المصادقة والتفويض هما عمليتان مرتبطتان ولكن متميزتان في نظام إدارة الهوية والوصول (IAM) للمؤسسة. تقوم المصادقة بالتحقق من هوية المستخدم. يمنح التفويض المستخدم المستوى الصحيح من الوصول إلى موارد النظام.
تعتمد عملية المصادقة على بيانات الاعتماد، مثل كلمات المرور أو مسح بصمات الأصابع، التي يقدمها المستخدمون لإثبات هويتهم.
تعتمد عملية التفويض على أذونات المستخدم التي تحدد ما يمكن لكل مستخدم القيام به داخل مورد أو شبكة معينة. على سبيل المثال، قد تحدِّد الأذونات في نظام الملفات إذا ما كان يمكن للمستخدم إنشاء الملفات أو قراءتها أو تحديثها أو حذفها.
تنطبق عمليات المصادقة والتفويض على كل من المستخدمين البشريين وغير البشريين، مثل الأجهزة وأعباء العمل التلقائية وتطبيقات الويب. قد يتولى نظام واحد من أنظمة إدارة الهوية والوصول كلًّا من المصادقة والتفويض، أو قد يتم التعامل مع كليهما بواسطة أنظمة منفصلة تعمل معًا.
عادةً ما تكون المصادقة شرطًا أساسيًا للتفويض. حيث يجب أن يعرف النظام هوية المستخدم قبل أن يتمكَّن من منح هذا المستخدم حق الوصول إلى أي شيء.
تتزايد الهجمات القائمة على الهوية، والتي يقوم فيها المتسللون باختطاف حسابات المستخدمين الصالحة وإساءة استخدام حقوق الوصول الخاصة بهم. ووفقًا لمؤشر IBM X-Force Threat Intelligence Index، فإن هذه الهجمات هي الطريقة الأكثر شيوعًا التي تتسلل بها الجهات المهدِّدة إلى الشبكات، حيث تمثل 30% من جميع الهجمات الإلكترونية.
تعمل كل من المصادقة والتفويض معًا لفرض ضوابط الوصول الآمن وإحباط عمليات اختراق أمن البيانات. فالمصادقة الفعَّالة تجعل من الصعب على المتسللين الاستيلاء على حسابات المستخدمين. والتفويض الفعَّال يَحُدُّ من الضرر الذي يمكن أن يتسبب فيه المتسللون باستخدام هذه الحسابات.
تعتمد المصادقة، التي تُختصر أحيانًا باسم "authn"، على تبادل بيانات اعتماد المستخدم، والتي تُسمَّى أيضًا عوامل المصادقة. وعوامل المصادقة هي أدلة تُثبِت هوية المستخدم.
عندما يسجِّل المستخدم في نظام لأول مرة، فإنه ينشئ مجموعة من عوامل المصادقة. وعندما يقوم المستخدم بتسجيل الدخول، يقدِّم هذه العوامل. يفحص النظام العوامل المقدَّمة مقابل العوامل الموجودة في الملف. وإذا كانت متطابقة، فإن النظام يثق في أن المستخدم هو صاحب الهوية التي يدَّعيها.
تتضمن الأنواع الشائعة من عوامل المصادقة ما يلي:
يمكن أن يكون للتطبيقات والموارد الفردية أنظمة مصادقة خاصة بها. تستخدم العديد من المؤسسات نظامًا متكاملًا واحدًا، مثل حل تسجيل الدخول الفردي (SSO)، حيث يمكن للمستخدمين المصادقة مرة واحدة للوصول إلى موارد متعددة في مجال آمن.
تتضمن معايير المصادقة الشائعة بروتوكول Security Assertion Markup Language (اختصارًا SAML) وبروتوكول OpenID Connect (اختصارًا OIDC). يستخدم SAML رسائل XML لمشاركة معلومات المصادقة بين الأنظمة، بينما يستخدم OIDC تنسيق JSON Web Tokens (اختصارًا JWTs) والمعروف أيضًا باسم "رموز الهوية".
يعتمد التفويض، الذي يُرمز له أحيانًا بالاختصار "authz"، على أذونات المستخدم. الأذونات هي سياسات تحدِّد بالتفصيل ما يمكن للمستخدم الوصول إليه وما يمكنه فعله بهذا الوصول في النظام.
عادةً ما يحدد المسؤولون وقادة الأمان أذونات المستخدم، والتي يتم فرضها بعد ذلك بواسطة أنظمة التفويض. عندما يحاول المستخدم الوصول إلى مورد أو تنفيذ إجراء، يتحقق نظام التفويض من أذوناته قبل السماح له بالمتابعة.
تخيَّل قاعدة بيانات ذات طبيعة حساسة تحتوي على بيانات العملاء. يحدِّد التفويض إذا ما كان المستخدم يمكنه حتى رؤية قاعدة البيانات هذه. إذا كان بإمكانه ذلك، فإن التفويض يحدِّد أيضًا ما يمكنه القيام به داخل قاعدة البيانات. هل يمكنه قراءة الإدخالات فقط، أم يمكنه أيضًا إنشاء الإدخالات وحذفها وتحديثها؟
يُعَد OAuth 2.0، الذي يستخدم رموز الوصول لتفويض الأذونات للمستخدمين، أحد الأمثلة على بروتوكول التفويض الشائع. يسمح OAuth للتطبيقات بمشاركة البيانات مع بعضها. على سبيل المثال، يمكِّن OAuth موقع التواصل الاجتماعي من فحص جهات اتصال البريد الإلكتروني للمستخدم بحثًا عن أشخاص قد يعرفهم، بشرط موافقة المستخدم.
تؤدي مصادقة المستخدمين وتفويضهم أدوارًا تكميلية في حماية المعلومات الحساسة وموارد الشبكة من التهديدات الداخلية والمهاجمين الخارجيين. باختصار، تساعد المصادقة المؤسسات على الدفاع عن حسابات المستخدمين، بينما يساعد التفويض على الدفاع عن الأنظمة التي يمكن لهذه الحسابات الوصول إليها.
تساعد الأنظمة الشاملة لإدارة الهوية والوصول (IAM) على تتبُّع نشاط المستخدم ومنع الوصول غير المصرَّح به إلى أصول الشبكة وفرض أذونات متعددة المستويات بحيث يمكن للمستخدمين المناسبين فقط الوصول إلى الموارد المناسبة.
تُجيب عمليات المصادقة والتفويض عن سؤالين حاسمين يجب على المؤسسات الإجابة عنهما من أجل تنفيذ ضوابط وصول فعَّالة:
تحتاج المؤسسة إلى معرفة هوية المستخدم قبل تمكُّنها من منحه المستوى الصحيح من الوصول. على سبيل المثال، عندما يقوم مسؤول الشبكة بتسجيل الدخول، يجب على هذا المستخدم إثبات أنه مسؤول من خلال تقديم العوامل الصحيحة للتحقق من الهوية. فقط عندئذٍ سيمنح نظام إدارة الهوية والوصول (IAM) المستخدم صلاحية تنفيذ الإجراءات الإدارية مثل إضافة المستخدمين الآخرين وحذفهم.
ومع تحسُّن فاعلية الضوابط الأمنية في المؤسسات، أصبح المزيد من المهاجمين يتجاوزونها عن طريق سرقة حسابات المستخدمين واستغلال امتيازاتهم لإحداث الفوضى وفقًا لمؤشر IBM X-Force Threat Intelligence Index، زادت وتيرة الهجمات القائمة على الهوية بنسبة 71% بين عامي 2022 و2023.
تُعتبر هذه الهجمات سهلة التنفيذ بالنسبة إلى المجرمين الإلكترونيين. يمكن للقراصنة اختراق كلمات المرور من خلال هجمات القوة الغاشمة أو استخدام البرامج الضارة لسرقة المعلومات أو شراء بيانات الاعتماد من المتسللين الآخرين. في الواقع، وجد مؤشر X-Force Threat Intelligence Index أن بيانات اعتماد الحسابات السحابية تشكِّل 90% من الأصول السحابية التي تُباع على الشبكة الخفية.
يُعَد التصيد الاحتيالي أسلوبًا شائعًا آخر لسرقة بيانات الاعتماد، وتمكِّن أدوات الذكاء الاصطناعي التوليدي الآن المتسللين من تطوير هجمات تصيد أكثر فاعلية في وقت أقل.
على الرغم من أنه يمكن اعتبارهما تدابير أمنية أساسية، إلا أن المصادقة والتفويض يمثِّلان دفاعين حاسمين ضد سرقة الهوية واستغلال الحسابات، بما في ذلك الهجمات التي تستخدم الذكاء الاصطناعي.
يمكن للمصادقة أن تجعل من الصعب سرقة الحسابات عن طريق استبدال كلمات المرور أو تعزيزها بعوامل أخرى أكثر صعوبة في الاختراق، مثل القياسات الحيوية.
تعمل أنظمة التفويض الدقيقة على تقليص الحركة الجانبية من خلال حصر امتيازات المستخدم على الموارد والإجراءات الضرورية فقط. ويساعد هذا على الحد من الضرر الذي يمكن أن يُحدِثه كل من المتسللين الضارين والتهديدات الداخلية عن طريق إساءة استخدام حقوق الوصول.
باستخدام IBM Security Verify، يمكن للمؤسسات تجاوز مستوى المصادقة والتفويض الأساسي. حيث يمكن أن يساعد Verify على حماية الحسابات باستخدام خيارات المصادقة متعددة العوامل ودون كلمة مرور، ويمكن أن يساعد على التحكم في التطبيقات باستخدام نُهُج الوصول السياقي الدقيقة.