المصادقة متعددة العوامل (MFA) هي طريقة للتحقق من هوية المستخدم من خلال طلب نموذجين مختلفين على الأقل من الإثباتات، مثل كلمة مرور الحساب عبر الإنترنت وبصمة الإصبع أو غيرها من البيانات البيومترية. توفر المصادقة متعددة العوامل (MFA) طبقات إضافية من الحماية تتجاوز ما يمكن أن توفره كلمات المرور وحدها.
إن العديد من مستخدمي الإنترنت على دراية بالشكل الأكثر شيوعاً للمصادقة متعددة العوامل، المصادقة الثنائية (2FA). تطلب المصادقة الثنائية اثنين فقط من الأدلة، لكن بعض تطبيقات المصادقة متعددة العوامل تطلب ثلاثة أو أكثر.
على سبيل المثال، لتسجيل الدخول إلى حساب بريد إلكتروني محمي بواسطة المصادقة متعددة العوامل (MFA)، قد يحتاج المستخدم إلى إدخال كلمة مرور الحساب الصحيحة (العامل الأول) ورمز مرور لمرة واحدة يرسله مزود البريد الإلكتروني إلى الهاتف المحمول للمستخدم في رسالة نصية (العامل الثاني). بالنسبة للحسابات شديدة الحساسية، قد تكون هناك حاجة إلى دليل ثالث - مثل حيازة جهاز كمفتاح.
يمكن للمستخدم الوصول إلى النظام فقط إذا تم التحقق من كل العوامل المطلوبة. إذا كان هناك خطأ ما ، فستفشل محاولة تسجيل الدخول.
تستخدم طرق المصادقة متعددة العوامل (MFA) للوصول إلى جميع أنواع الحسابات والأصول والأنظمة الحساسة. حتى أنها تظهر بعيدًا عن الإنترنت: فاستخدام بطاقة مصرفية (الدليل الأول) ورقم التعريف الشخصي (الدليل الثاني) لسحب النقود من ماكينة الصراف الآلي هو شكل من أشكال المصادقة متعددة العوامل (MFA).
أصبحت المصادقة متعددة العوامل (MFA) جزءًا مهمًا بشكل متزايد من استراتيجيات إدارة الهوية والوصول (IAM) للشركات. تعتمد طرق المصادقة القياسية أحادية العامل على أسماء المستخدمين وكلمات المرور، والتي يسهل سرقتها أو اختراقها. في الواقع، تتسبب بيانات الاعتماد المخترقة في 10٪ من اختراق أمن البيانات، وفقًا لتقرير تكلفة خرق البيانات الصادر عن IBM.
تضيف أنظمة المصادقة متعددة العوامل (MFA) طبقة إضافية من الأمان من خلال طلب أكثر من دليل واحد لتأكيد هوية المستخدم. حتى إذا سرق المخترق كلمة مرور، فلن يكون لديه ما يكفي للوصول غير المصرح به إلى النظام. ما زال بحاجة إلى هذا العامل الثاني.
علاوة على ذلك، غالبًا ما يكون العامل الثاني شيئًا أصعب بكثير من كلمة المرور البسيطة، مثل مسح بصمة الإصبع أو رمز مميز.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
في نظام المصادقة متعددة العوامل (MFA)، يحتاج المستخدمون إلى دليلين على الأقل، يطلق عليهما "عوامل المصادقة" ، لإثبات هوياتهم. يمكن أن تستخدم أنظمة المصادقة متعددة العوامل (MFA) أنواعاً متعددة من عوامل المصادقة، وتستخدم أنظمة المصادقة متعددة العوامل الحقيقية نوعين مختلفين على الأقل من العوامل.
يعتبر استخدام أنواع مختلفة من العوامل أكثر أمانًا من استخدام عوامل متعددة من نفس النوع لأن المجرمين الإلكترونيين يحتاجون إلى استخدام طرق منفصلة عبر قنوات مختلفة لاختراق كل عامل.
على سبيل المثال، يمكن للمخترقين سرقة كلمة مرور المستخدم عن طريق زرع برامج تجسس على أجهزة الكمبيوتر الخاصة بالضحية. ومع ذلك ، فإن برنامج التجسس هذا لن يلتقط أي رموز مرور لمرة واحدة يتم إرسالها إلى الهاتف الذكي للمستخدم، ولن ينسخ بصمة المستخدم. سيحتاج المهاجمون إلى اعتراض الرسالة النصية القصيرة التي تحمل رمز المرور أو اختراق ماسح بصمات الأصابع لجمع كل بيانات الاعتماد التي يحتاجونها.
تتضمن أنواع عوامل المصادقة ما يلي:
عوامل المعرفة هي المعلومات التي، من الناحية النظرية، لا يعرفها سوى المستخدم، مثل كلمات المرور ورقم التعريف الشخصي PIN والإجابات عن أسئلة الأمان. عوامل المعرفة، والتي تكون كلمات المرور عادة، هي العامل الأول في معظم تطبيقات المصادقة متعددة العوامل.
ومع ذلك، فإن عوامل المعرفة هي أيضًا عوامل المصادقة الأكثر ضعفًا. يمكن للمخترقين الحصول على كلمات المرور وعوامل المعرفة الأخرى من خلال هجمات التصيد الاحتيالي ، أو تثبيت برنامج ضار على أجهزة المستخدمين أو تنفيذ هجمات القوة الغاشمة التي يستخدمون فيها الروبوتات لتوليد واختبار كلمات المرور المحتملة على حساب ما حتى يعمل أحدها.
وهناك أنواع أخرى من عوامل المعرفة التي تشكل أيضًا نقاط ضعف. فالإجابات عن العديد من أسئلة الأمان - مثل السؤال المعتاد "ما هو اسم والدتك قبل الزواج؟" —يمكن اختراقها من خلال عمليات البحث الأساسية على وسائل التواصل الاجتماعي أو هجمات الهندسة الاجتماعية التي تخدع المستخدمين للكشف عن المعلومات الشخصية.
إن الممارسة الشائعة المتمثلة في طلب كلمة مرور وسؤال أمان ليست مصادقة متعددة العوامل حقيقية لأنها تستخدم عاملين من نفس النوع - في هذه الحالة، اثنان من عوامل المعرفة. وإنما، سيكون هذا مثالاً على عملية التحقق بخطوتين. يوفر التحقق المكون من خطوتين بعض الأمان الإضافي لأنه يتطلب أكثر من عامل واحد، ولكنه ليس آمنا مثل المصادقة متعددة العوامل الحقيقية.
عوامل الحيازة هي الأشياء التي يمتلكها الشخص والتي يمكنه استخدامها لإثبات هويته. تشتمل عوامل الحيازة على الرموز المميزة البرمجية الرقمية وأجهزة الرموز المميزة المادية.
تُعد الرموز المميزة البرمجية، وهي الأكثر شيوعًا اليوم، مفاتيح الأمان الرقمية المخزنة على جهاز يمتلكه المستخدم أو التي يتم توليدها باستخدام جهاز يملكه المستخدم، وعادةً ما يكون هاتفًا ذكيًا أو جهازًا محمولاً آخر. باستخدام الرموز المميزة البرمجية، يعمل جهاز المستخدم كعامل الحيازة. يفترض نظام المصادقة متعددة العوامل (MFA) أن المستخدم الشرعي فقط هو الذي سيكون له حق الوصول إلى الجهاز وأية معلومات عليه.
يمكن أن تتخذ الرموز المميزة البرمجية أشكالاً متعددة، بدءاً من الشهادات الرقمية التي تصادق المستخدم تلقائياً إلى كلمات المرور لمرة واحدة (OTPs) التي تتغير في كل مرة يقوم فيها المستخدم بتسجيل الدخول.
ترسل بعض حلول المصادقة متعددة العوامل كلمات المرور لمرة واحدة (OTPs) إلى هاتف المستخدم عن طريق الرسائل النصية القصيرة أو البريد الإلكتروني أو المكالمات. تستخدم عمليات تنفيذ المصادقة متعددة العوامل الأخرى تطبيقات المصادقة: وهي تطبيقات هواتف محمولة متخصصة تقوم باستمرار بإنشاء رموز المرور لمرة واحدة المستندة إلى الوقت (TOTP). تنتهي صلاحية العديد من رموز المرور لمرة واحدة المستندة إلى الوقت (TOTP) خلال 30 إلى 60 ثانية، مما يجعل من الصعب سرقتها واستخدامها قبل نفاد الوقت وتصبح كلمة المرور قديمة.
تستخدم بعض تطبيقات المصادقة إشعارات الدفع بدلاً من رموز المرور لمرة واحدة المستندة إلى الوقت (TOTP). عندما يحاول المستخدم تسجيل الدخول إلى أحد الحسابات، يرسل التطبيق إشعار دفع مباشرةً إلى نظام التشغيل iOS أو Android الخاص بجهاز المستخدم. يجب على المستخدم النقر فوق الإشعار لتأكيد محاولة تسجيل الدخول.
تشمل تطبيقات المصادقة الشائعة Google Authenticator وMicrosoft Authenticator وLastPass Authenticator.
تستخدم أنظمة المصادقة الأخرى أجهزة مخصصة تعمل كرموز مميزة مادية. يتم تركيب بعض الرموز المميزة المادية في منفذ USB بالكمبيوتر وتنقل معلومات المصادقة تلقائيا إلى التطبيقات والمواقع. وأما أجهزة الرموز المميزة الأخرى هي أجهزة قائمة بذاتها تنشئ كلمات المرور لمرة واحدة (OTPs) عند الطلب.
قد تتضمن أجهزة الرموز المميزة أيضاً مفاتيح أمان تقليدية، مثل مفتاح أمان يفتح قفلاً مادياً أو بطاقة ذكية يجب على المستخدم تمريرها عبر قارئ البطاقات.
الميزة الرئيسية لعوامل الحيازة هي أن الجهات الفاعلة الخبيثة يجب أن يكون لديها العامل في حوزتهم لانتحال شخصية المستخدم. في كثير من الأحيان، يعني ذلك سرقة هاتف ذكي فعلي أو مفتاح أمان. علاوة على ذلك، تنتهي صلاحية كلمات المرور لمرة واحدة بعد فترة زمنية محددة. حتى لو سرق المخترقون واحدة، فليس هناك ما يضمن أنها ستعمل.
لكن عوامل الحيازة ليست مضمونة. يمكن أن تتم سرقة الرموز المميزة المادية أو فقدانها أو وضعها في غير محلها. يمكن نسخ الشهادات الرقمية. تعد كلمات المرور لمرة واحدة (OTP) أكثر صعوبة في السرقة من كلمات المرور التقليدية، ولكنها لا تزال عرضة لأنواع معينة من البرامج الضارة أو عمليات التصيد بالرمح أو الهجوم الوسيط.
يمكن للمخترقين أيضاً استخدام وسائل أكثر تعقيداً. في عملية احتيال استنساخ بطاقة SIM، يقوم المهاجمون بإنشاء نسخة مكررة وصالحة من بطاقة SIM الخاصة بالهاتف الذكي للضحية، مما يمكنهم من اعتراض رموز المرور المرسلة إلى رقم هاتف المستخدم.
تستفيد هجمات إجهاد المصادقة متعددة العوامل من أنظمة المصادقة متعددة العوامل (MFA) التي تستخدم إشعارات الدفع. يغمر المخترقون جهاز المستخدم بإشعارات احتيالية على أمل أن تؤكد الضحية عن طريق الخطأ إشعاراً منها، مما يسمح للمخترق بالدخول إلى حسابه.
العوامل المتأصلة، والتي تُسمَّى أيضًا "القياسات الحيوية"، هي السمات الجسدية الفريدة للمستخدم، مثل بصمات الأصابع وتفاصيل الوجه ومسح شبكية العين. يأتي العديد من الهواتف الذكية والحواسيب المحمولة مزودة بماسحات ضوئية للوجه وقارئات لبصمات الأصابع، ويمكن للعديد من التطبيقات والمواقع الإلكترونية استخدام هذه البيانات البيومترية كعامل مصادقة.
على الرغم من أن العوامل المتأصلة هي من بين أصعب العوامل التي يمكن اختراقها، إلا إنه يمكن القيام بذلك. على سبيل المثال، وجد باحثو الأمن طريقة لاختراق ماسحات بصمات الأصابع Windows Hello على أجهزة كمبيوتر محمولة معينة. تمكن الباحثون من استبدال بصمات أصابع المستخدمين المسجلين ببصمات أصابعهم الخاصة، مما منحهم بشكل فعال التحكم في الأجهزة.
أثار التقدم الملحوظ في توليد الصور بالذكاء الاصطناعي أيضاً مخاوف لخبراء الأمن السيبراني، حيث قد يستخدم المخترقون هذه الأدوات لخداع برامج التعرف على الوجه.
عندما يتم اختراق البيانات البيومترية، لا يمكن تغييرها بسرعة أو بسهولة، مما يجعل من الصعب إيقاف الهجمات الجارية واستعادة السيطرة على الحسابات.
العوامل السلوكية هي عبارة عن أدوات رقمية تساعد في التحقق من هوية المستخدم بناءً على الأنماط السلوكية، مثل نطاق عنوان IP النموذجي للمستخدم وموقعه ومتوسط سرعة الكتابة.
على سبيل المثال، عند تسجيل الدخول إلى تطبيق من شبكة افتراضية خاصة بالشركة (VPN)، قد يحتاج المستخدم إلى توفير عامل مصادقة واحد فقط. يعتبر وجوده على الشبكة الافتراضية الخاصة الموثوق بها العامل الثاني.
وبالمثل، تسمح بعض الأنظمة للمستخدمين بتسجيل الأجهزة الموثوقة كعوامل مصادقة. عندما يصل المستخدم إلى النظام من خلال الجهاز الموثوق به، فإن استخدام الجهاز يعمل تلقائياً كعامل ثان.
بينما توفر العوامل السلوكية طريقة متطورة لمصادقة المستخدمين، لا يزال بإمكان المخترقين انتحال شخصية المستخدمين عن طريق نسخ سلوكهم.
على سبيل المثال، إذا تمكن أحد المخترقين من الوصول إلى جهاز موثوق به، فيمكنه استخدامه كعامل مصادقة. وبالمثل، يمكن للمهاجمين انتحال عناوين IP الخاصة بهم لجعلها تبدو كما لو كانت متصلة بشبكة VPN الخاصة بالشركة.
تستخدم المصادقة متعددة العوامل التكيفية المصادقة التكيفية، والتي تسمى أيضاً "المصادقة المستندة إلى المخاطر". تستخدم أنظمة المصادقة التكيفية الذكاء الاصطناعي والتعلم الآلي لتقييم نشاط المستخدم وضبط تحديات المصادقة ديناميكيًا. كلما زادت خطورة الموقف، زادت عوامل المصادقة التي يجب على المستخدم توفيرها.
على سبيل المثال، إذا حاول مستخدم تسجيل الدخول إلى تطبيق منخفض المستوى من جهاز معروف على شبكة موثوق بها، فقد يحتاج إلى إدخال كلمة مرور فقط.
إذا حاول هذا المستخدم نفسه تسجيل الدخول إلى نفس التطبيق من اتصال wifi عام غير آمن، فقد يطلب منه توفير عامل ثان.
إذا حاول المستخدم الوصول إلى معلومات حساسة بشكل خاص أو تغيير معلومات الحساب المهمة، فقد يحتاج إلى تقديم عامل ثالث أو حتى رابع.
يمكن أن تساعد أنظمة المصادقة التكيفية المؤسسات على معالجة بعض التحديات الأكثر شيوعًا في تطبيقات المصادقة متعددة العوامل. على سبيل المثال، قد يقاوم المستخدمون المصادقة متعددة العوامل لأنهم يجدونها أقل ملاءمة من كلمة مرور بسيطة. تحقق المصادقة متعددة العوامل التكيفية ذلك بحيث لا يحتاج المستخدمون إلى عوامل متعددة إلا للمواقف الحساسة فقط، مما يحسن تجربة المستخدم.
بالنسبة إلى مؤسسة ما، قد تتطلب الأصول وأجزاء الشبكة المختلفة مستويات مختلفة من الأمان. قد ينتج عن اشتراط المصادقة متعددة العوامل (MFA) لكل تطبيق ونشاط تقديم تجربة مستخدم سيئة في مقابل الحصول على ميزة أمنية قليلة.
تُمكِّن أنظمة المصادقة التكيفية المؤسسات من تحديد عمليات إدارة وصول أكثر تفصيلاً بناءً على المستخدمين والأنشطة والموارد المعنية، بدلاً من تطبيق حل واحد يناسب الجميع.
ومع ذلك، قد تتطلب الأنظمة التكيفية المزيد من الموارد والخبرات للحفاظ عليها أكثر من مجرد حل مصادقة متعددة العوامل قياسي.
تقبل أنظمة المصادقة متعددة العوامل بدون كلمة مرور عوامل الحيازة والمتأصلة والسلوكية فقط - ولا تقبل عوامل المعرفة. على سبيل المثال، سيشكل مطالبة المستخدم ببصمة الإصبع مع رمز مميز مادي المصادقة متعددة العوامل بدون كلمة مرور.
تُعد مفاتيح المرور، مثل تلك القائمة على معيار FIDO الشهير، أحد أكثر أشكال المصادقة بدون كلمة مرور شيوعًا. حيث تستخدم التشفير بالمفتاح العام للتحقق من هوية المستخدم.
تتخلص المصادقة متعددة العوامل بدون كلمة مرور من عوامل المعرفة لأنها أسهل العوامل التي يمكن اختراقها. بينما تستخدم معظم طرق المصادقة متعددة العوامل الحالية كلمات المرور، يتوقع خبراء المجال مستقبلاً بدون كلمة مرور بشكل متزايد. توفر مؤسسات مثل Google وApple وIBM وMicrosoft خيارات مصادقة بدون كلمة مرور.
تستخدم المؤسسات أنظمة المصادقة لحماية حسابات المستخدمين من هذه الهجمات. ومع ذلك، في معظم أنظمة المصادقة الأساسية، كلمة المرور هي كل ما يلزم للوصول، وهي ليست أكثر أمانًا بكثير من مجرد عبارة "أرسلني شارلي".
وفقًا لتقرير تكلفة خرق البيانات الصادر عن IBM، تعد بيانات الاعتماد المخترقة والتصيد الاحتيالي من أكثر نواقل الهجمات الإلكترونية شيوعًا وراء اختراقات أمن البيانات. ويمثلان معًا حوالي 26٪ من الانتهاكات. وغالبًا ما يعمل كلا المتجهين عن طريق سرقة كلمات المرور، والتي يمكن للمخترقين استخدامها بعد ذلك لاختطاف الحسابات والأجهزة الشرعية لإحداث الفوضى.
يستهدف المخترقون كلمات المرور لأنه من السهل اختراقها من خلال القوة الغاشمة أو الخداع. علاوة على ذلك، نظرًا لأن الأشخاص يعيدون استخدام كلمات المرور على نحوٍ متكرر، يمكن للمخترقين في كثير من الأحيان استخدام كلمة مرور واحدة مسروقة لاختراق حسابات متعددة. يمكن أن تكون عواقب سرقة كلمة المرور كبيرة على المستخدمين والمؤسسات، مما يؤدي إلى سرقة الهوية والسرقة المالية وتخريب النظام وغير ذلك.
تضيف المصادقة متعددة العوامل طبقة إضافية من الحماية لحسابات المستخدمين، مما يساعد على إحباط الوصول غير المصرح به من خلال وضع المزيد من العقبات بين المهاجمين وأهدافهم. حتى إذا تمكن المخترقون من سرقة كلمة مرور، فإنهم يحتاجون إلى عامل آخر على الأقل للدخول.
يمكن أن تساعد المصادقة متعددة العوامل المؤسسات أيضًا على تلبية متطلبات الامتثال. على سبيل المثال، يشترط معيار أمن البيانات لصناعات بطاقات الدفع (PCI DSS) صراحةً استخدام المصادقة متعددة العوامل للأنظمة التي تتعامل مع بيانات بطاقات الدفع.
لا تشترط لوائح خصوصية البيانات، مثل قانون ساربينز أوكسلي (SOX) واللائحة العامة لحماية البيانات (GDPR)، المصادقة متعددة العوامل بشكل صريح. ومع ذلك، يمكن أن تساعد أنظمة المصادقة متعددة العوامل المؤسسات على تلبية معايير الأمان الصارمة التي وضعتها هذه القوانين.
في بعض الحالات، تم إلزام المؤسسات باعتماد المصادقة متعددة العوامل في أعقاب حالات اختراق أمن البيانات. على سبيل المثال، أمرت لجنة التجارة الفيدرالية شركة Drizly لبيع الكحول عبر الإنترنت بتطبيق خاصية المصادقة متعددة العوامل بعد اختراق أثر على 2.5 مليون عميل.1
تسجيل الدخول الموحد (SSO) هو نظام مصادقة يمكّن المستخدمين من تسجيل الدخول إلى تطبيقات متعددة باستخدام مجموعة واحدة من بيانات الاعتماد. بينما يتعامل كل من تسجيل الدخول الموحد (SSO) والمصادقة متعددة العوامل (MFA) مع عملية المصادقة، إلا أنهما يخدمان أغراضًا مختلفة بشكل أساسي: تعزز المصادقة متعددة العوامل (MFA) الأمان بينما تم تصميم تسجيل الدخول الموحد (SSO) بغرض سهولة الاستخدام.
غالبًا ما يتم استخدام تسجيل الدخول الموحد (SSO) داخل المؤسسات حيث يجب على الموظفين الوصول إلى خدمات أو تطبيقات متعددة لأداء وظائفهم. يمكن أن يؤدي مطالبة المستخدمين بإنشاء حسابات منفصلة لكل تطبيق إلى إجهاد كلمة المرور - أي الضغط المرتبط بتذكر عدد غير معقول من عمليات تسجيل الدخول.
يتيح تسجيل الدخول الموحد (SSO) للأشخاص إمكانية استخدام تسجيل دخول واحد لتطبيقات متعددة، مما يحسن تجربة المستخدم.
لا تعالج المصادقة متعددة العوامل (MFA) بالضرورة مشكلة تجربة المستخدم، ولكنها تضيف طبقات إضافية من الأمان إلى عملية تسجيل الدخول.
ترتبط المصادقة متعددة العوامل (MFA) وتسجيل الدخول الموحد (SSO) ببعضها البعض وتربطها علاقة تكامل من حيث أن أنظمة تسجيل الدخول الموحد (SSO) الحديثة غالباً ما تتطلب مصادقة متعددة العوامل، مما يساعد على ضمان أن يكون تسجيل الدخول مريحاً وآمناً نسبياً.
الفرق بين المصادقة الثنائية (2FA) والمصادقة متعددة العوامل (MFA) هو أن المصادقة الثنائية (2FA) تستخدم عاملين على وجه التحديد، بينما قد تتطلب المصادقة متعددة العوامل عاملين أو ثلاثة أو حتى أكثر - اعتماداً على مستوى الأمان المطلوب. المصادقة الثنائية (2FA) هي نوع من أنواع المصادقة متعددة العوامل (MFA).
تستخدم معظم تطبيقات المصادقة متعددة العوامل (MFA) المصادقة الثنائية لأن استخدام عاملين غالبًا ما يكونان آمنين بما فيه الكفاية. ومع ذلك، قد تتطلب المؤسسة عوامل إضافية لإثبات الهوية قبل منح حق الوصول إلى معلومات حساسة للغاية مثل البيانات المالية أو الملفات التي تحتوي على معلومات تعريف شخصية (PII).