كيف ستقوم Google بتحسين حمايتك على الإنترنت عن طريق مفتاح Titan
شركة Google تطرح مفتاح الحماية الخاص بها و الذي يدعى مفتاح Titan الأمني و سيكون متوفراً مع نهاية الصيف على متجر Google على الإنترنت
عندما كانت شركة Google تتفاخر بأنه لا يوجد أي شخص من أكثر من 85,000 موظف يعمل لديها قد تم تهكير حسابه منذ أوائل العام 2017 فإن كل الشكر موجه إلى إصدار من مفتاح الحماية كانت الشركة تختبره . و الآن فإن الإصدار الأخير من مفتاح الحماية التابع للشركة سيكون متوفراً لكل العالم لاستخدامه
وبحسب موقع CENT الذي تمكن من تجربة مفتاح Titan الأمني الخاص بشركة Google و الذي يستخدم مصادقة متعددة العوامل لحماية الناس من هجمات التصيد . فإن المفتاح الأمني هذا يأتي بعدة أشكال فإما يكون على شكل قطعة USB أو يتصل عن طريق Bluetooth حيث يتم استخدامه بوصله بالجهاز عند محاولة تسجيل الدخول
المهمة من مفتاح Titan الأمني هو التزويد بطبقة ثانية من الحماية من خلال المصادقة متعددة العوامل حيث أن هنالك أكثر من طريقة لإثبات أنك الشخص المخول بالدخول . لكن القراصنة أو الهاكر يمكنهم أن يسرقوا كلمة السر أونلاين لكنه سيكون أكثر صعوبة بأن يقوموا بسرقة المفتاح الأمني الملموس أي الموجود كجسم مادي واقعي و الذي سيكون معك
إن شركة Google كانت متحمسة للغاية للمفتاتيح الأمنية لفترة وجيزة حيث جعلتهم مطلوبين بشدة لبرامج الحماية المتقدمة و قامت بالترويج لهم على أنهم عامل المصادقة المقاوم للتصيد الأكثر قوة و أداءاً
كما أن مفتاح Titan الأمني و الذي يأتي على شكل الإصدارين USB و Bluetooth سيكونون متوفرين للبيع في متجر Google على الإنترنت ضمن الأشهر القليلة القادمة و ذلك حسب قول Christiaan Brand مدير منتجات Google للحماية و الهوية . حيث أنها ستأتي بحزمة من كلا الإصدارين USB و Bluetooth بسعر 50$ أو يمكنك شراء أحد الإصدارين بحوالي 20$ إلى 25$ للواحدة بحسب قول Brand أيضاً بالإضافة إلى ذلك فإن المفاتيح الأمنية يفترض لها ان تعمل على أي جهاز لديه منفذ USB أو اتصال Bluetooth
إن البرمجيات الموجودة على مفاتيح الحماية قد تم تطويرها من قبل مهندسي شركة Google و قد كانت الشركة تختبرها داخلياً منذ أوائل العام 2017 و على الرغم من أن مفتاح titan الأمني يتشارك الاسم مع رقاقات جوجل الأمنية إلا أنه سيستخدم مجموعة مختلفة من الرقاقات
" نحن متأكدون جداً و مطمئنون من جودة الحماية التي يقدمها مفتاح titan الأمني " هذا ما قاله Brand وأضاف أيضاً " نحن متأكدون جداً و مطمئنون من كيفية حفظنا للأسرار و كيف سيكون من الصعب جداً على المهاجم ان يكسر الحماية "
و للعلم فإن التصيد هو واحد من أكثر الطرق المستخدمة في الهكر لسرقة كلمات المرور و قد كانت الطريقة التس استخدمها الهكر الروسيون للتسلل إلى اللجنة الوطنية الديمقراطية حيث استخدموا هجوماً متطوراً و متمرساً لخداع الناس المستهدفين بتسليم كلمات السر المطلوبة لكن هذه الهجمات لسيت مخصصة فقط ضد السياسية و الأمور السياسية فكثيراً ما تستخدم في هجمات قرصنة عديدة
إنهم يستطيعون الظهور فجأة خلال مواسم الضرائب و الكوارث و النكبات في محاولات منسقة لحمل الناس كل يوم على كتابة كلمات السر الخاصة بهم على مواقع دجالة و مخادعة. لذلك فإن مفتاح Titan الأمني يضيف مستوى إضافي من الحماية حيث أنه حتى و لو تمكن القراصنة والهكر بنجاح من سرقة كلمة السر من خلال طريقة التصيد فإنهم لن يتمكنوا من انتزاع و سرقة مفتاح Titan الأمني الخاص بك
أن مفاتيح الحماية هذه ممتازة للحماية لكنها في بعض الأحيان تقوم بعملها بتقصير و ذلك عندما يقوم مفتاح Titan للحماية بقفل و إغلاق حسابي بشكل مؤقت حينما لا يكون بحوزتي المفتاح و سأتحدث عن ذلك أكثر في الأسفل
عملياً فإن مفتاح Google للحماية يحب أن يعمل تماماً مثل المفاتيح الاخرى الموجودة بالسوق مثل YubiCo's Yubikey و الذي كانت google توصي به من قبل . كما أن مدير هيئة إدارة المنتجات لحماية المعلومات في شركة جوجل Sam Srinivas قال بأن الشركة لا تحاول منافسة مفاتيح الحماية الأخرى هي تريد فقط أن توسع و تزيد عدد الخيارات المتوفرة للسمتخدم في السوق
" الشيء الأكثر أهمية هو ان يقوم كل شخص باستخدام مفتاح حماية " هذا ما قاله Srinivas و أضاف أيضاً "إن مفتاح Titan للحماية مخصص لأولئك الأشخاص الذين يريدون مفاتيح حماية و يثقون بشركة Google " . و في رد من قبل المدير التنفيذي لشركة Yubico وهي Stina Ehrensvard بعد الإعلان عن مفتاح Titan قالت بأن الشركة لن تتبع قيادة Google بإصدار نسخة Bluetooth لمفتاحها الأمني
" بينما كانت شركة Yubico قد بدأت بتطوير مفتاح حماية عن طريق البلوتوث BLE و ساهم بالوصول إلى BLE U2F إلا أننا قررنا عدم إطلاق المنتج لأنه لا يتوافق مع معايير الحماية لدينا كسهولة الاستخدام و المتانة " هذا ما كتبته Ehrensvar و أضافت " BLE لا يزود بمستوى الحماية الاكيدة والموثوقة مثل NFC و USB بالإضافة إلى أنه يتطلب بطاريات و يقدم تجربة استخدام فقيرة و ضعيفة "
إذاً فإن الأمل الآن هو أن google تقوم بصنع و بيع مفاتيح الحماية الخاصة بها كما انها يمكنها ان تخفض السعر إذا أصبح الجهاز مشهوراً كفاية و هذا هو هدف الشركة بالفعل حيث قال Brand " إننا لسنا سعداء تماماً حيث أن الأجهزة هذه ستكون خارج متناول المستخدمين الذي لا يستطيعون تحمل سعرها " و اضاف " نأمل بأن نستطيع في وقت ما من ان نخفض سعر هذه الأجهزة لما يقارب 10$ "
و لكن قبل ان تتمكن google من تخفيض السعر فعليها أولا ان تقنع الناس بأنهم فعلاً بحاجة إلى مفتاح حماية
الاستخدام المنخفض لمفاتيح الحماية
في يناير الماضي قال احد مهندسي شركة Google بأن أقل من 10% من مستخدمي Gmail لديهما عاملي مصادقة اثنين مفعلين على حسابهم . لذلك فإن شركة Google تعلم و تعي بأن هناك نقص اهتمام بالمصادقة متعددة العوامل من قبل المستخدمين وتأمل بأن يقوم مفتاح Titan للحماية بتغيير ذلك
هنالك وفرة من الأسباب التي تجعل الناس غير مهتمين بمفاتيح الحماية هذه غير أنهم ربما يستصعبون حملها أينما ذهبوا فهم فعلياً لديهم مصادقة ثنائية العوامل موجودة على هواتفهم بالإضافة إلى أنهم يعتقدون بان كلمات السر الخاصة بهم قوية كفاية . إذا كل هذه الأمور هي عواقب يجب على شركة Google ان تتجاوزها لجعل الناس يستخدمون مفاتيح الحماية بشكل اكبر
إن واحد من اكثر الأشكال المشهورة للمصادقة من عاملين اثنين هي ان تجعل المخدم يرسل إليك PIN من خلال رسالة نصية على هاتفك و من ثم تقوم أنت بنسخها و كتابتها و هذه الطريقة تعتبر جيدة و تساعد و لكنها ليست سهلة جداً بحسب قول Srinivas . حيث ان شركة Google وجدت بأن الهجمات المستهدفة قادرة على خداع الناس لتسليم رمز PIN أيضاً
و في تغريدة على تويتر قام Shane Huntley مدير في مجموعة تحليل التهديدات التابعة لشركة Google بشرح كيف انه ما زال يمكن لشخص ما ان يتصيد الضحية من خلال الرسائل النصية حتى مع مصادقة من عاملين اثنين فبشكل اساسي يمكن للمهاجم أن يرسل للضحية طلب زائف للحصول على PIN
https://twitter.com/ShaneHuntley/status/1020889687806787584
و إذا أردنا الحديث عن هذا الامر فإن المقال سيطول كثيراً لذلك سنحاول إلى ان نتطرق إلى هذا الامر في مقال منفصل
و للعلم فإنه قبل أن تبدأ شركة Google باختبار مفتاح Titan داخلياً فإنها كانت قد اكتشفت بأن عمالها و موظفيها عرضة لهجمات التصيد حيث ان فريق جوجل الأحمر و هو مجموعة داخل الشركة مخصصة لاختبار حماية الموظفين قام بالعديد من محاولات التصيد الناجحة ضد موظفي شركة Google حيث اكتشفت بأن هنالك ضعف ضمن شركة Google فإن كان الهجوم متطوراً و راقياً كفاية فإنه يمكن ان يحصل على إمكانية الوصول للشركة لكن حالما بدأ موظفوا Google باستخدام مفتاح Titan الامني للحماية قال Srinivas بأنه تم توقيف هذه الهجمات بشكل نهائى.