ما هي المصادقة الثنائية ؟ و ما هي أنواعها و هل هي آمنة؟
المصادقة الثنائية (two factor authentication) ، التي يشار إليها أحيانًا بالتحقق بخطوتين أو المصادقة ثنائية العامل هي عملية أمان يوفر فيها المستخدمون عاملين مختلفين للتحقق من أنفسهم.
يتم تنفيذ المصادقة الثنائية (2FA) لتوفير حماية أفضل لكل من بيانات اعتماد المستخدم و المواقع التي يمكن للمستخدم الوصول إليها حيث توفر المصادقة الثنائية مستوى أعلى من الأمان من أساليب المصادقة التي تعتمد على المصادقة أحادية العامل (SFA) ، حيث يوفر المستخدم عاملًا واحدًا فقط.
تعتمد أساليب المصادقة الثنائية على قيام المستخدم بتوفير كلمة مرور كعامل أول وعامل ثانٍ مختلف و عادةً ما يكون إما رمز أمان أو بصمة الإصبع أو الوجه.
تضيف المصادقة الثنائية طبقة إضافية من الأمان إلى عملية المصادقة من خلال التصعيب على الأشخاص الآخرين الوصول إلى أجهزة الشخص أو الحسابات عبر الإنترنت لأنه حتى لو تم اختراق كلمة المرور فإن كلمة المرور وحدها لا تكفي للدخول إلى حسابك.
لطالما استخدمت المصادقة الثنائية للتحكم في الوصول إلى الأنظمة و البيانات الحساسة. و يستخدم مقدمو الخدمات عبر الإنترنت المصادقة الثنائية بشكل متزايد لحماية بيانات اعتماد المستخدمين من الهاكرز.
ما هي عوامل المصادقة؟
هناك عدة طرق يمكن من خلالها مصادقة شخص ما و تعتمد معظم طرق المصادقة حاليًا على عوامل المعرفة مثل كلمة المرور التقليدية بالإضافة إلى أساليب المصادقة الثنائية .
عوامل المصادقة تشمل ما يلي:
-
عامل المعرفة و هو شيء يعرفه المستخدم، مثل كلمة السر، رقم تعريف شخصي (PIN) أو أي نوع آخر من السر المشترك.
-
عامل حيازة شيء للمستخدم، مثل بطاقة الهوية و رمز الأمان و الهاتف المحمول، و جهاز محمول أو التطبيق الذكي.
-
عامل البيومترية المعروف أيضا باسم عامل الملازمة و هو شيء متأصل في المستخدم و قد يكون سمات شخصية تم تعيينها مثل بصمات الأصابع المصادق عليها من خلال قارئ بصمات الأصابع و تشمل عوامل الوراثة الأخرى الشائعة الاستخدام التعرف على الوجه و الصوت أو القياسات الحيوية السلوكية، مثل ديناميكيات ضغط المفاتيح أو أنماط المشي أو الكلام.
-
عامل الموقع ويمكن فرض ذلك من خلال تقييد محاولات المصادقة على أجهزة معينة في موقع معين أو عن طريق تتبع المصدر الجغرافي لمحاولة المصادقة بناءً على عنوان بروتوكول إنترنت المصدر أو بعض معلومات تحديد الموقع الجغرافي الأخرى ، مثل بيانات نظام(تحديد المواقع العالمي GPS) ، المستمدة من الهاتف المحمول للمستخدم أو أي جهاز آخر.
-
عامل التوثيق الزمني الذي يقيد الوصول إلى النظام خلال فترة محددة.
تعتمد الغالبية العظمى من أساليب المصادقة الثنائية على عوامل المصادقة الثلاثة الأولى ، و على الرغم من أن الأنظمة التي تتطلب قدرًا أكبر من الأمان قد تستخدمها لتنفيذ المصادقة متعددة العوامل (MFA) والتي يمكن أن تعتمد على اثنين أو أكثر من بيانات الاعتماد المستقلة للحصول على مصادقة أكثر أمانًا.
كيف تعمل المصادقة الثنائية؟
يختلف تمكين المصادقة ذات العاملين باختلاف التطبيق و مع ذلك فإن عمليات المصادقة الثنائية تتضمن نفس العملية العامة متعددة الخطوات:
-
يُطلب من المستخدم تسجيل الدخول عن طريق التطبيق أو موقع الويب.
-
يقوم المستخدم بإدخال ما يعرفه – عادة ، اسم المستخدم و كلمة المرور. ثم يعثر خادم الموقع على تطابق و يتعرف على المستخدم.
-
بالنسبة للعمليات التي لا تتطلب كلمات مرور ينشئ موقع الويب مفتاح أمان فريد للمستخدم و تعالج أداة المصادقة المفتاح و يتحقق خادم الموقع من صحته.
-
ثم يطلب الموقع من المستخدم بدء الخطوة الثانية لتسجيل الدخول و على الرغم من أن هذه الخطوة يمكن أن تتخذ عددًا من الأشكال إلا أنه يجب على المستخدم إثبات أن لديه شيئًا آخر لتوثيق الحساب، مثل العوامل الحيوية أو رمز الأمان أو بطاقة الهوية أو الهاتف الذكي أو أي جهاز محمول آخر.
-
بعد ذلك ، قد يضطر المستخدم إلى إدخال رمز لمرة واحدة تم إنشاؤه أثناء الخطوة الرابعة.
-
بعد تقديم كلا العاملين يتم مصادقة المستخدم و منحه حق الوصول إلى التطبيق أو موقع الويب.
عناصر المصادقة الثنائية
المصادقة الثنائية هي شكل من أشكال أسلوب المصاقة المتعددة و يتم استخدامها في أي وقت يتطلب المصادة للوصول إلى نظام أو خدمة. و مع ذلك فإن استخدام عاملين من نفس الفئة لا يشكل مصادقة ثنائية و على سبيل المثال ،لا يعتبر طلب كلمة المرور و كلمة الأمان مصاقة أحادية لأنهما ينتميان إلى نوع عامل مصادقة المعرفة.
إن أسماء المستخدمين و كلمات المرور ليست هي الأكثر أمانًا و تتمثل إحدى مشكلات المصادقة المستندة إلى كلمة المرور في أنها تتطلب المعرفة و الاجتهاد لإنشاء كلمات مرور قوية وتذكرها. و تتطلب كلمات المرور الحماية من العديد من التهديدات الداخلية.
مع توفير الوقت و الموارد الكافية ، يمكن للهاكرز عادةً اختراق أنظمة الأمان المستندة إلى كلمة المرور و سرقة بيانات المستخدم أو الشركة و ظلت كلمات المرور هي الشكل الأكثر شيوعًا للمصادقة الأحادية نظرًا لتكلفتها المنخفضة و سهولة تنفيذها ومعرفتها.
يمكن أن توفر أسئلة المصادقة المتعددة مزيدًا من الأمان ، اعتمادًا على كيفية تنفيذها ويمكن أيضًا أن توفر طرق التحقق البيومترية المستقلة طريقة أكثر أمانًا .
أنواع المصادقة الثنائية
هناك العديد من الأجهزة والخدمات المختلفة لتنفيذ المصادقة الثنائية – من الرموز المميزة إلىتحديد التردد اللاسلكي إلى تطبيقات الهواتف الذكية.
يمكن تقسيم المصادقة الثنائية إلى فئتين:
-
الرموز المميزة التي يتم منحها للمستخدمين لاستخدامها عند تسجيل الدخول ؛
-
البنية التحتية أو البرامج التي تعترف و تصادق الوصول للمستخدمين الذين يستخدمون الرموز بشكل صحيح.
قد تكون رموز المصادقة عبارة عن أجهزة مادية ، مثل سلاسل المفاتيح أو البطاقات الذكية، أو قد تكون موجودة في البرامج مثل تطبيقات الهاتف المحمول أو سطح المكتب التي تنشئ رموز PIN للمصادقة.
و رموز المصادقة هذه والمعروفة أيضًا باسم كلمات المرور يمكن التعرف عليها على أنها أصلية بواسطة جهاز أو تطبيق مصادقة و رمز المصادقة عبارة عن تسلسل قصير مرتبط بجهاز أو مستخدم أو حساب معين يمكن استخدامه مرة واحدة فقط كجزء من عملية المصادقة.
تحتاج المؤسسات إلى نشر نظام لقبول و معالجة و سماح أو رفض الوصول للمستخدمين الذين يقومون بالمصادقة باستخدام الرموز المميزة الخاصة بهم و قد يتم نشر هذا في شكل برنامج مخصص.
يتمثل أحد الجوانب المهمة في المصادقة الثنائية في ضمان منح المستخدم المصادق عليه الوصول إلى جميع الموارد التي يمكن للمستخدم الوصول إليها و نتيجة لذلك تتمثل إحدى الوظائف الرئيسية للمصادقة الثنائية في ربط نظام المصادقة ببيانات المصادقة الخاصة بالمؤسسة.
المصادقة الثنائية للأجهزة المحمولة
تقدم الهواتف الذكية مجموعة متنوعة من إمكانيات المصادقة الثنائية مما يمكّن الشركات من استخدام أفضل ما يناسبها حيث يمكن لبعض الأجهزة التعرف على بصمات الأصابع و استخدام الكاميرا المدمجة للتعرف على الوجه أو مسح قزحية العين و استخدام الميكروفون للتعرف على الصوت و يمكن للهواتف الذكية المزودة بنظام تحديد المواقع العالمي (GPS) التحقق من الموقع كعامل إضافي و يمكن أيضًا استخدام خدمة الرسائل الصوتية أو القصيرة (SMS) كعامل للمصادقة خارج النطاق.
يمكن استخدام رقم هاتف موثوق به لتلقي رموز التحقق عبر رسالة نصية أو مكالمة هاتفية آلية و يجب على المستخدم التحقق من رقم هاتف موثوق به واحد على الأقل للتسجيل في المصادقة الثنائية للمحمول.
يحتوي جوجل بلاي و ابل ستور على تطبيقات تدعم المصادقة الثنائية مما يمكّن الهاتف نفسه من العمل كجهاز مادي لتلبية عامل الحيازة.
و تحل تطبيقات المصادقة محل الحاجة إلى الحصول على رمز التحقق عبر رسالة نصية أو مكالمة صوتية أو بريد إلكتروني. على سبيل المثال ، للوصول إلى موقع ويب أو خدمة مستندة إلى الويب تدعم Google Authenticator يقوم المستخدمون بكتابة اسم المستخدم وكلمة المرور ( عامل المعرفة ). ثم يُطلب من المستخدمين إدخال رقم مكون من ستة أرقام و بدلاً من الاضطرار إلى الانتظار بضع ثوانٍ لتلقي رسالة نصية يقوم التطبيق بإنشاء الرقم لهم و تتغير هذه الأرقام كل 30 ثانية و تختلف عند كل تسجيل دخول و بإدخال الرقم الصحيح ، يكمل المستخدمون عملية التحقق ويثبتوا امتلاك الجهاز الصحيح.
إشعارات المصادقة الثنائية
تعتبر الإشعارات مصادقة بدون كلمة مرور تتحقق من المستخدم عن طريق إرسال إشعار مباشرة إلى جهاز المستخدم لتنبيهه إلى حدوث محاولة مصادقة. و يمكن للمستخدم عرض تفاصيل محاولة المصادقة و الموافقة على الوصول أو رفضه عادةً بنقرة واحدة و إذا وافق المستخدم على طلب المصادقة سيتلقى الخادم هذا الطلب ويسجل دخول المستخدم إلى تطبيق الويب.
و في حين أن هذه الإشعارات أكثر أمانًا من الأشكال الأخرى لطرق المصادقة فلا تزال هناك مخاطر أمنية. على سبيل المثال يمكن للمستخدمين الموافقة عن طريق الخطأ على طلب مصادقة احتيالي لأنهم معتادون على النقر على الموافقة عندما يتلقون هذه الإشعارات.
هل المصادقة الثنائية آمنة؟
بينما تعمل المصادقة الثنائية على تحسين الأمان فإن مستوى أمان أنظمة المصادقة الثنائية يكن بمستوى أمان أضعف مكون لها. على سبيل المثال ، تعتمد الرموز المميزة للأجهزة على أمان جهة الإصدار أو الشركة المصنعة و حدثت إحدى أكثر الحالات البارزة لنظام ثنائي في عام 2011 عندما أبلغت شركة الأمن RSA Security عن اختراق رموز مصادقة SecurID الخاصة بها.
يمكن أيضًا اللعب في عملية استرداد الحساب نفسها عند استخدامها للتغلب على المصادقة الثنائية لأنها غالبًا ما تعيد تعيين كلمة المرور الحالية للمستخدم و ترسل كلمة مرور مؤقتة عبر البريد الإلكتروني للسماح للمستخدم بتسجيل الدخول مرة أخرى متجاوزًا عملية المصادقة الثنائية و تم اختراق حسابات جيميل التجارية الخاصة بالرئيس التنفيذي لشركة Cloudflare بهذه الطريقة.
على الرغم من أن المصادقة الثنائية المستندة إلى الرسائل القصيرة غير مكلفة وسهلة التنفيذ و سهلة الاستخدام ، إلا أنها عرضة للعديد من الهجمات. بسبب إمكانية نقل رقم الهاتف المحمول والهجمات ضد شبكة الهاتف المحمول والبرامج الضارة التي يمكن استخدامها لاعتراض الرسائل النصية أو إعادة توجيهها.
مستقبل المصادقة
قد تهتم البيئات التي تتطلب مستوى أعلى من الأمان بالمصادقة ثلاثية العوامل، والتي تتضمن عادةً امتلاك رمز مادي وكلمة مرور مستخدمة بالاقتران مع البيانات الحيوية ، مثل مسح بصمات الأصابع أو بصمات الصوت و يتم أيضًا استخدام عوامل مثل تحديد الموقع الجغرافي ونوع الجهاز و الوقت للمساعدة في تحديد ما إذا كان يجب مصادقة المستخدم أو حظره.
بالإضافة إلى ذلك ، يمكن أيضًا مراقبة المعرفات الحيوية السلوكية مثل طول ضغطات المفاتيح و سرعة الكتابة و حركات الماوس بشكل سري في الوقت الفعلي لتوفير مصادقة مستمرة بدلاً من التحقق من المصادقة لمرة واحدة أثناء تسجيل الدخول.
إن الاعتماد على كلمات المرور كطريقة رئيسية للمصادقة على الرغم من شيوعه ، غالبًا لم يعد يوفر الأمان أو تجربة المستخدم التي تطلبها الشركات و مستخدميها. وعلى الرغم من أن أدوات الأمان القديمة مثل مدير كلمات المرور تحاول التعامل مع مشاكل أسماء المستخدمين و كلمات المرور ، إلا أنها تعتمد على بنية قديمة بشكل أساسي و هي قاعدة بيانات كلمات المرور.
وبالتالي ، تتجه العديد من المؤسسات إلى المصادقة بدون كلمة مرور حيث يتيح استخدام طرق مثل القياسات الحيوية و البروتوكولات الآمنة للمستخدمين مصادقة أنفسهم بشكل آمن في تطبيقاتهم دون الحاجة إلى إدخال كلمات المرور.
في مجال الأعمال ، هذا يعني أنه يمكن للموظفين الوصول إلى عملهم دون الحاجة إلى إدخال كلمات مرور بالرغم من ان قسم تكنولوجيا المعلومات يحتفظ بالسيطرة الكاملة على كل تسجيل دخول و يكتسب استخدام البلوك تشين على سبيل المثال ، من خلال الهوية اللامركزية أو الهوية الذاتية الاهتمام أيضًا كبديل لطرق المصادقة التقليدية.