6.pdf

Full Transcript

‫التحقق من الهوية (المصادقة)‬
‫ملخص ‪ - 5‬الشيت السادس‬

‫ تعريف التحقق من الهوية‪ :‬هو عملية التحقق من الهوية المدعى بها كيان ما للنظام أو لصالحه‪.‬‬

‫ يعتبر التحقق من الهوية (المصادقة) هو اللبنة األساسية لألمن وخط الدفاع األول‪.‬‬

‫ تتكون عملية المصادقة (التحقق من الهوية) من خطوتين‪:‬‬

‫‪.1‬التعريف‪ :‬تقديم المعرف لنظام األمان‪.‬‬

‫○ علل‪ :‬يجب تعيين معرف نظام األمان بعناية؟ ألن الهويات المصادق عليها‪ ،‬هي‬
‫أساس خدمات األمان األخرى‪ ،‬مثل خدمة التحكم في الوصول‬

‫‪.2‬التحقق‪ :‬تقديم أو إنشاء معلومات المصادقة التي تؤكد االرتباط بين الكيان والمعرف‪.‬‬

‫ المعرف‪ :‬هو الوسيلة التي يقدم المستخدم من خاللها هويته المزعومة للنظام‪.‬‬

‫ مصادقة المستخدم‪ :‬هي وسيلة إثبات صحة االدعاء‬

‫ وسائل التحقق من المستخدم‪:‬‬

‫‪.1‬يعرفه‪ ،‬على سبيل المثال كلمة المرور‬

‫‪.2‬يمتلكه‪ ،‬على سبيل المثال البطاقات الذكية‪.‬‬

‫‪.3‬منك‪ ،‬وهي القياسات الحيوية لجسم المستخدم‪ ،‬وأساسها هو شيء الشخص‪:‬‬
‫○ بجسده (القياسات الحيوية الثابتة) على سبيل المثال بصمات األصابع‪.‬‬
‫○ يقوم به (القياسات الحيوية المتغيرة) على سبيل المثال التعرف عن طريق الصوت‪.‬‬

‫ يمكن استخدامها بمفردها أو مجتمعة لتحقيق هوية المستخدم‪.‬‬
 ‫‪ -1‬كلمة المرور (شيء تعرفه) وهي‪:‬‬

‫أقدم وأبسط طريقة وهي الطريقة المنتشرة على نطاق واسع‪.‬‬

‫علل‪ :‬تستخدم كلمات المرور على نطاق واسع؟ ألنها ال تحتاج إلى أجهزة وال إلى برمجيات‬ ‫‬

‫لتطبيقها‪.‬‬

‫نقاط ضعف كلمة المرور‪:‬‬

‫‪.1‬هجوم القاموس‪ :‬تستخدم هذه الهجمات قواميس ضخمة تحتوي على كلمات مرور شائعة‬
‫ومتغيراتها‪.‬‬

‫‪.2‬هجوم القوة الغاشمة‪ :‬تتضمن محاولة تجربة جميع التخمينات الممكنة لكلمة المرور حتى يتم‬
‫العثور على الصحيحة‪.‬‬

‫‪.3‬اختطاف محطة العمل‪ :‬يتم استغالل محطة عمل مفتوحة بدون وجود مستخدم نشط لسرقة‬
‫المعلومات‪.‬‬

‫‪.4‬استغالل استخدام كلمة مرور متعددة‪ :‬عندما تشترك أجهزة شبكة مختلفة في نفس كلمة‬
‫المرور أو كلمة مرور متماثلة لمستخدم معين‪.‬‬

‫‪.5‬المراقبة اإللكترونية‪ :‬كلمة المرور المرسلة عبر الشبكة يمكن أن تتعرض للتنصت أثناء‬
‫انتقالها‪.‬‬

‫‪.6‬الهندسة االجتماعية‪ :‬تتضمن التقنيات مثل التصيد االحتيالي والتصفح على الكتف الستغالل‬
‫أخطاء المستخدم وكشف كلمات المرور‪.‬‬

‫‪.7‬االلتقاط‪ :‬يمكن التقاط كلمات المرور باستخدام برامج راصدة لوحة المفاتيح أو هجمات‬
‫الرجل في المنتصف‪.‬‬

‫‪.8‬إعادة الضبط‪ :‬إذا كان لدى المهاجم وصول فعلي للجهاز‪ ،‬يمكنه مسح وإعادة تعيين كلمة‬
‫المرور باستخدام أدوات متخصصة‪.‬‬
‫‪.9‬تخمين كلمة المرور لمستخدم واحد‪ :‬يحاول المهاجم اكتساب معلومة حول صاحب الحساب‬
‫وسياسات كلمة مرور النظام ويستخدم هذه المعلومة لتخمين كلمة المرور‪.‬‬

‫هجوم كلمة المرور الشائعة‪ :‬تشمل هجمات تستخدم كلمات مرور افتراضية‬ ‫‪.10‬‬
‫ومعروفة؛ تأتي األجهزة مصممة لتكون متصلة عادة من المصنع بكلمة مرور افتراضية‪.‬‬

‫جداول قوس قزح‪ :‬هذه الجداول تُستخدم لتسريع عمليات تكسير كلمات المرور عن‬ ‫‪.11‬‬
‫طريق إنشاء مجموعة كبيرة من القيم المختزلة المرتبطة بكلمات مرور محتملة‪.‬‬

‫ اإلجراءات المضادة الختراقات كلمات المرور‪:‬‬

‫‪.1‬منع الوصول غير المصرح به‬

‫‪.2‬تدابير كشف التسلل لتحديد االختراق‬

‫‪.3‬آلية قفل الحساب بعد عدد محدد من محاوالت تسجيل الدخول الفاشلة‬

‫‪.4‬سياسات ضد استخدام كلمات مرور شائعة‬

‫‪.5‬تدريب المستخدمين على اختيار كلمات مرور قوية وفرض سياسات صارمة لهذا الغرض‬

‫‪.6‬تسجيل خروج تلقائي من محطة العمل بعد فترة من عدم النشاط‬

‫‪.7‬سياسة تحظر نفس كلمة المرور أو كلمة مرور مشابهة على أجهزة شبكة معينة‬

‫‪.8‬تشفير االتصاالت‬

‫○ علل‪ :‬من المفيد دراسة ‪ /‬البحث عن نقاط ضعف كلمات المرور؟ ألن طريقة كلمات المرور‬
‫تعتبر األكثر انتشارا وال تزال األكثر كفاءة ‪.‬‬
‫ نصائح لكلمات مرور جيدة‪ :‬الطول ‪ ،‬التعقيد ‪ ،‬التغيير ‪ ،‬التنويع‪.‬‬

‫ مستقبل كلمات المرور‪ :‬تم اقتراح العديد من آليات المصادقة الستبدال كلمات المرور‪.‬‬

‫‪.1‬آلية "تمرير وجه"‪ :‬اختيار مجموعة من الوجوه البشرية واختيار أحدها أثناء تسجيل‬
‫الدخول‪.‬‬
 ‫‪.2‬آلية "النمط السري"‪ :‬رسم خط متواصل عبر شبكة من المربعات كبديل لكلمة المرور‪.‬‬

‫استخدام كلمات المرور المختزلة‪:‬‬

‫○ يتضمن تخزين كلمة المرور المختزلة مع نسخة نصية من القيمة المضافة في ملف كلمة المرور‬
‫بجانب معرف المستخدم‪.‬‬
‫○ طريقة كلمات المرور المختزلة آمنة ضد هجمات تحليل التشفير‪.‬‬
‫○ عند إدخال كلمة المرور‪ ،‬يتم حساب دالة االختزال ومقارنتها مع الدالة المخزنة؛ إذا تطابقت‪ ،‬يتم‬
‫قبول كلمة المرور‪.‬‬
‫○ التقنية تستخدم بشكل واسع في أنظمة التشغيل مثل يونيكس وغيره من أنظمة التشغيل‪ ،‬حيث يتم‬
‫دمج كلمة المرور مع قيمة مضافة لتوليد قيمة مختزلة متعددة‪ ،‬مما يزيد من صعوبة الهجمات‪.‬‬
‫○ خوارزمية االختزال مصممة لتكون بطيئة إلحباط الهجمات‪.‬‬

‫التهديدات‪:‬‬

‫‪.1‬قد يتمكن المستخدم من الوصول إلى الجهاز عبر حساب ضيف أو وسيلة أخرى وتشغيل برنامج‬
‫تكسير كلمة المرور‪.‬‬
‫‪.2‬إذا تمكن الخصم من الحصول على نسخة من ملف كلمات المرور‪ ،‬يمكنه تشغيل برنامج تكسير‬
‫على جهاز آخر لتجربة العديد من كلمات المرور المحتملة في وقت معقول‪.‬‬

‫لماذا القيمة المضافة (‪)value salt‬؟‬

‫ منع تكرار كلمات المرور‬
‫ زيادة صعوبة هجمات القاموس‬
‫ صعوبة معرفة ما إذا كان شخص ما يستخدم نفس كلمة المرور على أنظمة متعددة‬
 ‫كلمة المرور لمرة واحدة؛ هناك ثالث طرق لتطبيق كلمات المرور لمرة واحدة‪:‬‬

‫‪.1‬يتفق المستخدم والنظام على قائمة كلمات مرور‪.‬يمكن استخدام كل كلمة مرور مرة واحدة فقط‪.‬‬
‫‪.2‬يتفق المستخدم والنظام على تحديث كلمة المرور بشكل تسلسلي‪.‬كلمة المرور األصلية تُستخدم‬
‫لتوليد كلمات مرور جديدة عبر التشفير‪.‬‬
‫‪.3‬يتفق المستخدم والنظام على كلمة مرور أصلية و يستخدمان دالة التجزئة إلنشاء كلمة مرور محدثة‬
‫تسلسليًا‪.‬‬

‫توصيات إدارة كلمات المرور‪:‬‬

‫ تحديد سياسات لكلمات المرور‬
‫ استخدام تقنية آمنة لتقليل تخمين كلمات المرور وتكسيرها‬
‫ جعل كلمات المرور معقدة وغلق الحسابات بعد محاوالت تسجيل دخول فاشلة متعددة‬
‫ تحديد مدة صالحية لكلمة المرور‪.‬‬

‫التقنيات نحو كلمة مرور أفضل‬

‫‪.1‬تعليم المستخدم‪ :‬توجيه المستخدمين الختيار كلمات مرور قوية‪ ،‬لكن العديد من المستخدمين‬
‫سيتجاهلون اإلرشادات‪.‬‬
‫‪.2‬كلمات مرور منشأة من النظام‪ :‬قد تكون صعبة التذكر أو تدفع المستخدمين لتدوينها‪.‬‬
‫‪.3‬التحقق التفاعلي (فحص دوري)‪ :‬استخدام أداة تكسير كلمات المرور دوريًا للكشف عن كلمات‬
‫مرور قابلة للتخمين‪.‬‬
‫‪.4‬التحقق االستباقي (في وقت اإلنشاء)‪ :‬فحص كلمات المرور أثناء إنشائها لضمان قوتها وقبولها‪.‬‬

‫‪ -2‬المصادقة القائمة على االدوات الرمزية (شيء تملكه)‬
‫االدوات الرمزية البرمجية‪ :‬شفرة برمجية تُستخدم إلثبات هوية المستخدم من خالل تقديمها‪.‬‬
 ‫ أنواع األدوات الرمزية‪:‬‬
‫‪.1‬بطاقة منقوشة‪ :‬أحرف مرفوعة في المقدمة‪.‬‬
‫‪.2‬شريط مغناطيسي‪ :‬شريط مغناطيسي في الخلف وأحرف في المقدمة‪.‬‬
‫‪.3‬قطع مميزة‪ :‬أدوات إلكترونية صغيرة‪.‬‬
‫‪.4‬بطاقة ذاكرة‪ :‬بها ذاكرة إلكترونية بداخلها‪.‬‬
‫‪.5‬البطاقة الذكية‪ :‬بها ذاكرة إلكترونية ومعالج بالداخل‪.‬‬
‫‪.6‬الهاتف المحمول‪ :‬يمكن إرسال الرمز إلى الهاتف عبر تطبيق أو رسالة نصية‪.‬‬

‫ بطاقة الذاكرة‪ :‬تخزين البيانات بدون معالجتها‪ ،‬مثال‪ :‬البطاقات المصرفية‪.‬‬
‫ً‬
‫استبداال‪ ،‬استياء المستخدم‪.‬‬ ‫○ العيوب‪ :‬تتطلب قارئًا خا ً‬
‫صا‪ ،‬فقدانها يتطلب‬
‫ القطع المميزة‪ :‬تولد سلسلة أرقام تُدخل ككلمة مرور لمرة واحدة‪.‬‬
‫○ أنواع‪ :‬المعتمدة على الوقت أو الحدث‪ ،‬أمثلة‪ :‬أدوات ‪Google ،RSA‬‬
‫‪.Authenticator‬‬
‫ البطاقات الذكية‪ :‬تحفظ رقم الهوية بشكل فريد‪.‬‬
‫‪.1‬أنواع الذاكرة‪. RAM، EEPROM،ROM :‬‬
‫‪.2‬تطبيقات‪eSign.، eID،ePass :‬‬
‫‪.3‬بديل‪ :‬دونجل فالش‪.‬‬

‫‪ -3‬القياسات الحيوية ‪ :‬التحقق الحيوي (شيء منك)‬

‫ تحليل خصائص جسدية وسلوكية لتحديد الهوية‪.‬‬
‫ خصائص‪ :‬العمومية‪ ،‬التفرد‪ ،‬الدوام‪ ،‬التحصيل‪ ،‬األداء‪ ،‬القبول‪ ،‬التالعب‪.‬‬
‫ تقنيات‪ :‬الوجه‪ ،‬اليد‪ ،‬بصمات األصابع‪ ،‬شبكية العين‪ ،‬القزحية‪ ،‬الصوت‪ ،‬الحمض النووي‪ ،‬نقر‬
‫المفاتيح‪ ،‬التوقيع‪.‬‬
‫ تطبيقات‪ :‬بوابات الدخول‪ ،‬أنظمة المعلومات‪ ،‬المعامالت‪ ،‬إنفاذ القانون‪.‬‬
‫ التحقق مقابل تحديد الهوية‪ :‬التحقق يتطلب رقم تعريف شخصي باإلضافة إلى ميزة حيوية‪ ،‬تحديد‬
‫الهوية يقارن الميزة مع مجموعة النماذج المخزنة‪.‬‬
‫ هجمات‪ :‬هجمات العميل‪ ،‬هجمات المضيف‪ ،‬التنصت‪ ،‬هجمات إعادة التشغيل‪ ،‬حصان طروادة‪ ،‬منع‬
‫الخدمة‪.‬‬

‫نظام تسجيل الدخول األحادي (‪:)SSO‬‬

‫ المزايا‪ :‬تجربة مستخدم أفضل‪ ،‬حفظ بيانات المصادقة‪ ،‬تنفيذ المصادقة الثنائية‪ ،‬تقليل كلمات المرور‬
‫والدعم الفني‪.‬‬
‫ العيوب‪ :‬اختراق بيانات االعتماد‪ ،‬هجمات االحتيال‪ ،‬نقطة فشل واحدة‪ ،‬تعقيد النظام‪.‬‬
‫ تقنيات أخرى‪ :‬المصادقة المعتمدة على الرموز‪ ،‬بروتوكول خدمة المصادقة المركزية‪ ،‬نظام‬
‫االرتباط االتحادي‪ ،‬بروتوكول ‪.OpenID‬‬
‫ مزامنة كلمات المرور‪ :‬تطابق كلمات المرور عبر األنظمة‪ ،‬أقل أمانًا من ‪ ،SSO‬يتطلب إدخال‬
‫بيانات المصادقة وتحديث كلمات المرور في جميع األنظمة‪.‬‬