We use cookies to ensure that we give you the best experience on our website.

الرسائل القصيرة والرمز والمفتاح الفعلي: هل المصادقة المزدوجة مضمونة حقًا؟

تلقى الجميع رسالة نصية على هواتفهم لتأكيد عملية شراء أو معاملة عبر الإنترنت. الأمان المضاف إلى كلمة المرور التقليدية. ومع ذلك، وبرغم ما هو مطمئن، فهو ليس مثاليا ولا معصوما من الخطأ.

في 10 أبريل،أعلنت جوجلأنه يمكن استخدام الهواتف الذكية التي تعمل بنظام Android 7 والإصدارات الأحدث كعامل مصادقة مادي ثانٍ كجزء من خدماتها. عند الاتصال بحسابك باستخدام جهاز كمبيوتر، لا يحتاج هاتفك الذكي إلا إلى أن يكون قريبًا حتى تتم المصادقة تلقائيًا.

وقد أشاد خبراء الأمن السيبراني بهذه الميزة الجديدة. إذا أكدوا على أهمية المصادقة الثنائية (المصادقة الثنائية، أو 2FA) لتأمين حساباتها بشكل صحيح، فإن العديد من الحلول المقترحة حتى الآن تعاني من عدد معين من العيوب. الخدمة التي تقدمها Google تعمل حاليًا فقط مع حساب Google الخاص بك. أثناء انتظار التعميم على بقية الحياة الرقمية، ما الذي يجب فعله بالمصادقة المزدوجة؟

كيف تعمل المصادقة المزدوجة؟

لدينا جميعًا العشرات من الحسابات على المنصات الرقمية الكبرى. Google، وFacebook، وTwitter، وAmazon، وSpotify... هناك الكثير منها لدرجة أننا لم يعد بإمكاننا عدها. ومن الواضح أن هذه الحسابات، والبيانات المختلفة التي تحتوي عليها، أدت إلى موجات من القرصنة واسعة النطاق. وللتخفيف من آثار هذه الثغرات الأمنية، بدأت العديد من الخدمات في تقديم المشورة أو حتى فرض استخدام المصادقة المزدوجة.

للتخفيف من آثار الخروقات الأمنية، بدأت العديد من الخدمات في تقديم المشورة أو حتى فرض استخدام المصادقة المزدوجة.

لنفترض أن أحد المتسللين تمكن من سرقة كلمة مرور شخص ما. وبدون المصادقة الثنائية، سيتم اختراق حساب الضحية على الفور. ولكن إذا كان هذا الحساب يتطلب رسالة نصية قصيرة أو مفتاح USB (دونجل) أو رمزًا يرسله تطبيق مثبت على هاتفه - باختصار نظام مصادقة ثانٍ، فسيتم حظر المتسلل، مما يمنح المستخدم الوقت لتغيير كلمة المرور الخاصة بك.

ومع ذلك، فإن المصادقة الثنائية لم تنشأ مع الويب: بما أن السيد جوردان كتب النثر دون أن يعرف ذلك، فمن المحتمل أنك غالبًا ما تستخدمه في حياتك اليومية دون الاهتمام به. هذا هو الحال عادة مع بطاقة الائتمان. ما لم تستخدمها في الوضع اللاتلامسي، فلا يكفي امتلاك البطاقة فعليًا للدفع. سيكون من السهل جدًا على اللص. بمجرد إدخال البطاقة في القارئ، يجب عليك أيضًا إدخال رمز سري لا يعرفه أحد سواك.

بطاقة فعلية بالإضافة إلى رمز: بطاقة الائتمان هي تجسيد لنظام المصادقة المزدوجة.

هذا الرمز هو مثال لما يسمىعامل المصادقة الثاني. هناك ثلاثة أنواع مختلفة.

  • ما يعرفه المستخدم. هذا هو الحال مع رمز PIN أو الرقم المرسل عبر الرسائل القصيرة. هذا هو الوضع الأكثر شيوعًا للمصادقة الثنائية، لأنه غير مكلف وسهل الاستخدام.
  • ما لديه. هذا هو الحال بالنسبة لمفتاح المصادقة أو الهاتف الذكي في Google. إنها أكثر أمانًا، ولكنها غالبًا ما تكون أكثر تعقيدًا.
  • ما هو. وتشمل هذه بصمات الأصابع والبيانات البيومترية الأخرى. هذا هو الإجراء المتبع في بعض المطارات إذا كان لديك جواز سفر بيومتري: لا يتعين عليك تقديم المستند الخاص بك فحسب، بل يجب عليك أيضًا وضع أطراف أصابعك على القارئ.

ومع ذلك، من حيث المبدأ، لا تخلو المصادقة المزدوجة من العيوب. لنأخذ مثال بطاقة الائتمان مرة أخرى. إذا قمت بسحب الأموال ذات مساء من ماكينة الصراف الآلي، فيجب عليك إدخال الرمز السري الخاص بك في الجهاز. وأنت لست في مأمن من أعين المتطفلين. إذا لم تكن محظوظًا حقًا، فيمكن لأي شخص خبيث التجسس على الرمز الخاص بك قبل الاستيلاء على بطاقتك المصرفية. لم تعد المصادقة المزدوجة مفيدة بعد ذلك!

غير متكيف مع المخاطر الجديدة للإنترنت؟

بالفعل في عام 2005، خبير الأمن السيبراني بروس شنايراستنكر على مدونته"فشل المصادقة الثنائية". ويعتقد الباحث أن هذا الأمان كان فعالاً في التسعينيات، وكانت تقنيات سرقة كلمة المرور في الأساس "سلبية". وشملت هذه، على سبيل المثال، هجمات رجل في الوسط (هجوم رجل في الوسط، أو "MITM")، حيث يعترض المتسلل كلمة المرور بسرعة عن طريق اختراق نقطة اتصال Wi-Fi، على سبيل المثال؛ أو طرق أقل تعقيدًا تتمثل في تخمين كلمة المرور إذا كانت ذات نوعية رديئة.

تستجيب المصادقة الثنائية بشكل جيد لنقاط الضعف هذه في العام الماضي، ولكنها ستواجه صعوبة أكبر في إدارة ما يسمى بالهجمات "النشيطة" التي ظهرت في العقد الأول من القرن الحادي والعشرين.نسخة أكثر تفصيلاً من MITMوهو ما يذكرنا بالتصيد (التصيد)، يقوم المتسللون بإنشاء موقع ويب احتيالي بالمظهر والسلوك المتوقع من موقع شرعي، على سبيل المثال موقع أحد البنوك. ثم يخدعون المستخدم لإدخال بيانات الاعتماد الخاصة به.

ويتم بعد ذلك دمجها على الفور في الموقع الإلكتروني للبنك الحقيقي، والذي يرسل رسالة نصية قصيرة تحتوي على رمز إلى المستخدم الحقيقي. يقوم الأخير بإدخال الرمز الموجود على الموقع المزيف، وبالتالي يمكن للمتسللين وضع أيديهم على الحساب البنكي الحقيقي. وهي تقنية تتطلب بالتأكيد المزيد من الموارد، ولكنها ليست معقدة بشكل خاص في التنفيذ.

ويعمل حصان طروادة بشكل مباشر أكثر. ومن خلال اختراق جهاز الكمبيوتر الخاص بالضحية، يتعين على هذا الفيروس فقط انتظار اتصال الضحية بشكل شرعي بالبنك للتحكم في جلسته. في متغير اسمهرجل في المتصفح(MITB) وتم الكشف عنه في عام 2005، حيث يدخل حصان طروادة إلى متصفح الويب. عندما يعطي المستخدم تعليمات معينة إلى موقع البنك عبر متصفحه، يبدأ حصان طروادة في تقديم معلومات مختلفة تمامًا (مثل المبالغ، ومتلقي التحويل، وما إلى ذلك).

تتعلق نقاط الضعف الأخرى بإجراءات استعادة كلمة المرور، والتي تسمح لك بالعثور على معرفاتك إذا نسيتها. في كثير من الأحيان، ترسل المواقع بريدًا إلكترونيًا إلى المستخدم فقط، دون طرح أي أسئلة وخاصة دون استخدام إجراء المصادقة المزدوجة. وهكذا يخلص بروس شناير إلى أن المصادقة الثنائية ستكون مناسبة للاستخدامات المحلية وبعض الشركات، ولكنها لا تناسب بالضرورة جميع استخدامات الحسابات عبر الإنترنت. في الواقع، تظهر الحوادث الأمنية بسرعة، خاصة فيما يتعلق بالرسائل النصية القصيرة.

رقم الهاتف هذا مطمئن جدا

من المحتمل أنك جميعًا واجهت المصادقة الثنائية (2FA) عبر الرسائل القصيرة. بمجرد إدخال المعرفات الخاصة بك على الموقع، يرسل لك الموقع رمز استخدام لمرة واحدة عن طريق الرسائل القصيرة والذي يجب عليك إدخاله خلال فترة زمنية محددة. المأزق الأول لهذا النظام واضح تمامًا، لكنه لا يزال يستحق الذكر. إذا قمت بتغيير رقم هاتفك، فيجب أن تتذكر إدخال رقمك الجديد في كل حساب من حساباتك قبل إلغاء تنشيط رقمك القديم. وإلا فإنك تخاطر بفقدان الوصول إلى الأبد! وبعيدًا عن تفاصيل الإشراف هذه،لسوء الحظ، فإن المصادقة الثنائية عبر الرسائل النصية القصيرة (SMS) عرضة للاختراق.

مع ظهور الهاتف الذكي، أصبح رقم الهاتف حجر الزاوية – وحلقة ضعيفة حقيقية – لهويتنا الرقمية

مع ظهور الهاتف الذكي، أصبح رقم الهاتف حجر الزاوية – وحلقة ضعف حقيقية – في هويتنا الرقمية. لقد حل محل عنوان البريد الإلكتروني لإنشاء العديد من الحسابات، وغالبًا ما يرتبط بالعديد من الحسابات الأخرى. ومع ذلك، فإننا نولي اهتمامًا أقل بكثير بأمان رقم الهاتف الخاص بنا مقارنة بأمان عنوان بريدنا الإلكتروني، والذي غالبًا ما يكون محميًا بأقوى كلمة مرور لدينا. ربما يرجع السبب في ذلك إلى أن الهاتف الذكي شيء قريب من الذات، وأكثر "حميمية" من صندوق البريد الإلكتروني غير المادي، أو لأن رقم الهاتف لا يزال يظهر حتى تاريخه قبل ظهور الإنترنت وبالتالي فهو غير حساس لمخاطره. سمحت الثغرات الأمنية في الرسائل القصيرة وبطاقة SIM باختراق العديد من حسابات Instagram وإعادة بيعها في السوق السوداء، بينما تم ابتزاز مستخدمين آخرين للحصول على أموال.

الرسالة النصية القصيرة الشهيرة التي تحتوي على الرمز الذي يرسله البنك لتأكيد المعاملات عبر الإنترنت.

رقم الهاتف هدف جديد للمتسللين

تعتمد الرسائل القصيرة، مثل خدمات الهاتف المحمول الأخرى، على مجموعة من بروتوكولات الإشارات الهاتفية تسمىنظام الإشارات 7(SS7) وتم تطويره من قبل شركة الاتصالات الأمريكية العملاقة AT&T في عام 1975.العديد من الثغرات الأمنيةتم اكتشافها في SS7 خلال العقد الأول من القرن الحادي والعشرين والعقد الأول من القرن الحادي والعشرين، وبعضها يسمح على سبيل المثال بتحديد الموقع الجغرافي لمستخدمي الأجهزة المحمولة بدقة. في مايو 2017، المشغل الألمانيO2 تليفونيكاكان ضحية لثغرات أمنية خطيرة، مما سمح للمتسللين بقراءة الرسائل النصية والاستماع إلى المكالمات الهاتفية على الرغم من التشفير بواسطة الشبكات الخلوية.

وببساطة أكثر، يمكن للقراصنة أيضًا ممارسة الهندسة الاجتماعية من خلال استغلال العيوب البشرية. هدفهم: الحصول على نسخة من بطاقة SIM الخاصة بضحيتهم، حتى يتمكنوا من استقبال جميع الرسائل النصية القصيرة الموجهة إليهم. يُحظر على مشغلي الاتصالات من حيث المبدأ إصدار بطاقة SIM مكررة دون رؤية وثيقة هوية مالكها.

في الممارسة العملية،العديد من المتاجر مهملةإذا تمكنا من إقناع البائع. في الولايات المتحدة، يقوم اللصوص بإجراء مكالمات إلى مراكز الاتصال الخاصة بالمشغلين وسرقة هوية الضحية باستخدام بيانات مثل رقم الضمان الاجتماعي أو رخصة القيادة الخاصة بهم -قطعتان من المعلومات الحساسة التي تسربت بشكل خاص في عام 2017لـ 143 مليون عميل لوكالة الائتمان Equifax. بعد ذلك، عليهم فقط أن يعلنوا أنهم فقدوا بطاقة SIM الخاصة بهم، وهذا كل شيء.

المشكلة الأخيرة تتعلق بالخصوصية. من خلال تقديم رقم هاتفك على منصة عبر الإنترنت، فإنك تخاطر باستخدام هذه البيانات أو حتى إعادة بيعها لأغراض أخرى غير المصادقة.تم القبض على الفيسبوك متلبسا في شهر مارس الماضي: بمجرد تمكين المصادقة الثنائية عبر الرسائل النصية القصيرة، يمكن لأي شخص العثور على ملفك الشخصي على Facebook عن طريق إدخال رقم هاتفك في شريط البحث بالموقع. ولن تجد أي خيار في الإعدادات لإلغاء الاشتراك في هذا.

الحل من خلال تطبيقات المصادقة

إذا لم تكن خدمة الرسائل النصية القصيرة (SMS) خيارًا قابلاً للتطبيق، فهل يجب علينا التخلي عن المصادقة المزدوجة؟ لا، سيقول معظم خبراء الأمن السيبراني. على الرغم من عدم اكتمالها، تظل المصادقة المزدوجة أكثر أمانًا من المصادقة البسيطة. في حين أن العبقري غريب الأطوار بيننا قد يفضل استخداممفتاح الأمان الماديفغالبًا ما يظل استخدامها مكلفًا ومعقدًا، ناهيك عن مخاطر وضعها في غير موضعها.

بالنسبة للأشخاص العاديين، يظل أقوى وضع مصادقة مزدوجة على الهاتف الذكيتطبيق المصادقةوأشهرها Google Authenticator. يؤدي هذا إلى إنشاء رمز قصير الأمد جدًا (على سبيل المثال 30 ثانية) في كل مرة تحتاج فيها إلى الاتصال بحساب. يمر الكود عبر القنوات الآمنة باستخدام، على سبيل المثال،خوارزمية TOTP(كلمة مرور لمرة واحدة تعتمد على الوقت). ولذلك يتم استبعاد بطاقة SIM ونقاط ضعفها تمامًا من الإجراء.

يتيح لك منشئ كلمات المرور إنشاء كلمة مرور معقدة في ثوانٍ.

ويبقى الحل الأمثل هو ربط أحد تطبيقات المصادقة هذه بمدير كلمات المرور،مثل داشلان. لأنه في نهاية المطاف، فإن الجزء الأصعب بالنسبة للمتسللين هو العثور دائمًا على كلمة المرور. لا يستطيع Dashlane إنشاء كلمات مرور معقدة فحسب، بل يمكنه أيضًا، وقبل كل شيء، حمايتها في مكان واحد، داخل تطبيقه. يتوفر Dashlane على جميع الأجهزة اليوم (الكمبيوتر الشخصي أو Mac أو Android أو iOS) ويتم مزامنته تلقائيًا. ويتضمن أيضًا خيار الاتصال عبر نظام المصادقة المزدوجة.كما أن تنفيذه بسيط وبديهي..

أخيرًا، لاحظ أن الرابط أعلاه يتيح لك الاستفادة من خصم 10% على الاشتراك لمدة عام في Dashlane (أي 35.96 يورو بدلاً من 39.99 يورو) ولكن أيضًا تجربة الإصدار المميز مجانًا لمدة شهر.

Also Read