وصف أساليب المصادقة
المصادقة هي عملية التحقق من هوية الشخص قبل منح الوصول إلى مورد أو تطبيق أو خدمة أو جهاز أو شبكة. هكذا يتأكد النظام من أن المستخدمين هم كما يدعون أنهم عندما يحاولون تسجيل الدخول. يدعم Microsoft Entra ID مجموعة واسعة من طرق المصادقة التي توازن بين الأمان وسهولة الاستخدام واحتياجات النشر.
كلمات السر
كلمات المرور هي الشكل الأكثر شيوعا للمصادقة، لكنها تواجه العديد من المشاكل، خاصة عند استخدامها كوسيلة وحيدة للمصادقة. إذا كان من السهل تذكرها بما يكفي، فمن السهل على المتسلل تقديم تنازلات. يصعب تذكر كلمات المرور القوية التي لا يمكن اختراقها بسهولة وتؤثر على إنتاجية المستخدم عند نسيانها. يجب أن يتم تعزيز أو استبدال استخدام كلمات المرور بطرق مصادقة أكثر أمانا متوفرة في Microsoft Entra ID.
هاتف
يدعم معرف Microsoft Entra خيارين للمصادقة المستندة إلى الهاتف. توصي مايكروسوفت المستخدمين بالابتعاد عن استخدام الرسائل النصية أو المكالمات الصوتية للمصادقة متعددة العوامل لصالح طرق أكثر حداثة مثل Microsoft Authenticator أو مفاتيح المرور.
المصادقة المستندة إلى الرسائل القصيرة (SMS). يمكن استخدام خدمة الرسائل القصيرة (SMS) المستخدمة في الرسائل النصية للأجهزة المحمولة كشكل أساسي من أشكال المصادقة. مع تسجيل الدخول عبر الرسائل النصية، يدخل المستخدمون رقم هاتفهم المحمول المسجل، ويتلقون رسالة نصية تحتوي على رمز تحقق، ويدخلون هذا الرمز في واجهة تسجيل الدخول. يمكن أن تعمل الرسائل النصية أيضا كشكل ثانوي من المصادقة أثناء إعادة تعيين كلمة المرور ذاتية الخدمة (SSPR) أو المصادقة متعددة العوامل عبر Microsoft Entra.
التحقق عن طريق المكالمات الصوتية. يمكن للمستخدمين استخدام المكالمات الصوتية كشكل ثانوي من المصادقة للتحقق من هويتهم أثناء SSPR أو مصادقة Microsoft Entra متعددة العوامل. يتم إجراء مكالمة صوتية آلية إلى رقم الهاتف المسجل من قبل المستخدم، ويطلب من المستخدم الضغط على # على لوحة المفاتيح لإكمال عملية تسجيل الدخول. المكالمات الصوتية غير مدعومة كشكل أساسي من أشكال المصادقة في Microsoft Entra ID.
OATH
تُعد OATH (المصادقة المفتوحة) معيارًا مفتوحًا يحدد كيفية إنشاء رموز كلمات المرور التي تستخدم مرة واحدة ولفترة زمنية محدودة (TOTP). يمكن تنفيذ OATH TOTP باستخدام البرامج أو الأجهزة لإنشاء الرموز.
رموز OATH البرمجية عادة ما تكون تطبيقات مثل تطبيق Microsoft Authenticator وتطبيقات المصادقة الأخرى. يُنشئ معرِّف Microsoft Entra المفتاح السري، أو المفتاح الأساسي، الذي يتم إدخاله في التطبيق ويستخدم من أجل الإنشاء كل كلمة مرور لمرة واحدة (OTP).
رموز أجهزة OATH TOTP هي أجهزة صغيرة تبدو كجهاز تحكم وتعرض رمزا يتم تحديثه كل 30 أو 60 ثانية، مما يوفر عاملا ثانيا للمصادقة.
تدعم رموز OATH البرمجية والأجهزة كأشكال ثانوية للمصادقة في Microsoft Entra ID، للتحقق من الهوية أثناء SSPR أو مصادقة Microsoft Entra متعددة العوامل.
طرق مصادقة أخرى
يدعم Microsoft Entra ID عدة طرق مصادقة أخرى لسيناريوهات محددة:
تصريح الوصول المؤقت (TAP). رمز مرور محدود زمن يصدره المسؤول يمكن استخدامه لتسجيل الدخول وتسجيل طرق المصادقة الأخرى، بما في ذلك الطرق بدون كلمة مرور. يعد TAP مفيدا لاستقبال المستخدمين الجدد أو لمساعدتهم على استعادة الوصول عند فقدان بيانات اعتمادهم.
التحقق من رموز الاستجابة السريعة. تم تصميم التحقق من رموز QR بشكل أساسي للعاملين في الخطوط الأمامية على الأجهزة المشتركة، حيث يسمح للمستخدمين بتسجيل الدخول عن طريق مسح رمز QR فريد (يمكن طباعته على الشارة) وإدخال رمز PIN رقمي، مما يلغي الحاجة لكتابة أسماء مستخدمين وكلمات مرور معقدة.
أرسل بريدا إلكترونيا لمرة واحدة (OTP). رمز تحقق يرسل إلى بريد المستخدم الإلكتروني، يستخدم كشكل ثانوي من المصادقة أثناء إعادة تعيين كلمة المرور ذاتية الخدمة (SSPR). يمكن أيضا إعدادها لتسجيل دخول المستخدم الضيف.
اعتماد المنصة لنظام macOS. اعتماد مقاوم للتصيد مدعوم بنظام Secure Enclave الخاص بالجهاز، يتيح تسجيل الدخول بدون كلمة مرور وتسجيل الدخول الواحد (SSO) عبر التطبيقات على أجهزة macOS، باستخدام Touch ID أو كلمة مرور لفتح بيانات الاعتماد.
Authenticator Lite. وهي قدرة مدمجة في التطبيقات المألوفة مثل Outlook mobile تتيح للمستخدمين إكمال التحقق الوظيفي باستخدام إشعارات الدفع أو رموز المرور الزمنية المعتمدة على الوقت دون الحاجة إلى تطبيق Microsoft Authenticator المنفصل.
طرق المصادقة الخارجية. تمكين المؤسسات من دمج مزود مصادقة متعدد العوامل غير من مايكروسوفت (مثل Duo Security أو RSA SecurID) مع Microsoft Entra ID، حتى يتمكن المستخدمون من تلبية متطلبات MFA باستخدام حل مصادقة تملكه المنظمة بالفعل.
مصادقة لا تتطلب كلمة مرور
يتمثل الهدف النهائي للعديد من المؤسسات في إزالة استخدام كلمات المرور كجزء من أحداث تسجيل الدخول. الطرق بدون كلمة مرور تستبدل كلمات المرور بشيء لديك، مع شيء أنت عليه أو تعرفه، مما يوفر تجربة أكثر أمانا وراحة.
يوفر Microsoft Entra ID خيارات المصادقة بدون كلمة مرور التالية.
Windows Hello للأعمال
يستبدل Windows Hello للأعمال كلمات المرور بمصادقة قوية ثنائية على الأجهزة، حيث يجمع مفتاحا أو شهادة مرتبطة بالجهاز مع شيء يعرفه الشخص (مثل رمز PIN) أو شيء يعرفه الشخص (القياسات الحيوية). تؤدي هذه الإيماءة إلى استخدام مفتاح خاص لتوقيع البيانات المشفرة المرسلة إلى مزود الهوية، مما يتحقق من هوية المستخدم.
يساعد Windows Hello للأعمال في الحماية من سرقة بيانات الاعتماد لأن المهاجم يجب أن يحمل الجهاز والمعلومات البيومترية أو رمز PIN معا، مما يجعل من الصعب الوصول إليه دون علم الموظف.
مفاتيح المرور (FIDO2)
مفاتيح المرور المبنية على معيار FIDO2 (الهوية السريعة عبر الإنترنت) هي طريقة مصادقة بدون كلمة مرور مقاومة للتصيد الاحتيالي. تستخدم مفاتيح المرور تشفير المفتاح العام، حيث يتم إنشاء زوج مفاتيح عام-خاص أثناء التسجيل. يتم تخزين المفتاح الخاص بأمان والمفتاح العام مسجل في Microsoft Entra ID.
هناك نوعان من مفاتيح المرور:
- مفاتيح المرور المرتبطة بالجهاز — المفتاح الخاص يخزن على جهاز مادي واحد ولا يغادر الجهاز أبدا. تشمل الأمثلة مفاتيح الأمان FIDO2 (أجهزة USB، البلوتوث، أو NFC) ومفاتيح المرور في Microsoft Authenticator.
- مفاتيح المرور المتزامنة — يتم مزامنة المفتاح الخاص عبر أجهزة المستخدم من خلال مزود مفاتيح مرور سحابي، مثل Apple iCloud Keychain أو Google Password Manager.
مفاتيح المرور مقاومة للتصيد لأنها مرتبطة بالموقع المحدد الذي تم تسجيلها فيه. لا يمكن استخدام مفتاح المرور الذي تم إنشاؤه لصفحة تسجيل دخول شرعية على موقع يشبه الموقع الاحتيالي، حتى لو تم إنشاؤه باستخدام مجموعات تصيد مدعومة بالذكاء الاصطناعي.
Microsoft Authenticator
يوفر تطبيق Microsoft Authenticator حل مصادقة مجاني متعدد الاستخدامات لأجهزة iOS وAndroid. يدعم المفاتيح المرورية، وتسجيل الدخول بدون كلمة مرور، والمصادقة متعددة العوامل.
- تسجيل الدخول عبر مفتاح المرور. يمكن للمستخدمين تسجيل مفتاح مرور مرتبط بالجهاز في التطبيق، مما يتيح المصادقة المقاومة للتصيد باستخدام الرمز البيومتري أو رقم التعريف الشخصي للجهاز.
- تسجيل الدخول بدون كلمة مرور. بدلا من إدخال كلمة المرور، يرى المستخدمون رقما على شاشة تسجيل الدخول، ويطابقونه في تطبيق Authenticator الخاص بهم، ويؤكدون ذلك باستخدام القياسات الحيوية أو رمز PIN الخاص بهم.
- إشعار دفع مع مطابقة الأرقام. عند استخدامه كعامل ثانوي للمصادقة متعددة العوامل أو SSPR، يرسل التطبيق إشعار دفع. يجب على المستخدم إدخال الرقم المعروض على شاشة تسجيل الدخول في تطبيق المصادق للموافقة على الطلب.
- رموز التحقق من قسم القسم. يمكن للتطبيق أيضا إنشاء رموز تحقق قسم العهد كشكل آخر من أشكال المصادقة.
استخدام المصادقة المستندة إلى شهادة
يمكن المصادقة المعتمدة على شهادات Microsoft Entra (CBA) المستخدمين من المصادقة مباشرة باستخدام شهادات X.509 مقابل هويتهم في Microsoft Entra الخاصة بهم. يلغي قانون CBA الحاجة إلى بنية تحتية اتحادية مثل خدمات اتحاد Active Directory (AD FS)، مما يوفر نهجا مبسطا وأصليا للسحابة. يدعم CBA كشكل أساسي من المصادقة بدون كلمة مرور، وعند تكوينها، كطريقة مصادقة متعددة العوامل.
المصادقة المقاومة للتصيد الاحتيالي
مع تزايد الهجمات السيبرانية المدعومة بالذكاء الاصطناعي، أصبحت طرق التحقق متعددة العوامل التقليدية مثل الرسائل النصية أو كلمات المرور لمرة واحدة عبر البريد الإلكتروني عرضة بشكل متزايد للتصيد الاحتيالي عن بعد، حيث يستخدم المهاجمون الهندسة الاجتماعية وأدوات تعتمد على الذكاء الاصطناعي لسرقة بيانات الهوية دون الوصول الفعلي إلى جهاز المستخدم.
توصي مايكروسوفت بطرق مصادقة مقاومة للتصيد الاحتيالي للحصول على تجربة تسجيل دخول أكثر أمانا. تستخدم هذه الطرق التشفير بالمفتاح العام حيث يكون الاعتماد مرتبطا بأصل الموقع (النطاق) المحدد الذي تم تسجيله فيه. نظرا لأن المصادق يتحقق من نطاق الموقع الطالب قبل الرد، لا يمكن استخدام بيانات الاعتماد على موقع يشبه الموقع الاحتيالي، أو إعادة تشغيله، أو مشاركته مع جهات خبيثة. تشمل طرق مقاومة التصيد في Microsoft Entra ID:
- Windows Hello للأعمال
- بيانات اعتماد المنصة لنظام macOS
- مفاتيح المرور المتزامنة (FIDO2)
- مفاتيح أمان FIDO2
- مفاتيح المرور في Microsoft Authenticator
- المصادقة القائمة على الشهادات (CBA)
المصادقة الأساسية والثانوية
يمكن استخدام بعض أساليب المصادقة باعتبارها عامل أساسي عند تسجيل الدخول إلى تطبيق أو جهاز. تتوفر أساليب المصادقة الأخرى فقط كعامل ثانوي عند استخدام مصادقة Microsoft Entra متعددة العوامل أو SSPR. يلخص الجدول التالي متى يمكن استخدام طريقة مصادقة أثناء حدث تسجيل الدخول.
| الطريقة | المصادقة الأساسية | المصادقة الثانوية |
|---|---|---|
| Windows Hello للأعمال | نعم | ماجستير الفنون الجميلة |
| بيانات اعتماد المنصة لنظام macOS | نعم | ماجستير الفنون الجميلة |
| مفتاح المرور (FIDO2) | نعم | ماجستير الفنون الجميلة |
| مفتاح المرور في Microsoft Authenticator | نعم | ماجستير الفنون الجميلة |
| مفتاح المرور المتزامن | نعم | ماجستير الفنون الجميلة |
| استخدام المصادقة المستندة إلى شهادة | نعم | ماجستير الفنون الجميلة |
| Microsoft Authenticator (بدون كلمة مرور) | نعم | لا. |
| Microsoft Authenticator (إشعار دفعي) | نعم | ماجستير الفنون الجميلة وSSPR |
| المصادق الخفيف | لا. | ماجستير الفنون الجميلة |
| رموز OATH المادية | لا. | ماجستير الفنون الجميلة وSSPR |
| رموز OATH البرمجية | لا. | ماجستير الفنون الجميلة وSSPR |
| طرق المصادقة الخارجية | لا. | ماجستير الفنون الجميلة |
| تصريح الوصول المؤقت (TAP) | نعم | ماجستير الفنون الجميلة |
| تسجيل الدخول عبر الرسائل النصية القصيرة | نعم | ماجستير الفنون الجميلة وSSPR |
| مكالمة صوتية | لا. | ماجستير الفنون الجميلة وSSPR |
| رمز الاستجابة السريعة | نعم | لا. |
| البريد الإلكتروني OTP | لا. | SSPR |
| معرف تم التحقق منه | لا. | استعادة الحساب |
| كلمة المرور | نعم | لا. |