تخطي إلى المحتوى
جرب الأمان السحابي من RSA مجانًا

ابدأ الإصدار التجريبي الخاص بك لID Plus الآن.

ابدأ الآن

أصبحت مفاتيح المرور شائعة بشكل متزايد بفضل خدمات المستهلكين مثل Google وApple وFacebook وMeta وغيرها. يزيد استخدام مفاتيح المرور من الأمان بشكل كبير مقارنةً بعمليات تسجيل الدخول التقليدية القائمة على كلمة المرور.

من الطبيعي أن تنتقل بعض الحلول الاستهلاكية إلى الاستخدام المهني - فكر في القدرة على إرسال ردود فعل الرموز التعبيرية إلى رسائل البريد الإلكتروني. ولكن لمجرد أن إنستغرام يتيح لي تسجيل الدخول باستخدام مفتاح مرور، فهل هذا يعني أن الشركات يجب أن تفعل ذلك؟

باختصار: هل مفاتيح المرور جاهزة للاستخدام المؤسسي؟

ما هو تحالف FIDO Alliance؟

إن تحالف FIDO تأسست في عام 2013 من قبل العديد من الشركات لتطوير معيار مصادقة من شأنه أن يكون بمثابة عامل ثانٍ؛ واليوم، يمكن أن يكون FIDO بمثابة طريقة مصادقة قوية بدون كلمة مرور.

منذ عام 2013، أصبحت FIDO واحدة من أكثر طرق تسجيل الدخول بدون كلمة مرور شيوعًا إلى حد كبير لأنها تفي بالاختصار الذي يشكل اسمها: فهي توفر هوية سريعة عبر الإنترنت. يركز تحالف FIDO Alliance بقوة على بيئة المستهلكين. ولا عجب في ذلك، حيث ينشط أكبر أعضائه في هذا المجال: Apple وGoogle وPayPal وMicrosoft. (RSA هي عضو في تحالف FIDO ويشارك في رئاسة مجموعة عمل النشر المؤسسي التابعة لها).

تستخدم بيانات اعتماد FIDO أزواج مفاتيح غير متماثلة للمصادقة على الخدمة. عندما يتم تسجيل بيانات اعتماد FIDO في إحدى الخدمات، يتم إنشاء زوج مفاتيح جديد على مصادقة FIDO، ثم تثق الخدمة بزوج المفاتيح هذا - وزوج المفاتيح هذا وحده. يرتبط زوج المفاتيح باسم المجال المحدد للخدمة.

إن هذا الاقتران الصارم بين الخدمة وبيانات اعتماد FIDO هو ما يخلق درجة عالية من مقاومة التصيد الاحتيالي: إذا حاول المستخدم تسجيل الدخول إلى موقع تصيد احتيالي زائف باستخدام مفتاح المرور الذي تم إنشاؤه للموقع الحقيقي، فسوف يفشل لأن النطاق المسمى لن يتطابق مع زوج المفاتيح.

ما هي مفاتيح المرور؟

في عام 2022، أطلقت آبل وجوجل ومايكروسوفت دعم نوع جديد من بيانات اعتماد FIDO، والتي أطلقوا عليها اسم مفتاح المرور. في عام 2023، اعتمد تحالف FIDO مصطلح "مفتاح المرور" لأي نوع من أنواع بيانات اعتماد FIDO، مما يؤدي إلى التباس محتمل في ما تعنيه المؤسسة بالضبط عندما تذكر "مفاتيح المرور".

وقد تم معالجة هذا الغموض المحتمل من قبل تحالف FIDO (انظر أدناه) ولكن قد يظل هذا الغموض موجودًا في المؤسسات. من المهم معالجة هذا الغموض، لأنه ليست كل مفاتيح المرور متساوية أو مناسبة للاستخدام المؤسسي.

أنواع مفاتيح المرور

يوجد الآن نوعان من مفاتيح المرور، على النحو الذي حدده تحالف FIDO: مرتبطة بالأجهزة ومتزامنة.

مفاتيح المرور المرتبطة بالجهاز مقابل مفاتيح المرور المتزامنة

تتم استضافة مفاتيح المرور المرتبطة بالأجهزة بشكل عام على أجهزة "مفتاح أمان" محددة. في مفتاح المرور المرتبط بجهاز، يتم إنشاء أزواج المفاتيح وتخزينها على جهاز واحد؛ وعلاوة على ذلك، فإن مادة المفتاح نفسها لا تغادر هذا الجهاز أبداً. يُعتبر هذا النوع من مفاتيح المرور أكثر أمانًا بشكل عام لأن المفتاح الخاص لا يغادر الجهاز أبدًا، مما يجعله مقاومًا للاستخراج أو الاختراق عن بُعد. ومع ذلك، هذا يعني أيضًا أنه في حالة فقدان الجهاز أو تلفه، سيحتاج المستخدم إلى إعادة تسجيل مفتاح المرور الخاص به على جهازه بمجرد استعادته أو إضافته إلى جهاز جديد إذا لزم الأمر. تُعد مفاتيح المرور المرتبطة بالأجهزة مفضلة بشكل خاص في البيئات عالية الأمان وحالات استخدام المؤسسات، وغالباً ما تستفيد من الأجهزة مثل مفاتيح الأمان أو وحدات المنصة الموثوقة (TPMs).

مفاتيح المرور المزامنة

باستخدام مفاتيح المرور المتزامنة، يتم حفظ مادة المفتاح عبر ما يسمى بنسيج المزامنة عن بُعد، ويمكن بعد ذلك استعادة مادة المفتاح على أي أجهزة أخرى يمتلكها نفس المستخدم. أنسجة المزامنة الرئيسية الحالية هي مايكروسوفت وجوجل وأبل. هذا يعني أنك إذا قمت بتسجيل هاتفك الأندرويد كمفتاح مرور، فستتوفر مادة المفتاح المقابلة على جميع أجهزة الأندرويد الأخرى بعد فترة وجيزة.

تُعد مفاتيح المرور المتزامنة - بالإضافة إلى دعم الخدمات المستخدمة على نطاق واسع مثل واتساب أو فيسبوك - السبب الرئيسي للزيادة الحادة في الاستخدام العام لمفاتيح المرور. من السهل معرفة السبب: يمكن لمستخدم واحد لديه الكثير من الحسابات والكثير من الأجهزة استخدام نفس مفتاح المرور المتزامن بين جميع هذه الحسابات.

كيف تعمل مفاتيح المرور؟

تحل مفاتيح المرور محل كلمات المرور التقليدية بأزواج مفاتيح التشفير، مما يوفر مصادقة قوية ومقاومة للتصيد الاحتيالي. عندما يقوم المستخدم بالتسجيل في إحدى الخدمات، تقوم أجهزته بإنشاء زوج مفاتيح خاص-عام فريد من نوعه. يبقى المفتاح الخاص مخزناً بشكل آمن على جهاز المستخدم بينما تتم مشاركة المفتاح العام مع الخدمة. أثناء تسجيل الدخول، يثبت الجهاز امتلاكه للمفتاح الخاص من خلال التوقيع على تحدٍ من الخدمة، ويتم التحقق من التوقيع باستخدام المفتاح العام المخزن. لا يتم نقل أي أسرار مشتركة، ولا يتم إنشاء كلمات مرور أو تخزينها، مما يقلل بشكل كبير من مخاطر سرقة بيانات الاعتماد أو هجمات إعادة التشغيل.

مفاتيح المرور مقابل كلمات المرور التقليدية

تعتمد كلمات المرور التقليدية على الأسرار المشتركة التي يمكن تخمينها أو سرقتها أو تصيدها، مما يجعلها نقطة دخول شائعة للمهاجمين. وغالبًا ما يُعاد استخدامها عبر الحسابات، ويتم تخزينها بشكل غير آمن، وتكون عرضة لهجمات القوة الغاشمة أو هجمات حشو بيانات الاعتماد.

تقضي مفاتيح المرور على هذه المخاطر من خلال استبدال كلمات المرور بتشفير المفتاح العام والخاص. لا يغادر المفتاح الخاص جهاز المستخدم أبداً، وتتم المصادقة عن طريق إثبات امتلاك هذا المفتاح - دون إرساله. هذا النهج يجعل معظم نواقل الهجوم الشائعة عفا عليها الزمن، بما في ذلك التصيد الاحتيالي وسرقة بيانات الاعتماد وإعادة استخدام كلمات المرور. بالنسبة للمؤسسات، توفر مفاتيح المرور قفزة إلى الأمام في المصادقة الآمنة، مع تقليل عبء إعادة تعيين كلمات المرور وتذاكر الدعم.

فوائد مفاتيح المرور
  • مقاومة التصيّد الاحتيالي: تم تصميم مفاتيح المرور لمنع هجمات التصيد الاحتيالي التقليدية. نظرًا لعدم وجود كلمة مرور، فلا يوجد شيء يمكن سرقته أو إعادة استخدامه.
  • سريع ومريح: غالباً ما يكون تسجيل الدخول باستخدام مفتاح مرور بسيطاً مثل استخدام القياسات الحيوية (مثل Face ID أو بصمة الإصبع)، مما يجعل التجربة أكثر سلاسة للمستخدمين.
  • تجربة المستخدم المألوفة: تشبه عمليات تسجيل الدخول بمفاتيح المرور أنماط المصادقة الشائعة على الهاتف المحمول، لذلك لا يوجد منحنى تعليمي يذكر.
  • أمان مطابقة النطاقات: توفر مفاتيح المرور طبقة إضافية من الحماية من خلال ضمان أن مادة المفتاح لا تعمل إلا مع نطاق الخدمة الأصلي فقط - وهي ميزة لا توفرها جميع طرق MFA.
  • معتمدة من الحكومة: في الولايات المتحدة، تُعد مقاومة التصيد الاحتيالي محركًا رئيسيًا وراء التفويضات الفيدرالية. الأمر التنفيذي 14028 يتطلب مصادقة بدون كلمة مرور ومقاومة للتصيد الاحتيالي لحماية البنية التحتية الحيوية.
التحديات مع مفاتيح المرور

على الرغم من أن مفاتيح المرور توفر مزايا هامة، إلا أنها تنطوي أيضاً على بعض التحديات والمشاكل الكبيرة.

  • تجربة المستخدم: تبدو مطالبات مفتاح المرور مثل طلبات إدخال مفتاح الأمان في منفذ USB أو إدخال رقم التعريف الشخصي، على سبيل المثال، مختلفة حسب نظام التشغيل والمتصفح. من المرجح أن تزيد هذه المطالبات من صعوبة تدريب المستخدمين وزيادة مكالمات الدعم.
  • الإلهاء عن الهجمات الأخرى: أي شخص يعتقد أن استخدام مفاتيح المرور يجعلهم فجأة محصنين ضد تجاوز MFA مثل هجمات الهندسة الاجتماعية فهو مخطئ جداً. مفاتيح المرور تساعد ضد نوع واحد من هجمات الهندسة الاجتماعية: التصيد الاحتيالي. لسوء الحظ، هناك متغيرات أخرى. فالهجمات على منتجعات MGM أو قصر سيزارز في لاس فيغاس كان لها عنصر هندسة اجتماعية: استغلال مكتب المساعدة للسماح للمهاجم بتسجيل مصادقة MFA بنفسه.
  • تحديات فقدان الجهاز أو الترقية: إذا فقد المستخدمون إمكانية الوصول إلى جهاز ما (ولم يقوموا بتمكين المزامنة أو النسخ الاحتياطي)، فقد يواجهون مشكلة في استعادة مفاتيح المرور الخاصة بهم - خاصة بالنسبة للمفاتيح المرتبطة بالجهاز.
  • دعم محدود في جميع الخدمات: في حين أن الاعتماد آخذ في الازدياد، لا تدعم جميع المواقع الإلكترونية أو أنظمة المؤسسات مفاتيح المرور حتى الآن، مما قد يحد من إمكانية استخدامها اليومي.
  • ارتباك المستخدم أو نقص الوعي: لا يزال مفهوم مفاتيح المرور جديدًا على العديد من المستخدمين، مما قد يؤدي إلى الارتباك بشأن الإعداد أو المزامنة أو ما يحدث بالفعل تحت الغطاء. يمكن أن تؤدي الاختلافات في المصطلحات (مفاتيح المرور ومفاتيح الأمان ومفاتيح FIDO) والمعايير المتطورة في جميع أنحاء الصناعة إلى زيادة هذا الارتباك ويجعل من الصعب على المستخدمين والمؤسسات فهم أفضل الممارسات بوضوح وتنفيذ مفاتيح المرور واعتمادها باستمرار. يمكن أن يؤدي ذلك أيضاً إلى حدوث أخطاء أثناء الإعداد والاستخدام، وزيادة مكالمات الدعم، والثغرات المحتملة في الأمان.
  • جاهزية البنية التحتية: قد يتطلب نشر مفاتيح المرور أن تقوم المؤسسات بإجراء تحديثات على منصات الهوية وسياسات إدارة الأجهزة وجهود التدريب، خاصة عند الابتعاد عن المصادقة القديمة. قد تجد المؤسسات أن الموارد القديمة أو المحلية قد لا تكون متوافقة مع مفاتيح المرور بسبب المصادقة على الويب فقط. في هذه الحالات، يجب على المؤسسات تحديث المصادقة الآلية (MFA) بقدرات بدون كلمة مرور يمكن أن تمتد عبر البيئات وتحافظ على البنية التحتية القديمة.
ضمان التوافق عبر المنصات المختلفة وأمان الأجهزة المحمولة

بالنظر إلى التحديات التي تطرحها مفاتيح المرور اليوم عندما يتعلق الأمر بتقديم سير عمل موحد عبر مختلف المتصفحات والأجهزة وأنظمة التشغيل، ما الذي يمكن أن تفعله الصناعة لضمان تجربة سلسة حقًا عبر المنصات؟ كيف يمكننا تحديد أفضل السبل لحل التناقضات التي قد تربك المستخدمين وتعيق اعتمادها على نطاق واسع؟ في RSA، تشارك قيادة تجربة المستخدم لدينا بنشاط في مجموعات عمل تحالف FIDO Alliance للدعوة إلى توفير تجارب مستخدم متسقة. ومن خلال المساهمة برؤانا، نهدف إلى المساعدة في صياغة المعايير التي تؤدي إلى تقليل التشتت وتقليل الاحتكاك والمزيد من التوحيد للمستخدمين النهائيين.

يعد التنقل جانباً آخر من جوانب إنشاء تجربة سلسة عبر البيئات. يتوقع مستخدمو القوى العاملة بشكل متزايد راحة سير العمل عبر الأجهزة المحمولة أولاً. إذا كان الوصول إلى موارد الشركة على الهاتف الذكي يبدو بديهيًا مثل فتح نفس الجهاز، فإن اعتماد أساليب المصادقة الجديدة - مثل مفاتيح المرور - يصبح أسهل بكثير. تساعد تجربة الهاتف المحمول الخالية من الاحتكاك على كسر مقاومة المستخدم، مما يقلل من منحنى التعلم ويجعل الانتقال بعيداً عن كلمات المرور أكثر سلاسة. من خلال تقديم واجهة مألوفة وشفافة بشأن الأذونات ومتسقة بغض النظر عن جهاز المستخدم أو النظام الأساسي، يمكن للمؤسسات تقليل الارتباك وتحسين الثقة. يعمل حل RSA FIDO للأجهزة المحمولة كمثال على كيفية تنفيذ مفتاح المرور بطريقة لا تعتمد على الجهاز.

مزامنة الأقمشة وثغرات الأمن السيبراني

يقولون أنه عندما يكون لديك مطرقة، يمكن أن يبدو كل شيء كمسمار. يمكن أن يؤدي تحويل حل - حتى لو كان حلاً رائعًا - كان مخصصًا في الأصل لاستخدام المستهلكين إلى تطبيق مؤسسي إلى مخاطر كبيرة.

أثناء قراءة هذا المقال، ربما انتابك شعور بالغثيان عند ذكر "نسيج المزامنة". حدسك كان على حق.

حقيقة أن مفاتيح المرور تظهر كما لو كانت سحرية على جميع الأجهزة التي يقوم المستخدم بتسجيل الدخول عليها عبر Apple أو Google هي علامة حمراء كبيرة في بيئة الشركات ويجب أن تثير بعض الأسئلة المهمة:

  • هل يجب أن يُسمح للمستخدمين باستخدام عدة أجهزة (ربما تستخدم أيضًا بشكل خاص) للمصادقة على الإطلاق؟ إذا كان الأمر كذلك ... فكم عددها؟
  • مفاتيح المرور المتزامنة تجعل استعادة مفتاح المرور "المفقود" ممكنًا من خلال عمليات استرداد الحساب، على سبيل المثال، جوجل أو أبل. هذا رائع... ولكن هل هذه العمليات آمنة بما يكفي بالنسبة لك؟
  • إن ميزة Apple التي تسمح للمستخدمين بمشاركة مفاتيح المرور مع الأصدقاء أو العائلة لطيفة جدًا... ولكن هل ينطبق هذا أيضًا على مفاتيح المرور المستخدمة لتسجيل الدخول إلى تطبيقات المؤسسات؟

عند استخدام مفاتيح المرور المتزامنة، يعتمد أمن شركتك فجأة على الأمن التقني والتنظيمي لشركة Apple وGoogle إلى حد كبير. بالتأكيد، هناك تبعية معينة على أي حال بسبب استخدام iOS وأندرويد-لكن مفاتيح المرور المتزامنة تزيد من هذه التبعية بشكل كبير.

هذه ليست ثغرة نظرية أيضاً. فقد ناقشت شركة Retool العام الماضي كيف استخدمتها جهات التهديد للوصول إلى أنظمتها: إعادة التجهيز كتب أن هذه الوظيفة تعني أنه "إذا تم اختراق حسابك على Google، فإن رموز MFA الخاصة بك الآن مخترقة."

هذه ليست نقطة ضعف نظرية أيضاً. ففي العام الماضي إعادة التجهيز ناقش كيف استخدمتها جهات التهديد للوصول إلى أنظمتها: كتب ريتول أن هذه الوظيفة تعني أنه "إذا تم اختراق حسابك على جوجل، فإن رموز MFA الخاصة بك أصبحت الآن مخترقة".

هل مفاتيح المرور جاهزة للاستخدام المؤسسي أم لا؟

لا يمكن الإجابة عما إذا كان ينبغي استخدام مفاتيح المرور في الشركة بطريقة عامة. فكل مؤسسة تختلف عن الأخرى ويجب أن توازن بين أولوياتها الأمنية والتشغيلية الفريدة من نوعها.

وعلاوة على ذلك، لا ينبغي أن يكون استخدام مفاتيح المرور من عدمه سؤالاً بنعم/لا. يجب استخدام إدخال مفاتيح المرور أو عمليات تسجيل الدخول بدون كلمة مرور بشكل عام لمراجعة عمليات المصادقة المتعددة المزايا بالكامل في المؤسسة بشكل أساسي. ما كان جيدًا بالنسبة لرموز OTP للأجهزة لمدة 15 عامًا ربما لم يعد صحيحًا تمامًا بالنسبة لمفاتيح المرور أو غيرها من أساليب المصادقة المتعددة المصادقة اليوم.

تعتقد RSA أنه يمكن نشر مفاتيح المرور للاستخدام المؤسسي إذا كانت تتماشى مع الاستراتيجية المؤسسية وإذا فكرت المؤسسات في إجاباتها على الأسئلة التالية. لقد رأينا مؤسسات تستخدم مفاتيح المرور بنجاح باستخدام RSA® آي دي بلس, نظامنا الشامل لإدارة الهوية والوصول (IAM) الذي يوفر مجموعة من الخيارات بدون كلمة مرور.

نظرًا لأننا مؤسسة تركز على الأمان أولاً ونستخدم مبادئ Secure by Design / Secure by Default، فإننا نمنع استخدام مفاتيح المرور المتزامنة افتراضيًا. تتوفر مفاتيح المرور المرتبطة بالجهاز فقط بشكل افتراضي في بيئات RSA لتوفير أقصى مستوى من الأمان خارج الصندوق، وبدون أي عمل إضافي من قبل المسؤولين.

الأسئلة التي يجب على المؤسسات طرحها قبل استخدام مفاتيح المرور

عند تقييم ما إذا كان سيتم إدخال مفاتيح المرور من عدمه، يجب على المؤسسات أن تسأل: كيف يتم تسجيل المصادقات لدينا؟ هل هناك عمليات تتعامل بأمان مع سيناريو "فقدت المصادقة"؟ ماذا عن تصنيف المستخدمين والتطبيقات والبيانات؟

مفاتيح المرور هي واحدة طريقة MFA من بين العديد. نعم، إن مقاومتها للتصيد الاحتيالي رائعة، ولكن هل يمكن للمستخدمين تسجيل الدخول بها على أجهزة الكمبيوتر المكتبية البعيدة الخاصة بهم؟

ولهذه الأسباب وغيرها الكثير، من المهم ألا يكون نظام المصادقة الآلية الخاص بك محدّثاً من الناحية التقنية فحسب، بل أن يدعم أيضاً مجموعة واسعة من أساليب المصادقة الآلية، مثل رموز الاستجابة السريعة، والقياسات الحيوية، وميزة OTP، والرسائل الفورية، ومفاتيح المرور.

من المهم أيضاً أن يتم تكييف العمليات المتعلقة بنظام المصادقة المالية MFA مع التهديدات الجديدة. ويتجاوز هذا الأمر نظام المصادقة المصغرة الفعلي: هل مكتب المساعدة الخاص بك آمن أيضاً من هجمات الهندسة الاجتماعية؟

إذا كانت مفاتيح المرور منطقية بالنسبة لك، فنحن نريد مساعدتك. اتصل بنا لمعرفة المزيد أو بدء نسخة تجريبية مجانية لمدة 45 يوماً من ID Plus.

قد تكون مهتمًا أيضًا ب...

طلب عرض توضيحي

احصل على عرض توضيحي