ما المقصود بالمصادقة؟

ضع في اعتبارك سيناريو مصادقة شائع: توفير معرّف مستخدم وكلمة مرور لتسجيل الدخول إلى حساب البريد الإلكتروني. عندما يدخل المستخدم معرّف المستخدم الخاص به (والذي من المحتمل أن يكون عنوان البريد الإلكتروني الخاص به في هذه الحالة)، فإنه يخبر نظام البريد الإلكتروني بأنه هو "الشخص المقصود".

ولكن هذا لا يكفي للتحقق من هوية المستخدم النهائي. يمكن لأي شخص إدخال أي معرّف مستخدم يريده، خاصةً عندما يكون معرّف المستخدم شيئًا عامًا مثل عنوان البريد الإلكتروني. لإثبات أن المستخدم هو المالك الفعلي لعنوان البريد الإلكتروني، فإنه يدخل كلمة مروره، وهي معلومة سرية (نظريًا) لا ينبغي أن يعرفها أي شخص آخر. ثم يتبين إلى نظام البريد الإلكتروني أن هذا المستخدم هو صاحب الحساب الحقيقي ويسمح له بالدخول.

يمكن لعمليات المصادقة أيضًا تأكيد هويات المستخدمين من غير البشر مثل الخوادم، وتطبيقات الويب، وغيرها من الأجهزة وأحمال التشغيل.

المصادقة هي عنصر أساسي من عناصر استراتيجية أمن المعلومات . إنها مهمة بشكل خاص لإدارة الهوية والوصول (IAM)، وهي نظام الأمن الإلكتروني الذي يتعامل مع كيفية وصول المستخدمين إلى الموارد الرقمية. تمكّن المصادقة المؤسسات من تقييد الوصول إلى الشبكة للمستخدمين الشرعيين، وهي الخطوة الأولى في فرض أذونات المستخدم الفردية.

أصبحت اليوم هويات المستخدمين أهدافًا رئيسية لمصادر التهديد. ووفقًا لمؤشر IBM X-Force Threat Intelligence Index، فإن اختراق حسابات المستخدمين الصالحة هو إحدى أكثر الطرق الأكثر شيوعًا التي يستخدمها المهاجمون لاختراق الشبكات، ويمثل 30% من الهجمات الإلكترونية. يسرق المخترقون بيانات الاعتماد ثم ينتحلون صفة المستخدمين الشرعيين، ما يسمح لهم بالتسلل عبر دفاعات الشبكة لإدخال برنامج ضار وسرقة البيانات.

ولمكافحة هذه الهجمات القائمة على الهوية، فإن العديد من المؤسسات تبتعد عن أساليب المصادقة القائمة على كلمة المرور فقط. وبدلاً من ذلك، فإنها تعتمد على مصادقة متعددة العوامل، والمصادقة التكيفية وغيرها من أنظمة المصادقة القوية التي يصعب معها سرقة بيانات المستخدم أو تزويرها.

المصادقة والتفويض عمليتان مرتبطتان ولكنهما مختلفتان. تتحقق المصادقة من هوية المستخدم، بينما يمنح التفويض ذلك المستخدم الذي تم التحقق من هويته المستوى المناسب من الوصول إلى الموارد.

يمكن للمرء أن يفكر في المصادقة والتفويض كإجابة على سؤالين متكاملين:

• المصادقة: من أنت؟
  
  
• التفويض: ما المسموح لك القيام به في هذا النظام؟

وتكون المصادقة عادة شرطًا أساسيًا للتفويض. على سبيل المثال، عندما يسجل مسؤول الشبكة الدخول إلى نظام آمن، يجب أن يثبت أنه مسؤول عن طريق الإدلاء بعوامل المصادقة الصحيحة. فقط عندئذٍ سيمنح نظام إدارة الهوية والوصول (IAM) المستخدم صلاحية تنفيذ الإجراءات الإدارية مثل إضافة المستخدمين الآخرين وحذفهم.

على مستوى عالٍ، تعتمد المصادقة على تبادل بيانات اعتماد المستخدم، وتسمى أيضًا عوامل المصادقة. يقدم المستخدم بيانات الاعتماد الخاصة به إلى نظام المصادقة. إذا كانت مطابقة لما هو موجود في ملف النظام، يمنح النظام المستخدم المصادقة.

للتعمق أكثر، يمكن تقسيم عملية المصادقة إلى سلسلة من الخطوات:

1. أولاً، يجب على المستخدم الجديد إنشاء حساب داخل نظام المصادقة. وفي إطار إنشاء هذا الحساب، يسجل المستخدم مجموعة من عوامل المصادقة، والتي يمكن أن تتراوح بين كلمات المرور البسيطة إلى رموز Physical Security المميزة ومسح بصمات الأصابع. (لمزيد من المعلومات، راجع "عوامل المصادقة").
   
   يجب أن تكون هذه العوامل أشياء لا يملكها أو يعرفها سوى المستخدم. وبهذه الطريقة، يمكن لنظام المصادقة أن يكون متأكدًا إلى حد معقول من أنه إذا كان بإمكان شخص ما تقديم هذه العوامل، فلا بد أن يكون هو المستخدم.
   
   
2. يقوم نظام المصادقة بتخزين بيانات المستخدم في دليل أو قاعدة بيانات، حيث تُربط بمعرف المستخدم وسمات أخرى مهمة.
   
   لأغراض أمنية، لا تخزن أنظمة المصادقة عادةً بيانات الاعتماد كنص عادي. وبدلاً من ذلك، تخزِّن نسخ مجزأة أو مشفرة أقل فائدة لأي مخترقين قد يسرقونها.
   
   
3. عندما يرغب المستخدم في تسجيل الدخول إلى النظام، فإنه يقدم معرف المستخدم الخاص به وعوامل المصادقة المسجلة. يتحقق نظام المصادقة من إدخال الدليل لمعرف هذا المستخدم لمعرفة ما إذا كانت بيانات الاعتماد الخاصة به تتطابق مع بيانات الاعتماد المحفوظة في الدليل. إذا كانت تتطابق، يتحقق نظام المصادقة من هوية المستخدم.
   
   ما يمكن للمستخدم الذي تم التحقق منه القيام به بعد ذلك يعتمد على عملية التفويض المستقلة، ولكن ذات الصلة.

في حين أن هذا المثال يفترض وجود مستخدم بشري، فإن المصادقة هي نفسها بشكل عام للمستخدمين غير البشر. على سبيل المثال، عندما يوصل أحد المطورين تطبيقًا بواجهة برمجة التطبيقات (API) للمرة الأولى، قد تنشئ واجهة برمجة التطبيقات مفتاح API. المفتاح عبارة عن قيمة سرية لا يعرفها سوى API والتطبيق. منذ ذلك الحين، كلما أجرى التطبيق اتصالاً بواجهة برمجة التطبيقات، يجب عليه عرض مفتاحه لإثبات أن الاتصال حقيقي.

هناك أربعة أنواع من عوامل المصادقة التي يمكن للمستخدمين استخدامها لإثبات هوياتهم:

عادةً يكون لكل تطبيق فردي أو موقع إلكتروني أو غيره من الموارد نظام إدارة الهوية والوصول (IAM) الخاص به للتعامل مع مصادقة المستخدم. ومع ظهور نظام التحول الرقمي وانتشار تطبيقات الشركات والمستهلكين، أصبح هذا النظام المجزأ مرهقًا وغير مريح.

تجد المؤسسات صعوبة في تتبع المستخدمين وفرض سياسات وصول متسقة في جميع أنحاء الشبكة. يتبع المستخدمون عادات أمنية سيئة، مثل استخدام كلمات مرور بسيطة أو إعادة استخدام بيانات الاعتماد في مختلف الأنظمة.

واستجابةً لذلك، تطبق العديد من المؤسسات مناهج أكثر توحيدًا للهوية حيث يمكن لنظام واحد المصادقة على المستخدمين لمختلف التطبيقات والأصول.

• تسجيل الدخول الموحد (SSO) هو نظام مصادقة يمكن للمستخدمين فيه تسجيل الدخول مرة واحدة باستخدام مجموعة واحدة من بيانات الاعتماد والوصول إلى تطبيقات متعددة داخل نطاق معين.

• بنية الهوية الموحدة هي ترتيب مصادقة أوسع نطاقًا حيث يمكن لأحد الأنظمة مصادقة المستخدمين لنظام آخر. تعد عمليات تسجيل الدخول الاجتماعية—مثل استخدام حساب Google لتسجيل الدخول إلى موقع ويب مختلف—شكلاً شائعًا من أشكال الهوية الموحدة.

• تنسيق الهوية تحذف الهوية والمصادقة من الأنظمة الفردية، وتتعامل مع الهوية كطبقة شبكة في حد ذاتها. وتقدم حلول تنسيق الهوية طبقة تكامل تسمى نسيج الهوية، التي تسمح للمؤسسات بإنشاء أنظمة مصادقة مخصصة يمكنها دمج أي تطبيقات وأصول.

تستخدم أنظمة المصادقة المختلفة مخططات مصادقة مختلفة. تتضمن بعض الأنواع الأكثر شيوعًا ما يلي:

• المصادقة أحادية العامل
• المصادقة متعددة العوامل والمصادقة ثنائية العامل
• المصادقة التكيفية
• المصادقة من دون كلمات مرور

في عملية المصادقة أحادية العامل (SFA)، يحتاج المستخدمون إلى توفير عامل مصادقة واحد فقط لإثبات هوياتهم. في الغالب، تعتمد أنظمة SFA على مجموعات اسم المستخدم وكلمة المرور.

تعتبر SFA أقل أنواع المصادقة أمانًا؛ لأنه يعني أن المخترقين يحتاجون إلى سرقة بيانات اعتماد واحدة فقط للاستيلاء على حساب المستخدم. لا تشجع وكالة الأمن الإلكتروني وأمن البنية التحتية الأمريكية (CISA) رسميًا على استخدام على SFA لأنه "ممارسة سيئة".

تتطلب أساليب المصادقة متعددة العوامل (MFA) عاملين على الأقل من نوعين مختلفين على الأقل. تعد MFA أقوى من SFA لأنه يجب على المخترقين سرقة عدة بيانات اعتماد للاستيلاء على حسابات المستخدمين. كما تميل أنظمة MFA أيضًا إلى استخدام بيانات الاعتماد التي يصعب سرقتها أكثر من كلمات المرور.

تعد المصادقة الثنائية (2FA) نوعًا من أنواع المصادقة متعددة العوامل التي تستخدم عامليّ مصادقة فقط. وهي على الأرجح الشكل الأكثر شيوعًا من أشكال المصادقة متعددة العوامل المستخدمة اليوم. على سبيل المثال، عندما يتطلب موقع إلكتروني من المستخدمين إدخال كلمة مرور ورمز يتم إرساله إلى هواتفهم، فإن هذا هو نهج تفعيل خطة المصادقة الثنائية.

تسمى أحيانًا المصادقة القائمة على المخاطر، وتستخدم أنظمة المصادقة التكيفية الذكاء الاصطناعي (AI) والتعلم الآلي (ML) لتحليل سلوك المستخدم وحساب مستوى المخاطر. تقوم أنظمة المصادقة التكيفية بتغيير متطلبات المصادقة ديناميكيًا بناءً على مدى خطورة سلوك المستخدم في الوقت الحالي.

على سبيل المثال، إذا سجل شخص الدخول إلى حساب من جهازه وموقعه المعتاد، فقد يحتاج إلى إدخال كلمة مروره فقط. إذا سجل المستخدم الدخول من جهاز جديد أو حاول الوصول إلى بيانات حساسة، فقد يطلب نظام المصادقة التكيّفية المزيد من العوامل قبل السماح له بالمتابعة.

المصادقة بدون كلمة مرور هو نظام مصادقة لا يستخدم كلمات مرور أو عوامل معرفة أخرى. على سبيل المثال، يستبدل معيار مصادقة الهوية السريعة عبر الإنترنت 2 (FIDO2) كلمات المرور بمفاتيح مرور تعتمد على التشفير باستخدام المفتاح العام.

وبموجب FIDO2، يسجل المستخدم جهازه ليعمل كأداة مصادقة مع تطبيق أو موقع إلكتروني أو خدمة أخرى. أثناء التسجيل، يُنشأ زوج المفاتيح العامة-الخاصة أثناء التسجيل. تتم مشاركة المفتاح العام مع الخدمة والاحتفاظ بالمفتاح الخاص على جهاز المستخدم.

عندما يريد المستخدم تسجيل الدخول إلى الخدمة، ترسل الخدمة تحديًا إلى جهازه. يستجيب المستخدم عن طريق إدخال رمز PIN أو مسح بصمة الإصبع أو تنفيذ ببعض الإجراءات الأخرى. يمكّن هذا الإجراء الجهاز من استخدام المفتاح الخاص لتوقيع التحدي وإثبات هوية المستخدم.

تتبنى المؤسسات بشكل متزايد المصادقة بدون كلمة مرور للدفاع عن نفسها ضد لصوص بيانات الاعتماد الذين يميلون إلى التركيز على عوامل المعرفة بسبب سهولة سرقتها نسبيًا.

• لغة ترميز تأكيد الأمن (SAML ) هي معيار مفتوح يسمح للتطبيقات والخدمات بمشاركة معلومات مصادقة المستخدم من خلال رسائل XML. تستخدم العديد من أنظمة تسجيل الدخول الموحد (SSO) تأكيدات SAML لمصادقة المستخدمين على التطبيقات المدمجة.
  
  
• OAuth وOpenID Connect (OIDC): OAuth هو بروتوكول تفويض قائم على الرمز المميز يسمح للمستخدمين بمنح تطبيق واحد حق الوصول إلى البيانات في تطبيق آخر بدون مشاركة بيانات الاعتماد بين هذه التطبيقات. على سبيل المثال، عندما يسمح المستخدم لأحد مواقع التواصل الاجتماعي باستيراد جهات الاتصال الخاصة به على البريد الإلكتروني، تستخدم هذه العملية OAuth.
  
  لا يُعدُّ OAuth بروتوكول مصادقة، ولكن يمكن دمجه مع OpenID Connect (OIDC)، وهي طبقة هوية مبنية على بروتوكول OAuth. يضيف ODIC رموز هوية مميزة إلى جانب رموز اعتماد OAuth المميزة. يمكن أن تصادق رموز الهوية المميزة على المستخدم، وتحتوي على معلومات عن سماته.
  
  
• Kerberos هو نظام مصادقة يستند إلى التذكرة ويستخدم بشكل شائع في نطاقات Microsoft Active Directory. يصادق المستخدمون والخدمات على مركز توزيع مفاتيح مركزي يمنحهم تذاكر تسمح لهم بالمصادقة على بعضهم بعضًا والوصول إلى موارد أخرى في نفس النطاق.

مع ازدياد فعالية ضوابط الأمن الإلكتروني، تتعلم مصادر التهديد الالتفاف حولها بدلاً من مواجهتها مباشرةً. يمكن لعمليات المصادقة القوية أن تساعد في إيقاف الهجمات الإلكترونية القائمة على اختراق الهوية التي يسرق فيها المخترقون حسابات المستخدمين ويسيئون استخدام امتيازاتهم الصالحة؛ للتسلل عبر دفاعات الشبكة وإحداث الفوضى.

تُعدُّ الهجمات القائمة على الهوية واحدة من أكثر متجهات الهجوم الأولية شيوعًا وفقًا لمؤشر X-Force Threat Intelligence Index، ولدى عنصر التهديد العديد من الأساليب لسرقة بيانات الاعتماد. من السهل اختراق كلمات مرور المستخدم، حتى كلمات المرور القوية، من خلال هجمات القوة الغاشمة حيث يستخدم المخترقون الروبوتات والبرامج النصية لاختبار كلمات المرور المحتملة بشكل منهجي حتى تنجح إحداها.

يمكن أن تستخدم مصادر التهديد أساليب الهندسة الاجتماعية لخداع الأهداف للتخلي عن كلمات مرورها. ويمكنهم تجربة طرق أكثر مباشرة، مثل هجوم الوسيط أو زرع برامج تجسس على أجهزة الضحايا. يمكن للمهاجمين شراء بيانات الاعتماد على الشبكة الخفية، حيث يمكن للمخترقين الآخرين بيع بيانات الحسابات التي سرقوها خلال الاختراقات السابقة.

ومع ذلك، لا تزال العديد من المؤسسات تستخدم أنظمة مصادقة غير فعالة. ووفقًا لمؤشر X-Force Threat Intelligence، فإن فشل تحديد الهوية والمصادقة هو ثاني أكثر المخاطر الأمنية على الويب شيوعًا التي يتم رصدها.

يمكن أن تساعد عمليات المصادقة القوية في حماية حسابات المستخدمين—والأنظمة التي يمكنهم الوصول إليها—مما يجعل من الصعب على المخترقين سرقة بيانات الاعتماد والتظاهر بأنهم مستخدمون شرعيون.

على سبيل المثال، تجعل المصادقة متعددة العوامل (MFA) الأمر كذلك؛ حيث إن المخترقين يجب عليهم سرقة عوامل مصادقة متعددة، بما في ذلك الأجهزة المادية أو حتى البيانات البيومترية، لانتحال شخصية المستخدمين. وبالمثل، يمكن أن تكشف خطط المصادقة التكيّفية عن سلوكيات المستخدمين المحفوفة بالمخاطر، وتطرح تحديات مصادقة إضافية قبل السماح لهم بالمتابعة. يمكن أن يساعد ذلك في منع محاولات المهاجمين لإساءة استخدام الحسابات المسروقة.

من خلال تعزيز الأمن السيبراني، يمكن أن تساعد المصادقة في تحقيق فوائد إضافية أيضًا. على سبيل المثال، وجدت دراسة أجراها معهد IBM لقيمة الأعمال أن 66% من المديرين التنفيذيين للعمليات يرون الأمن السيبراني كعامل تمكين للإيرادات.

يمكن أن تخدم أنظمة المصادقة أيضًا حالات استخدام محددة تتجاوز تأمين حسابات المستخدمين الفردية، بما في ذلك:

• التحكم في الوصول: لفرض سياسات وصول دقيقة ومراقبة ما يفعله المستخدمون في شبكاتهم، تحتاج المؤسسات إلى طريقة ما لتحديد الهوية داخل أنظمتها. تمكّن المصادقة المؤسسات من تقييد الوصول إلى الشبكة للمستخدمين الشرعيين فقط، والتأكد من أن كل مستخدم لديه الامتيازات الصحيحة وإسناد النشاط لمستخدمين محددين.
  
  
• الامتثال التنظيمي: تتطلب العديد من لوائح خصوصية وأمن البيانات سياسات صارمة للتحكم في الوصول وتتبع نشاط المستخدم بشكل شامل. وتفرض بعض اللوائح، مثل معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS)، استخدام أنظمة MFA على وجه التحديد.¹
  
  
• أمن الذكاء الاصطناعي: نظرًا لأن مصادر التهديد تستخدم أدوات الذكاء الاصطناعي لتنفيذ هجمات إلكترونية متطورة، يمكن أن تساعد تدابير المصادقة القوية في إحباط التهديدات المتقدمة. على سبيل المثال، يمكن للمحتالين استخدام الذكاء الاصطناعي التوليدي لصياغة رسائل تصيد احتيالي مقنعة وسرقة المزيد من كلمات المرور، ولكن يمكن لأنظمة المصادقة التكيفية أن تساعد في القبض على هؤلاء المحتالين عندما يحاولون إساءة استخدام امتيازات الحساب.