ما المقصود بالمصادقة؟
استكشف حل المصادقة من IBM اشترك في رسالة Think الإخبارية
رسم توضيحي مع مجموعة من الصور التوضيحية لسحابة وهاتف محمول وبصمة إصبع وعلامة اختيار

تاريخ النشر: 18 يونيو 2024

المساهم: Matthew Kosinski
ما المقصود بالمصادقة؟

في نظام الكمبيوتر، تُعَدّ المصادقة (اختصارًا "auth") عملية يتم من خلالها التحقق من هوية المستخدم الذي يدعي أنه الشخص المقصود. تعتمد معظم أنظمة المصادقة على عوامل المصادقة، وهي عبارة عن عناصر (بطاقة ممغنطة) أو خصائص (مسح بصمة الإصبع) أو أجزاء من المعلومات (رمز PIN) لا يملكها سوى المستخدم.

ضع في اعتبارك سيناريو مصادقة شائع: توفير معرّف مستخدم وكلمة مرور لتسجيل الدخول إلى حساب البريد الإلكتروني. عندما يدخل المستخدم معرّف المستخدم الخاص به (والذي من المحتمل أن يكون عنوان البريد الإلكتروني الخاص به في هذه الحالة)، فإنه يخبر نظام البريد الإلكتروني بأنه هو "الشخص المقصود".

ولكن هذا لا يكفي للتحقق من هوية المستخدم النهائي. يمكن لأي شخص إدخال أي معرّف مستخدم يريده، خاصةً عندما يكون معرّف المستخدم شيئًا عامًا مثل عنوان البريد الإلكتروني. لإثبات أن المستخدم هو المالك الفعلي لعنوان البريد الإلكتروني، فإنه يدخل كلمة مروره، وهي معلومة سرية (نظريًا) لا ينبغي أن يعرفها أي شخص آخر. ثم يتبين إلى نظام البريد الإلكتروني أن هذا المستخدم هو صاحب الحساب الحقيقي ويسمح له بالدخول.

يمكن لعمليات المصادقة أيضًا تأكيد هويات المستخدمين من غير البشر مثل الخوادم، وتطبيقات الويب، وغيرها من الأجهزة وأحمال التشغيل.

المصادقة هي عنصر أساسي من عناصر استراتيجية أمن المعلومات . إنها مهمة بشكل خاص لإدارة الهوية والوصول (IAM)، وهي نظام الأمن الإلكتروني الذي يتعامل مع كيفية وصول المستخدمين إلى الموارد الرقمية. تمكّن المصادقة المؤسسات من تقييد الوصول إلى الشبكة للمستخدمين الشرعيين، وهي الخطوة الأولى في فرض أذونات المستخدم الفردية.

أصبحت اليوم هويات المستخدمين أهدافًا رئيسية لمصادر التهديد. ووفًا لمؤشر IBM X-Force Threat Intelligence Index، فإن اختراق حسابات المستخدمين الصالحة هو الطريقة الأكثر شيوعًا التي يستخدمها المهاجمون لاختراق الشبكات، ويمثل 30% من الهجمات الإلكترونية. يسرق المخترقون بيانات الاعتماد ثم ينتحلون صفة المستخدمين الشرعيين، ما يسمح لهم بالتسلل عبر دفاعات الشبكة لإدخال برنامج ضار وسرقة البيانات.

ولمكافحة هذه الهجمات القائمة على الهوية، فإن العديد من المؤسسات تبتعد عن أساليب المصادقة القائمة على كلمة المرور فقط. وبدلاً من ذلك، فإنها تعتمد على مصادقة متعددة العوامل، والمصادقة التكيفية وغيرها من أنظمة المصادقة القوية التي يصعب معها سرقة بيانات المستخدم أو تزويرها. 

 المصادقة مقابل التفويض

المصادقة والتفويض عمليتان مرتبطتان ولكنهما مختلفتان. تتحقق المصادقة من هوية المستخدم، بينما يمنح التفويض ذلك المستخدم الذي تم التحقق من هويته المستوى المناسب من الوصول إلى الموارد.

يمكن للمرء أن يفكر في المصادقة والتفويض كإجابة على سؤالين متكاملين:

  • المصادقة: من أنت؟

  • التفويض: ما المسموح لك القيام به في هذا النظام؟

وتكون المصادقة عادة شرطًا أساسيًا للتفويض. على سبيل المثال، عندما يسجل مسؤول الشبكة الدخول إلى نظام آمن، يجب أن يثبت أنه مسؤول عن طريق الإدلاء بعوامل المصادقة الصحيحة. وعندئذٍ فقط سيمنح نظام إدارة الهوية والوصول (IAM) المستخدم التفويض لتنفيذ إجراءات إدارية مثل إضافة مستخدمين آخرين وحذفهم. 
شركة الاستشارات KuppingerCole تختار الشركة الرائدة في إدارة الوصول

تعرّف على السبب الذي يجعل المؤسسات التي تبحث عن حلول مصادقة مؤسسية ناضجة وقابلة للتوسع وآمنة يجب أن تأخذ في الاعتبار IBM.
محتوى ذو صلة سجِّل للحصول على مؤشر X-Force® Threat Intelligence Index
كيف تعمل مصادقة المستخدم؟

على مستوى عالٍ، تعتمد المصادقة على تبادل بيانات اعتماد المستخدم، وتسمى أيضًا عوامل المصادقة. يقدم المستخدم بيانات الاعتماد الخاصة به إلى نظام المصادقة. إذا كانت مطابقة لما هو موجود في ملف النظام، يمنح النظام المستخدم المصادقة.

للتعمق أكثر، يمكن تقسيم عملية المصادقة إلى سلسلة من الخطوات:

  1. أولاً، يجب على المستخدم الجديد إنشاء حساب داخل نظام المصادقة. وفي إطار إنشاء هذا الحساب، يسجل المستخدم مجموعة من عوامل المصادقة، والتي يمكن أن تتراوح بين كلمات المرور البسيطة إلى رموز Physical Security المميزة ومسح بصمات الأصابع. (لمزيد من المعلومات، راجع "عوامل المصادقة").

    يجب أن تكون هذه العوامل أشياء لا يملكها أو يعرفها سوى المستخدم. وبهذه الطريقة، يمكن لنظام المصادقة أن يكون متأكدًا إلى حد معقول من أنه إذا كان بإمكان شخص ما تقديم هذه العوامل، فلا بد أن يكون هو المستخدم.

  2. يقوم نظام المصادقة بتخزين بيانات المستخدم في دليل أو قاعدة بيانات، حيث تُربط بمعرف المستخدم وسمات أخرى مهمة.

    لأغراض أمنية، لا تخزن أنظمة المصادقة عادةً بيانات الاعتماد كنص عادي. وبدلاً من ذلك، تخزِّن نسخ مجزأة أو مشفرة أقل فائدة لأي مخترقين قد يسرقونها.

  3. عندما يرغب المستخدم في تسجيل الدخول إلى النظام، فإنه يقدم معرف المستخدم الخاص به وعوامل المصادقة المسجلة. يتحقق نظام المصادقة من إدخال الدليل لمعرف هذا المستخدم لمعرفة ما إذا كانت بيانات الاعتماد الخاصة به تتطابق مع بيانات الاعتماد المحفوظة في الدليل. إذا كانت تتطابق، يتحقق نظام المصادقة من هوية المستخدم.

    ما يمكن للمستخدم الذي تم التحقق منه القيام به بعد ذلك يعتمد على عملية التفويض المستقلة، ولكن ذات الصلة.

في حين أن هذا المثال يفترض وجود مستخدم بشري، فإن المصادقة هي نفسها بشكل عام للمستخدمين غير البشر. على سبيل المثال، عندما يوصل أحد المطورين تطبيقًا بواجهة برمجة التطبيقات (API) للمرة الأولى، قد تنشئ واجهة برمجة التطبيقات مفتاح API. المفتاح عبارة عن قيمة سرية لا يعرفها سوى API والتطبيق. منذ ذلك الحين، كلما أجرى التطبيق اتصالاً بواجهة برمجة التطبيقات، يجب عليه عرض مفتاحه لإثبات أن الاتصال حقيقي.
عوامل المصادقة

هناك أربعة أنواع من عوامل المصادقة التي يمكن للمستخدمين استخدامها لإثبات هوياتهم:
عوامل المعرفة (شيء يعرفه المستخدم)

عوامل المعرفة هي المعلومات التي، من الناحية النظرية، لا يعرفها سوى المستخدم، مثل كلمات المرور وPIN والإجابات على أسئلة الأمان. في حين أن عوامل المعرفة شائعة، إلا أنها أيضًا أسهل العوامل التي يمكن سرقتها أو اختراقها.
عوامل الحيازة (شيء يمتلكه المستخدم)

عوامل الحيازة هي الأشياء التي يمتلكها المستخدم. في حين أن بعض المستخدمين يمتلكون رموزًا مميزة لأمن الأجهزة مصممة خصيصًا لتعمل كعوامل حيازة فقط، إلا أن العديد من الأشخاص يستخدمون أجهزتهم المحمولة.

على سبيل المثال، يمكن للمستخدم تثبيت أداة مصادقة تنشئ كلمات مرور لمرة واحدة (OTPs) تنتهي صلاحيتها بعد استخدام واحد. يمكن للمستخدمين أيضًا تلقي كلمات المرور لمرة واحدة فقط من خلال الرسائل النصية القصيرة.

تستخدم الآلات وأحمال التشغيل الشهادات الرقمية الصادرة عن جهات خارجية موثوق بها كعوامل حيازة. 
عوامل التلازم (شيء عن كيان المستخدم)

عوامل التلازم هي السمات الجسدية التي ينفرد بها المستخدم. تتضمن هذه الفئة طرق المصادقة البيومترية مثل التعرف على الوجه ومسح بصمات الأصابع.
العوامل السلوكية (شيء يفعله المستخدم)

العوامل السلوكية هي الأنماط السلوكية، مثل نطاق عنوان IP المعتاد للشخص، وساعات النشاط، ومتوسط سرعة الكتابة.

تستخدم خطط المصادقة التكيفية عوامل سلوكية لتقييم مستوى مخاطر المستخدم. (لمزيد من المعلومات، راجع "أنواع المصادقة.")
تسجيل الدخول الموحد واتحاد الهويات وIdentity Orchestration

عادةً يكون لكل تطبيق فردي أو موقع إلكتروني أو غيره من الموارد نظام إدارة الهوية والوصول (IAM) الخاص به للتعامل مع مصادقة المستخدم. ومع ظهور نظام التحول الرقمي وانتشار تطبيقات الشركات والمستهلكين، أصبح هذا النظام المجزأ مرهقًا وغير مريح.

تجد المؤسسات صعوبة في تتبع المستخدمين وفرض سياسات وصول متسقة في جميع أنحاء الشبكة. يتبع المستخدمون عادات أمنية سيئة، مثل استخدام كلمات مرور بسيطة أو إعادة استخدام بيانات الاعتماد في مختلف الأنظمة.

واستجابةً لذلك، تطبق العديد من المؤسسات مناهج أكثر توحيدًا للهوية حيث يمكن لنظام واحد المصادقة على المستخدمين لمختلف التطبيقات والأصول. 

  • تسجيل الدخول الموحد (SSO) هو نظام مصادقة يمكن للمستخدمين فيه تسجيل الدخول مرة واحدة باستخدام مجموعة واحدة من بيانات الاعتماد والوصول إلى تطبيقات متعددة داخل نطاق معين.
  • بنية الهوية الموحدة هي ترتيب مصادقة أوسع نطاقًا حيث يمكن لأحد الأنظمة مصادقة المستخدمين لنظام آخر. تعد عمليات تسجيل الدخول الاجتماعية—مثل استخدام حساب Google لتسجيل الدخول إلى موقع ويب مختلف—شكلاً شائعًا من أشكال الهوية الموحدة.
  • Identity Orchestration تحذف الهوية والمصادقة من الأنظمة الفردية، وتتعامل مع الهوية كطبقة شبكة في حد ذاتها. وتقدم حلول Identity Orchestration طبقة تكامل تسمى نسيج الهوية، التي تسمح للمؤسسات بإنشاء أنظمة مصادقة مخصصة يمكنها دمج أي تطبيقات وأصول.
أنواع المصادقة

تستخدم أنظمة المصادقة المختلفة مخططات مصادقة مختلفة. تتضمن بعض الأنواع الأكثر شيوعًا ما يلي:

  • المصادقة أحادية العامل
  • المصادقة متعددة العوامل والمصادقة ثنائية العامل
  • المصادقة التكيفية
  • المصادقة من دون كلمات مرور
 المصادقة أحادية العامل

في عملية المصادقة أحادية العامل (SFA)، يحتاج المستخدمون إلى توفير عامل مصادقة واحد فقط لإثبات هوياتهم. في الغالب، تعتمد أنظمة SFA على مجموعات اسم المستخدم وكلمة المرور.

تعتبر SFA أقل أنواع المصادقة أمانًا؛ لأنه يعني أن المخترقين يحتاجون إلى سرقة بيانات اعتماد واحدة فقط للاستيلاء على حساب المستخدم. لا تشجع وكالة الأمن الإلكتروني وأمن البنية التحتية الأمريكية (CISA) رسميًا على استخدام على SFA لأنه "ممارسة سيئة".

 مصادقة متعددة العوامل

تتطلب أساليب المصادقة متعددة العوامل (MFA) عاملين على الأقل من نوعين مختلفين على الأقل. تعد MFA أقوى من SFA لأنه يجب على المخترقين سرقة عدة بيانات اعتماد للاستيلاء على حسابات المستخدمين. كما تميل أنظمة MFA أيضًا إلى استخدام بيانات الاعتماد التي يصعب سرقتها أكثر من كلمات المرور.

تعد المصادقة ثنائية العامل (2FA) نوعًا من MFA التي تستخدم المصادقة ثنائية العامل فقط. وهي على الأرجح الشكل الأكثر شيوعًا من أشكال MFA المستخدمة اليوم. على سبيل المثال، عندما يطلب موقع إلكتروني من المستخدمين إدخال كلمة مرور ورمز يُرسل إلى هواتفهم، فهذا هو نظام المصادقة الثنائية قيد العمل. 

 المصادقة التكيفية

تسمى أحيانًا المصادقة القائمة على المخاطر، وتستخدم أنظمة المصادقة التكيفية الذكاء الاصطناعي (AI) والتعلم الآلي (ML) لتحليل سلوك المستخدم وحساب مستوى المخاطر. تقوم أنظمة المصادقة التكيفية بتغيير متطلبات المصادقة ديناميكيًا بناءً على مدى خطورة سلوك المستخدم في الوقت الحالي.

على سبيل المثال، إذا سجل شخص الدخول إلى حساب من جهازه وموقعه المعتاد، فقد يحتاج إلى إدخال كلمة مروره فقط. إذا سجل المستخدم الدخول من جهاز جديد أو حاول الوصول إلى بيانات حساسة، فقد يطلب نظام المصادقة التكيّفية المزيد من العوامل قبل السماح له بالمتابعة.  

 المصادقة من دون كلمات مرور

المصادقة بدون كلمة مرور هو نظام مصادقة لا يستخدم كلمات مرور أو عوامل معرفة أخرى. على سبيل المثال، يستبدل معيار مصادقة الهوية السريعة عبر الإنترنت 2 (FIDO2) كلمات المرور بمفاتيح مرور تعتمد على التشفير باستخدام المفتاح العام.  

وبموجب FIDO2، يسجل المستخدم جهازه ليعمل كأداة مصادقة مع تطبيق أو موقع إلكتروني أو خدمة أخرى. أثناء التسجيل، يُنشأ زوج المفاتيح العامة-الخاصة أثناء التسجيل. تتم مشاركة المفتاح العام مع الخدمة والاحتفاظ بالمفتاح الخاص على جهاز المستخدم.

عندما يريد المستخدم تسجيل الدخول إلى الخدمة، ترسل الخدمة تحديًا إلى جهازه. يستجيب المستخدم عن طريق إدخال رمز PIN أو مسح بصمة الإصبع أو تنفيذ ببعض الإجراءات الأخرى. يمكّن هذا الإجراء الجهاز من استخدام المفتاح الخاص لتوقيع التحدي وإثبات هوية المستخدم.

تتبنى المؤسسات بشكل متزايد المصادقة بدون كلمة مرور للدفاع عن نفسها ضد لصوص بيانات الاعتماد الذين يميلون إلى التركيز على عوامل المعرفة بسبب سهولة سرقتها نسبيًا.

 أنواع المصادقة الأخرى
  • لغة ترميز تأكيد الأمن (SAML ) هي معيار مفتوح يسمح للتطبيقات والخدمات بمشاركة معلومات مصادقة المستخدم من خلال رسائل XML. تستخدم العديد من أنظمة SSO تأكيدات SAML لمصادقة المستخدمين على التطبيقات المدمجة.  

  • OAuth و OpenID Connect (OIDC): يعد OAuth بروتوكول اعتماد يستند إلى رمز مميز يسمح للمستخدمين بمنح حق الوصول إلى البيانات في تطبيق آخر دون مشاركة بيانات الاعتماد بين تلك التطبيقات. على سبيل المثال، عندما يسمح المستخدم لأحد مواقع التواصل الاجتماعي باستيراد جهات الاتصال الخاصة به على البريد الإلكتروني، تستخدم هذه العملية OAuth.

    لا يعد OAuth بروتوكول مصادقة، ولكن يمكن دمجه مع OpenID Connect (OIDC)، وهي طبقة هوية مبنية على بروتوكول OAuth. يضيف ODIC رموز هوية مميزة إلى جانب رموز اعتماد OAuth المميزة. يمكن أن تصادق رموز الهوية المميزة على المستخدم، وتحتوي على معلومات عن سماته.

  • Kerberos هو نظام مصادقة يستند إلى التذكرة ويستخدم بشكل شائع في نطاقات Microsoft Active Directory. يصادق المستخدمون والخدمات على مركز توزيع مفاتيح مركزي يمنحهم تذاكر تسمح لهم بالمصادقة على بعضهم بعضًا والوصول إلى موارد أخرى في نفس النطاق.
سبب أهمية المصادقة

مع ازدياد فعالية ضوابط الأمن الإلكتروني، تتعلم مصادر التهديد الالتفاف حولها بدلاً من مواجهتها مباشرةً. يمكن لعمليات المصادقة القوية أن تساعد في إيقاف الهجمات الإلكترونية القائمة على اختراق الهوية التي يسرق فيها المخترقون حسابات المستخدمين ويسيئون استخدام امتيازاتهم الصالحة؛ للتسلل عبر دفاعات الشبكة وإحداث الفوضى.

تعد الهجمات القائمة على اختراقات الهوية هي أكثر متجهات الهجمات الأولية شيوعًا وفقًا لمؤشرX-Force Threat Intelligence ، ولدى مصادر التهديد العديد من الأساليب لسرقة بيانات الاعتماد. من السهل اختراق كلمات مرور المستخدم، حتى كلمات المرور القوية، من خلال هجمات القوة الغاشمة حيث يستخدم المخترقون الروبوتات والبرامج النصية لاختبار كلمات المرور المحتملة بشكل منهجي حتى تنجح إحداها.

يمكن أن تستخدم مصادر التهديد أساليب الهندسة الاجتماعية لخداع الأهداف للتخلي عن كلمات مرورها. ويمكنهم تجربة طرق أكثر مباشرة، مثل هجوم الوسيط أو زرع برامج تجسس على أجهزة الضحايا. يمكن للمهاجمين شراء بيانات الاعتماد على الشبكة الخفية، حيث يمكن للمخترقين الآخرين بيع بيانات الحسابات التي سرقوها خلال الاختراقات السابقة.

ومع ذلك، لا تزال العديد من المؤسسات تستخدم أنظمة مصادقة غير فعالة. ووفقًا لمؤشر X-Force Threat Intelligence، فإن فشل تحديد الهوية والمصادقة هو ثاني أكثر المخاطر الأمنية على الويب شيوعًا التي يتم رصدها.

يمكن أن تساعد عمليات المصادقة القوية في حماية حسابات المستخدمين—والأنظمة التي يمكنهم الوصول إليها—مما يجعل من الصعب على المخترقين سرقة بيانات الاعتماد والتظاهر بأنهم مستخدمون شرعيون.

على سبيل المثال، تجعل المصادقة متعددة العوامل (MFA) الأمر كذلك؛ حيث إن المخترقين يجب عليهم سرقة عوامل مصادقة متعددة، بما في ذلك الأجهزة المادية أو حتى البيانات البيومترية، لانتحال شخصية المستخدمين. وبالمثل، يمكن أن تكشف خطط المصادقة التكيّفية عن سلوكيات المستخدمين المحفوفة بالمخاطر، وتطرح تحديات مصادقة إضافية قبل السماح لهم بالمتابعة. يمكن أن يساعد ذلك في منع محاولات المهاجمين لإساءة استخدام الحسابات المسروقة. 

 حالات استخدام المصادقة

يمكن أن تخدم أنظمة المصادقة أيضًا حالات استخدام محددة تتجاوز تأمين حسابات المستخدمين الفردية، بما في ذلك:

  • التحكم في الوصول: لفرض سياسات وصول دقيقة ومراقبة ما يفعله المستخدمون في شبكاتهم، تحتاج المؤسسات إلى طريقة ما لتحديد الهوية داخل أنظمتها. تمكّن المصادقة المؤسسات من تقييد الوصول إلى الشبكة للمستخدمين الشرعيين فقط، والتأكد من أن كل مستخدم لديه الامتيازات الصحيحة وإسناد النشاط لمستخدمين محددين.

  • الامتثال التنظيمي: تتطلب العديد من لوائح خصوصية وأمن البيانات سياسات صارمة للتحكم في الوصول وتتبع نشاط المستخدم بشكل شامل. وتفرض بعض اللوائح، مثل معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS)، استخدام أنظمة MFA على وجه التحديد.1

  • أمن الذكاء الاصطناعي: نظرًا لأن مصادر التهديد تستخدم أدوات الذكاء الاصطناعي لتنفيذ هجمات إلكترونية متطورة، يمكن أن تساعد تدابير المصادقة القوية في إحباط التهديدات المتقدمة. على سبيل المثال، يمكن للمحتالين استخدام الذكاء الاصطناعي التوليدي لصياغة رسائل تصيد احتيالي مقنعة وسرقة المزيد من كلمات المرور، ولكن يمكن لأنظمة المصادقة التكيفية أن تساعد في القبض على هؤلاء المحتالين عندما يحاولون إساءة استخدام امتيازات الحساب.
حلول ذات صلة
IBM Verify

يمكنك حماية هويات العملاء والقوى العاملة والهويات المميزة وإدارتها عبر السحابة الهجينة بدعم من الذكاء الاصطناعي.

 استكشف IBM Verify
خدمات إدارة الهوية والوصول (IAM)

إدارة شاملة وآمنة ومتوافقة مع إدارة الهوية والوصول للمؤسسات الحديثة.

 استكشف خدمات إدارة الهوية والوصول
IBM Security® Risk-Based Authentication Solution

حماية من الاحتيال تتميز بالشفافية وقائمة على الأدلة مقترنة بإدارة وصول المستخدم.

 استكشف المصادقة المستندة إلى المخاطر
الموارد تقرير تكلفة خرق البيانات

استعد للاختراقات من خلال فهم أسبابها والعوامل التي تزيد أو تقلل من تكاليفها.

 الأمن الإلكتروني في عصر الذكاء الاصطناعي التوليدي

تعرَّف على كيفية تغير الواقع الأمني اليوم وكيفية التغلب على التحديات والاستفادة من مرونة الذكاء الاصطناعي التوليدي في مواجهة الأزمات.

 ما المقصود بإدارة الهوية والوصول؟

إدارة الهوية والوصول (IAM) هي نظام أمن إلكتروني يتعامل مع كيفية وصول المستخدمين إلى الموارد الرقمية وما يمكنهم القيام به باستخدامها.
الحواشي

1 "PCI DSS: v4.0". Security Standards Council. March 2022. (يؤدي الرابط إلى صفحة خارج موقع ibm.com).