التحقق من الهوية وأهميته
في السنوات الأخيرة ، زاد اهتمام المؤسسات والمنظمات في الجوانب الأمنية لشبكاتها وأنظمتها. ومن بين هذه الجوانب: التحقق من كون الشخص الذي يطلب التصريح بالدخول إلى النظام بأنه هو بالفعل الشخص الذي يدعي أنه هو. هذه العملية تسمى "التحقق" (أو التحقق من الهوية) Authentication. التحقق يتم غالباً باستخدام كلمة مرور يعرفها المستخدم المصرح له الدخول (ويفترض أن يكون هو الوحيد الذي يعرفها فقط !). فأصبحت بعض المؤسسات تضع بعض السياسات لموظفيها ، بحيث تجبرهم على استخدام كلمات مرور قوية ، وأن يتم تغييرها باستمرار. لكن ، ومع ذلك ، فإن الاعتماد على كلمات المرور فقط في عملية التحقق يُعد أمراً غير كاف.
التحقق باستخدام كلمات المرور فقط ، وعيوبه
بحسب أحد البحوث المنشورة ، وُجد أنه يمكن تخمين عدد كبير من كلمات المرور التي تستخدم في عملية التحقق ، وذلك في فترة زمنية أقل من 5 دقائق !
دائماً توصي المنظمات والبنوك والمتاجر على الانترنت بأن يختار المستخدمون كلمات مرور مناسبة ، بحيث تكون سهلة التذكر بالنسبة للمستخدم ، وبنفس الوقت صعبة على أي شخص آخر أن يخمنها. لكن الواقع أن العكس صحيح في حالات كثيرة. فقليل من المستخدمين يستطيع أن يتذكر بسهولة كلمات المرور الخاصة به (وما أكثرها في الوقت الحالي). وفي المقابل نجد أن المخترقين وباستخدام برامج متطورة ، يستطيعون الوصول إلى عدد كبير من كلمات المرور خلال وقت قصير جداً.
من عيوب استخدام كلمات المرور كحل وحيد لعملية التحقق أنها يمكن أن يتم التعرف عليها ، ومن ثم انتحال شخصية صاحبها والدخول على النظام. إن التعرف على كلمات المرور من الممكن أن يحدث باستخدام طرق كثيرة ، نذكر منها :
• عندما يكتب المستخدم كلمة المرور الخاصة به ، قد يستطيع أحدٌ ما مشاهدته ، وبالتالي التعرف على كلمة المرور.
• توجد برامج لمراقبة وتسجيل ضغطات لوحة المفاتيح keystroke monitoring ، قد يكون أحد هذه البرامج الخبيثة (والتي تسمى key loggers) موجوداً في الجهاز الذي يحاول المستخدم الدخول إلى النظام من خلاله، وبالتالي يمكن معرفة كلمة المرور التي قام المستخدم بكتابتها.
• خداع المستخدم عن طريق الهندسة الاجتماعية social engineering ، والحصول على كلمة المرور منه. كمثال لهذه الطريقة ممكن أن يقوم شخص بالتحدث إلى المستخدم عن طريق الهاتف وإيهامه بأن المتحدث هو مسئول في قسم خدمات المستفيدين. ويطلب الحصول على كلمة المرور الخاصة به لكي يقوم بإصلاح مشكلة في النظام ، فيصدق المستخدم هذا الحديث ويثق بالمتصل ويعطيه كلمة المرور !
• يمكن التعرف على كلمة المرور عن طريق مراقبة الشبكة network monitoring ، حيث توجد برامج تقوم بالتقاط حزم البيانات التي ترسل من خلال الشبكة. وتسمى هذه العملية sniffing.
• باستخدام برامج متطورة ، يمكن التعرف على كلمات المرور الضعيفة وذلك باستخدام برامج تقوم بتجريب عدد هائل من كلمات المرور خلال فترة زمنية قصيرة جداً. كلمات المرور يتم توليدها آلياً (بطريقة تسمى brute force ) ، أو استيرادها من قواميس dictionaries تشمل عدد كبير من الكلمات الدارج استخدامها ككلمات مرور.
• هنالك أشخاص في المنظمة يستطيعون الحصول على جميع كلمات المرور الخاصة بالموظفين وذلك في تطبيقات معينة داخل المنظمة. هؤلاء الأشخاص هم المسئولون في قسم تقنية المعلومات! وبالتالي هم قادرون على إساءة استخدام هذه الصلاحية للحصول على كلمة مرور موظف معين.
• قد يكون المستخدم يستعمل نفس كلمة المرور في العديد من الحسابات الخاصة به (مثلاً : حسابات البريد الالكتروني ، الدخول على نظام التشغيل ، ... الخ ). وبالتالي فإن التعرف على كلمة المرور لحساب واحد للمستخدم قد يؤدي إلى التعرف على كلمة المرور لجميع حساباته الأخرى!
من هنا ، نلحظ قصور استخدام كلمات المرور كحل وحيد لعملية التحقق. وهذا ما يدفع الشركات والمنظمات إلى البحث عن طريقة أفضل من الاعتماد فقط على كلمات المرور.
التحقق المبني على عاملين أو مصدرين
في التحقق المبني على عاملين ، يتم الاعتماد على عاملين اثنين للتعرف على المستخدم المصرح له الدخول إلى النظام ، هذان العاملان يكونان من بين هذه العوامل :
• شيء يعرفه المستخدم something he knows (مثل كلمة المرور).
• شيء يملكه المستخدم something he has (مثل البطاقة).
• الصفات أو الخواص الخلقية للمستخدم something he is (مثل بصمات الأصابع).
غالباً يتم استخدام العامل الأول ، شيء يعرفه المستخدم ، بالإضافة إلى عامل آخر. العامل الآخر غالباً ما يكون محمولاً mobile ، فيحمله المستخدم معه ويستعمله في أي مكان كوسيلة توثيق.
إن استخدام شيئين يعرفهما المستخدم مثل مستويين من كلمات المرور ( "شيء يعرفه المستخدم" و "شيء يعرفه المستخدم" ) لا يعد توثيقاً مبني على عاملين.
مثال على التحقق المبني على عاملين
التحقق المبني على عاملين يُستخدم في آلات الصرف الآلي الخاصة بالبنوك Automatic Teller Machine ATM. فحتى يستطيع عميل البنك أن ينفذ عملية معينة transaction عن طريق آلة الصرف الآلي ATM ، يجب أولاً أن يثبت أنه فعلاً عميل للبنك. هذا الإثبات ، أو التحقق ، يتم باستخدام عاملين هما : ما يمتلكه العميل ( بطاقة الصرف الآلي ATM card ) ، وما يعرفه العميل ( الرقم السري للبطاقة ) . فإذا عرف أحدٌ ما الرقم السري للبطاقة ، فإنه لا يستطيع تنفيذ أي عملية باستخدام هذا الرقم فقط. وإذا سُرقت البطاقة من العميل ، فإنها تكون غير مفيدة بدون الرقم السري الخاص بها.
فوائد التحقق المبني على عاملين
• التخلص من المشاكل والعيوب الموجودة في التحقق المبني على عامل واحد فقط.
• التقليل من إمكانية الاحتيال أو الدخول غير المصرح للنظام.
• حماية المستخدمين من مخاطر Phishing (وهي عمل صفحة انترنت مشابهة لموقع حقيقي يدخله المستخدمون ، ومحاولة خداع المستخدمين للحصول على كلمة المرور الخاصة بهم لهذا الموقع).
• صعوبة إنكار قيام المستخدمين أنفسهم بعملية معينة داخل النظام بعد دخولهم إليه. (في حالة الاعتماد فقط على كلمة المرور ، قد يدعي المستخدم أنه لم يقم بهذه العملية وأن أحداً قد تمكن من معرفة كلمة المرور ودخل إلى النظام ونفذ العملية!).
خيارات التحقق المبني على عاملين
• أجهزة توليد كلمات سرية Password Generation Tokens
هذه الأجهزة يحملها المستخدم معه وهي تقوم بتوليد كلمات سرية جديدة (غير مكررة) كل مرة يتم استخدامها. غالباً يتم توليد كلمة سرية جديدة كل 30-60 ثانية. الكلمة السرية يتم توليدها بواسطة خوارزمية خاصة تعتمد على الوقت وعلى رقم خاص بالمستخدم. لكي يتم السماح للمستخدم بالدخول إلى النظام يجب أن يقوم بكتابة الكلمة السرية الخاصة به ، والكلمة السرية التي تم توليدها بواسطة هذا الجهاز.
ويعتبر جهاز RSA SecurID وهو من شركة RSA (وهي الشركة الرائدة في مجال التحقق المبني على عاملين) أشهر مثال لهذا النوع من الأجهزة.
• القياسات أو الخواص الحيوية Biometrics
في هذه الطريقة ، يتم استخدام عامل "الصفات أو الخواص الخلقية للمستخدم" "something he is" . وهي تعتمد على قياسات أو خواص بدنية تدل على الشخص. مثل بصمة اليد ، قزحية العين ، شبكية العين ، شكل اليد ، التعرف على الصوت ، التعرف على الوجه. هذه الطريقة تتطلب وجود جهاز قارئ (مثل قارئ بصمة اليد ، أو جهاز التعرف على قزحية العين) . وبالإضافة إلى ذلك ، يجب كتابة كلمة المرور الخاصة بالمستخدم كعامل ثان للتحقق.
• البطاقات أو الأجهزة الذكية Smart cards or tokens
هي أجهزة تحتوي ذاكرة صغيرة ، وشريحة معالجة processing chip . وكمثال عليها بطاقات الصرف الآلي ATM card . طبعاً لاستخدامها لابد من وجود جهاز قارئ للبطاقات card reader. الأجهزة الذكية smart tokens لا تحتاج لقارئ ، إذ إنها تستخدم منفذ الناقل التسلسلي العام Universal Serial Bus USB ، وهو موجود في أغلب أجهزة الحاسوب.
شركات تقدم حلول للتوثيق المبني على عاملين :
RSA Security Inc
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]SafeWord Secure Computing Corp
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]ActivCard
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]Vasco Data Security
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]Rainbow Technologies
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]Authenex Inc
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] الخاتمة :
لقد بدأت المنظمات والشركات في الاهتمام بمبدأ "التحقق المبني على عاملين" ، فهاهي شركة مايكروسوفت تتعاون مع شركة RSA والتي تقدم حلول في هذا المجال. ومع تعدد الخيارات ، وزيادة المنتجين لأجهزة التحقق المبني على عاملين ، والوعي المتنامي لدى المنظمات بأهميته ، يبدو المستقبل واعداً لانتشار هذه الطريقة في التحقق من هوية المستخدمين. ومع ذلك ، فربما يظل الاعتماد على عامل واحد (كلمات المرور فقط) مستخدماً في أنظمة كثيرة ولدى منظمات متعددة. فالبعض يعتقد أن كلمات المرور لا تزال فعالة في كثير من التطبيقات ، دون الحاجة إلى صرف مبالغ إضافية على أجهزة التحقق المبني على عاملين.
المزاج
