كيف تقوم فرق تكنولوجيا المعلومات بالمدرسة بتأمين تسجيل الدخول الموحد (SSO) المستند إلى QR دون الإضرار بسهولة الاستخدام
يمكن للمدارس أن تحافظ على أمان وسلاسة عمليات تسجيل الدخول إلى QR من خلال مزج الإشارات المرئية الواضحة والتعليم المستمر للمستخدم والفحوصات القائمة على المخاطر خلف الكواليس
أصبح تسجيل الدخول الموحد (SSO) المستند إلى QR سريعًا هو المفضل في المدارس التي تسعى إلى الوصول السلس، خاصة في بيئات إحضار جهازك الخاص (BYOD).
وصل حجم BYOD في سوق التعليم إلى 15.2 مليار دولار في عام 2024، ومن المتوقع أن ينمو بمعدل نمو سنوي مركب قدره 17.4 بالمائة من عام 2025 إلى عام 2033، مدفوعًا بانتشار التعلم الرقمي والأجهزة الذكية الشخصية في المدارس.
ومع ذلك، عندما يقوم المهاجمون بتغليف الروابط الضارة في رموز QR، يجب على قادة تكنولوجيا المعلومات في المدارس العثور على حواجز حماية تحافظ على سهولة الاستخدام دون تحويل كل تسجيل دخول إلى حصن.
التصيد الاحتيالي عبر رموز QR، وهو تكتيك يُعرف الآن باسم “quishing”، حيث يقوم المهاجمون بتضمين رموز QR ضارة في رسائل البريد الإلكتروني أو الملصقات، وتوجيه التلاميذ وأعضاء هيئة التدريس والموظفين إلى صفحات تسجيل دخول مزيفة. شهدت أكثر من أربع مدارس من أصل خمس مدارس من مرحلة الروضة حتى الصف الثاني عشر تأثيرات التهديدات السيبرانية مع التهديدات التي تستهدف الإنسان مثل التصيد الاحتيالي أو التصيد الاحتيالي، متجاوزة التقنيات الأخرى بنسبة 45 بالمائة.
نظرًا لأن رموز QR تخفي أو تحجب عنوان URL حتى بعد المسح، فإنها تتجنب العديد من عوامل تصفية البريد الإلكتروني العشوائي التقليدية وأدوات فحص الروابط.
فيما يلي ثلاث إستراتيجيات لتحقيق هذا التوازن بين عمليات تسجيل الدخول السلسة والبيئات الرقمية الآمنة بشكل صحيح.
كيفية البحث عن الإشارات البصرية
يتم تصنيف ما يقرب من 60 بالمائة من رسائل البريد الإلكتروني التي تحتوي على رموز QR على أنها رسائل غير مرغوب فيها. إن المحتوى ذي العلامة التجارية، مثل شعار المدرسة أو المنطقة، الذي يتوافق مع شكل ومظهر بوابات الويب الأخرى وتطبيقات الطلاب، سيساعد الطلاب على التعرف على رمز الاستجابة السريعة الشرعي بدلاً من الرمز الضار.
تظهر الأبحاث الحدودية أن الألوان الجريئة والأيقونات الواضحة يمكن أن تزيد من سرعة التعرف بنسبة تصل إلى 40 بالمائة. هذا هو نوع الطمأنينة التي يحتاجها الطالب أو المعلم في أجزاء من الثانية قبل إدخال بيانات الاعتماد على شاشة تسجيل الدخول المستندة إلى QR.
يعد تدريب المستخدمين على البحث عن النطاق الكامل أو اسم الخدمة، مثل “sso.schooldistrict.edu” ضمن رمز الاستجابة السريعة، ممارسة جيدة لتجنب هجمات القمع، سواء كانت ذات صلة بالمدرسة أم لا. ومع ذلك، سيكون هذا الأمر أكثر صعوبة بالنسبة للطلاب الأصغر سنًا.
يوضح تقرير Frontier كيف يعتمد الأطفال الأصغر سنًا بشكل أكبر على إشارات الألوان والأيقونات أكثر من اعتمادهم على النصوص أو الرموز المجردة. بالنسبة لطلاب مرحلة الروضة وحتى الصف الثاني عشر، توفر إشارات الثقة المرئية مثل شعارات المدرسة أو التمائم أو أنظمة الألوان المألوفة اختصارًا معرفيًا للشرعية.
ومع ذلك، على الرغم من وجود الشعارات وشارات “مؤمن بواسطة…” لطمأنة المستخدمين، فإن المهاجمين يعرفون ذلك. قامت Microsoft وCisco Talos وPalo Alto Unit42 بتوثيق حملات تصيد احتيالي واسعة النطاق حيث قام مجرمو الإنترنت باستنساخ صفحات تسجيل الدخول إلى Microsoft 365 وOkta، كاملة بأختام أمنية مزيفة، للحصول على بيانات الاعتماد.
بالنسبة للمدارس التي تطرح تسجيل الدخول الموحّد المستند إلى QR، فإن ربط إشارات الثقة المرئية مع العلامات المائية الديناميكية الفريدة للمؤسسة يجعل من الصعب على المهاجمين تكرارها.
تعليم المستخدم حول التخلص من المخاطر
يؤدي الخطأ البشري إلى حدوث معظم الانتهاكات، خاصة في مدارس الروضة وحتى الصف الثاني عشر. تتعامل هذه البيئات مع مزيج من التلاميذ الذين ليس لديهم خبرة في المخاطر الأمنية، وبالتالي، هم أقل عرضة للتدقيق في رموز QR أو الروابط أو بيانات الاعتماد.
يجب تعليم الطلاب والمعلمين معنى العلامات ومستوى التفاصيل التي يجب مراعاتها من أجل الاستجابة بشكل أسرع وبشكل صحيح. يمكن لوحدة محو الأمية الرقمية القصيرة حول تسجيلات QR أن تقلل بشكل كبير من مخاطر التصيد الاحتيالي والتصيد، مما يعزز الشكل الذي يجب أن تبدو عليه شاشات تسجيل الدخول الشرعية. وينبغي تكرار ذلك بانتظام للحصول على التحديثات ولتعزيز استرجاع الإشارات المرئية الرئيسية والتعرف عليها.
تُظهر الأبحاث في علم النفس المعرفي أن التعرض المتكرر يمكن أن يعزز قوة الذاكرة بأكثر من 30 بالمائة، مما يجعل تجاهل الإشارات أكثر صعوبة وأسهل في التذكر. عند تدريس عادات تسجيل الدخول الآمن، يمكن للدروس القصيرة والمتكررة – على سبيل المثال، مقاطع فيديو مدتها من 3 إلى 5 دقائق مع الرسوم البيانية – أن تعزز درجات الاختبار بنسبة 10 إلى 20 بالمائة. يقترح الباحث بيوتر وزنياك إجراء مراجعات متباعدة بعد يوم واحد، ثم 7 أيام، و16 يومًا، و35 يومًا، وبعد ذلك كل 2-3 أشهر.
مع التعليم المناسب، يجب على الطلاب بشكل غريزي عدم الثقة في رسائل الاستجابة السريعة التي يتم تلقيها عبر الرسائل النصية أو وسائل التواصل الاجتماعي من خلال أرقام أو حسابات لم يتم التحقق منها. يمكن أن يكون تشجيع استخدام تطبيق Secure QR Code Scanner، على الأقل للموظفين وربما الطلاب الأكبر سنًا، مفيدًا، لأنه سيتحقق من عنوان URL المضمن قبل أن يفتحه المستخدم.
متى يتم تكثيف المصادقة بعد الفحص
تجعل رموز QR تسجيل الدخول سريعًا، ولكن بعد الفحص، لا يتعين عليك منح حق الوصول الكامل على الفور. وبدلاً من ذلك، يمكن للمدارس استخدام عمليات الفحص هذه كعامل أول وتقرر ما إذا كانت ستطلب المزيد من الأدلة قبل منح حق الوصول، اعتمادًا على إشارات المخاطر.
على سبيل المثال، إذا قام طالب أو معلم بمسح رمز الاستجابة السريعة باستخدام هاتف أو جهاز لوحي غير موجود في قائمة “الأجهزة المعروفة” الخاصة بالمدرسة، فيجب أن يطالب النظام بإدخال رقم التعريف الشخصي أو عبارة المرور أو دفع MFA قبل إكمال تسجيل الدخول. وينطبق الشيء نفسه على الأنظمة الحساسة التي تتضمن بيانات الطلاب أو المعلومات المالية.
يُظهر تقرير الدفاع الرقمي لعام 2024 من Microsoft أن إضافة MFA تمنع 99.2 بالمائة من هجمات بيانات الاعتماد. وهذا يعني أن رسالة نصية قصيرة بسيطة أو أسلوب المصادقة متعددة العوامل (MFA) القائم على الدفع يمكن أن يخفض بشكل كبير معدلات نجاح التصيد الاحتيالي والقمع. من خلال إضافة مطالبة MFA سريعة فقط عند ارتفاع إشارات المخاطر، تحافظ فرق تكنولوجيا المعلومات بالمدرسة على سرعة تسجيلات QR دون التخلي عن الأمان.
يمكن للمدارس أيضًا تطبيق منصات الأمان السحابية لتعزيز تسجيل الدخول الموحد المستند إلى QR دون التضحية بسهولة الاستخدام. توجد هذه الأدوات خلف الكواليس، وتراقب بشكل مستمر Google Workspace وMicrosoft 365 والتطبيقات التعليمية الأخرى بحثًا عن عمليات تسجيل دخول غير عادية أو أجهزة خطيرة أو انتهاكات للسياسة.
من خلال التسجيل التلقائي لكل حدث تسجيل دخول لـ QR، بما في ذلك الجهاز والوقت والموقع، وإطلاق التنبيهات عندما يبدو هناك شيء ما، تكتسب فرق تكنولوجيا المعلومات الرؤية والإنذار المبكر دون إضافة المزيد من الاحتكاك للموظفين أو الطلاب. يتيح هذا الأسلوب للمدارس الحفاظ على سرعة تسجيل الدخول إلى QR والإلمام بالضوابط القائمة على المخاطر وحماية البيانات التي تعمل في الخلفية.
يمكن للمدارس الحفاظ على عمليات تسجيل الدخول عبر QR آمنة وسلسة من خلال مزج الإشارات المرئية الواضحة والتعليم المستمر للمستخدم والفحوصات القائمة على المخاطر خلف الكواليس. يتعلم الطلاب والموظفون كيفية التعرف على الشاشات الأصلية، بينما تضيف فرق تكنولوجيا المعلومات التحقق الإضافي فقط عندما يبدو السلوك محفوفًا بالمخاطر. وفي الوقت نفسه، تقوم المراقبة المستمرة بتتبع كل عملية فحص لاكتشاف المشكلات مبكرًا وتحسين موارد التعليم، كل ذلك دون إبطاء أداء أي شخص.
