجية وتطوير التطبيقات وعمليات التشفير- بإلقاء نظرة فاحصة على معيار WebAuthn الجديد الذي يشق طريقه إلى أشهر متصفحات مثل متصفح كروم Chrome من جوجل وإيدج Edge من شركة مايكروسوفت، وفايرفوكس Firefox من موزيلا.
قال الباحثون: "إنهم حددوا مشكلات مختلفة مع الخوارزميات المستخدمة لإنشاء مفاتيح التصديق خلال إجراء الفحص الأمني للمعيار”.
وأشاروا إلى أن مواصفات W3C WebAuthn توصي باستخدام خوارزميات قديمة مثل FIDO Alliance’s Elliptic Curve (EC) Direct Anonymous Attestation (DAA) أو RSASSA-PKCS1-v1_5.
قام الفريق البحثي بنشر عفوا ,,, لايمكنك مشاهده الروابط لانك غير مسجل لدينا [ للتسجيل اضغط هنا ] يوضح بالتفصيل قائمة طويلة من المشاكل مع الخوارزميتين، حيث أنهما باختصار عرضة لعدد غير قليل من هجمات التشفير المعروفة، وعلى وجه الخصوص خورازميةRSASSA-PKCS1-v1_5 القديمة جدًا وضعيفة التأمين بالإضافة إلى أن خوارزمية التشفير ECDSA FIDO المرتبطة بهذه الخوارزمية ليست آمنة بما يكفي أيضًا.
قال Arciszewski رئيس فريق الباحثين الأمنيين: "إذا تم استغلال ضعف هذه الخوارزميات فإن أي هجمات على خوارزمية EC-DAA ستسمح للمهاجمين بسرقة مفتاح التصديق من الخادم عن طريق اختراق (Trusted Platform Module (TPM وهي رقاقة مصمّمة لتوفير الوظائف الأساسية المتعلقة بالأمان والتي تتضمن في الأساس مفاتيح التشفير، مما سيسمح للمهاجمين باستنساخ رمز الأمان الخاص بالمستخدم عن بعد بشكل فعال”.
وأضاف: "تعتمد السيناريوهات التالية على مدى الثقة التي تم وضعها في أجهزة رموز الأمان Hardware security token، على الأقل أتخيل أنها ستتمكن من تجاوز طرق المصادقة الثنائية 2FA وإعادة تمكين هجمات التصيد الاحتيالي، لذلك إذا اختارت الشركات استخدام أجهزة رموز الأمان لتفادي استخدام كلمات المرور فإنها ستسمح بانتحال هوية المستخدم بشكل مباشر من قبل المهاجمين، ولهذا لا أعتقد أن تصميم خوارزمية ECDAA جاهز لتحمل هذه المسؤولية الآن”.
من جهته رد بريت ماكدويل المدير التنفيذي لـ FIDO Alliance إحدى المنظمات المعنية بإعداد هذا المعيار قائلًا: "إن المنظمة تقدر مشاركة مجتمع الأبحاث الأمنية في تحديد نقاط الضعف المحتملة في معيار WebAuthn، وأن هذه ليست هي المرة الأولى التي يقوم فيها خبير تشفير خارجي بمراجعة مواصفات المعيار، ونحن نقر النقاط الصحيحة التي أثيرت حول نقاط الضعف المحتملة التي يمكن أن يتم استغلالها إذا لم يتم اتباع أفضل الممارسات، وقد بدأنا بالنظر في الإرشادات التي نرغب في توثيقها لمن سيقومون بتطبيق هذا المعيار وتتولى قيادة قسم الأمان لدينا مهمة التواصل مع Arciszewski رئيس الفريق البحثي القائم على هذه التقرير للتعاون في هذا الشأن”.
مخاوف أمنية تحيط بمعيار WebAuthn الجديد لمصادقة الويب



المصدر: aitnews