إذا مرت فترة طويلة منذ آخر مرة سجلت فيها الدخول إلى حسابك المصرفي أو حساب آخر عبر الانترنت، فإنه بالإضافة إلى إدخال كلمة المرور الخاصة بك، فقد تتم مطالبتك بإدخال الرمز. تُعرف هذه الخطوة الإضافية باسم المصادقة متعددة العوامل (MFA) – وهو إجراء يتطلب شكلين على الأقل من التحقق يستخدمان لحماية الحسابات عبر الانترنت.
تعد المصادقة متعددة العوامل طريقة سريعة وبسيطة لإضافة طبقة من الحماية للبيانات السرية. تعمل هذه الخطوة بمثابة قفل إضافي مصمم لحماية الحسابات من المتسللين أو نقاط الضعف في الأمن السيبراني. في بعض الحالات، قد يتطلب أسلوب MFA التحقق البيومتري مثل بصمة الإصبع أو مسح الوجه.
لماذا نستخدم المصادقة متعددة العوامل؟
في كل يوم، نسمع قصصاً عن حوادث اختراق للبيانات في إحدى المؤسسات، أو عن شخص وقع ضحية لمجرمي الانترنت. وكما يوصي الخبراء في الأمن السيبراني فإن إحدى أكثر التقنيات فعالية التي يمكننا توظيفها لتعزيز أمننا الرقمي هي تمكين المصادقة متعددة العوامل (MFA). تعني الـ MFA بشكل أساسي الوصول إلى الخدمات باستخدام شكلين أو أكثر من المصادقة. وبالتالي، بالإضافة إلى الشكل المعتاد من المصادقة، كلمة المرور، يمكنك استخدام شكل آخر من المصادقة. قد يتضمن هذا النموذج الإضافي للمصادقة ما يلي:
- شيء تعرفه-Something you know: (كلمة المرور أو رمز PIN)
- شيء منك – Something you are : (بصمة الإصبع، أو مسح القزحية، أو مسح الوجه، أو مسح راحة اليد)
- شيء تملكه-Something you have: (شهادة X.509 أو الرمز الرقمي Token أو مفتاح المرور أو البطاقة الذكية أو الجهاز المحمول)
لفهم أهمية المصادقة متعددة العوامل، يُعتقد أنه كان من الممكن منع كل هجوم تصيد احتيالي رأيناه (تقريباً) من خلال تفعيل الـ MFA. عادةً، نسجل الدخول باستخدام اسم المستخدم وكلمة المرور لمعظم التطبيقات ومواقع الويب. لكن مجتمع الأمن السيبراني يتخلى عن كلمات المرور لصالح Passwordless Authentication. هذا صحيح ولكن استخدام مفاتيح المرور Passkeys بدون كلمة مرور لا يزال شكلاً آخر من أشكال MFA.
شيء تعرفه Something you know
تُستخدم كلمات المرور عادةً لتأمين تطبيقاتك ومواقع الويب الخاصة بك. يمكن أن تتكون كلمة المرور من أحرف كبيرة وصغيرة (A-Z)، وأرقام (0–9)، وأحرف خاصة (!*#&). هل تعلم أنه يمكن الآن اختراق كلمة المرور المعقدة المكونة من ثمانية أحرف في خمس دقائق؟ تجري Hive Systems بإجراء اختبارات سنوية وتقارير حول اختراق كلمات المرور والوقت الذي يستغرقه ذلك. وتبين أنه إذا كان المهاجم يستخدم ChatGPT. يمكن أن يحدث كسر كلمة المرور المكونة من ثمانية أحرف بأحرف علوية وسفلية وأرقام وأحرف خاصة في ثانية واحدة مقابل خمس دقائق بالطرق التقليدية. وهذا يعني أن هناك حاجة الآن أكثر من أي وقت مضى إلى النظافة السيبرانية الجيدة لكلمات المرور، مثل كلمات المرور الطويلة والمعقدة واستخدام كلمات مرور فريدة لتطبيقات ومواقع ويب مختلفة مع مصادقة متعددة العوامل.
يوصي روبودين باستخدام كلمة مرور مكونة من 14 حرفاً على الأقل مع أحرف كبيرة وصغيرة بالإضافة إلى رقم واحد وحرف خاص. أما بالنسبة لتطبيقات المسؤول والتطبيقات المصرفية، ننصح باستخدام ما لا يقل عن 14 حرفاً بأحرف كبيرة وصغيرة ورقم واحد على الأقل وأحرف خاصة.
المصادقة متعددة العوامل – Something you are
يشير مصطلح “Something you are” إلى الخصائص البيومترية الفريدة للفرد. هذه هي السمات الجوهرية مثل بصمات الأصابع، والتعرف على الوجه، ومسح القزحية، ومسح راحة اليد، والتعرف على الصوت. تحب هوليود فكرة مسح القزحية ولذلك تكررها في الأفلام. تعمل المصادقة البيومترية اعتماداً على السمات الجسدية أو السلوكية المميزة للتحقق من هوية الفرد. ونظراً لتفرد هذه السمات، توفر الأنظمة البيومترية (الحيوية) مستوى عالٍ من الأمان. ومع ذلك، من المهم التعامل مع هذه البيانات بعناية فائقة، لأنه، على عكس كلمات المرور، لا يمكننا تغيير القياسات الحيوية إذا تم اختراقها. مع التقدم التكنولوجي، أصبحت طرق المصادقة البيومترية منتشرة بشكل متزايد، لا سيما في أجهزة مثل الهواتف الذكية وفي الإعدادات الحساسة عالية الأمان.
شيء تملكه Something you have
يتعلق ذلك بشيء أو جهاز في حوزة المستخدم يستخدم لأغراض المصادقة. يمكن أن يكون ذلك الشيء كلمة مرور لمرة واحدة (OTP) أو شريحة ذكية تحتوي على بيانات اعتماد التشفير الخاصة بالفرد، مثل شهادة X.509. اليوم، حتى الهواتف الذكية يمكن أن تعمل كمكون “شيء تملكه”، حيث تتلقى رمزاً لمرة واحدة عبر الرسائل القصيرة أو تستخدم تطبيق المصادقة لإنشاء رمز. تعتبر طريقة المصادقة هذه وقائية بشكل خاص لأنها تتطلب من المهاجم ليس فقط معرفة كلمة مرور المستخدم ولكن أيضاً امتلاك جهاز أوالشريحة فعلياً، وبالتالي إضافة طبقة قوية من الأمان إلى عملية المصادقة.
يتم استخدام الرسائل القصيرة لمشاركة المصادقة الثنائية، ولا يعتبر OTP وسيلة آمنة. ومع ذلك، فإن استخدام الرسائل القصيرة أفضل من عدم استخدامها كعامل ثانٍ.لكن مع مراعاة أن هناك تكتيك يتمثل في قيام مجرمو الانترنت بالاتصال بشركة الهاتف المحمول الخاصة بك وخداع الموظف في شركة الهاتف لتبديل رقم بطاقة SIM حتى يتمكن المهاجم من الحصول على جميع رسائلك النصية. لا تزال الرسائل القصيرة تُستخدم بشكل أساسي كوسيلة مصادقة للعديد من التطبيقات ومواقع الويب. من الناحية المثالية، يجب استخدام تطبيق مصادقة مثل Microsoft Authenticator. بالإضافة إلى ذلك، كن حذراً بشأن روابط تسجيل الدخول لمرة واحدة (OTP) التي يتم إرسالها إلى هواتفك وأجهزة الكمبيوتر الخاصة بك للسماح بتسجيل الدخول. يرسل المتسللون هذه المعلومات، ويوافق الأشخاص بسرعة على تسجيل الدخول حتى لو لم يكونوا هم من سجلوا الدخول أساساً. يمكن ذلك المهاجمين من التحكم في حسابات ضحاياهم عن طريق تغيير كلمة المرور الخاصة بهم.
الذكاء الاصطناعي والمصادقة متعددة العوامل
لقد أصبحت القياسات الحيوية Biometrics أكثر أماناً بفضل الذكاء الاصطناعي (AI). تم تحسين أمان ودقة بصمات الأصابع والتعرف على الوجه والتعرف على الصوت باستخدام التعلم الآلي. سيؤدي استخدام الذكاء الاصطناعي مع التعرف على الوجه إلى إنشاء مصادقة أكثر دقة. يمكن للذكاء الاصطناعي التعرف على الاختلافات والأنسجة من أجل جعل المسح البيومتري فريداً حقاً. وكذلك، يمكن للذكاء الاصطناعي أن يتعلم بمرور الوقت مع تغير وجه الشخص. ربما يكون الشخص قد فقد الوزن أو اكتسبه، أو تغير وجهه مع تقدم العمر. يستطيع الذكاء الاصطناعي التعرف على هذه التغييرات الطفيفة والتكيف معها. بالإضافة إلى ذلك، فإن استخدام الذكاء الاصطناعي مع التعرف على الوجه سيخلق طرق مصادقة أكثر دقة.
فيما يقدم الذكاء الاصطناعي تطورات كبيرة في مجال الأمن البيومتري، لكنه يجلب أيضاً نقاط ضعف محتملة. تعتمد أنظمة القياسات الحيوية التي تعمل بالذكاء الاصطناعي على نماذج التعلم الآلي التي، إذا لم يتم تدريبها أو تأمينها بشكل صحيح، يمكن أن تكون عرضة لهجمات الخصوم السيبرانيين. يمكن لمجرمي الانترنت -الأكثر خبرة- تصميم بيانات المدخلات، لخداع نماذج الذكاء الاصطناعي. على سبيل المثال، يمكن أن تتسبب الاضطرابات الدقيقة والمُصممة بعناية في صورة الوجه، والتي غالباً ما تكون غير محسوسة للعين البشرية، في التلاعب بتصنيف نظام التعرف على الوجه المعتمد على الذكاء الاصطناعي أو التحقق من صحته بشكل خاطئ. بالإضافة إلى ذلك، تثير الكمية الهائلة من البيانات المطلوبة لتدريب نماذج الذكاء الصنعي مخاوف بشأن خصوصية البيانات.
التزييف العميق Deepfake
مع ظهور Deepfake، أصبحت القياسات الحيوية أكثر عرضة للخطر. ومن الأمثلة على ذلك قدرة Deepfakes على تقليد أصوات ووجوه الأشخاص عن كثب. المشكلة في ذلك هي أنه الأن، مع وسائل التواصل الاجتماعي والذكاء الاصطناعي، من المحتمل أن يتعرض صوتك ووجهك للخطر. لكن هناك طرق للتعامل مع البيانات البيومترية بطريقة آمنة: يمكننا استخدام التشفير وإخفاء مفاتيح النسخ وطرق أخرى. ولكننا بحاجة إلى بناء خوارزميات تأخذ الأمن في الاعتبار، خوارزميات معززة ومحمية، لا يمكن الوصول إليها أو اختراقها.
مفهوم Passwordless
يبدو Passwordless نجماً لامعاً في سماءالمصادقة. يتم ذلك عبر إنشاء زوج مفاتيح عام/خاص فريد، ويتم حفظ المفتاح الخاص على جهازك محلياً، ومن الأفضل أن يكون ذلك ضمن مدير كلمات مرور تابع لجهة خارجية (1Password مثلاً). أما المفتاح العام فيتم حفظه في المتجر الرئيسي للموقع. يعد مدير كلمات المرور مكاناً آمناً لحفظ كلمات المرور الخاصة بك وسينشئ لك أيضًا كلمة مرور قوية وفريدة لكل موقع. تقدم Google وApple مفاتيح مرور (UAF) كبديل لتسجيل الدخول. بمجرد إعدادها، سيبدأ تطبيق مدير كلمات المرور تلقائياً بتشغيل وتقديم البيانات التي تم توقيعها بواسطة مفتاحك الخاص إلى موقع الويب الذي يحتوي على المفتاح العام لتسجيل الدخول. ليس عليك استخدام كلمة مرور في هذه الحالة.
كلمة أخيرة
بشكل عام، لا تحافظ المصادقة متعددة العوامل على أمان حساباتك فحسب، بل يمكن أن توفر لك بعض الاطمئنان نفسياً أيضاً لشعورك بأنك تتحكم في طبقة إضافية من الأمن السيبراني لحساباتك عبر الانترنت.
