ما المقصود بمصادقة الهوية السريعة عبر الإنترنت (مصادقة FIDO)؟

يتم تخزين مفاتيح المرور على جهاز المستخدم، مثل الهاتف الذكي. وهي تُتيح للمستخدم تسجيل الدخول إلى موقع أو تطبيق باستخدام الوسائل نفسها التي يستخدمها لفتح جهازه، مثل التعرُّف على الوجه أو بصمة الإصبع أو إدخال رقم التعريف الشخصي (PIN).

يشير تقرير IBM® X-Force Threat Intelligence Index إلى أن سرقة الاعتماد هي التأثير الأكثر شيوعًا الذي يواجه ضحايا الاختراقات. تستخدِم عناصر التهديد هجمات التصيد الاحتيالي والبرامج الضارة المخصصة لسرقة المعلومات لجمع بيانات الاعتماد هذه، والتي يمكنهم بيعها على الشبكة الخفية أو استخدامها لتوسيع نطاق وصولهم في الشبكة. ما يقرب من ثلث الهجمات الإلكترونية تتضمن الاستيلاء على حسابات مستخدمين صالحة.

تسهم مصادقة FIDO في تقليل تهديدات الأمن الإلكتروني الناتجة عن سرقة بيانات الاعتماد واختطاف الحسابات. لا يمكن سرقة مفاتيح المرور بسهولة كما هو الحال مع كلمات المرور. لاختراق حساب محمي بمفتاح مرور، يجب على المهاجم الوصول إلى جهاز المستخدم وأيضًا إدخال رمز PIN بنجاح أو تجاوز الحماية البيومترية.

يُعَد FIDO Alliance تجمعًا يضم هيئات حكومية وشركات أعمال وشركات تقنية مثل IBM وApple وAmazon وMicrosoft وPayPal وغيرها. تعمل هذه المجموعة على تطوير وصيانة معايير مصادقة FIDO بهدف تقليل الاعتماد على كلمات المرور.

أصدر تحالف FIDO أول بروتوكول له، FIDO 1.0، في عام 2014. وتم تطوير أحدث بروتوكول، FIDO2، بالتعاون مع World Wide Web Consortium، وصدر في عام 2018.

اليوم، يستخدم ملايين الأشخاص مصادقة FIDO لتسجيل الدخول إلى المواقع والتطبيقات. يحظى بروتوكول FIDO2 بدعم من متصفحات الويب الرائدة، وأنظمة تسجيل الدخول الموحَّد (SSO)، وحلول إدارة الهوية والوصول (IAM)، وخوادم الويب، وأنظمة التشغيل مثل iOS وMacOS وAndroid وWindows.

تستخدِم مصادقة FIDO التشفير بالمفتاح العام (PKC) لإنشاء زوج مفاتيح تشفير فريد مرتبط بحساب المستخدم. يتكوّن زوج المفاتيح هذا، المعروف باسم "مفتاح المرور"، من مفتاح عام يتم تخزينه لدى مزود الخدمة، ومفتاح خاص يبقى محفوظًا على جهاز المستخدم.

عندما يسجِّل المستخدم الدخول إلى حسابه، يُرسِل مزوِّد الخدمة تحديًا -عادةً ما يكون سلسلة عشوائية من الأحرف- إلى جهاز المستخدم. يطلب الجهاز من المستخدم إثبات هويته من خلال إدخال رقم PIN أو استخدام المصادقة البيومترية.

إذا نجح المستخدم في المصادقة، يستخدِم الجهاز المفتاح الخاص لتوقيع التحدي وإرساله إلى مزود الخدمة. يستخدم مزود الخدمة المفتاح العام للتحقق من أن المفتاح الخاص الصحيح قد تم استخدامه، وفي حال التأكد، يمنح المستخدم حق الوصول إلى حسابه.

يمكن استخدام مفتاح المرور المخزَّن على جهاز لتسجيل الدخول إلى خدمة على جهاز آخر. على سبيل المثال، إذا قام المستخدم بإعداد مفتاح مرور لحسابه البريدي على جهازه المحمول، يمكنه تسجيل الدخول إلى الحساب نفسه من خلال الكمبيوتر المحمول. يُكمل المستخدم تحدي المصادقة على الجهاز المحمول المسجَّل.

تدعم FIDO كذلك استخدام مفاتيح الأمان، المعروفة أيضًا باسم "الأجهزة الرمزية"، كطريقة للمصادقة. مفاتيح أمان FIDO هي أجهزة مادية صغيرة مخصصة قادرة على إنشاء أزواج مفاتيح وتوقيع التحديات. تتصل هذه الأجهزة بالأجهزة الأخرى عبر تقنية Bluetooth، أو بروتوكولات الاتصال قريب المدى (NFC)، أو من خلال منفذ USB. ويمكن لمفتاح أمان FIDO أن يحل محل البيانات البيومترية أو رمز PIN في عملية المصادقة، حيث يكفي امتلاك المفتاح لإثبات هوية المستخدم.

نظرًا لأن المفتاح الخاص مخزَّن على جهاز المستخدم ولا يغادره أبدًا، فإن احتمال حدوث خرق أمني يكون منخفضًا. إذ لا يستطيع المتسللون سرقته عن طريق اختراق قاعدة بيانات أو اعتراض الاتصالات. والمفتاح العام الذي يحتفظ به مزود الخدمة لا يحتوي على معلومات حساسة، ولا يشكِّل قيمة كبيرة للمتسللين.

لإعداد مصادقة FIDO على حساب بريد إلكتروني، يمكن للمستخدم اتِّباع الخطوات التالية:

1. في إعدادات الحساب، يختار المستخدم "مفتاح المرور" كطريقة مصادقة.
   
   
2. يختار المستخدم الجهاز الذي يريد إنشاء مفتاح المرور عليه. تُنشئ معظم الأنظمة افتراضيًا مفتاح المرور على الجهاز المستخدم حاليًا، لكن المستخدمين غالبًا ما يمكنهم اختيار جهاز آخر يملكونه.
     
3. يطلب الجهاز المحدد من المستخدم التحقق من هويته عبر القياسات الحيوية أو رمز PIN.
   
   
4. يُنشئ جهاز المستخدم زوجًا من المفاتيح التشفيرية. يتم إرسال المفتاح العام إلى مزود البريد الإلكتروني، بينما يتم تخزين المفتاح الخاص على الجهاز.
   
   
5. في المرة التالية التي يسجِّل فيها المستخدم الدخول، يُرسِل مزود البريد تحديًا إلى جهاز المستخدم.
   
   
6. يجيب المستخدم على التحدي من خلال المصادقة باستخدام القياسات الحيوية أو رمز PIN.
   
   
7. يُعيد الجهاز التحدي الموقَّع إلى مزود البريد الإلكتروني، والذي يستخدم المفتاح العام للتحقق منه.
   
   
8. يتم منح المستخدم حق الوصول إلى حساب البريد الإلكتروني.

تدعم FIDO نوعين من مفاتيح المرور: مفاتيح المرور المتزامنة ومفاتيح المرور المرتبطة بالجهاز.

يمكن استخدام مفاتيح المرور المتزامنة عبر عدة أجهزة، ما يجعلها أكثر سهولة في الاستخدام. يمكن لمديري بيانات الاعتماد مثل Apple Passwords وWindows Hello وGoogle Password Manager تخزين مفاتيح المرور المتزامنة وإتاحتها للمستخدمين على أي جهاز.

على سبيل المثال، قد يسجِّل المستخدم مفتاح مرور على هاتف ذكي للوصول إلى تطبيق بنكي. يتوفر مفتاح المرور نفسه من خلال مدير بيانات الاعتماد عندما يسجِّل المستخدم الدخول إلى التطبيق البنكي باستخدام الكمبيوتر المحمول أو الجهاز اللوحي.

يرتبط هذا النوع من مفاتيح المرور بجهاز واحد، ما يوفر أعلى مستوى من الأمان.

عادةً ما يتم الوصول إلى مفاتيح المرور المرتبطة بالجهاز باستخدام مفتاح أمان مادي متصل بجهاز معين. لا يمكن لمفتاح المرور مغادرة الجهاز، لذلك فهو أقل عرضةً للوصول غير المصرح به.

غالبًا ما تُستخدم مفاتيح المرور المرتبطة بالجهاز للوصول إلى معلومات حساسة للغاية مثل البيانات المالية أو الملكية الفكرية للشركات أو المواد الحكومية السرية.

تطورت بروتوكولات FIDO وتحسنت منذ طرح FIDO 1.0 في عام 2014. يتم دمج الوظائف من البروتوكولات المقدَّمة في FIDO 1.0 في البروتوكولات الأحدث لمصادقة FIDO2.

كان بروتوكول FIDO UAF من أوائل البروتوكولات التي طوَّرها تحالف FIDO. وهو يُتيح إمكانية تسجيل الدخول إلى الخدمة دون استخدام كلمة مرور. باستخدام UAF، يمكن للمستخدم المصادقة مباشرةً من الجهاز باستخدام بيانات بيومترية مثل التعرُّف على الوجه أو رمز PIN.

تم تطوير U2F لتوفير المصادقة ثنائية العوامل (2FA) للأنظمة التي تعتمد على أسماء المستخدمين وكلمات المرور. تتطلب طرق المصادقة ثنائية العوامل وجود عامل ثانٍ لتأكيد هوية المستخدمين. يستخدِم U2F مفتاح أمان مادي كعامل ثاني.

بعد إصدار FIDO2، تمت إعادة تسمية U2F إلى "CTAP1".

قدَّم FIDO2 بروتوكولين جديدين يوسِّعان نطاق وقدرات البروتوكولات السابقة.

يعمل WebAuthn على تحسين قدرات UAF من خلال توفير واجهة برمجة تطبيقات الويب (web API) التي تجعل المصادقة دون كلمة مرور متاحة للأطراف المعتمدة. يُشير مصطلح "الأطراف المعتمدة" إلى المواقع الإلكترونية وتطبيقات الويب التي تستخدِم مصادقة FIDO.

بالإضافة إلى واجهة برمجة التطبيقات، يوفر WebAuthn أيضًا معايير FIDO التي تحدِّد كيفية سير التفاعلات بين تطبيق الويب، ومتصفح الويب، وجهاز المصادقة مثل مفتاح الأمان.

يحدِّد CTAP2 كيفية تواصل عميل FIDO مثل متصفح الويب أو نظام التشغيل مع جهاز المصادقة. وجهاز المصادقة هو العنصر الذي يتحقق من هوية المستخدم.

في U2F (أو CTAP1)، كان جهاز المصادقة دائمًا مفتاح أمان. يضيف CTAP2 دعمًا لمصادقات إضافية موجودة على جهاز المستخدم، مثل التعرُّف على الصوت والوجه، وبصمات الأصابع، أو رمز PIN.

توفِّر مفاتيح مرور FIDO طريقة أسرع وأسهل وأكثر أمانًا لتسجيل دخول المستخدم. بالنسبة إلى مواقع التجارة الإلكترونية ومزودي الخدمات العالميين الكبار، يمكن لـ FIDO تحسين تجربة العملاء وتقليل الحاجة إلى استعادة الحساب بسبب فقدان بيانات الدخول أو نسيانها.

تستخدم المؤسسات مصادقة FIDO لمنح الموظفين والموردين والمقاولين وغيرهم من الأطراف المعنية وصولًا سريعًا إلى موارد الشركة. بالمقارنة مع مصادقة كلمة المرور، يمكن أن توفِّر مفاتيح مرور FIDO أمانًا فائقًا وسهولةً في الاستخدام.

غالبًا ما يتم استخدام FIDO لمصادقة المتسوقين في بيئات التجارة الإلكترونية، مثل تأكيد الدفع عبر تطبيقات الهواتف المحمولة. ويمكن أيضًا استخدامها للتحقق من هوية حامل البطاقة قبل السماح بمتابعة المعاملة.

لا تتولى FIDO معالجة المدفوعات، لكنها تساعد على التأكد من أن الأشخاص مصرَّح لهم بإجراء المعاملات، ما يقلل من الاحتيال.

تستخدِم بعض الهيئات الحكومية الآن مصادقة FIDO في مهام مثل معالجة الإقرارات الضريبية والتحقق من طلبات الحصول على المزايا الحكومية. على سبيل المثال، خدمة login.gov التي تُتيح للمواطنين نقطة وصول موحَّدة لمجموعة من الوكالات الفيدرالية الأمريكية تستخدم مصادقة FIDO2.