المصادقة متعددة العوامل MFA لم تعد ميزة إضافية بل أصبحت متطلباً أساسياً في أي محادثة أمنية مع العميل، خصوصاً أن أكثر من 80% من الاختراقات تبدأ من credentials مسروقة. مهمتك كـ presales ليست شرح كيف تُضبط MFA تقنياً، بل أن تربطها بقيمة واضحة: تقليل المخاطر، الامتثال للأنظمة، وحماية الأصول الحرجة. العميل في الخليج اليوم يسأل عن FIDO2 و passwordless لأنها أصبحت لغة السوق، وعليك أن تتحدث بها بثقة.

• 1عوامل المصادقة الثلاثة: شيء تعرفه (password)، شيء تملكه (token / phone)، شيء أنت عليه (biometric). MFA الحقيقي يجمع عاملين من فئتين مختلفتين على الأقل، وليس password آخر.
• 2ليست كل عوامل MFA متساوية: الـ SMS OTP قابل لـ SIM-swap والاعتراض، الـ push notification معرّض لـ MFA fatigue، بينما FIDO2 / passkeys مقاومة للتصيّد phishing-resistant بتصميمها لأنها مربوطة بالـ domain.
• 3phishing-resistance هي نقطة البيع الأقوى اليوم: FIDO2 يستخدم public-key cryptography ولا يُرسل أي سرّ يمكن سرقته أو إعادة استخدامه، مما يلغي فئة كاملة من الهجمات (credential phishing, replay, man-in-the-middle).
• 4السوق منقسم بين عمالقة hardware tokens مثل RSA SecurID و Thales (Gemalto / SafeNet)، ومزوّدي السحابة (Microsoft Entra, Okta, Duo)، ومعيار مفتوح FIDO2 من FIDO Alliance يدعمه الجميع تقريباً — هذا يحرّر العميل من lock-in.
• 5MFA هو لبنة في رحلة أوسع: من passwords إلى passwordless إلى Zero Trust. ضعه دائماً في هذا السياق أمام العميل، لأن CISO في الخليج يشتري رؤية استراتيجية وليس منتجاً منفرداً.

• معمارياً: FIDO2 يتكوّن من بروتوكولين — WebAuthn (API في المتصفح) و CTAP (يربط الـ authenticator مثل YubiKey بالجهاز). الـ private key لا يغادر الـ authenticator أبداً، والتحقق يتم عبر challenge موقّع رقمياً ومربوط بـ origin، لذلك حتى موقع تصيّد مطابق بصرياً يفشل لأن الـ domain لا يطابق.
• مقارنة المنافسين: RSA SecurID قوي في القطاعات المنظمة (بنوك، حكومة) لكن hardware tokens مكلفة لوجستياً عند التوزيع الجماعي. Thales يتميّز بـ HSM و PKI للعملاء الذين يملكون بنية مفاتيح. Microsoft Entra و Okta يقدّمان MFA + passwordless مدمجاً مع SSO و conditional access — الأنسب للعميل الذي يبني هوية موحّدة على السحابة.
• سياق الخليج والتنظيم: NCA في السعودية تفرض MFA على الأنظمة الحساسة ضمن ECC و CSCC، و SAMA Cybersecurity Framework يطلبها للقطاع المالي، والإمارات عبر هيئة الأمن السيبراني تتجه لنفس الاتجاه. Vision 2030 ودفع الـ digital government يجعلان phishing-resistant MFA متطلباً للجهات الحكومية، وهذا يفتح باب صفقات enterprise كبيرة لمن يجيد ربط المنتج بالنص التنظيمي.