أنواع المصادقة ثنائية العوامل: الإيجابيات والسلبيات

ما أنواع المصادقة ثنائية العوامل المتاحة وأيها ينبغي تفضيله.

في منشورنا الأخير، تناولنا شرح المصادقة ثنائية العوامل ولماذا تحتاجها. باختصار، هي آلية للتحقق من الوصول تعتمد على مرحلتين للمصادقة.

يحتاج المستخدمون إلى المصادقة ثنائية العوامل للحصول على حماية أكثر موثوقية لحساباتهم: بينما تعتبر كل طريقة مصادقة فردية عرضة للخطر، إلا أن استخدام طريقتين (أو أكثر) معاً يضفي صعوبة على الاستيلاء على الحساب.

في هذا المنشور، أتناول خيارات المصادقة متعددة العوامل المتاحة، وأشرح مزايا وعيوب كل منها، وأوصي بأكثر الخيارات أماناً بالنسبة لك للحفاظ على أمان حساباتك.

يتم تسليم الرموز لمرة واحدة عن طريق الرسائل النصية القصيرة أو البريد الإلكتروني أو المكالمات الصوتية

تعد الرموز لمرة واحدة من بين أكثر آليات المصادقة ثنائية العوامل شيوعاً للتحقق من صحة تسجيل الدخول. ويتم إرسالها عادةً في رسالة نصية إلى رقم الهاتف المحدد أثناء التسجيل. ويمكن استخدام البريد الإلكتروني لهذا الغرض أيضاً لكنه أقل شيوعاً. وتوفر الخدمات الرئيسية أيضاً خيار الاتصال الصوتي لرقم الهاتف المحدد عند التسجيل.
مهما كانت قناة التوصيل المستخدمة، فإن الفكرة واحدة: التحقق من قدرتك على الوصول إلى حساب أو رقم هاتف آخر حددته عند الاشتراك في الخدمة. وبالتالي، إذا سرق أحد كلمة مرورك دون أن يتمكن من الوصول إلى هاتفك، فسوف تنجح هذه الطريقة في حمايتك.

رسالة نصية قصيرة تحتوي على رمز مصادقة حساب Google لمرة واحدة

خيار المصادقة ثنائية العوامل الأكثر شيوعًا: رمز لمرة واحدة يتم تسليمه عن طريق رسالة نصية

 

لكن هناك جوانب سلبية لآلية المصادقة ثنائية العوامل هذه. في حالة استخدام البريد الإلكتروني لتأكيد تسجيل الدخول، وكانت كلمة المرور لتسجيل الدخول هي نفسها الخاصة بالحساب الذي تحاول حمايته، فستحصل على أمان إضافي محدود للغاية. ومن المؤكد أن المهاجم الذي يعرف كلمة مرور الحساب سيحاول استخدام كلمة المرور تلك لتسجيل الدخول إلى بريدك الإلكتروني أيضًا، وبالتالي الحصول على رمز التحقق لمرة واحدة.

تتضمن عملية التحقق عن طريق رقم الهاتف – سواء عن طريق الرسائل النصية القصيرة أو المكالمات الصوتية – مشكلة مختلفة: من السهل أن تفقد إمكانية الوصول إليها. وفي بعض الأحيان، ينسى المستخدمون ببساطة تعبئة رصيد حساب الهاتف الخاص بهم، أو يفقدون الهاتف أو يغيرون الرقم.

ليس من غير المألوف أيضًا أن يسعى المجرمون إلى إقناع شركات الاتصالات لمنحهم بطاقة SIM برقم هاتف الضحية، وبالتالي الوصول إلى رموز التحقق. ويمكن كذلك اعتراض الرسائل النصية – تم الإبلاغ عن حالات من هذا القبيل بالفعل.

الملخص: ينجز خيار المصادقة ثنائية العوامل هذا المهمة، لكن لحماية الحسابات الأكثر قيمة – خاصة تلك المتعلقة بالأمور المالية – من الأفضل استخدام شيء أكثر موثوقية.

كلمة المرور كعامل ثانٍ

في بعض الأحيان، لا تكون كلمة المرور هي العامل الأول بل العامل الثاني. وهذا ما تفعله برامج المراسلة في الغالب: بشكل افتراضي، لتسجيل الدخول يكفي إدخال الرمز لمرة واحدة من الرسائل النصية القصيرة. وعادة ما تكون كلمة المرور اختيارية. ورغم أنها اختيارية إلا أنها ضرورية، إذا سألتني. وسوف تحميك من مجموعة كاملة من المشاكل المحتملة دفعة واحدة.

الأهم من ذلك، سوف تحمي مراسلاتك من الفقدان العرضي للوصول إلى رقم الهاتف الذي استخدمته للتسجيل في WhatsApp أو Telegram. ولنفترض أنك غيرت رقم هاتفك الرئيسي ووضعت بطاقة SIM القديمة في درج ولم تدفع الاشتراك لفترة طويلة. ستعيد شركة الهاتف بيع رقمك بعد فترة، وبالتالي سيتمكن المالك الجديد من تسجيل الدخول إلى برنامج المراسلة باسمك – ما لم يكن محميًا بشكل إضافي بكلمة مرور، بالطبع.

من المؤكد أن كلمة المرور ستمنح حسابك على برنامج المراسلة على الأقل بعض الحماية من المخترقين الذين تمكنوا – بطريقة أو بأخرى – من الوصول إلى رقم هاتفك.

القائمة المعدة مسبقًا بالرموز لمرة واحدة

يوجد خيار آخر يمكنك العثور عليه وهو قائمة معدة مسبقًا بالرموز لمرة واحدة. وتصدر البنوك أحيانًا هذه القوائم لعملائها لتأكيد المعاملات، بينما تسمح بعض خدمات الإنترنت (مثل Google) باستخدامها لاسترداد الحساب.

يمكن اعتبار ذلك آلية موثوقة: نادرًا ما يتم إرسال هذه الرموز إلى المستخدم، لذلك يوجد حد أدنى من فرص الاعتراض. وتكون الرموز عشوائية، مما يعني أنها فريدة، لذا فإن تخمينها يكاد يكون مستحيلاً.

لكن هناك مشكلة التخزين: إذا تمكن المهاجمون من سرقة قائمة الرموز المعدة مسبقًا الخاصة بك، فسيكون من السهل للغاية سرقة حسابك أو سرقة الأموال منه.

قائمة الرموز المعدة مسبقًا لمرة واحدة

قائمة الرموز المعدة مسبقًا لمرة واحدة للتحقق من المعاملات البنكية

لذلك يجب تخزين رموز التأكيد لمرة واحدة في خزنة حديدية أو في نظيرها الإلكتروني. على سبيل المثال، توجد ملاحظات مشفرة في Kaspersky Password Manager. وإذا حفظت قائمة الرموز لمرة واحدة في هذه الملاحظات، فستتم حمايتها بشكل آمن، بشرط أن تُعين كلمة مرور رئيسية جيدة وفريدة لبرنامج Kaspersky Password Manager نفسه.

مع ذلك، فإن العامل السلبي الرئيسي لطريقة المصادقة هذه هو أنه إذا كنت تحتاج إلى عمليات تحقق كثيرًا، فسوف تنفد الرموز المعدة مسبقًا بسرعة. ويعني هذا أنه سيتعين عليك إنشاء وحفظ المزيد والمزيد من الرموز الجديدة. وإذا كنت تحتفظ بحسابات متعددة، فسوف تشعر بالارتباك بسبب كل هذه القوائم. لذلك، تم استبدال الرموز المعدة مسبقًا كطريقة مصادقة رئيسية برموز يتم إنشاؤها عند الطلب – تمامًا كما تحتاجها.

الرموز لمرة واحدة من تطبيق مصادقة

تنشئ أدوات المصادقة رموزًا لمرة واحدة “على الفور”. ومن الممكن أن تكون هذه الأدوات في بعض الأحيان أجهزة قائمة بذاتها مع شاشة صغيرة تعرض الرمز الحالي – تقدم بعض البنوك أدوات المصادقة هذه لعملائها.

لكن في هذه الأيام، أصبحت تطبيقات المصادقة الخاصة التي تعمل على الهواتف الذكية أكثر شيوعًا من الأجهزة المستقلة. ولدينا عدد من المنشورات عنها:

لذا، إذا كنت تبحث عن معلومات حول كيفية عمل طريقة المصادقة هذه، وكيفية اختيار تطبيق مصادقة، وما يجب مراعاته بمجرد أن يكون لديك تطبيق، اتبع الروابط أعلاه. وفي الوقت نفسه، سأذكر هنا بإيجاز أن تطبيقات المصادقة توفر مفاضلة مثالية بين الراحة والأمان – مما يجعلها أكثر شيوعاً

أشهر تطبيق للمصادقة

الأكثر شهرة لكنه إلى حد بعيد ليس تطبيق المصادقة الوحيد المتاح

 

القياسات الحيوية: بصمة الإصبع أو الوجه أو الصوت

منذ وقت ليس ببعيد، كانت المصادقة عن طريق القياسات الحيوية شيئًا غريبًا لمعظم الناس. ومع ذلك، تغيرت الأمور بسرعة إلى حد ما: تتمتع معظم الهواتف الذكية الآن بالقدرة على المصادقة إما عن طريق بصمة الإصبع أو التعرف على الوجه – ولم يكن ذلك مفاجئًا.

لكن بعض طرق القياسات الحيوية قد تبدو غير عادية: المصادقة المعتمدة على عادات الصوت وبصمة العين والمشي والكتابة. وبالنسبة إلى أكثرها غرابة، يمكننا أن نتذكر البحث عن المصادقة المعتمدة على الرائحة (رغم أنها لا تعمل بشكل جيد)!

تنطوي المصادقة بالقياسات الحيوية على بعض العيوب الخطيرة. أولاً: كل الخصائص التي تعتمد عليها عناصر دائمة لدى المستخدم. ويمكنك تغيير كلمة مرور تعرضت للاختراق – بل ويمكنك فعل ذلك عدة مرات حفاظًا على السلامة. لكن لا يمكن تغيير بصمة إصبع مسجلة إلا لعدد محدود من المرات – يمكن حساب المحاولات حرفيًا على أصابع اليدين.

تتمثل المشكلة الثانية المهمة في حقيقة أن بيانات القياسات الحيوية حساسة للغاية – لكونها غير قابلة للتغيير ولأنها لا تسمح فقط بمصادقة المستخدم، لكن أيضًا بالتعرف على هوية الشخص. لذا ينبغي التعامل مع جمع هذه البيانات ونقلها إلى الخدمات الرقمية بحذر شديد.

هذا هو السبب في استخدام بيانات القياسات الحيوية عادةً للمصادقة المحلية: يتم تخزينها ومعالجتها على الجهاز لتجنب إرسالها في أي مكان. وبالنسبة للمصادقة بالقياسات الحيوية عن بُعد، يجب أن تثق الخدمة الرقمية ببائع الجهاز، وهو ما لا تريده الخدمات عادة. والنتيجة النهائية هي ما يلي: تمتلك Apple فقط آلية مصادقة بالقياسات الحيوية عن بُعد كاملة القيمة، لأن الشركة تتحكم بشكل كامل في نظامها البيئي – من تطوير البرامج إلى تصنيع الجهاز.

المصادقة ببصمة الإصبع

تسجيل الدخول ببصمة الإصبع: شيء شائع هذه الأيام

 

تنطوي المصادقة بالقياسات الحيوية على ميزة مهمة تفوق سلبياتها. وفي حالة تنفيذها بشكل صحيح، فإنها تجعل حياة المستخدمين أكثر بساطة: وداعاً للكتابة – فقط اضغط بإصبعك على المستشعر أو أظهر وجهك للكاميرا. وهذه الطريقة موثوقة إلى حد ما أيضًا – مرة أخرى، إذا تم تنفيذها بشكل صحيح.

الموقع

يوجد نوع آخر لمصادقة المستخدمين هو الموقع. ولست مضطرًا لتفعيل هذه الطريقة: تعمل بشكل افتراضي. ولهذا السبب عادة ما تمر دون أن يلاحظها أحد، حيث يتم تنبيه الشخص فقط في حالة عدم نجاحها: أي إذا جاءت محاولة تسجيل الدخول من موقع لم تكن الخدمة تتوقعه. وفي هذه الحالة، قد تتطلب الخدمة استخدام طريقة تحقق إضافية.

بالطبع، لا يُعد الموقع عاملاً موثوقًا به للغاية للمصادقة. أولاً، لأنه ليس فريدًا جدًا: يمكن أن يتواجد الكثير من الأشخاص في المكان نفسه في أي وقت. ثانيًا، من السهل جدًا التلاعب به، خاصة عند الحديث عن الموقع المستند إلى بروتوكول الإنترنت (IP) – وليس الموقع الجغرافي المناسب عن طريق نظام تحديد المواقع العالمي (GPS). ومع ذلك، يمكن استخدام الموقع كأحد عوامل المصادقة، وتستخدمه العديد من الخدمات لهذا الغرض.

 

مفاتيح الأجهزة FIDO U2F (ويعرف أيضًا باسم YubiKey)

تنطوي خيارات المصادقة الموضحة أعلاه على جانب سلبي رئيسي: تسمح بمصادقة المستخدم، وليس مصادقة الخدمة. ويجعلها هذا عرضة لهجمات MitM (الوسيط).

يستطيع المهاجمون إنشاء صفحة مزيفة تحاكي إلى حد بعيد آلية تسجيل الدخول الخاصة بالخدمة الفعلية. وبمجرد إرسال المستخدم لمعلومات تسجيل الدخول وكلمة المرور الخاصة به، فإن المجرمين يستخدمونها على الفور لتسجيل الدخول إلى موقع الويب الحقيقي. وسيكون رمز التحقق هو الشيء التالي الذي يُطلب من المستخدم تقديمه – وسيستخدم على الفور للاستيلاء على حساب الضحية.

للتعامل مع هذا النوع من التهديدات  تم إنشاء مفاتيح FIDO U2F، المعروفة أيضًا باسم طرازها الأكثر شيوعًا – YubiKey. وتتمثل الميزة الرئيسية لهذه الطريقة في حقيقة أنه أثناء التسجيل، تتذكر الخدمة ومفتاح U2F معلومات معينة فريدة لكل خدمة بالإضافة إلى كل مستخدم. وفي وقت لاحق أثناء المصادقة ، يجب أن ترسل الخدمة طلبًا محددًا إلى المفتاح، ولن يستجيب له المفتاح إلا إذا كان هذا الطلب صحيحًا.

بالتالي، يفهم كلا جانبي هذا الاتصال ما إذا كان هذا الاتصال مشروعًا أم لا. علاوة على ذلك، تعتمد آلية المصادقة هذه على تشفير المفتاح المفتوح، ولذا فإن العملية برمتها محمية بشكل جيد ضد التزييف والاعتراض والتهديدات المماثلة.

مفاتيح FIDO U2F: ‏Yubico YubiKey وGoogle Titan (Feitian ePass)

زوج من مفاتيح FIDO U2F: ‏Yubico YubiKey (على اليسار) وGoogle Titan (على اليمين)

 

علاوة على ذلك، توجد ميزة أخرى: رغم أن التكنولوجيا معقدة نوعًا ما وتستخدم تشفيرًا شديدًا “غير مرئي”، إلا أنها تبدو بسيطة جدًا على السطح – من وجهة نظر المستخدم. وما عليك سوى توصيل المفتاح بمقبس USB (أو الضغط باستمرار على هاتفك الذكي – تدعم هذه المفاتيح غالبًا ) ولمس لوحة مستشعر على المفتاح بإصبعك لإكمال المصادقة.

يعد استخدام مفاتيح الأجهزة من نوع U2F أكثر طرق المصادقة موثوقية المتاحة اليوم وهي خيار موصى به للحسابات الثمينة. وهذا ما يفعلونه في Google: يستخدم جميع موظفي الشركة هذه المفاتيح لحسابات الشركة منذ أكثر من خمس سنوات حتى الآن.

مفاتيح المرور FIDO: الحاضر المستقبل بدون كلمات مرور

ليس من السهل إجبار جميع الموظفين داخل مؤسستك على استخدام مفاتيح الأجهزة للمصادقة. ومع ذلك، فإن الطريقة بالكاد مناسبة لملايين مستخدمي الإنترنت العاديين. وغالبًا ما ينزعج الأشخاص العاديون من مجرد فكرة المصادقة ثنائية العوامل، ناهيك عن دفع المال مقابل بعض المعدات الخاصة.

ولهذا السبب، طور تحالف FIDO نفسه الذي ابتكر مفاتيح U2F، معيار مصادقة جديد يستخدم “مفاتيح المرور” بدلاً من كلمات المرور. وبعبارات بسيطة، تشبه التقنية تقريبًا مفاتيح U2F، باستثناء أنك لست بحاجة إلى أي جهاز خاص لتخزين بيانات المصادقة.

يمكنك تخزين مفاتيح المرور بشكل أساسي في أي مكان – الهاتف الذكي أو الكمبيوتر أو ملف تعريف المستخدم في المستعرض أو – بالطريقة القديمة – مفتاح USB. ويمكنك اختيار مزامنتها عبر السحابة أو عدم مزامنتها على الإطلاق، إذا اخترت وضع رمز المرور الفريد.

من الواضح أن هذه القائمة الطويلة من خيارات التخزين تجعل مفاتيح المرور أقل أمانًا إلى حد ما. أقل أمانًا إلى أي قدر – يعتمد هذا على مجموعة المعدات والخدمات التي تستخدمها.

للتعويض عن ذلك، يحصل المستخدمون على هذه الميزة القيّمة: لا تكمل مفاتيح المرور كلمات مرور الحساب، بل تحل محلها. علاوة على ذلك، لا تزال هذه المصادقة متعددة العوامل: بالإضافة إلى امتلاك جهاز يستخدم لتخزين مفاتيح المرور الخاصة بك، يجب عليك التحقق من تسجيل الدخول إما باستخدام القياسات الحيوية (إذا كانت أداتك تدعمها) أو رمز PIN لإلغاء قفل جهازك. وكما ترى، لا يمكنك الاستغناء عن كلمات المرور تمامًا في بعض الحالات، لكن على الأقل تقلل مفاتيح المرور عددها بشكل كبير.

تعد المشكلة الرئيسية للمبادرة أنها حتى الآن تشبه لحافًا مُرقَّعًا. وتستخدم الأنظمة الأساسية والخدمات المختلفة طرقًا مختلفة جدًا لتخزين البيانات ومصادقة المستخدم والأمان ككل. لذلك بدلاً من استخدام طريقة واحدة فقط، يتم استخدام عدد من الطرق المختلفة، التي تتفاوت بشكل كبير من حيث الموثوقية.

لذلك سيكون من السابق لأوانه بعض الشيء التبديل إلى مفاتيح المرور بشكل كامل. لكن يمكنك تجربتها بالفعل: منذ فترة، أعلنت Google عن الدعم الكامل لمفاتيح المرور بواسطة حسابات Google، لذلك إذا كان مهتمًا، فإن أي شخص يمكنه رؤية كيفية عملها في الحياة الواقعية.

ما طرق المصادقة ثنائية العوامل الأفضل والأشياء الأخرى التي يجب تذكرها

في الختام، إليك النقاط الرئيسية:

  • في عام 2023، لم تعد المصادقة ثنائية العوامل رفاهية بل أصبحت ضرورة حيوية. ويمكنك استخدامه حيثما أمكن ذلك.
  • تعتبر أي طريقة مصادقة ثنائية العوامل أفضل من عدم استخدام طريقة على الإطلاق.
  • تُعد تطبيقات المصادقة مثالية للمصادقة ثنائية الاتجاه.
  • يعد مفتاح جهاز FIDO U2F – ‏Yubico YubiKey أو Google Titan أو غيرهما – خيارًا أفضل، خاصة للحسابات عالية القيمة.
  • يمكنك تجربة مفاتيح المرور بالفعل، لكن يبدو أنه من المبكر بعض الشيء تبني هذه التكنولوجيا بشكل كامل.
  • لذلك، لا يزال من الضروري استخدام كلمات المرور بعناية: اختر كلمات مرور معقدة، وتجنب إعادة استخدامها في خدمات متعددة، وحافظ على أمانها باستخدام برنامج لإدارة كلمات المرور.
  • وبالطبع، لا تنس أن معظم طرق المصادقة ثنائية العوامل (بخلاف U2F ومفاتيح المرور) عرضة للتصيد الاحتيالي. لذلك، استخدم حلاً موثوقًا به يزيل هذا التهديد تلقائيًا، مثل Kaspersky Premium.
النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!