التحقق بخطوتين Two Factor Authentication

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث

مقدمة

التحقق بخطوتين Two Factor Authentication هي إحدى أهم الطرق المستخدمة في يومنا هذا للمصادقة Authentication على شخصية مستخدم ما يحاول الوصول إلى حساب له سواء على الانترنت أو على حاسبه الشخصي.

تعتمد عملية التحقق بخطوتين على أمرين:

  1. شيء تعرفه: وهو كلمة السرّ
  2. شيء تملكه: مثلا هاتفك الجوال المرتبط بالحساب (أو مفتاح يو إس بي USB Key مرتبط بالحساب وهناك أدوات أخرى أقل شيوعا...)

إذا لإتمام عملية المصادقة أي التحقق من شخصيته وأهلية المستخدم للوجول إلى لحساب يجب على المستخدم أن يدخل كلمة السرّ Password الصحيحة وبعد ذلك أن يستخدم رمزا سريا يولده الجهاز الذي بحوزة المستخدم والمرتبط بالحساب.

تاريخ التحقق بخطوتين

التحقق بخطوتين Two Factor Authentication ميزة أضافتها شركات الخدمات على الانترنت لحماية زبائنها من المخاطر المرتبطة باحتمال سرقة كلمة السرّ خاصتهم.

فكلمات السر حتى وإن كانت طويلة ومعقّدة وتتكون من حروف كبيرة وصغيرة وأرقام ورموز عشوائية، من الممكن سرقتها إن استطاع المخترق مثلا تشغيل برمجية خبيثة على جهازك. أو إن استطاع السارق تصوير لوحة المفاتيح أثناء كتابتك كلمة السرّ في تلك الخانة وهذه الطريقة البسيطة في سرقة كلمات السرّ تزداد انتشارا مع انتشار الهواتف المزودة بكاميرات. أما إذا كانت كلمة السرّ سيئة كأن تكون قصيرة جدا أو سهلة التخمين فإن سرقتها ووقوعها في يد جهات أخرى مسألة وقت فقط لأن المخترقين يحاولون باستمرار التحكم بحسابات غير خاصة بهم على الانترنت للكثير من الأسباب التي لن ندخل في تفاصيلها هنا.

هذا الخطر تهديد حقيقي يشمل جميع مستخدمي خدمات الانترنت.

حاولت الشركات التي تقدم خدمات على الانترنت لفترات طويلة إضعاف هذا التهديد أو تقليل آثاره عبر أساليب كثيرة. نذكر منها:

  • منع المستخدمين من وضع كلمات سرّ سهلة لحساباتهم
  • تذكير المستخدم من ضرورة تغيير كلمة السرّ بعد مرور فترة زمية معينة
  • منع المستخدمين من معاينة كلمة المخزنة ضمن حسابهم
  • منع المستخدمين من تغيير كلمة السر المرتبطة بحسابهم بدون ذكر كلمة السرّ القديمة
  • منع المستخدمين عند تسجيل الدخول من إدخال كلمة السرّ بشكل خاطئ أكثر من عدد معين من المرات قبل قفل الحساب مؤقتا للشك في محاولة اختراقه
  • محاولة التحقق من شخصية المستخدم عبر أسئلة إضافية عند تسجيل الدخول من بعيد جغرافيا عن الموقع المعتاد الذي يسجل منه المستخدم الدخول
  • ذكر رسالة للمستخدم تطلب منه تغيير كلمة السرّ في حال ثبت للشركة صاحبة الخدمة أن محاولة تم إيقافها لاختراق الحساب من قبل مخدم خبيث معروف
  • وضع آليات لاسترجاع الحسابات المسروقة

كل هذه الأساليب جيدة ومفيدة وقد أثبتت فعالية كبيرة جدا في حل الكثير من المسائل المتعلقة باختراق الحسابات على الانترنت.

لكن التطور الأكثر إثارة في موضوع حماية الحسابات على الانترنت يكمن في ظهور ونضوج فكرة التحقق بخطوتين Two Factor Authentication. كما ذكرنا سابقا، تعتمد عملية التحقق بخطوتين على أمرين:

  1. شيء تعرفه، وهو كلمة السرّ
  2. شيء تملكه، مثلا هاتفك الجوال المرتبط بالحساب (أو مفتاح يو إس بي USB Key مرتبط بالحساب وهناك أدوات أخرى أقل شيوعا...)

بالتالي على المستخدم الراغب في دخول حسابه المحمي بخطوتين أن يعرف كلمة السرّ وأن يحمل هاتفه الذكي المرتبط بحسابه على الانترنت. شئ يحفظه المستخدم وشئ يملكه. ففي هذه الحالة، بعد إدخال كلمة السرّ الصحيحة، لا يستطيع المستخدم معاينة حسابه مباشرة وإنما يطلب منه إدخال رقم سري من عدد من الأرقام يولده تطبيق ما على الهاتف الذكي المرتبط بالحساب أو عبر رسالة SMS تصل لهاتف الجوال المرتبط بالحساب (أو عبر إدخال مفتاح يو إس بي USB Key المرتبط بالحساب في سواقة USB). فإن قام المستخدم بوضع الرقم السرّي بنجاح يصل المستخدم إلى حسابه على الانترنت.

أما إن استطاع أحدهم سرقة كلمة السرّ دون أن يكون بحوزته الهاتف الذكي المرتبط بالحساب، سيتجاوز السارق العقبة الأولى (كلمة السرّ) لكنه سيقف عاجزا أمام العقبة الثانية (الرقم السرّي الذي يولّده الهاتف الذكي المرتبط بالحساب). إذا لم يعد هناك خوف من أن يستطيع سارق بعيد عنك فيزيائيا من دخول حسابك المحمي بخطوتين. وهذا يعني أن إمكانية اختراق حسابك أصبحت محصورة بمن يستطيعون الحصول على كل من كلمة سرك وهاتفك الذكي.

وقد يطرح سؤال حول الرقم: أليس من الممكن تخمين الرقم؟ خاصة أنه يتألف فقط من 6 أرقام، وهو أرقام فقط أي لا يحتوي أي حروف أو رموز لجعل تخمينه أصعب. لهذه المشكلة حل بسيط في آلية التحقق بخطوتين، فهذا الرقم السري صالح لمدة 30 ثانية فقط أو لمدة 60 دقيقة (حسب الخدمة)، وبعد مرور هذه الثواني يصبح هذا الرقم غير صالح. ويتم توليد رقم جديد على التطبيق، (في حين يجب على مستخدم الرسائل القصيرة SMS طلب رقم سرّي جديد من الخدمة يرسل له عبر الـ SMS).

كيف يمكن تفعيل عملية التحقق بخطوتين؟

من الممكن أن يتم تفعيل عملية التحقق بخطوتين في حال كانت الشركة أو الموقع يدعم هذه الميزة، لحسن الحظ في يومنا هذا قامت معظم المواقع المعروفة بدعم هذه الميزة مثل غوغل Google، فيسبوك Facebook، دروببوكس Dropbox، مايكروسوفت Microsoft وغيرها.

من أجل لائحة كاملة بالمواقع التي تدعم الميزة مصنفة حسب الخدمة التي يقدمها الموقع اتبع الرابط التالي https://twofactorauth.org/

فيما يلي روابط لكيفية إعداد هذه الميزة على أهم المواقع:

مخاطر استخدام التحقق بخطوتين

على الرغم من توفيرها لطبقة أمان إضافية، يتخلل عملية التحقق بخطوتين بعض المخاطر ولكن من الممكن تفاديها:

خطر استخدام الرسائل النصية أو المكالمات الصوتية في الدول المستبدة

فمعظم المواقع تتيح إمكانية تلقي الرقم السري عبر طريقتين: الرسائل النصية القصيرة والمكالمات الصوتية، أو عبر تطبيق خاص بالخدمة. الخطر في هذه العملية هو الاستقبال عبر الرسائل النصية القصيرة والمكالمات الصوتية، ما يعني أنه في حال قامت شركات الاتصالات الخاضعة للحكومات المستبدة بالحصول على كلمة السر، فإنها تستطيع أيضاً الحصول على الرقم السري الخاص بكم فور إرسالها وذلك نظراً لسهولة مراقبة هذه الخدمات. بالإضافة لذلك لا يمكن الوثوق بتوافر خدمة الرسائل النصية دائما فمن الممكن للسلطات المستبدة حجب هذه الرسائل النصية في محاولة منها لإضعاف أمن المستخدمين ضمن حدودها. لذلك ننصح المستخدمين عند إعداد خدمة التحقق من خطوتين أن يتجنبوا استخدام الرسائل النصية وأن يقوموا باستخدام التطبيقات على الهواتف الذكية إن أمكنهم ذلك.شركات الاتصال والحكومات أو المخترقين.

خطر خسارة الهاتف الجوال أو الذكي

كمصادرته أو سرقته أو ضياعه مثلاً، في هذه الحال ستفقدون إمكانية الدخول إلى حسابكم. لتفادي هذه المشكلة تقوم المواقع التي تدعم ميزة التحقق بخطوتين بتزويد كل مستخدم يفعل هذه الخدمة بعدد من الرموز الاحتياطية، كل رمز منها صالح للاستخدام لمرة واحدة فقط. في حال ضياع أو سرقة هاتفكم الجوال، بإمكانكم استخدام أحد هذه الرموز للولوج إلى حسابكم لتغيير كلمة السرّ فورا ولتغيير رقم الهاتف المرتبط مع الحساب أو لإيقاف خدمة التحقق بخطوتين مؤقتا.


مقابلات حول التحقق بخطوتين

مقابلة مع خبير الامن الرقمي دلشاد عثمان حول التحقق بخطوتين

مقابلات مع خبراء وناشطين في سورية حول التحقق بخطوتين:

تنقّل في الكتيب eBook Navigation

السابق:كلمات السرّ Passwords

التالي: التشفير Encryption

المصادقة Authentication

التحكم بالوصول Access Control

أساسيات في الأمن الرقمي Information Security Essentials

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

التحقق بخطوتين على غوغل Google 2-Step Verification

التحقق بخطوتين على فيسبوك Facebook Login Approvals

التحقق بخطوتين على تويتر Twitter Login Verification

التحقق بخطوتين على مايكروسوفت Microsoft Two-Step Verification

التحقق بخطوتين على دروببوكس Dropbox Two-Step Verification

التحقق بخطوتين على آي كلاود iCloud Two-Step Verification

مراجع References

استخدام «التحقق بخطوتين» لحماية حساباتكم الشخصية من الاختراق من موقع سايبر أرابز

Google 2-Step Verification

إعداد التحقق بخطوتين في «جيميل» من موقع سايبر أرابز

Introducing Login Approvals

استخدام “التحقق بخطوتين” في موقع فيس بوك من موقع سايبر أرابز

Getting started with Twitter login verification

إعداد التحقق بخطوتين في «مايكروسوفت» من موقع سايبر أرابز

iCloud: two-step verification

How do I enable two-step verification on my Dropbox account?

إعداد التحقق بخطوتين في «دروب بوكس» من موقع سايبر أرابز

Two Factor Auth 2FA