المصادقة متعددة العوامل

رموز أمان مادية متنوعة . على اليسار والوسط نوعان من YubiKey ، وعلى اليمين رمز FIDO من شركة Feitian Technologies.

المصادقة متعددة العوامل ( MFA)، والمعروفة أيضًا بالمصادقة ثنائية العوامل ( 2FA )، هي طريقة مصادقة إلكترونية تُمنح فيها صلاحية الوصول إلى موقع ويب أو تطبيق ما بعد تقديم نوعين أو أكثر من الأدلة (أو العوامل ) بنجاح إلى آلية المصادقة . تحمي المصادقة متعددة العوامل البيانات الشخصية - التي قد تشمل الهوية الشخصية أو الأصول المالية - من الوصول إليها من قِبل طرف ثالث غير مصرح له، والذي قد يكون قادرًا على اكتشاف كلمة مرور واحدة، على سبيل المثال .

ازداد استخدام المصادقة متعددة العوامل (MFA) في السنوات الأخيرة. ومن المشكلات الأمنية التي قد تؤدي إلى تجاوز المصادقة متعددة العوامل: هجمات الإرهاق ، والتصيد الاحتيالي ، واستبدال شريحة SIM . [ 1 ]

[ 2 ] من غير المرجح أن تتعرض الحسابات التي تم تفعيل المصادقة متعددة العوامل لها للاختراق بشكل كبير.

عوامل المصادقة

تتم عملية المصادقة عندما يحاول شخص ما تسجيل الدخول إلى مورد حاسوبي (مثل شبكة حاسوبية أو جهاز أو تطبيق). يتطلب المورد من المستخدم تقديم هويته التي يعرفه بها المورد، بالإضافة إلى دليل على صحة ادعائه بتلك الهوية. تتطلب المصادقة البسيطة دليلاً واحداً فقط (عاملاً)، عادةً كلمة مرور، أو أحياناً عدة أدلة من النوع نفسه، كما هو الحال مع رقم بطاقة الائتمان ورمز التحقق من البطاقة (CVC). ولزيادة الأمان، قد يتطلب المورد أكثر من عامل واحد - المصادقة متعددة العوامل، أو المصادقة الثنائية في الحالات التي يُطلب فيها تقديم نوعين من الأدلة. [ 3 ]

يعتمد استخدام عوامل مصادقة متعددة لإثبات هوية المستخدم على فرضية أن من غير المرجح أن يتمكن أي شخص غير مصرح له من توفير جميع العوامل المطلوبة للوصول. إذا كان أحد هذه العوامل مفقودًا أو مُقدمًا بشكل غير صحيح أثناء محاولة المصادقة، فلن يتم التحقق من هوية المستخدم بدرجة كافية من اليقين، وبالتالي سيظل الوصول إلى الأصل (مثل مبنى أو بيانات) المحمي بواسطة المصادقة متعددة العوامل محظورًا. قد تتضمن عوامل المصادقة في نظام المصادقة متعددة العوامل ما يلي: [ 4 ]

من أمثلة المصادقة الثنائية سحب الأموال من أجهزة الصراف الآلي ؛ إذ لا يُمكن إتمام العملية إلا باستخدام مزيج صحيح من بطاقة مصرفية موجودة فعليًا (يملكها المستخدم) ورقم تعريف شخصي (يعرفه المستخدم). ومن الأمثلة الأخرى إضافة كلمة مرور لمرة واحدة (OTP) أو رمز يتم إنشاؤه أو استلامه بواسطة جهاز مصادقة (مثل رمز أمان أو هاتف ذكي ) لا يملكه إلا المستخدم، إلى كلمة المرور التي يتحكم بها المستخدم. [ 5 ]

يُتيح تطبيق المصادقة التحقق بخطوتين بطريقة مختلفة، وذلك بعرض رمز يتم إنشاؤه عشوائيًا ويتم تحديثه باستمرار، بدلاً من إرسال رسالة نصية قصيرة أو استخدام طريقة أخرى. [ 6 ] هذا الرمز هو كلمة مرور لمرة واحدة تعتمد على الوقت ( TOTP )، ويحتوي تطبيق المصادقة على المادة الأساسية التي تسمح بإنشاء هذه الرموز.

معرفة

تُعدّ عوامل المعرفة ("شيء لا يعرفه إلا المستخدم") شكلاً من أشكال المصادقة. في هذا الشكل، يُطلب من المستخدم إثبات معرفته بسرٍّ ما لكي تتم المصادقة عليه.

كلمة المرور هي كلمة سرية أو سلسلة من الأحرف تُستخدم للتحقق من هوية المستخدم. وهي آلية التحقق الأكثر شيوعًا. [ 4 ] تعتمد العديد من تقنيات التحقق متعدد العوامل على كلمات المرور كأحد عوامل التحقق. تشمل أنواعها كلمات مرور طويلة تتكون من عدة كلمات ( عبارة مرور )، وكلمات مرور أقصر تتكون من أرقام فقط، مثل رمز PIN المستخدم عادةً للوصول إلى أجهزة الصراف الآلي . يُفترض عادةً حفظ كلمات المرور ، ولكن يمكن أيضًا تدوينها على ورقة مخفية أو في ملف نصي.

تملُّك

رمز RSA SecurID ، مثال على مولد الرموز غير المتصلة

استُخدمت عوامل الملكية ("شيء لا يملكه إلا المستخدم") للتحقق من الهوية لقرون، على شكل مفتاح للقفل. ويكمن المبدأ الأساسي في أن المفتاح يحمل سرًا مشتركًا بين القفل والمفتاح، وهو المبدأ نفسه الذي يقوم عليه التحقق من الهوية باستخدام عوامل الملكية في أنظمة الحاسوب. ويُعدّ رمز الأمان مثالًا على عامل الملكية.

لا تتصل الرموز غير المتصلة بجهاز الكمبيوتر الخاص بالعميل. وتستخدم عادةً شاشة مدمجة لعرض بيانات المصادقة المُولَّدة، والتي يُدخلها المستخدم يدويًا. ويستخدم هذا النوع من الرموز في الغالب كلمة مرور لمرة واحدة لا يمكن استخدامها إلا لتلك الجلسة المحددة. [ 7 ]

رمز أمان USB

الرموز المتصلة هي أجهزة متصلة فعليًا بالحاسوب المراد استخدامها، وتقوم هذه الأجهزة بنقل البيانات تلقائيًا. [ 8 ] توجد أنواع عديدة منها، بما في ذلك رموز USB والبطاقات الذكية والعلامات اللاسلكية . [ 8 ] وقد ازدادت شعبية الرموز المتوافقة مع معيار FIDO2 ، والمدعومة من تحالف FIDO واتحاد شبكة الويب العالمية (W3C)، حيث بدأ دعمها من قبل المتصفحات الرئيسية في عام 2015.

الرمز البرمجي (أو الرمز البرمجي ) هو نوع من أجهزة الأمان التي تعتمد على المصادقة الثنائية، ويُستخدم لتخويل استخدام خدمات الحاسوب. تُخزَّن الرموز البرمجية على جهاز إلكتروني عام، مثل الحاسوب المكتبي أو المحمول أو المساعد الرقمي الشخصي أو الهاتف المحمول ، ويمكن نسخها. على عكس الرموز المادية ، حيث تُخزَّن بيانات الاعتماد على جهاز مادي مخصص، وبالتالي لا يمكن نسخها إلا بالاختراق المادي للجهاز. قد لا يكون الرمز البرمجي جهازًا يتفاعل معه المستخدم. عادةً ما تُحمَّل شهادة X.509v3 على الجهاز وتُخزَّن بشكل آمن لهذا الغرض. [ 9 ]

يمكن أيضًا تطبيق المصادقة متعددة العوامل في أنظمة الأمن المادي، حيث يتم نشرها عادةً من خلال استخدام، أولاً، حيازة مادية (مثل جهاز تحكم عن بعد أو بطاقة مفتاح أو رمز الاستجابة السريعة المعروض على جهاز) والتي تعمل كبيانات اعتماد للتعريف، وثانيًا، التحقق من هوية الشخص مثل القياسات الحيوية للوجه أو مسح شبكية العين (التحقق من الوجه أو مصادقة الوجه)، أو رقم التعريف الشخصي (PIN).

متأصل

العوامل الذاتية ("صفات المستخدم") هي عوامل مرتبطة بالمستخدم، وعادةً ما تكون أساليب بيومترية ، تشمل بصمة الإصبع ، والوجه ، [ 10 ] والصوت ، أو التعرف على قزحية العين . كما يمكن استخدام القياسات الحيوية السلوكية مثل ديناميكيات ضغطات المفاتيح .

موقع

يتزايد دور عامل رابع يتعلق بالموقع الجغرافي للمستخدم. فعند اتصال المستخدم بشبكة الشركة عبر كابل، يُمكن السماح له بتسجيل الدخول باستخدام رمز PIN فقط، بينما في حال عمله عن بُعد، قد يُطلب منه استخدام طريقة مصادقة متعددة العوامل (MFA) أكثر أمانًا، مثل إدخال رمز من جهاز برمجي. إن تكييف نوع طريقة المصادقة متعددة العوامل وتكرارها مع موقع المستخدم سيُمكّن من تجنب المخاطر الشائعة في العمل عن بُعد. [ 11 ]

تعمل أنظمة التحكم في الوصول إلى الشبكة بطرق متشابهة، حيث يعتمد مستوى الوصول إلى الشبكة على الشبكة المحددة التي يتصل بها الجهاز، مثل الاتصال اللاسلكي (واي فاي) مقابل الاتصال السلكي. وهذا يسمح للمستخدم بالتنقل بين المكاتب والحصول على نفس مستوى الوصول إلى الشبكة في كل منها.

المصادقة عبر الهاتف المحمول

مثال على المصادقة عبر الهاتف المحمول يوضح كلمات المرور لمرة واحدة

طُوِّرت المصادقة الثنائية عبر الرسائل النصية في وقت مبكر من عام 1996، عندما وصفت شركة AT&T نظامًا لتفويض المعاملات يعتمد على تبادل الرموز عبر أجهزة النداء ثنائية الاتجاه. [ 12 ] [ 13 ]

يُقدّم العديد من مُزوّدي خدمات المصادقة متعددة العوامل المصادقة عبر الهاتف المحمول. تشمل بعض هذه الطرق المصادقة عبر الإشعارات الفورية، والمصادقة عبر رمز الاستجابة السريعة (QR code )، والمصادقة بكلمة مرور لمرة واحدة (سواءً كانت مرتبطة بحدث أو وقت)، والتحقق عبر الرسائل النصية القصيرة (SMS). إلا أن التحقق عبر الرسائل النصية القصيرة يُعاني من بعض المخاوف الأمنية، إذ يُمكن استنساخ الهواتف، وتشغيل التطبيقات على عدة هواتف، كما يُمكن لفنيي صيانة الهواتف قراءة الرسائل النصية. بالإضافة إلى ذلك، يُمكن اختراق الهواتف المحمولة بشكل عام، ما يعني أن الهاتف لم يعد حكرًا على المستخدم.

تتمثل أبرز عيوب المصادقة التي تتضمن شيئًا يملكه المستخدم في ضرورة حمله للرمز المادي (مثل ذاكرة USB أو بطاقة مصرفية أو مفتاح أو ما شابه) بشكل دائم تقريبًا. ويُعدّ الفقدان والسرقة من المخاطر المحتملة. تمنع العديد من المؤسسات إدخال أو إخراج أجهزة USB والأجهزة الإلكترونية من وإلى مبانيها نظرًا لمخاطر البرامج الضارة وسرقة البيانات، كما أن معظم الأجهزة المهمة لا تحتوي على منافذ USB لنفس السبب. عادةً ما تكون الرموز المادية غير قابلة للتوسع، إذ تتطلب عادةً رمزًا جديدًا لكل حساب ونظام جديد. وينطوي شراء هذه الرموز واستبدالها لاحقًا على تكاليف. إضافةً إلى ذلك، توجد تعارضات جوهرية ومقايضات لا مفر منها بين سهولة الاستخدام والأمان. [ 14 ]

توفر المصادقة الثنائية عبر الهواتف المحمولة والهواتف الذكية بديلاً للأجهزة المادية المخصصة. وللمصادقة، يمكن للمستخدمين استخدام رموز الوصول الشخصية الخاصة بهم للجهاز (أي رمز لا يعرفه إلا المستخدم نفسه) بالإضافة إلى رمز مرور ديناميكي صالح لمرة واحدة، ويتكون عادةً من 4 إلى 6 أرقام. ويمكن إرسال رمز المرور إلى جهاز المستخدم المحمول [ 3 ] عبر رسالة نصية قصيرة ، أو يمكن إنشاؤه بواسطة تطبيق لتوليد رموز المرور لمرة واحدة. وفي كلتا الحالتين، تكمن ميزة استخدام الهاتف المحمول في عدم الحاجة إلى رمز مميز إضافي، حيث يميل المستخدمون إلى حمل أجهزتهم المحمولة معهم طوال الوقت.

على الرغم من شيوع التحقق عبر الرسائل النصية القصيرة، فقد انتقد دعاة الأمن هذه الطريقة علنًا، [ 15 ] وفي يوليو 2016، اقترحت مسودة توجيهية صادرة عن المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) إلغاء اعتمادها كوسيلة للتحقق من الهوية. [ 16 ] وبعد عام، أعاد المعهد اعتماد التحقق عبر الرسائل النصية القصيرة كقناة تحقق معتمدة في التوجيهات النهائية. [ 17 ]

في وقت مبكر من عام 2011، كانت شركة Duo Security تُقدّم إشعارات فورية للمصادقة متعددة العوامل عبر تطبيق جوال. [ 18 ] وفي عامي 2016 و2017 على التوالي، بدأت كل من جوجل وآبل بتقديم المصادقة الثنائية للمستخدمين مع الإشعارات الفورية [ 4 ] كطريقة بديلة. [ 19 ] [ 20 ]

يعتمد أمان رموز الأمان المرسلة عبر الرسائل النصية القصيرة بشكل كامل على أمن العمليات التشغيلية لمشغل شبكة الهاتف المحمول، ويمكن اختراقها بسهولة عن طريق التنصت أو استنساخ شريحة SIM من قبل أجهزة الأمن القومي. [ 21 ]

المزايا:

  • لا حاجة إلى رموز إضافية لأنها تستخدم أجهزة محمولة يتم حملها (عادةً) طوال الوقت.
  • نظراً لأنها تتغير باستمرار، فإن استخدام رموز المرور التي يتم إنشاؤها ديناميكياً أكثر أماناً من استخدام معلومات تسجيل الدخول الثابتة (الساكنة).
  • بحسب الحل، يتم استبدال كلمات المرور المستخدمة تلقائيًا لضمان توفر رمز صالح دائمًا، وبالتالي فإن مشاكل الإرسال/الاستقبال لا تمنع عمليات تسجيل الدخول.

العيوب:

  • قد يظل المستخدمون عرضة لهجمات التصيد الاحتيالي. إذ يمكن للمهاجم إرسال رسالة نصية تحتوي على رابط لموقع ويب مزيف يبدو مطابقًا تمامًا للموقع الأصلي - وهو ما يُعرف بهجوم الوسيط . وبذلك، يستطيع المهاجم الحصول على رمز المصادقة واسم المستخدم وكلمة المرور. [ 22 ]
  • لا يتوفر الهاتف المحمول دائمًا، فقد يُفقد أو يُسرق أو تنفد بطاريته أو يتعطل لأي سبب آخر. ويُعدّ فقدان الأجهزة لأسباب لا تتعلق بحادث أمني نقطة ضعف رئيسية في تبني المصادقة متعددة العوامل على نطاق واسع (مقارنةً بفقدان جهاز دون استخدام المصادقة متعددة العوامل). وغالبًا ما تُضيف الحلول لهذه المشكلة تعقيدات إضافية إلى عملية تبني المصادقة متعددة العوامل.
  • على الرغم من شعبيتها المتزايدة، قد لا يمتلك بعض المستخدمين جهازًا محمولًا، ويستاؤون من اشتراط امتلاك واحد كشرط لاستخدام بعض الخدمات على جهاز الكمبيوتر المنزلي الخاص بهم.
  • يحتوي نظام SS7 الذي يقوم عليه تجوال الهواتف المحمولة على ثغرات أمنية، وقد يتم إعادة توجيه رسائل SMS إلى المهاجمين. [ 23 ]
  • لا تتوفر تغطية شبكة الهاتف المحمول دائمًا - تفتقر مناطق واسعة، وخاصة خارج المدن، إلى التغطية.
  • يُتيح استنساخ شريحة SIM للمخترقين الوصول إلى اتصالات الهواتف المحمولة. وقد أسفرت هجمات استبدال شريحة SIM وهجمات الهندسة الاجتماعية ضد شركات تشغيل الهواتف المحمولة عن تسليم شرائح SIM مُكررة للمجرمين. [ 24 ]
  • الرسائل النصية المرسلة إلى الهواتف المحمولة عبر الرسائل القصيرة غير آمنة ويمكن اعتراضها بواسطة أجهزة اعتراض بيانات المتصل (IMSI-catchers) . وبالتالي، يمكن لأطراف ثالثة سرقة رمز الأمان واستخدامه. [ 25 ]
  • عادةً ما تتجاوز عملية استعادة الحساب المصادقة الثنائية للهواتف المحمولة. [ 3 ]
  • تُستخدم الهواتف الذكية الحديثة لاستقبال كلٍ من البريد الإلكتروني والرسائل النصية القصيرة. لذا، في حال فقدان الهاتف أو سرقته وعدم حمايته بكلمة مرور أو بيانات بيومترية، يُمكن الاستيلاء على جميع الحسابات التي يعتمد الوصول إليها على البريد الإلكتروني، حيث يُمكن للهاتف استقبال عامل التحقق الثاني.
  • قد تفرض شركات الاتصالات رسومًا على رسائل المستخدمين.

التشريعات واللوائح

يشترط معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) ، البند 8.3، استخدام المصادقة متعددة العوامل (MFA) لجميع عمليات الوصول عن بُعد إلى بيئة بيانات البطاقة (CDE) من خارج الشبكة. [ 26 ] بدءًا من الإصدار 3.2 من معيار PCI DSS، يُشترط استخدام المصادقة متعددة العوامل لجميع عمليات الوصول الإداري إلى بيئة بيانات البطاقة، حتى لو كان المستخدم ضمن شبكة موثوقة.

الاتحاد الأوروبي

يتطلب التوجيه الثاني لخدمات الدفع " مصادقة قوية للعميل " في معظم المدفوعات الإلكترونية في المنطقة الاقتصادية الأوروبية منذ 14 سبتمبر 2019. [ 27 ]

الهند

في الهند، فرض بنك الاحتياطي الهندي المصادقة الثنائية لجميع المعاملات الإلكترونية التي تتم باستخدام بطاقات الخصم أو الائتمان، وذلك إما بكلمة مرور أو بكلمة مرور لمرة واحدة تُرسل عبر الرسائل النصية القصيرة . وقد أُلغي هذا الشرط في عام 2016 للمعاملات التي تصل قيمتها إلى 2000 روبية هندية بعد موافقة البنك المُصدر. [ 28 ] وقد ألزم البنك مزودي الخدمات، مثل أوبر ، بتعديل أنظمة معالجة المدفوعات الخاصة بهم بما يتوافق مع تطبيق المصادقة الثنائية. [ 29 ] [ 30 ] [ 31 ]

الولايات المتحدة

تم تحديد تفاصيل المصادقة للموظفين الفيدراليين والمتعاقدين في الولايات المتحدة في التوجيه الرئاسي للأمن الداخلي رقم 12 (HSPD-12). [ 32 ]

تتطلب المعايير التنظيمية لتكنولوجيا المعلومات الخاصة بالوصول إلى أنظمة الحكومة الفيدرالية استخدام المصادقة متعددة العوامل للوصول إلى موارد تكنولوجيا المعلومات الحساسة، على سبيل المثال عند تسجيل الدخول إلى أجهزة الشبكة لأداء المهام الإدارية [ 33 ] وعند الوصول إلى أي جهاز كمبيوتر باستخدام تسجيل دخول مميز. [ 34 ]

تتناول النشرة الخاصة رقم 800-63-3 الصادرة عن المعهد الوطني للمعايير والتكنولوجيا (NIST) أشكالاً مختلفة من المصادقة الثنائية، وتقدم إرشادات حول استخدامها في العمليات التجارية التي تتطلب مستويات مختلفة من الضمان. [ 35 ]

في عام 2005، أصدر مجلس فحص المؤسسات المالية الفيدرالية في الولايات المتحدة توجيهات للمؤسسات المالية توصي بإجراء تقييمات قائمة على المخاطر، وتقييم برامج توعية العملاء، ووضع تدابير أمنية للتحقق من هوية العملاء الذين يصلون عن بُعد إلى الخدمات المالية عبر الإنترنت بشكل موثوق ، موصيًا رسميًا باستخدام أساليب المصادقة التي تعتمد على أكثر من عامل (وتحديدًا، ما يعرفه المستخدم، وما يملكه، وما هو عليه) لتحديد هويته. [ 36 ] ردًا على هذا المنشور، بدأ العديد من موردي المصادقة بالترويج بشكل غير صحيح لأسئلة التحدي والصور السرية وغيرها من الأساليب القائمة على المعرفة باعتبارها مصادقة "متعددة العوامل". ونظرًا للارتباك الناتج وانتشار استخدام هذه الأساليب على نطاق واسع، نشر مجلس فحص المؤسسات المالية الفيدرالية في 15 أغسطس 2006 إرشادات تكميلية تنص على أنه بحكم التعريف، يجب أن يستخدم نظام المصادقة "الحقيقي" متعدد العوامل حالات مميزة من عوامل المصادقة الثلاثة التي حددها، وليس مجرد استخدام حالات متعددة من عامل واحد. [ 37 ]

نظراً لموثوقية هذه الطريقة، يُعدّ استخدام المصادقة متعددة العوامل إلزامياً في بعض الدول، لا سيما في قطاعات معينة كالرعاية الصحية، وذلك لمنع سرقة المعلومات الحساسة. فعلى سبيل المثال، في الولايات المتحدة، ينصّ كلٌّ من قانون خصوصية المستهلك في كاليفورنيا (CCPA) وقانون قابلية نقل التأمين الصحي والمساءلة (HIPAA) على معايير لحماية البيانات الشخصية والطبية، بما في ذلك بنود تدعم تطبيق المصادقة متعددة العوامل لضمان الوصول الآمن والامتثال للوائح.

نقاط الضعف الأمنية

يرى المؤيدون أن المصادقة متعددة العوامل قد تُقلل بشكل كبير من حالات سرقة الهوية عبر الإنترنت وغيرها من عمليات الاحتيال الإلكتروني ، لأن كلمة مرور الضحية لن تكون كافية لمنح اللص وصولاً دائماً إلى معلوماتها. مع ذلك، لا تزال العديد من أساليب المصادقة متعددة العوامل عرضة لهجمات التصيد الاحتيالي [ 38 ] [ 39 ] ، وهجمات الوسيط [ 40 ] . ولمواجهة هجمات التصيد الاحتيالي، ينبغي على المستخدمين عدم مشاركة رموز التحقق الخاصة بهم مع أي شخص [ 41 كما أن العديد من مزودي تطبيقات الويب يرسلون تنبيهاً عبر البريد الإلكتروني أو الرسائل النصية القصيرة يتضمن رمزاً [ 42 ] .

في مايو 2017، أكدت شركة O2 Telefónica ، وهي شركة اتصالات ألمانية، أن مجرمي الإنترنت استغلوا ثغرات أمنية في بروتوكول SS7 لتجاوز المصادقة الثنائية عبر الرسائل النصية القصيرة، ما سمح لهم بسحب أموال غير مصرح بها من حسابات المستخدمين المصرفية. بدأ المجرمون باختراق أجهزة الكمبيوتر الخاصة بأصحاب الحسابات لسرقة بيانات حساباتهم المصرفية وأرقام هواتفهم. ثم اشتروا اشتراكًا في خدمة اتصالات وهمية، وربطوا رقم هاتف الضحية بجهاز يتحكمون به. بعد ذلك، تمكنوا من تسجيل الدخول إلى حسابات الضحايا المصرفية الإلكترونية، وطلبوا تحويل الأموال إلى حساباتهم الخاصة. تم توجيه رموز المرور عبر الرسائل النصية القصيرة إلى أرقام هواتف يتحكم بها المجرمون، ومن ثم قاموا بتحويل الأموال. [ 43 ]

نوبة إرهاق

يُعدّ إغراق المستخدم بطلبات تسجيل دخول عديدة، حتى يستسلم في النهاية لكثرة الطلبات ويقبل إحداها عن طريق الخطأ، أسلوبًا شائعًا بشكل متزايد للتغلب على المصادقة متعددة العوامل. [ 44 ] يُطلق على هذا النوع من الهندسة الاجتماعية اسم هجوم إرهاق المصادقة متعددة العوامل (أو هجوم إرهاق المصادقة متعددة العوامل أو قصف المصادقة متعددة العوامل)، وقد يتضمن عناصر أخرى، مثل المكالمات التي تدّعي أنها من الدعم الفني. [ 45 ] [ 46 ] [ 47 ] عندما تُهيأ تطبيقات المصادقة متعددة العوامل لإرسال إشعارات فورية إلى المستخدمين النهائيين، يمكن للمهاجم إرسال سيل من محاولات تسجيل الدخول على أمل أن ينقر المستخدم على زر "موافق" مرة واحدة على الأقل. [ 45 ]

في عام 2022، قامت مايكروسوفت بتطبيق إجراء وقائي ضد هجمات إرهاق المصادقة متعددة العوامل في تطبيق المصادقة الخاص بها، وذلك من خلال مطالبة المستخدم بشكل اختياري بإدخال رقم بالإضافة إلى النقر على "موافقة". [ 48 ]

في سبتمبر 2022، تعرض نظام أوبر الأمني ​​للاختراق من قبل أحد أعضاء مجموعة Lapsus$ باستخدام هجوم إرهاق المصادقة متعددة العوامل. [ 49 ] [ 50 ] وفي أوائل عام 2024، تعرضت نسبة ضئيلة من مستخدمي أبل لهجوم إرهاق المصادقة متعددة العوامل، والذي تسبب فيه مخترق تجاوز حد معدل المصادقة ورمز التحقق (Captcha) على صفحة "نسيت كلمة المرور" الخاصة بأبل.

تطبيق

تتطلب العديد من منتجات المصادقة متعددة العوامل من المستخدمين تثبيت برامج عميل لتفعيل أنظمة المصادقة متعددة العوامل. وقد طوّر بعض المورّدين حزم تثبيت منفصلة لتسجيل الدخول إلى الشبكة ، وبيانات اعتماد الوصول إلى الويب ، وبيانات اعتماد اتصال VPN . بالنسبة لهذه المنتجات، قد يتطلب الأمر تثبيت أربع أو خمس حزم برمجية مختلفة على جهاز الكمبيوتر الخاص بالعميل لاستخدام الرمز المميز أو البطاقة الذكية . وهذا يعني وجود أربع أو خمس حزم يجب التحكم في إصداراتها، وأربع أو خمس حزم أخرى للتحقق من تعارضها مع تطبيقات الأعمال. إذا أمكن الوصول عبر صفحات الويب ، فمن الممكن حصر الأعباء المذكورة أعلاه في تطبيق واحد. مع تقنيات المصادقة متعددة العوامل الأخرى، مثل منتجات الرموز المميزة المادية، لا يحتاج المستخدمون النهائيون إلى تثبيت أي برامج. وقد أظهرت بعض الدراسات أن إجراءات استعادة المصادقة متعددة العوامل سيئة التنفيذ قد تُدخل ثغرات أمنية جديدة يستغلها المهاجمون. [ 51 ]

توجد عيوب في المصادقة متعددة العوامل تحول دون انتشار العديد من أساليبها. يواجه بعض المستخدمين صعوبة في تتبع رمز الأمان المادي أو وصلة USB. كما يفتقر الكثير منهم إلى المهارات التقنية اللازمة لتثبيت شهادة برمجية على جهاز المستخدم بأنفسهم. عمومًا، تتطلب حلول المصادقة متعددة العوامل استثمارات إضافية للتنفيذ وتكاليف للصيانة. معظم الأنظمة القائمة على رموز الأمان المادية مملوكة لشركات خاصة، ويفرض بعض الموردين رسومًا سنوية على كل مستخدم. يُعدّ نشر رموز الأمان المادية تحديًا لوجستيًا، إذ قد تتعرض للتلف أو الضياع، كما أن إصدارها في قطاعات كبيرة كالبنوك أو حتى داخل الشركات الكبيرة يتطلب إدارة دقيقة. إضافةً إلى تكاليف النشر، غالبًا ما تنطوي المصادقة متعددة العوامل على تكاليف دعم إضافية كبيرة. وقد أشار استطلاع أجرته مجلة "كريديت يونيون جورنال" عام 2008 [ 52 ] وشمل أكثر من 120 اتحادًا ائتمانيًا أمريكيًا ، إلى أن شهادات البرامج وأشرطة أدوات البرامج هي الأكثر تكلفة في الدعم.

أظهرت الأبحاث المتعلقة بتطبيق أنظمة المصادقة متعددة العوامل [ 53 ] أن أحد العوامل المؤثرة في تبني هذه الأنظمة هو طبيعة عمل المؤسسة التي تستخدمها. ومن الأمثلة على ذلك الحكومة الأمريكية، التي تستخدم نظامًا متطورًا من الرموز المادية (المدعومة بدورها ببنية تحتية قوية للمفتاح العام )، بالإضافة إلى البنوك الخاصة، التي تُفضل أنظمة المصادقة متعددة العوامل لعملائها، والتي تتضمن وسائل أسهل وأقل تكلفة للتحقق من الهوية، مثل تطبيق مُثبّت على هاتف ذكي. وعلى الرغم من تنوع الأنظمة المتاحة التي قد تختارها المؤسسات، فإنه بمجرد تطبيق نظام المصادقة متعددة العوامل داخل المؤسسة، يميل إلى الاستمرار، حيث يعتاد المستخدمون عليه تدريجيًا ويصبح جزءًا لا يتجزأ من تفاعلهم اليومي مع نظام المعلومات الخاص بهم.

بينما يُعتقد أن المصادقة متعددة العوامل تقع ضمن نطاق الأمان المثالي، يكتب روجر غرايمز [ 54 ] أنه إذا لم يتم تنفيذها وتكوينها بشكل صحيح، فيمكن في الواقع التغلب على المصادقة متعددة العوامل بسهولة.

تاريخ

نموذج RSA SecurID قديم

في عام 2013، ادعى كيم دوت كوم أنه اخترع المصادقة الثنائية في براءة اختراع تعود لعام 2000، [ 55 ] وهدد لفترة وجيزة بمقاضاة جميع خدمات الإنترنت الرئيسية. ومع ذلك، ألغى مكتب براءات الاختراع الأوروبي براءة اختراعه [ 56 ] في ضوء براءة اختراع أمريكية سابقة تعود لعام 1998 مملوكة لشركة AT&T. [ 57 ]

انظر أيضاً

مراجع

  1. راسل، ستيف (22 فبراير 2023). "تجاوز المصادقة متعددة العوامل" . ITNOW . 65 (1): 42-45 . doi : 10.1093/combul/bwad023 . ISSN 1746-5702 . 
  2. ماير، إل إيه؛ روميرو، إس؛ بيرتولي، جي؛ بيرت، تي؛ واينرت، إيه؛ فيريس، جيه إل (2023). "ما مدى فعالية المصادقة متعددة العوامل في ردع الهجمات الإلكترونية؟". arXiv : 2305.00945 [ cs.CR ].
  3. ١ ٢ ٣ "المصادقة الثنائية: ما تحتاج إلى معرفته (أسئلة وأجوبة) - سي نت" . سي نت . مؤرشف من الأصل بتاريخ ١٢ فبراير ٢٠٢٠. تم الاطلاع عليه بتاريخ ٣١ أكتوبر ٢٠١٥ .
  4. 1 2 3 جاكوم، تشارلي؛ كريمر، ستيف (1 فبراير 2021). "تحليل رسمي شامل لبروتوكولات المصادقة متعددة العوامل" . معاملات ACM في الخصوصية والأمن . 24 (2). مدينة نيويورك: رابطة آلات الحوسبة: 1-34 . doi : 10.1145/3440712 . ISSN 2471-2566 . S2CID 231791299. مؤرشف من الأصل في 3 أغسطس 2023. تم الاسترجاع في 27 فبراير 2021 .  
  5. kaitlin.boeckl@nist.gov (2016-06-28). "العودة إلى الأساسيات: المصادقة متعددة العوامل (MFA)" . المعهد الوطني للمعايير والتكنولوجيا (NIST ). مؤرشف من الأصل بتاريخ 2021-04-06 . تم الاطلاع عليه بتاريخ 2021-04-06 .
  6. باريت، برايان (22 يوليو 2018). "كيفية تأمين حساباتك باستخدام مصادقة ثنائية أفضل" . وايرد . مؤرشف من الأصل في 7 سبتمبر 2020. تم الاطلاع عليه في 12 سبتمبر 2020 .
  7. "إعداد كلمات المرور لمرة واحدة" . www.sonicwall.com . سونيك وول. مؤرشف من الأصل بتاريخ 19 يناير 2022. تم الاطلاع عليه بتاريخ 19 يناير 2022 .
  8. 1 2 فان تيلبورغ، هينك سي إيه؛ جاجوديا، سوشيل، محرران. (2011). موسوعة التشفير والأمن، المجلد 1. برلين، ألمانيا: سبرينغر ساينس آند بيزنس ميديا . ص 1305. ISBN  9781441959058.
  9. بوين، شارون؛ سانتيسون، ستيفان؛ بولك، تيم؛ هاوسلي، روس؛ فاريل، ستيفن؛ كوبر، ديفيد (مايو 2008). ملف تعريف شهادة البنية التحتية للمفتاح العام X.509 للإنترنت وقائمة إبطال الشهادات (CRL) (تقرير). فريق عمل هندسة الإنترنت.{{cite report}}: تحقق من قيم التاريخ في: |date=( مساعدة )
  10. كاو، ليلينغ؛ جي، وانشنغ (10 مارس 2015). "تحليل وتحسين نظام مصادقة بيومترية متعددة العوامل: تحليل وتحسين نظام MFBA" . شبكات الأمن والاتصالات . 8 (4): 617-625 . doi : 10.1002/sec.1010 . مؤرشف من الأصل في 25 نوفمبر 2022. تم الاسترجاع في 20 مارس 2022 .
  11. "11 نصيحة لحماية Active Directory أثناء العمل من المنزل" . www.darkreading.com . مؤرشف من الأصل بتاريخ 29-08-2024 . تم الاطلاع عليه بتاريخ 29-08-2024 .
  12. "هل يمتلك كيم دوت كوم براءة اختراع أصلية لتسجيل الدخول "ثنائي المصادقة"؟" . صحيفة الغارديان . 23 مايو 2013. مؤرشف من الأصل في 2 نوفمبر 2022. تم الاطلاع عليه في 2 نوفمبر 2022 .
  13. ↑ براءة الاختراع الأوروبية رقم 0745961 ، "نظام تفويض المعاملات والتنبيه"، الصادرة بتاريخ 4 ديسمبر 1996 
  14. وانغ، دينغ؛ هي، ديبياو؛ وانغ، بينغ؛ تشو، تشاو-هسين (2014). "المصادقة الثنائية المجهولة في الأنظمة الموزعة: بعض الأهداف بعيدة المنال" (ملف PDF) . مجلة IEEE للمعاملات في الحوسبة الموثوقة والآمنة . بيسكاتاواي، نيو جيرسي: معهد مهندسي الكهرباء والإلكترونيات . مؤرشف (PDF) من الأصل بتاريخ 17 مايو 2017. تم الاطلاع عليه بتاريخ 23 مارس 2018 .
  15. آندي غرينبيرغ (26 يونيو 2016). "إذن، عليك التوقف عن استخدام الرسائل النصية للتحقق بخطوتين" . مجلة وايرد . مؤرشف من الأصل في 13 مايو 2018. تم الاطلاع عليه في 12 مايو 2018 .
  16. «لم يعد المعهد الوطني للمعايير والتكنولوجيا (NIST) يوصي بالمصادقة الثنائية باستخدام الرسائل النصية القصيرة» . شناير للأمن. 3 أغسطس 2016. مؤرشف من الأصل في 1 ديسمبر 2017. تم الاطلاع عليه في 30 نوفمبر 2017 .
  17. "تراجع! لم يعد المعهد الوطني الأمريكي للمعايير والتكنولوجيا يوصي بـ "إلغاء استخدام الرسائل النصية القصيرة للمصادقة الثنائية"" . 6 يوليو 2017. مؤرشف من الأصل في 2 يوليو 2019. تم الاسترجاع في 21 مايو 2019 .
  18. "Duo Security - Features" . أرشيف الإنترنت . مؤرشف من الأصل في 28 يونيو 2011. تم الاسترجاع في 28 يونيو 2011 .
  19. تونغ، ليام. "تنبيه جوجل: يمكنك الآن النقر على 'نعم' أو 'لا' على نظامي iOS وأندرويد للموافقة على تسجيل الدخول إلى جيميل" . زد نت . مؤرشف من الأصل في 31 أغسطس 2017. تم الاطلاع عليه في 11 سبتمبر 2017 .
  20. تشانس ميلر (25 فبراير 2017). "آبل تُشجع على تحديث iOS 10.3" . 9to5 Mac . مؤرشف من الأصل بتاريخ 11 سبتمبر 2017. تم الاطلاع عليه بتاريخ 11 سبتمبر 2017 .
  21. "كيف تعمل روسيا على اعتراض تطبيقات المراسلة - bellingcat" . bellingcat . 30 أبريل 2016. مؤرشف من الأصل في 30 أبريل 2016. تم الاطلاع عليه في 30 أبريل 2016 .
  22. كان، مايكل (7 مارس 2019). "جوجل: هجمات التصيد الاحتيالي التي يمكنها اختراق المصادقة الثنائية في ازدياد" . مجلة PC Mag . مؤرشف من الأصل في 8 مارس 2019. تم الاطلاع عليه في 9 سبتمبر 2019 .
  23. "ثغرات أمنية في بروتوكول SS7: الدليل الكامل للهجمات والوقاية" . TerraZone . 6 ديسمبر 2025. تم الاطلاع عليه بتاريخ 8 يونيو 2026 .
  24. نيكولز، شون (10 يوليو 2017). "فشل المصادقة الثنائية: اختراق حساب رجل بعد أن وقعت شركة AT&T ضحية لحيل القرصنة"" . السجل . مؤرشف من الأصل بتاريخ 11-07-2017 . تم الاسترجاع بتاريخ 11-07-2017 .
  25. توراني، محسن؛ بهشتي، أ. (2008). "SSMS - بروتوكول مراسلة SMS آمن لأنظمة الدفع عبر الهاتف المحمول". ندوة IEEE للحاسبات والاتصالات لعام 2008. الصفحات 700-705 . arXiv : 1002.3171 . doi : 10.1109/ISCC.2008.4625610 . ISBN  978-1-4244-2702-4. S2CID 5066992 . 
  26. "الموقع الرسمي لمجلس معايير أمان بيانات بطاقات الدفع (PCI SSC) - تحقق من الامتثال لمعايير PCI SSC، وقم بتنزيل معايير أمان البيانات وبطاقات الائتمان" . www.pcisecuritystandards.org . مؤرشف من الأصل بتاريخ 27 ديسمبر 2021. تم الاطلاع عليه بتاريخ 25 يوليو 2016 .
  27. اللائحة المفوضة للمفوضية الأوروبية (الاتحاد الأوروبي) 2018/389 الصادرة في 27 نوفمبر 2017، والمكملة للتوجيه (الاتحاد الأوروبي) 2015/2366 الصادر عن البرلمان الأوروبي والمجلس فيما يتعلق بالمعايير الفنية التنظيمية للتحقق القوي من هوية العملاء ومعايير الاتصال المفتوحة المشتركة والآمنة (نص ذو صلة بالمنطقة الاقتصادية الأوروبية) ، 13 مارس 2018 ، تاريخ الاطلاع 6 أبريل 2021
  28. كارنيك، مادورا (7 ديسمبر 2016). "أخيرًا، يمكن للهنود استخدام بطاقات الائتمان عبر الإنترنت دون الحاجة إلى إدخال رمز التحقق لمرة واحدة (OTP) المزعج، ولكن فقط للمشتريات التي تقل قيمتها عن 2000 روبية" . كوارتز . مؤرشف من الأصل في 10 ديسمبر 2023. تم الاطلاع عليه في 10 ديسمبر 2023 .
  29. أغاروال، سورابي (7 ديسمبر 2016). "شركات الدفع تُشيد بقرار بنك الاحتياطي الهندي بإلغاء المصادقة الثنائية للمعاملات ذات القيمة المنخفضة" . صحيفة إيكونوميك تايمز . مؤرشف من الأصل في 14 سبتمبر 2020. تم الاطلاع عليه في 28 يونيو 2020 .
  30. ناير، فيشواناث (6 ديسمبر 2016). "بنك الاحتياطي الهندي يُسهّل المصادقة الثنائية لمعاملات البطاقات عبر الإنترنت حتى 2000 روبية" . لايف مينت . مؤرشف من الأصل في 28 يونيو 2020. تم الاطلاع عليه في 28 يونيو 2020 .
  31. «أوبر تمتثل الآن لمتطلبات المصادقة الثنائية في الهند، وتصفها بأنها غير ضرورية ومُرهِقة» . فينشر بيت . 30 نوفمبر 2014. مؤرشف من الأصل في 5 سبتمبر 2021. تم الاطلاع عليه في 5 سبتمبر 2021 .
  32. "التوجيه الرئاسي رقم 12 للأمن الداخلي" . وزارة الأمن الداخلي . 1 أغسطس 2008. مؤرشف من الأصل في 16 سبتمبر 2012.
  33. "معهد SANS، التحكم الحرج 10: التكوينات الآمنة لأجهزة الشبكة مثل جدران الحماية والموجهات والمحولات" . مؤرشف من الأصل بتاريخ 28 يناير 2013. تم الاطلاع عليه بتاريخ 11 فبراير 2013 .
  34. "معهد SANS، الرقابة الحرجة 12: الاستخدام المُتحكم به للصلاحيات الإدارية" . مؤرشف من الأصل بتاريخ 28 يناير 2013. تم الاطلاع عليه بتاريخ 11 فبراير 2013 .
  35. "إرشادات الهوية الرقمية" . منشور خاص رقم 800-63-3 صادر عن المعهد الوطني للمعايير والتكنولوجيا. المعهد الوطني للمعايير والتكنولوجيا. 22 يونيو 2017. مؤرشف من الأصل في 21 نوفمبر 2017. تم الاطلاع عليه في 2 فبراير 2018 .
  36. "بيان صحفي صادر عن مجلس فحص المؤسسات الفيدرالية" . 12 أكتوبر 2005. مؤرشف من الأصل بتاريخ 2 يونيو 2011. تم الاطلاع عليه بتاريخ 13 مايو 2011 .
  37. "الأسئلة الشائعة حول إرشادات مجلس فحص المؤسسات المالية الفيدرالية بشأن المصادقة في بيئة الخدمات المصرفية عبر الإنترنت" (ملف PDF) . مجلس فحص المؤسسات المالية الفيدرالية. 15 أغسطس 2006. مؤرشف (ملف PDF) من الأصل بتاريخ 15 نوفمبر 2012.
  38. برايان كريبس (10 يوليو/تموز 2006). "إصلاح أمني - هجوم تصيد إلكتروني من سيتي بنك يُزيّف المصادقة الثنائية" . صحيفة واشنطن بوست . مؤرشف من الأصل في 3 يوليو/تموز 2011. تم الاطلاع عليه في 20 سبتمبر/أيلول 2016 .
  39. شانكلاند، ستيفن. "المصادقة الثنائية؟ ليست آمنة كما تتوقع عند تسجيل الدخول إلى بريدك الإلكتروني أو حسابك المصرفي" . سي نت . مؤرشف من الأصل بتاريخ 27 سبتمبر 2020. تم الاطلاع عليه بتاريخ 27 سبتمبر 2020 .
  40. بروس شناير (مارس 2005). "فشل المصادقة الثنائية" . شناير حول الأمن . مؤرشف من الأصل في 20 ديسمبر 2016. تم الاطلاع عليه في 20 سبتمبر 2016 .
  41. أليكس بيريكالين (مايو 2018). "لماذا لا يجب عليك إرسال رموز التحقق إلى أي شخص" . كاسبرسكي . مؤرشف من الأصل في 20 أكتوبر 2020. تم الاطلاع عليه في 17 أكتوبر 2020 .
  42. سياداتي، حسين؛ نغوين، توان؛ غوبتا، باياس؛ جاكوبسون، ماركوس؛ ميمون، ناصر (2017). "انتبه لرسائلك النصية: الحد من الهندسة الاجتماعية في المصادقة الثنائية" . الحوسبة والأمن . 65 : 14-28 . doi : 10.1016/j.cose.2016.09.009 . S2CID 10821943 . 
  43. خانديلوال، سواتي. "هجوم SS7 واقعي - قراصنة يسرقون الأموال من الحسابات المصرفية" . أخبار القراصنة . مؤرشف من الأصل بتاريخ 6 مايو 2017. تم الاطلاع عليه بتاريخ 5 مايو 2017 .
  44. "إرهاق المصادقة متعددة العوامل: التكتيك المفضل الجديد للمخترقين في الاختراقات البارزة" . BleepingComputer . مؤرشف من الأصل بتاريخ 27-06-2023 . تم الاطلاع عليه بتاريخ 12-08-2023 .
  45. ١ ٢ "إرهاق المصادقة متعددة العوامل: التكتيك المفضل الجديد للمخترقين في الاختراقات البارزة" . BleepingComputer . مؤرشف من الأصل بتاريخ ٢٠٢٣-٠٦-٢٧ . تم الاطلاع عليه بتاريخ ٢٠٢٣-٠١-٢٦ .
  46. بيرت، جيف. "إرهاق المصادقة متعددة العوامل قد يُعرّض الأمن للخطر" . www.theregister.com . مؤرشف من الأصل بتاريخ 26 يناير 2023. تم الاطلاع عليه بتاريخ 26 يناير 2023 .
  47. كونستانتين، لوسيان (22 سبتمبر 2022). "هجمات إرهاق المصادقة متعددة العوامل في ازدياد: كيفية الدفاع ضدها" . CSO Online . مؤرشف من الأصل في 26 يناير 2023. تم الاطلاع عليه في 26 يناير 2023 .
  48. تونغ، ليام. "ميزة جديدة في تطبيق المصادقة من مايكروسوفت لإحباط هجمات البريد العشوائي على المصادقة متعددة العوامل" . ZDNET . مؤرشف من الأصل بتاريخ 26 يناير 2023. تم الاطلاع عليه بتاريخ 26 يناير 2023 .
  49. ويتاكر، زاك (19 سبتمبر 2022). "كيف تمنع اختراقًا آخر لأوبر؟" . تيك كرانش . مؤرشف من الأصل في 24 أغسطس 2023. تم الاطلاع عليه في 24 أغسطس 2023 .
  50. هاردكاسل، جيسيكا ليونز (19 سبتمبر 2022). "أوبر توضح كيف تم اختراقها هذا الشهر، وتشير بأصابع الاتهام إلى عصابة لابسوس" . ذا ريجستر . مؤرشف من الأصل في 24 أغسطس 2023. تم الاطلاع عليه في 24 أغسطس 2023 .
  51. ^ أمفت، س. هولتيرفينهوف، S .؛ هوامان، ن.؛ كراوس، أ.؛ سمكو، ل.؛ أكار، Y.؛ فحل، س. (2023). ""لقد قمنا بتعطيل المصادقة متعددة العوامل من أجلك": تقييم لأمان وسهولة استخدام عمليات استعادة المصادقة متعددة العوامل. arXiv : 2306.09708 [ cs.CR ].
  52. "دراسة تلقي ضوءاً جديداً على تكاليف وتأثيرات العوامل المتعددة" . 4 أبريل 2008. مؤرشف من الأصل في 8 يوليو 2011.
  53. ليبيكي، مارتن سي؛ بالكوفيتش، إدوارد؛ جاكسون، برايان أ؛ رودافسكي، رينا؛ ويب، كاثرين (2011). "العوامل المؤثرة على تبني المصادقة متعددة العوامل" . مؤرشف من الأصل بتاريخ 14 أكتوبر 2018. تم الاطلاع عليه بتاريخ 7 أكتوبر 2018 .
  54. "اختراق المصادقة متعددة العوامل | وايلي" . Wiley.com . مؤرشف من الأصل بتاريخ 4 أكتوبر 2021. تم الاطلاع عليه بتاريخ 17 ديسمبر 2020 .
  55. US 6078908 ، شميتز، كيم، "طريقة للتفويض في أنظمة نقل البيانات" 
  56. برودكين، جون (23 مايو 2013). "كيم دوت كوم يدّعي أنه اخترع المصادقة الثنائية - لكنه لم يكن الأول" . آرس تكنيكا . مؤرشف من الأصل في 9 يوليو 2019. تم الاطلاع عليه في 25 يوليو 2019 .
  57. US 5708422 ، بلوندر وآخرون، "نظام تفويض المعاملات والتنبيه" 

للمزيد من القراءة