authentication

ما هو المصادقة (Authentication, AuthN)؟

المصادقة هي عملية التحقق من ملكية الهوية (مثل المستخدم أو الخدمة). إنها أساس أنظمة إدارة الهوية والوصول (IAM) وهي ضرورية لتأمين التطبيقات والخدمات.

ما هي المصادقة (Authentication, AuthN)؟

المصادقة (Authentication, AuthN) هي آلية مدمجة في البرمجيات لتحديد هوية المستخدم بناءً على بيانات الاعتماد الخاصة بهم قبل منح الوصول إلى الموارد. على سبيل المثال، تتضمن الطريقة الأكثر شيوعًا لتسجيل الدخول بريدًا إلكترونيًا وكلمة مرور. يستخدم النظام هذه البيانات للتحقق مما إذا كان لدى المستخدم الهوية الصحيحة للوصول إليه.

في سياق إدارة الهوية والوصول (Identity and access management, IAM) ، تتعلق المصادقة بالتحقق من ملكية الهوية بدلاً من تحديد الشخص أو الكيان وراءها. على سبيل المثال، إذا استخدم أحد أفراد العائلة بيانات اعتمادك لتسجيل الدخول، فهم ليسوا أنت، ولكن النظام يتعرف عليهم على أنهم نفس الهوية.

يمكن أن تمثل الهوية ليس فقط مستخدمًا، ولكن أيضًا خدمة أو جهازًا. على سبيل المثال، قد تقوم خدمة واحدة بمصادقة نفسها لأخرى باستخدام مفتاح API (API key) .

مع تطور التكنولوجيا، أصبحت طرق المصادقة أكثر تقدمًا وتعددية التخصصات. على الرغم من أن المصطلح قد يبدو تقنيًا، إلا أنه مفهوم رئيسي في الأمن السيبراني، حيث تعتمد جميع التطبيقات والبرمجيات على المصادقة لضمان أمان معلومات المستخدم ووصولهم إلى النظام.

عوامل المصادقة (Authentication, AuthN)

عوامل المصادقة (Authentication, AuthN) هي فئات الأدلة المستخدمة للتحقق من هوية المستخدم أثناء عملية المصادقة. تساعد في ضمان أن المستخدمين المصرح لهم فقط هم من يحصلون على الوصول إلى الأنظمة أو الموارد. عادةً ما يتم تقسيم هذه العوامل إلى ثلاثة أنواع رئيسية، وغالبًا ما يشار إليها باسم “العوامل الثلاثة للمصادقة”.

عامل المعرفة: شيء تعرفه (مثل كلمة المرور، رقم التعريف الشخصي)
عامل الحيازة: شيء تمتلكه (مثل الهاتف الذكي، رمز الأمان)
عامل الوراثة: شيء أنت عليه (مثل بصمة الإصبع، التعرف على الوجه)

إليك مثالان:

المصادقة متعددة العوامل (Multi-factor authentication, MFA) هو ممارسة شائعة تجمع بين عوامل متعددة لزيادة الأمان. على سبيل المثال، عند تسجيل الدخول إلى حسابك المصرفي، قد تحتاج إلى تقديم كلمة مرور (عامل المعرفة) ورمز لمرة واحدة من تطبيق المصادقة (عامل الحيازة).

مفتاح المرور (Passkey) هو عامل مصادقة حديث يمكنه دمج عوامل متعددة ومقاوم لهجمات التصيد الاحتيالي.

ما هي الأنواع الشائعة للمصادقة (Authentication, AuthN)؟

بعد تغطية المكونات الرئيسية وعوامل المصادقة، دعونا ننتقل إلى أنواع المصادقة. تستخدم الأنظمة والمنتجات طرق مصادقة متنوعة، وقد تتداخل هذه الطرق في تعريفاتها وكيفية فهم المستخدمين لها. عند اختيار طرق المصادقة، ركز على احتياجات منتجك وهدف إلى تحقيق توازن بين تجربة المستخدم والأمان.

مصادقة كلمة المرور

مصادقة كلمة المرور هي طريقة مستخدمة على نطاق واسع للتحقق من هوية المستخدم عند الوصول إلى نظام أو تطبيق. يتطلب من المستخدم تقديم عنوان بريد إلكتروني على سبيل المثال أو معرفات مشابهة أخرى مثل اسم المستخدم ورقم الهاتف، والذي يعمل كمعرف فريد، وكلمة مرور، وهي سلسلة سرية معروفة فقط للمستخدم، لتأكيد ملكيتهم للبريد الإلكتروني.

تبدأ العملية بإدخال المستخدم لبريده الإلكتروني وكلمة المرور في نموذج تسجيل الدخول. ثم يقوم النظام بالتحقق من هذه البيانات مقابل قاعدة بيانات المستخدمين المسجلين. إذا تطابقت البيانات، يتم منح المستخدم الوصول؛ إذا لم تتطابق، يتم رفض الوصول. عند نجاح المصادقة، قد يقوم النظام بإنشاء جلسة أو إصدار رمز للحفاظ على حالة تسجيل دخول المستخدم.

هذه الطريقة بسيطة ومدعومة على نطاق واسع، مما يجعل من السهل على المستخدمين فهمها واستخدامها. ومع ذلك، تأتي مع تحديات. يمكن أن تتعرض كلمات المرور للاختراق من خلال التصيد الاحتيالي، أو هجمات القوة الغاشمة، أو اختراق البيانات. بالإضافة إلى ذلك، قد يجد المستخدمون أنه من غير الملائم تذكر كلمات مرور متعددة لخدمات مختلفة. لمعالجة هذه المشكلات، غالبًا ما يتم تعزيز مصادقة البريد الإلكتروني وكلمة المرور بإجراءات أمان مثل المصادقة الثنائية (2FA)، والتي تضيف طبقة إضافية من التحقق، أو من خلال تشجيع استخدام كلمات مرور قوية وفريدة تدار بشكل آمن.

على الرغم من تحدياتها، تظل مصادقة البريد الإلكتروني وكلمة المرور طريقة أساسية للتحقق من الهوية، وغالبًا ما يتم دمجها مع تدابير إضافية لتحسين الأمان.

المصادقة بدون كلمة مرور

يمكن فهم المصادقة بدون كلمة مرور بطرق مختلفة. بشكل عام، يشير إلى أي طريقة مصادقة للمستخدم لا تعتمد على كلمات المرور. المصادقة بدون كلمة مرور هي طريقة للتحقق من هوية المستخدم دون الحاجة إلى كلمات مرور تقليدية. بدلاً من ذلك، تعتمد على تقنيات وعوامل بديلة لمصادقة المستخدمين بشكل آمن. تشمل هذه الطرق كلمة مرور لمرة واحدة (One-time password, OTP) المرسلة عبر البريد الإلكتروني أو الرسائل النصية القصيرة أو تطبيق المصادقة، والمصادقة البيومترية مثل بصمات الأصابع أو التعرف على الوجه، والروابط السحرية المرسلة إلى بريد المستخدم الإلكتروني، ومفاتيح المرور المخزنة على جهاز، أو تسجيل الدخول الاجتماعي باستخدام حسابات من مزودين مثل Google أو Facebook.

تحسن هذه الطريقة الأمان من خلال تقليل المخاطر المرتبطة بكلمات المرور، مثل التصيد الاحتيالي، وهجمات القوة الغاشمة، والاختراقات. كما أنها تعزز تجربة المستخدم من خلال التخلص من الحاجة إلى تذكر وإدارة كلمات المرور، مع تقليل تكاليف الصيانة عن طريق تقليل طلبات إعادة تعيين كلمة المرور.

المصادقة الاجتماعية

المصادقة الاجتماعية هي طريقة للتحقق من هوية المستخدم من خلال السماح لهم بتسجيل الدخول إلى تطبيق أو موقع ويب باستخدام بيانات اعتمادهم الحالية من منصة وسائط اجتماعية أو مزود هوية، مثل Google أو Facebook أو Twitter أو LinkedIn. بدلاً من إنشاء اسم مستخدم وكلمة مرور جديدين لكل تطبيق، يمكن للمستخدمين المصادقة باستخدام حساب يثقون به بالفعل.

عندما يختار المستخدم خيار تسجيل الدخول الاجتماعي، يتم إعادة توجيهه إلى المنصة المختارة لتأكيد بيانات اعتماده. بمجرد المصادقة، توفر المنصة للتطبيق رمزًا أو معلومات المستخدم، مثل الاسم أو عنوان البريد الإلكتروني أو صورة الملف الشخصي، للتحقق من هويتهم. هذه العملية آمنة وغالبًا ما تبسط تجربة تسجيل الدخول للمستخدمين.

تقلل المصادقة الاجتماعية من الاحتكاك للمستخدمين، وتحسن الأمان من خلال الاستفادة من بنية مزود الهوية (Identity provider, IdP) التحتية، وتسمح للتطبيقات بجمع بيانات المستخدم الموثوقة بسرعة. إنها شائعة بشكل خاص في التطبيقات حيث تكون سهولة الوصول والتكامل مع المنصات الاجتماعية أولوية.

المصادقة متعددة العوامل

المصادقة متعددة العوامل (Multi-factor authentication, MFA) هي عملية أمان تتطلب من المستخدم التحقق من هويته باستخدام عاملين أو أكثر من عوامل المصادقة المتميزة. تقع هذه العوامل عادةً في ثلاث فئات، مثل عوامل المصادقة التي ذكرناها أعلاه: شيء تعرفه، شيء تمتلكه، وشيء أنت عليه.

من خلال الجمع بين عوامل متعددة، تعزز MFA الأمان بشكل كبير. حتى إذا تم اختراق عامل واحد، مثل كلمة المرور، فإن الطبقة الإضافية (أو الطبقات) من التحقق تجعل من الصعب بكثير على المستخدمين غير المصرح لهم الحصول على الوصول.

تستخدم MFA على نطاق واسع في الأنظمة التي تتطلب مستويات أعلى من الأمان، مثل الخدمات المصرفية عبر الإنترنت، والشبكات المؤسسية، والمنتجات الحساسة ماليًا، والخدمات السحابية. بدلاً من أن تكون طريقة للمصادقة، فهي بدقة أكبر إجراء أمني للمصادقة.

المصادقة البيومترية

المصادقة البيومترية هي عملية أمان تتحقق من هوية المستخدم بناءً على الخصائص الفيزيائية أو السلوكية الفريدة. هذه الخصائص، مثل بصمات الأصابع، أو ملامح الوجه، أو أنماط الصوت، فردية للغاية ويصعب تكرارها، مما يجعل هذه الطريقة آمنة وموثوقة.

تبدأ العملية بالتسجيل، حيث يتم التقاط بيانات المستخدم البيومترية وتخزينها بشكل آمن كمرجع. أثناء المصادقة، يقوم النظام بالتقاط البيانات البيومترية الحية للمستخدم ومقارنتها بالمرجع المخزن. إذا تطابقت البيانات، يتم منح الوصول؛ وإلا، يتم رفضه.

هذه الطريقة مريحة لأن المستخدمين لا يحتاجون إلى تذكر كلمات المرور أو حمل الرموز المادية. تُستخدم على نطاق واسع في التطبيقات مثل الهواتف الذكية، وتطبيقات البنوك، والمرافق الآمنة، وأنظمة الرعاية الصحية لتوفير وصول سريع وموثوق وسهل الاستخدام.

تسجيل الدخول الموحد للمؤسسات (SSO) مع مزود الهوية (IdP)

الدخول الموحد للمؤسسات (Enterprise SSO) مع مزود الهوية (Identity provider, IdP) يسمح للمستخدمين بتسجيل الدخول مرة واحدة والوصول إلى تطبيقات أو خدمات متعددة دون الحاجة إلى إعادة المصادقة. IdP هو خدمة موثوقة تدير هويات المستخدمين وتتعامل مع المصادقة.

إليك كيفية عملها:

يقوم المستخدم بتسجيل الدخول من خلال IdP (مثل Google أو Azure AD).
يقوم IdP بمصادقة المستخدم وإصدار رمز أو تأكيد.
يتم مشاركة الرمز مع التطبيقات أو الخدمات المتصلة الأخرى لمنح الوصول دون تسجيلات دخول إضافية.

يبسط هذا الإعداد وصول المستخدم مع مركزية إدارة الهوية للأمان.

المصادقة بين الآلات

اتصال الآلة بالآلة (Machine-to-machine) هي عملية تتحقق من هوية الأجهزة أو التطبيقات أو الخدمات التي تتواصل مع بعضها البعض دون تدخل بشري. يضمن التفاعلات الآمنة بين الآلات، غالبًا في بيئات إنترنت الأشياء (IoT)، أو واجهات برمجة التطبيقات، أو الخدمات السحابية.

في المصادقة بين الآلات، بدلاً من استخدام أسماء المستخدمين وكلمات المرور مثل المصادقة التقليدية للمستخدم، تعتمد الآلات على بيانات اعتماد آمنة مثل مفاتيح API، أو الشهادات، أو الرموز (مثل OAuth 2.0 ). تُستخدم هذه البيانات للتحقق من أن الآلة أو الخدمة مخولة للوصول إلى آلة أو مورد آخر.

على سبيل المثال، عندما يتواصل تطبيق جوال مع خادم سحابي لاسترداد بيانات المستخدم، يقوم الخادم بمصادقة التطبيق باستخدام مفتاح API أو رمز لتأكيد أنه عميل شرعي. وبالمثل، في إنترنت الأشياء، تقوم الأجهزة مثل منظمات الحرارة الذكية أو الأجهزة القابلة للارتداء بالمصادقة مع أنظمة التحكم الخاصة بها أو خوادم البيانات باستخدام الشهادات أو الرموز الآمنة.

تعتبر المصادقة بين الآلات مهمة لضمان أمان البيانات والثقة في الأنظمة الآلية، خاصة في البيئات التي يتم فيها تبادل المعلومات الحساسة.

ما هي أفضل الممارسات والمبادئ الرئيسية لتنفيذ المصادقة (Authentication)؟

يتطلب تنفيذ ميزات المصادقة التركيز على المبادئ الرئيسية. يوصى بشدة باستخدام بروتوكولات موثوقة مثل OAuth 2.0 أو OpenID Connect وتشفير البيانات الحساسة. بالإضافة إلى ذلك، فإن تقديم خيارات مثل تسجيل الدخول الاجتماعي، وطرق بدون كلمة مرور مثل مفاتيح المرور، ودعم طرق المصادقة المختلفة - مثل اسم المستخدم/كلمة المرور، أو البيومترية، أو SSO - يساعد النظام على تلبية احتياجات المستخدمين المتنوعة.

المصادقة (Authentication) في OIDC وSAML وOAuth 2.0

بدلاً من بناء نظام مصادقة محلي، يوصى باستخدام الأطر والبروتوكولات المعروفة لأنها تم اختبارها ومراجعتها من قبل خبراء الأمان. هناك العديد من أطر وبروتوكولات المصادقة التي تحدد كيفية تنفيذ المصادقة. اثنان من الشائعين هما:

OpenID Connect (OIDC) : طبقة هوية مبنية على OAuth 2.0 تضيف قدرات المصادقة. إنها حديثة نسبيًا وتستخدم على نطاق واسع في التطبيقات الجديدة.
لغة ترميز تأكيد الأمان (Security Assertion Markup Language, SAML) : بروتوكول لتبادل بيانات المصادقة والتفويض بين الأطراف. يُستخدم عادةً في البيئات المؤسسية.

يعتمد اختيار الإطار على حالة الاستخدام والمتطلبات الخاصة بك. بالنسبة للتطبيقات الجديدة، يوصى باستخدام OIDC نظرًا لتصميمه الحديث ودعمه لـ رمز الويب جيسون (JSON Web Token, JWT) .

ومع ذلك، فإن العمل مباشرة مع هذه البروتوكولات يمكن أن يكون معقدًا ويستغرق وقتًا طويلاً. كلا البروتوكولين لهما منحنيات تعلم حادة ويتطلبان تنفيذًا دقيقًا لضمان الأمان. بدلاً من ذلك، يمكن أن يؤدي استخدام مزود الهوية (Identity provider, IdP) الذي يدعم أو مبني على هذه البروتوكولات إلى تبسيط عملية المصادقة بشكل كبير. سيوفر مزود الهوية الجيد أيضًا ميزات إضافية مثل المصادقة متعددة العوامل (Multi-factor authentication, MFA) و تسجيل الدخول الموحد (SSO) لاحتياجاتك المستقبلية.

ما هي الفروقات بين AuthZ وAuthN؟

عند مناقشة AuthN، يأتي AuthZ بشكل طبيعي في المحادثة. تؤكد المصادقة (AuthN) على الهوية، مجيبة على “من أنت؟” من خلال بيانات الاعتماد مثل كلمات المرور أو البيومترية. تحدد التفويض (AuthZ) “ما الذي يمكنك فعله؟” من خلال منح أو رفض الوصول بناءً على الأدوار أو السياسات. تأتي AuthN أولاً للتحقق من الهوية، تليها AuthZ لإدارة الأذونات.

إليك مثال، عندما تقوم بتسجيل الدخول إلى حساب بريدك الإلكتروني باستخدام اسم المستخدم وكلمة المرور الخاصة بك، هذه هي المصادقة (AuthN) - إثبات من أنت. بمجرد تسجيل الدخول، يقرر النظام ما إذا كان يمكنك قراءة رسائلك الإلكترونية، أو إرسال الرسائل، أو الوصول إلى إعدادات المسؤول بناءً على دورك. هذا هو التفويض (AuthZ) - تحديد ما يُسمح لك بفعله.