مصادقة متعددة العوامل
المصادقة متعددة العوامل (بالإنجليزية: 2FA, MFA, Multi-Factor Authentication) هو أسلوب مصادقة يُمنح مستخدم الحاسوب بفضله حق الوصول فقط بعد تقديم دليلين (أو عاملين) بنجاح إلى آلية الاستيثاق: المعرفة (ما يعرفه المستخدم فقط)، والمُلكية (ما يمتلكه المستخدم فقط)، والاستلزام (ما يكونه المستخدم فقط).[1]
جزء من سلسلة مقالات حول |
أمن المعلومات |
---|
بوابة أمن المعلومات |
الاستيثاق بعاملين: هو نوع أو مجموعة فرعية من الاستيثاق بعوامل عدة. وهي وسيلة لتأكيد هوية المستخدمين المُطالب بها باستخدام مجموعة مُكونة من عاملين مختلفين: 1) شيء يعرفونه، أو 2) شيء يمتلكونه، أو 3) شيء ما هم عليه.
من الأمثلة الجيدة على الاستيثاق بعاملين سحب الأموال من صراف آلي؛ إذ لا يُسمح بإجراء المعاملة إلا بالتوليفة الصحيحة من البطاقة المصرفية (التي يملكها المستخدم) ورقم التعريف الشخصي (وهو ما يعرفه المستخدم).
من الأمثلة الأخرى على ذلك استكمال كلمة المرور التي يتحكم بها المستخدم بكلمة مرور تصلح لمرة واحدة أو إنشاء المُصدِّق لرمز (مثل رمز أمان أو هاتف ذكي) لا يمتلكه سوى المستخدم أو استقباله.
يُعد التحقق بخطوتين أو الاستيثاق بخطوتين وسيلة لتأكيد هوية المستخدم المطالَب بها باستخدام شيء يعرفه (كلمة المرور) وعامل آخر عدا شيء يمتلكه أو شيء ما هو عليه. من الأمثلة على الخطوة الثانية تكرار المستخدم شيء أُرسل له من خلال آلية خارج النطاق. قد تكون الخطوة الثانية رقمًا مكوَّنًا من ستة أرقام يُنشأ بواسطة تطبيق مشترك بين المستخدم ونظام الاستيثاق.[2]
عوامل الاستيثاق
يستند استخدام عوامل الاستيثاق المتعددة لإثبات هوية الشخص إلى افتراض أنه من غير المحتمل أن تكون الجهة الفاعلة غير المصرَّح لها قادرة على توفير العوامل المطلوبة للوصول. في حال عدم وجود أحد المكونات على الأقل أو توفيرها بشكل غير صحيح في محاولة الاستيثاق، لا تُثبت هوية المستخدم بقدر كافٍ من اليقين، ويبقى الولوج إلى الأصول (على سبيل المثال، مبنى أو بيانات) المحمي بالاستيثاق بعوامل عدة محظورًا بعد ذلك. قد تتضمن عوامل الاستيثاق لنظام الاستيثاق بعوامل عدة ما يلي:
- شيء ما تمتلكه: بعض الأشياء المادية التي يمتلكها المستخدم، مثل وحدة ذاكرة فلاشية ذات رمز سري أو بطاقة مصرفية أو مفتاح، إلخ.
- شيء ما تعرفه: بعض المعرفة التي لا يعلمها سوى المستخدم فقط، مثل كلمة المرور ورقم التعريف الشخصي وأرقام توثيق المعاملات، إلخ.
- شيء ما أنت عليه: بعض الخصائص الجسدية للمستخدم (المقاييس الحيوية)، مثل بصمة الإصبع، وبصمة العين، والصوت، وسرعة الكتابة، ونمط فترات ضغط المفاتيح، إلخ.
- مكان ما أنت فيه: بعض الاتصالات بشبكة كمبيوتر معينة أو توظيف إشارة نظام التموضع العالمي لتحديد الموقع.[3]
عوامل المعرفة
تُعد عوامل المعرفة أكثر أشكال الاستيثاق شيوعًا في الاستخدام. في هذا النموذج، يُطلب من المستخدم إثبات معرفته بسر لتحقيق الاستيثاق.
كلمة المرور هي كلمة سرية أو سلسلة من الأحرف التي تُستخدم لاستيثاق المستخدم. تُعد هذه الطريقة أكثر آليات الاستيثاق استخدامًا. تعتمد العديد من تقنيات الاستيثاق بعدة عوامل على كلمة المرور كعامل استيثاق واحد. تشمل التباينات كلاً من الكلمات الأطول المكوَّنة من عدة كلمات (عبارة مرور) ورقم التعريف الشخصي الأقصر والرقمي البحت المستخدم بشكل شائع للوصول إلى الصراف الآلي. من المتوقع عادةً حفظ كلمات المرور في الذاكرة.
تُعد العديد من الأسئلة السرية مثل «أين وُلدت؟» أمثلة سيئة لعامل المعرفة لأنها قد تكون معروفة لمجموعة كبيرة من الأشخاص، أو يمكن البحث فيها.
عوامل الامتلاك
جرى استخدام عوامل الاستخدام («ما يمتلكه المستخدم فقط ») في عملية الاستيثاق لعدة قرون، في هيئة مفتاح لقفل. يتمثل المبدأ الأساسي بأن المفتاح يجسد سرًا مشتركًا بين القفل والمفتاح، ويرتكز نفس المبدأ على استيثاق عامل الامتلاك في أنظمة الحاسوب. يُعد رمز الحماية مثالًا على عامل الامتلاك.
الرموز المنفصلة
لا تمتلك الرموز المنفصلة روابط مع جهاز الحاسوب العميل. عادة ما تستخدم شاشة مضمنة لعرض بيانات الاستيثاق التي جرى إنشاؤها، والتي يكتبها المستخدم يدويًا.
الرموز المتصلة
الرموز المتصلة هي أجهزة متصلة ماديًا بالحاسوب لغرض استخدامها. ترسل هذه الأجهزة البيانات تلقائيًا. هناك أنواع مختلفة لها، بما في ذلك قارئات البطاقات والعلامات اللاسلكية ورموز وحدة الذاكرة الفلاشية.[4]
رموز البرمجيات
رموز البرمجيات هي نوع من أجهزة أمان الاستيثاق بعاملين التي يمكن استخدامها للتصريح باستخدام خدمات الحاسوب. تُخزَّن رموز البرمجيات على جهاز إلكتروني للأغراض العامة مثل الحاسوب المكتبي أو الحاسوب المحمول أو المساعد الرقمي الشخصي أو الهاتف المحمول ويمكن تكرارها. (تُعد رموز المعدات نقيض رموز البرمجيات، حيث تُخزَّن وثائق الاعتماد على جهاز معدات مخصص لذلك، لذا لا يمكن تكرارها؛ منعًا حدوث اختراق فعلي للجهاز). قد لا يكون رمز البرمجيات جهازًا يتفاعل المستخدم معه. عادة ما تُحمَّل شهادة إكس. 509في3 على الجهاز وتُخزَّن بأمان لتأدية هذا الغرض.
العوامل القائمة على الموقع
يتزايد دخول عامل رابع حيز التنفيذ متضمنًا الموقع المادي للمستخدم. بينما يوصل بإحكام بشبكة الشركة، إلا أنه يمكن السماح للمستخدم بتسجيل الدخول باستخدام رمز تعريف شخصي فقط أثناء عدم الاتصال بالشبكة بإدخال شيفرة من رمز برمجية في حال استلزم الأمر. يمكن اعتبار ذلك معيارًا مقبولًا إذ يخضع الوصول إلى المكتب للمراقبة.
تعمل أنظمة التحكم في دخول الشبكة بطرق مماثلة عندما يمكن أن يكون مستوى الوصول إلى الشبكة الخاص بك متوقفًا على شبكة معينة يتصل بها جهازك، مثل الاتصال السلكي وعبر تقنية الواي فاي. يتيح ذلك للمستخدم التنقل بين المكاتب والحصول على نفس مستوى الوصول إلى الشبكة على نحو دينامي.
استخدام الهواتف النقالة
توفر العديد من الجهات البائعة للاستيثاق بعوامل عدة وسائل استيثاق قائمة على الهاتف المحمول. تتضمن بعض الأساليب الاستيثاق القائم على الإخطار بالأحداث الجديدة، والاستيثاق القائم على رمز الاستجابة السريعة، واستيثاق كلمة المرور لمرة واحدة (القائمة على الأحداث والوقت) والتحقق القائم على الرسائل القصيرة. يشكو التحقق عبر الرسائل القصيرة من بعض المخاوف الأمنية. يمكن استنساخ الهواتف، ويمكن تشغيل التطبيقات على العديد من الهواتف ويمكن لموظفي صيانة الهاتف النقال قراءة الرسائل النصية القصيرة. لا سيما أنه يمكن اختراق الهواتف النقالة عمومًا، ما يعني أن الهاتف لم يعد شيئًا يمتلكه المستخدم فقط.
يتمثل الخلل الرئيس في عملية الاستيثاق بما في ذلك ما يملكه المستخدم هو أنه يجب على المستخدم أن يحمل الرمز المادي معه (وحدة الذاكرة الفلاشية أو بطاقة البنك أو المفتاح أو ما شابه ذلك)، فعليًا في جميع الأوقات. يُعد الفقدان والسرقة من مخاطر هذه العملية. تمنع العديد من المؤسسات حمل أجهزة وحدة الذاكرة الفلاشية والأجهزة الإلكترونية إلى أماكن العمل أو خارجها بسبب مخاطر البرمجيات الخبيثة وسرقة البيانات، ولا تحتوي أهم الأجهزة منافذ لوحدة الذاكرة الفلاشية لنفس السبب. لا ترتقي الرموز المادية، ما يتطلب عادة رمزًا جديدًا لكل حساب ونظام جديدين. ينطوي شراء رموز من هذا النوع أو استبدالها على تكاليف. بالإضافة إلى ذلك، هناك صراعات متأصلة ومقايضات لا يمكن تجنبها بين قابلية الاستخدام والأمان.
يوفر الاستيثاق بعاملين والذي يتضمن الهواتف النقالة والهواتف الذكية بديلًا للأجهزة المادية المخصصة. بالنسبة لعملية الاستيثاق، يمكن للأشخاص استخدام رموز الوصول الشخصية الخاصة بهم إلى الجهاز (ما يعرفه المستخدم الفردي فقط) بالإضافة إلى رمز مرور دينامي صالح لمرة واحدة، وعادة ما يتكون من 4 إلى 6 أرقام. يمكن إرسال رمز المرور إلى أجهزتهم النقالة عبر خدمة الرسائل القصيرة أو يمكن إنشاؤه بواسطة تطبيق مولد لرمز المرور لمرة واحدة. في الحالتين، تتمثل ميزة استخدام الهاتف النقال في عدم الحاجة إلى رمز مخصص إضافي، إذ يتجه المستخدمون إلى حمل أجهزتهم النقالة في كل الأوقات.
ابتداءً من عام 2018، اعتُبرت خدمة الرسائل القصيرة أسلوب الاستيثاق بعدة عوامل أكثر اعتمادًا على نطاق واسع لحسابات العملاء. بصرف النظر عن شيوع التحقق بالرسائل القصيرة، انتقد المدافعون عن الأمن هذه الطريقة، وفي يوليو 2016، اقترح مشروع المبدأ التوجيهي للمعهد الوطني للمعايير والتقنية في الولايات المتحدة إلغاء اعتبارها وسيلة من وسائل الاستيثاق. بعد مرور عام، أعاد المعهد الوطني للمعايير والتقنية التحقق من الرسائل القصيرة بصفتها وسيلة استيثاق صالحة في التوجيهات النهائية.
في عامي 2016 و2017 على التوالي، بدأت شركتا غوغل وأبّل بتوفير عملية الاستيثاق بخطوتين لمستخدميها مع الإخطار بالأحداث الجديدة بصفتها وسيلة بديلة.
يعتمد أمن الرموز الأمنية التي يجري إيصالها عبر الهاتف النقال تمامًا على الأمن التشغيلي لنظام تشغيل الهاتف ويمكن اختراقه بسهولة عبر تجسس وكالات الأمن القومية على المكالمات الهاتفية أو استنساخ شريحة الهاتف.
اقرأ أيضاً
مراجع
- "Two-factor authentication: What you need to know (FAQ) – CNET"، CNET، مؤرشف من الأصل في 12 فبراير 2020، اطلع عليه بتاريخ 31 أكتوبر 2015.
- "Two-Step vs. Two-Factor Authentication - Is there a difference?"، Information Security Stack Exchange، مؤرشف من الأصل في 20 ديسمبر 2019، اطلع عليه بتاريخ 30 نوفمبر 2018.
- Seema, Sharma (2005)، Location Based Authentication (Thesis) (باللغة الإنجليزية)، University of New Orleans، مؤرشف من الأصل في 02 يوليو 2019.
- van Tilborg, Henk C.A.؛ Jajodia, Sushil, المحررون (2011)، Encyclopedia of Cryptography and Security, Volume 1، Springer Science & Business Media، ص. 1305، ISBN 9781441959058.
- بوابة أمن المعلومات