مصادقة إلكترونيةالمصادقة الإلكترونية هي عملية تأسيس الثقة في هُوية المستخدم التي يتم تقديمها إلكترونياً لنظام المعلومات. [1] المصادقة الرقمية أو المصادقة الإلكترونية يتم استخدام كلا المصطلحين بشكل مترادف عند الإشارة إلى عملية المصادقة التي تؤكد أو تصادق على هوية الشخص وعمله. عند استخدامها بالاقتران مع التوقيع الإلكتروني، يمكن أن تقدم دليلاً على ما إذا كان قد تم العبث بالبيانات المستلمة بعد توقيعها من قبل المرسل الأصلي. في الوقت الذي أصبحت فيه عمليات الاحتيال وسرقة الهوية متفشية، يمكن أن تكون المصادقة الإلكترونية وسيلة أكثر أماناً للتحقق من هوية الشخص عند إجراء المعاملات عبر الإنترنت. [2] هناك العديد من أساليب المصادقة الإلكترونية التي يمكن استخدامها لمصادقة هوية المستخدم التي تتراوح من كلمة مرور إلى مستويات أعلى من الأمان تستخدم المصادقة متعددة العوامل (MFA). [3] استنادًا إلى مستوى الأمان المستخدم، قد يحتاج المستخدم إلى إثبات هويته من خلال استخدام رموز الأمان أو الطعن في الأسئلة أو امتلاك شهادة من مرجع مصدق لجهة خارجية تشهد على هويته. [4] نظرة عامةقام المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) بتطوير نموذج مصادقة إلكتروني عام [5] يوفر إطاراً أساسياً حول كيفية إنجاز عملية المصادقة بغض النظر عن الولاية القضائية أو المنطقة الجغرافية. وفقًا لهذا النموذج، تبدأ عملية التسجيل بشخص يتقدم لمزود خدمة الاعتماد (CSP). يحتاج مزود خدمة الاعتماد(CSP) إلى إثبات هوية مقدم الطلب قبل متابعة المعاملة. بمجرد تأكيد هوية مقدم الطلب من قِبل CSP، حيث يتلقى حالة «المشترك»، ويتم منح المصادقة، مثل التوكن وبيانات الاعتماد، والتي قد تكون في شكل اسم المستخدم. يعتبر CSP مسؤولاً عن إدارة بيانات الاعتماد إلى جانب بيانات تسجيل المشترك طوال فترة الاعتماد. يتم تكليف المشترك مع الحفاظ على المصادقة. مثال على ذلك هو عندما يستخدم المستخدم عادة جهاز كمبيوتر معين للقيام بالخدمات المصرفية عبر الإنترنت. إذا حاول الوصول إلى حسابه البنكي من كمبيوتر آخر، فلن تكون المصادقة موجودًة. من أجل الوصول، سيحتاج المشترك إلى التحقق من هويته إلى CSP، والتي قد تكون في شكل الإجابة على سؤال التحدي بنجاح قبل أن يتم منحه حق الوصول. [4] التاريخكانت الحاجة إلى المصادقة سائدة عبر التاريخ. في العصور القديمة، كان الناس يتعرفون على بعضهم البعض من خلال التواصل البصري والمظهر الجسدي. كان السومريون في بلاد ما بين النهرين القديمة يستشهدون على موثوقية كتاباتهم باستخدام الأختام المزخرفة برموز التعريف. مع مرور الوقت أصبحت أكثر الطرق شيوعاً لتوفير المصادقة هي التوقيع بخط اليد. [2] عوامل المصادقةهناك ثلاثة عوامل مقبولة بشكل عام تستخدم لإنشاء هوية رقمية للمصادقة الإلكترونية، بما في ذلك:
من بين العوامل الثلاثة، فإن عامل المقياس الحيوي هو الأكثر ملاءمةً وإقناعاً لإثبات هُوِية الفرد. ومع ذلك، فإن الاضطرار إلى الاعتماد على هذا العامل الوحيد يمكن أن يكون مُكْلِفاً. على الرغم من وجود نقاط ضعف فريدة خاصة بهذه العوامل، إلا أن الجمع بين عاملين أو أكثر يؤدي إلى المصادقة الموثوقة. يوصى دائماً باستخدام مصادقة متعددة العوامل لهذا السبب. [2] أساليبغالبًا ما يتم تصنيف أنظمة المصادقة حسب عدد العوامل التي تتضمنها. العوامل الثلاثة التي غالباً ما تُعتبر حجر الزاوية للمصادقة هي: شيء تعرفه (على سبيل المثال، كلمة مرور) شيء لديك (على سبيل المثال، شارة معرف أو مفتاح تشفير) شيء يمثلك (على سبيل المثال، طباعة صوتية، طباعة إبهام أو الوسائل البيومترية الأخرى) المصادقة متعددة العوامل بشكل عام أكثر أمانًا من المصادقة أحادية العامل. ولكن، لا تزال بعض أساليب المصادقة متعددة العوامل عرضة لحالات مثل هجمات طروادة. [6] الأساليب الشائعة المستخدمة في أنظمة المصادقة ملخصة أدناه. توكنالتوكن بشكل عام هو شيء يمتلكه المُطالِب وضوابط يمكن استخدامها للتحقق من هوية المطالب. في المصادقة الإلكترونية، يصادق المطالب على نظام أو تطبيق عبر الشبكة. لذلك، يعتبر التوكن المستخدم للمصادقة الإلكترونية سرياً ويجب حمايته. قد يكون التوكن، على سبيل المثال، مفتاح تشفير محمي بواسطة تشفيره بكلمة مرور. يجب على المحتال سرقة المفتاح المشفر ومعرفة كلمة المرور لاستخدام التوكن. كلمات المرور والمصادقة المستندة إلى PINيتم تصنيف كلمات المرور وأرقام التعريف الشخصية كأسلوب «شيء تعرفه». تعتبر مجموعة من الأرقام والرموز والأحرف المختلطة أقوى من كلمة المرور ذات الأحرف فقط. وأيضاً، فإن اعتماد ميزات Transport Layer Security (TLS) أو Secure Socket Layer (SSL) أثناء عملية نقل المعلومات سيؤدي أيضًا إلى إنشاء قناة مشفرة لتبادل البيانات ولحماية المعلومات المقدمة. حالياً، تستهدف معظم هجمات الأمان على أنظمة المصادقة المستندة إلى كلمة المرور. [7] مصادقة المفتاح العام(بالإنجليزية: Public-key authentication) يحتوي هذا النوع من المصادقة على جزأين. أحدهما مفتاح عام والآخر مفتاح خاص. يتم إصدار المفتاح العام من قبل سلطة إصدار الشهادات وهو متاح لأي مستخدم أو خادم. أما المفتاح الخاص فيُعرَف من قبل المستخدم فقط. [8] مصادقة المفتاح المتماثل(بالإنجليزية: Symmetric-key authentication) يشارك المستخدم مفتاحًا فريدًا مع خادم المصادقة. عندما يرسل المستخدم رسالة تم إنشاؤها بشكل عشوائي (رسالة التحدي) مشفرة بواسطة المفتاح السري إلى خادم المصادقة، إذا كان يمكن مطابقة الرسالة من قبل الخادم باستخدام مفتاحه السري المشترك، تتم مصادقة المستخدم. عند تنفيذها مع مصادقة كلمة المرور، توفر هذه الطريقة أيضًا حلاً ممكنًا لأنظمة المصادقة ثنائية العامل. [9] المصادقة المستندة إلى SMSيتلقى المستخدم كلمة المرور عن طريق قراءة الرسالة في الهاتف الخلوي، ويعيد كتابة كلمة المرور لإكمال المصادقة. خدمة الرسائل القصيرة (SMS) فعالة للغاية عندما يتم اعتماد الهواتف المحمولة بشكل شائع. تعتبر الرسائل القصيرة مناسبة أيضًا لهجمات man-in-the-middle (MITM) ، نظرًا لأن استخدام الرسائل القصيرة لا يشمل الإنترنت. [10] المصادقة البيومترية(بالإنجليزية: Biometric authentication) المصادقة البيومترية هي استخدام السمات الفيزيائية الفريدة وقياسات الجسم كوسيط لتحسين التعرف والتحكم في الوصول. تشمل الخصائص الفيزيائية التي تُستخدم غالبًا للمصادقة البصمات والتعرف على الصوت والوجه والتعرف على المسح الضوئي لأن هذه كلها فريدة لكل فرد على حدة. تقليديا، المصادقة البيومترية القائمة على أنظمة التعرف على رمز، مثل جواز السفر، ويصبح في الوقت الحاضر واحدة من أكثر أنظمة تحديد آمنة لحماية المستخدم. ابتكار تكنولوجي جديد يوفر مجموعة واسعة من الخصائص السلوكية أو الفيزيائية التي تحدد المفهوم الصحيح لمصادقة البيومترية. [11] مصادقة الهوية الرقميةتشير مصادقة الهوية الرقمية إلى الاستخدام المشترك للجهاز والسلوك والموقع والبيانات الأخرى، بما في ذلك عنوان البريد الإلكتروني ومعلومات الحساب وبطاقة الائتمان، لمصادقة المستخدمين عبر الإنترنت في الوقت الفعلي. أوراق الاعتماد الإلكترونيةأوراق الاعتماد الورقية هي المستندات التي تشهد على الهوية أو السمات الأخرى لفرد أو كيان يسمى موضوع بيانات الاعتماد. بعض أوراق الاعتماد الشائعة تشمل جوازات السفر وشهادات الميلاد وتراخيص القيادة وبطاقات هوية الموظف. يتم التصديق على أوراق الاعتماد نفسها بطرق متنوعة: تقليديا ربما عن طريق توقيع أو ختم، وأوراق وأحبار خاصة، ونقش عالي الجودة، واليوم من خلال آليات أكثر تعقيدًا، مثل الصور المجسمة، التي تجعل بيانات الاعتماد قابلة للتمييز ويصعب نسخها أو تشكيل. في بعض الحالات، يكون الحيازة البسيطة لبيانات الاعتماد كافية لإثبات أن المالك الفعلي لوثائق التفويض هو بالفعل موضوع أوراق الاعتماد. بشكل أكثر شيوعًا، تحتوي بيانات الاعتماد على معلومات بيومترية مثل وصف الموضوع أو صورة للموضوع أو التوقيع المكتوب بخط اليد للموضوع الذي يمكن استخدامه للتحقق من أن حامل بيانات الاعتماد هو بالفعل موضوع بيانات الاعتماد. عندما يتم تقديم أوراق الاعتماد هذه شخصيًا، يمكن التحقق من القياسات الحيوية للمصادقة الموجودة في أوراق الاعتماد هذه للتأكد من أن المالك الفعلي لبيانات الاعتماد هو الموضوع. المحققينفي أي معاملة مصادق عليها عبر الإنترنت، المدقق هو الطرف الذي يتحقق من أن المدعي لديه ملكية وسيطرة الرمز الذي يتحقق من هويته. يقوم المدعي بتوثيق هويته أو معرفتها لأحد المدققين باستخدام توكن وبروتوكول المصادقة. وهذا ما يسمى إثبات الملكية (PoP). تم تصميم العديد من بروتوكولات PoP بحيث لا يتعلم المدقق بدون معرفة الرمز المميز قبل تشغيل بروتوكول المصادقة أي شيء عن الرمز المميز من التشغيل. قد يكون المدقق و CSP هو نفس الكيان، وقد يكون المدقق والطرف المعتمد هو نفس الكيان أو قد يكون الثلاثة كيانات منفصلة. من غير المرغوب فيه أن يتعلم المدققون الأسرار المشتركة إلا إذا كانوا جزءاً من نفس الكيان مثل CSP الذي سجل الرموز. عندما يكون المدقق والطرف المعول كيانين منفصلين، يجب أن ينقل المدقق نتيجة بروتوكول المصادقة إلى الطرف المعتمد. الكائن الذي أنشأه المدقق لنقل هذه النتيجة يسمى توكيد. [12] مخططات المصادقةهناك أربعة أنواع من خطط المصادقة: المصادقة المحلية، المصادقة المركزية، المصادقة المركزية العالمية، المصادقة العالمية وتطبيق الويب (البورتال). عند استخدام نظام مصادقة محلي، يحتفظ التطبيق بالبيانات المتعلقة بأوراق اعتماد المستخدم. لا يتم مشاركة هذه المعلومات عادةً مع التطبيقات الأخرى. يقع على عاتق المستخدم للحفاظ على وتذكر أنواع وعدد أوراق الاعتماد المرتبطة بالخدمة التي يحتاجون إلى الوصول إليها. يعد هذا نظامًا عالي المخاطر نظرًا لاحتمال تعرض مساحة التخزين لكلمات المرور للخطر. المصادقة والتوقيع الرقميفي كثير من الأحيان، يتم تطبيق المصادقة والتوقيع الرقمي بالتزامن. في التوقيعات الإلكترونية المتقدمة، يقوم الموقع بالتوثيق والمصادقة بشكل فريد على التوقيع. في حالة التوقيع الإلكتروني المؤهل كما هو محدد في لائحة eIDAS ، يتم اعتماد هوية الموقّع من قِبل مزود خدمة ثقة مؤهل. إن ربط التوقيع والمصادقة يدعم أولاً القيمة الإثباتية للتوقيع - يشار إليها عادةً باسم عدم التنصل من الأصل. تسمى حماية الرسالة على مستوى الشبكة بعدم التنصل من الانبعاثات. يرتبط المرسل المصادق عليه ومحتوى الرسالة ببعضهما البعض. إذا حاول طرف ثالث تغيير محتوى الرسالة، فإن التوقيع يفقد صلاحيته. [13] تقييم المخاطرعند تطوير الأنظمة الإلكترونية، هناك بعض معايير الصناعة التي تتطلب من وكالات الولايات المتحدة ضمان أن توفر المعاملات مستوى مناسبًا من الأمان. بشكل عام، تعتمد الخوادم دليل المصادقة الإلكترونية لمكتب الإدارة والميزانية التابع للولايات المتحدة (OMB's) للوكالات الفيدرالية (M-04-04) كدليل، يتم نشره لمساعدة الوكالات الفيدرالية على توفير خدمات إلكترونية آمنة تحمي الخصوصية الفردية. يطلب من الوكالات التحقق مما إذا كانت معاملاتها تتطلب المصادقة الإلكترونية، وتحديد مستوى مناسب من الضمان. [14] أنشأت أربعة مستويات من الضمان: [15] مستوى الضمان 1: ثقة ضئيلة أو معدومة في صحة الهوية المؤكدة. ضمان المستوى 2: بعض الثقة في صحة الهوية المؤكدة. مستوى الضمان 3: ثقة عالية في صحة الهوية المؤكدة. مستوى الضمان 4: ثقة عالية جدًا في صحة الهوية المؤكدة. تحديد مستويات الضمانيقترح OMB عملية من خمس خطوات لتحديد مستوى الضمان المناسب لتطبيقاتهم:
يتم تقييم المستوى المطلوب من تأكيد المصادقة من خلال العوامل التالية:
المبادئ التوجيهية واللوائحبسبب نمو الحلول السحابية الجديدة والمعاملات عبر الإنترنت، تلعب الهويات من شخص لآخر ومن آلة إلى أخرى دورًا مهمًا في تحديد الأفراد والوصول إلى المعلومات. وفقًا لمكتب الإدارة والميزانية في الولايات المتحدة، تم إنفاق أكثر من 70 مليون دولار على حلول إدارة الهوية في عامي 2013 و 2014. [17] الولايات المتحدةتعد المصادقة الإلكترونية جزءًا أساسياً من جهود حكومة الولايات المتحدة لتوسيع الحكومة الإلكترونية، كوسيلة لجعل الحكومة أكثر فاعلية وكفاءة وأسهل في الوصول إليها. تتيح خدمة المصادقة الإلكترونية للمستخدمين الوصول إلى الخدمات الحكومية عبر الإنترنت باستخدام معرفات تسجيل الدخول (بيانات اعتماد الهوية) من مواقع الويب التي يثق بها كل من المستخدم والحكومة. المصادقة الإلكترونية هي عبارة عن شراكة على مستوى الحكومة تدعمها الوكالات التي تتألف من المجلس الفيدرالي لمديري المعلومات. إدارة الخدمات العامة بالولايات المتحدة (GSA) هي الشريك الرئيسي للوكالة. تعمل المصادقة الإلكترونية من خلال الارتباط بمصدر بيانات اعتماد موثوق، مما يجعل من الضروري للمستخدم تسجيل الدخول إلى موقع المُصدر للحصول على بيانات اعتماد المصادقة. يتم بعد ذلك نقل بيانات الاعتماد أو معرّف المصادقة الإلكترونية إلى موقع الويب الحكومي الداعم الذي يسبب المصادقة. تم إنشاء النظام استجابةً لمذكرة صدرت في 16 ديسمبر 2003 من خلال مكتب الإدارة والميزانية. مذكرة M04-04 البيت الأبيض. [16] أوروبافي أوروبا ، توفر eIDAS إرشادات لاستخدامها في المصادقة الإلكترونية فيما يتعلق بالتوقيعات الإلكترونية وخدمات الشهادات لمصادقة الموقع. بمجرد تأكيد الدولة العضو المصدرة، يتعين على الدول المشاركة الأخرى قبول التوقيع الإلكتروني للمستخدم كصحيح للمعاملات عبر الحدود. بموجب eIDAS ، يشير التعريف الإلكتروني إلى وحدة مادة / غير مادية تحتوي على بيانات تعريف شخصية ليتم استخدامها للمصادقة على خدمة عبر الإنترنت. يشار إلى المصادقة كعملية إلكترونية تسمح بالتعرف الإلكتروني للشخص الطبيعي أو الاعتباري. خدمة الثقة هي خدمة إلكترونية تُستخدم لإنشاء التواقيع الإلكترونية والتحقق منها والتحقق من صحتها، بالإضافة إلى إنشاء شهادات للتحقق من موقع الويب والتحقق منها والتحقق من صحتها. تسمح المادة 8 من eIDAS بآلية المصادقة التي يستخدمها شخص طبيعي أو اعتباري لاستخدام طرق تحديد الهوية الإلكترونية في تأكيد هويتهم لطرف معوّل. يوفر الملحق الرابع متطلبات الشهادات المؤهلة لمصادقة الموقع. [18] [19] روسياتعد المصادقة الإلكترونية جزءاً أساسياً من جهود الحكومة الروسية لتوسيع نطاق الحكومة الإلكترونية، كطريقة لجعل الحكومة أكثر فاعلية وكفاءة وأسهل للوصول إلى الشعب الروسي. تتيح خدمة المصادقة الإلكترونية [20] للمستخدمين الوصول إلى الخدمات الحكومية عبر الإنترنت باستخدام معرفات تسجيل الدخول (بيانات اعتماد الهوية) لديهم بالفعل من مواقع الويب التي يثقون بها والحكومة. تطبيقات أخرىبصرف النظر عن الخدمات الحكومية، تستخدم المصادقة الإلكترونية على نطاق واسع في التكنولوجيا والصناعات الأخرى. تجمع هذه التطبيقات الجديدة بين ميزات ترخيص الهويات في قاعدة البيانات التقليدية والتكنولوجيا الجديدة لتوفير استخدام أكثر أمانًا وتنوعًا للمصادقة الإلكترونية. بعض الأمثلة موصوفة أدناه. مصادقة المحمولمصادقة المحمول هي التحقق من هوية المستخدم من خلال استخدام جهاز محمول. يمكن التعامل معها كحقل مستقل أو يمكن تطبيقها مع أنظمة المصادقة متعددة العوامل الأخرى في مجال المصادقة الإلكترونية. [21] للمصادقة على الأجهزة المحمولة، هناك خمسة مستويات من حساسية التطبيق من المستوى 0 إلى المستوى 4. المستوى 0 هو للاستخدام العام عبر جهاز محمول ولا يتطلب أي مصادقة هوية، بينما يحتوي المستوى 4 على أكثر الإجراءات المتعددة لتحديد المستخدمين. [22] بالنسبة لأي من المستويين، من السهل نسبيا معالجة المصادقة على الأجهزة المحمولة. أولاً، يقوم المستخدمون بإرسال كلمة مرور لمرة واحدة (OTP) عبر القنوات غير المتصلة بالإنترنت. بعد ذلك، يقوم الخادم بتعريف المعلومات وإجراء الضبط في قاعدة البيانات. نظرًا لأن المستخدم هو الوحيد الذي لديه حق الوصول إلى رمز PIN ويمكنه إرسال المعلومات عبر أجهزته المحمولة، فهناك خطر منخفض للهجمات. [23] مصادقة التجارة الإلكترونيةفي وقت مبكرمن ثمانينات القرن العشرين، تم تنفيذ التبادل الإلكتروني للبيانات (EDI) للأنظمة، والذي كان يعتبر ممثلا في وقت مبكر من التجارة الإلكترونية. لكن ضمان أمنها ليس مشكلة كبيرة لأن الأنظمة كلها مبنية على شبكات مغلقة. ومع ذلك، في الآونة الأخيرة، تحولت المعاملات التجارية للمستهلك. فرضت أطراف المعاملات عن بُعد تطبيق أنظمة مصادقة التجارة الإلكترونية. [24] بشكل عام، فإن النهج المعتمد في مصادقة التجارة الإلكترونية هو في الأساس نفس المصادقة الإلكترونية. الفرق هو أن مصادقة التجارة الإلكترونية هي مجال أكثر ضيقًا يركز على المعاملات بين العملاء والموردين. يتضمن مثال بسيط لمصادقة التجارة الإلكترونية عميلًا يتصل بخادم تاجر عبر الإنترنت. عادةً ما يستخدم خادم التاجر خادم الويب لقبول طلبات العملاء ونظام إدارة قاعدة البيانات لإدارة البيانات وبوابة الدفع لتوفير خدمات الدفع عبر الإنترنت. [25] وجهات نظرلمواكبة تطور الخدمات في العالم الرقمي، هناك حاجة مستمرة لآليات الأمان. على الرغم من استمرار استخدام كلمات المرور، من المهم الاعتماد على آليات المصادقة، وأهمها المصادقة متعددة العوامل. مع استمرار استخدام التوقيعات الإلكترونية في التوسع بشكل كبير في جميع أنحاء الولايات المتحدة والاتحاد الأوروبي وفي جميع أنحاء العالم، هناك توقعات بأن اللوائح مثل eIDAS سيتم تعديلها في النهاية لتعكس الظروف المتغيرة جنبًا إلى جنب مع اللوائح في الولايات المتحدة. [26] المراجع
روابط خارجية
|