بسم الله الرحمن الرحيم
الصلاة والسلام على اشرف المرسلين صلى الله عليه وسلم
السلام عليكم ورحمة الله
ماهو المصادقة الثنائية (2FA)
المصادقة الثنائية (2FA) ، التي يشار إليها أحيانًا بالتحقق من خطوتين أو المصادقة ثنائية العامل ، هي عملية أمان يوفر فيها المستخدمون عاملي مصادقة مختلفين للتحقق من أنفسهم. تتم هذه العملية لتوفير حماية أفضل لكل من بيانات اعتماد المستخدم والموارد التي يمكن للمستخدم الوصول إليها. توفر المصادقة الثنائية مستوى أعلى من الأمان مقارنة بأساليب المصادقة التي تعتمد على المصادقة أحادية العامل ( SFA ) ، حيث يوفر المستخدم عاملًا واحدًا فقط - عادةً ، كلمة مرور أو رمز مرور. تعتمد أساليب المصادقة ذات العاملين على توفير المستخدم لكلمة مرور ، بالإضافة إلى عامل ثانٍ ، عادةً ما يكون إما رمز أمان أو مقياس حيوي عامل مثل بصمة الإصبع أو مسح الوجه.
تضيف المصادقة ذات العاملين طبقة إضافية من الأمان إلى عملية المصادقة من خلال جعل من الصعب على المهاجمين الوصول إلى أجهزة الشخص أو الحسابات عبر الإنترنت لأن معرفة كلمة مرور الضحية وحدها لا يكفي لاجتياز فحص المصادقة. لطالما استخدمت المصادقة ذات العاملين للتحكم في الوصول إلى الأنظمة والبيانات الحساسة ، ويستخدم مقدمو الخدمات عبر الإنترنت المصادقة الثنائية بشكل متزايد لحماية بيانات اعتماد المستخدمين من استخدامها من قبل المتسللين الذين سرقوا قاعدة بيانات كلمات المرور أو استخدموا حملات التصيد للحصول على كلمات مرور المستخدم .
ما هي عوامل المصادقة؟
هناك عدة طرق مختلفة يمكن من خلالها مصادقة شخص ما باستخدام أكثر من طريقة مصادقة واحدة. تعتمد معظم طرق المصادقة حاليًا على عوامل المعرفة ، مثل كلمة المرور التقليدية ، بينما تضيف أساليب المصادقة ثنائية العاملين إما عامل ملكية أو عامل وراثة.
تتضمن عوامل المصادقة ، المدرجة بترتيب تقريبي للاعتماد للحوسبة ، ما يلي:
عامل المعرفة A هو شيء يعرف المستخدم، مثل كلمة السر، وPIN (رقم التعريف الشخصي) أو أي نوع آخر من السر المشترك .
عامل حيازة A شيء للمستخدم، مثل بطاقة الهوية، ورمز الأمان، والهاتف المحمول، وجهاز محمول أو التطبيق الذكي، للموافقة على طلبات المصادقة.
و عامل ملازمة ، أكثر شيوعا يسمى ل عامل البيومترية ، هو شيء متأصل في النفس الجسدي المستخدم. قد تكون هذه سمات شخصية يتم تعيينها من الخصائص المادية ، مثل بصمات الأصابع المصادق عليها من خلال قارئ بصمات الأصابع. تشمل عوامل الوراثة الأخرى الشائعة الاستخدام التعرف على الوجه والصوت. وهي تشمل أيضًا القياسات الحيوية السلوكية ، مثل ديناميكيات ضغط المفاتيح أو أنماط المشي أو الكلام.
و عامل المكان ، يرمز عادة من قبل الموقع الذي تبذل محاولة التوثيق، ويمكن تنفيذها عن طريق الحد من محاولات المصادقة على أجهزة معينة في مكان معين أو، وهو الأكثر شيوعا، من خلال تتبع مصدر الجغرافي لمحاولة المصادقة استنادا إلى مصدر عنوان بروتوكول الإنترنت (IP) أو بعض معلومات تحديد الموقع الجغرافي الأخرى ، مثل نظام تحديد المواقع العالمي ( GPS ) ، المشتقة من الهاتف المحمول للمستخدم أو أي جهاز آخر.
ب الوقت عامل التوثيق يقيد المستخدم إلى نافذة محددة الوقت الذي قطع الأشجار على مسموح ويقيد الوصول إلى خارج نظام هذا الإطار.
وتجدر الإشارة إلى أن الغالبية العظمى من أساليب المصادقة ثنائية العاملين تعتمد على عوامل المصادقة الثلاثة الأولى ، على الرغم من أن الأنظمة التي تتطلب قدرًا أكبر من الأمان قد تستخدمها لتنفيذ المصادقة متعددة العوامل ( MFA ) ، والتي يمكن أن تعتمد على اثنين أو أكثر من بيانات الاعتماد المستقلة لمزيد من الأمان المصادقة.
كيف تعمل المصادقة الثنائية؟
إليك كيفية عمل المصادقة الثنائية:
يُطلب من المستخدم تسجيل الدخول عن طريق التطبيق أو موقع الويب.
يقوم المستخدم بإدخال ما يعرفه - عادة ، اسم المستخدم وكلمة المرور. ثم يعثر خادم الموقع على تطابق ويتعرف على المستخدم.
بالنسبة للعمليات التي لا تتطلب كلمات مرور ، ينشئ موقع الويب مفتاح أمان فريدًا للمستخدم. تعالج أداة المصادقة المفتاح ، ويتحقق خادم الموقع من صحته.
ثم يطلب الموقع من المستخدم بدء الخطوة الثانية لتسجيل الدخول. على الرغم من أن هذه الخطوة يمكن أن تتخذ عددًا من الأشكال ، إلا أنه يتعين على المستخدمين إثبات أن لديهم شيئًا ما لديهم فقط ، مثل رمز الأمان أو بطاقة الهوية أو الهاتف الذكي أو أي جهاز محمول آخر. هذا هو عامل الحيازة.
بعد ذلك ، يُدخل المستخدم رمزًا لمرة واحدة تم إنشاؤه أثناء الخطوة الرابعة.
بعد تقديم كلا العاملين ، تتم مصادقة المستخدم ومنحه حق الوصول إلى التطبيق أو موقع الويب.
عناصر المصادقة ذات العاملين
المصادقة الثنائية هي شكل من أشكال أسلوب العائالت المتعددة MFA. من الناحية الفنية ، يتم استخدامه في أي وقت يتطلب عاملا مصادقة للوصول إلى نظام أو خدمة. ومع ذلك ، فإن استخدام عاملين من نفس الفئة لا يشكل 2FA ؛ على سبيل المثال ، لا يزال طلب كلمة مرور وسر مشترك يعتبر SFA لأن كلاهما ينتميان إلى نفس نوع عامل المصادقة: المعرفة.
توثيق ذو عاملين
بقدر ما تذهب خدمات SFA ، فإن معرف المستخدم وكلمة المرور ليسا الأكثر أمانًا. تتمثل إحدى مشكلات المصادقة المستندة إلى كلمة المرور في أنها تتطلب المعرفة والاجتهاد لإنشاء كلمات مرور قوية وتذكرها. تتطلب كلمات المرور الحماية من العديد من التهديدات الداخلية ، مثل الملاحظات اللاصقة المخزنة بلا مبالاة مع بيانات اعتماد تسجيل الدخول ومحركات الأقراص الثابتة القديمة ومآثر الهندسة الاجتماعية. تعد كلمات المرور أيضًا فريسة للتهديدات الخارجية ، مثل المتسللين الذين يستخدمون القوة .
نظرًا للوقت والموارد الكافية ، يمكن للمهاجم عادةً اختراق أنظمة الأمان المستندة إلى كلمة المرور وسرقة بيانات الشركة ، بما في ذلك المعلومات الشخصية للمستخدمين. ظلت كلمات المرور هي الشكل الأكثر شيوعًا لـ SFA نظرًا لتكلفتها المنخفضة وسهولة تنفيذها ومعرفتها. يمكن أن توفر أسئلة الاستجابات والتحديات المتعددة مزيدًا من الأمان ، اعتمادًا على كيفية تنفيذها ، ويمكن أيضًا أن توفر طرق التحقق البيومترية المستقلة طريقة أكثر أمانًا لـ SFA.
أنواع منتجات المصادقة الثنائية
هناك العديد من الأجهزة والخدمات المختلفة لتنفيذ المصادقة الثنائية - من الرموز المميزة إلى بطاقات تحديد التردد اللاسلكي ( RFID ) إلى تطبيقات الهواتف الذكية.
يمكن تقسيم منتجات المصادقة ذات العاملين إلى فئتين: الرموز المميزة التي يتم منحها للمستخدمين لاستخدامها عند تسجيل الدخول والبنية التحتية أو البرامج التي تتعرف على وصول المستخدمين الذين يستخدمون الرموز المميزة الخاصة بهم ويصادق عليها.
قد تكون رموز المصادقة عبارة عن أجهزة مادية ، مثل سلاسل المفاتيح أو البطاقات الذكية ، أو قد تكون موجودة في البرامج مثل تطبيقات الهاتف المحمول أو سطح المكتب التي تنشئ رموز PIN للمصادقة. عادةً ما يتم إنشاء رموز المصادقة هذه ، المعروفة أيضًا باسم كلمات المرور لمرة واحدة ( OTPs ) ، بواسطة خادم ويمكن التعرف عليها على أنها أصلية بواسطة جهاز أو تطبيق مصادقة. رمز المصادقة عبارة عن تسلسل قصير مرتبط بجهاز أو مستخدم أو حساب معين ويمكن استخدامه مرة واحدة كجزء من عملية المصادقة.
تحتاج المؤسسات إلى نشر نظام لقبول ومعالجة والسماح - أو رفض - الوصول للمستخدمين الذين يقومون بالمصادقة باستخدام الرموز المميزة الخاصة بهم. قد يتم نشر هذا في شكل برنامج خادم أو خادم أجهزة مخصص أو يتم توفيره كخدمة بواسطة بائع تابع لجهة خارجية.
يتمثل أحد الجوانب المهمة في المصادقة الثنائية في ضمان منح المستخدم المصادق عليه الوصول إلى جميع الموارد التي تمت الموافقة على المستخدم - وهذه الموارد فقط. نتيجة لذلك ، تتمثل إحدى الوظائف الرئيسية للمصادقة 2FA في ربط نظام المصادقة ببيانات المصادقة الخاصة بالمؤسسة. توفر Microsoft بعض البنية التحتية اللازمة للمؤسسات لدعم 2FA في Windows 10 من خلال Windows Hello ، والتي يمكنها العمل مع حسابات Microsoft ، بالإضافة إلى مصادقة المستخدمين من خلال Microsoft Active Directory أو Azure AD أو Fast IDentity Online ( FIDO 2.0 ).
كيف تعمل الرموز المميزة لأجهزة 2FA
تتوفر الرموز المميزة للأجهزة لـ 2FA لدعم الأساليب المختلفة للمصادقة. أحد الرموز المميزة الشائعة للأجهزة هو YubiKey ، وهو جهاز ناقل تسلسلي عالمي صغير (USB) يدعم OTPs ، وتشفير المفتاح العام والمصادقة ، وبروتوكول العامل الثاني العالمي (U2F) الذي طوره تحالف FIDO. يتم بيع رموز YubiKey من قبل شركة Yubico Inc. ، ومقرها ، كاليفورنيا.
عندما يقوم المستخدمون الذين لديهم YubiKey بتسجيل الدخول إلى خدمة عبر الإنترنت تدعم OTPs - مثل Gmail أو GitHub أو WordPress - يقومون بإدخال مفتاح YubiKey الخاص بهم في منفذ USB الخاص بأجهزتهم ، وإدخال كلمة المرور الخاصة بهم ، والنقر فوق حقل YubiKey ولمس YubiKey زر. ينشئ مفتاح YubiKey كلمة مرور OTP ويدخلها في الحقل.
كلمة المرور لمرة واحدة هي كلمة مرور مكونة من 44 حرفًا تستخدم مرة واحدة ؛ أول 12 حرفًا هي معرّف فريد يعرّف مفتاح الأمان المسجل في الحساب. تحتوي الأحرف الـ 32 المتبقية على معلومات مشفرة باستخدام مفتاح معروف فقط للجهاز وخوادم Yubico ، تم إنشاؤه أثناء التسجيل الأولي للحساب.
يتم إرسال OTP من الخدمة عبر الإنترنت إلى Yubico للتحقق من المصادقة. بمجرد التحقق من صحة كلمة المرور لمرة واحدة ، يرسل خادم مصادقة Yubico رسالة تؤكد أن هذا هو الرمز المميز الصحيح لهذا المستخدم. 2FA كاملة. قدم المستخدم عاملين للمصادقة: كلمة المرور هي عامل المعرفة ، ومفتاح Yubi هو عامل الحيازة.
المصادقة ذات العاملين لمصادقة الجهاز المحمول
توفر الهواتف الذكية مجموعة متنوعة من الاحتمالات لـ 2FA ، مما يتيح للشركات استخدام أفضل ما يناسبها. بعض الأجهزة قادرة على التعرف على بصمات الأصابع ، ويمكن استخدام كاميرا مدمجة للتعرف على الوجه أو مسح قزحية العين ، ويمكن استخدام الميكروفون للتعرف على الصوت. يمكن للهواتف الذكية المزودة بنظام تحديد المواقع العالمي (GPS) التحقق من الموقع كعامل إضافي. يمكن أيضًا استخدام خدمة الرسائل الصوتية أو القصيرة (SMS) كقناة للمصادقة خارج النطاق .
يمكن استخدام رقم هاتف موثوق به لتلقي رموز التحقق عبر رسالة نصية أو مكالمة هاتفية آلية. يجب على المستخدم التحقق من رقم هاتف موثوق به واحد على الأقل للتسجيل في 2FA.
تحتوي كل من Apple iOS و Google Android و Windows 10 على تطبيقات تدعم 2FA ، مما يمكّن الهاتف نفسه من العمل كجهاز مادي لتلبية عامل الحيازة. Duo Security ، التي يقع مقرها في آن أربور بولاية ميشيغان ، والتي اشترتها شركة Cisco في عام 2018 مقابل 2.35 مليار دولار ، هي بائع منصة 2FA يتيح منتجها للعملاء استخدام أجهزتهم الموثوقة من أجل 2FA. تثبت منصة Duo أولاً أن المستخدم موثوق به قبل التحقق من إمكانية الوثوق بالجهاز المحمول أيضًا لمصادقة المستخدم.
تحل تطبيقات المصادقة محل الحاجة إلى الحصول على رمز التحقق عبر رسالة نصية أو مكالمة صوتية أو بريد إلكتروني. على سبيل المثال ، للوصول إلى موقع ويب أو خدمة مستندة إلى الويب تدعم Google Authenticator ، يقوم المستخدمون بكتابة اسم المستخدم وكلمة المرور - عامل المعرفة. ثم يُطلب من المستخدمين إدخال رقم مكون من ستة أرقام. بدلاً من الاضطرار إلى الانتظار بضع ثوانٍ لتلقي رسالة نصية ، ينشئ المصدق الرقم لهم. تتغير هذه الأرقام كل 30 ثانية وتختلف لكل تسجيل دخول. بإدخال الرقم الصحيح ، يكمل المستخدمون عملية التحقق ويثبتوا امتلاك الجهاز الصحيح - عامل ملكية.
تقدم هذه المنتجات وغيرها من منتجات المصادقة الثنائية (2FA) معلومات عن الحد الأدنى من متطلبات النظام اللازمة لتنفيذ المصادقة الثنائية (2FA).
هل المصادقة ذات العاملين آمنة؟
بينما تعمل المصادقة ذات العاملين على تحسين الأمان - نظرًا لأن الحق في الوصول لم يعد يعتمد فقط على قوة كلمة المرور - فإن أنظمة المصادقة ثنائية العوامل آمنة مثل أضعف مكون لها. على سبيل المثال ، تعتمد الرموز المميزة للأجهزة على أمان جهة الإصدار أو الشركة المصنعة. حدثت إحدى أكثر الحالات البارزة لنظام ثنائي عاملين في عام 2011 عندما أبلغت شركة الأمن RSA Security عن اختراق رموز مصادقة SecurID الخاصة بها.
يمكن أيضًا تخريب عملية استرداد الحساب نفسها عند استخدامها للتغلب على المصادقة الثنائية لأنها غالبًا ما تعيد تعيين كلمة المرور الحالية للمستخدم وترسل كلمة مرور مؤقتة عبر البريد الإلكتروني للسماح للمستخدم بتسجيل الدخول مرة أخرى ، متجاوزًا عملية المصادقة الثنائية. تم اختراق حسابات Gmail التجارية الخاصة بالرئيس التنفيذي لشركة Cloudflare بهذه الطريقة.
على الرغم من أن 2FA المستندة إلى الرسائل القصيرة غير مكلفة وسهلة التنفيذ وتعتبر سهلة الاستخدام ، إلا أنها عرضة للعديد من الهجمات. لم يشجع المعهد الوطني للمعايير والتكنولوجيا ( NIST ) استخدام الرسائل القصيرة في خدمات 2FA في منشورها الخاص 800-63-3: إرشادات الهوية الرقمية. خلصت NIST إلى أن OTPs المرسلة عبر الرسائل القصيرة ضعيفة للغاية بسبب هجمات إمكانية نقل رقم الهاتف المحمول ، مثل اختراق نظام Signaling 7 ، ضد شبكة الهاتف المحمول والبرامج الضارة ، مثل Eurograbber ، التي يمكن استخدامها لاعتراض الرسائل النصية أو إعادة توجيهها.
مستويات أعلى من المصادقة
تنشأ معظم الهجمات من اتصالات الإنترنت عن بُعد ، لذا فإن المصادقة الثنائية (2FA) تجعل هذه الهجمات أقل تهديدًا. الحصول على كلمات المرور ليس كافيًا للوصول ، ومن غير المرجح أن يتمكن المهاجم أيضًا من الحصول على عامل المصادقة الثاني المرتبط بحساب المستخدم.
ومع ذلك ، يكسر المهاجمون أحيانًا عامل المصادقة في العالم المادي. على سبيل المثال ، قد يؤدي البحث المستمر عن المباني المستهدفة إلى معرف الموظف وكلمة المرور في سلة المهملات ، أو في أجهزة التخزين المهملة التي تحتوي على قواعد بيانات كلمات المرور. ومع ذلك ، إذا كانت هناك حاجة إلى عوامل إضافية للمصادقة ، فسيواجه المهاجم عقبة أخرى على الأقل. نظرًا لأن العوامل مستقلة ، لا ينبغي أن يؤدي التنازل عن أحدهم إلى حل وسط مع الآخرين.
هذا هو السبب في أن بعض البيئات عالية الأمان تتطلب شكلاً أكثر تطلبًا من MFA ، مثل المصادقة ثلاثية العوامل ( 3FA ) ، والتي تتضمن عادةً حيازة رمز مادي وكلمة مرور مستخدمة بالاقتران مع البيانات الحيوية ، مثل مسح بصمات الأصابع أو بصمات الصوت . يتم أيضًا استخدام عوامل مثل تحديد الموقع الجغرافي ونوع الجهاز ووقت اليوم للمساعدة في تحديد ما إذا كان يجب مصادقة المستخدم أو حظره. بالإضافة إلى ذلك ، يمكن أيضًا مراقبة المعرفات الحيوية السلوكية ، مثل طول ضغطات المفاتيح وسرعة الكتابة وحركات الماوس ، بشكل سري في الوقت الفعلي لتوفير مصادقة مستمرة بدلاً من التحقق من المصادقة لمرة واحدة أثناء تسجيل الدخول.
المصادقة البيومترية للهواتف الذكية
دفع الإخطارات للمصادقة الثنائية
إشعار الدفع هو مصادقة بدون كلمة مرور تتحقق من المستخدم عن طريق إرسال إشعار مباشرة إلى تطبيق آمن على جهاز المستخدم ، لتنبيه المستخدم إلى حدوث محاولة مصادقة. يمكن للمستخدم عرض تفاصيل محاولة المصادقة والموافقة على الوصول أو رفضه - عادةً بنقرة واحدة. إذا وافق المستخدم على طلب المصادقة ، يتلقى الخادم هذا الطلب ويسجل دخول المستخدم إلى تطبيق الويب.
تصادق الإخطارات الفورية المستخدم من خلال التأكيد على أن الجهاز المسجل في نظام المصادقة - عادةً جهاز محمول - هو في حوزة المستخدم. إذا قام أحد المهاجمين بخرق الجهاز ، فسيتم أيضًا اختراق الإشعارات الفورية. تقضي الإشعارات الفورية على فرص هجمات man-in-the-middle MitM ، والوصول غير المصرح به ، وهجمات التصيد الاحتيالي والهندسة الاجتماعية.
في حين أن دفع الإخطارات أكثر أمانًا من الأشكال الأخرى لطرق المصادقة ، لا تزال هناك مخاطر أمنية. على سبيل المثال ، يمكن للمستخدمين الموافقة عن طريق الخطأ على طلب مصادقة احتيالي لأنهم معتادون على النقر على الموافقة عندما يتلقون إشعارات الدفع.
مستقبل المصادقة
لم يعد الاعتماد على كلمات المرور كطريقة رئيسية للمصادقة يوفر الأمان أو تجربة المستخدم (UX) التي يطلبها المستخدمون. وعلى الرغم من أن أدوات الأمان القديمة ، مثل مدير كلمات المرور و MFA ، تحاول التعامل مع مشاكل أسماء المستخدمين وكلمات المرور ، إلا أنها تعتمد على بنية قديمة بشكل أساسي: قاعدة بيانات كلمات المرور.
وبالتالي ، فإن المؤسسات التي تتطلع إلى تحسين الأمان في المستقبل تستكشف استخدام تقنيات المصادقة بدون كلمة مرور لتحسين تجربة المستخدم.
تتيح المصادقة بدون كلمة مرور للمستخدمين مصادقة أنفسهم في تطبيقاتهم بشكل آمن ، دون الحاجة إلى إدخال كلمات المرور. في مجال الأعمال ، هذا يعني أنه يمكن للموظفين الوصول إلى عملهم دون الحاجة إلى إدخال كلمات مرور - ولا يزال قسم تكنولوجيا المعلومات يحتفظ بالسيطرة الكاملة على كل تسجيل دخول.
تعد القياسات الحيوية والبروتوكولات الآمنة مثالين على تقنيات المصادقة بدون كلمة مرور.
يمكن أن يؤدي استخدام القياسات الحيوية كطريقة مصادقة بدون كلمة مرور على مستوى المستخدم والتطبيق والجهاز إلى ضمان أفضل للشركات أن الموظفين الذين يقومون بتسجيل الدخول إلى الأنظمة هم من يقولون هناك.
البروتوكولات هي مثال آخر للتقنيات بدون كلمة مرور. البروتوكولات هي معايير تهدف إلى تسهيل الاتصال بين مزود الهوية ومزود الخدمة. يتم أيضًا مصادقة الموظف الذي تمت مصادقته لدى موفر الهوية في موفري الخدمة المعينين ، دون إدخال كلمة مرور.
الذهاب بدون كلمة مرور يفيد المؤسسات لأن إلغاء كلمة المرور يؤدي إلى تجربة مستخدم أفضل لموظفيها. تقدم المصادقة بدون كلمة مرور طرقًا جديدة للموظفين لتسجيل الدخول إلى عملهم بسهولة وأمان دون الحاجة إلى الاعتماد على كلمات المرور. هذا يلغي الحاجة إلى استرداد الحساب وطلبات إعادة تعيين كلمات المرور وعملية تدوير كلمة المرور يدويًا.
المشاركات
ليست هناك تعليقات:
إرسال تعليق
(( مَا يَلْفِظُ مِنْ قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ))