هل ستصبح كلمة المرور أمرا عفا عليه الزمن؟

عام 1961، واجه عالم الكمبيوتر من معهد ماساتشوستس للتكنولوجيا (MIT) فرناندو كورباتو مشكلة. امتلكت الجامعة حواسيب ضخمة تخزن ملفات كبيرة وكان بوسع أي شخص الدخول إليها.

تمثل الحل آنذاك في تكنولوجيا عممت على سائر الحواسيب وأزعجت مستخدميها على مدى أكثر من 60 عاماً: إنها كلمة المرور (password). استنبط كورباتو حلاً ببناء نظام يفتح الملفات من خلال وضع المجموعة الصحيحة من الأحرف واستخدمت هذه الطريقة لحماية الملفات فضلاً عن اقتسام وتوزيع الموارد الحاسوبية في وقت كانت قيمة ومحدودة.

بعد مرور سنة، وفي عام 1962 تحديداً، واجه آلان شير، عالم كمبيوتر آخر في معهد ماساتشوستس للتكنولوجيا، مشكلة أخرى. إن العمل الذي يقوم به يستخدم كثيراً من الموارد الحاسوبية، وكان سيتم محو برامجه، فتوصل إلى خدعة تقوم على سرقة مزيد من وقت الكمبيوتر، ولكن لم يكن هذا الأمر كافياً لتشغيل كامل عمليات المحاكاة التي أرادها.

تعهدت كل من "أبل" و"غوغل" و"مايكروسوفت" باتباع "معيار فيدو"​​​​​​​ (اندبندنت)

عندئذٍ، توصل هو أيضاً إلى حل استبق مسألة ما زال مستخدمو الحواسيب يواجهونها حتى يومنا هذا: قام بقرصنة كلمات المرور. وبعد 25 عاماً، أقر بأنه وجد طريقة لطباعة كلمات المرور التي كانت تحمي النظام واستخدامها للدخول إلى الوقت الذي احتاج إليه.

شكل كورباتو وشير ربما أول مثالين على نشاط استمر طوال تاريخ الحوسبة، إذ حاولت جهة حماية النظام فيما حاولت الجهة الأخرى اختراقه. وعلى مر طيلة ذلك التاريخ تقريباً، تمحور أمن الكمبيوتر حول كلمات المرور – وهي مجموعة من الأحرف والأرقام الضرورية للدخول.

وجد أسلوب كورباتو في عصرنا الحالي مجموعة من الطرق الجديدة لجعل كلمات المرور أكثر أمناً، وذلك من خلال تشفيرها لكي لا تتم سرقتها، ومن ثم تخزينها في برامج إدارة كلمات المرور (password managers) تضمن أنها معقدة ولا يمكن أن تضيع من بين كثير من الأمور الأخرى التي تقدمها تلك البرامج. ولكن، لطالما وجد خلفاء شير الأكثر مكراً وخبثاً طرقاً جديدة للالتفاف على تلك البرامج من خلال سرقة كلمات المرور عبر تقنيات كالاحتيال، حيث ينتحل المهاجمون صفة المواقع الشرعية لتضليل الأشخاص وجعلهم يكتبون كلمة المرور الخاصة بهم.

واليوم، ما زالت كلمات المرور تستخدم في أوقات السلم والحرب، لحماية الحياة وسلبها. وبعد آلاف السنين، ما زالت المخاطر مطروحة كما كانت دائماً في السابق.

ولكن، خلال السنوات الأخيرة، لعل شركات التكنولوجيا وجدت طريقة للتخلص من كلمات المرور تلك. فمع مجموعة كبيرة من التقنيات التي تراوح بين الطرق البيومترية (القياس الحيوي) كبصمة الإصبع ومسح الوجه في الهواتف إلى معايير جديدة تتيح للأجهزة التثبت من بعضها البعض، قد نكون أخيراً تخلصنا من تلك التكنولوجيا التي تعود إلى 60 عاماً مضت.

قد تكون كلمات المرور قديمة بقدم اللغة نفسها. ففي روما القديمة، كان جندي يسمى "tesserarius"، وهو اسم مستوحى من لوح الخشب الذي كانت كلمات المرور تكتب عليه، يقوم بتلك الوظيفة، وكان مسؤولاً عن حماية ما أطلق عليه الجيش اسم "كلمات السر" watchwords.

وعلى غرار ذلك، تأتي كلمة شيبوليث [بالعبرية: لفظ مميز] من قصة وردت في الكتاب المقدس، حيث طلب من الأشخاص نطقها: وكانت لكنة قبيلة إفرائيم تعني أنهم يلفظونها سيبوليث بحسب الجلعاديين الذين كانوا يضطهدونهم. وكان يقتاد ويقتل الذين يلفظونها على نحو خاطىء وهو أمر أودى بحياة 42 ألف شخص بحسب سفر القضاة (Book of Judges).

واليوم، ما زالت كلمات المرور تستخدم في أوقات السلم والحرب، لحماية الحياة وسلبها. وبعد آلاف السنين، ما زالت المخاطر مطروحة كما كانت دائماً في السابق.

وهذا الأسبوع، أصبح من الواضح مرة جديدة أن كلمات المرور تملك كثيراً من السلبيات المحتملة، يتمثل آخرها في التهديد الذي تواجهه من الذكاء الاصطناعي: فقد بينت دراسة بحثية أكاديمية جديدة أنه من الممكن الإصغاء ببساطة إلى لوحة المفاتيح على الحاسوب ومعرفة كلمة المرور التي يتم نقرها مما يتيح للمقرصن جمعها معاً والتعرف عليها.

وتكون كلمات المرور ضعيفة بأكثر الطرق قدماً، إذ إنها تعتمد على ذاكرة الإنسان ويمكن تعطيلها بسبب خطئنا البشري. كما قد يواجه الأشخاص الذين يعملون على كلمات المرور سباقاً مع الوقت وتهديداً من الحوسبة الكوانتية (quantum computing.).

قالت "أبل" إن التحسينات الجديدة ستسمح "بمعايير الدخول الخالية من كلمات المرور" (غيتي)

حالياً، تقوم بذلك أدوات التشفير التي تحمي البيانات التي تختبئ خلف كلمة المرور من خلال استخدام مسائل رياضية في منتهى التعقيد يمكن حلها فعلياً إن كنتم تملكون لوحة المفاتيح المناسبة، بيد أن الحواسيب الكوانتية تحول تلك الحسابات التي كانت شديدة الصعوبة في السابق إلى مسائل سهلة جداً ومن خلال ذلك يكون من السهل على الأشخاص اختراق ذلك التشفير، ولكن كلمات المرور ضعيفة بأكثر الطرق قدماً، إذ إنها تعتمد على ذاكرة الإنسان ويمكن تعطيلها بسبب خطئنا البشري. يميل المستخدمون إلى استعمال العبارات نفسها في كلمات مرورهم، إذ أظهرت التقارير السنوية انتشار استخدام كلمات مرور على غرار "password" (كلمة مرور)، ومن ثم يستخدمون تلك الكلمات عبر مجموعة من المواقع، مما يعني أن اختراق كلمة مرور واحدة بوسعه أن يمنح الولوج إلى الحياة الرقمية الكاملة للشخص.

في الفترات الأخيرة، سعى علماء الكمبيوتر إلى معالجة هذا الأمر من خلال مصادقة ثنائية العوامل لا تعتمد على كلمة مرور وحسب، بل على رمز يتم إرساله إلى جهاز منفصل ومصادق عليه على غرار الهاتف الخلوي على سبيل المثال. تصعب هذه الطريقة قرصنة حساب، إذ إنه من الناحية النظرية يحتاج المقرصن إلى الولوج إلى الجهاز الآخر للمستخدم ولا يكفيه الحصول على كلمة المرور المسروقة وحسب.

خلال السنوات الأخيرة، كانت الشركات تعمل جاهدة على أخذ هذه الطريقة وجعلها طريقة مركزية تؤخذ بعين الاعتبار: من شأن هذه الأجهزة الموثقة أو المصادق عليها أن تصبح الطريقة الرئيسة للدخول إلى الحاسوب. وفي هذا السياق، تعهدت كل من "أبل" و"غوغل" و"مايكروسوفت" باتباع "معيار فيدو" Fido Standard الذي يهدف إلى تسريع اعتماد هذه التكنولوجيا. فقد اعتبرت "أبل" عندما أعلن ذلك التعاون أن "المصادقة التي تقوم على كلمة المرور وحسب هي واحدة من أكبر المشكلات الأمنية التي نصادفها على الإنترنت، كما أن تولي عديد من كلمات المرور هو أمر مرهق ومعقد للمستخدمين، مما يؤدي بهم غالباً إلى إعادة استخدام كلمات المرور نفسها في مختلف الخدمات. ويمكن لهذه الممارسة أن تؤدي إلى تداعيات مكلفة كالاستحواذ على الحسابات واختراق البيانات وحتى سرقة الهويات، فيما تقدم برامج إدارة كلمات المرور والطرق القديمة للمصادقة الثنائية العوامل تحسينات إضافية وتدرجية، أرسي تعاون على مستوى الصناعة بشكل موسع لخلق تكنولوجيا للولوج إلى البرامج والحواسيب تكون أكثر ملاءمة وأكثر أمناً".

وقالت "أبل" إن التحسينات الجديدة ستسمح "بمعايير الدخول الخالية من كلمات المرور" كاستخدام مفاتيح مرور (passkeys) مخزنة على الأجهزة أو من خلال السماح للأشخاص بالمصادقة على كلمة المرور من خلال استخدام جهاز قريب. ومن شأن التعاون بين مختلف الشركات المعنية أن يعني أنه سيصبح بالإمكان استخدامها عبر مختلف المنصات، كفتح حاسوب "مايكروسوفت" بواسطة هاتف "آيفون" من "أبل" على سبيل المثال.

بيل غيتس: "لا شك أن اعتماد الناس على كلمات المرور سيقل شيئاً فشيئاً مع مرور الوقت..." (غيتي)

أنجز كثير من هذا العمل بشكل صامت ودون ضوضاء، مع الإدراك والوعي أن أفضل طريقة لتغيير سلوك المستخدمين هي القيام بذلك بطريقة سهلة للغاية بحيث لا يلاحظون ذلك. فستقوم "أبل" بإدخال مفاتيح المرور مع التحديث القادم على نظام "آي أو أس 17" (iOS 17) مثلاً، ولكنه بني بطريقة متعمدة لا تشكل حاجزاً في اعتماد هذه الطريقة الجديدة، وهو أمر يقول الخبراء أنه سيساعد في إرسائها.

نائب الرئيس لإدارة البرامج في قسم الهوية في "مايكروسوفت" أليكس سيمونز، قال العام الماضي: "سيبدأ التحول الكامل إلى عالم خالٍ من كلمات المرور مع المستخدمين، مما سيجعله جزءاً طبيعياً من حياتهم. يجب أن يكون أي حل قابل للتطبيق أكثر أماناً وسهولة وسرعة من كلمات المرور وأساليب المصادقة القديمة المتعددة العوامل المستخدمة اليوم. من خلال عملنا معاً كمجموعة على مختلف المنصات، بوسعنا أخيراً أن نحقق هذه الرؤية ونحرز تقدماً ملموساً نحو محو كلمات المرور بالكامل".

ولكن، يترافق عديد من البدائل لكلمات المرور مع مشكلات. فبوسع الأمن البيومتري أن يرفض التعرف على مالكه الفعلي بسبب نسب الأخطاء الموجودة أو يمكن خداعه بوساطة بصمات مزيفة ومعلومات أخرى مضللة. تستخدم هذه الأجزاء من جسمنا لأنها لا تتغير، ولكن يعني هذا الأمر أيضاً أنه متى قام أحدهم بسرقة المعلومات، ستذهب إلى الأبد ولا يمكن تغييرها كما نفعل مع كلمة المرور.

على مر سنوات، وعد الخبراء بنهاية عصر كلمات المرور. ففي عام 2004، قال بيل غيتس في مؤتمر عن الأمن الحوسبي والسيبراني في سان فرانسيسكو إن تلك التكنولوجيا في طريقها لتبصر النور. وقال حينذاك: "لا شك أنه مع مرور الوقت، سيقل اعتماد الأشخاص على كلمات المرور شيئاً فشيئاً. يستخدم الأشخاص كلمات المرور على أنظمة مختلفة ويدونونها ولا يستخدمون المعايير الملائمة لحماية أي أمر يودون حمايته وتأمينه".

وبعد مرور ما يناهز 20 عاماً، كان غيتس محقاً في تشخيصه المشكلة أكثر من توقعه للسرعة التي ستحل بها، ولكن أمام التكنولوجيا الجديدة متسعاً من الوقت لكي تثبت أنه ربما كان على حق.