تمت ترجمة هذه الصفحة تلقائياً. اقرأ النسخة الأصلية باللغة الإنجليزية هنا.
الورقة البيضاء للمؤسسات حول Passkeys. إرشادات عملية وأنماط إطلاق ومؤشرات KPI لبرامج passkeys.
لقد تحولت المصادقة متعددة العوامل (MFA) بشكل حاسم من ميزة أمنية للمستخدمين الاستباقيين إلى واقع غير قابل للتفاوض وإلزامي للمؤسسات في جميع أنحاء العالم. لا يرجع هذا التحول إلى الاختيار بل إلى الضرورة، مدفوعًا بالهجمات السيبرانية المستمرة القائمة على بيانات الاعتماد والضغط التنظيمي المتزايد. تعمل الصناعات من الخدمات المالية إلى القطاع العام الآن في ظل أطر عمل تجعل من MFA أساسًا للامتثال. هذه الحقبة الجديدة، حيث يتم فرض MFA بدلاً من تقديمها كخيار، تُدخل سلسلة من التحديات المعقدة التي تمتد إلى ما هو أبعد من التنفيذ الفني الأولي.
عندما يجب على كل مستخدم استخدام MFA، تظهر مجموعة جديدة من الأسئلة الحاسمة التي يجب على كل مؤسسة الإجابة عليها. ستستكشف هذه المقالة هذه التحديات بعمق، وتوفر مسارًا واضحًا للمضي قدمًا. سنتناول:
ما هي التكاليف التشغيلية الخفية ومزالق تجربة المستخدم لفرض MFA على نطاق واسع؟
عند منح الخيار، ما هي طرق MFA التي يعتمدها المستخدمون بالفعل، وما هي المخاطر الأمنية التي يخلقها ذلك؟
كيف يصبح استرداد الحساب التحدي الأساسي الجديد في بيئة إلزامية، وما هي المقايضات في حله؟
لماذا تعد مفاتيح المرور الحل الاستراتيجي للمشاكل ذاتها التي خلقتها إلزامية MFA، وليس مجرد خيار آخر؟
ما هو المخطط العملي خطوة بخطوة للانتقال بنجاح من MFA القديمة الإلزامية إلى الأمان الفائق وتجربة المستخدم لمفاتيح المرور؟
سيوفر هذا التحليل مخططًا واضحًا وقابلاً للتنفيذ لانتقال ناجح من المصادقة أحادية العامل إلى MFA الإلزامية (إلى مفاتيح المرور الإلزامية).
قبل استكشاف تحديات الإنفاذ، من الأهمية بمكان إنشاء فهم واضح لمشهد المصادقة ولماذا تغييره الإلزاميات بشكل أساسي. يمكن أن تكون المصطلحات بحد ذاتها مصدرًا للارتباك، ولكن الفروق حاسمة لأي استراتيجية أمنية أو استراتيجية منتج.
يعد تطور المصادقة استجابة مباشرة للضعف المتأصل في أبسط أشكالها.
المصادقة أحادية العامل (SFA): مزيج اسم المستخدم وكلمة المرور المألوف. تعتمد على عامل "معرفة" واحد، وهو شيء يعرفه المستخدم. ضعفها أمام التصيد الاحتيالي، وحشو بيانات الاعتماد (credential stuffing)، وهجمات القوة الغاشمة هو الدافع الأساسي للطرق الأقوى.
التحقق بخطوتين (2SV): غالبًا ما تستخدم بالتبادل مع MFA، وتعد 2SV عملية متميزة وأضعف. تتطلب خطوتين للتحقق ولكن قد تستخدم عاملين من نفس الفئة. مثال شائع هو كلمة مرور متبوعة بسؤال أمان، وكلاهما عاملان "للمعرفة". على الرغم من كونها أفضل من SFA، إلا أنها لا تستوفي معايير الأمان متعدد العوامل الحقيقي.
المصادقة متعددة العوامل (MFA): المعيار الذهبي للأمان، تتطلب MFA التحقق من فئتين مختلفتين على الأقل من عوامل المصادقة. الفئات الرئيسية الثلاث هي:
المعرفة: شيء يعرفه المستخدم (مثل، كلمة مرور، رقم تعريف شخصي PIN).
الامتلاك: شيء يمتلكه المستخدم (مثل، هاتف محمول يتلقى رمزًا، مفتاح أمان مادي).
الوراثة: شيء متأصل في المستخدم (مثل، بصمة الإصبع، التعرف على الوجه).
يعد الانتقال من MFA الاختيارية إلى الإلزامية تحولًا في النموذج. يسمح النظام الاختياري بالاعتماد التدريجي من قبل المستخدمين الأكثر وعيًا بالأمان، مما يخفي نقاط الاحتكاك الحقيقية. يجبر الإلزام قاعدة المستخدمين بأكملها، من ذوي الخبرة التكنولوجية إلى المعارضين للتكنولوجيا، على النظام الجديد في وقت واحد، مما يكشف عن كل عيب في تجربة المستخدم وهيكل الدعم.
وقد تسارع هذا التحول بسبب المحفزات التنظيمية في جميع أنحاء العالم. ومن أبرزها، توجيه خدمات الدفع الثاني في أوروبا (PSD2) ومتطلبه للمصادقة القوية للعملاء (SCA) الذي أعاد تشكيل مشهد المدفوعات الأوروبي بشكل أساسي من خلال إلزام MFA لمعظم المعاملات عبر الإنترنت. من خلال إجبار المؤسسات المالية على تبني واجهات برمجة التطبيقات (APIs) المفتوحة وأمان أقوى، يوفر PSD2 دراسة حالة ضخمة وواقعية في المصادقة المفروضة.
كان الهدف الأساسي لـ SCA هو تقليل الاحتيال من خلال طلب عاملي مصادقة مستقلين للمدفوعات الإلكترونية. ومع ذلك، خلق الطرح الأولي احتكاكًا كبيرًا، حيث خسر بعض التجار الأوروبيين ما يقرب من 40٪ من المعاملات بسبب ارتباك المستخدم والتخلي عن سلة التسوق. بمرور الوقت، تكيف النظام البيئي، وأكد تقرير صدر في أغسطس 2024 عن البنك المركزي الأوروبي أن المعاملات المصادق عليها بـ SCA تتمتع الآن بمعدلات احتيال أقل بكثير. يوضح هذا الفائدة الأمنية طويلة المدى، ولكنه يسلط الضوء أيضًا على الحاجة الماسة إلى موازنة الأمان مع تجربة المستخدم.
زخم تنظيمي مماثل يتراكم عالميًا. في أستراليا، يعمل القطاع المالي في ظل إطار عمل CPS 234 التابع لهيئة التنظيم الاحترازية الأسترالية (APRA)، والذي يضع معايير أمنية للمؤسسات المالية. في أعقاب موجة من هجمات حشو بيانات الاعتماد في أوائل عام 2025، كتبت APRA إلى جميع مجالس إدارة صناديق التقاعد، متوقعة صراحة أن تنفذ MFA أو وسائل حماية مكافئة للأنشطة عالية المخاطر. أشار المنظم إلى أن ما يقرب من 20٪ من الحوادث السيبرانية في القطاع المالي الأسترالي كانت هجمات حشو بيانات الاعتماد، مما يجعل MFA تحكمًا بالغ الأهمية. بشكل منفصل، يواجه قطاع الاتصالات في أستراليا إلزامية MFA لجميع معاملات العملاء عالية المخاطر بموجب تحديد مصادقة هوية العملاء لعام 2022 الصادر عن هيئة الاتصالات والإعلام الأسترالية. تتطلب هذه القاعدة من شركات الاتصالات استخدام MFA لتبديل شريحة SIM، وعمليات إعادة تعيين كلمة المرور، وإضافات الخدمة بعد الحالات البارزة للاحتيال عبر تبديل شريحة SIM.
في حين أن هذه الإلزاميات تخلق في البداية احتكاكًا، فإنها تنتج أيضًا بيئة من التعليم الجماعي غير الطوعي. عندما يُجبر ملايين المستخدمين من قبل بنوكهم على الموافقة على معاملة ببصمة إصبع أو رمز، يصبحون على دراية بمفهوم العامل الثاني. هذا التطبيع، المدفوع بالتنظيم، يمهد الطريق بشكل متناقض للمنظمات الأخرى. يمكن أن تتطور المحادثة من "ما هي MFA ولماذا أحتاجها؟" إلى "إليك طريقتنا الجديدة والأسهل للقيام بالخطوة الأمنية التي تعرفها بالفعل." يخلق هذا الأساس المثالي لتقديم تجربة فائقة مثل مفاتيح المرور.
إذا كنت ترغب في قراءة المزيد حول تفاصيل هذه اللوائح وعلاقتها بمفاتيح المرور، يمكنك استكشاف هذه الموارد:
ماذا تعني متطلبات SCA لمفاتيح المرور
مفاتيح مرور PSD2: MFA متوافقة مع PSD2 ومقاومة للتصيد الاحتيالي
الآثار المترتبة على SD3 / PSR لمفاتيح المرور
في حين تدفع الأطر التنظيمية إلى الاعتماد الاستباقي لـ MFA، غالبًا ما تؤدي الحوادث الأمنية إلى الإلزاميات الأكثر إلحاحًا ووضوحًا. عندما تتعرض مؤسسة ما لاختراق، يصبح المسار إلى MFA الإلزامية ليس مسألة تخطيط للامتثال بل استجابة فورية للأزمة.
شهد قطاع التقاعد في أستراليا هذا بعبارات صارخة في مارس 2025. في حملة متطورة لحشو بيانات الاعتماد، استخدم مجرمو الإنترنت مجموعات مسروقة من أسماء المستخدمين وكلمات المرور من انتهاكات خارجية لمهاجمة حسابات صناديق التقاعد بشكل منهجي. ووفقًا لتقارير من رويترز وأخبار ABC، أكد AustralianSuper، أكبر صندوق في البلاد يضم أكثر من 3 ملايين عضو، أن المهاجمين تمكنوا من الوصول إلى ما يصل إلى 600 حساب عضو وقاموا باستنزاف 500.000 دولار أسترالي بنجاح من أرصدة أربعة أعضاء قبل اكتشاف الهجوم. انتشر الحادث عبر صناديق متعددة، حيث اكتشف Rest Super نشاطًا مشبوهًا في حوالي 20.000 حساب وأبلغت Insignia Financial عن محاولات على حوالي 100 حساب.
كان متجه الهجوم بمثابة مثال تقليدي لحشو بيانات الاعتماد: محاولات تسجيل دخول آلية باستخدام بيانات اعتماد تم جمعها من انتهاكات بيانات غير ذات صلة. وصف خبراء الأمن الذين قابلتهم أخبار ABC الهجوم بأنه "غير متطور"، مشيرين إلى أن نجاحه يُعزى بالكامل إلى غياب MFA. في تناقض صارخ، أبلغ HostPlus، وهو صندوق رئيسي آخر، عن عدم وجود خسائر مالية من نفس الحملة تحديدًا لأنه كان قد قام بالفعل بتنفيذ MFA لحسابات الأعضاء. قدمت هذه المقارنة الواقعية دليلاً لا لبس فيه على القيمة الوقائية لـ MFA.
قبل الاختراق، طلب عملاء AustralianSuper صراحة MFA كخيار أمان ولكن تم إبلاغهم بأنها غير متوفرة. بعد الحادث، قام الصندوق على الفور بقفل الحسابات المتأثرة وسرع من نشر MFA. جعلت رسالة APRA اللاحقة إلى جميع مجالس إدارة صناديق التقاعد التوقعات التنظيمية واضحة: كان تنفيذ MFA الآن التزامًا عاجلاً، وليس اعتبارًا مستقبليًا.
تنشأ أيضًا إلزاميات ما بعد الاختراق من حملات التصيد الاحتيالي التي تعرض بيانات الاعتماد التنظيمية للخطر. في مارس 2020، تعرضت Service NSW، وهي بوابة خدمات حكومية تابعة للولاية، لهجوم تصيد احتيالي كشف عن 736 جيجابايت من البيانات، مما عرض المعلومات الشخصية لحوالي 103.000 عميل للخطر. حدد المحققون غياب MFA على حسابات البريد الإلكتروني للموظفين كمساهم رئيسي في شدة الاختراق. استجابة لذلك، قامت Service NSW بتنفيذ MFA عبر جميع أنظمة البريد الإلكتروني الخارجية، وبحلول أغسطس 2021، قامت بتمكينها في 95٪ من الأنظمة المواجهة للخارج، مدعومة باستثمار أمني بقيمة 5 ملايين دولار أسترالي. في أعقاب خرق بيانات اتصالات Optus المنفصل في عام 2022، وسعت Service NSW جهودها بشكل أكبر، حيث قامت بتجربة ثم إلزام MFA لجميع أصحاب حسابات MyServiceNSW بحلول عام 2026.
توضح هذه الحوادث نمطًا حاسمًا: تخلق الانتهاكات ضغطًا سياسيًا وتشغيليًا يتجاوز دورات التخطيط التدريجي النموذجية للامتثال الاستباقي. يتحول السؤال من "هل ينبغي علينا فرض MFA؟" إلى "ما مدى سرعة نشرها؟" غالبًا ما يؤدي هذا الجدول الزمني المضغوط إلى تفاقم تحديات تجربة المستخدم والتحديات التشغيلية التي تمت مناقشتها لاحقًا في هذه المقالة، مما يجعل اختيار طريقة MFA وتصميم الطرح أكثر أهمية.
يكشف فرض MFA عبر قاعدة المستخدمين بأكملها عن مجموعة من التحديات العملية التي غالبًا ما يتم التقليل من شأنها أثناء التخطيط الأولي. تؤثر هذه المشكلات على تجربة المستخدم، والموقف الأمني، والتكاليف التشغيلية.
عندما يكون التسجيل إلزاميًا، فإن تجربة المستخدم السيئة لم تعد مجرد إزعاج؛ بل تصبح عقبة مباشرة أمام العمليات التجارية. تختار المنظمات عادةً بين استراتيجيتين: التسجيل الإجباري، الذي يتطلب إعداد MFA عند تسجيل الدخول التالي، أو التسجيل التدريجي، الذي يطالب المستخدمين بمرور الوقت. في حين أن التسجيل الإجباري يحقق الامتثال بشكل أسرع، فإنه يخاطر بإحباط أعلى للمستخدم وانخفاض معدلات الإكمال إذا لم تكن العملية سلسة. يعتمد النجاح على الالتزام بأفضل ممارسات تجربة المستخدم (UX)، مثل تقديم طرق مصادقة متعددة، وتوفير تعليمات واضحة وضوح الشمس، وضمان إمكانية الوصول لجميع المستخدمين، على سبيل المثال من خلال توفير مفتاح سري نصي إلى جانب رمز QR لتطبيقات المصادقة.
بمجرد تنشيط MFA على الحساب، فإن فقدان العامل الثاني يعني القفل بالكامل. في عالم إلزامي، هذه ليست حادثة منعزلة لعدد قليل من المستخدمين الواعين بالأمان؛ بل تصبح تحديًا نقديًا واسع النطاق لقاعدة المستخدمين بأكملها وفرق الدعم التي تخدمهم. هذا يجعل استرداد الحساب التحدي الأكبر على الإطلاق.
الرهانات المالية عالية: يمكن أن تكلف عملية إعادة تعيين كلمة مرور أو MFA واحدة عبر مكتب المساعدة الشركة في المتوسط 70 دولارًا أمريكيًا. بالنسبة لمؤسسة تضم مئات الآلاف من المستخدمين، حتى نسبة مئوية صغيرة تحتاج إلى استرداد يمكن أن تترجم إلى ملايين الدولارات من التكاليف التشغيلية وفقدان الإنتاجية.
تُترك المنظمات في مقايضة صعبة بين الأمان، والتكلفة، والراحة:
الاسترداد بقيادة مكتب المساعدة: يمكن لوكيل الدعم التحقق من هوية المستخدم من خلال مكالمة فيديو أو وسائل أخرى. هذه عملية آمنة تم التحقق منها بواسطة الإنسان ولكنها باهظة التكلفة وبطيئة في التوسع، مما يجعلها غير مستدامة لمعظم الشركات.
الاسترداد القائم على البريد الإلكتروني/الرسائل القصيرة: هذه هي الطريقة الأكثر شيوعًا بسبب تكلفتها المنخفضة وإلمام المستخدم بها. ومع ذلك، فهي أيضًا ثغرة أمنية حرجة. إذا كان المهاجم قد اخترق بالفعل حساب البريد الإلكتروني للمستخدم، وهو مقدمة شائعة لهجمات أخرى، فيمكنه بسهولة اعتراض رمز الاسترداد وتجاوز MFA تمامًا. تُبطل هذه الطريقة فعليًا الفوائد الأمنية التي كان من المفترض أن يوفرها الإلزام.
رموز النسخ الاحتياطي المسجلة مسبقًا: يتم إعطاء المستخدمين مجموعة من رموز النسخ الاحتياطي ذات الاستخدام لمرة واحدة أثناء التسجيل. على الرغم من كونها أكثر أمانًا من استرداد البريد الإلكتروني، إلا أن هذا النهج يضيف احتكاكًا إلى الإعداد الأولي. علاوة على ذلك، يفشل المستخدمون كثيرًا في تخزين هذه الرموز بشكل آمن أو يفقدونها، مما يؤدي بهم في النهاية للعودة إلى نفس مشكلة القفل.
التحقق من الهوية الذاتية (Selfie-ID): تتطلب هذه الطريقة عالية الضمان من المستخدم التقاط صورة شخصية حية (سيلفي) وصورة لبطاقة هوية صادرة عن الحكومة (مثل رخصة القيادة أو جواز السفر). ثم تقوم الأنظمة التي تعمل بالذكاء الاصطناعي بمطابقة الوجه مع الهوية لتأكيد الهوية. على الرغم من شيوعها في الخدمات المصرفية والخدمات المالية حيث يتم التحقق من الهوية أثناء الإعداد، إلا أنها تثير مخاوف الخصوصية لبعض المستخدمين وتتطلب منهم أن تكون هويتهم المادية في متناول اليد.
بيانات الاعتماد الرقمية والمحافظ: يتضمن خيار ناشئ وتطلعي استخدام بيانات اعتماد رقمية يمكن التحقق منها مخزنة في محفظة رقمية. يمكن للمستخدم تقديم بيانات اعتماد من جهة إصدار موثوقة (مثل حكومة أو بنك) لإثبات هويته دون المرور بتدفق استرداد خاص بخدمة معينة. لا تزال هذه الطريقة في مراحلها الأولى ولكنها تشير إلى مستقبل للتحقق من الهوية أكثر قابلية للنقل وتحت سيطرة المستخدم.
نقطة فشل متكررة وحاسمة في أي نظام MFA هي دورة حياة الجهاز. عندما يحصل مستخدم على هاتف جديد، فإن استمرارية طريقة المصادقة الخاصة به لها أهمية قصوى.
الرسائل القصيرة (SMS): هذه الطريقة قابلة للنقل نسبيًا، حيث يمكن نقل رقم هاتف إلى جهاز جديد عبر بطاقة SIM جديدة. ومع ذلك، هذه العملية بالذات هي ناقل الهجوم المستغل في هجمات تبديل شريحة SIM، حيث يقنع المحتال شركة الجوال بنقل رقم الضحية إلى شريحة SIM يتحكم فيها.
تطبيقات المصادقة (TOTP): هذا مصدر رئيسي لاحتكاك المستخدم. ما لم يقم المستخدم بشكل استباقي بتمكين ميزة النسخ الاحتياطي السحابي داخل تطبيق المصادقة الخاص به (وهي ميزة ليست عالمية ولا تُستخدم دائمًا)، تُفقد المفاتيح السرية التي تنشئ الرموز مع الجهاز القديم. يجبر هذا المستخدم على عملية استرداد حساب كاملة ومؤلمة غالبًا لكل خدمة قام بتأمينها.
إشعارات الدفع (Push Notifications): على غرار تطبيقات TOTP، ترتبط MFA القائمة على الدفع بتثبيت تطبيق معين على جهاز مسجل. يتطلب الهاتف الجديد تسجيلاً جديدًا، مما يؤدي إلى نفس تحديات الاسترداد.
عندما تفرض مؤسسة ما MFA وتقدم مجموعة من الطرق، يظهر نمط يمكن التنبؤ به: ينجذب أكثر من 95٪ من المستخدمين نحو ما هو أكثر دراية ويُنظر إليه على أنه أسهل، والذي غالبًا ما يكون رموز مرور لمرة واحدة تستند إلى الرسائل القصيرة (SMS OTPs). يخلق هذا السلوك مفارقة. يمكن لرئيس أمن المعلومات (CISO) فرض MFA لتحسين الأمان. ومع ذلك، إذا استمر العديد من المستخدمين في الاعتماد على طريقة قابلة للتصيد مثل الرسائل القصيرة، فيمكن للمؤسسة تحقيق الامتثال بنسبة 100٪ دون تحسين دفاعاتها بشكل جوهري ضد الهجمات المعقدة.
قدمت اختراقات صناديق التقاعد الأسترالية في مارس 2025 دليلاً واقعيًا وصارخًا على هذه المشكلة. في ذلك الحادث، كان غياب أي MFA هو الضعف الحاسم. ومع ذلك، يمتد الدرس الأوسع إلى ما هو أبعد من ثنائية "وجود MFA أو عدم وجودها" إلى جودة MFA المنشورة. المنظمات التي تقدم MFA المستندة إلى الرسائل القصيرة فقط كخيار أساسي أو وحيد تظل عرضة للتصيد الاحتيالي، والهندسة الاجتماعية، وهجمات تبديل شريحة SIM. استغل المهاجمون في الحالة الأسترالية بيانات اعتماد ضعيفة؛ لو كانت تلك الحسابات "محمية" فقط بواسطة SMS OTPs، كان من الممكن أن يقوم المهاجمون الذين لديهم إمكانية الوصول إلى حسابات بريد إلكتروني مخترقة باعتراض تدفقات إعادة تعيين كلمة المرور وتشغيل عمليات تبديل شريحة SIM لتجاوز ذلك العامل أيضًا.
وإدراكًا لذلك، أدخلت منصات مثل Microsoft "MFA المفضلة للنظام" (system-preferred MFA)، والتي تدفع المستخدمين بنشاط نحو خيارات أكثر أمانًا مثل تطبيقات المصادقة بدلاً من الرسائل القصيرة أو المكالمات الصوتية. يسلط هذا الضوء على درس حاسم: مجرد فرض MFA غير كافٍ. نوع MFA مهم جدًا، ويجب على المنظمات توجيه المستخدمين بنشاط بعيدًا عن العوامل الأضعف والقابلة للتصيد.
إن قرار فرض MFA له تأثير مباشر وقابل للقياس على الموارد التشغيلية. فإنه يؤدي حتمًا إلى زيادة في تذاكر مكتب المساعدة المتعلقة بمشاكل التسجيل، والمصادقات المفقودة، وطلبات الاسترداد. تشير أبحاث Gartner إلى أن 30 إلى 50٪ من جميع مكالمات دعم تكنولوجيا المعلومات مخصصة بالفعل لمشكلات متعلقة بكلمات المرور؛ كما أن MFA الإلزامية، خاصة عند إقرانها بتدفقات استرداد مرهقة، تؤدي إلى تفاقم هذا العبء بشكل كبير. يترجم هذا إلى تكاليف مباشرة يجب على مديري التكنولوجيا (CTOs) ومديري المشاريع توقعها. علاوة على ذلك، يصبح مكتب المساعدة بحد ذاته هدفًا رئيسيًا لهجمات الهندسة الاجتماعية، حيث ينتحل المهاجمون شخصية مستخدمين محبطين ومقفلين لخداع وكلاء الدعم لإعادة تعيين عوامل MFA نيابة عنهم.
يوفر فحص التطبيقات الواقعية واسعة النطاق لـ MFA الإلزامية دروسًا لا تقدر بثمن حول ما ينجح وما يخلق احتكاكًا كبيرًا. من خلال تحليل التجارب من كل من عمليات الطرح التنظيمية الاستباقية مثل PSD2 في أوروبا والإلزاميات التفاعلية ما بعد الاختراق في القطاع المالي الأسترالي، يمكننا استخلاص العديد من الحقائق العالمية.
الاحتكاك الأولي أمر لا مفر منه، لكن يمكن التحكم فيه: أظهر طرح SCA الأوروبي أن فرض تغيير كبير في سلوك المستخدم، حتى بالنسبة للأمان، سيضر مبدئيًا بمعدلات التحويل. ومع ذلك، أظهر أيضًا أنه مع تحسين العمليات وتعود المستخدم، يمكن التخفيف من هذه الآثار السلبية بمرور الوقت. المفتاح هو توقع هذا الاحتكاك وتصميم التدفق الأكثر انسيابية وسهولة في الاستخدام قدر الإمكان من البداية.
اختيار المستخدم هو سيف ذو حدين: عند منح الخيارات، يختار المستخدمون باستمرار مسار المقاومة الأقل، مما يعني غالبًا اختيار طرق MFA المألوفة ولكن الأقل أمانًا مثل الرسائل القصيرة. يؤدي هذا إلى حالة من "مسرح الامتثال"، حيث تفي المؤسسة بنص الإلزام ولكن ليس بروحه، وتظل عرضة للتصيد الاحتيالي. أظهرت هجمات صناديق التقاعد الأسترالية في مارس 2025 هذا المبدأ بشكل عكسي: تعرضت المنظمات التي ليس لديها أي MFA لخسائر كبيرة، في حين أن تلك التي لديها حتى MFA أساسية (مثل HostPlus) منعت السرقة المالية. ومع ذلك، يمتد الدرس إلى أبعد من ذلك؛ تظل تطبيقات MFA الضعيفة القائمة فقط على الرسائل القصيرة عرضة للمهاجمين المصممين الذين يمكنهم استغلال تبديل شرائح SIM والهندسة الاجتماعية. يجب أن توجه الاستراتيجية الناجحة المستخدمين بنشاط نحو خيارات أقوى ومقاومة للتصيد الاحتيالي.
الاسترداد يصبح كعب أخيل: في عالم إلزامي، يتحول استرداد الحساب من حالة حافة إلى عبء تشغيلي أساسي ونقطة ضعف أمنية بالغة الأهمية. إن الاعتماد على البريد الإلكتروني أو الرسائل القصيرة للاسترداد يقوض النموذج الأمني بأكمله، في حين أن الاسترداد بقيادة مكتب المساعدة غير مستدام ماليًا. إن عملية الاسترداد القوية والآمنة والسهلة الاستخدام ليست فكرة متأخرة؛ بل هي متطلب أساسي لأي إلزام ناجح.
إلزاميات ما بعد الاختراق تضغط الجداول الزمنية وتضخم المخاطر: عندما يتم تحفيز الإلزاميات بحادث أمني بدلاً من مبادرة امتثال مخططة، يتم ضغط الجدول الزمني للتنفيذ بشكل كبير. انتقل قطاع التقاعد الأسترالي من "العملاء الذين يطلبون MFA" إلى "المنظمين الذين يتوقعون النشر الفوري" في غضون أسابيع من الاختراق. لا يترك هذا الجدول الزمني المعجل مجالًا كبيرًا لاختبار المستخدم، وعمليات الطرح التدريجية، والتحسين التكراري، مما يجعل اختيار التكنولوجيا وتصميم تجربة المستخدم أكثر أهمية. تتمتع المنظمات التي تنفذ MFA بشكل استباقي قبل الاختراق برفاهية التخطيط الدقيق؛ أما أولئك الذين يُجبرون على الرد بعد وقوع حادث فلا يتمتعون بذلك.
عمليات الطرح التدريجية تقلل بشكل كبير من المخاطر: إن محاولة نشر بأسلوب "الانفجار العظيم" (big bang) لقاعدة المستخدمين بأكملها هي استراتيجية عالية المخاطر. نهج أكثر حكمة، والذي ثبت في عمليات النشر المؤسسية الكبيرة، هو تجربة النظام الجديد مع مجموعات مستخدمين أصغر وغير حرجة أولاً. يسمح هذا لفريق المشروع بتحديد الأخطاء وحلها، وتحسين تجربة المستخدم، وجمع الملاحظات في بيئة خاضعة للرقابة قبل النشر على نطاق واسع.
منصة الهوية المركزية ممكّن قوي: المنظمات التي لديها منصة إدارة الهوية والوصول (IAM) مركزية موجودة مسبقًا أو تسجيل الدخول الأحادي (SSO) هي في وضع أفضل بكثير لطرح سلس. يسمح نظام الهوية المركزي بالتطبيق السريع والمتسق لسياسات المصادقة الجديدة عبر مئات أو آلاف التطبيقات، مما يقلل بشكل كبير من تعقيد المشروع وتكلفته.
اشترك في Passkeys Substack للحصول على آخر الأخبار.
مفاتيح المرور، المبنية على معيار WebAuthn الخاص بتحالف FIDO Alliance، ليست مجرد تحسن تدريجي على MFA القديمة. هندستها الأساسية، القائمة على تشفير المفتاح العام، مصممة خصيصًا لحل المشاكل الأكثر ألمًا واستمرارًا التي تخلقها إلزاميات MFA.
حل كابوس الاسترداد: التحدي الأكبر لإلزامية MFA هو استرداد الحساب. تعالج مفاتيح المرور هذا بشكل مباشر. مفتاح المرور هو بيانات اعتماد مشفرة يمكن مزامنتها عبر أجهزة المستخدم من خلال نظامها البيئي للنظام الأساسي (مثل Apple iCloud Keychain أو Google Password Manager). إذا فقد المستخدم هاتفه، فإن مفتاح المرور لا يزال متاحًا على جهاز الكمبيوتر المحمول أو الجهاز اللوحي الخاص به. هذا يقلل بشكل كبير من وتيرة عمليات القفل ويقلل من الاعتماد على قنوات الاسترداد غير الآمنة مثل البريد الإلكتروني أو تدخلات مكتب المساعدة المكلفة.
حل مشكلة دورة حياة الجهاز: نظرًا لمزامنة مفاتيح المرور، يتم تحويل تجربة الحصول على جهاز جديد من نقطة احتكاك عالية إلى انتقال سلس. عندما يقوم المستخدم بتسجيل الدخول إلى حساب Google أو Apple الخاص به على هاتف جديد، تتم استعادة مفاتيح المرور الخاصة به تلقائيًا وتكون جاهزة للاستخدام. يلغي هذا عملية إعادة التسجيل المؤلمة، تطبيقًا تلو الآخر، التي تتطلبها تطبيقات المصادقة التقليدية المرتبطة بالجهاز.
حل مفارقة تفضيل المستخدم: تحل مفاتيح المرور مقايضة الأمان مقابل الراحة الكلاسيكية. إن طريقة المصادقة الأكثر أمانًا المتاحة، وهي تشفير المفتاح العام المقاوم للتصيد الاحتيالي، هي أيضًا الأسرع والأسهل بالنسبة للمستخدم. كل ما يتطلبه الأمر هو إيماءة بيومترية واحدة أو رقم تعريف شخصي للجهاز. لا يوجد حافز للمستخدم لاختيار خيار أضعف وأقل أمانًا، لأن الخيار الأقوى هو الأكثر ملاءمة أيضًا.
حل نقطة ضعف التصيد الاحتيالي: مفاتيح المرور مقاومة للتصيد الاحتيالي حسب التصميم. يرتبط زوج مفاتيح التشفير الذي تم إنشاؤه أثناء التسجيل بالأصل المحدد لموقع الويب أو التطبيق (مثل، corbado.com). لا يمكن خداع المستخدم لاستخدام مفتاح المرور الخاص به على موقع تصيد احتيالي مشابه (مثل، corbado.scam.com) لأن المتصفح ونظام التشغيل سيتعرفان على عدم تطابق الأصل ويرفضان إجراء المصادقة. يوفر هذا ضمانًا أمنيًا أساسيًا لا يمكن لأي طريقة تعتمد على الأسرار المشتركة (مثل كلمات المرور أو OTPs) أن تقدمه.
حل إرهاق MFA: إجراء مستخدم واحد بسيط، مثل مسح Face ID أو لمسة بصمة الإصبع، يثبت في الوقت نفسه امتلاك مفتاح التشفير على الجهاز ("شيء لديك") والوراثة عبر المقاييس الحيوية ("شيء أنت إياه"). يبدو هذا كخطوة واحدة سهلة للمستخدم ولكنه يفي تشفيرًا بمتطلبات المصادقة متعددة العوامل. يتيح هذا للمؤسسات تلبية معايير الامتثال الصارمة دون إضافة الخطوات الإضافية والعبء المعرفي المرتبط بـ MFA القديمة.
يتطلب الانتقال من MFA القديمة إلى استراتيجية مفاتيح المرور أولاً نهجًا متعمدًا ومتعدد المراحل يعالج التكنولوجيا، وتجربة المستخدم، وأهداف العمل.
قبل أن تتمكن من فرض مفاتيح المرور، يجب أن تفهم القدرة التقنية لقاعدة المستخدمين لديك على اعتمادها. هذه خطوة أولى حاسمة لقياس جدوى الجدول الزمني للطرح.
تحليل مشهد أجهزتك: استخدم أدوات تحليلات الويب الحالية لجمع بيانات حول أنظمة التشغيل (إصدارات iOS و Android و Windows) والمتصفحات التي يفضلها المستخدمون.
نشر أداة جاهزية مفتاح المرور: للحصول على بيانات أكثر دقة، يوفر مورد بيانات خفيف الوزن مثل State of Passkeys رؤى حول النسبة المئوية للمستخدمين الذين تدعم أجهزتهم مصادقات النظام الأساسي (مثل Face ID و Touch ID و Windows Hello) وتحسينات تجربة المستخدم المهمة مثل Conditional UI، والتي تمكن الملء التلقائي لمفاتيح المرور. هذه البيانات ضرورية لبناء نموذج اعتماد واقعي.
سيكون الانتقال إلى مفاتيح المرور تدريجيًا، وليس فوريًا. تتطلب الاستراتيجية الناجحة نظامًا هجينًا يروج لمفاتيح المرور باعتبارها الطريقة الأساسية والمفضلة مع توفير بديل آمن للمستخدمين على الأجهزة غير المتوافقة أو لأولئك الذين لم يسجلوا بعد.
اختر نمط تكامل:
المعرف أولاً (Identifier-First): يقوم المستخدم بإدخال بريده الإلكتروني أو اسم المستخدم الخاص به. ثم يتحقق النظام مما إذا كان هناك مفتاح مرور مسجل لهذا المعرف، وإذا كان الأمر كذلك، يبدأ تدفق تسجيل الدخول بمفتاح المرور. إذا لم يكن كذلك، فإنه يتراجع بسلاسة إلى كلمة مرور أو طريقة آمنة أخرى. يقدم هذا النهج أفضل تجربة للمستخدم ويؤدي عادةً إلى معدلات اعتماد أعلى.
زر مخصص لمفاتيح المرور: يتم وضع زر "تسجيل الدخول باستخدام مفتاح مرور" بجانب نموذج تسجيل الدخول التقليدي. هذا أبسط في التنفيذ ولكنه يضع العبء على المستخدم لتحديد الطريقة الجديدة، مما قد يؤدي إلى انخفاض الاستخدام.
تأكد من أن البدائل آمنة: يجب ألا يقوض آلية التراجع (fallback) أهدافك الأمنية. تجنب التراجع إلى طرق غير آمنة مثل SMS OTPs. البديل الأقوى هو استخدام رمز لمرة واحدة حساس للوقت أو رابط سحري يتم إرساله إلى عنوان البريد الإلكتروني الذي تم التحقق منه للمستخدم، والذي يعمل كعامل امتلاك لجلسة محددة.
التواصل الفعال أمر بالغ الأهمية لطرح سلس. الهدف هو صياغة مفاتيح المرور ليس كمتاعب أمنية أخرى، ولكن كترقية كبيرة لتجربة المستخدم.
المراسلة المدفوعة بالفوائد: استخدم لغة واضحة وبسيطة تركز على فوائد المستخدم: "تسجيل دخول أسرع وأكثر أمانًا"، "قل وداعًا لكلمات المرور المنسية"، و"بصمة إصبعك هي مفتاحك الآن". استخدم رمز مفتاح مرور FIDO الرسمي باستمرار لبناء التعرف عليه.
استراتيجية الطرح التدريجي:
ابدأ باعتماد "السحب" (Pull): في البداية، قدم إنشاء مفتاح مرور كخيار داخل صفحة إعدادات الحساب الخاصة بالمستخدم. يتيح هذا للمتبنين الأوائل والمستخدمين ذوي الخبرة التقنية الاشتراك دون تعطيل التدفق للجميع.
انتقل إلى اعتماد "الدفع" (Push): بمجرد أن يستقر النظام، ابدأ في مطالبة المستخدمين بشكل استباقي بإنشاء مفتاح مرور فور تسجيل الدخول بنجاح باستخدام كلمة المرور القديمة الخاصة بهم. هذا يلتقط المستخدمين وهم بالفعل في "عقلية المصادقة".
الدمج في الإعداد: أخيرًا، اجعل إنشاء مفتاح المرور خيارًا أساسيًا وموصى به لجميع عمليات تسجيل المستخدمين الجدد.
يعد النهج القائم على البيانات ضروريًا للتحقق من الاستثمار في مفاتيح المرور ولتحسين التجربة باستمرار. يجب على جميع الفرق تتبع المقاييس ذات الصلة بأدوارهم.
مقاييس الاعتماد والمشاركة:
معدل إنشاء مفاتيح المرور: النسبة المئوية للمستخدمين المؤهلين الذين ينشئون مفتاح مرور.
معدل استخدام مفاتيح المرور: النسبة المئوية لإجمالي عمليات تسجيل الدخول التي يتم إجراؤها باستخدام مفتاح مرور.
الوقت المستغرق حتى الإجراء الرئيسي الأول: مدى سرعة قيام المستخدمين الجدد بإجراء حاسم بعد اعتماد مفاتيح المرور.
المقاييس التجارية والتشغيلية:
الانخفاض في تذاكر إعادة تعيين كلمة المرور: مقياس مباشر لانخفاض تكاليف مكتب المساعدة.
الانخفاض في تكاليف SMS OTP: وفورات التكلفة الملموسة من إلغاء عامل قديم.
معدل نجاح تسجيل الدخول: مقارنة معدل نجاح عمليات تسجيل الدخول بمفتاح المرور مع عمليات تسجيل الدخول بكلمة المرور/MFA.
انخفاض حوادث الاستيلاء على الحسابات: المقياس النهائي للفعالية الأمنية.
توفر الجداول التالية ملخصًا موجزًا، يقارن طرق المصادقة ويربط حلول مفاتيح المرور مباشرة بنقاط ألم الأعمال الشائعة.
| الطريقة | مقاومة التصيد الاحتيالي | احتكاك المستخدم (تسجيل الدخول) | تعقيد الاسترداد | قابلية نقل الجهاز | التكلفة التشغيلية (مكتب المساعدة/SMS) |
|---|---|---|---|---|---|
| كلمة المرور فقط (SFA) | منخفضة جدًا: عرضة للغاية للتصيد الاحتيالي وحشو بيانات الاعتماد. | متوسط: عرضة لنسيان كلمات المرور، مما يتطلب إعادة تعيين. | متوسط: يعتمد على استرداد البريد الإلكتروني غير الآمن. | مرتفعة: قابلة للنقل، ولكن المخاطر كذلك. | مرتفعة: الدافع الرئيسي لمكالمات مكتب المساعدة. |
| إلزامية SMS OTP | منخفضة: عرضة للتصيد الاحتيالي، والهندسة الاجتماعية، وهجمات تبديل شريحة SIM. | مرتفع: يتطلب انتظار الرمز وكتابته. | متوسط: يعتمد على الوصول إلى رقم الهاتف. | مرتفعة: الرقم قابل للنقل، ولكن خطر تبديل شريحة SIM كذلك. | مرتفعة جدًا: رسوم الرسائل القصيرة بالإضافة إلى تذاكر دعم القفل. |
| إلزامية تطبيق TOTP | متوسطة: يحمي من هجمات كلمات المرور عن بُعد ولكن ليس من التصيد الاحتيالي في الوقت الفعلي. | مرتفع: يتطلب فتح تطبيق منفصل وكتابة رمز. | مرتفع جدًا: الجهاز المفقود غالبًا ما يعني قفلًا واستردادًا معقدًا. | منخفضة: المفاتيح مرتبطة بالجهاز ما لم يتم نسخها احتياطيًا يدويًا. | مرتفعة: مدفوعة بفقدان الجهاز وتذاكر الاسترداد. |
| إلزامية إشعارات الدفع (Push) | منخفضة: عرضة للغاية لإرهاق MFA وهجمات قصف الدفع (push bombing). | منخفض: نقرة بسيطة للموافقة، ولكن يمكن أن تكون معطلة. | مرتفع جدًا: مرتبط بجهاز معين؛ يتطلب فقدان الجهاز عملية استرداد كاملة ومعقدة. | منخفضة: المفاتيح مرتبطة بتثبيت التطبيق ولا تنتقل إلى جهاز جديد تلقائيًا. | مرتفعة: يُنشئ تذاكر دعم من فقدان الجهاز وهجمات إرهاق MFA. |
| إلزامية مفاتيح المرور | مرتفعة جدًا: مقاومة للتصيد الاحتيالي حسب التصميم بسبب ربط الأصل. | منخفض جدًا: إيماءة بيومترية واحدة وسريعة أو رقم تعريف شخصي (PIN). | منخفض: متزامنة عبر أجهزة المستخدم عبر مزود النظام الأساسي. | مرتفعة جدًا: متوفرة بسلاسة على الأجهزة الجديدة عبر المزامنة السحابية. | منخفضة جدًا: تقلل بشكل كبير من عمليات القفل وتلغي تكاليف الرسائل القصيرة. |
كيف توفر مفاتيح المرور حلولاً لنقاط الألم الخاصة بـ MFA الإلزامية
| الشخصية (Persona) | نقطة الألم الأكبر مع MFA الإلزامية | كيف توفر مفاتيح المرور الحل |
|---|---|---|
| مدير المنتج | الاحتكاك العالي في عمليات تسجيل الدخول والاسترداد يضر بتجربة المستخدم، ويقلل من التفاعل، ويخفض معدلات التحويل. | توفر مفاتيح المرور تسجيل دخول بيومتري بنقرة واحدة وهو أسرع بكثير من كلمات المرور. من خلال القضاء تقريبًا على عمليات قفل الحساب، فإنها تزيل مصدرًا رئيسيًا لإحباط المستخدم وتناقصه. |
| مدير التكنولوجيا (CTO) / رئيس الهندسة | التكلفة التشغيلية العالية لتذاكر مكتب المساعدة لإعادة تعيين كلمة المرور و MFA، إلى جانب التكاليف المتكررة لـ SMS OTPs، ترهق الميزانيات وموارد تكنولوجيا المعلومات. | مزامنة مفتاح المرور عبر الأجهزة تقلل بشكل كبير من سيناريوهات القفل التي تُنشئ تذاكر الدعم. إن التخلص من SMS OTPs يوفر وفورات في التكاليف مباشرة وقابلة للقياس. |
| رئيس أمن المعلومات (CISO) / محترف الأمن | غالبًا ما يختار المستخدمون، عند إجبارهم على التسجيل، أضعف طريقة MFA وأكثرها قابلية للتصيد (مثل الرسائل القصيرة)، مما يقوض الارتقاء الأمني المقصود من الإلزام. | مفاتيح المرور مقاومة للتصيد الاحتيالي حسب التصميم. إنها ترفع خط الأساس الأمني لجميع المستخدمين من خلال جعل الخيار الأكثر أمانًا هو الأكثر ملاءمة أيضًا، وإزالة المستخدم من القرار الأمني. |
| مدير المشروع | عدم القدرة على التنبؤ بالطرح بأسلوب "الانفجار العظيم"، إلى جانب مقاومة المستخدم للتغيير، يجعل من الصعب إدارة الجداول الزمنية للمشروع وتخصيص الموارد. | الطرح التدريجي لمفاتيح المرور (بدءًا من الإعدادات، ثم المطالبة بعد تسجيل الدخول) جنبًا إلى جنب مع التواصل الواضح للمستخدم والمدفوع بالفوائد يجعل الاعتماد أكثر سلاسة وقابلية للتنبؤ، مما يقلل من مخاطر المشروع. |
لقد أصبح عصر المصادقة متعددة العوامل الإلزامية حقيقة واقعة. على الرغم من أنها ولدت من الحاجة الماسة للدفاع ضد الهجمات القائمة على بيانات الاعتماد، إلا أن هذه الإلزاميات قد خلقت عن غير قصد مشهدًا جديدًا من التحديات.
لقد رأينا أن فرض MFA يقدم أعباء تشغيلية كبيرة، من التكاليف المباشرة لرسوم الرسائل القصيرة إلى الزيادة الكبيرة في تذاكر مكتب المساعدة من المستخدمين الذين يعانون من التسجيل وتغييرات الأجهزة. لقد تعلمنا أنه عند منح الخيار، ينجذب المستخدمون نحو الطرق المألوفة ولكن القابلة للتصيد الاحتيالي مثل الرسائل القصيرة، مما يحقق الامتثال على الورق ولكنه يترك المؤسسة مكشوفة أمام هجمات العالم الحقيقي. والأهم من ذلك، لقد أثبتنا أنه في عالم إلزامي، يصبح استرداد الحساب أكبر نقطة فشل على الإطلاق، ومصدرًا لإحباط هائل للمستخدم وثغرة أمنية فادحة عند التعامل معه بشكل غير صحيح.
لا يمكن لطرق MFA القديمة حل هذه المشكلات. لكن مفاتيح المرور يمكنها ذلك. لقد أثبتنا أن مفاتيح المرور هي الإجابة النهائية، حيث تحل المشكلات المترابطة للاسترداد واحتكاك المستخدم والأمان بشكل مباشر. تقضي طبيعتها المتزامنة على معظم سيناريوهات القفل، وتزيل سهولة استخدامها البيومترية الحافز لاختيار خيارات أضعف، ويجعلها تصميمها التشفيري محصنة ضد التصيد الاحتيالي. أخيرًا، وضعنا مخططًا واضحًا من أربع خطوات، من تدقيق الجاهزية إلى قياس النجاح، والذي يوفر مسارًا عمليًا لأي مؤسسة لإجراء هذا الانتقال الاستراتيجي.
إن النظر إلى هذا التحول فقط باعتباره صداعًا للامتثال يعني تفويت الفرصة الاستراتيجية التي يقدمها. لقد شكل رواد المصادقة القوية للعملاء في الخدمات المصرفية الأوروبية، على الرغم من الصعوبات الأولية، في نهاية المطاف توقعات المستخدمين لصناعة بأكملها. اليوم، يتمتع رواد مفاتيح المرور بنفس الفرصة. من خلال تبني هذا الانتقال، يمكن للمنظمات تحويل التفويض الأمني من التزام مرهق إلى ميزة تنافسية قوية ودائمة. لقد حان الوقت للتخطيط لانتقالك من الإلزام إلى الزخم.
Corbado هي Authentication Intelligence Platform لفِرَق CIAM التي تُدير المصادقة الاستهلاكية على نطاق واسع. نُمكّنك من رؤية ما لا تستطيع سجلات IDP وأدوات التحليل العامة إظهاره: أي الأجهزة وإصدارات أنظمة التشغيل والمتصفحات ومديري بيانات الاعتماد تدعم passkeys، ولماذا لا تتحوّل عمليات التسجيل إلى عمليات دخول، وأين يفشل تدفق WebAuthn، ومتى يُعطّل تحديث نظام التشغيل أو المتصفح تسجيل الدخول بصمت — كل ذلك دون استبدال Okta أو Auth0 أو Ping أو Cognito أو IDP الداخلي لديك. منتجان: Corbado Observe يُضيف observability للـ passkeys وأي طريقة دخول أخرى. Corbado Connect يُقدّم managed passkeys مع تحليلات مدمجة (إلى جانب IDP الخاص بك). تُشغّل VicRoads passkeys لأكثر من 5 ملايين مستخدم مع Corbado (تفعيل passkey بنسبة +80%). تحدث مع خبير Passkey →
تجعل MFA الإلزامية استرداد الحساب هو التحدي التشغيلي الأساسي مع أربعة خيارات رئيسية: التحقق بقيادة مكتب المساعدة (آمن ولكنه مكلف)، الاسترداد عبر البريد الإلكتروني أو الرسائل القصيرة (رخيص ولكنه قابل للاستغلال إذا تم اختراق البريد الإلكتروني)، رموز النسخ الاحتياطي المسجلة مسبقًا (غالبًا ما يفقدها المستخدمون)، والتحقق من الهوية الذاتية الذي يتطلب بطاقة هوية صادرة عن الحكومة. ينطوي كل خيار على مقايضة بين الأمان والتكلفة وقابلية التوسع.
إن SMS OTPs عرضة للتصيد الاحتيالي في الوقت الفعلي، وتبديل شريحة SIM، وتجاوز الاسترداد من خلال حساب بريد إلكتروني مخترق. حتى مع التسجيل بنسبة 100٪ في MFA، فإن الاعتماد على الرسائل القصيرة يعني أن المؤسسة تلبي نص الإلزام ولكن ليس روحه. يعترف إدخال Microsoft لـ "MFA المفضلة للنظام" بهذه المشكلة من خلال دفع المستخدمين بنشاط نحو تطبيقات المصادقة بدلاً من الرسائل القصيرة.
في مارس 2025، استخدم المهاجمون بيانات اعتماد مسروقة للوصول إلى ما يصل إلى 600 حساب في AustralianSuper واستنزاف 500.000 دولار أسترالي من أرصدة أربعة أعضاء. أبلغ HostPlus، الذي كان قد نفذ بالفعل MFA، عن عدم وجود خسائر مالية من نفس الحملة. كتبت APRA لاحقًا إلى جميع رؤساء مجالس إدارة صناديق التقاعد، مما جعل تنفيذ MFA التزامًا تنظيميًا عاجلاً بدلاً من اعتبار مستقبلي.
تتزامن مفاتيح المرور عبر النظم البيئية للمنصات مثل Apple iCloud Keychain و Google Password Manager، وتستعيد نفسها تلقائيًا على جهاز جديد دون إعادة التسجيل لكل خدمة. تفقد تطبيقات المصادقة TOTP جميع المفاتيح السرية عند استبدال الجهاز ما لم يتم تمكين النسخ الاحتياطي السحابي يدويًا مسبقًا، مما يجعل استبدال الجهاز دافعًا رئيسيًا لتذاكر مكتب المساعدة وعمليات قفل الحساب في ظل MFA الإلزامية.
يقلل نهج الاعتماد من ثلاث مراحل من مخاطر الطرح. أولاً، قدم إنشاء مفتاح المرور كخيار اشتراك داخل إعدادات الحساب لالتقاط المتبنين الأوائل دون تعطيل التدفقات الحالية. ثانيًا، اطلب من المستخدمين إنشاء مفتاح مرور فورًا بعد تسجيل الدخول بنجاح بكلمة المرور، عندما يكونون بالفعل في عقلية المصادقة. ثالثًا، اجعل إنشاء مفتاح المرور التوصية الأساسية أثناء إعداد المستخدمين الجدد.
مقالات ذات صلة
جدول المحتويات