ما هي المصادقة الثنائية (2FA)؟

معظم الأشخاص على دراية بأنظمة الأمن المستندة إلى المصادقة الثنائية (2FA) القائمة على الرسائل النصية القصيرة. في هذا الإصدار، يرسل التطبيق رمزًا رقميًا إلى الهاتف المحمول للمستخدم عند تسجيل الدخول. يجب على المستخدم إدخال كلمة المرور والرمز للمتابعة. إدخال أحدهما أو الآخر فقط لا يكفي للمصادقة.

المصادقة الثنائية (2FA) هي الشكل الأكثر شيوعًا للمصادقة متعددة العوامل (MFA)، والتي تشير إلى أي طريقة مصادقة حيث يجب على المستخدمين توفير أكثر من عامل مصادقة واحد لإثبات هويتهم. 

في حين أن المصادقة الثنائية (2FA) غالباً ما ترتبط بأنظمة الكمبيوتر، إلا أنه يمكنها أيضاً حماية الأصول والمواقع المادية. على سبيل المثال، قد يتطلب المبنى المحظور دخوله من الأشخاص تقديم شارة هوية واجتياز فحص بصمات الأصابع للدخول.

وفقا لتقرير تكلفة خرق البيانات الصادر عن شركة IBM، فإن بيانات الاعتماد المخترقة هي السبب الأكثر شيوعاً لاختراق أمن البيانات. من السهل نسبيًا على عناصر التهديد سرقة كلمات المرور من خلال التصيد الاحتيالي أو برامج التجسس أو هجمات القوة الغاشمة.

تساعد المصادقة الثنائية على تعزيز أمان الحساب من خلال طلب عامل ثانٍ. لا يحتاج المخترقون فقط إلى سرقة اثنين من بيانات الاعتماد لاقتحام النظام، ولكن العامل الثاني غالبًا ما يكون شيئًا يصعب اختراقه. وتشمل العوامل الثانية الشائعة بصمات الأصابع والقياسات الحيوية والأمن المادي ورموز المرور مؤقتة الصلاحية.

عوامل المصادقة هي بيانات الاعتماد التي يقدمها المستخدمون للتحقق من هوياتهم. تستخدم أنظمة المصادقة الثنائية أنواعًا متعددة من عوامل المصادقة، وتستخدم أنظمة المصادقة الثنائية الحقيقية عاملين من نوعين مختلفين. 

يُعتبر استخدام نوعين مختلفين من العوامل أكثر أمانًا من استخدام عاملين من نفس النوع لأن المخترقين يحتاجون إلى استخدام طرق مختلفة لاختراق كل عامل.

على سبيل المثال ، يمكن للمخترقين سرقة كلمة مرور المستخدم عن طريق زرع برامج تجسس على أجهزة الكمبيوتر الخاصة بهم. لكن برنامج التجسس هذا لن يلتقط رموز المرور لمرة واحدة على الهاتف الذكي للمستخدم. سيحتاج المخترقون إلى إيجاد طريقة أخرى لاعتراض تلك الرسائل. 
 
تشمل أنواع عوامل المصادقة ما يلي:

• عوامل المعرفة
• عوامل الحيازة
• العوامل المتأصلة 
• العوامل السلوكية

عامل المعرفة هو جزء من المعلومات التي، من الناحية النظرية، لا يعرفها سوى المستخدم. كلمة المرور هي عامل المعرفة الأكثر شيوعاً. كما أن أرقام التعريف الشخصية (PIN) والإجابات عن أسئلة الأمان هي أيضاً من العوامل المعتادة.

في معظم تطبيقات المصادقة الثنائية (2FA) ، يعمل عامل المعرفة كعامل المصادقة الأول. 

على الرغم من انتشار استخدامها على نطاق واسع، فإن عوامل المعرفة هي أكثر أنواع عوامل المصادقة عرضة للخطر. يمكن للمخترقين الحصول على كلمات المرور من خلال هجمات التصيد الاحتيالي أو برنامج ضار أو هجمات القوة الغاشمة التي يستخدمون فيها الروبوتات لتوليد واختبار كلمات المرور المحتملة على حساب ما حتى يعمل أحدها.

ولا تمثل الأنواع الأخرى من عوامل المعرفة تحديًا كبيرًا للمجرمين الإلكترونيين. فالإجابات عن العديد من أسئلة الأمان - مثل السؤال المعتاد "ما هو اسم والدتك قبل الزواج؟" —يمكن اختراقها بسهولة من خلال عمليات البحث الأساسية أو هجمات الهندسة الاجتماعية التي تخدع المستخدمين للكشف عن المعلومات الشخصية.

إن الممارسة الشائعة المتمثلة في طلب كلمة مرور وسؤال أمان ليست مصادقة ثنائية حقيقية لأنها تستخدم عاملين من نفس النوع - في هذه الحالة، اثنان من عوامل المعرفة.

سيكون عاملا المعرفة مثالاً على عملية التحقق من خطوتين. تتكون العملية من خطوتين- إدخال كلمة مرور والإجابة عن سؤال - ولكنها تستخدم نوعاً واحداً فقط من العوامل.

يمكن أن يكون التحقق بخطوتين أكثر أماناً من كلمة المرور وحدها لأنه يتطلب دليلين. ومع ذلك، نظرًا لأن هذين العاملين من نفس النوع، فإن سرقتهما أسهل من سرقة نوعين مختلفين من العوامل.

عوامل الحيازة هي الأشياء التي يمتلكها الشخص. النوعان الأكثر شيوعًا لعوامل الحيازة هما الرموز المميزة البرمجية وأجهزة الرموز المميزة.

غالبًا ما تأخذ الرموز المميزة شكل كلمات مرور لمرة واحدة (OTPs). وعادةً ما تكون رموز المرور لمرة واحدة مكونة من 4 إلى 8 أرقام تنتهي صلاحيتها بعد فترة زمنية محددة. يمكن إرسال الرموز المميزة البرمجية إلى هاتف المستخدم عن طريق رسالة نصية أو بريد إلكتروني أو رسالة صوتية. يمكن أيضًا إنشاء رمز مميز من خلال تطبيق المصادقة المثبت على الجهاز.

باستخدام رمز مميز برمجي، يعمل جهاز المستخدم كعامل الحيازة. يفترض نظام المصادقة الثنائية (2FA) أن المستخدم الشرعي فقط هو الذي يمكنه الوصول إلى أي معلومات يتم تسليمها إلى هذا الجهاز أو إنشاؤها بواسطة هذا الجهاز. 

على الرغم من أن رموز المرور لمرة واحدة القائمة على الرسائل النصية القصيرة هي من أكثر عوامل الحيازة سهولة في الاستخدام، إلا أنها الأقل أمانًا أيضًا. يحتاج المستخدمون إلى اتصال بالإنترنت أو الهاتف الخلوي لتلقي رموز المصادقة هذه، ويمكن للمخترقين استخدام التصيد الاحتيالي المتطور أو هجوم الوسيط لسرقتها. 

كما أن رموز المرور لمرة واحدة معرضة لخطر استنساخ بطاقة SIM، حيث يقوم المجرمون بإنشاء نسخة مكررة عاملة من بطاقة SIM الخاصة بالهاتف الذكي الذي يستخدمه الضحية ويستخدمونها لاعتراض رسائله النصية.

يمكن لتطبيقات المصادقة - مثل Google Authenticator وAuthy وMicrosoft Authenticator وDuo - إنشاء رموز مميزة دون اتصال بالشبكة. يقوم المستخدم بإقران تطبيق المصادقة مع إحدى الخدمات، وغالباً ما يتم ذلك عن طريق مسح رمز الاستجابة السريعة. يقوم التطبيق بعد ذلك باستمرار بإنشاء كلمات مرور لمرة واحدة مستندة إلى الوقت (TOTPs) للخدمة المقترنة. تنتهي صلاحية كل رمز مرور لمرة واحدة مستند إلى الوقت (TOTP) خلال 30 إلى 60 ثانية، مما يجعل من الصعب سرقتها. 

تستخدم بعض تطبيقات المصادقة إشعارات الدفع بدلاً من رموز المرور لمرة واحدة المستندة إلى الوقت (TOTP). عندما يقوم المستخدم بتسجيل الدخول إلى الحساب، يرسل التطبيق إشعار دفع إلى نظام التشغيل iOS أو Android، ويجب عليه النقر عليه لتأكيد أن المحاولة شرعية.

على الرغم من صعوبة اختراق تطبيقات المصادقة مقارنة بالرسائل النصية، إلا أنها ليست مضمونة. يمكن للمخترقين استخدام برنامج ضار لسرقة رموز المرور لمرة واحدة المستندة إلى الوقت (TOTP) مباشرة من تطبيقات المصادقة. كما يمكنهم أيضًا شنّ هجمات إجهاد MFA، حيث يقومون بإغراق الجهاز بإشعارات دفع احتيالية على أمل أن يؤكد الضحية عن طريق الخطأ أحدها. 

أجهزة الرموز المميزة هي أجهزة مخصصة - مثل سلاسل المفاتيح أو بطاقات الهوية أو الدونجل - تعمل كمفاتيح أمان. يتم توصيل بعض أجهزة الرموز المميزة بمنفذ USB الخاص بالكمبيوتر وتنقل معلومات المصادقة إلى صفحة تسجيل الدخول. تنشئ بعض أجهزة الرموز المميزة الأخرى رموز التحقق للمستخدم لإدخالها يدوياً عندما يُطلب منه ذلك.

على الرغم من صعوبة اختراق أجهزة الرموز المميزة، إلا أنه يمكن سرقتها - كما يمكن سرقة أجهزة المستخدمين المحمولة التي تحتوي على رموز برمجية. ووفقًا لتقرير تكلفة خرق البيانات الصادر عن شركة IBM، فإن الأجهزة المفقودة والمسروقة هي عامل في ما يصل إلى 6% من حالات اختراق أمن البيانات.

العوامل المتأصلة، والتي تسمى أيضاً "القياسات الحيوية"، هي السمات أو الخصائص الجسدية الفريدة للمستخدم، مثل بصمات الأصابع وتفاصيل الوجه وأنماط شبكية العين. تحتوي العديد من الهواتف الذكية والحواسيب المحمولة على ماسحات ضوئية للوجه وقارئات لبصمات الأصابع مضمّنة، ويمكن للعديد من التطبيقات والمواقع الإلكترونية استخدام هذه البيانات البيومترية كعامل مصادقة.

في حين أن العوامل المتأصلة هي الأصعب في الاختراق، إلا أن النتائج يمكن أن تكون كارثية عندما يتم اختراقها. إذا تمكن المخترق من الوصول إلى قاعدة بيانات بيومترية، فيمكنه سرقة هذه البيانات أو ربط القياسات الحيوية الخاصة به بملف تعريف مستخدم آخر. عندما يتم اختراق البيانات البيومترية، لا يمكن تغييرها بسرعة أو سهولة، مما يجعل من الصعب إيقاف الهجمات الجارية.

أدى التقدم في توليد صور الذكاء الاصطناعي إلى قلق خبراء الأمن السيبراني من أن المخترقين قد يستخدمون هذه الأدوات لخداع برامج التعرف على الوجه. 

العوامل السلوكية هي عبارة عن أدوات رقمية تقوم بالتحقق من هوية المستخدم بناءً على الأنماط السلوكية. تتضمن الأمثلة نطاق عنوان IP النموذجي للمستخدم وموقعه ومتوسط سرعة الكتابة.

تستخدم أنظمة المصادقة السلوكية الذكاء الاصطناعي والتعلم الآلي لتحديد خط الأساس للأنماط العادية للمستخدم وتحديد النشاط الشاذ، مثل التسجيل من جهاز أو رقم هاتف أو موقع جديد.

تسمح بعض أنظمة المصادقة الثنائية للمستخدمين بتسجيل الأجهزة الموثوقة كعوامل. بينما قد يحتاج المستخدم إلى توفير عاملين عند تسجيل الدخول لأول مرة، فإن استخدام الجهاز الموثوق به يعمل تلقائياً كعامل ثان في المستقبل.

تلعب العوامل السلوكية أيضًا دورًا في أنظمة المصادقة التكيفية، والتي تغير متطلبات المصادقة بناءً على مستوى المخاطر. على سبيل المثال، قد يحتاج المستخدم إلى كلمة سر فقط لتسجيل الدخول إلى تطبيق من iPhone موثوق به على شبكة الشركة. وقد يحتاج هذا المستخدم إلى إضافة عامل ثان لتسجيل الدخول من جهاز جديد أو شبكة غير معروفة. 

بينما توفر العوامل السلوكية طريقة معقدة لمصادقة المستخدمين، فإنها تتطلب موارد وخبرات كبيرة لنشرها. وعلاوة على ذلك، إذا تمكن أحد المخترقين من الوصول إلى جهاز موثوق به، يمكنه بسهولة انتحال شخصية المستخدم.

لا تقبل أنظمة المصادقة الثنائية بدون كلمة مرور سوى عوامل الحيازة والعوامل المتأصلة والسلوكية - ولا تقبل عوامل المعرفة. على سبيل المثال، سيشكل مطالبة المستخدم ببصمة الإصبع مع رمز مميز مادي المصادقة متعددة العوامل بدون كلمة مرور.

تلغي المصادقة بدون كلمة مرور عوامل المعرفة لأنه من السهل اختراقها. بينما تستخدم معظم طرق المصادقة الثنائية (2FA) الحالية كلمات المرور، يتوقع خبراء المجال مستقبلاً بدون كلمة مرور بشكل متزايد. 

تُعد مفاتيح المرور، مثل تلك القائمة على معيار FIDO الشهير، أحد أكثر أشكال المصادقة بدون كلمة مرور شيوعًا. حيث تستخدم التشفير بالمفتاح العام للتحقق من هوية المستخدم.

وفقًا لتقرير تكلفة خرق البيانات، فإن بيانات الاعتماد المخترقة والتصيد الاحتيالي هما أكثر متجهين للهجوم الإلكتروني شيوعًا. ويشكلان معًا 31% من حالات اختراق أمن البيانات. غالبا ما يعمل كلا المتجهين عن طريق سرقة كلمات المرور، والتي يمكن للمخترقين استخدامها بعد ذلك لاختطاف الحسابات والأجهزة الشرعية لإحداث الفوضى.

عادة ما يستهدف المخترقون كلمات المرور لأنه من السهل نسبياً اختراقها من خلال القوة الغاشمة أو الخداع. علاوة على ذلك، نظرًا لأن الأشخاص يعيدون استخدام كلمات المرور على نحوٍ متكرر، يمكن للمخترقين في كثير من الأحيان استخدام كلمة مرور واحدة مسروقة لاختراق حسابات متعددة. يمكن أن تكون عواقب سرقة كلمة المرور كبيرة على المستخدمين والمؤسسات، مما يؤدي إلى سرقة الهوية والسرقة المالية وتخريب النظام وغير ذلك.

تساعد المصادقة الثنائية على إحباط الوصول غير المصرح به عن طريق إضافة طبقة إضافية من الأمان إلى أنظمة إدارة الهوية والوصول (IAM). حتى إذا تمكن المخترقون من سرقة كلمة مرور، فلا يزالون بحاجة إلى عامل ثان للوصول إلى الحساب. 

علاوة على ذلك، عادة ما يكون سرقة هذه العوامل الثانية أصعب من عامل المعرفة. سيحتاج المخترقون إلى تزوير القياسات الحيوية أو تقليد السلوكيات أو سرقة الأجهزة المادية. 

يمكن أن تساعد طرق المصادقة الثنائية المؤسسات على الوفاء بالتزامات امتثال معينة. على سبيل المثال، يتطلب معيار أمن البيانات للصناعات بطاقات الدفع (PCI DSS) صراحةً استخدام المصادقة متعددة العوامل للأنظمة التي تتعامل مع بيانات بطاقات الدفع.

لا تتطلب اللوائح التنظيمية الأخرى، بما في ذلك قانون ساربانز أوكسلي (SOX) واللائحة العامة لحماية البيانات (GDPR)، صراحةً المصادقة الثنائية. ومع ذلك، يمكن أن تساعد المصادقة الثنائية (2FA) المؤسسات على تلبية معايير الأمان الصارمة التي وضعتها هذه القوانين.

في حين أن المصادقة الثنائية أقوى من طرق المصادقة بعامل واحد - خاصةً تلك التي تستخدم كلمات المرور فقط - إلا أن المصادقة الثنائية ليست مضمونة. على وجه التحديد، يمكن للمخترقين إساءة استخدام أنظمة استرداد الحساب لتجنب المصادقة الثنائية (2FA) والاستيلاء على حساب.

على سبيل المثال، يمكن للمخترق التظاهر بأنه مستخدم صالح فقد الوصول ويحتاج إلى إعادة تعيين بيانات اعتماد حسابه. غالبا ما تتطلب أنظمة استرداد الحساب بعض وسائل المصادقة الأخرى، مثل الإجابة عن سؤال الأمان. إذا كان هذا السؤال أساسيًا مثل "اسم الأم قبل الزواج"، يمكن للمخترق اكتشاف الإجابة بقليل من البحث. يمكن للمخترق بعد ذلك إعادة تعيين كلمة مرور الحساب، مما يؤدي إلى حجب المستخدم الحقيقي.  

يمكن للقراصنة أيضًا اختراق حساب ما من خلال الوصول إلى حساب آخر. على سبيل المثال، إذا أراد أحد المهاجمين اقتحام نظام شركة حساس، فقد يستولي أولاً على حساب البريد الإلكتروني للمستخدم. يمكنه بعد ذلك طلب إعادة تعيين كلمة المرور باستخدام نظام الشركة، والذي يرسل بريداً إلكترونياً إلى الحساب الذي يتحكم فيه المخترق الآن.

يمكن اختراق المصادقة الثنائية (2FA) القائمة على الرسائل القصيرة، والتي ربما تكون الشكل الأكثر شيوعاً للمصادقة الثنائية (2FA)، من خلال الهندسة الاجتماعية المتطورة. يمكن للمهاجم أن يتظاهر بأن هدفه ويتصل بمزود هاتف الهدف، مدعياً أن هاتفه قد سرق ويجب عليه نقل رقمه إلى رقم جديد. ثم يتم إرسال كلمة مرور لمرة واحدة إلى الهاتف الذي يتحكم فيه المخترق بدلاً من هاتف الهدف.  

يمكن للمستخدمين الدفاع عن أنفسهم ضد هذه الهجمات من خلال التأكد من أن جميع حساباتهم - من حسابات البريد الإلكتروني إلى الحسابات لدى مزودي خدمات الهاتف - تتطلب مصادقة ثنائية أو مصادقة متعددة العوامل قوية. يؤدي تعيين المصادقة متعددة العوامل على كل شيء إلى صعوبة استخدام المخترقين لحساب ما لاختراق حساب آخر.

يمكن للمستخدمين أيضًا التأكد من صعوبة اختراق عوامل المصادقة التي يختارونها. القياسات الحيوية البيومترية والأمان المادي، على سبيل المثال، يصعّب سرقتها أكثر من إجابات أسئلة الأمان.