المصادقة

أداة المصادقة هي وسيلة تُستخدم لتأكيد هوية المستخدم، [ 1 ] [ 2 ] أي لإجراء المصادقة الرقمية. يُصادق الشخص على نظام حاسوبي أو تطبيق بإثبات حيازته لأداة المصادقة وتحكمه بها. [ 3 ] [ 4 ] في أبسط الحالات، تكون أداة المصادقة كلمة مرور شائعة .

باستخدام مصطلحات إرشادات الهوية الرقمية الصادرة عن المعهد الوطني للمعايير والتكنولوجيا (NIST) [ 3 ] ، يُطلق على الطرف المراد التحقق من هويته اسم "المُطالب"، بينما يُطلق على الطرف الذي يتحقق من هوية المُطالب اسم " المُدقِّق" . عندما يُثبت المُطالب بنجاح حيازته وسيطرته على مُصدِّق واحد أو أكثر للمُدقِّق من خلال بروتوكول مصادقة مُعتمد ، يتمكن المُدقِّق من استنتاج هوية المُطالب.

تصنيف

يمكن وصف أدوات المصادقة من حيث الأسرار والعوامل والأشكال المادية.

أسرار المصادقة

يرتبط كل جهاز مصادقة بسر واحد على الأقل يستخدمه صاحبه لإثبات حيازته وسيطرته عليه. ولأن المهاجم قد يستخدم هذا السر لانتحال شخصية المستخدم، يجب حماية سر جهاز المصادقة من السرقة أو الضياع.

يُعد نوع السرّ سمةً مهمةً للمُصادِق. وهناك ثلاثة أنواع أساسية من أسرار المُصادِق: سرّ مُخزّن في الذاكرة، ونوعان من المفاتيح التشفيرية، إما مفتاح متماثل أو مفتاح خاص.

سر محفوظ

السر المحفوظ هو سر يُقصد به أن يحفظه المستخدم. ومن الأمثلة المعروفة على السر المحفوظ كلمة المرور الشائعة ، والتي تُسمى أيضاً رمز المرور أو عبارة المرور أو رقم التعريف الشخصي (PIN).

يُطلق على سر المصادقة المعروف لكل من المُطالب والمُدقِّق اسم السر المشترك . على سبيل المثال، قد يكون السر المُخزَّن مُشتركًا أو غير مُشترك. المفتاح المتناظر مُشترك بحكم تعريفه. أما المفتاح الخاص فهو غير مُشترك.

يُعدّ المصادقة نوعًا مهمًا من الأسرار التي تُحفظ وتُشارك في آنٍ واحد. وفي حالة المصادقة، يكون السرّ هو أداة المصادقة.

مفتاح التشفير

المصادق التشفيري هو أداة تستخدم مفتاحًا تشفيريًا . وبحسب نوع المفتاح، قد يستخدم المصادق التشفير المتناظر أو التشفير بالمفتاح العام . يتجنب كلا النوعين حفظ الأسرار، وفي حالة التشفير بالمفتاح العام، لا توجد أسرار مشتركة أيضًا، وهذا فرق جوهري.

من أمثلة أدوات المصادقة المشفرة أدوات مصادقة OATH وأدوات مصادقة FIDO . اسم OATH هو اختصار لعبارة "Open AuTHentication" (المصادقة المفتوحة)، بينما يرمز FIDO إلى "Fast IDentity Online" (التحقق السريع من الهوية عبر الإنترنت). وكلاهما نتاج تعاون واسع النطاق في هذا المجال لتطوير بنية مرجعية مفتوحة باستخدام معايير مفتوحة لتشجيع اعتماد المصادقة القوية.

على سبيل المثال ، لا يُعدّ مُصادق كلمة المرور مُصادقًا تشفيريًا. راجع قسم الأمثلة لمزيد من التفاصيل.

مفتاح متناظر

المفتاح المتناظر هو سر مشترك يُستخدم في التشفير المتناظر. يحتفظ المُطالب بنسخته من المفتاح المشترك في جهاز مصادقة مخصص قائم على الأجهزة أو برنامج مصادقة مُثبّت على الهاتف الذكي. ويحتفظ المُدقّق بنسخة من المفتاح المتناظر.

زوج المفاتيح العامة والخاصة

يُستخدم زوج من المفاتيح العامة والخاصة لتنفيذ التشفير بالمفتاح العام. المفتاح العام معروف للمُدقِّق (ويُعتمد عليه من قِبَله)، بينما يرتبط المفتاح الخاص المقابل به بشكل آمن بالمُصادِق. في حالة المُصادِق المُخصَّص القائم على الأجهزة، لا يغادر المفتاح الخاص حدود المُصادِق أبدًا.

عوامل ونماذج المصادقة

المُصادق هو شيء فريد أو مميز للمستخدم ( شيء يملكه )، ويتم تفعيله إما برقم تعريف شخصي ( شيء يعرفه المستخدم )، أو ببيانات بيومترية (شيء فريد خاص بالمستخدم). يُطلق على المُصادق الذي يوفر عاملًا واحدًا فقط من هذه العوامل اسم مُصادق أحادي العامل، بينما يتضمن المُصادق متعدد العوامل عاملين أو أكثر. يُعد المُصادق متعدد العوامل أحد طرق تحقيق المصادقة متعددة العوامل . لا يُعتبر الجمع بين مُصادقين أحاديي العامل أو أكثر مصادقة متعددة العوامل، ولكنه قد يكون مناسبًا في بعض الحالات.

قد تتخذ أدوات التحقق أشكالًا مادية متنوعة (باستثناء السر المحفوظ، فهو غير ملموس). على سبيل المثال، يمكن حمل أداة التحقق باليد أو ارتدائها على الوجه أو المعصم أو الإصبع. [ 5 ] [ 6 ] [ 7 ]

من الملائم وصف جهاز المصادقة من حيث مكوناته المادية والبرمجية. ويُصنف جهاز المصادقة إلى جهاز مادي أو برمجي بناءً على ما إذا كان السر مخزناً في جهاز مادي أو برمجي، على التوالي.

يُعدّ مفتاح الأمان نوعًا مهمًا من أدوات المصادقة المعتمدة على الأجهزة، ويُعرف أيضًا باسم رمز الأمان (لا يُخلط بينه وبين رموز الوصول أو رموز الجلسة أو غيرها من رموز الأمان). يخزن مفتاح الأمان سره في جهاز مادي ، مما يمنع تسريبه. كما أنه مقاوم للبرمجيات الخبيثة ، إذ لا يمكن للبرامج العاملة على الجهاز المضيف الوصول إلى سره في أي وقت.

يمكن تطبيق نظام مصادقة برمجي (يُسمى أحيانًا رمزًا برمجيًا ) على جهاز إلكتروني عام مثل حاسوب محمول أو جهاز لوحي أو هاتف ذكي . على سبيل المثال، يُعد نظام المصادقة البرمجي المُطبق كتطبيق جوال على هاتف المستخدم نوعًا من أنظمة المصادقة الهاتفية. ولمنع الوصول إلى السر، قد يستخدم نظام المصادقة البرمجي بيئة تنفيذ موثوقة للمعالج أو وحدة النظام الأساسي الموثوقة (TPM) على جهاز المستخدم.

يتم دمج مصادق النظام الأساسي في منصة جهاز العميل، أي أنه مُنفذ على الجهاز نفسه. في المقابل، يُعد مصادق التجوال مصادقًا متعدد المنصات يتم تنفيذه خارج الجهاز. ويتصل مصادق التجوال بمنصة الجهاز عبر بروتوكول نقل مثل USB .

أمثلة

تصف الأقسام التالية فئات محددة من أدوات المصادقة. للاطلاع على تصنيف أكثر شمولاً، راجع إرشادات الهوية الرقمية الصادرة عن المعهد الوطني للمعايير والتكنولوجيا (NIST). [ 9 ]

أدوات المصادقة أحادية العامل

لاستخدام أداة المصادقة، يجب على المستخدم أن يُشير صراحةً إلى نيته في المصادقة. على سبيل المثال، كل من الإيماءات التالية كافية لإثبات النية:

  • يقوم مقدم الطلب بإدخال كلمة المرور في حقل كلمة المرور، أو
  • يضع المدعي إصبعه على قارئ بصمات الأصابع، أو
  • يضغط مقدم الطلب على زر للإشارة إلى الموافقة

يُطلق على هذا الأخير اسم اختبار وجود المستخدم (TUP). لتفعيل أداة المصادقة أحادية العامل ( أي التي يمتلكها المستخدم )، قد يُطلب من المستخدم إجراء اختبار وجود المستخدم، مما يمنع التشغيل غير المقصود لأداة المصادقة.

كلمة المرور هي سرٌّ يُفترض أن يحفظه صاحب الطلب عن ظهر قلب ويُشاركه مع المُدقِّق. وتُعدّ عملية التحقق من كلمة المرور هي العملية التي يُثبت فيها صاحب الطلب معرفته بكلمة المرور عن طريق إرسالها عبر الشبكة إلى المُدقِّق. إذا تطابقت كلمة المرور المُرسلة مع السرّ المُشارك مُسبقًا، فإن عملية التحقق من المستخدم تُعتبر ناجحة.

قسم OATH OTP

مثال على كلمات المرور لمرة واحدة

تُستخدم كلمات المرور لمرة واحدة (OTP) منذ ثمانينيات القرن الماضي. في عام ٢٠٠٤، أُعلن عن بنية مرجعية للمصادقة المفتوحة لتوليد كلمات المرور لمرة واحدة بشكل آمن في مؤتمر RSA السنوي . [ ١٠ ] [ ١١ ] أُطلقت مبادرة المصادقة المفتوحة (OATH) بعد عام. انبثق عن هذا العمل معياران من معايير IETF، وهما خوارزمية كلمة المرور لمرة واحدة القائمة على HMAC (HOTP) وخوارزمية كلمة المرور لمرة واحدة القائمة على الوقت (TOTP)، والمحددة في RFC ٤٢٢٦ وRFC ٦٢٣٨ على التوالي. يُقصد بـ OATH OTP إما HOTP أو TOTP. تُصدِّق OATH على التوافق مع معايير HOTP وTOTP. [ ١٢ ]  

غالبًا ما تُستخدم كلمة مرور تقليدية ( كلمة مرور معروفة ) مع كلمة مرور لمرة واحدة ( كلمة مرور مملوكة ) لتوفير مصادقة ثنائية. [ 13 ] تُرسل كل من كلمة المرور وكلمة المرور لمرة واحدة عبر الشبكة إلى المُدقِّق. إذا تطابقت كلمة المرور مع السر المُشترك مسبقًا، وتمكّن المُدقِّق من تأكيد قيمة كلمة المرور لمرة واحدة، تتم مصادقة المستخدم بنجاح.

يتم إنشاء كلمات المرور لمرة واحدة عند الطلب بواسطة مُصادِق OATH OTP مُخصَّص، يُغلِّف سرًّا سبق مشاركته مع المُدقِّق. باستخدام المُصادِق، يُنشئ المُطالب كلمة مرور لمرة واحدة باستخدام طريقة تشفير. كما يُنشئ المُدقِّق كلمة مرور لمرة واحدة باستخدام نفس طريقة التشفير. إذا تطابقت قيمتا كلمتي المرور لمرة واحدة، يستطيع المُدقِّق استنتاج أن المُطالب يمتلك السر المشترك.

ومن الأمثلة المعروفة على مصادق OATH هو Google Authenticator ، [ 14 ] وهو مصادق قائم على الهاتف يقوم بتنفيذ كل من HOTP و TOTP.

إشعارات الهاتف المحمول

تطبيق المصادقة عبر الإشعارات على الهاتف المحمول هو في الأساس تطبيق أصلي يعمل على هاتف المستخدم. يستخدم التطبيق تشفير المفتاح العام للاستجابة للإشعارات. بعبارة أخرى، تطبيق المصادقة عبر الإشعارات على الهاتف المحمول هو تطبيق مصادقة برمجي أحادي العامل. عادةً ما يُدمج تطبيق المصادقة عبر الإشعارات على الهاتف المحمول ( وهو تطبيق يمتلكه المستخدم ) مع كلمة مرور ( وهي كلمة مرور يعرفها المستخدم ) لتوفير مصادقة ثنائية. على عكس كلمات المرور لمرة واحدة، لا يتطلب تطبيق المصادقة عبر الإشعارات على الهاتف المحمول أي سر مشترك بخلاف كلمة المرور.

بعد أن يُصادق المُطالب باستخدام كلمة المرور، يُرسل المُدقِّق طلب مصادقة خارج النطاق إلى طرف ثالث موثوق به يُدير بنية المفاتيح العامة نيابةً عن المُدقِّق. يُرسل الطرف الثالث الموثوق به إشعارًا فوريًا إلى هاتف المُطالب. يُثبت المُطالب حيازته وسيطرته على المُصادق بالضغط على زر في واجهة المستخدم ، وبعد ذلك يُجيب المُصادق بتأكيد مُوقَّع رقميًا. يتحقق الطرف الثالث الموثوق به من التوقيع على التأكيد ويُعيد رد مصادقة إلى المُدقِّق.

يعمل بروتوكول المصادقة عبر الإشعارات الفورية للهواتف المحمولة، وهو بروتوكول خاص، على قناة ثانوية خارج النطاق، مما يوفر خيارات نشر مرنة. ولأن البروتوكول يتطلب مسار شبكة مفتوحًا إلى هاتف المستخدم، فإذا لم يكن هذا المسار متاحًا (بسبب مشاكل في الشبكة، على سبيل المثال)، فلن تتمكن عملية المصادقة من المتابعة. [ 13 ]

FIDO U2F

مُصادقة FIDO العالمية ذات العامل الثاني (U2F) ( وهي أداة يمتلكها المستخدم ) هي مُصادقة تشفيرية أحادية العامل ، مصممة للاستخدام مع كلمة مرور عادية للويب. ولأن هذه المُصادقة تعتمد على التشفير بالمفتاح العام، فإن U2F لا تتطلب سرًا مشتركًا إضافيًا بخلاف كلمة المرور.

للوصول إلى أداة مصادقة U2F، يُطلب من المستخدم إجراء اختبار للتحقق من وجود المستخدم (TUP)، مما يساعد على منع الوصول غير المصرح به إلى وظائف أداة المصادقة. عمليًا، يتكون اختبار التحقق من وجود المستخدم من ضغطة زر بسيطة.

يتفاعل مُصادِق U2F مع وكيل مستخدم ويب متوافق يُنفِّذ واجهة برمجة تطبيقات جافا سكريبت الخاصة بـ U2F. [ 15 ] يُنفِّذ مُصادِق U2F بالضرورة بروتوكول CTAP1/U2F، وهو أحد البروتوكولين المُحدَّدين في بروتوكول FIDO للعميل إلى المُصادِق . [ 16 ]

على عكس مصادقة الإشعارات عبر الهاتف المحمول، يعمل بروتوكول مصادقة U2F بالكامل على قناة الاتصال الأمامية. ويتطلب ذلك رحلتين ذهابًا وإيابًا. الرحلة الأولى هي مصادقة كلمة المرور العادية. بعد أن يُصادق المستخدم باستخدام كلمة المرور، يُرسل المُدقِّق تحديًا إلى متصفح متوافق، والذي يتواصل مع مُصادق U2F عبر واجهة برمجة تطبيقات JavaScript مخصصة. بعد أن يُنفذ المستخدم عملية التحقق من الهوية (TUP)، يُوقِّع المُصادق التحدي ويُعيد التأكيد المُوقَّع إلى المُدقِّق عبر المتصفح.

أدوات المصادقة متعددة العوامل

لاستخدام نظام المصادقة متعددة العوامل، يقوم المستخدم بإجراء عملية تحقق كاملة. يتم تفعيل نظام المصادقة متعددة العوامل ( شيء يمتلكه المستخدم ) بواسطة رقم تعريف شخصي ( شيء يعرفه المستخدم )، أو بيانات بيومترية ( شيء فريد خاص بالمستخدم؛ مثل بصمة الإصبع أو التعرف على الوجه أو الصوت ) ، أو أي تقنية تحقق أخرى. [ 3 ]

بطاقة صراف آلي

لسحب النقود من جهاز الصراف الآلي ، يُدخل عميل البنك بطاقة الصراف الآلي في الجهاز ويُدخل رقم التعريف الشخصي (PIN). تتم مقارنة رقم التعريف الشخصي المُدخل مع الرقم المُخزن على شريحة البطاقة. إذا تطابق الرقمان، يُمكن إتمام عملية السحب.

لاحظ أن عملية السحب من الصراف الآلي تتطلب استخدام رقم سري محفوظ (أي رمز PIN)، ولكن قيمة هذا الرقم غير معروفة للصراف الآلي مسبقًا. يقوم الجهاز بتمرير رقم PIN المدخل إلى البطاقة، التي تقارنه بالرقم السري المخزن على شريحة البطاقة. إذا تطابق الرقمان، تُبلغ البطاقة الصراف الآلي بنجاح العملية، وتستمر العملية.

تُعدّ بطاقة الصراف الآلي مثالاً على المصادقة متعددة العوامل. فالبطاقة نفسها شيء يملكه الشخص، بينما يُفترض أن الرقم السري المُخزّن على شريحة البطاقة شيء يعرفه . ويُعتبر تقديم البطاقة إلى جهاز الصراف الآلي وإثبات معرفة الرقم السري نوعاً من أنواع المصادقة متعددة العوامل.

صدفة آمنة

بروتوكول Secure Shell (SSH) هو بروتوكول عميل-خادم يستخدم التشفير بالمفتاح العام لإنشاء قناة آمنة عبر الشبكة. على عكس كلمة المرور التقليدية، يُعد مفتاح SSH أداة مصادقة تشفيرية. السر الأساسي للمصادقة هو مفتاح SSH الخاص، الذي يستخدمه العميل لتوقيع الرسالة رقميًا. يستخدم الخادم المفتاح العام المقابل للتحقق من توقيع الرسالة، مما يؤكد أن المستخدم يمتلك المفتاح الخاص ويتحكم به.

لتجنب السرقة، يمكن تشفير مفتاح SSH الخاص ( وهو شيء يملكه المستخدم ) باستخدام عبارة مرور ( وهي شيء يعرفه المستخدم ). لبدء عملية المصادقة الثنائية، يُدخل المستخدم عبارة المرور إلى نظام العميل.

على غرار كلمة المرور، تُعدّ عبارة مرور SSH سرًا محفوظًا، ولكن أوجه التشابه تنتهي عند هذا الحد. فبينما تُعتبر كلمة المرور سرًا مشتركًا يُنقل عبر الشبكة، فإن عبارة مرور SSH غير مشتركة، بل ويقتصر استخدامها على نظام العميل فقط. يُعدّ التوثيق عبر SSH مثالًا على التوثيق بدون كلمة مرور ، إذ يتجنب نقل أي سر مشترك عبر الشبكة. في الواقع، لا يتطلب توثيق SSH أي سر مشترك على الإطلاق.

FIDO2

مثال على WebAuthn ( Pixiv مع Bitwarden )

أصبح معيار بروتوكول FIDO U2F نقطة انطلاق لمشروع FIDO2 ، وهو جهد مشترك بين اتحاد شبكة الويب العالمية (W3C) وتحالف FIDO. تشمل مخرجات المشروع معيار مصادقة الويب W3C ( WebAuthn ) وبروتوكول FIDO Client to Authenticator (CTAP). [ 17 ] يوفر WebAuthn وCTAP معًا حلًا قويًا للمصادقة على الويب.

يستخدم مُصادِق FIDO2، المعروف أيضًا باسم مُصادِق WebAuthn، تشفير المفتاح العام للتفاعل مع عميل WebAuthn، أي وكيل مستخدم ويب متوافق يُنفِّذ واجهة برمجة تطبيقات WebAuthn JavaScript . [ 18 ] قد يكون المُصادِق مُصادِق منصة، أو مُصادِق تجوال، أو مزيجًا من الاثنين. على سبيل المثال، مُصادِق FIDO2 الذي يُنفِّذ بروتوكول CTAP2 [ 16 ] هو مُصادِق تجوال يتواصل مع عميل WebAuthn عبر واحد أو أكثر من خيارات النقل التالية: USB ، أو الاتصال قريب المدى (NFC)، أو Bluetooth منخفض الطاقة (BLE). من الأمثلة العملية على مُصادِقات منصة FIDO2: Windows Hello [ 19 ] ونظام التشغيل Android . [ 20 ]

يمكن استخدام جهاز مصادقة FIDO2 إما في وضع العامل الواحد أو وضع العوامل المتعددة. في وضع العامل الواحد، يتم تفعيل جهاز المصادقة باختبار بسيط لوجود المستخدم (مثل الضغط على زر). أما في وضع العوامل المتعددة، فيتم تفعيل جهاز المصادقة ( شيء يملكه المستخدم ) إما برقم تعريف شخصي ( شيء يعرفه المستخدم ) أو ببصمة بيومترية (شيء خاص بالمستخدم).

رمز الأمان

أولاً وقبل كل شيء، تبدأ المصادقة القوية بالمصادقة متعددة العوامل . وأفضل ما يمكن فعله لحماية الحساب الشخصي على الإنترنت هو تفعيل المصادقة متعددة العوامل. [ 13 ] [ 21 ] هناك طريقتان لتحقيق المصادقة متعددة العوامل:

  1. استخدم أداة مصادقة متعددة العوامل
  2. استخدم مزيجًا من اثنين أو أكثر من أدوات المصادقة أحادية العامل

من الناحية العملية، يتمثل النهج الشائع في الجمع بين أداة مصادقة كلمة المرور ( شيء يعرفه المرء ) مع أداة مصادقة أخرى ( شيء يمتلكه المرء ) مثل أداة المصادقة المشفرة.

بشكل عام، يُفضّل استخدام نظام مصادقة تشفيري على نظام مصادقة لا يستخدم أساليب التشفير. وبافتراض تساوي جميع العوامل الأخرى، فإن نظام المصادقة التشفيري الذي يستخدم التشفير بالمفتاح العام أفضل من ذلك الذي يستخدم التشفير بالمفتاح المتناظر، لأن الأخير يتطلب مفاتيح مشتركة (والتي قد تُسرق أو يُساء استخدامها).

مع تساوي جميع العوامل الأخرى، يُعدّ نظام المصادقة القائم على الأجهزة أفضل من نظام المصادقة القائم على البرامج، إذ يُفترض أن يكون سرّ المصادقة أكثر حمايةً في الأجهزة. وينعكس هذا التفضيل في متطلبات المعهد الوطني للمعايير والتكنولوجيا (NIST) الموضحة في القسم التالي.

مستويات ضمان المصادقة وفقًا لمعايير المعهد الوطني للمعايير والتكنولوجيا (NIST)

يُحدد المعهد الوطني للمعايير والتكنولوجيا (NIST) ثلاثة مستويات من ضمان المصادقة. يتطلب أعلى مستوى لضمان المصادقة (AAL3) مصادقة متعددة العوامل باستخدام إما مصادقة متعددة العوامل أو مزيج مناسب من مصادقات أحادية العامل. في مستوى AAL3، يجب أن تكون إحدى المصادقات على الأقل مصادقة تشفيرية تعتمد على الأجهزة. بناءً على هذه المتطلبات الأساسية، تشمل تركيبات المصادقات الممكنة المستخدمة في مستوى AAL3 ما يلي:

  1. جهاز مصادقة متعدد العوامل يعتمد على التشفير والأجهزة
  2. جهاز مصادقة أحادي العامل يعتمد على الأجهزة المشفرة ويستخدم بالتزامن مع جهاز مصادقة آخر (مثل جهاز مصادقة كلمة المرور).

راجع إرشادات الهوية الرقمية الصادرة عن المعهد الوطني للمعايير والتكنولوجيا (NIST) لمزيد من المناقشة حول مستويات ضمان المصادقة. [ 9 ]

أدوات المصادقة المقيدة

على غرار مستويات ضمان المصادقة، يُعدّ مفهوم المصادقة المقيدة مفهومًا من مفاهيم المعهد الوطني للمعايير والتكنولوجيا (NIST). [ 3 ] يشير هذا المصطلح إلى مصادقة ثبت عدم قدرتها على مقاومة الهجمات، مما يُشكك في موثوقيتها. تعمل الوكالات الفيدرالية على الحدّ من استخدام المصادقة المقيدة من خلال توفير مصادقة بديلة غير مقيدة للمشتركين، ووضع خطة انتقال في حال حظر استخدام المصادقة المقيدة مستقبلًا.

يُقيّد المعهد الوطني للمعايير والتكنولوجيا (NIST) حاليًا استخدام شبكة الهاتف العامة . وعلى وجه الخصوص، يُقيّد إرسال كلمات المرور لمرة واحدة (OTP) خارج نطاق الشبكة عبر الرسائل الصوتية المسجلة أو الرسائل النصية القصيرة (SMS ). علاوة على ذلك، إذا اختارت جهة ما استخدام كلمات المرور لمرة واحدة عبر الصوت أو الرسائل النصية القصيرة، فيجب عليها التحقق من إرسال كلمة المرور إلى هاتف وليس إلى عنوان IP، نظرًا لأن حسابات بروتوكول نقل الصوت عبر الإنترنت (VoIP) لا تُحمى عادةً بمصادقة متعددة العوامل. [ 9 ]

مقارنة

يُعدّ استخدام كلمات المرور أساسًا مناسبًا للمقارنة نظرًا لسهولة فهم كيفية استخدامها. [ 22 ] في أنظمة الحاسوب، استُخدمت كلمات المرور منذ أوائل الستينيات على الأقل. [ 23 ] [ 24 ] وبشكل عام، استُخدمت كلمات المرور منذ العصور القديمة. [ 25 ]

في عام ٢٠١٢، قيّم بونو وزملاؤه مقترحاتٍ استمرت عقدين من الزمن لاستبدال كلمات المرور، وذلك من خلال مقارنة كلمات مرور الويب بـ ٣٥ نظام مصادقة منافسًا من حيث سهولة الاستخدام، وقابلية النشر، والأمان. [ ٢٦ ] (التقرير الفني المذكور هو نسخة موسعة من الورقة البحثية المحكمة التي تحمل الاسم نفسه. [ ٢٧ ] ) ووجدوا أن معظم الأنظمة تتفوق على كلمات المرور من حيث الأمان، بينما تتفوق جميعها عليها من حيث سهولة النشر. أما من حيث سهولة الاستخدام، فتتفوق بعض الأنظمة على كلمات المرور، بينما تتفوق أنظمة أخرى عليها.

استخدمت جوجل إطار التقييم الذي وضعه بونو وآخرون لمقارنة مفاتيح الأمان بكلمات المرور وكلمات المرور لمرة واحدة. [ 28 ] وخلصوا إلى أن مفاتيح الأمان أكثر سهولة في الاستخدام والنشر من كلمات المرور لمرة واحدة، وأكثر أمانًا من كليهما.

انظر أيضاً

مراجع

  1. "مسرد المصطلحات الوطنية لضمان أمن المعلومات" (ملف PDF) . لجنة أنظمة الأمن القومي . 26 أبريل 2010. مؤرشف (ملف PDF) من الأصل بتاريخ 9 أكتوبر 2022. تم الاطلاع عليه بتاريخ 31 مارس 2019 .
  2. "مسرد مصطلحات الاتصالات" . معهد علوم الاتصالات . 7 أغسطس 1996. تم الاطلاع عليه في 31 مارس 2019 .
  3. 1 2 3 4 غراسي، بول أ.؛ غارسيا، مايكل إي.؛ فينتون، جيمس ل. (يونيو 2017). "منشور خاص من المعهد الوطني للمعايير والتكنولوجيا 800-63-3: إرشادات الهوية الرقمية" . المعهد الوطني للمعايير والتكنولوجيا (NIST). doi : 10.6028/NIST.SP.800-63-3 . تاريخ الاسترجاع : 5 فبراير 2019 .{{cite journal}}يتطلب الاستشهاد بالمجلة ( مساعدة )|journal=
  4. ليندمان، رولف، محرر. (11 أبريل 2017). "المصطلحات الفنية لـ FIDO" . تحالف FIDO . تم الاطلاع عليه بتاريخ 26 مارس 2019 .
  5. بيانكي، أندريا؛ أوكلي، إيان (2016). "المصادقة عبر الأجهزة القابلة للارتداء: الاتجاهات والفرص" ( ملف PDF) . تكنولوجيا المعلومات . 58 (5): 255-262 . doi : 10.1515/itit-2016-0010 . S2CID 12772550. مؤرشف (ملف PDF) من النسخة الأصلية بتاريخ 9 أكتوبر 2022. 
  6. شتاين، سكوت (26 يوليو 2018). "لماذا لا يمكن أن تكون الساعات الذكية التي تعمل بنظام Wear OS بمثابة مفاتيح أمان أيضًا؟" . CNET . تم الاطلاع عليه في 31 مارس 2019 .
  7. ويليامز، بريت (27 يونيو 2017). "هذا الخاتم الذكي يمنحك مدفوعات فورية عبر الهاتف المحمول مع تعزيز الأمان" . ماشابل . تم الاطلاع عليه في 31 مارس 2019 .
  8. شيكيار، أندرو (7 ديسمبر 2016). "دراسة حالة: مفاتيح أمان جوجل فعّالة" . تحالف FIDO . تحالف FIDO . تم الاطلاع عليه بتاريخ 26 مارس 2019 .
  9. 1 2 3 غراسي، بول أ.؛ فينتون، جيمس ل.؛ نيوتن، إيلين م.؛ بيرلنر، راي أ.؛ ريغنشايد، أندرو ر.؛ بور، ويليام إي.؛ ريتشر، جاستن ب. (2017). "منشور خاص من المعهد الوطني للمعايير والتكنولوجيا 800-63ب: إرشادات الهوية الرقمية: المصادقة وإدارة دورة الحياة" . المعهد الوطني للمعايير والتكنولوجيا (NIST). doi : 10.6028/NIST.SP.800-63b . تاريخ الاسترجاع: 5 فبراير 2019 .{{cite journal}}يتطلب الاستشهاد بالمجلة ( مساعدة )|journal=
  10. كوتشان، بيريسلاف (24 فبراير 2004). "الإعلان عن بنية مرجعية للمصادقة المفتوحة" . هيلب نت سيكيوريتي . تم الاطلاع عليه بتاريخ 26 مارس 2019 .
  11. "مواصفات OATH والموارد التقنية" . مبادرة المصادقة المفتوحة . تم الاطلاع عليه بتاريخ 26 مارس 2019 .
  12. "شهادة OATH" . مبادرة المصادقة المفتوحة (OATH) . تم الاطلاع عليه بتاريخ 3 فبراير 2019 .
  13. 1 2 3 هوفمان-أندروز، جاكوب؛ جيبهارت، جيني (22 سبتمبر 2017). "دليل لأنواع المصادقة الثنائية الشائعة على الويب" . مؤسسة الحدود الإلكترونية . تم الاطلاع عليه بتاريخ 26 مارس 2019 .
  14. "Google Authenticator" . GitHub . تم الاطلاع عليه بتاريخ 3 فبراير 2019 .
  15. ^ بالفانز، ديرك. بيرجيسون، أرنار؛ لانج، خوان، محررون. (11 أبريل 2017). "واجهة برمجة تطبيقات جافا سكريبت FIDO U2F" . تحالف فيدو . تم الاسترجاع في 22 مارس 2019 .
  16. 1 2 براند، كريستيان؛ تشيسكيس، أليكسي؛ إهرنسفارد، جاكوب؛ جونز، مايكل ب.؛ كومار، أكشاي؛ ليندمان، رولف؛ باورز، آدم؛ فيريبت، يوهان، محررون. (30 يناير 2019). "بروتوكول العميل إلى المصادق (CTAP)" . تحالف FIDO . تم الاسترجاع في 22 مارس 2019 .
  17. "FIDO2: نقل العالم إلى ما وراء كلمات المرور" . تحالف FIDO . تم الاطلاع عليه بتاريخ 30 يناير 2019 .
  18. بالفانز، ديرك؛ تشيسكيس، أليكسي؛ هودجز، جيف؛ جونز، جيه سي؛ جونز، مايكل بي؛ كومار، أكشاي؛ لياو، أنجيلو؛ ليندمان، رولف؛ لوندبيرغ، إميل (محررون). "مصادقة الويب: واجهة برمجة تطبيقات للوصول إلى بيانات اعتماد المفتاح العام من المستوى 1" . اتحاد شبكة الويب العالمية (W3C) . تم الاطلاع عليه بتاريخ 30 يناير 2019 . 
  19. سيمونز، أليكس (20 نوفمبر 2018). "تسجيل دخول آمن بدون كلمة مرور لحساب مايكروسوفت الخاص بك باستخدام مفتاح أمان أو Windows Hello" . مايكروسوفت . تم الاسترجاع في 6 مارس 2019 .
  20. "نظام أندرويد الآن معتمد من FIDO2، مما يُسرّع عملية الانتقال العالمي إلى ما هو أبعد من كلمات المرور" . برشلونة: تحالف FIDO . 25 فبراير 2019. تاريخ الاطلاع: 6 مارس 2019 .
  21. «المصادقة الثنائية (2FA)؛ إرشادات جديدة من المركز الوطني للأمن السيبراني» . المركز الوطني للأمن السيبراني (NCSC). 8 أغسطس 2018.
  22. هانت، تروي (5 نوفمبر 2018). "إليك السبب في أن [أدخل الشيء هنا] ليس قاتلاً لكلمات المرور" . تم الاسترجاع في 24 مارس 2019 .
  23. ماكميلان، روبرت (27 يناير 2012). "أول كلمة مرور حاسوبية في العالم؟ كانت عديمة الفائدة أيضاً" . مجلة وايرد . تم الاطلاع عليه بتاريخ 22 مارس 2019 .
  24. هانت، تروي (26 يوليو 2017). "تطور كلمات المرور: إرشادات المصادقة للعصر الحديث" . تم الاطلاع عليه بتاريخ 22 مارس 2019 .
  25. ماليمباتي، سريلاثا؛ موغالا، شاشي (31 يوليو 2011). "لعبة لوحية هندية قديمة كأداة للتحقق من الهوية" (ملف PDF) . المجلة الدولية لأمن الشبكات وتطبيقاتها . 3 (4): 154-163 . doi : 10.5121/ijnsa.2011.3414 .
  26. بونو، جوزيف؛ هيرلي، كورماك؛ أورشوت، بول سي. فان؛ ستاجانو، فرانك (2012). "السعي لاستبدال كلمات المرور: إطار عمل للتقييم المقارن لأنظمة مصادقة الويب" . تقرير فني - جامعة كامبريدج. مختبر الحاسوب . كامبريدج، المملكة المتحدة: مختبر الحاسوب بجامعة كامبريدج. doi : 10.48456/tr-817 . ISSN 1476-2986 . تاريخ الاسترجاع: 22 مارس 2019 . 
  27. بونو، جوزيف؛ هيرلي، كورماك؛ أورشوت، بول سي. فان؛ ستاجانو، فرانك (2012). السعي لاستبدال كلمات المرور: إطار عمل للتقييم المقارن لأنظمة مصادقة الويب . ندوة IEEE للأمن والخصوصية لعام 2012. سان فرانسيسكو، كاليفورنيا. الصفحات 553-567 . CiteSeerX 10.1.1.473.2241 . doi : 10.1109/SP.2012.44 .  
  28. لانغ، خوان؛ تشيسكيس، أليكسي؛ بالفانز، ديرك؛ شيلدر، ماريوس؛ سرينيفاس، سامباث (2016). "مفاتيح الأمان: عوامل التشفير الثانية العملية للويب الحديث" (ملف PDF) . التشفير المالي وأمن البيانات 2016. مؤرشف (PDF) من الأصل بتاريخ 9 أكتوبر 2022. تم الاطلاع عليه بتاريخ 26 مارس 2019 .