مرگ CSV: استقبال اندروید از سیستم انقلابی تبادل اعتبارنامه FIDO

سال‌ها بود که مهاجرت به یک برنامه مدیریت رمز جدید، کاری فرساینده و دلهره‌آور به شمار می‌رفت. راز مگوی این صنعت این بود که برای انتقال صندوقچه دیجیتال خود، باید کل زندگی دیجیتالتان را در یک فایل متنی ساده (Plaintext) و کاملاً بدون رمزگذاری CSV خروجی می‌گرفتید. این امر باعث می‌شد اطلاعات ورود بسیار حساس شما در حافظه محلی ذخیره شود و در برابر سرقت اطلاعات توسط بدافزارها یا برنامه‌های مخرب پس‌زمینه آسیب‌پذیر باشد.

علاوه بر این، با ورود کلیدهای عبور رمزنگاری‌شده مبتنی بر سخت‌افزار (Passkeys)، این روش انتقال کاملاً ناکارآمد شد؛ چرا که کلیدهای عبور به طور رمزنگاری‌شده به دستگاه‌های خاصی متصل هستند و از نظر فنی غیرممکن است که بتوان آن‌ها را از طریق یک فایل متنی ساده صادر کرد.

در یک پیروزی بزرگ برای امنیت موبایل، گوگل در سکوت خبری راهکاری را ارائه کرده است. اندروید در به‌روزرسانی خدمات گوگل پلی ۲۶.۲۱، رسماً از پروتکل تبادل اعتبارنامه (CXP) و قالب تبادل اعتبارنامه (CXF) اتحادیه FIDO استقبال کرده است. دوران «جهنم CSV» به طور رسمی به پایان رسیده و جای خود را به انتقال امن، مستقیم و اپلیکیشن‌به‌اپلیکیشن اعتبارنامه‌ها داده است.

حل مشکل انحصار پلتفرمی کلیدهای عبور

پیش از این به‌روزرسانی، انتقال کلیدهای عبور به معنای ثبت‌نام مجدد، دستی و طاقت‌فرسا در ده‌ها سایت بود؛ مانع بزرگی که کاربران را مجبور می‌کرد در همان مدیریت رمزی که ابتدا استفاده کرده بودند، بمانند.

تحت استاندارد جدید FIDO، اندروید یک کانال امن و با رمزگذاری سرتاسری به طور مستقیم بین ارائه‌دهندگان اعتبارنامه برقرار می‌کند. به عنوان مثال، اگر بخواهید اطلاعات خود را از Google Password Manager به یک برنامه شخص ثالث مانند Dashlane، 1Password یا Bitwarden انتقال دهید، این دو صندوقچه یک فرآیند دست‌دهی (Handshake) رمزنگاری‌شده مستقیم را آغاز می‌کنند. اعتبارنامه‌ها در مبدأ رمزگذاری شده، توسط بیومتریک محلی تأیید هویت می‌شوند و با دور زدن کامل حافظه محلی، مستقیماً به صندوقچه مقصد منتقل می‌گردند.

نحوه کارکرد این سیستم در پشت صحنه

برای توسعه‌دهندگان، ادغام این استاندارد بسیار ساده است. گوگل API جدیدی به نام ProviderEventsManager را به کتابخانه استاندارد androidx.credentials اضافه کرده است. این API دو متد اصلی را ارائه می‌دهد:

• importCredentials: درخواست دریافت صندوقچه‌های رمزگذاری‌شده ورودی را از یک برنامه مدیریت سیستم دیگر آغاز می‌کند.
• registerExport: اعلام می‌کند که یک اپلیکیشن آماده است تا به عنوان یک مبدأ امن عمل کند و اجازه می‌دهد اعتبارنامه‌های آن بسته‌بندی و به صورت امن ارسال شوند.

پروتکل انتقال از تبادلی شبیه به دیفی-هلمن (Diffie-Hellman) استفاده می‌کند تا تضمین کند حتی سیستم‌عامل اندروید میزبان نیز نمی‌تواند در حین انتقال، گذرواژه‌ها یا کلیدهای خصوصی مربوط به کلیدهای عبور را شنود یا رهگیری کند. در حال حاضر Dashlane به عنوان اولین ارائه‌دهنده شخص ثالثی شناخته می‌شود که به صورت بومی از CXP در اندروید پشتیبانی می‌کند و Bitwarden و سایر بازیگران بزرگ این حوزه نیز به زودی به آن خواهند پیوست.

یک نقطه عطف بزرگ برای استانداردهای باز

با از بین بردن مشکلات و خطرات امنیتی مربوط به مهاجرت بین صندوقچه‌های رمزنگاری‌شده، گوگل بهانه اصلی کاربران برای عدم استفاده از کلیدهای عبور را برطرف کرده است. این به‌روزرسانی صرفاً برای بهبود تجربه کاربری نیست، بلکه یک زیرساخت حیاتی است که انتقال اندروید به سمت آینده‌ای کاملاً امن و بدون گذرواژه را تثبیت می‌کند.