التقييم الأمني لتوليد كلمات المرور وتخزينها والملء التلقائي في مديري كلمات المرور المستندة إلى المتصفح

1. المقدمة

لا تزال المصادقة القائمة على كلمات المرور هي الطريقة السائدة للمصادقة على الويب على الرغم من التحديات الأمنية الموثقة جيدًا. يواجه المستخدمون عبئًا إدراكيًا في إنشاء وتذكر كلمات مرور قوية وفريدة، مما يؤدي إلى إعادة استخدام كلمات المرور وإنشاء بيانات اعتماد ضعيفة. تَعِد مديرو كلمات المرور بتخفيف هذا العبء من خلال توليد كلمات المرور وتخزينها وملئها تلقائيًا. ومع ذلك، فقد تم التشكيك في أمانها في أبحاث سابقة. تقدم هذه الورقة تقييمًا أمنيًا محدثًا وشاملًا لثلاثة عشر مدير كلمات مرور شهيرًا يعتمد على المتصفح، وذلك بعد خمس سنوات من الإبلاغ عن نقاط ضعف كبيرة. تغطي الدراسة دورة حياة مدير كلمات المرور بالكامل: التوليد، والتخزين، والملء التلقائي.

2. المنهجية والنطاق

شمل التقييم ثلاثة عشر مدير كلمات مرور، بما في ذلك خمسة إضافات للمتصفح (مثل LastPass، 1Password)، وستة مديرين مدمجين في المتصفح (مثل Chrome، Firefox)، واثنين من برامج سطح المكتب للمقارنة. تضمنت المنهجية:

• توليد وتحليل مجموعة مكونة من 147 مليون كلمة مرور لفحص العشوائية والقوة.
• إعادة وتوسيع التقييمات السابقة لأمان تخزين كلمات المرور.
• اختبار آليات الملء التلقائي للبحث عن نقاط ضعف مثل استغلال النقرات و XSS.
• تقييم إعدادات الأمان الافتراضية وممارسات التشفير.

3. تحليل توليد كلمات المرور

هذا هو أول تحليل شامل لخوارزميات توليد كلمات المرور في مديري كلمات المرور.

4. أمان تخزين كلمات المرور

على الرغم من ملاحظة تحسينات مقارنة بالتقييمات التي أجريت قبل خمس سنوات، لا تزال هناك قضايا كبيرة قائمة.

5. نقاط الضعف في آلية الملء التلقائي

تقدم ميزة الملء التلقائي، المصممة للراحة، سطح هجوم كبير.

6. النتائج والتحليل المقارن

النتيجة الرئيسية: تحسنت المشهد منذ الدراسات السابقة (مثل Li et al., 2014; Silver et al., 2013)، ولكن لا تزال هناك عيوب أمنية أساسية عبر بائعين متعددين. لم يكن هناك مدير كلمات مرور واحد خالي من العيوب عبر جميع المراحل الثلاث التي تم تقييمها (التوليد، التخزين، الملء التلقائي). أظهر كل من مديري المتصفح المدمجين والإضافات المخصصة أنماطًا مميزة من نقاط الضعف.

7. التوصيات والاتجاهات المستقبلية

تختتم الورقة بتوصيات قابلة للتنفيذ:

• للمستخدمين: تجنب مديري كلمات المرور المعروفين بعيوب التوليد أو إعدادات الملء التلقائي غير الآمنة افتراضيًا. يُفضل المديرون الذين يسمحون بالتحكم الدقيق في سلوك الملء التلقائي.
• للمطورين: تنفيذ مولدات أرقام عشوائية آمنة تشفيريًا (CSPRNGs) لتوليد كلمات المرور. تشفير جميع البيانات الوصفية. تنفيذ فحوصات صارمة للمصدر وآليات موافقة المستخدم للملء التلقائي (مثل طلب النقر على عنصر لا يمكن إعادة توجيه واجهة المستخدم له).
• للباحثين: استكشاف دمج الأساليب الرسمية للتحقق من منطق الملء التلقائي وتطبيق التعلم الآلي للكشف عن طلبات الملء التلقائي غير الطبيعية التي تشير إلى هجوم.

8. التحليل الأصلي وتعليقات الخبراء

الفكرة الأساسية: تقدم دراسة Oesch و Ruoti فحصًا واقعيًا مقلقًا: لقد تم بناء أدوات الأمان التي نثق بها لدمج مفاتيحنا الرقمية على أسس مهتزة بشكل مثير للقلق. بعد خمس سنوات من الكشف عن عيوب كبيرة، فإن تقدم الصناعة تدريجي في أحسن الأحوال، وفشل في معالجة القضايا النظامية في جميع الركائز الأساسية الثلاث - التوليد، والتخزين، والملء التلقائي. هذا ليس مجرد تقرير عن عيب؛ إنه إدانة للرضا في مجال أمني حاسم.

التسلسل المنطقي: تكمن قوة الورقة في نهجها الشامل لدورة الحياة. فهي تحدد بشكل صحيح أن السلسلة لا تكون أقوى إلا من أضعف حلقاتها. إن العثور على عدم عشوائية في التوليد ($P(char) \neq \frac{1}{N}$) يقوض الفرضية بأكملها بشكل أساسي قبل النظر حتى في التخزين أو الملء التلقائي. ثم يُظهر تكرار اختبارات التخزين/الملء التلقائي السابقة نمطًا: بينما قد يتم تصحيح نقاط الضعف السطحية، فإن العيوب المعمارية (مثل البيانات الوصفية غير المشفرة أو الملء التلقائي غير المقيد) تستمر. هذا التقدم المنطقي من الإنشاء المعيب إلى المعالجة غير الآمنة إلى النشر المحفوف بالمخاطر يرسم صورة كاملة ومشينة.

نقاط القوة والضعف: القوة الأساسية للدراسة هي نهجها الضخم القائم على البيانات لتوليد كلمات المرور - وهو الأول في الأدبيات. توفر مجموعة بيانات كلمات المرور البالغة 147 مليون كلمة دليلًا إحصائيًا لا يمكن دحضه على ضعف الخوارزمية، متجاوزة المخاوف النظرية. ومع ذلك، فإن التحليل لديه نقطة عمياء: فهو يعامل مديري كلمات المرور إلى حد كبير كعملاء معزولين. الواقع الحديث هو المزامنة السحابية وتطبيقات الهاتف المحمول. كما لوحظ في وقائع IEEE Symposium on Security and Privacy حول نماذج الأمان السحابية، يمتد سطح التهديد إلى بروتوكولات المزامنة، وواجهات برمجة التطبيقات من جانب الخادم، والتكامل مع نظام تشغيل الهاتف المحمول، وهو ما لا تقيمه هذه الدراسة. علاوة على ذلك، بينما تذكر "الإعدادات الافتراضية غير الآمنة"، فإنها لا تقيس معدل اعتماد المستخدمين للإعدادات الآمنة - وهو عامل حاسم في المخاطر الواقعية، كما تظهر دراسات قابلية الاستخدام من مؤتمر USENIX SOUPS باستمرار أن معظم المستخدمين لا يغيرون الإعدادات الافتراضية أبدًا.

رؤى قابلة للتنفيذ: بالنسبة لفرق الأمان المؤسسية، تفرض هذه الأبحاث التحول من التوصيات العامة "استخدم مدير كلمات مرور" إلى إرشادات محددة للبائع والتكوين. يجب وضع المديرين الذين لديهم مولدات ضعيفة في القائمة السوداء. يجب أن تتضمن قوائم مراجعة المشتريات الآن التحقق من استخدام CSPRNG وتشفير البيانات الوصفية. بالنسبة للمطورين، فإن الطريق إلى الأمام واضح: اعتماد مبدأ "الثقة الصفرية" للملء التلقائي، يتطلب موافقة صريحة وواعية من المستخدم لكل إجراء ملء، على غرار نماذج الأذونات التي يدافع عنها اتحاد شبكة الويب العالمية (W3C) لواجهات برمجة تطبيقات الويب القوية. لا يكمن المستقبل في محاولة تأمين الملء التلقائي المتساهل بشكل مفرط بشكل مثالي، ولكن في تصميم ملء تلقائي مقيد بأقل قدر ممكن ويخضع لسيطرة المستخدم. يشير فشل الصناعة في تصحيح نفسها على مدى خمس سنوات إلى أن التدخل التنظيمي أو من هيئات المعايير (مثل NIST أو FIDO Alliance) قد يكون ضروريًا لفرض متطلبات الأمان الأساسية لهؤلاء الحراس لهويتنا الرقمية.

9. التفاصيل التقنية والنتائج التجريبية

تحليل توليد كلمات المرور: الإنتروبيا $H$ لكلمة مرور مُولدة بطول $L$ من مجموعة أحرف $C$ هي بشكل مثالي $H = L \cdot \log_2(|C|)$ بت. وجدت الدراسة حالات حيث كانت الإنتروبيا الفعالة أقل بسبب التحيز في اختيار الأحرف. على سبيل المثال، إذا كان المولد ينوي استخدام مجموعة أحرف مكونة من 94 حرفًا ولكن ظهرت أحرف معينة باحتمالية $p \ll \frac{1}{94}$، فإن الإنتروبيا الفعلية تقل: $H_{actual} = -\sum_{i=1}^{94} p_i \log_2(p_i)$ لكل حرف، حيث $\sum p_i = 1$.

وصف الرسم البياني التجريبي: سيرسم رسم بياني رئيسي في الدراسة الكسر التراكمي لكلمات المرور التي تم اختراقها مقابل عدد محاولات التخمين (مقياس لوغاريتمي) لكلمات المرور المُولدة بأطوال مختلفة (مثل 8، 12، 16 حرفًا). سيظهر المنحنى لكلمات المرور الأقصر من 10 أحرف ارتفاعًا حادًا، مما يشير إلى الاختراق السريع تحت محاكاة الهجوم عبر الإنترنت (مثل 1000 تخمين). سيظهر المنحنى لكلمات المرور الأقصر من 18 حرفًا جزءًا كبيرًا تم اختراقه بعد $10^{10}$ إلى $10^{12}$ تخمين دون اتصال، مما يضعها ضمن قدرة المهاجمين المصرين بأجهزة حديثة، كما تم قياسه بواسطة أدوات مثل Hashcat وجداول قوس قزح.

10. إطار التحليل ودراسة الحالة

إطار عمل لتقييم أمان مدير كلمات المرور:

1. سلامة التوليد: اختيار الإخراج إحصائيًا للعشوائية (مثل اختبارات NIST STS، Dieharder) وحساب الإنتروبيا الفعالة. التحقق من أن الحد الأدنى لطول الإعدادات الافتراضية يتوافق مع إرشادات NIST الحالية (>= 12 حرفًا).
2. أمان التخزين: فحص التخزين المحلي (مثل IndexedDB للمتصفح، ملفات SQLite) وحركة مرور الشبكة للبيانات المشفرة مقابل النص العادي. مراجعة مكتبة التشفير ودالة اشتقاق المفتاح (مثل هل تستخدم PBKDF2 بعدد تكرارات كافٍ، أو Argon2؟).
3. موقف أمان الملء التلقائي: رسم خريطة لآلية تشغيل الملء التلقائي. اختبار إعادة توجيه واجهة المستخدم عن طريق إنشاء إطارات iframe متداخلة. اختبار منطق مطابقة المصدر عن طريق نشر مواقع بأسماء نطاقات متشابهة (مثل `example.com` مقابل `example.com.evil.net`). التحقق مما إذا كان الملء التلقائي يتطلب إيماءة من المستخدم على عنصر صفحة غير قابل للتنبؤ.

دراسة الحالة - نقطة ضعف استغلال النقرات: فكر في المدير X، الذي يعرض زر الملء التلقائي فوق نموذج تسجيل الدخول. ينشئ المهاجم صفحة خبيثة تحتوي على iframe غير مرئي يقوم بتحميل `bank.com`. يتم وضع iframe بحيث يظهر زر الملء التلقائي للمدير X فوق زر مخفي "إرسال إلى المهاجم" على الصفحة الخبيثة. ينقر المستخدم لملء البيانات تلقائيًا، ولكن بدلاً من ذلك ينقر على زر المهاجم، مما يؤدي إلى إرسال بيانات اعتماد `bank.com` إلى خادم المهاجم. يوضح هذا فشلًا في ربط حدث النقر والتحقق من المصدر لدى المدير.

11. التطبيقات المستقبلية وآفاق البحث

تفتح النتائج عدة مسارات للعمل المستقبلي:

• التوليد والتخزين المدعوم بالأجهزة: التكامل مع وحدات المنصة الموثوقة (TPMs) أو الملاذات الآمنة (مثل Secure Element من Apple) لتوليد بذور عشوائية وتخزين مفاتيح التشفير، ونقل الأسرار خارج المجالات البرمجية البحتة.
• الملء التلقائي الواعي بالسياق والقائم على المخاطر: الاستفادة من التعلم الآلي لتحليل سياق الصفحة (هيكل DOM، تفاصيل الشهادة، سمعة الموقع) لتقييم مخاطر الملء التلقائي. قد يتطلب السياق عالي المخاطر مصادقة إضافية (بيومترية) أو منع الملء التلقائي تمامًا.
• واجهات برمجة تطبيقات أمنية موحدة: تطوير واجهة برمجة تطبيقات موحدة للمتصفح ومصرح بها لمديري كلمات المرور (مثل خليفة لواجهة `chrome.loginState` API) التي توفر وصولاً آمنًا ومعزولًا لبيانات الاعتماد مع مطالبات موافقة واضحة من المستخدم، مما يقلل من سطح الهجوم من حقن DOM التعسفي.
• الاستعداد لتشفير ما بعد الكم: البحث في انتقال تشفير مدير كلمات المرور إلى خوارزميات مقاومة لهجمات الكمبيوتر الكمومي، حيث أن الخزنة المشفرة هي أصل طويل الأمد جذاب للغاية لأعداء "حصاد الآن وفك التشفير لاحقًا".
• نماذج اللامركزية والوصاية الذاتية: استكشاف استخدام بروتوكولات الهوية اللامركزية (مثل المستندة إلى W3C Verifiable Credentials) لتقليل الاعتماد على خزنة مركزية، وتوزيع المخاطر ومنح المستخدمين سيطرة أكبر.

12. المراجع

1. Oesch, S., & Ruoti, S. (2020). That Was Then, This Is Now: A Security Evaluation of Password Generation, Storage, and Autofill in Browser-Based Password Managers. USENIX Security Symposium.
2. Li, Z., He, W., Akhawe, D., & Song, D. (2014). The Emperor's New Password Manager: Security Analysis of Web-based Password Managers. IEEE Symposium on Security and Privacy (SP).
3. Silver, D., Jana, S., Boneh, D., Chen, E., & Jackson, C. (2013). Password Managers: Attacks and Defenses. USENIX Security Symposium.
4. National Institute of Standards and Technology (NIST). (2017). Digital Identity Guidelines (SP 800-63B).
5. Stock, B., & Johns, M. (2013). Protecting the Intranet Against "JavaScript Malware" and Related Attacks. International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment (DIMVA).
6. Herley, C. (2009). So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users. Proceedings of the New Security Paradigms Workshop (NSPW).
7. World Wide Web Consortium (W3C). (2021). Permissions Policy. https://www.w3.org/TR/permissions-policy-1/
8. FIDO Alliance. (2022). FIDO2: WebAuthn & CTAP. https://fidoalliance.org/fido2/