مقارنة أساليب المصادقة متعددة العوامل والتوصيات

  • يجمع التحقق متعدد العوامل بين المعرفة والحيازة والعوامل البيومترية لتعزيز التحقق من الهوية.
  • تعتبر الرسائل النصية القصيرة والبريد الإلكتروني من خيارات المصادقة متعددة العوامل الأساسية، لكن تطبيقات TOTP ومفاتيح FIDO ومفاتيح المرور توفر مقاومة أكبر للتصيد الاحتيالي.
  • يجب أن يوازن اختيار الطريقة بين الأمن وتجربة المستخدم وسياق المخاطر، بالاعتماد على تحليل المخاطر القائم على الأدلة وممارسات الجلسات الجيدة.
Pablo

17 دقيقة

مقارنة أساليب المصادقة متعددة العوامل

La أصبحت المصادقة متعددة العوامل مطلبًا أساسيًا في أي استراتيجية حديثة للأمن السيبراني، لم يعد استخدام كلمة مرور مقبولة كافياً: فمع حجم اختراقات البيانات، وتطور عمليات التصيد الاحتيالي، والهجمات الآلية، فإن الاعتماد فقط على "ما تعرفه" يشبه ترك باب منزلك موارباً.

وفي السنوات الأخيرة ظهرت أساليب مصادقة جديدة، وإرشادات من منظمات مثل PCI SSC والمعايير مثل FIDO2 وWebAuthn التي غيرت المشهد تمامًا. والنتيجة هي وجود العديد من الطرق المختلفة للتحقق من هوية المستخدم اليوم، بمستويات أمان وسهولة استخدام متفاوتة للغاية. لم تعد المسألة تقتصر على تفعيل المصادقة متعددة العوامل فحسب، بل اختر المزيج الصحيح من العوامل لاستخدامها وذلك بحسب المخاطر والسياق ونوع الخدمة.

أساسيات تحديد الهوية والتحقق من الهوية والتفويض

قبل مقارنة الطرق، يجدر التذكير بما يلي: إن المصادقة ليست هي نفسها تعريف الشخص لنفسه أو تخويله لنفسه.على الرغم من أن كل شيء في الواقع جزء من نفس مسار الوصول.

أولا ، التعريف هو ببساطة إسناد هوية فريدة. إلى شخص أو نظام أو حساب: اسم مستخدم، رقم موظف، شهادة، إلخ. إنه "من أنت؟" دون التحقق بعد من أنك بالفعل ذلك الشخص أو النظام أو الحساب.

La المصادقة هي عملية التحقق من صحة تلك الهوية.للقيام بذلك، يطلب منك النظام تقديم عامل أو أكثر من عوامل المصادقة التي لا ينبغي لأحد سواك معرفتها أو امتلاكها أو أن تكون أنت عليها. إذا نجح هذا التحقق، يتحقق النظام من هويتك.

وأخيرا ، فإن تحدد صلاحيات الوصول ما يمكن للمستخدم الوصول إليه فعليًا بعد المصادقة: ما هي التطبيقات التي يراها المستخدم، وما هي البيانات التي يمكنه الوصول إليها، وما إذا كان بإمكانه إدارة مستخدمين آخرين، وما إلى ذلك. ويمكن استكمال ذلك بأدوات تتيح لك معرفة من لديه حق الوصول إلى ملفاتك وبالتالي تدقيق الأذونات والمشاركة.

تُشكل الإدارة المتماسكة لهذه العناصر الثلاثة ما يُعرف باسم إدارة الهوية والوصول (IAM)وفي أطر عمل مثل PCI DSS، تتم مراجعة ذلك بدقة من حيث متطلبات التحكم في الوصول المحددة. في بيئات ويندوز، تتم إدارة ذلك عادةً باستخدام محرر نهج المجموعة.

عوامل المصادقة: شيء تعرفه، أو تملكه، أو أنت عليه

تتمحور جميع أنظمة المصادقة الحديثة حول ثلاث مجموعات رئيسية من العواملوالتي يمكن دمجها لبناء مخططات ذات عاملين أو متعددة العوامل:

من ناحية "شيء تعرفه"كلمات المرور، وأرقام التعريف الشخصية، وعبارات المرور، أو أسئلة الأمان. ميزتها الرئيسية هي سهولة استخدامها وألفة استخدامها لدى أي مستخدم، ولكنها أيضاً هدف مفضل للمهاجمين، سواء من خلال هجمات القوة الغاشمة، أو التصيد الاحتيالي، أو تسريبات قواعد البيانات، أو حشو بيانات الاعتماد.

الثانية نجد "شيء تملكه"قد يكون هذا هاتفًا محمولًا تُرسل إليه رسالة نصية قصيرة، أو تطبيقًا للتحقق من الهوية، أو بطاقة ذكية، أو رمزًا ماديًا، أو مفتاح FIDO. في هذه الحالة، سيحتاج المهاجم إلى سرقة هذا العنصر أو استنساخه لتجاوز الفلتر، مما يزيد الأمان نظريًا بشكل كبير.

الفئة الثالثة هي "شيء أنت عليه"أي أن العوامل البيومترية مثل بصمات الأصابع، والتعرف على الوجه، ومسح قزحية العين، أو حتى الخصائص السلوكية (أسلوب الكتابة، والمشية، ونبرة الصوت) تُعدّ بالغة السهولة ويصعب تزويرها، لكنها تُشكّل تحديات خطيرة تتعلق بالخصوصية والإدارة: فلا يمكنك بسهولة "تغيير بصمتك" إذا تم اختراقها.

علاوة على ذلك، أصبحت العوامل السياقية أو السلوكية ذات أهمية متزايدة، ويتم تجميعها أحيانًا على النحو التالي: "شيء تفعله" أو "شيء يحدث من حولك"الموقع، والجهاز الذي تتصل منه، والوقت المعتاد من اليوم، وعنوان IP المعروف، وما إلى ذلك. في حد ذاتها، لا تعتبر هذه العوامل عادةً عوامل "قوية"، ولكنها أساس المصادقة التكيفية القائمة على المخاطر.

كلمات المرور، وأرقام التعريف الشخصية، والمصادقة القائمة على المعرفة

الدعوة المصادقة القائمة على المعرفة (KBA) إنه النموذج التقليدي: تقوم بإدخال اسم المستخدم وكلمة المرور، أو تجيب على سؤال مثل "في أي مدينة ولدت؟". إنه رخيص التنفيذ للغاية، ومدعوم من أي منصة، والمستخدمون يعرفون بالفعل كيفية عمله.

المشكلة هي أنه في الممارسة العملية، يتم إعادة استخدام كلمات المرور على نطاق واسع غالباً ما تكون هذه الأنظمة ضعيفة بين الخدمات. وتشير دراسات عديدة إلى أن نسبة كبيرة من المستخدمين يستخدمون كلمة المرور نفسها على عشرات المواقع، لذا إذا كان موقع واحد فقط يعاني من ثغرة أمنية، فإن باقي الحسابات معرضة للخطر من خلال هجمات حشو بيانات الاعتماد.

ال إن الأسئلة الأمنية التقليدية أسوأ من ذلك.يمكن العثور على العديد من الإجابات من خلال البحث قليلاً على وسائل التواصل الاجتماعي أو في المصادر العامة، بينما يسهل تخمين بعضها الآخر. لذا، يُنصح الآن بحصرها في حالات محددة للغاية أو استبدالها بآليات استرجاع أخرى.

الكثير تُعد أرقام التعريف الشخصية (PIN) حالة خاصة مثيرة للاهتمامنظرياً، يتميز رقم التعريف الشخصي (PIN) المكون من أربعة أرقام بانخفاض مستوى العشوائية، ولا يفي بمتطلبات التعقيد التي نفرضها عادةً على كلمات المرور. مع ذلك، توضح إرشادات مجلس معايير أمان بيانات صناعة بطاقات الدفع (PCI SSC) الحديثة أنه يمكن قبول رقم التعريف الشخصي كعامل "معرفة" طالما أنه مقترن بضوابط إضافية مثل قفل الحساب بعد عدة محاولات فاشلة، وفترات انتهاء صلاحية تدريجية، وتخزين آمن.

عندما يكون ذلك غير ممكن قم بتأمين رقم التعريف الشخصي (PIN) باستخدام إجراءات مضادة للهجمات العنيفة.لذلك، يجب أن تستوفي نفس معايير كلمة المرور القوية: طول أدنى مرتفع بما فيه الكفاية، ومنع الأنماط التافهة، والسجل، وما إلى ذلك. وإلا، فإنها تصبح نقطة ضعف يسهل استغلالها.

رموز الاستخدام لمرة واحدة: الرسائل النصية القصيرة، والبريد الإلكتروني، والقوائم المُعدة مسبقًا

لا تزال إحدى أكثر طرق تقييم الأداء الوظيفي شيوعًا هي استخدام رموز لمرة واحدة (OTP) يتم إرسالها عبر قنوات مختلفة أو طباعتها مسبقًا. هذا عامل ثانٍ سهل الفهم بالنسبة للمستخدم، وتوفره العديد من الخدمات بشكل افتراضي.

في حالة رمز التحقق لمرة واحدة عبر رسالة نصية قصيرة أو مكالمة صوتيةالعملية بسيطة: بعد إدخال اسم المستخدم وكلمة المرور، يرسل النظام رمزًا مكونًا من عدة أرقام إلى الرقم المسجل. يُدخل المستخدم الرمز، وإذا تطابق، يُمنح الوصول. باختصار، يتحقق النظام من أنك ما زلت تتحكم في رقم الهاتف هذا.

يمكننا أن نجد أيضًا يتم إرسال رمز التحقق لمرة واحدة عبر البريد الإلكترونيهذا الأمر أقل شيوعًا ولكنه لا يزال قائمًا. الخطر هنا واضح: إذا كانت كلمة مرور بريدك الإلكتروني هي نفسها كلمة مرور الحساب الذي تحاول حمايته، فإن الحماية الإضافية تتلاشى لأن المهاجم يستطيع الوصول إلى صندوق بريدك الوارد أولًا وقراءة الشفرة بسهولة.

أما النهج الأكثر كلاسيكية فهو نهج... قوائم الرموز المولدة مسبقًاتُقدّم بعض البنوك هذه الرموز مطبوعةً، أو يُمكن تحميلها من خلال خدمات مُحدّدة (مثل المنصات الإلكترونية الكبيرة) لاستعادة الحساب. يُستخدم كل رمز مرة واحدة فقط، ويجب استخدام رمز مختلف من القائمة في المحاولات اللاحقة.

تتمتع هذه القوائم بحماية كبيرة ضد هجمات الاعتراض لأن يتم إنشاؤها وتسليمها في أوقات محددة للغاية.النقطة الحاسمة هي التخزين: إذا احتفظت بالورقة في درج غير مقفل أو التقطت صورة وتركتها في المعرض غير مشفرة، فإن أي شخص لديه إمكانية الوصول المادي إلى أغراضك يمكنه اختطاف حساباتك أو أموالك.

لإدارة هذه القوائم بفعالية، يُنصح بما يلي: قم بتخزينها في مكان مادي آمن أو في حاوية رقمية مشفرةمثل الملاحظات الآمنة في مدير كلمات المرور. ومع ذلك، فإنها تعاني من مشكلة واضحة في قابلية التوسع: فإذا أجريتَ العديد من المعاملات أو كان لديك العديد من الحسابات، فإنها تنفد بسرعة ويصبح من الصعب إدارتها، لذلك يتم استخدامها بشكل متزايد كآلية طوارئ بدلاً من كونها طريقة أساسية.

تطبيقات المصادقة و TOTP

تتفق أحدث الإرشادات والتجارب العملية على أن تطبيقات المصادقة القائمة على الوقت (TOTP) إنها توفر توازناً جيداً جداً بين السلامة والراحة، ولهذا السبب يُنصح بها كخيار "افتراضي" كلما أمكن ذلك.

المبدأ بسيط: أثناء تصريف العامل الثاني، تتشارك الخدمة وتطبيق المصادقة الخاص بك مفتاحًا سريًا (عادةً عن طريق مسح رمز الاستجابة السريعة). ومن ثم، يقوم كل من التطبيق والخادم بإنشاء نفس الرمز المكون من 6 أو 8 أرقام كل 30 ثانية دون الحاجة إلى اتصال، وذلك بفضل خوارزمية قياسية.

أدوات مثل تطبيق Google Authenticator، أو تطبيق Microsoft Authenticator، أو تطبيق Authy، أو تطبيق Aegis، أو تطبيق Duo Mobile تتيح لك هذه الخدمات تسجيل حسابات متعددة والاحتفاظ بجميع رموزك مركزياً. تتضمن بعضها نسخاً احتياطية مشفرة على السحابة أو مزامنة عبر الأجهزة، وهو أمر عملي للغاية، ولكن يجب ضبطه بعناية لتجنب أي مخاطر جديدة.

هناك أيضا برامج إدارة كلمات المرور التي تدعم TOTP (مثل 1Password وBitwarden وDashlane وغيرها). في هذه الحالات، يقوم المنتج نفسه بتخزين كلمة المرور وإنشاء رمز مؤقت، مما يجعل تسجيل الدخول في غاية السهولة. مع ذلك، من وجهة نظر أمنية بحتة، تفقد بعض الاستقلالية بين العوامل، حيث يعتمد كلاهما على نقطة فشل واحدة.

على أي حال، بالمقارنة مع الرسائل النصية القصيرة أو البريد الإلكتروني، تتمتع رموز التحقق عبر الهاتف بمزايا واضحة: إنها لا تعتمد على شبكة الهاتف المحمول أو المشغل.إنها أقل عرضة لهجمات تبديل شريحة SIM، وتعمل بدون تغطية، ولا تكشف عن التعليمات البرمجية على قنوات يسهل اعتراضها.

القياسات الحيوية: بصمة الإصبع، والوجه، والصوت، وغيرها من السمات

La لم يعد التحقق البيومتري ضرباً من الخيال العلمي لتصبح جزءًا من الحياة اليومية: تتيح لك جميع الهواتف الذكية الحالية تقريبًا فتحها ببصمة الإصبع أو الوجه، كما أن العديد من أجهزة الكمبيوتر المحمولة تتضمن قارئات بصمات الأصابع أو كاميرات متوافقة مع التعرف الآمن على الوجه.

تعتمد القياسات الحيوية على الخصائص الجسدية أو السلوكية التي يصعب تكرارهابصمات الأصابع، وملامح الوجه، وقزحية العين، والصوت، وديناميكيات الكتابة، والمشية، وما إلى ذلك. من وجهة نظر المستخدم، فهو مريح للغاية لأنه يتجنب الحاجة إلى تذكر أي شيء ويقلل من الاحتكاك في الوصول.

لكن ثمة فروق دقيقة مهمة. أولها أن البيانات البيومترية حساسة بطبيعتهالا يمكنك "إلغاء" صورتك أو بصمات أصابعك إذا تم اختراقها، وهي لا تُستخدم فقط للتحقق من الهوية، بل أيضاً للتحقق من الهوية القانونية. وهذا يعني أن التقاطها وتخزينها ومعالجتها يجب أن يتم بمستوى عالٍ جداً من الحماية.

ولهذا السبب، فإن معظم التصاميم المعمارية الحديثة تحد من استخدام القياسات الحيوية إلى عمليات المصادقة المحلية على الجهاز نفسهعلى سبيل المثال، عند استخدام ميزة التعرف على الوجه أو قارئ بصمات الأصابع، تُخزَّن البيانات وتُعالَج في بيئة آمنة على الهاتف، ولا تُرسَل إلى خدمة خارجية. ما يُرسَل هو ردّ "نعم" أو "لا" من نظام التشغيل، يُشير إلى أن المستخدم المُصرَّح له قد فتح قفل الجهاز.

في حالة المصادقة البيومترية عن بُعد البحتة، فإن الخدمة التي تتلقى تلك البيانات يجب أن يثق ضمنيًا بالشركة المصنعة للجهاز أو مزود النظامهذا أمرٌ لا ترغب فيه سوى قلة من المؤسسات، باستثناء تلك الموجودة في بيئات مغلقة للغاية. ومن أبرز الأمثلة على ذلك شركة آبل، التي تتمتع بتحكم كامل في الأجهزة والبرامج، وتوفر آليات مثل تقنية التعرف على الوجه (Face ID) المدمجة مع مفاتيح الوصول.

على الرغم من وجود عيوب، فإن القياسات الحيوية تقدم إحدى المزايا الرئيسية: أنها تقلل الاحتكاك بشكل كبيرإن المستخدم الذي يفتح هاتفه المحمول بإصبعه أو وجهه مئات المرات في اليوم يكون أكثر استعدادًا لقبول المصادقة متعددة العوامل إذا كان ذلك هو "الإزعاج" الإضافي الذي يتعين عليه تحمله، بدلاً من كتابة كلمات مرور طويلة جدًا في كل مرة يقوم فيها بالوصول إليه.

المصادقة القائمة على الموقع والسياق والمخاطر (RBA)

بالإضافة إلى العوامل الكلاسيكية، تطبق العديد من الأنظمة الحديثة المصادقة القائمة على المخاطر (RBA)تعديل المتطلبات بشكل ديناميكي بناءً على ما يلاحظونه في الوقت الفعلي.

باختصار، يقوم النظام بتحليل المتغيرات السياقية مثل الموقع، والجهاز، وعنوان IP، ووقت اليوم، أو نمط الاستخدامإذا حاول شخص ما تسجيل الدخول من جهاز الكمبيوتر المحمول المعتاد الخاص به، وفي وقته المعتاد، ومن شبكة المكتب، فإن المخاطر تعتبر منخفضة، وقد لا يُطلب منه أي شيء إضافي بخلاف كلمة المرور أو جلسة تسجيل الدخول الموحد.

لكن إذا كان تسجيل الدخول من بلد آخر، أو في وقت غير معتاد، أو من جهاز غير معروفيمكن لمحرك المخاطر رفع مستوى المتطلبات ويتطلب عاملاً إضافياً ثانياً، مثل رمز التحقق لمرة واحدة، أو الموافقة على التطبيق، أو الفحص البيومتري.

يتميز هذا النهج بميزة كبيرة تتمثل في الموازنة بين الأمن وسهولة الاستخداملا يُحمّل النظام المستخدم خطوات غير ضرورية عندما يبدو كل شيء على ما يرام، ولكنه يُفعّل إجراءات الحماية عند وجود أي خلل. بالنسبة للبنوك، والمنصات الإلكترونية الكبيرة، والشركات التي تضم آلاف الموظفين، يُعدّ هذا النظام معيارًا أساسيًا.

عيبه الرئيسي هو أن ليس من السهل تصميمه أو تعديلهإذا لم تُعاير عتبات المخاطر بشكل صحيح، فقد ينتهي بك الأمر إلى طلب المصادقة متعددة العوامل باستمرار من المستخدمين الشرعيين، أو على النقيض من ذلك، التغاضي عن السلوك المشبوه. وهنا، تلعب التحليلات المتقدمة، والذكاء الاصطناعي بشكل متزايد، دورًا رئيسيًا في اكتشاف الحالات الشاذة والأنماط غير المعتادة.

المصادقة متعددة العوامل: المصادقة متعددة العوامل مقابل المصادقة متعددة الخطوات

عندما نجمع عاملين مختلفين أو أكثر، فإننا نتحدث عن المصادقة متعددة العوامل (MFA)الفكرة هي أنه حتى لو تمكن المهاجم من اختراق أحد العوامل (على سبيل المثال، كلمة المرور)، فسيظل عليه التغلب على مرشح مستقل ثان (مثل رمز التحقق لمرة واحدة أو مفتاح مادي).

من منظور الامتثال، تربط أطر عمل مثل PCI DSS مفهوم المصادقة متعددة العوامل بمتطلبات محددة للغاية: الوصول عن بعد الوصول إلى الشبكات الداخلية، وبيئات بيانات البطاقات، والحسابات ذات الامتيازات المرتفعةإلخ. في هذه الحالات، لم يعد الاعتماد على اسم المستخدم وكلمة المرور فقط مقبولاً.

لسنوات طويلة، كان هناك قدر كبير من الالتباس حول الفرق بين المصادقة متعددة الخطوات والمصادقة متعددة العوامل المتوافقة مع معايير PCIكانت الإرشادات القديمة تتطلب تقييم جميع العوامل دون أن يتلقى المستخدم ملاحظات جزئية، أي عدم إخباره ما إذا كانت كلمة المرور صحيحة قبل طلب العامل الثاني.

توضح أحدث إصدارات الدليل المعايير التالية: من المقبول الإشارة إلى نجاح أحد العوامل قبل طلب العامل التالي.بشرط عدم منح الوصول إلا بعد التحقق من هوية جميع المستخدمين بنجاح. وهذا يعني أن إجراءات مثل "كلمة المرور أولاً، ثم رمز التحقق لمرة واحدة" متوافقة مع المعايير، حتى لو تم التأكد من صحة كلمة مرور المستخدم.

ومع ذلك، يبقى الأمر كما هو من الممارسات الجيدة تقليل تلك الملاحظات التفصيلية: إما عدم الكشف عن صحة أي عامل حتى يتم تقديم جميع العوامل، أو المصادقة أولاً باستخدام عامل جلسة لمرة واحدة (OTP، مفتاح مقاوم للتصيد الاحتيالي) قبل التحقق من صحة العوامل الثابتة الأخرى مثل كلمة المرور.

مفاتيح ومفاتيح مرور FIDO U2F / FIDO2

في مواجهة مشاكل التصيد الاحتيالي وهجمات "الرجل في المنتصف" التي تستخدمها العديد من الأساليب التقليدية، ظهرت حلول مثل ما يلي: مفاتيح أمان FIDO U2F/FIDO2وقد شاع استخدامها من خلال أجهزة مثل YubiKey و Google Titan أو نماذج من Feitian و SoloKeys.

تُطبّق هذه المفاتيح التشفير بالمفتاح العام، وأثناء التسجيل، يقومون بإنشاء مفتاح فريد مرتبط بكل خدمةعند إعادة المصادقة، يرسل الخادم تحديًا لا يُوقّع عليه المفتاح إلا إذا تطابق النطاق والسياق مع البيانات المسجلة. إذا حاول أحدهم خداعك بموقع ويب مزيف، يكتشف المفتاح أنه ليس الموقع الشرعي ولا يُوقّع أي شيء. تستخدم العديد من المنصات هذه الآلية. TPM 2.0 لحماية المفاتيح المرتبطة بالجهاز.

وبالتالي، فإن هذا النوع من المصادقة لا يتحقق من المستخدم فحسب، بل كما أنه يتحقق من الخدمة نفسها.توفر هذه الأنظمة مقاومة عالية جدًا ضد هجمات التصيد الاحتيالي، وإعادة الإرسال، وهجمات إعادة التوجيه. ولذلك، تعتبرها العديد من المؤسسات المعيار الذهبي لحماية الحسابات الحساسة، وبيانات اعتماد المسؤولين، والوصول إلى البريد الإلكتروني للشركة.

من وجهة نظر المستخدم، فإن العملية بسيطة بشكل مدهش: قم بتوصيل المفتاح بمنفذ USB أو قم بتقريبه عبر تقنية NFC. ما عليك سوى النقر على مستشعر اللمس في هاتفك، وانتهى الأمر. صحيح أن هناك تشفيرًا معقدًا وراء هذه العملية، لكن هذه الإيماءة أسهل من كتابة رمز التحقق لمرة واحدة.

وعلى نفس هذا الأساس، قام تحالف FIDO بالترويج لـ مفاتيح الوصول أو مفاتيح المرورتتجاوز هذه التقنية الفكرة خطوة أخرى من خلال استبدال كلمات المرور مباشرةً. يتم تخزين المفتاح الخاص على الجهاز (أو تشفيره ومزامنته عبر سحابة مزود الخدمة)، ويقوم المستخدم بالتحقق من هويته عن طريق فتح الجهاز باستخدام القياسات الحيوية أو رمز PIN.

تظل مفاتيح المرور متعددة العوامل بحكم تصميمها، لأنها تجمع بين شيء تملكه (الجهاز) مقترن بشيء أنت عليه أو تعرفه (البيانات البيومترية أو رقم التعريف الشخصي)لكنها تلغي كلمة المرور التقليدية من المعادلة. وبدأت المزيد من الخدمات الرئيسية في تقديمها، على الرغم من أن النظام البيئي لا يزال مجزأً إلى حد ما، وتطبق كل منصة تفاصيل مختلفة.

تسجيل الدخول الموحد، والمصادقة القائمة على الرموز، والشهادات الرقمية

في بيئات الشركات، من الشائع الجمع بين هذه العوامل وآليات مثل الدخول الموحد (SSO)مما يسمح لك بتسجيل الدخول مرة واحدة باستخدام موفر هوية موثوق به (مثل Azure AD أو Okta أو Google Workspace) والوصول إلى تطبيقات متعددة دون تكرار بيانات الاعتماد باستمرار.

في هذه المخططات، يقوم موفر الهوية بإصدار الرموز الأمنية (مثل JWT) بعد المصادقة الأولية القوية (ويفضل أن تكون باستخدام المصادقة متعددة العوامل)، يتم تقديم هذه الرموز إلى التطبيقات المتكاملة لإثبات هويتك دون الحاجة إلى إعادة إدخال كلمة المرور الخاصة بك في كل خطوة.

يقلل نظام المصادقة القائم على الرموز من الحمل على الخوادم و يُسهّل استخدام البنى عديمة الحالة يُستخدم على نطاق واسع في واجهات برمجة التطبيقات والتطبيقات الحديثة. ومع ذلك، يجب تصميم إدارة انتهاء صلاحية الرموز وتجديدها وإلغائها بشكل دقيق للغاية لمنع تحويل الرمز المسروق إلى تصريح غير محدود الاستخدام.

وهناك طريقة أخرى فعالة للغاية، خاصة للشبكات الداخلية والوصول إلى الشبكات الافتراضية الخاصة (VPN)، وهي: المصادقة القائمة على الشهادات الرقميةبدلاً من كلمة المرور، يقدم المستخدم شهادة صادرة عن جهة إصدار شهادات مؤسسية، ويقوم الخادم بالتحقق من صحتها باستخدام التشفير.

هذا النهج قوي للغاية ضد العديد من الهجمات الشائعة، ولكنه ينطوي على الحفاظ على بنية تحتية للمفاتيح العامة (PKI) ذات إدارة جيدةإصدار وتجديد وإلغاء وسياسات الاستخدام وإدارة الأجهزة وما إلى ذلك. ولهذا السبب عادة ما يتم تخصيصها للبيئات عالية الأمان حيث يكون الجهد المبذول جديرًا بالاهتمام.

إدارة الجلسات وانعدام الثقة

بمجرد اكتمال عملية المصادقة الأولية، تقوم جميع الأنظمة تقريبًا بإنشاء جلسة تمثل علاقة الثقة بين المستخدم والخدمة. بدلاً من طلب المصادقة متعددة العوامل في كل نقرة - وهو أمر غير عملي - يتم إعادة استخدام تلك الجلسة لتفويض الطلبات اللاحقة.

وهذا يدفع العديد من المهاجمين إلى التركيز على سرقة أو اختطاف الجلسات النشطة من خلال ملفات تعريف الارتباط أو الرموز المميزة أو آليات مشابهة، بدلاً من محاولة تجاوز المصادقة متعددة العوامل مباشرةً. لهذا السبب، من المهم جدًا استكمال المصادقة متعددة العوامل بممارسات جيدة لإدارة الجلسات.

من بين التوصيات المعتادة نجد ربط الجلسات بمستخدمين وأجهزة محددة لمنع إعادة الاستخدام من أجهزة مختلفة، قم بتطبيق مهلات زمنية معقولة للخمول، وافرض إعادة المصادقة متعددة العوامل في العمليات الحساسة بشكل خاص، واستخدم دائمًا قنوات مشفرة مثل TLS.

تتناسب جميع هذه العناصر بشكل جيد للغاية مع نهج هندسة الثقة الصفرية (ZTA)حيث لا يُفترض وجود ثقة ضمنية لمجرد التواجد "داخل" شبكة الشركة. يتم تقييم كل طلب ذي صلة بناءً على السياق وحالة الجهاز والهوية، مما يقلل من تأثير أي جلسة قد تكون مخترقة.

مقارنة عملية لأساليب تحليل العوامل المتعددة والتوصيات

مع وضع كل ما سبق في الاعتبار، فمن المعقول أن نسأل ما هي أفضل طرق المصادقة متعددة العوامل؟ وكيفية اختيار التركيبة المناسبة لكل حالة استخدام دون إزعاج المستخدم.

إذا رتبنا العوامل من الأضعف إلى الأقوى، فيمكننا وضعها في الأسفل. الرسائل النصية القصيرة والبريد الإلكتروني وأسئلة الأمانإنها تستوفي الشرط الرسمي المتمثل في "شيء تملكه/تعرفه"، ولكنها عرضة بشكل كبير لتبديل شريحة SIM، وإعادة التوجيه، والتصيد الاحتيالي، وإعادة استخدام كلمات المرور.

أما على المستوى المتوسط، تطبيقات TOTP، والرموز المادية البسيطة، وبعض الطرق البيومترية إنها مطبقة بشكل جيد، وتوفر توازناً جيداً بين الأمان وسهولة الاستخدام، وهي التوصية القياسية لحماية معظم الحسابات الشخصية والعديد من حسابات الشركات.

في الأعلى نجد مفاتيح FIDO U2F/FIDO2 ومفاتيح المرور المقاومة للتصيد الاحتياليتجمع هذه الأساليب بين التشفير القوي، وربط النطاقات، والمصادقة المرتبطة بالأجهزة. وهي الأسلوب المفضل للحسابات ذات القيمة العالية - مثل الحسابات المالية، وإدارة الأنظمة، والوصول إلى لوحات المعلومات الحساسة.

من هذه النقطة فصاعدًا، ينبغي مراعاة اختيار شركة معينة ما نوع البيانات التي يحميها، وما مستوى الصعوبة التي يمكن لمستخدميه تحملها، وما هي ميزانيته؟ لنشر البنية التحتية وصيانتها. ينتهي المطاف بمعظم المؤسسات إلى الجمع بين عدة مناهج: المصادقة متعددة العوامل القوية للوصول الحساس، وتسجيل الدخول الموحد للراحة اليومية، والمصادقة القائمة على الأدوار لتحقيق التوازن بين الأمان وتجربة المستخدم.

في أي سيناريو، توجد نقاط إجماع واضحة: قم بتفعيل المصادقة متعددة العوامل كلما أمكن ذلك، وأعطِ الأولوية للأساليب المقاومة للتصيد الاحتيالي. عندما يكون الخطر مبرراً، يجب حماية استرداد الحسابات بشكل جيد للغاية، على سبيل المثال. استعادة الوصول إلى نظام التشغيل ويندوزوتدريب المستخدمين على فهم سبب مطالبتهم بتلك "الخطوة الثانية" وكيفية اكتشاف محاولات الاحتيال.

في بيئة تشكل فيها سرقة الهوية نسبة كبيرة من الحوادث، فإن تعزيز المصادقة بالأساليب المناسبة يسمح يقلل بشكل كبير من فرص اختراق الحساب دون التضحية بتجربة مستخدم معقولة، وقد أصبح مطلباً أساسياً لكل من المستخدمين الأفراد وأي منظمة ترغب في أخذ الأمن على محمل الجد ولو بشكل بسيط.

دليل المبتدئين لسياسة إحضار جهازك الخاص (BYOD): ما هي وكيفية تطبيقها في الشركات التي تعمل بنظام ويندوز
المادة ذات الصلة:
دليل المبتدئين لسياسة إحضار الأجهزة الشخصية: كيفية تطبيقها في الشركات التي تعمل بنظام ويندوز