ما المقصود بالمصادقة متعددة العوامل (MFA)؟
المصادقة متعددة العوامل (MFA) هي عملية تسجيل الدخول إلى الحساب من خلال خطوات متعددة، حيث تتطلب هذه المصادقة من المستخدمين إدخال معلومات أكثر وليس إدخال كلمة مرور فقط. على سبيل المثال، إلى جانب كلمة المرور، قد يُطلب من المستخدمين إدخال رمز يُرسل إلى بريدهم الإلكتروني أو الإجابة عن سؤال سري أو مسح بصمة إصبع ضوئيًا. طريقة ثانية للمصادقة تساعد في منع الوصول غير المصرح به إلى الحساب في حالة اختراق كلمة المرور الخاصة بالنظام.
لماذا تُعد المصادقة متعددة العوامل أمرًا ضروريًا؟
في عالم اليوم، أصبح الأمن الرقمي أمرًا بالغ الأهمية لأن الشركات والمستخدمين يخزنون المعلومات المهمة والحساسة عبر الإنترنت. يتفاعل الجميع مع التطبيقات والخدمات والبيانات المخزنة على الإنترنت باستخدام حسابات عبر الإنترنت. قد يترتب على اختراق هذه المعلومات الموجودة عبر الإنترنت أو إساءة استخدامها عواقب وخيمة في العالم الحقيقي، مثل سرقة الأموال وتعطيل الأعمال وفقدان الخصوصية.
وعلى الرغم من أن كلمات المرور تحمي الأصول الرقمية، إلا أنها وحدها ليست كافية. يقوم المتمرسون من مرتكبي الجرائم السيبرانية بمحاولات حثيثة لمعرفة كلمات المرور. وعن طريق اكتشاف كلمة مرور واحدة، يمكن الوصول إلى حسابات متعددة ربما تكون قد أعدت استخدام نفس كلمة المرور في هذه الحسابات. تمثل المصادقة متعددة العوامل طبقةً إضافيةً من الأمان لمنع المستخدمين غير المصرح لهم من الوصول إلى هذه الحسابات، حتى في حالة سرقة كلمة المرور. تستخدم الشركات المصادقة متعددة العوامل في التحقق من صحة هويات المستخدمين وتوفير إمكانية وصول سريعة ومناسبة للمستخدمين المصرح لهم.
ما مزايا المصادقة متعددة العوامل؟
تقليل مخاطر الأمان
تعمل المصادقة متعددة العوامل على تقليل المخاطر التي تنجم عن خطأ بشري، أو عن وضع كلمات المرور في غير موضعها، أو عن فقد الأجهزة.
تمكين المبادرات الرقمية
تثق المؤسسات عند اتخاذ المبادرات الرقمية. تستخدم الشركات المصادقة متعددة العوامل للمساعدة في حماية البيانات التنظيمية وبيانات المستخدمين كي يشعروا بالأمان عند إجراء التفاعلات والمعاملات عبر الإنترنت.
تحسين الاستجابة للمخاطر الأمنية
يمكن للشركات تكوين نظام مصادقة متعدد العوامل يُرسل تنبيهات فورية حثيثة عندما يكتشف النظام محاولات تسجيل دخول مشبوهة. وهذا يساعد كلاً من الشركات والأفراد في الاستجابة بشكل أسرع للهجمات الإلكترونية، وبالتالي الحد من الأضرار المحتملة.
ما كيفية عمل المصادقة متعددة العوامل؟
تطلب المصادقة متعددة العوامل من المستخدم عند التسجيل عدة وسائل لإثبات الهوية. يخزن النظام معلومات الهوية ومعلومات المستخدم للتحقق منها في عملية تسجيل الدخول اللاحقة. تسجيل الدخول هي عملية متعددة الخطوات تتحقق من كلمة المرور ومن معلومات الهوية الأخرى.
نوضح أدناه الخطوات التي تشتمل عليها عملية المصادقة متعددة العوامل:
التسجيل
يقوم المستخدم بإنشاء الحساب باسم مستخدم وكلمة مرور. وبعد ذلك يربط حسابه بعناصر أخرى، مثل جهاز هاتف خلوي أو جهاز مادي. وأيضًا ربما يكون العنصر الآخر عنصرًا افتراضيًا، مثل عنوان بريد إلكتروني أو رقم هاتف محمول أو رمز تطبيق مُصدِّق. تساعد كل هذه العناصر في التعرف على المستخدم بطريقة فريدة ودقيقة ويجب عدم مشاركتها مع الآخرين.
المصادقة
عندما يقوم المستخدم من خلال المصادقة متعددة العوامل (MFA) بتسجيل الدخول إلى موقع ويب، يُطلب منه اسم المستخدم وكلمة المرور (العامل الأول – الذي يعرفه)، وكذلك يُطلب منه الاستجابة للمصادقة من جهاز المصادقة متعددة العوامل (MFA) (العامل الثاني – الذي لديه).
إذا تحقق النظام من كلمة المرور، فإنه يتصل بالعناصر الأخرى. على سبيل المثال، قد يصدر النظام رمزًا مكونًا من أرقام للجهاز أو يرسل رمزًا عبر رسالة نصية قصيرة إلى الجهاز المحمول الذي لدى المستخدم.
التفاعل
يُكمل المستخدم عملية المصادقة عن طريق تأكيد العناصر الأخرى. على سبيل المثال، ربما يُدخل الرمز الذي حصل عليه أو يضغط على زر بالجهاز. لا يحصل المستخدم على إمكانية الوصول إلى النظام إلا إذا تم التحقق من جميع المعلومات الأخرى.
تنفيذ العملية
تتنوع طرق تنفيذ المصادقة متعددة العوامل. فيما يلي بعض الأمثلة:
- يطلب النظام كلمة المرور ومعرّفًا آخر فقط، وفي هذه الحالة تسمى المصادقة ثنائية العوامل أو المصادقة المكونة من خطوتين.
- بدلاً من النظام، يتحقق تطبيق تابع لجهة خارجية يسمى التطبيق المُصدِّق من هوية المستخدم. يقوم المستخدم بإدخال رمز المرور في المُصدِّق، ويؤكد المُصدِّق هوية المستخدم على النظام.
- أثناء عملية التحقق، يقوم المستخدم بإدخال المعلومات الحيوية عن طريق المسح الضوئي لبصمة إصبع أو شبكية العين أو أي جزء آخر من الجسم.
- قد يطلب النظام عدة أنواع من المصادقة عند الوصول إليه لأول مرة على جهاز جديد. بعد ذلك، يتذكر الجهاز ويطلب كلمة المرور فقط.
ما المقصود بالمصادقة متعددة العوامل التكيفية؟
المصادقة متعددة العوامل (MFA) التكيفية تستخدم قواعد الأعمال والمعلومات حول المستخدم لتحديد عوامل المصادقة التي ينبغي تطبيقها. تستخدم الشركات المصادقة التكيفية لتحقيق التوازن بين متطلبات الأمان وتجربة المستخدم.
على سبيل المثال، يمكن لحلول المصادقة التكيفية زيادة أو تقليل خطوات مصادقة المستخدم ديناميكيًا باستخدام معلومات المستخدم السياقية مثل:
- عدد محاولات تسجيل الدخول الفاشلة
- الموقع الجغرافي للمستخدم
- السرعة الجغرافية أو المسافة المادية الفعلية بين محاولات تسجيل الدخول المتتالية
- الجهاز المستخدم في تسجيل الدخول
- يوم محاولة تسجيل الدخول وتوقيتها
- نظام التشغيل
- عنوان IP آمن
- دور المستخدم
كيف يمكن للذكاء الاصطناعي تحسين المصادقة متعددة العوامل؟
تستخدم حلول المصادقة التكيفية الذكاء الاصطناعي (AI) والتعلم الآلي (ML) في تحليل الاتجاهات وتحديد النشاط المشبوه في الوصول إلى النظام. تستطيع هذه الحلول بمرور الوقت مراقبة نشاط المستخدم لتحديد الأنماط، وإنشاء ملفات تعريف المستخدم الأساسية، واكتشاف السلوك غير المعتاد، مثل الإجراءات التالية:
- محاولات تسجيل الدخول في أوقات غير معتادة
- محاولات تسجيل الدخول من مواقع غير معتادة
- محاولات تسجيل الدخول من أجهزة غير معروفة
تعيّن خوارزميات التعلم الآلي درجات تصنيف المخاطر للأحداث المشبوهة وتضبط عوامل المصادقة المتعددة في الوقت الفعلي بناءً على سياسات الشركة. على سبيل المثال، إذا تم تصنيف السلوك على أنه منخفض الخطورة، فيمكن للمستخدم تسجيل الدخول باستخدام اسم مستخدم وكلمة مرور فقط. أما في حالة السلوك متوسط الخطورة، فيجب على المستخدم إدخال رمز يُرسل عبر رسالة نصية قصيرة بينما يتم رفض وصول المستخدم تمامًا إذا كان السلوك شديد الخطورة.
ما أمثلة المصادقة متعددة العوامل؟
نقدم أدناه بعض الأمثلة حول كيفية استخدام الشركات للمصادقة متعددة العوامل:
وصول الموظفين عن بُعد
تريد إحدى الشركات منح موظفيها إمكانية وصول عن بُعد للموارد. يمكن للشركة إعداد مصادقة متعددة العوامل التي تتطلب تسجيل الدخول، وجهازًا ماديًا، والمسح الضوئي لبصمات أصابع على أجهزة الكمبيوتر المحمولة التي تسلمها الشركة للموظفين للعمل من المنزل. واستنادًا إلى عنوان IP للموظف، يمكن للشركة وضع القواعد التي يحتاجها الموظف في استخدام المصادقة ثنائية العوامل عند العمل من المنزل. ومع ذلك، قد تطلب الشركة مصادقة ثلاثية العوامل عندما يعمل الموظف على أي شبكة wifi أخرى.
منح الوصول إلى النظام للموظفين الذين بالموقع فقط
تريد إحدى المستشفيات منح جميع موظفيها حق الوصول إلى تطبيقاتها الصحية وبيانات المرضى. تمنح المستشفى الموظفين شارة تقارب (بطاقة تعريف) للوصول إلى هذه التطبيقات أثناء وجودهم في العمل. في بداية كل وردية، يجب على الموظف تسجيل الدخول والنقر بالشارة على نظام مركزي. أثناء الوردية، يمكن للموظف الوصول إلى جميع الموارد بنقرة واحدة من الشارة، بدون الحاجة إلى متطلبات أخرى لتسجيل الدخول. في نهاية الوردية، تنتهي حقوق الوصول بنقرة واحدة. هذا يقلل من مخاطر الوصول غير المصرح به التي تنجم عن فقد الشارات.
ما طرق المصادقة متعددة العوامل؟
تعتمد طرق المصادقة متعددة العوامل (MFA) على شيء تعرفه، و/أو شيء تحوزه، و/أو شيء ملازم لك. نوضح أدناه بعض عوامل المصادقة الشائعة:
عامل المعرفة
في الطريقة "عامل المعرفة"، يتعين على المستخدمين إثبات هويتهم من خلال الكشف عن معلومات لا يعرفها أحد غيرهم. من الأمثلة النموذجية على "عامل المعرفة" الأسئلة السرية التي تحتوي على إجابات لا يعرفها سوى المستخدم، مثل اسم أول حيوان أليف أو اسم والدته قبل الزواج. قد تطلب التطبيقات أيضًا الوصول إلى رمز تعريف شخصي (رمز pin) مكون من أربعة أرقام.
تظل هذه الطرق آمنةً طالما لم يكتشف أي شخص آخر المعلومات السرية. قد يبحث المجرمون في التاريخ الشخصي للمستخدم أو يخدعونه للكشف عن هذه المعلومات. يمكن أيضًا اختراق رموز Pin باستخدام طريقة القوة الغاشمة التي تخمّن المجموعات المكونة من أربعة أرقام.
عامل الحيازة
في الطريقة "عامل الحيازة"، يُعرّف المستخدمون أنفسهم بشيء يتفردون في امتلاكه. إليك بعض الأمثلة:
- الأجهزة المادية مثل الهواتف المحمولة، ورموز الأمان، وبطاقات العرض، وسلاسل الأجهزة، ومفاتيح الأمان.
- الأصول الرقمية مثل حسابات البريد الإلكتروني وتطبيقات المُصدِّق
يرسل النظام رمزًا سريًا في شكل رسالة رقمية إلى هذه الأجهزة أو الأصول، ثم يعيد المستخدم إدخالها في النظام. يمكن اختراق الحساب في حالة فقد الجهاز أو سرقته. تتحايل بعض رموز الأمان على هذه المشكلة من خلال الاتصال مباشرةً بالنظام وبالتالي لا يمكن الوصول إليها رقميًا.
العامل المتأصل أو الملازم
تستخدم طريقة "العامل المتأصل أو الملازم" معلومات ملازمة ومتأصلة للمستخدم. إليك بعض الأمثلة على عوامل المصادقة هذه:
- عمليات المسح الضوئي لبصمات أصابع
- عمليات المسح الضوئي لشبكية العين
- التعرف على الصوت
- التعرف على الوجه
- المقاييس الحيوية السلوكية مثل ديناميكية ضغط المفاتيح
من المفترض أن يجمع التطبيق هذه المعلومات ويخزنها مع كلمة المرور أثناء التسجيل. يتعين على الشركة التي تدير التطبيق أن تحمي المقاييس الحيوية بجانب حماية كلمات المرور.
ما أفضل الممارسات الخاصة بإعداد المصادقة متعددة العوامل؟
ينبغي لجميع الشركات وضع سياسات على مستوى المؤسسة تُقيّد وتحمي الوصول إلى الموارد الرقمية. إليك مجموعة من أفضل الممارسات في عملية إدارة الوصول:
إنشاء أدوار المستخدمين
يمكنك صياغة وتحديد سياسات التحكم في الوصول عن طريق تجميع المستخدمين في أدوار. على سبيل المثال، يمكنك منح المستخدمين ذوي الدور "مسؤول" امتيازات وحقوق وصول أكبر من تلك الممنوحة للمستخدمين النهائيين.
إنشاء سياسات كلمات مرور قوية
ما يزال يتعين عليك فرض سياسات قوية حتى وإن كان لديك مصادقة مكونة من ثلاثة أو أربعة عوامل. يُمكنك تنفيذ القواعد لإنشاء كلمات مرور تمزج بين الأحرف الكبيرة والأحرف الصغيرة والأحرف الخاصة والأرقام.
تغيير بيانات اعتماد الأمان بصفة دورية
من الممارسات القوية أن تطلب من المستخدمين تغيير كلمات المرور بصفة منتظمة. يُمكنك أتمتة هذه العملية عن طريق جعل النظام يرفض الوصول إلا بعد تغيير كلمة المرور.
اتباع سياسة الامتيازات الأقل
ابدأ دومًا مع المستخدمين الجدد بالحد الأدنى من الامتيازات وأقل مستوى للوصول في نظامك. يُمكنك زيادة الامتيازات عن طريق التصريح اليدوي أو تدريجيًا كلما أثبت المستخدم موثوقيته من خلال بيانات الاعتماد المتحقق منها.
ما المقصود بهوية AWS؟
يمكنك استخدام خدمات الهوية من AWS في إدارة الهويات والموارد والأذونات بطريقة آمنة وعلى نطاق واسع. على سبيل المثال، توفر ما يلي:
- تمنح القوة العاملة لديك حق اختيار مكان إدارة الهويات وبيانات الاعتماد الخاصة بموظفيك، والأذونات الدقيقة لمنح الوصول المناسب إلى الأشخاص المناسبين وفي الوقت المناسب.
- تمنح المطورين لديك مزيدًا من الوقت لإنشاء تطبيقات رائعة لعملائك من خلال تمكينهم من إضافة تسجيل المستخدم وتسجيل الدخول والتحكم في الوصول إلى تطبيقات الويب وتطبيقات الأجهزة المحمولة بسرعة وبدون عناء.
على سبيل المثال، في التطبيقات المواجهة للعملاء، تساعدك Amazon Cognito في إنشاء تجربة عملاء للاشتراك وتسجيل الدخول في تطبيقاتك بطريقة بسيطة وآمنة وقابلة للتوسع وقائمة على المعايير. يدعم Amazon Cognito المصادقة متعددة العوامل وتشفير البيانات في أوقات عدم النشاط وأثناء الانتقال. يساعدك في تلبية العديد من متطلبات الأمان والامتثال، بما في ذلك المتطلبات الخاصة بالمؤسسات عالية التنظيم مثل شركات الرعاية الصحية والتجار.
بالإضافة إلى ذلك، يوفر AWS Identity and Access Management (IAM) التحكم الدقيق في الوصول عبر جميع خدمات AWS. مع IAM، يمكنك تحديد مَن يمكنه الوصول إلى الخدمات والموارد وتحديد الشروط التي يتم في ظلها هذا الوصول. مع سياسات IAM، يُمكنك إدارة الأذونات الخاصة بالقوة العاملة والأنظمة لديك لضمان أذونات ذات امتيازات أقل.
تعد المصادقة متعددة العوامل (MFA) إحدى ميزات AWS IAM التي تضيف طبقةً إضافيةً من الحماية بجانب اسم المستخدم وكلمة المرور. بتمكين المصادقة متعددة العوامل (MFA)، عندما يقوم المستخدم بتسجيل الدخول إلى وحدة إدارة تحكم AWS، ستتم مطالبته باسم المستخدم وكلمة المرور (العامل الأول – الذي تعرفه)، وكذلك سيطلب منه إدخال رمز مصادقة من جهاز AWS MFA الخاص به (العامل الثاني – الذي يحصل عليه). وبكونها مجتمعة، تُقَدّم هذه العوامل المتعددة حماية زائدة لإعدادات حسابك على AWS وموارده.
الخطوات التالية على AWS
تمتع بالوصول الفوري إلى الطبقة المجانية من AWS.
