ينتقد الناس المصادقة الثنائية المستندة إلى الرسائل النصية القصيرة في أعقاب اختراق Reddit ، ولكن استخدام عامل ثانوي يستند إلى SMS لا يزال أفضل بكثير من عدم استخدام المصادقة الثنائية على الإطلاق.
لا يستخدم أكثر من 90٪ من مستخدمي Gmail المصادقة الثنائية:
لا يستخدم أكثر من 90٪ من مستخدمي Gmail أي مصادقة ثنائية على الإطلاق ، وفقاً لأحد العروض التقديمية التي قدمها مهندس Google Grzegorz Milka في USENIX Enigma 2018.
إن أهم شيء يمكن للأشخاص القيام به لحماية أنفسهم عبر الإنترنت هو تمكين أي نوع من أنواع المصادقة الثنائية لحسابهم المهم.
لنفترض أنك تريد وضع قفل على باب منزلك لحماية منزلك. يجادل خبراء الأمن حول أن أفضل نوع من الأقفال هو نوع الأقفال الأكبر ثمناً.
بالتأكيد، من المنطقي ذلك. ولكن إذا كان هذا التأمين الأكثر تكلفة ليس متاحاً لك، فهل يكون الأفضل وجود قفل أقل تكلفة أو عدم وجود قفل على الإطلاق؟
نعم، المصادقة ثنائية العوامل المستندة إلى التطبيق أفضل من المصادقة المستندة إلى SMS.
لكن، إذا كانت خدمة الرسائل القصيرة SMS هي كل المتوافر، فلا تزال أفضل من عدم استخدامها على الإطلاق.
العامل الثاني المستند إلى الرسائل النصية القصيرة يملك بعض نقاط الضعف. سيضطر المهاجم إلى قضاء بعض الوقت في تجاوز التحقق من الرسائل النصية القصيرة. وربما لا تستحق معظم الأهداف هذا الجهد الكبير.
لماذا تحتاج المصادقة الثنائية؟
تتم تسميته المصادقة الثنائية لأنها تتطلب أن يكون لديك شيئين للدخول إلى حسابك: شيء تعرفه (كلمة المرور) وشيء تملكه (رمز أمان إضافي من جهازك المحمول أو رمزاً فعلياً).
عندما تقوم بتمكين المصادقة الثنائية بعامل SMS ، سوف ترسل الخدمة إلى رقم الهاتف المحمول رسالة نصية تحتوي على رمز لمرة واحدة كلما قمت بتسجيل الدخول من جهاز جديد.
لذلك، حتى إذا كان لدى شخص ما اسم المستخدم وكلمة المرور لهذا الحساب، فلن يتمكن من تسجيل الدخول إلى حسابك دون الدخول إلى رسائلك النصية.
هناك أيضاً أنواع أخرى من طريقتين، بما في ذلك التطبيقات على هاتفك التي تنشئ رموز أمان مؤقتة ومفاتيح أمان فعلية يجب عليك توصيلها بالكمبيوتر.
يوفر أي نوع من المصادقة الثنائية قدراً كبيراً من الحماية للحسابات المهمة مثل بريدك الإلكتروني، ووسائل التواصل الاجتماعي، والحسابات المصرفية.
هذا صحيح بشكل خاص إذا كنت تعيد استخدام كلمات المرور. يعيد العديد من الأشخاص استخدام كلمات المرور في مواقع ويب متعددة.
عندما تسرّب قاعدة بيانات كلمة مرور موقع واحد، يمكن استخدام كلمة المرور هذه لتسجيل الدخول إلى حسابات البريد الإلكتروني الخاصة بهم. ستؤدي المصادقة الثنائية إلى إيقاف هذا الحق في الفعل.
يمكنك التعرف في مقالنا من خلال الضغط على هذا الرابط كيفية استخدام كلمة مرور قوية صعبة الاختراق وسهلة التذكر بالنسبة لك بنفس الوقت.
هذا لا يعني أنه يجب عليك إعادة استخدام كلمات المرور. يجب عدم إعادة استخدام كلمات المرور. يجب عليك استخدام مدير كلمات مرور جيد لتتبع كلمات المرور القوية والفريدة.
اقرأ معنا عن طريق الدخول إلى هذا الرابط أهمية مدير كلمات المرور ولمَ يجب عليك استخدامه.
لماذا يقول الناس أن المصادقة SMS سيئة؟
لا تعتبر المصادقة الثنائية المستندة إلى SMS مثالية نظراً لأن شخصاً ما يمكنه سرقة رقم هاتفك أو اعتراض رسائلك النصية. فمثلاً:
- يمكن للمهاجم انتحال شخصيتك ونقل رقم هاتفك إلى هاتف جديد عن طريق عملية احتيال. هذا هو الهجوم الأكثر احتمالاً، لدينا دليل كامل لما يمكن لك القيام به حيال ذلك.
- يمكن للمهاجم اعتراض رسائل SMS مخصصة لك. على سبيل المثال، يمكن أن يقوموا بانتحال برج خلية بالقرب منك، أو يمكن للحكومة أن تستخدم وصولها إلى الشبكة الخلوية لإعادة توجيه الرسائل.
وهذا هو السبب في أن الخبراء يوصون باستخدام طريقة أخرى للتحقق الثنائي، وهي طريقة لا يمكن إساءة استخدامها من قِبل بعض الدول، ولا تكون عرضة للخطر إذا كان مشغل شبكة الجوّال التابع لك يعطي رقم هاتفك لشخص آخر.
إذا حصلت على شيفرتك من تطبيق على هاتفك أو مفتاح أمان فعلي، فلن يكون استخدام العاملين لديك عرضة للمشكلات المتعلقة بشبكة الهاتف.
يحتاج المهاجم إلى هاتفك غير المؤمّن أو مفتاح الأمان الفعلي الذي يجب عليك تسجيل الدخول من خلاله.
بالتأكيد، في عالم مثالي، لا تعد الرسائل القصيرة الحل المثالي. لقد أوضحنا سبب عدم إعجاب خبراء الأمن بالمصادقة بخطوتين تستند إلى الرسائل النصية القصيرة.
لكن، حتى عندما وضعنا هذه القضية، حاولنا أن نوضح شيئاً واحداً: المصادقة الثنائية القائمة على الرسائل القصيرة هي أفضل بكثير من لا شيء.
بعض الناس بحاجة إلى مزيد من الأمان باستخدام مصادقة SMS:
الشخص العادي ليس لديه مشكلة في استخدام المصادقة المستندة إلى SMS في الوقت الحالي.
إن المصادقة المستندة إلى الرسائل النصية القصيرة تجعل المهاجمين يمرون بالكثير من المتاعب الإضافية للوصول إلى حسابك، وربما لا تستحق عناء مشاكلهم عندما تكون هناك أهداف أخرى أسهل وأكثر حساسية.
لا يستخدم معظم الناس حتى مصادقة الرسائل القصيرة، وستكون شبكة الويب مكاناً أكثر أماناً بكثير إذا كان الجميع يفعل ذلك.
يجب على الأشخاص الذين يُرجح أن يستهدفهم مهاجمون متطوّرون تجنب المصادقة المستندة إلى الرسائل النصية القصيرة.
على سبيل المثال، إذا كنت سياسياً أو صحافياً أو مشهوراً أو تاجراً كبيراً، فيمكن استهدافك.
إذا كنت شخصاً يتمتع بإمكانية الوصول إلى بيانات الشركة الحساسة، أو مسؤول نظام له وصول عميق إلى أنظمة حساسة، أو مجرد شخص لديه الكثير من الأموال في البنك، فقد تكون الرسائل القصيرة خطرة للغاية.
لكن، إذا كنت شخصاً عادياً يمتلك حساب Gmail أو Facebook ولم يكن لدى أحد سبباً في إنفاق بعض الوقت في الوصول إلى حساباتك، فإن مصادقة SMS ستكون جيدة ويجب عليك تمكينها تماماً بدلاً من عدم استخدام أي شيء على الإطلاق.
أنت مؤمّن بالمصادقة الثنائية حتى لو لم تفعّلها:
إليكم حقيقة مؤسفة أخرى يبدو أن الجميع يتستر عليها: حتى إذا كنت تتجنب المصادقة الثنائية القائمة على الرسائل النصية لحساب ما، فمن المحتمل أن تكون الرسائل القصيرة متاحة كطريقة احتياطية.
على سبيل المثال، حتى في حالة إنشاء رموز باستخدام تطبيق ما لتسجيل الدخول إلى حسابك في غوغل Google ، يمكنك استرداد حسابك باستخدام رقم هاتفك. هذا لحمايتك إذا فقدت إمكانية الوصول إلى هاتفك العامل أو الرمز المميز.
بعبارة أخرى، تتيح لك العديد من الخدمات – وربما أكثرها – الدخول إلى حسابك باستخدام رقم هاتفك، حتى إذا كنت تستخدم رمزاً أنشأه التطبيق أو مفتاح أمان فعلي معظم الوقت.
جرّب التحقق من الطرق الأخرى التي يمكنك تسجيل الدخول بها إذا لم يكن لديك طريقة عادية.
لهذا السبب، لحجب حساب غوغل Google حقاً، لن تحتاج إلى تجنب مصادقة ثنائية تستند إلى الرسائل النصية القصيرة.
تحتاج أيضاً إلى التسجيل في برنامج الحماية المتقدمة من غوغل Google ، الذي تعلن عنه غوغل Google لـ الصحفيين والنشطاء ورجال الأعمال وفرق الحملات السياسية.
يتطلب هذا البرنامج المجاني استخدام مفتاح أمان فعلي لتسجيل الدخول، ولكنه يتطلب أيضاً المزيد المعلومات لاستعادة حسابك.
الرجاء استخدام الرسائل القصيرة إذا كنت لا تستخدم المصادقة الثنائية الآن:
لا نريد أن نرشدك إلى شعور زائف بالأمان: إذا كنت شخصاً مستهدفاً على الأرجح من قبل الحكومات الأجنبية، أو جواسيس الشركات، أو المجرمين المنظمين، فيجب أن تتفادى على الإطلاق المصادقة الثنائية المستندة إلى الرسائل النصية القصيرة وأن تحمي حساباتك مع شيء أكثر أمناً.
ولكن، إذا كنت شخصاً عادياً ولم تمكّن المصادقة الثنائية، فلا تقلق: فالحماية المرتكزة على الرسائل القصيرة SMS سيجعلك أكثر أماناً من عدم وجود عاملين على الإطلاق.
باختصار، يجب على الجميع استخدام المصادقة عن طريق الرسائل القصيرة SMS ما لم يستخدموا شيئاً أفضل.