بدون رمز عبور با کلیدهای عبور در ویندوز و دات نت

وقت آن است که از پسوردها دور شوید. مایکروسافت ابزارهایی برای کمک به شما در شروع کار دارد.

گذرواژه‌ها یک مشکل هستند. در حالی که آنها راه اصلی ایمن سازی برنامه ها، سرویس ها و سیستم ها هستند، اما به طور فزاینده ای آسیب پذیر هستند. رایانش ابری استفاده از گذرواژه‌های ارزشمند را مقرون به صرفه می‌کند، در حالی که سیاست‌های گذرواژه که فکر نشده‌اند، کاربران را به سمت رفتارهای ذاتا پرخطر سوق می‌دهد. و در حالی که مدیران گذرواژه، داشتن رمزهای عبور پیچیده جداگانه را برای هر جایی که به آن‌ها نیاز داریم، آسان‌تر می‌کنند، سایر سیاست‌های «امنیتی» ما را از استفاده از آن رمز عبور منع می‌کنند.

آنچه در نظر گرفته شده بود تا یک اینترنت امن باشد، به طور فزاینده ای ناامن است و فایل ها، داده ها و امور مالی ما در خطر است. هنوز یک غرب وحشی وجود دارد، و سوال این است که چه کسی در آن مرز پیروز خواهد شد؟ بچه های خوب یا هزاران بازیگر بد؟

یک گزینه دور شدن از گذرواژه‌ها به دنیای بدون رمز عبور است که در آن بیومتریک و رمزنگاری قوی امنیت بهتری را فراهم می‌کنند و با سخت‌افزار ما برای افزودن لایه‌های حفاظتی جدید کار می‌کنند. با دور شدن از گذرواژه‌های پیچیده‌تر و سخت به خاطر سپردن، و یادگیری تکیه بر سخت‌افزار امن، می‌توانیم از کلیدهای رمزنگاری پیچیده‌ای استفاده کنیم که سرقت و شکستن آن‌ها سخت است.

ویندوز به عنوان یک پلت فرم امن

مایکروسافت امنیت را در قلب ویندوز ۱۱ قرار داده است و به پردازنده‌هایی نیاز دارد که از استانداردهای رمزنگاری کلیدی پشتیبانی می‌کنند، و همچنین سخت‌افزاری که حول TPM (ماژول‌های پلتفرم مورد اعتماد) ساخته شده‌اند. اکنون این شرکت در تلاش است تا احراز هویت بدون رمز عبور را به پلتفرم‌های خود بیاورد و توسعه‌دهندگان را تشویق کند تا از همان ابزارها و APIها در کد خود استفاده کنند.

در قلب رویکرد مایکروسافت دو فناوری کلیدی وجود دارد: ویندوز سلام و پروتکل WebAuthn. Windows Hello مجموعه‌ای از APIها است که با حسگرهای بیومتریک تایید شده ویندوز، اعم از دوربین‌های سه بعدی صورت یا حسگرهای اثر انگشت، کار می‌کنند تا هویت تأیید شده‌ای را برای کاربر دستگاه فراهم کنند. داده‌های بیومتریک اولیه در حین ثبت‌نام گرفته می‌شود و یک هش در ذخیره‌سازی امن یک TPM ذخیره می‌شود. این داده ها برای ایجاد اعتباری که به یک دستگاه گره خورده است استفاده می شود. ترکیب کاربر و دستگاه یک شناسه منحصر به فرد ایجاد می کند که می تواند برای باز کردن قفل احراز هویت استفاده شود و به عنوان شناسایی اولیه یا ثانویه کار کند.

کلیدهای عبور FIDO2 و Windows Hello

Windows Hello از بخشی از تجربه ورود به سیستم ویندوز به یکی از اجزای اجرای پروتکل احراز هویت FIDO2 در ویندوز به همراه WebAuthn تبدیل شده است. اکنون Windows Hello را می‌توان به کلیدهای عبور متصل کرد، نام رایج اعتبارنامه های قابل کشف FIDO2. کلیدهای عبور هم برای احراز هویت و هم برای تأیید کاربر استفاده می‌شوند که هم شناسایی و هم تأیید را فراهم می‌کنند و پیچیدگی‌های یک فرآیند مجوز مدرن را خودکار می‌کنند.

می‌توانید از پشتیبانی ویندوز برای FIDO2 و WebAuthn APIها برای کار با اعتبارنامه‌های قوی در کد خود بهره ببرید. بسیاری از عملکردهای لازم در مرورگر Edge با APIهای جاوا اسکریپت برای برنامه های کاربردی وب تعبیه شده است. مجموعه‌ای از APIهای Win32 از C و C++، که می تواند به عنوان پایه ای برای کتابخانه های دات نت استفاده شود.

برای شروع سریع افزودن ویژگی‌های بدون رمز عبور به برنامه‌های خود، می‌توانید از FIDO2 .NET استفاده کنید. کتابخانه، موجود در GitHub و توسط بنیاد دات نت. مانند بسیاری از کتابخانه های دات نت، کتابخانه FIDO2 را می توان از طریق NuGet به کد شما اضافه کرد. این کتابخانه با تمام برنامه های NET از جمله کد وب ASP.NET Core کار می کند.

کتابخانه FIDO2 .NET شامل همه چیزهایی است که برای ایجاد پشتیبانی FIDO2 در برنامه ها نیاز دارید، از ثبت نام کاربران تا تأیید آنها، با پشتیبانی از همه کلاس های احراز هویت از جمله Windows Hello. می توان از آن برای احراز هویت چند عاملی (MFA) و همچنین برای سناریوهای پیچیده تر بدون رمز عبور استفاده کرد. ممکن است بخواهید استفاده از آن را برای MFA به عنوان اولین رویکرد برای انتقال کاربران به تکنیک‌های احراز هویت امن‌تر در نظر بگیرید، که به آنها اجازه می‌دهد به استفاده از دستگاه دوم به عنوان بخشی از فرآیند ورود به سیستم عادت کنند.

احراز هویت بدون رمز عبور در دات نت

هنگامی که راه حل MFA را پیاده سازی کردید، می توانید با ویژگی های بدون رمز عبور بر روی آن بسازید. این شاید یکی از مهم‌ترین جنبه‌های FIDO2 باشد – برای پشتیبانی از سفر از احراز هویت سنتی به تکنیک‌های مدرن‌تر و در نهایت به استفاده از کلیدهای عبور طراحی شده است.

استفاده از کتابخانه FIDO2 .NET به عنوان بخشی از دشوار نیست یک سرور. ابتدا یک کاربر جدید با نام کاربری و نام نمایشی ایجاد می کنید. کتابخانه می‌تواند بررسی کند که کاربر قبلاً اعتبارنامه‌های ذخیره‌شده در دستگاه خود یا در یک فروشگاه خارجی را نداشته باشد. گزینه های گواهی خدمات به مشتری درخواست کننده تحویل داده می شود که با استفاده از اجرای FIDO2 ارائه می شود. مشتری رمز عبور را ایجاد و ذخیره می کند و اعتبارنامه ها را ذخیره می کند. هنگامی که مشتری درخواست کننده داده های گواهی مورد نیاز را برگرداند، می توانید داده های کاربر را ایجاد کنید و اعتبارنامه ها را به فروشگاه سرور اضافه کنید، همراه با شناسه کاربری.

ورود به سرویس برعکس فرآیند است. سرور شناسه کاربری را از مشتری دریافت می‌کند، وجود آن را بررسی می‌کند و درخواست ادعا می‌کند. مشتری از بیومتریک برای باز کردن قفل رمز عبور استفاده می کند و داده های ادعایی را به سرور ارسال می کند، جایی که با استفاده از ویژگی های رمزنگاری کلید عمومی FIDO2 تأیید می شود. در نهایت پس از تایید، کاربر مجاز به استفاده از سرویس می باشد. آنها نیازی به وارد کردن رمز عبور ندارند. همه چیز مورد نیاز برای دسترسی توسط یک فروشگاه رمز عبور محلی روی رایانه شخصی یا تلفن آنها مدیریت می شود. پیاده سازی FIDO2 مشتری این اعتبارنامه ها را پس از گذراندن بیومتریک در اختیار سرور قرار می دهد.

APIهای بدون رمز عبور Bitwarden

یک گزینه خوب دیگر APIهای Passwordless.dev Bitwarden است. اینها راهی سریع افزودن پشتیبانی از کلید عبور به برنامه‌های موجود را همراه با یک ابر ارائه می‌کنند. چارچوب مدیریتی مبتنی بر اعتبارنامه ها و چارچوب رمزنگاری لازم. Bitwarden هم خیلی گران نیست. یک حساب کاربری رایگان به شما امکان پشتیبانی از یک برنامه و ۱۰۰۰۰ کاربر را می دهد. استقرارهای بزرگتر می توانند از یک حساب حرفه ای استفاده کنند که از برنامه های نامحدود با قیمت ۰.۰۵ دلار برای هر کاربر در ماه برای ۱۰۰۰۰ کاربر اول پشتیبانی می کند، و برای کاربران اضافی به ۰.۰۱ دلار برای هر کاربر در ماه کاهش می یابد. اگر ترجیح می‌دهید به زیرساخت‌های احراز هویت موجود مانند Microsoft Entra ID پیوند دهید، یک طرح سازمانی ۳ دلار برای هر کاربر در ماه هزینه دارد.

FIDO2 و الگوهای بدون رمز عبور مرتبط با آن، راه بسیار امن‌تری برای کنترل دسترسی به برنامه‌ها و سرویس‌ها هستند. با توجه به اینکه ویندوز اکنون از ایجاد و مدیریت کلیدهای عبور پشتیبانی می کند، زمان آن رسیده است که به استفاده از این ابزارها در کد خود فکر کنید، از ابزارهای بیومتریک ویندوز برای کنترل دسترسی و TPM ها و سخت افزار احراز هویت آماده FIDO2 برای مدیریت کلیدها استفاده کنید. هرچه بیشتر به این فناوری‌ها تکیه کنیم، خطر را برای همه کاهش می‌دهیم.