المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي هي أسلوب مصادقة متعددة العوامل يستخدم مفاتيح تشفير مرتبطة بالمواقع الحقيقية للتحقق من هوية المستخدم بطريقة تمنع الاعتراض أو إعادة الاستخدام أو الهندسة الاجتماعية.
تعمل معظم أساليب المصادقة متعددة العوامل - مثل رموز SMS، وكلمات المرور لمرة واحدة، وإشعارات الموافقة- عن طريق إنشاء سر يقوم المستخدم بعد ذلك بإدخاله في الخدمة. فعلى سبيل المثال، عند تسجيل دخول المستخدم إلى حسابه البنكي، قد يُدخل كلمة المرور بالإضافة إلى رمز مكوَّن من ستة أرقام يُرسل إلى هاتفه أو يتم توليده عبر تطبيق المصادقة.
ورغم أن هذه الأساليب تساعد على إيقاف العديد من الهجمات، فإنها قد تواجه صعوبات مع التصيد الاحتيالي - وهي هجمات إلكترونية تستخدم وسائل خادعة لخداع المستخدمين وإقناعهم بكشف بيانات الاعتماد أو الموافقة على وصول احتيالي.
تستغل هجمات التصيد الاحتيالي سلوك المستخدمين بدلًا من الثغرات التقنية، ما يجعل من الصعب على أساليب المصادقة متعددة العوامل التقليدية التصدي لها. فعوامل المصادقة التي يسرقها المهاجمون أو يتلاعبون بها تكون صحيحة من الناحية التقنية. فالرمز حقيقي، والموافقة أصلية، وبيانات الاعتماد صحيحة. لكن المصادقة متعددة العوامل التقليدية لا تمتلك وسيلة للتمييز بين تسجيل دخول مشروع وآخر تم الحصول عليه عبر الخداع أو الاعتراض.
ووفقًا لمؤشر IBM X-Force Threat Intelligence Index، يُعَد التصيد الاحتيالي أحد الأساليب الرئيسية التي يستخدمها المهاجمون للحصول على بيانات اعتماد صحيحة ثم إساءة استخدامها. كما تُعَد الحسابات المسروقة أحد أكثر متجهات الهجوم الأولية شيوعًا، حيث تمثِّل 32% من الحوادث.
تساعد المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي في إيقاف هذه الهجمات من خلال تقديم المصادقة بطريقة مختلفة جذريًا. فبدلًا من إرسال سر مشترك، تعتمد على تشفير المفتاح العام وتقنية تُعرَف باسم ربط الأصل.
تشفير المفتاح العام هو نهج تشفيري يستخدم زوجًا من المفاتيح المرتبطة رياضيًا، أحدهما عام والآخر خاص، للتحقق من الهوية دون إرسال سر مشترك.
أما ربط الأصل، فيعني أن أداة المصادقة -مثل مفتاح الأمان أو مفتاح المرور على الهاتف- لا تستجيب إلا عند التعرُّف على النطاق الشرعي للموقع. أما إذا كان الموقع مزيفًا، فإن أداة المصادقة تظل صامتة، ولا يكون هناك أي شيء يمكن للمهاجم التقاطه.
فعلى سبيل المثال، لنفترض أن أحد الموظفين تم خداعه للدخول إلى صفحة تسجيل دخول مزيفة بدلًا من الصفحة الحقيقية. ستتحقق أداة المصادقة الخاصة به من النطاق، وعند عدم العثور على تطابق، لن تستجيب، حتى لو كان قد أدخل بيانات الاعتماد بالفعل.
وباستخدام المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي، يمكن للمؤسسات المساعدة على حماية حسابات المستخدمين حتى عندما يقع الموظفون ضحية لمحاولات التصيد الاحتيالي. كما يمكنها المساعدة على تلبية العدد المتزايد من المعايير والمتطلبات التنظيمية - الصادرة عن جهات مثل المعهد الوطني الأمريكي للمعايير والتقنية (NIST) ووكالة الأمن الإلكتروني وأمن البنية التحتية (CISA) وجهات الاكتتاب في التأمين الإلكتروني - التي أصبحت تَعتبر المصادقة المقاومة للتصيد الاحتيالي معيارًا أساسيًا للمصادقة القوية.
انضم إلى قادة الأمن الإلكتروني الذين يعتمدون على الرسالة الإخبارية Think للحصول على أخبار مُنتقاة عن الذكاء الاصطناعي والأمن السيبراني والبيانات والأتمتة. تعلم بسرعة من برامج تعليمية وشروحات يقدّمها خبراء - تُرسَل مباشرة إلى بريدك الإلكتروني. راجع بيان الخصوصية لشركة IBM.
تكمن المشكلة في معظم أساليب المصادقة في أنها تشترك في نقطة ضعف هيكلية: اعتمادها على سر يقوم المستخدم بإرساله. وعندما يكون هذا السر قيد النقل، يصبح عرضة للاعتراض أو إعادة الاستخدام أو الانتزاع عبر الهندسة الاجتماعية.
ويمتلك كل نوع من عوامل المصادقة في أنظمة المصادقة متعددة العوامل التقليدية ثغرات أمنية محددة، وقد طوَّر مجرمو الإنترنت مجموعات أدوات كاملة لاستغلالها.
تمر رموز الرسائل النصية القصيرة (SMS) عبر بنية تحتية لشركات الاتصالات لم يتم تصميمها أساسًا مع مراعاة الأمن الإلكتروني.
وفي هجوم تبديل شريحة SIM، ينجح المهاجم في إقناع شركة الاتصالات -أو خداع أحد موظفي مركز الاتصال عبر الهندسة الاجتماعية- بنقل رقم هاتف الضحية إلى شريحة SIM جديدة. وبمجرد نقل الرقم، تصبح جميع الرسائل النصية، بما في ذلك رموز المصادقة متعددة العوامل، تصل إلى المهاجم.
كما أن رموز SMS معرضة أيضًا لثغرات SS7، وهي ثغرات أمنية قديمة في بروتوكول الإشارات الذي لا يزال مزوِّدو الاتصالات يستخدمونه لتوجيه الرسائل بين الشبكات. وقد تسمح ثغرات SS7 الأمنية للمهاجمين باعتراض رسائل SMS أو إعادة توجيهها على مستوى الشبكة، دون الحاجة إلى الوصول إلى جهاز الضحية أو حسابه لدى شركة الاتصالات. وغالبًا ما يكون اكتشاف الهجمات المعتمدة على SS7 أكثر صعوبةً حتى من هجمات تبديل شريحة SIM.
تستخدم تطبيقات المصادقة كلمات المرور لمرة واحدة (OTP) للتحقق من هوية المستخدم عند تسجيل الدخول. وغالبًا ما تكون كلمات المرور لمرة واحدة أكثر صعوبةً في الاعتراض أثناء النقل لأنها يتم إنشاؤها محليًا على جهاز المستخدم بدلًا من إرسالها عبر شبكة الهاتف. ومع ذلك، تظل عرضة لهجمات الوسيط (MitM)، حيث يضع مجرم إلكتروني نفسه سرًا بين المستخدم والخدمة الشرعية لاعتراض بيانات الاعتماد وتمريرها في الوقت الفعلي.
تحدث هجمات الوسيط عندما يقوم عنصر تهديد بإعداد خادم وكيل (Proxy Server) بين الضحية وصفحة تسجيل الدخول الحقيقية. ثم ينقر الضحية على رابط ضمن هجوم تصيُّد احتيالي ليصل إلى صفحة تبدو مطابقة تمامًا للصفحة الأصلية، لأنها فعليًا انعكاس لها عبر الخادم الوكيل الخاص بالمهاجم. بعد ذلك، يُدخل الضحية اسم المستخدم وكلمة المرور وكلمة المرور لمرة واحدة (OTP). يعمل الخادم الوكيل على تمرير هذه البيانات إلى الخدمة الحقيقية، التي تتحقق من الرمز وتُعيد رمز جلسة. وهنا يلتقط الخادم الوكيل هذا الرمز ويُرسله إلى المهاجم. لقد كانت كلمة المرور لمرة واحدة صحيحة بالفعل، لكن تم استخدامها من قِبل الشخص الخطأ ومن خلال موقع غير شرعي.
وتُباع اليوم مجموعات تصيُّد احتيالي تعمل على أتمتة هذه العملية بالكامل كخدمة عبر الشبكة الخفية، إلى جانب كميات ضخمة من بيانات الاعتماد المسروقة. ولم يَعُد المجرمون الإلكترونيون بحاجة إلى تطوير أدواتهم الخاصة. بل يمكنهم شراء الوصول إلى حسابات المستخدمين والبيانات الحساسة بالطريقة نفسها التي تشتري بها الشركات البرمجيات.
يمكن لإشعارات الموافقة تبسيط عملية المصادقة، حيث تُتيح للمستخدم الضغط على "موافق" على هاتفه بدلًا من إدخال رمز. لكن هذه السهولة قد تشكِّل ثغرة أمنية تُعرَف باسم إغراق إشعارات الموافقة.
يعمل هذا النوع من الهجمات على النحو التالي: يقوم المهاجم الإلكتروني، الذي يكون قد حصل بالفعل على بيانات اعتماد مسروقة، بإرسال طلبات موافقة بشكل متكرر، وأحيانًا لمدة ساعة أو أكثر. ولإيقاف هذه الإزعاجات، أو نتيجة الاعتقاد بأنها طلبات حقيقية، يضغط الضحية على "موافق"، ما يمنح المهاجم وصولًا إلى حسابه.
كما يمكن للهندسة الاجتماعية أن تعزز هذا النوع من الهجمات. فقد يرسل المخترقون رسائل عبر WhatsApp أو Teams متنكرين في هيئة فريق الأمن التقني، محذِّرين من محاولات تسجيل دخول غير معتادة إلى حساب الضحية، ويطلبون منه الموافقة على الإشعار.
وقد جعل الذكاء الاصطناعي التوليدي هذه التهديدات الإلكترونية أكثر صعوبة في الاكتشاف. فيمكن للمهاجمين الآن صياغة رسائل تستند إلى مشروعات جارية حقيقية، ومحاكاة أسلوب إشعارات فِرق تكنولوجيا المعلومات في الشركات، والتطابق مع لغة المستخدم المستهدف. وقد أصبحت قدرات كانت تتطلب جهدًا بشريًا متقدمًا قبل سنوات قليلة قابلة اليوم للأتمتة والتبسيط.
يكمن الاختلاف الأساسي بين المصادقة متعددة العوامل التقليدية والمصادقة متعددة العوامل المقاومة للتصيد الاحتيالي إلى ما يتم تمريره عبر الشبكة. فالمصادقة التقليدية ترسل سرًا مشتركًا -مثل رمز- من المستخدم إلى الخادم. وأي طرف قادر على اعتراض هذا الرمز أو تمريره يمكنه استخدامه. أما المصادقة المقاومة للتصيد الاحتيالي فتُلغي مفهوم السر المشترك بالكامل.
بدلًا من ذلك، تستخدم عملية المصادقة بروتوكول تحدٍ واستجابة يعتمد على تشفير المفتاح العام. يمتلك جهاز المستخدم مفتاحًا خاصًا لا يغادر الجهاز أبدًا. ويمتلك النظام المفتاح العام المقابل له. وعند يقوم المستخدم بتسجيل الدخول، يرسل النظام تحديًا عشوائيًا. ويوقِّع الجهاز هذا التحدي باستخدام المفتاح الخاص. ثم يتحقق النظام من التوقيع باستخدام المفتاح العام. وإذا تطابقا، تتم المصادقة، دون وجود أي شيء في هذه العملية يمكن للمهاجم سرقته أو إعادة استخدامه.
هناك طريقتان شائعتان لتنفيذ ذلك: FIDO2 والمصادقة القائمة على الشهادات (PKI). تعتمد كلتاهما على تشفير المفتاح العام، لكنهما تختلفان في طريقة التنفيذ وسيناريوهات الاستخدام المعتادة. وبمعنى آخر، التشفير هو الآلية الأساسية، بينما تمثِّل FIDO2 وPKI أكثر طريقتين شائعتين لتطبيقه داخل المؤسسات.
تأتي أدوات المصادقة -سواء أكانت أجهزة فعلية أم رموزًا برمجية يتفاعل معها المستخدم- بأشكال مختلفة بحسب النهج المستخدم. وتُعَد مفاتيح الأمان ومفاتيح المرور (Passkeys) من الخيارات الشائعة مع FIDO2، بينما يتم استخدام البطاقات الذكية بشكل واسع في المصادقة القائمة على الشهادات (PKI).
تُعَد FIDO2 مجموعة من معايير المصادقة المفتوحة التي يديرها FIDO Alliance بالتعاون مع World Wide Web Consortium (W3C).
وتتكوَّن من بروتوكولين: WebAuthn، وهو واجهة برمجة تطبيقات في المتصفح التي تستخدمها المواقع لطلب المصادقة التشفيرية، وبروتوكول العميل إلى المصادقة (CTAP)، الذي يُتيح لأدوات المصادقة الخارجية التواصل مع المتصفحات وأنظمة التشغيل.
عند تسجيل المستخدم في خدمة تدعم FIDO2، تعمل أداة المصادقة على إنشاء زوج من المفاتيح. يبقى المفتاح الخاص محفوظًا داخل أداة المصادقة. بينما يُرسل المفتاح العام إلى الخدمة. ويرتبط زوج المفاتيح هذا أيضًا بالنطاق المحدد (الأصل) الخاص بالخدمة - مثل "login.example.com".
وعندما يحاول المستخدم تسجيل الدخول، يتحقق المتصفح من نطاق الموقع بمقارنته مع الأصل المسجل مسبقًا. فإذا كان الموقع هو "login.example.com"، فإن النطاقات تتطابق وتستجيب أداة المصادقة.
أما إذا كان "login-example.com"، وهو نطاق قد يبدو مقنعًا بما يكفي لخداع المستخدم لكنه ليس مطابقًا فعليًا، فإن أداة المصادقة تظل صامتة. وبذلك لا يحتاج المستخدم النهائي إلى تقييم إذا ما كان عنوان URL يبدو شرعيًا أم لا. إذ يتولى بروتوكول المصادقة FIDO هذه المهمة تلقائيًا.
تستخدم البنية التحتية للمفتاح العام (PKI) شهادات رقمية تصدرها جهة موثوق بها لإصدار الشهادات. وتتبع عملية المصادقة النمط نفسه القائم على التحدي والاستجابة المستخدم في FIDO2: حيث تُرسل الخدمة تحديًا، ويقوم الجهاز الفعلي بتوقيعه، ثم تتحقق الخدمة من صحة التوقيع. ولا يتم إرسال أي سر عبر الشبكة.
وقد ظلت المصادقة القائمة على PKI معيارًا معتمدًا في الجهات الحكومية وقطاع الدفاع لعقود. وتفي البطاقات الذكية -وهي بطاقات فعلية تحتوي على شريحة مدمجة تخزِّن بيانات الاعتماد وتقوم بمصادقة المستخدم عند إدخالها في قارئ بطاقات أو تمريرها بالقرب منه- بمتطلبات صارمة للتحقق من الهوية.
ورغم أن البطاقات الذكية تُعَد أكثر أدوات المصادقة شيوعًا في PKI، فإنها ليست الخيار الوحيد. إذ يمكن أيضًا تخزين شهادات PKI على رموز USB أو إدارتها عبر البرمجيات. وفي البيئات الحكومية وبيئات المؤسسات، يتم تفضيل البطاقات الذكية عادةً لأنها توفِّر حماية على مستوى الأجهزة للمفتاح الخاص.
كما تعتمد قطاعات أخرى تمتلك بنية تحتية محلية قائمة ومتطلبات تنظيمية صارمة -مثل الرعاية الصحية والخدمات المالية والخدمات القانونية- غالبًا على البطاقات الذكية للأسباب نفسها.
أما المؤسسات التي تبدأ من الصفر، فعادةً ما تفضِّل FIDO2 لأنها تتطلب قدرًا أقل بكثير من التعقيد والجهد التشغيلي.
أدوات المصادقة هي الأجهزة الفعلية أو الآليات البرمجية التي يتفاعل معها المستخدم لإكمال عملية المصادقة - أي أنها التطبيق العملي لمعايير FIDO2 وPKI.
ويعتمد اختيار الشكل المناسب على مستوى المخاطر، والبنية التحتية الحالية، والمفاضلات المتعلقة بتجربة المستخدم التي تكون المؤسسة مستعدة لقبولها. ولهذا السبب، يعتمد العديد من المؤسسات الكبرى على أكثر من نوع واحد.
تتضمن بعض أنواع أدوات المصادقة الأكثر شيوعًا ما يلي:
مفاتيح الأمان المادية هي أجهزة فعلية، مثل YubiKey أو Google Titan Key، تعمل على تخزين مفاتيح التشفير داخل أجهزة مقاومة للتلاعب. وتتصل عبر USB أو تقنية الاتصال قريب المدى (NFC)، مثل تمرير سلسلة مفاتيح بالقرب من الهاتف أو استخدام بطاقة لاتلامسية مع قارئ مخصص.
وبما أن المفتاح الخاص يتم إنشاؤه داخل الشريحة المقاومة للعبث في المفتاح نفسه ولا يغادرها مطلقًا -حتى أثناء عملية المصادقة- فإن المهاجم يحتاج إلى امتلاك الجهاز فعليًا لاختراقه. أما الهجمات عن بُعد، فهي شبه مستحيلة عمليًا. لكن التكلفة التشغيلية تكمن في التوزيع، إذ يتعين على المؤسسات شحن هذه المفاتيح وإدارتها واستبدالها عند الحاجة. وبالنسبة للوظائف عالية الحساسية -مثل مسؤولي الأنظمة أو المطورين الذين يمتلكون صلاحيات وصول إلى بيئات الإنتاج- فإن هذه التكلفة غالبًا ما تكون مبررة.
تعتمد أدوات المصادقة المدمجة على مستشعرات القياسات الحيوية والأجهزة الآمنة المدمجة داخل أجهزة الكمبيوتر المحمولة والأجهزة المحمولة، مثل قارئات بصمات الأصابع أو كاميرات التعرُّف على الوجه.
ويتم تخزين المفتاح الخاص داخل المنطقة الآمنة للجهاز أو وحدة النظام الأساسي الموثوق به (TPM)، ما يعني عدم الحاجة إلى حمل أجهزة إضافية. ويجب على المستخدم التحقق من هويته محليًا، سواء عبر بصمة الإصبع أم التعرُّف على الوجه أم رمز PIN الخاص بالجهاز. ويؤدي هذا التحقق المحلي إلى فتح استخدام المفتاح الخاص -وليس استبدال العملية التشفيرية نفسها- ليتم بعد ذلك توقيع تحدي المصادقة.
أما القيد الأساسي في المصادقة المدمجة، فهو أن عملية المصادقة ترتبط بالجهاز الذي يحتوي على المفتاح.
مفاتيح المرور (Passkeys) هي بيانات اعتماد تشفيرية يتم تخزينها محليًا على جهاز المستخدم لتحل محل كلمات المرور بالكامل. وكما هو الحال مع بقية أدوات المصادقة من نوع FIDO2، تستخدم مفاتيح المرور مفتاحًا خاصًا لا يغادر الجهاز مطلقًا لتوقيع تحديات المصادقة، بينما يتحقق المستخدم من هويته عبر القياسات الحيوية أو رمز PIN الخاص بالجهاز.
وعلى عكس مفاتيح الأمان المادية، تستطيع مفاتيح المرور مزامنة بيانات الاعتماد بين الأجهزة المحمولة عبر مزوِّد سحابي مثل Apple أو Google أو Microsoft. فالمستخدم الذي يسجل مفتاح مرور على هاتفه يمكنه أيضًا المصادقة على جهازه المحمول أو الكمبيوتر المحمول، طالما أن الجهازين يستخدمان الحساب نفسه.
وتُعَد تجربة المصادقة دون كلمات مرور أكثر سلاسة من أي وسيلة أخرى مقاومة للتصيد الاحتيالي - إذ لا توجد كلمة مرور يجب تذكرها أو إعادة تعيينها أو قد تتعرض للسرقة عبر التصيد الاحتيالي. لكن التحدي يكمن في الاعتماد على المنصة، إذ لا تكون مفاتيح المرور دائمًا سهلة النقل بين الأنظمة البيئية المختلفة.
تُعَد البطاقات الذكية، مثل بطاقات PIV وCAC وغيرها من البطاقات القائمة على PKI، النوع الأساسي من أدوات المصادقة في بيئات PKI. فهي توفِّر وسيلة محمولة لتخزين المفتاح الخاص داخل أجهزة مقاومة للتلاعب. كما أن المتطلبات الفيدرالية المتعلقة ببطاقات PIV وCAC أسهمت في إنشاء بنية تحتية راسخة حولها على مدار عقود.
وتتطلب البطاقات الذكية وجود برامج قراءة بطاقات وبرمجيات وسيطة على كل محطة عمل، بالإضافة إلى بنية تحتية خلفية لإدارة الشهادات.
ورغم أن نطاقها التشغيلي أثقل من FIDO2، فإن هذه التقنية ناضجة ومترسخة بعمق داخل الجهات الحكومية والقطاعات الخاضعة للتنظيم.
تعالج المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي مشكلة التصيد وسرقة بيانات الاعتماد من جذورها -وذلك من خلال جعل بيانات الاعتماد المسروقة عديمة الفائدة- مع دعم أهداف الأمن الإلكتروني والامتثال الأوسع نطاقًا.
ومن أبرز فوائد المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي ما يلي:
تساعد المصادقة المقاومة للتصيد الاحتيالي على القضاء على أنواع الهجمات التي جعلت حلول المصادقة متعددة العوامل التقليدية أقل كفاءة كإجراءات أمنية.
فلا تنجح هجمات تبديل شريحة SIM؛ لأنه لا توجد رموز SMS يمكن اعتراضها. كما لا تنجح هجمات الوسيط؛ لأنه لا توجد كلمات مرور لمرة واحدة (OTP) يمكن تمريرها. وكذلك لا تنجح هجمات إغراق إشعارات الموافقة؛ لأنه لا توجد طلبات موافقة يمكن التلاعب بها.
وحتى إذا تمكن المجرمون الإلكترونيون من الحصول على كلمة مرور المستخدم، فلن يتمكنوا من الوصول إلى الحساب أو البيانات الحساسة دون امتلاك الجهاز الفعلي الذي يحتوي على المفتاح الخاص.
يعتمد نهج الثقة الصفرية على افتراض أن أي مستخدم أو جهاز لا يجب الوثوق به تلقائيًا - إذ يجب التحقق من كل قرار متعلق بالوصول. لكن هذا النموذج ينهار إذا كانت آلية التحقق نفسها قابلة للاختراق عبر رسالة بريد إلكتروني مقنعة وصفحة تسجيل دخول مزيفة.
وتساعد المصادقة المقاومة للتصيد الاحتيالي على سد هذه الفجوة، ما يُتيح التحقق المستمر الذي يتطلبه نموذج الثقة الصفرية.
تعتبر CISA المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي "المعيار الذهبي" للمصادقة، وقد قام العديد من الجهات التنظيمية وهيئات المعايير بتبنّي هذا التوجه رسميًا.
كما أن منشور NIST Special Publication 800-63-4، الذي تم اعتماده نهائيًا في عام 2025، يفرض استخدام المصادقة المقاومة للتصيد الاحتيالي عند مستوى ضمان أداة المصادقة الثالث (Authenticator Assurance Level 3)، مع اشتراط استخدام مفاتيح خاصة مرتبطة بالأجهزة وغير قابلة للتصدير في حالات الاستخدام عالية الضمان.
وتُلزم مذكرة Office of Management and Budget’s M-22-09 الجهات الحكومية الفيدرالية حاليًا بتطبيق المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي على الموظفين والمتعاقدين والشركاء.
وبعيدًا عن المتطلبات الحكومية، بدأت المؤسسات تهتم بشكل متزايد بجودة المصادقة متعددة العوامل، وليس مجرد وجودها. فبرامج مثل PCI DSS تعرِّف المصادقة المقاومة للتصيد الاحتيالي بشكل صريح، كما أن العديد من شركات التأمين الإلكتروني أصبحت تسأل عن قوة المصادقة متعددة العوامل أثناء تقييم المخاطر التأمينية.
قد يبدو أن المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي تضيف مزيدًا من التعقيد. لكن في الواقع، غالبًا ما تقلل مفاتيح المرور وأدوات المصادقة المدمجة من هذا التعقيد. فلمس قارئ بصمة الإصبع يكون غالبًا أسرع من فتح تطبيق على الهاتف، ونسخ رمز OTP مكوَّن من ستة أرقام، ثم إدخاله قبل انتهاء صلاحيته.
يمكن أن تأخذ المصادقة دون كلمات مرور -حيث يحل مفتاح المرور أو مفتاح الأمان محل كلمة المرور بالكامل- هذه التجربة إلى مستوى أبعد: فلا توجد كلمة مرور يمكن نسيانها أو إعادة تعيينها أو تسليمها لصفحة تصيُّد احتيالي. والشيء الوحيد الذي يفقده المستخدم النهائي هو كلمة المرور نفسها. أما ما يحصل عليه، فهو تجربة مصادقة غالبًا ما تكون أسرع وأكثر أمانًا.
نادرًا ما تعمل المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي بمعزل عن غيرها. فهي عادةً ما تكون جزءًا من بنية أوسع لإدارة الهوية والوصول (IAM) تتضمن عدة طبقات داعمة.
وتضيف سياسات الوصول المشروط مزيدًا من السياق إلى قرارات المصادقة. فبدلًا من التعامل مع جميع عمليات تسجيل الدخول بالطريقة نفسها، تقوم هذه السياسات بتقييم إشارات مختلفة -مثل حالة الجهاز، وموقع الشبكة، وأنماط سلوك المستخدم- ثم تعدِّل متطلبات المصادقة بناءً عليها.
فعلى سبيل المثال، قد يتمكن موظف يسجِّل الدخول من جهاز مُدار داخل شبكة الشركة من المصادقة بمجرد استخدام مفتاح مرور واحد. وقد يواجه الموظف نفسه الذي يتصل من جهاز غير مألوف في بيئة جديدة خطوات تحقق إضافية.
أما على الجانب الدفاعي، فتعمل حلول اكتشاف نقاط النهاية والاستجابة لها (EDR) على رصد التهديدات التي تقع خارج نطاق المصادقة متعددة العوامل. فبينما تساعد المصادقة المقاومة للتصيد الاحتيالي على منع سرقة بيانات الاعتماد عند صفحة تسجيل الدخول، لا يزال بإمكان البرامج الضارة الخاصة بسرقة المعلومات على الأجهزة المخترقة جمع رموز الجلسات وبيانات الاعتماد المخزَّنة مؤقتًا وغيرها من المعلومات الحساسة.
كما تدعم خلاصات استعلامات التهديدات هاتين الطبقتين من خلال تحديد البنية التحتية الخاصة بالتصيد الاحتيالي -مثل اكتشاف عناوين URL الضارة، والنطاقات المزيفة، وخوادم التحكم والسيطرة المعروفة- قبل أن يصل المستخدمون أصلًا إلى صفحات تسجيل الدخول الوهمية.