المصادقة والتفويض: ما الفرق بينهما؟

المصادقة والتفويض هما عمليتان مرتبطتان ولكن متميزتان في نظام إدارة الهوية والوصول (IAM) للمؤسسة. تقوم المصادقة بالتحقق من هوية المستخدم. يمنح التفويض المستخدم المستوى الصحيح من الوصول إلى موارد النظام.

تعتمد عملية المصادقة على بيانات الاعتماد، مثل كلمات المرور أو مسح بصمات الأصابع، التي يقدمها المستخدمون لإثبات هويتهم.

تعتمد عملية التفويض على أذونات المستخدم التي تحدد ما يمكن لكل مستخدم القيام به داخل مورد أو شبكة معينة. على سبيل المثال، قد تحدِّد الأذونات في نظام الملفات إذا ما كان يمكن للمستخدم إنشاء الملفات أو قراءتها أو تحديثها أو حذفها.

تنطبق عمليات المصادقة والتفويض على كل من المستخدمين البشريين وغير البشريين، مثل الأجهزة وأعباء العمل التلقائية وتطبيقات الويب. قد يتولى نظام واحد من أنظمة إدارة الهوية والوصول كلًّا من المصادقة والتفويض، أو قد يتم التعامل مع كليهما بواسطة أنظمة منفصلة تعمل معًا.

عادةً ما تكون المصادقة شرطًا أساسيًا للتفويض. حيث يجب أن يعرف النظام هوية المستخدم قبل أن يتمكَّن من منح هذا المستخدم حق الوصول إلى أي شيء.

تتزايد الهجمات القائمة على الهوية، والتي يقوم فيها المتسللون باختطاف حسابات المستخدمين الصالحة وإساءة استخدام حقوق الوصول الخاصة بهم. وفقًا لمؤشر IBM X-Force ® Threat Intelligence Index ، تُعدُّ هذه الهجمات واحدة من أكثر الطرق شيوعًا التي تتسلل بها عناصر التهديد إلى الشبكات، حيث تمثل 30% من جميع الهجمات الإلكترونية.

تعمل كل من المصادقة والتفويض معًا لفرض ضوابط الوصول الآمن وإحباط عمليات اختراق أمن البيانات. فالمصادقة الفعَّالة تجعل من الصعب على المتسللين الاستيلاء على حسابات المستخدمين. والتفويض الفعَّال يَحُدُّ من الضرر الذي يمكن أن يتسبب فيه المتسللون باستخدام هذه الحسابات.

تعتمد المصادقة، التي تُختصر أحيانًا باسم "authn"، على تبادل بيانات اعتماد المستخدم، والتي تُسمَّى أيضًا عوامل المصادقة. وعوامل المصادقة هي أدلة تُثبِت هوية المستخدم.

عندما يسجِّل المستخدم في نظام لأول مرة، فإنه ينشئ مجموعة من عوامل المصادقة. وعندما يقوم المستخدم بتسجيل الدخول، يقدِّم هذه العوامل. يفحص النظام العوامل المقدَّمة مقابل العوامل الموجودة في الملف. وإذا كانت متطابقة، فإن النظام يثق في أن المستخدم هو صاحب الهوية التي يدَّعيها.

تتضمن الأنواع الشائعة من عوامل المصادقة ما يلي:

• عوامل المعرفة: شيء يعرفه المستخدم فقط، مثل كلمة المرور أو رقم التعريف الشخصي أو الإجابة عن سؤال الأمان.
  
• عوامل الملكية: شيء يمتلكه المستخدم فقط، مثل رقم التعريف الشخصي لمرة واحدة (OTP) المُرسَل إلى هاتفه المحمول الشخصي من خلال رسالة نصية قصيرة أو رمز أمان مادي.
  
• العوامل المتأصلة: القياسات الحيوية، مثل التعرُّف على الوجه ومسح بصمات الأصابع.

قد تكون للتطبيقات والموارد الفردية أنظمة مصادقة خاصة بها. تستخدم العديد من المؤسسات نظامًا متكاملًا واحدًا، مثل حل تسجيل الدخول الموحد (SSO)، حيث يمكن للمستخدمين المصادقة مرة واحدة للوصول إلى موارد متعددة في مجال آمن.

تتضمن معايير المصادقة الشائعة بروتوكول Security Assertion Markup Language (اختصارًا SAML) وبروتوكول OpenID Connect (اختصارًا OIDC). يستخدم SAML رسائل XML لمشاركة معلومات المصادقة بين الأنظمة، بينما يستخدم OIDC تنسيق JSON Web Tokens (اختصارًا JWTs) والمعروف أيضًا باسم "رموز الهوية".

• تتطلب المصادقة أحادية العامل (SFA) عامل مصادقة واحدًا لإثبات هوية المستخدم. ويُعَد إدخال اسم مستخدم وكلمة مرور لتسجيل الدخول إلى موقع التواصل الاجتماعي أحد الأمثلة الشائعة للمصادقة باستخدام عامل واحد.
  
• تتطلب المصادقة متعددة العوامل (MFA) عاملَي مصادقة على الأقل من نوعين مختلفين، مثل كلمة المرور (عامل معرفة) ومسح بصمات الأصابع (عامل متأصل).
  
• المصادقة الثنائية (2FA) هي نوع معين من المصادقة متعددة العوامل تتطلب عاملين بالضبط. لقد جرَّب معظم مستخدمي الإنترنت المصادقة الثنائية، مثلما يحدث عندما يتطلب تطبيق مصرفي إدخال كلمة مرور ورمز مؤقت يتم إرساله إلى هاتف المستخدم.
  
• في طرق المصادقة دون كلمة مرور، لا يتم استخدام كلمات مرور أو أي عوامل تعتمد على المعرفة. أصبحت الأنظمة التي لا تعتمد على كلمات المرور شائعة كوسيلة دفاع ضد سارقي بيانات الاعتماد، الذين يستهدفون عوامل المعرفة لأنها الأسهل في السرقة.
  
• تستخدم أنظمة المصادقة التكيفية الذكاء الاصطناعي والتعلم الآلي لضبط متطلبات المصادقة استنادًا إلى مدى خطورة سلوك المستخدم. على سبيل المثال، قد يُطلب من المستخدم الذي يحاول الوصول إلى بيانات سرية تقديم عدة عوامل مصادقة قبل أن يقوم النظام بالتحقق من هويته.

تعرف على كيفية مساهمة خبراء الهوية والأمان في IBM في المساعدة على تبسيط جهود إدارة الهوية والوصول (IAM)، وإدارة الحلول عبر بيئات السحابة الهجينة، وتحويل عمليات سير العمل المتعلقة بالحوكمة.

• استخدام مسح بصمة الإصبع ورمز PIN لإلغاء قفل الهاتف الذكي.
  
• إظهار الهوية لفتح حساب بنكي جديد.
  
• يتحقق متصفح الويب من شرعية الموقع الإلكتروني من خلال التحقق من شهادته الرقمية.
  
• يُثبت التطبيق هويته لواجهة برمجة التطبيقات (API) عبر تضمين مفتاح API السري الخاص به في كل طلب يتم إرساله.

يعتمد التفويض، الذي يُرمز له أحيانًا بالاختصار "authz"، على أذونات المستخدم. الأذونات هي سياسات تحدِّد بالتفصيل ما يمكن للمستخدم الوصول إليه وما يمكنه فعله بهذا الوصول في النظام.

عادةً ما يحدد المسؤولون وقادة الأمان أذونات المستخدم، والتي يتم فرضها بعد ذلك بواسطة أنظمة التفويض. عندما يحاول المستخدم الوصول إلى مورد أو تنفيذ إجراء، يتحقق نظام التفويض من أذوناته قبل السماح له بالمتابعة.

تخيَّل قاعدة بيانات ذات طبيعة حساسة تحتوي على بيانات العملاء. يحدِّد التفويض إذا ما كان المستخدم يمكنه حتى رؤية قاعدة البيانات هذه. إذا كان بإمكانه ذلك، فإن التفويض يحدِّد أيضًا ما يمكنه القيام به داخل قاعدة البيانات. هل يمكنه قراءة الإدخالات فقط، أم يمكنه أيضًا إنشاء الإدخالات وحذفها وتحديثها؟

يُعَد OAuth 2.0، الذي يستخدم رموز الوصول لتفويض الأذونات للمستخدمين، أحد الأمثلة على بروتوكول التفويض الشائع. يسمح OAuth للتطبيقات بمشاركة البيانات مع بعضها. على سبيل المثال، يمكِّن OAuth موقع التواصل الاجتماعي من فحص جهات اتصال البريد الإلكتروني للمستخدم بحثًا عن أشخاص قد يعرفهم، بشرط موافقة المستخدم.

• تحدِّد أساليب التحكم في الوصول المستند إلى الأدوار (RBAC) أذونات وصول المستخدم استنادًا إلى أدواره. على سبيل المثال، قد يتمكَّن محلل أمني مبتدئ من عرض تكوينات جدار الحماية ولكن ليس تغييرها، في حين أن رئيس أمن الشبكة قد يكون لديه حق الوصول الإداري الكامل.
  
• تستخدم طرق التحكم في الوصول المستند إلى السمات (ABAC) سمات المستخدمين والكائنات والإجراءات -مثل اسم المستخدم ونوع المورد والوقت من اليوم- لتحديد مستويات الوصول. عندما يحاول المستخدم الوصول إلى مورد ما، يقوم نظام ABAC بتحليل جميع السمات ذات الصلة ولا يمنح الوصول إلا إذا استوفى معايير معينة محددة مسبقًا. على سبيل المثال، في نظام ABAC، قد يتمكَّن المستخدمون من الوصول إلى البيانات الحساسة فقط خلال ساعات العمل وفقط إذا كانوا يتمتعون بمستوى معين من الأقدمية.
  
• نُظُم التحكم في الوصول الإلزامي (MAC) تفرض سياسات تحكم في الوصول محددة مركزيًا على جميع المستخدمين. وتُعَد أنظمة التحكم في الوصول استنادًا إلى المجموعات أقل تفصيلًا من نظام التحكم في الوصول استنادًا إلى الأدوار والسمات، وعادةً ما يستند الوصول إلى مستويات تصريح أو درجات ثقة محددة. تستخدم العديد من أنظمة التشغيل التحكم في الوصول الإلزامي للتحكم في وصول البرامج إلى موارد النظام الحساسة.
  
• نُظُم التحكم في الوصول التقديري (DAC) تتيح لمالكي الموارد ضبط قواعد الوصول لهذه الموارد. ويُعَد DAC أكثر مرونة من السياسات الشاملة لأنظمة MAC.

• عندما يقوم المستخدم بتسجيل الدخول إلى حساب البريد الإلكتروني الخاص به، يمكنه فقط رؤية رسائل البريد الإلكتروني الخاصة به. ولا يُصرَّح له بمشاهدة رسائل أي شخص آخر.
  
• في نظام سجلات الرعاية الصحية، لا يمكن الاطلاع على بيانات المريض إلا من قِبَل مقدمي الرعاية الصحية الذين منحهم المريض موافقته الصريحة.
  
• يُنشئ المستخدم مستندًا في نظام ملفات مشترك. وقام بتعيين أذونات الوصول على وضع "القراءة فقط" بحيث يمكن للمستخدمين الآخرين عرض المستند دون القدرة على تعديله.
  
• يمنع نظام تشغيل الكمبيوتر المحمول برنامجًا غير معروف من تغيير إعدادات النظام.

تؤدي مصادقة المستخدمين وتفويضهم أدوارًا تكميلية في حماية المعلومات الحساسة وموارد الشبكة من التهديدات الداخلية والمهاجمين الخارجيين. باختصار، تساعد المصادقة المؤسسات على الدفاع عن حسابات المستخدمين، بينما يساعد التفويض على الدفاع عن الأنظمة التي يمكن لهذه الحسابات الوصول إليها.

تساعد الأنظمة الشاملة لإدارة الهوية والوصول (IAM) على تتبُّع نشاط المستخدم ومنع الوصول غير المصرَّح به إلى أصول الشبكة وفرض أذونات متعددة المستويات بحيث يمكن للمستخدمين المناسبين فقط الوصول إلى الموارد المناسبة.

تُجيب عمليات المصادقة والتفويض عن سؤالين حاسمين يجب على المؤسسات الإجابة عنهما من أجل تنفيذ ضوابط وصول فعَّالة: 

• من أنت؟ (المصادقة)
  
• ما الذي يُسمَح لك بفعله في هذا النظام؟ (التفويض)

تحتاج المؤسسة إلى معرفة هوية المستخدم قبل تمكُّنها من منحه المستوى الصحيح من الوصول. على سبيل المثال، عندما يقوم مسؤول الشبكة بتسجيل الدخول، يجب على هذا المستخدم إثبات أنه مسؤول من خلال تقديم العوامل الصحيحة للتحقق من الهوية. فقط عندئذٍ سيمنح نظام إدارة الهوية والوصول (IAM) المستخدم صلاحية تنفيذ الإجراءات الإدارية مثل إضافة المستخدمين الآخرين وحذفهم.

ومع تحسُّن فاعلية الضوابط الأمنية في المؤسسات، أصبح المزيد من المهاجمين يتجاوزونها عن طريق سرقة حسابات المستخدمين واستغلال امتيازاتهم لإحداث الفوضى يسهل على مجرمي الإنترنت تنفيذ هذه الهجمات. يستطيع المخترقون اختراق كلمات المرور عبر هجمات القوة الغاشمة، أو استخدام برنامج ضار ، أو شراء بيانات الاعتماد من مخترقين آخرين. 

يُعَد التصيد الاحتيالي أسلوبًا شائعًا آخر لسرقة بيانات الاعتماد، وتمكِّن أدوات الذكاء الاصطناعي التوليدي الآن المتسللين من تطوير هجمات تصيد أكثر فاعلية في وقت أقل.

على الرغم من أنه يمكن اعتبارهما تدابير أمنية أساسية، إلا أن المصادقة والتفويض يمثِّلان دفاعين حاسمين ضد سرقة الهوية واستغلال الحسابات، بما في ذلك الهجمات التي تستخدم الذكاء الاصطناعي.

يمكن للمصادقة أن تجعل من الصعب سرقة الحسابات عن طريق استبدال كلمات المرور أو تعزيزها بعوامل أخرى أكثر صعوبة في الاختراق، مثل القياسات الحيوية.

تعمل أنظمة التفويض الدقيقة على تقليص الحركة الجانبية من خلال حصر امتيازات المستخدم على الموارد والإجراءات الضرورية فقط. ويساعد هذا على الحد من الضرر الذي يمكن أن يُحدِثه كل من المتسللين الضارين والتهديدات الداخلية عن طريق إساءة استخدام حقوق الوصول.