ما هي MFA ولماذا تهم؟

‏MFA، اختصارًا لـ المصادقة متعددة العوامل (multi-factor authentication)، تعني أن المستخدم يحتاج إلى أكثر من طريقة واحدة لإثبات أنه هو فعلًا قبل تسجيل الدخول. عادةً ما يعني ذلك شيئًا يعرفه، مثل كلمة المرور، إلى جانب شيء يملكه، مثل رمز في الهاتف أو موافقة عبر تطبيق.

إذا تم سرقة كلمة المرور أو تخمينها، فإن MFA تجعل من الصعب على الشخص الوصول إلى الحساب. لا تجعل الحساب غير قابل للاختراق، ولا يوجد مزوّد صادق سيعد بذلك. لكنها واحدة من أبسط وأكثر الخطوات فائدة التي يمكن للشركة اتخاذها لتقليل مخاطر تسجيل الدخول التي يمكن تجنبها.

بالنسبة لشركة صغيرة، غالبًا ما تكون MFA الأكثر أهمية للبريد الإلكتروني، وتخزين الملفات السحابي، والمحاسبة، والرواتب، وأنظمة العملاء، وأدوات الوصول عن بُعد، وأي حساب يخزن معلومات حساسة. إذا كان فريقك يستخدم مجموعة محدودة من التطبيقات كل يوم، فهذه عادةً أول الأماكن التي تستحق المراجعة.

كثير من مشكلات الأعمال تبدأ من عملية تسجيل دخول تبدو عادية. يتم إعادة استخدام كلمة المرور، أو يتم تخمينها، أو سرقتها في رسالة تصيّد احتيالي (phishing)، أو يتم كشفها في اختراق لدى شركة أخرى. بمجرد فتح الحساب، قد يقوم طرف غير مصرح له بقراءة البريد الإلكتروني، أو تحويل/إعادة توجيه المدفوعات، أو إعادة تعيين كلمات مرور أخرى، أو الوصول إلى الملفات وجهات الاتصال.

لهذا السبب تهم MFA. فهي تضيف احتكاكًا للشخص غير الصحيح، مع الحفاظ على سير العمل الطبيعي لفريقك. وهي مهمة بشكل خاص للمالكين والمديرين وموظفي الشؤون المالية وأي شخص لديه وصول إلى كشوف الرواتب أو الخدمات البنكية أو سجلات العملاء أو إعدادات المسؤول.

يمكن أن تساعد MFA أيضًا في تلبية بعض توقعات الامتثال الأساسية في بعض الصناعات. تختلف المتطلبات حسب الصناعة والولاية، لكن قد تسمع شركات الرعاية الصحية عن HIPAA، اختصارًا لـ قانون قابلية نقل مسؤولية التأمين الصحي والمساءلة (Health Insurance Portability and Accountability Act)، وقد تسمع الشركات التي تتعامل مع مدفوعات بطاقات العملاء عن PCI، اختصارًا لـ معيار أمان بيانات صناعة بطاقات الدفع (Payment Card Industry Data Security Standard). وقد تسمع الشركات التي تعمل مع عملاء أكبر أيضًا عن SOC 2، وهو إطار شائع لكيفية تعامل مؤسسات الخدمة مع ضوابط الأمان. ليست MFA هي الحل الكامل لأي من هذه الأمور، لكنها غالبًا جزء من أساس معقول.

أكثر الأمثلة شيوعًا هي رمز يتم إرسال نصّيّ به إلى الهاتف، أو تنبيه/موافقة داخل تطبيق المصادقة، أو رمز يتغير (دوّار) من ذلك التطبيق، أو مفتاح أمان فعلي. وبعبارات بسيطة، مفتاح الأمان الفعلي هو جهاز صغير تقوم بالنقر عليه أو توصيله لتأكيد أنه أنت فعلًا.

ليست كل طرق MFA متساوية. رسائل النص شائعة وسهلة الفهم، لكن موافقة التطبيقات أو مفتاح الأمان العتادي غالبًا تكون أقوى. سيوضح المزوّد الجيد المقايضات بلغة واضحة ويساعد الشركة على اختيار ما يناسب ميزانيتها وموظفيها وسير عملهم اليومي.

قد تسمع أيضًا مصطلح endpoint، وهو يعني جهاز عمل مثل الكمبيوتر المحمول أو سطح المكتب أو الجهاز اللوحي أو الهاتف. تحمي MFA عمليات تسجيل دخول الحسابات، بينما تركز حماية الجهاز على الـ endpoint نفسه. كلاهما مهم، لكن كل منهما يحل مشكلة مختلفة.

تعمل MFA الجيدة على تفعيلها للحسابات الأكثر أهمية، خصوصًا البريد الإلكتروني للشركة، والوصول عن بُعد، ومشاركة الملفات، وكشوف الرواتب، وحسابات المحاسبة، وحسابات المسؤول. ويتم إعدادها بطريقة يستطيع الموظفون استخدامها فعليًا دون ارتباك مستمر.

تشمل MFA الجيدة أيضًا خطة للهواتف المفقودة، والتعيينات الجديدة، والموظفين الذين تم إنهاء خدمتهم، وطرق تحقق احتياطية. إذا غادر شخص ما الشركة أو فقد جهازًا، يجب أن تكون الشركة قادرة على استعادة الوصول دون ذعر.

تحتاج معظم الشركات أيضًا إلى بعض الأساسيات ذات الصلة. Patching يعني إبقاء البرامج محدثة حتى يتم إصلاح المشكلات المعروفة. EDR، اختصارًا لـ اكتشاف نقطة النهاية والاستجابة (endpoint detection and response)، هو برنامج يساعد على مراقبة أجهزة العمل بحثًا عن سلوكيات مشبوهة. RMM، اختصارًا لـ المراقبة والإدارة عن بُعد (remote monitoring and management)، هو برنامج تستخدمه العديد من شركات الخدمات المدارة لمراقبة صحة الأجهزة وتطبيق صيانة روتينية. هذه ليست بدائل عن MFA، لكنها غالبًا تُناقَش معًا ضمن أساس عملي للأمان.

إذا كنت تتحدث مع مزوّد خدمات مدارة (غالبًا يُسمى MSP)، فاسأل كيف يتعامل مع طرح MFA والتدريب والاستعادة والاستثناءات. اطلب شرحًا بلغة بسيطة وليس مصطلحات تسويقية. يمكنك قراءة المزيد من الإجابات المبسطة في دليل المساعدة لدينا help library أو استكشاف موضوعات خدمات تقنية مُدارة.

إذا لم تكن شخصًا تقنيًا، فلست بحاجة للبدء بأسماء المنتجات. ابدأ بأسئلة تتعلق بالأعمال. ما الحسابات الأكثر أهمية؟ من لديه صلاحيات المسؤول؟ ماذا يحدث إذا فُقد الهاتف؟ وكيف سيحصل الموظفون على المساعدة إذا تم حظرهم/قفلهم خارج الحساب؟

إذا كنت تقارن بين المزوّدين، اسأل ما إذا كان إعداد MFA ضمن الخدمة الشهرية أم يتم فوترته بشكل منفصل. اسأل كيف يعمل الإعداد الأولي، وكيف تتم إدارة تدريب الموظفين، وما إذا كان يتم منح مزيد من الاهتمام للمديرين التنفيذيين ومستخدمي الشؤون المالية. إذا ذكر المزوّد SLA، فهذا يعني اتفاقية مستوى الخدمة (service level agreement)، وهي المستند الذي يوضح أهداف الاستجابة وشروط الخدمة.

قد تسمع أيضًا عن vCIO، اختصارًا لـ مدير معلومات تنفيذي افتراضي (virtual chief information officer). عادةً يعني ذلك مستشارًا كبيرًا يساعد في التخطيط والميزانية وقرارات تقنية المعلومات. ليست كل الشركات الصغيرة تحتاج إلى هذا المستوى من الدعم، لكن بعض الشركات تستفيد من الإرشاد عند تحديد أولويات الأمان.

إذا كنت تريد مساعدة في العثور على مزوّد مستقل يمكنه شرح ذلك بوضوح، get matched. NodeBridge IT هي خدمة مطابقة مجانية. نحن لا ندير ولا نراقب ولا نؤمّن ولا نُصلح ولا نصل إلى أنظمتك أو حساباتك.