ما هي المصادقة؟
تعرّف على كيفية التحقق من هويات الأشخاص والتطبيقات والخدمات قبل منحهم حق الوصول إلى الأنظمة والموارد الرقمية.
تعريف المصادقة
تُعرف عملية المصادقة بأنها العملية التي تستخدمها الشركات للتأكد من أن الأشخاص والخدمات والتطبيقات المناسبة فقط هي من لديها الأذونات الصحيحة التي تمكنها من الحصول على الموارد التنظيمية. تعد عملية المصادقة جزءاً هاماً من الأمان عبر الإنترنت لأن الأولوية الأولى للجهات الضارة هي الوصول بشكل غير مصرح إلى الأنظمة. تقوم الجهات الضارة بذلك عن طريق سرقة اسم المستخدم وكلمات المرور للمستخدمين الذين لديهم حق الوصول. تتضمن عملية المصادقة ثلاث خطوات أساسية:
- التعريف: عادةً ما يحدد المستخدمون هويتهم من خلال اسم المستخدم.
- المصادقة: وعادةً، ما يثبت المستخدمون هويتهم عن طريق إدخال كلمة مرور (وهي شيء من المفترض أن يعرفه المستخدم فقط)، ولكن لتعزيز الأمان، تطلب العديد من المؤسسات أيضاً من المؤسسات إثبات هويتهم بشيء لديهم مثل (هاتف أو رمز مميز) أو شيء من هذا القبيل مثل (بصمة الإصبع أو مسح الوجه).
- التخويل: يتحقق النظام من أن المستخدمين لديهم إذن بالدخول إلى النظام الذي يحاولون الوصول إليه.
ما هي أهمية المصادقة؟
تكمن أهمية المصادقة في أنها تساعد المؤسسات على حماية أنظمتها وبياناتها وشبكاتها ومواقعها الإلكترونية وتطبيقاتها من الهجمات. كما أنها تساعد الأفراد على الحفاظ على سرية بياناتهم الشخصية، وتمكنهم من القيام بالأعمال، مثل الخدمات المصرفية أو الاستثمار، عبر الإنترنت مع تفادي أكبر قدر من المخاطر. عندما تكون عمليات المصادقة ضعيفة، يسهل على المهاجم اختراق الحساب إما عن طريق تخمين كلمات المرور الفردية أو خداع الأشخاص لتسليم بيانات الاعتماد الخاصة بهم. وهذا يمكن أن يؤدي إلى المخاطر التالية:
- خرق أمان البيانات أو نقلها بشكل غير مصرّح.
- تثبيت البرامج الضارة، مثل برامج الفدية الضارة.
- عدم الامتثال للوائح خصوصية البيانات الخاصة بالصناعة أو المنطقة.
كيف تعمل المصادقة
بالنسبة للأشخاص، تتضمن عملية المصادقة إعداد اسم مستخدم وكلمة مرور وطرق مصادقة أخرى، مثل مسح الوجه أو بصمة الإصبع أو رقم التعريف الشخصي (PIN). ولحماية الهويات، لا يتم حفظ أياً من طرق المصادقة في قاعدة بيانات الخدمة. تتم تجزئة كلمات المرور (غير المشفرة) ويتم حفظ الأجزاء في قاعدة البيانات. عندما يقوم المستخدم بإدخال كلمة مرور، تتم أيضاً تجزئة كلمة المرور التي تم إدخالها، ثم تتم مقارنة الأجزاء. وإذا تطابقت الأجزاء، فسيتم منح حق الوصول. بالنسبة لبصمات الأصابع ومسح الوجه، يتم ترميز المعلومات وتشفيرها وحفظها على الجهاز.
أنواع طرق المصادقة
في طرق المصادقة الحديثة، يتم تفويض عملية المصادقة إلى نظام هوية منفصل وموثوق به، على غرار طرق المصادقة التقليدية حيث يقوم كل نظام بالتحقق من الهوية بنفسه. طرأت أيضاً بعض التغيرات على أنواع طرق المصادقة المستخدمة. تتطلب معظم التطبيقات اسم مستخدم وكلمة مرور، ولكن نظراً لأن الجهات الضارة أصبحت تتبع طرقاً أكثر ذكاء في سرقة كلمات المرور، قام مجتمع الأمان بتطوير عدة طرق جديدة للمساعدة في حماية الهويات.
المصادقة المستندة إلى كلمة المرور
تعتبر المصادقة المستندة إلى كلمة المرور النموذج الأكثر شيوعاً للمصادقة. تتطلب العديد من التطبيقات والخدمات من الأشخاص إنشاء كلمات مرور حيث تُستخدم فيها مجموعة من الأرقام والحروف والرموز للتقليل من مخاطر تخمينها من قبل الجهات الضارة. ومع ذلك، فإن كلمات المرور تمثل أيضاً تحديات تتعلق بالأمان وسهولة الاستخدام. حيث يصعُب على الأشخاص التفكير في كلمة مرور فريدة وحفظها لكل حساب من حساباتهم عبر الإنترنت، ولهذا السبب غالباً ما يعيدون استخدام نفس كلمات المرور. ويستخدم المهاجمون العديد من الأساليب لتخمين كلمات المرور أو سرقتها أو إغراء الأشخاص بمشاركتها دون قصد. ولهذا السبب، تبتعد المؤسسات عن استخدام كلمات المرور وتلجأ إلى أشكال أخرى أكثر أماناً للمصادقة.
المصادقة المستندة إلى الشهادة
المصادقة المستندة إلى الشهادات هي طريقة مشفرة تمكن الأجهزة والأشخاص من تعريف أنفسهم على الأجهزة والأنظمة الأخرى. وهناك مثالان شائعان لتلك المصادقة، أحدهما البطاقة الذكية والأخر عندما يرسل جهاز الموظف شهادة رقمية إلى شبكة أو خادم.
مصادقة المقاييس الحيوية
عند استخدام مصادقة المقاييس الحيوية، يتم التحقق من هوية الأشخاص باستخدام الميزات البيولوجية. على سبيل المثال، يستخدم العديد من الأشخاص إصبعهم أو إبهامهم لتسجيل الدخول إلى هواتفهم، وتقوم بعض أجهزة الكمبيوتر بمسح وجه الشخص أو شبكية العين للتحقق من هويته. وترتبط بيانات المقاييس الحيوية أيضاً بجهاز معين، لذلك لا يمكن للمهاجمين استخدامها دون الوصول أيضاً إلى الجهاز. ويحظى هذا النوع من المصادقة بشعبية متزايدة لأنه يسير الاستخدام للأشخاص حيث لا يتعين عليهم حفظ أي شيء، ويصعب على الجهات الضارة سرقته، مما يجعل المصادقة أكثر أماناً من استخدام كلمات المرور.
المصادقة المستندة إلى رمز مميز
عند استخدام المصادقة المستندة إلى رمز مميز، يقوم كلاً من الجهاز والنظام بإنشاء رقم فريد جديد يسمى رقم التعريف الشخصي لمرة واحدة (TOTP) كل 30 ثانية. وإذا تطابقت الأرقام، يتحقق النظام من أن المستخدم لديه الجهاز.
كلمة مرور لمرة واحدة
كلمات المرور لمرة واحدة (OTP) هي عبارة عن تعليمات برمجية يتم إنشاؤها لتسجيل دخول محدد وتنتهي صلاحيتها بعد وقت قصير من إصدارها. ويتم إرسالها عبر الرسائل النصية القصيرة أو البريد الإلكتروني أو الرمز المميز للجهاز.
الإعلامات المنبثقة
تستخدم بعض التطبيقات والخدمات الإعلامات المنبثقة لمصادقة المستخدمين. في هذه الحالات، يتلقى الأشخاص رسالة على هواتفهم تطلب منهم الموافقة على طلب الوصول أو رفضه. ونظراً لأن الأشخاص في بعض الأحيان يوافقون عن طريق الخطأ على الإعلامات المنبثقة على الرغم من محاولتهم تسجيل الدخول إلى الخدمات التي أرسلت الإعلام، يتم أحياناً دمج هذه الطريقة مع طريقة كلمة المرور لمرة واحدة (OTP). باستخدام كلمة المرور لمرة واحدة (OTP)، يقوم النظام بإنشاء رقم فريد يجب على المستخدم إدخاله. وهذا يجعل المصادقة أكثر مقاومة للتصيد الاحتيالي.
المصادقة بالصوت
عند استخدام المصادقة بالصوت، يتلقى الشخص الذي يحاول الوصول إلى الخدمة مكالمة هاتفية، حيث يُطلب منه إدخال رمز أو تعريف نفسه شفهياً.
المصادقة متعددة العوامل
من الطرق المستحسنة لتقليل احتمالية اختراق الحساب طلب طريقتين أو أكثر للمصادقة، والتي قد تتضمن أياً من الطرق المذكورة سابقاً. أفضل الممارسات الفعالة هي طلب أي اثنين مما يلي:
- شيء يعرفه المستخدم، وعادةً ما يكون كلمة المرور.
- شيء يمتلكه المستخدم، مثل جهاز موثوق به صعب استنساخه مثل الهاتف أو رمز مميز للجهاز.
- شيء يُميز المستخدم، مثل بصمة الإصبع أو مسح الوجه.
على سبيل المثال، تطلب العديد من المؤسسات كلمة مرور (شيء يعرفه المستخدم) وترسل أيضاً كلمة المرور لمرة واحدة (OTP) عبر الرسائل القصيرة إلى جهاز موثوق (شيء يمتلكه المستخدم) قبل السماح بالوصول.
المصادقة الثنائية
المصادقة الثنائية هي نوع من المصادقة متعددة العوامل التي تتطلب شكلين من أشكال المصادقة.
وعلى الرغم من أن المصادقة يشار إليها أحياناً باسم AuthN، بينما يشار إلى التخويل أحياناً باسم AuthZ، وغالباً ما يتم استخدامهما بالتبادل، إلا أنهما شيئان مرتبطان ولكنهما منفصلان. تؤكد عملية المصادقة أن المستخدم الذي يقوم بتسجيل الدخول هو نفسه من يحاول الوصول، بينما يؤكد التخويل أن المستخدم لديه الأذونات الصحيحة للوصول إلى المعلومات التي يريدها. على سبيل المثال، قد يتمكن شخص ما في الموارد البشرية من الوصول إلى أنظمة حساسة، مثل كشف الرواتب أو ملفات الموظفين، والتي لا يمكن للآخرين الاطلاع عليها. يلعب عاملا المصادقة والتخويل دوراً حيوياً في تمكين الإنتاجية وحماية البيانات الحساسة والملكية الفكرية والخصوصية.
أفضل الممارسات لأمان المصادقة
نظرًا لأن اختراق الحساب هو وسيلة شائعة للمهاجمين للوصول غير المصرح به إلى موارد الشركة، فمن المهم إنشاء أمان مصادقة قوي. فيما يلي بعض الأشياء التي يمكنك القيام بها لحماية مؤسستك:
-
تنفيذ المصادقة متعددة العوامل
من أهم الأشياء التي يمكنك تنفيذها لتقليل مخاطر اختراق الحساب هو تشغيل المصادقة متعددة العوامل والمطالبة بعاملي مصادقة على الأقل. ومن الصعب جداً على المهاجمين سرقة أكثر من طريقة مصادقة واحدة، خاصة إذا كانت إحداها عبارة عن مقاييس حيوية أو شيء يمتلكه المستخدم مثل الجهاز. لتبسيط الأمر قدر الإمكان على الموظفين والعملاء والشركاء، امنحهم خياراً من بين عدة عوامل مختلفة. على الرغم من أنه يجدر ملاحظة أن جميع الطرق المصادقة غير متماثلة القوة. فبعض الطرق أكثر أماناً من غيرها. على سبيل المثال، في حين أن تلقي رسالة نصية قصيرة أفضل من لا شيء، إلا أن الإعلامات المنبثقة أكثر أماناً.
-
استخدام المصادقة بدون كلمة مرور
بمجرد إعداد المصادقة متعددة العوامل، يمكنك اختيار تقليل استخدام كلمات المرور وتشجيع الأشخاص على استخدام طريقتين أو أكثر من طرق المصادقة الأخرى، مثل رقم التعريف الشخصي والمقاييس الحيوية. سيؤدي تقليل استخدام كلمات المرور وعدم استخدام كلمات المرور إلى تبسيط عملية تسجيل الدخول وتقليل مخاطر تعرض الحساب للاختراق.
-
تطبيق الحماية بكلمة مرور
ثمة أدوات يمكنك استخدامها لتقليل استخدام كلمات المرور سهلة التخمين وكذلك تثقيف الموظفين. تمكنك حلولحماية كلمة المرور من حظر كلمات المرور شائعة الاستخدام مثل كلمة المرور1. ويمكنك إنشاء قائمة مخصصة خاصة بشركتك أو منطقتك، مثل أسماء الفرق الرياضية المحلية أو المعالم.
-
تمكين المصادقة متعددة العوامل المستندة إلى المخاطر
تعد بعض أحداث المصادقة مؤشرات على حدوث اختراق، كما هو الحال عندما يحاول أحد الموظفين الوصول إلى شبكتك من جهاز جديد أو موقع غريب. قد لا تكون أحداث تسجيل الدخول الأخرى غير عادية ولكنها تنطوي على مخاطر أكبر، كما هو الحال عندما يحتاج متخصص الموارد البشرية إلى الوصول إلى معلومات التعريف الشخصية للموظف. ولتقليل المخاطر، يمكنك تكوين حل إدارة الهوية والوصول (IAM) الخاص بك بحيث يتطلب عاملي مصادقة على الأقل عند اكتشاف مثل هذه الأحداث.
-
إعطاء الأولوية لسهولة الاستخدام
يتطلب الأمان الفعال موافقة الموظفين وأصحاب المصلحة الآخرين. يمكن للنُهج الأمنية في بعض الأحيان أن تمنع الأشخاص من الانخراط في أنشطة محفوفة بالمخاطر عبر الإنترنت، ولكن إذا كانت تلك النُهج مرهقة للغاية، فسيجد الأشخاص حلاً بديلاً. تتواءم أفضل الحلول مع السلوك الإنساني الواقعي. انشر ميزات مثل إعادة تعيين كلمة المرور الخدمة الذاتية لإغناء الأشخاص عن الاتصال بمكتب المساعدة عند نسيانهم كلمة المرور. قد يشجعهم هذا أيضاً على اختيار كلمة مرور قوية لأنهم يعلمون أنه سيسهل عليهم إعادة تعيينها إذا نسوها لاحقاً. عند السماح للأشخاص باختيار طريقة التخويل التي يفضلونها سيسهل ذلك عليهم عملية تسجيل الدخول.
-
استخدام تسجيل الدخول الأحادي
إحدى الميزات التي تسهل الاستخدام وتحسن الأمان هي تسجيل الدخول الأحادي (SSO). لا يحب أحد أن يُطلب منه كلمة مرور في كل مرة يقوم فيها بالتبديل بين التطبيقات وقد يشجعه ذلك على استخدام كلمة المرور نفسها عبر حسابات متعددة لتوفير الوقت. باستخدام تسجيل الدخول الأحادي، يحتاج الموظفون فقط إلى تسجيل الدخول مرة واحدة للوصول إلى معظم أو كل التطبيقات التي يحتاجونها للعمل. وهذا يقلل التدخل اليدوي، ويسمح لك بتطبيق نُهج أمان عالمية أو مشروطة، مثل المصادقة متعددة العوامل، على جميع البرامج التي يستخدمها الموظفون.
-
استخدام مبدأ الوصول بأقل الامتيازات
يمكنك الحد من عدد الحسابات المميزة استناداً إلى الأدوار ومنح الأشخاص أقل قدر من الامتيازات اللازمة للقيام بوظائفهم. يساعد ترسيخ ميزة التحكم في الوصول على ضمان وصول أقل عدد من الأشخاص إلى البيانات والأنظمة الأكثر أهمية لديك. عندما يحتاج شخص ما إلى تنفيذ مهمة حساسة، يمكنك استخدام حل إدارة الوصول المتميز، مثل التنشيط في نفس الوقت لفترات زمنية محددة، لتقليل المخاطر بشكل أكبر. ومن المفيد أيضاً اشتراط تنفيذ الأنشطة الإدارية فقط على أجهزة آمنة للغاية ومنفصلة عن أجهزة الكمبيوتر التي يستخدمها الأشخاص في أداء المهام اليومية.
-
افترض حدوث خرق للأمان وإجراء عمليات تدقيق منتظمة
تتغير أدوار الأشخاص وحالتهم الوظيفية بانتظام، في العديد من المؤسسات. يغادر الموظفون الشركة أو يبدلون أقسامهم. يتنقل الشركاء داخل وخارج المشاريع. ومن الممكن أن يُشكل هذا مشكلة عندما لا تتواكب قواعد الوصول مع وتيرة تلك الحركات. من المهم التأكد من عدم احتفاظ الأشخاص بإمكانية الوصول إلى الأنظمة والملفات التي لم يعودوا بحاجة إليها للقيام بعملهم. لتقليل مخاطر حصول المهاجم على معلومات حساسة، استخدم حل إدارة الهوية لمساعدتك في تدقيق حساباتك وأدوارك باستمرار. تساعدك هذه الأدوات أيضاً على التأكد من أن الأشخاص لديهم حق الوصول إلى ما يحتاجون إليه فقط وأن حسابات الأشخاص الذين تركوا المؤسسة لم تعد نشطة.
-
حماية الهويات من المخاطر
توفر حلولإدارة الهوية والوصول العديد من الأدوات لمساعدتك على تقليل مخاطر اختراق الحساب، ومع ذلك، لا يزال من الأفضل توقع الاختراق. وحتى الموظفين الحاصلين على تعليم جيد يقعون أحياناً في فخ عمليات التصيد الاحتيالي. ولاكتشاف اختراق الحساب مبكراً، عليك الاستثمار في حلول الحماية من مخاطر الهوية وتنفيذ النُهج التي تساعدك على اكتشاف الأنشطة المشبوهة والاستجابة لها. تستخدم العديد من الحلول الحديثة، مثل Copilot للأمان من Microsoft، الذكاء الاصطناعي ليس فقط للكشف عن المخاطر، بل أيضاً للاستجابة لها تلقائياً.
حلول المصادقة على السحابة
تعد المصادقة أمراً بالغ الأهمية لتقوية برنامج الأمان عبر الإنترنت وتحسين إنتاجية العمال. يوفر لك الحل الشامل لإدارة الهوية والوصول المستند إلى السحابة، مثل Microsoft Entra، أدوات لمساعدة الأشخاص في الحصول على ما يحتاجون إليه للقيام بوظائفهم بسهولة مع تطبيق عناصر تحكم قوية تقلل من مخاطر قيام المهاجمين باختراق الحساب والوصول إلى البيانات الحساسة.
معرفة المزيد من المعلومات حول الأمان من Microsoft
Microsoft Entra ID Governance
تأكد من حصول الأشخاص المناسبين على إمكانات الوصول الموائمة للتطبيقات الملائمة في الوقت المناسب.
إدارة الأذونات في Microsoft Entra
يمكنك الحصول على حل واحد موحد لإدارة أذونات أي هوية عبر البنية الأساسية متعددة الأوساط السحابية.
معرّف تم التحقق منه في Microsoft Entra
يمكنك إضفاء طابع شخصي على هوياتك غير الممركزة باستخدام خدمة بيانات اعتماد مُدارة يمكن التحقق منها استناداً إلى المعايير المفتوحة.
الأسئلة المتداولة
-
هناك العديد من أنواع المصادقة المختلفة. فيما يلي بعض الأمثلة على كلمات المرور القوية:
- يقوم العديد من الأشخاص بتسجيل الدخول إلى هواتفهم باستخدام ميزة التعرف على الوجه أو بصمة الإبهام.
- وغالباً ما تطلب البنوك والخدمات الأخرى من الأشخاص تسجيل الدخول باستخدام كلمة مرور بالإضافة إلى تعليمة برمجية يتم إرسالها تلقائياً عبر الرسائل القصيرة.
- تتطلب بعض الحسابات اسم مستخدم وكلمة مرور فقط، على الرغم من أن العديد من المؤسسات تتجه نحو المصادقة متعددة العوامل لزيادة الأمان.
- وغالباً ما يقوم الموظفون بتسجيل الدخول إلى أجهزة الكمبيوتر الخاصة بهم والوصول إلى العديد من التطبيقات المختلفة في نفس الوقت، وهو ما يُعرف باسم تسجيل الدخول الأحادي.
- وهناك أيضاً حسابات تسمح للمستخدمين بتسجيل الدخول باستخدام حساب Facebook أو Google. وفي هذه الحالة، يكون Facebook أو Google أو Microsoft مسؤولاً عن مصادقة المستخدم وتمرير التخويل إلى الخدمة التي يريد المستخدم الوصول إليها.
-
المصادقة على السحابة هي خدمة تؤكد أن الأشخاص والتطبيقات المناسبين ذوي الأذونات المناسبة فقط يمكنهم الحصول على وصول إلى الموارد والشبكات على السحابة. تحتوي العديد من التطبيقات السحابية على مصادقة مضمنة مستندة إلى السحابة، ولكن هناك أيضاً حلول أوسع نطاقاً، مثل Microsoft Entra ID، المصممة للتعامل مع المصادقة عبر تطبيقات وخدمات سحابية متعددة. تستخدم هذه الحلول عادةً بروتوكول SAML لتمكين خدمة مصادقة واحدة من العمل عبر حسابات متعددة.
-
وعلى الرغم من أن المصادقة والتخويل غالباً ما يتم استخدامهما بالتبادل، إلا أنهما شيئان مرتبطان ولكنهما منفصلان. تؤكد عملية المصادقة أن المستخدم الذي يقوم بتسجيل الدخول هو نفسه من يحاول الوصول، بينما يؤكد التخويل أن المستخدم لديه الأذونات الصحيحة للوصول إلى المعلومات التي يريدها. وعند استخدام المصادقة والتخويل معاً، يساعد ذلك في تقليل مخاطر وصول المهاجم إلى البيانات الحساسة.
-
يتم استخدام المصادقة للتحقق من أن الأشخاص والكيانات هم أنفسهم من يحاولون الوصول قبل منحهم إمكانية الوصول إلى الموارد والشبكات الرقمية. على الرغم من أن الهدف الأساسي لحلول المصادقة هو توفير الأمان، إلا أن حلول المصادقة الحديثة مصممة أيضاً لتيسير الاستخدام. وعلى سبيل المثال، تطبق العديد من المؤسسات حلول تسجيل الدخول الأحادي لتسهيل عثور الموظفين على ما يحتاجون إليه للقيام بوظائفهم. وغالباً ما تسمح خدمات المستهلك للأشخاص بتسجيل الدخول باستخدام حساب Facebook أو Google أو Microsoft الخاص بهم لتسريع عملية المصادقة.
متابعة الأمان من Microsoft