التحقق بخطوتين Two Factor Authentication

مقدمة

التحقق بخطوتين Two Factor Authentication هي إحدى أهم الطرق المستخدمة في يومنا هذا للمصادقة Authentication على شخصية مستخدم ما يحاول الوصول إلى حساب له سواء على الانترنت أو على حاسبه الشخصي.

تعتمد عملية التحقق بخطوتين على أمرين:

شيء تعرفه: وهو كلمة السرّ
شيء تملكه: مثلا هاتفك الجوال المرتبط بالحساب أو مفتاح يو إس بي USB Key (يسمى أيضا مفتاح U2F) مرتبط بالحساب وهناك أدوات أخرى أقل شيوعا...)

إذا لإتمام عملية المصادقة أي التحقق من شخصيته وأهلية المستخدم للوجول إلى لحساب يجب على المستخدم أن يدخل كلمة السرّ Password الصحيحة وبعد ذلك أن يستخدم رمزا سريا يولده الجهاز الذي بحوزة المستخدم والمرتبط بالحساب.

تاريخ التحقق بخطوتين

التحقق بخطوتين Two Factor Authentication ميزة أضافتها شركات الخدمات على الانترنت لحماية زبائنها من المخاطر المرتبطة باحتمال سرقة كلمة السرّ خاصتهم.

فكلمات السر حتى وإن كانت طويلة ومعقّدة وتتكون من حروف كبيرة وصغيرة وأرقام ورموز عشوائية، من الممكن سرقتها إن استطاع المخترق مثلا تشغيل برمجية خبيثة على جهازك. أو إن استطاع السارق تصوير لوحة المفاتيح أثناء كتابتك كلمة السرّ في تلك الخانة وهذه الطريقة البسيطة في سرقة كلمات السرّ تزداد انتشارا مع انتشار الهواتف المزودة بكاميرات. أما إذا كانت كلمة السرّ سيئة كأن تكون قصيرة جدا أو سهلة التخمين فإن سرقتها ووقوعها في يد جهات أخرى مسألة وقت فقط لأن المخترقين يحاولون باستمرار التحكم بحسابات غير خاصة بهم على الإنترنت للكثير من الأسباب التي لن ندخل في تفاصيلها هنا.

هذا الخطر تهديد حقيقي يشمل جميع مستخدمي خدمات الإنترنت.

حاولت الشركات التي تقدم خدمات على الإنترنت لفترات طويلة إضعاف هذا التهديد أو تقليل آثاره عبر أساليب كثيرة. نذكر منها:

منع المستخدمين من وضع كلمات سرّ سهلة لحساباتهم
تذكير المستخدم من ضرورة تغيير كلمة السرّ بعد مرور فترة زمية معينة
منع المستخدمين من معاينة كلمة المخزّنة ضمن حسابهم
منع المستخدمين من تغيير كلمة السر المرتبطة بحسابهم بدون ذكر كلمة السرّ القديمة
منع المستخدمين عند تسجيل الدخول من إدخال كلمة السرّ بشكل خاطئ أكثر من عدد معين من المرات قبل قفل الحساب مؤقتا للشك في محاولة اختراقه
محاولة التحقق من شخصية المستخدم عبر أسئلة إضافية عند تسجيل الدخول من بعيد جغرافيا عن الموقع المعتاد الذي يسجل منه المستخدم الدخول
ذكر رسالة للمستخدم تطلب منه تغيير كلمة السرّ في حال ثبت للشركة صاحبة الخدمة أن محاولة تم إيقافها لاختراق الحساب من قبل مخدم خبيث معروف
وضع آليات لاسترجاع الحسابات المسروقة

كل هذه الأساليب جيدة ومفيدة وقد أثبتت فعالية كبيرة جدا في حل الكثير من المسائل المتعلقة باختراق الحسابات على الإنترنت.

لكن التطور الأكثر إثارة في موضوع حماية الحسابات على الانترنت يكمن في ظهور ونضوج فكرة التحقق بخطوتين Two Factor Authentication. كما ذكرنا سابقا، تعتمد عملية التحقق بخطوتين على أمرين:

شيء تعرفه، وهو كلمة السرّ
شيء تملكه، مثلا هاتفك الجوال المرتبط بالحساب، أو مفتاح يو إس بي USB Key مرتبط بالحساب (وهناك أدوات أخرى أقل شيوعا).

بالتالي على المستخدم الراغب في دخول حسابه المحمي بخطوتين أن يعرف كلمة السرّ وأن يحمل هاتفه الذكي المرتبط بحسابه على الإنترنت. شئ يحفظه المستخدم وشئ يملكه. ففي هذه الحالة، بعد إدخال كلمة السرّ الصحيحة، لا يستطيع المستخدم معاينة حسابه مباشرة وإنما يطلب منه إدخال رقم سري من عدد من الأرقام يولده تطبيق ما على الهاتف الذكي المرتبط بالحساب أو عبر رسالة نصية قصيرة SMS تصل لهاتف الجوال المرتبط بالحساب (أو عبر إدخال مفتاح يو إس بي USB Key المرتبط بالحساب في سواقة USB). فإن قام المستخدم بوضع الرقم السرّي بنجاح يصل المستخدم إلى حسابه على الانترنت.

أما إن استطاع أحدهم سرقة كلمة السرّ دون أن يكون بحوزته الهاتف الذكي المرتبط بالحساب، سيتجاوز السارق العقبة الأولى (كلمة السرّ) لكنه سيقف عاجزا أمام العقبة الثانية (الرقم السرّي الذي يولّده الهاتف الذكي المرتبط بالحساب). إذا لم يعد هناك خوف من أن يستطيع سارق بعيد عنك فيزيائيا من دخول حسابك المحمي بخطوتين. وهذا يعني أن إمكانية اختراق حسابك أصبحت محصورة بمن يستطيعون الحصول على كل من كلمة سرك وهاتفك الذكي.

وقد يطرح سؤال حول الرقم: أليس من الممكن تخمين الرقم؟ خاصة أنه يتألف فقط من 6 أرقام، وهو أرقام فقط أي لا يحتوي أي حروف أو رموز لجعل تخمينه أصعب. لهذه المشكلة حل بسيط في آلية التحقق بخطوتين، فهذا الرقم السري صالح لمدة 30 ثانية فقط أو لمدة 60 دقيقة (حسب الخدمة)، وبعد مرور هذه الثواني يصبح هذا الرقم غير صالح. ويتم توليد رقم جديد على التطبيق، (في حين يجب على مستخدم الرسائل النصية القصيرة SMS طلب رقم سرّي جديد من الخدمة يرسل له عبر الـ SMS).

كيف يمكن تفعيل عملية التحقق بخطوتين؟

من الممكن أن يتم تفعيل عملية التحقق بخطوتين في حال كانت الشركة أو الموقع يدعم هذه الميزة، لحسن الحظ في يومنا هذا قامت معظم المواقع المعروفة بدعم هذه الميزة مثل غوغل Google، فيسبوك Facebook، دروببوكس Dropbox، مايكروسوفت Microsoft وغيرها.

من أجل لائحة كاملة بالمواقع التي تدعم الميزة مصنفة حسب الخدمة التي يقدمها الموقع اتبع الرابط التالي https://twofactorauth.org/

فيما يلي روابط لكيفية إعداد هذه الميزة على أهم المواقع:

غوغل Google: التحقق بخطوتين على غوغل Google 2-Step Verification
حسابات مايكروسوفت Microsoft مثلا هوتميل Hotmail: التحقق بخطوتين على مايكروسوفت Microsoft Two-Step Verification
حسابات ياهو Yahoo: التحقق بخطوتين على ياهو Yahoo Two-Step Verification
دروببوكس Dropbox: التحقق بخطوتين على دروببوكس Dropbox Two-Step Verification
فيسبوك Facebook: التحقق بخطوتين على فيسبوك Facebook Login Approvals
إنستاغرام Instagram: التحقق بخطوتين على إنستاغرام Instagram Two-Factor Authentication
تويتر Twitter: التحقق بخطوتين على تويتر Twitter Login Verification
آي كلاود iCloud: التحقق بخطوتين على آي كلاود iCloud Two-Step Verification
وورد بريس WordPress: التحقق بخطوتين على وورد بريس WordPress Two-Factor Authentication
واتس أب WhatsApp: التحقق بخطوتين على واتس أب WhatsApp Two-Factor Authentication
تيليغرام Telegram: التحقق بخطوتين على تيليغرام Telegram Two-Step Authentication
لينكد إن LinkdIn: التحقق بخطوتين على لينكد إن LinkedIn Two-Step Verification

مخاطر استخدام التحقق بخطوتين

على الرغم من توفيرها لطبقة أمان إضافية، يتخلل عملية التحقق بخطوتين بعض المخاطر ولكن من الممكن تفاديها:

خطر استخدام الرسائل النصية أو المكالمات الصوتية في الدول المستبدة

فمعظم المواقع تتيح إمكانية تلقي الرقم السري عبر طريقتين: الرسائل النصية القصيرة والمكالمات الصوتية، أو عبر تطبيق خاص بالخدمة. الخطر في هذه العملية هو الاستقبال عبر الرسائل النصية القصيرة والمكالمات الصوتية، ما يعني أنه في حال قامت شركات الاتصالات الخاضعة للحكومات المستبدة بالحصول على كلمة السر، فإنها تستطيع أيضاً الحصول على الرقم السري الخاص بكم فور إرسالها وذلك نظراً لسهولة مراقبة هذه الخدمات. بالإضافة لذلك لا يمكن الوثوق بتوافر خدمة الرسائل النصية دائما فمن الممكن للسلطات المستبدة حجب هذه الرسائل النصية في محاولة منها لإضعاف أمن المستخدمين ضمن حدودها. لذلك ننصح المستخدمين عند إعداد خدمة التحقق من خطوتين أن يتجنبوا استخدام الرسائل النصية وأن يقوموا باستخدام التطبيقات على الهواتف الذكية إن أمكنهم ذلك.شركات الاتصال والحكومات أو المخترقين.

خطر خسارة الهاتف الجوال أو الهاتف الذكي

كمصادرته أو سرقته أو ضياعه مثلاً، في هذه الحال ستفقدون إمكانية الدخول إلى حسابكم. لتفادي هذه المشكلة تقوم المواقع التي تدعم ميزة التحقق بخطوتين بتزويد كل مستخدم يفعل هذه الخدمة بعدد من الرموز الاحتياطية، كل رمز منها صالح للاستخدام لمرة واحدة فقط. في حال ضياع أو سرقة هاتفكم الجوال، بإمكانكم استخدام أحد هذه الرموز للولوج إلى حسابكم لتغيير كلمة السرّ فورا ولتغيير رقم الهاتف المرتبط مع الحساب أو لإيقاف خدمة التحقق بخطوتين مؤقتا.

خطر ضياع أو خسارة مفتاح U2F

يعني ضياع مفتاح U2F خسارة الوسيلة اللازمة للخطوة الثانية الضرورية عند استخدام ميزة التحقق بخطوتين Two Factor Authentication حيث تمت إعداد الميزة لاستخدام المفتاح. وهذا الخطر مشابه لخطر خسارة الهاتف الجوال أو الهاتف الذكي المرتبط بالحساب. لتفادي الوقوع في ظرف لا تستطيعون فيه الدخول إلى أحد حساباتكم المحمية بميزة التحقق بخطوتين باستخدام مفتاح U2F كخطوة ثانية عليكم التأكد من أن لديكم عدد من الرموز احتياطية Backup Codes التي تستطيعون استخدام أحدها عند ضياع المفتاح أو وجود وسيلة احتياطية ما للدخول إلى حسابكم. جميع الخدمات التي تتيح ميزة التحقق بخطوتين تتيح للمستخدم توليد مجموعة من الرموز الاحتياطية أو استخدام وسيلة احتياطية للدخول إلى الحساب. بإمكانكم استخدام أحد هذه الرموز أو إحدى هذه الطرق للولوج إلى حسابكم لإيقاف ميزة التحقق بخطوتين مؤقتا لحين شراء مفتاح جديد.