أشكال مختلفة من SMS المصادقة عامل اثنين ، تطبيقات Autheticator ، وأكثر

تقدم العديد من الخدمات عبر الإنترنت مصادقة ثنائية ، مما يعزز الأمان من خلال مطالبتك بأكثر من كلمة المرور الخاصة بك فقط لتسجيل الدخول. هناك العديد من الأنواع المختلفة من طرق المصادقة الإضافية التي يمكنك استخدامها.

تقدم الخدمات المختلفة أساليب مصادقة ثنائية مختلفة ، وفي بعض الحالات ، يمكنك حتى الاختيار من بين عدة خيارات مختلفة. وإليك كيفية عملها وكيف تختلف.

التحقق من الرسائل القصيرة

تسمح لك العديد من الخدمات بالتسجيل لتلقي رسالة SMS كلما قمت بتسجيل الدخول إلى حسابك. ستتضمن رسالة SMS تلك رمزًا قصيرًا للاستخدام مرة واحدة يجب عليك إدخاله. باستخدام هذا النظام ، يتم استخدام هاتفك الخلوي كأسلوب التوثيق الثاني. لا يمكن لشخص ما الدخول إلى حسابك إذا كان لديه كلمة المرور الخاصة بك - فهو يحتاج إلى كلمة المرور الخاصة بك والوصول إلى هاتفك أو رسائل SMS الخاصة به.

هذا مناسب ، لأنك لا تحتاج إلى القيام بأي شيء خاص ، ومعظم الناس لديهم هواتف محمولة. حتى أن بعض الخدمات ستطلب رقم هاتف وتتعامل مع نظام آلي يتكلم رمزًا ، مما يتيح لك استخدام هذا الرقم مع رقم هاتف أرضي لا يمكنه تلقي رسائل نصية.

ومع ذلك ، هناك مشكلات كبيرة في التحقق من الرسائل القصيرة. يمكن للمهاجمين استخدام هجمات المبادلة SIM للوصول إلى رموز آمنة أو اعتراضهم وذلك بفضل العيوب في الشبكة الخلوية. نوصي بعدم استخدام رسائل SMS ، إن أمكن. ومع ذلك ، لا تزال رسائل SMS أكثر أمانًا من عدم استخدام أي مصادقة ثنائية على الإطلاق!

الشفرات المولدة من التطبيق (مثل Google Authenticator و Authy)

يمكنك أيضًا إنشاء رموزك بواسطة تطبيق على هاتفك. التطبيق الأكثر انتشارًا على نطاق واسع هو تطبيق Google Authenticator ، والذي تقدمه Google لأجهزة Android و iPhone. ومع ذلك ، فإننا نفضل Authy ، الذي يفعل كل ما يفعله Google Authenticator وأكثر من ذلك. بالرغم من الاسم ، تستخدم هذه التطبيقات معيارًا مفتوحًا. على سبيل المثال ، من الممكن إضافة حسابات Microsoft والعديد من أنواع الحسابات الأخرى إلى تطبيق Google Authenticator.

ثبّت التطبيق وفحص الرمز عند إعداد حساب جديد ، وسيعمل هذا التطبيق على إنشاء رموز جديدة كل 30 ثانية تقريبًا. سيكون عليك إدخال الرمز الحالي المعروض في التطبيق على هاتفك وكذلك كلمة المرور الخاصة بك عند تسجيل الدخول إلى حساب.

هذا لا يتطلب إشارة خلوية على الإطلاق ، ويتم تخزين "البذرة" التي تسمح للتطبيق بتوليد هذه الرموز محدودة الوقت فقط على جهازك. وهذا يعني أنه أكثر أمانًا ، حيث إن الشخص الذي يحصل على إمكانية الوصول إلى رقم هاتفك أو يعترض رسائلك النصية لن يعرف رموزك.

بعض الخدمات ، على سبيل المثال ، Battle.net Authenticator من Blizzard ، لديها أيضًا تطبيقات مخصصة لتوليد الرموز.

مفاتيح التوثيق المادي

مفاتيح المصادقة المادية هي خيار آخر بدأ في أن يصبح أكثر شعبية. تعمل الشركات الكبيرة من قطاعي التكنولوجيا والقطاع المالي على إنشاء معيار معروف باسم U2F ، ومن الممكن بالفعل استخدام رمز U2F فعلي لتأمين حسابات Google و Dropbox و GitHub. هذا مجرد مفتاح USB صغير تضعه على keychain الخاص بك. عندما تريد تسجيل الدخول إلى حسابك من جهاز كمبيوتر جديد ، يجب عليك إدخال مفتاح USB والضغط على زر عليه. هذا هو أنه لا يوجد رموز الكتابة. في المستقبل ، يجب أن تعمل هذه الأجهزة مع NFC و Bluetooth للتواصل مع الأجهزة المحمولة بدون منافذ USB.

يعمل هذا الحل بشكل أفضل من التحقق من SMS ورموز الاستخدام لمرة واحدة لأنه لا يمكن اعتراضها أو إفسادها. كما أنها أبسط وأكثر ملاءمة للاستخدام. على سبيل المثال ، قد يعرض لك موقع التصيّد الاحتيالي صفحة تسجيل دخول مزيفة من Google ويلتقط رمز الاستخدام لمرة واحدة عند محاولة تسجيل الدخول. ويمكنه بعد ذلك استخدام هذا الرمز لتسجيل الدخول إلى Google. ولكن بفضل مفتاح المصادقة الفعلية الذي يعمل بالتنسيق مع متصفحك ، يمكن للمتصفح التأكد من أنه يتصل بموقع الويب الحقيقي ولا يمكن أن يتم التقاط الرمز بواسطة مهاجم.

نتوقع أن نرى الكثير من هذه في المستقبل.

المصادقة المستندة إلى التطبيق

قد توفر بعض تطبيقات الجوال مصادقة ثنائية باستخدام التطبيق نفسه. على سبيل المثال ، تقدم Google الآن مصادقة بدون عاملتين طالما تم تثبيت تطبيق Google على هاتفك. عندما تحاول تسجيل الدخول إلى Google من جهاز كمبيوتر أو جهاز آخر ، ما عليك سوى النقر على زر على هاتفك ، دون الحاجة إلى رمز. تتحقق Google للتأكد من إمكانية وصولك إلى هاتفك قبل محاولة تسجيل الدخول.

يعمل التحقق من خطوتين من Apple بشكل مشابه ، على الرغم من أنه لا يستخدم تطبيقًا ، إلا أنه يستخدم نظام التشغيل iOS نفسه. عندما تحاول تسجيل الدخول من جهاز جديد ، يمكنك الحصول على رمز لمرة واحدة يتم إرساله إلى جهاز مسجل ، مثل جهاز iPhone أو iPad. يحتوي تطبيق Twitter للجوّال على ميزة مماثلة تُعرف باسم التحقق من تسجيل الدخول أيضًا. وأضفت كل من Google و Microsoft هذه الميزة إلى تطبيقات الهاتف الذكي من Google و Microsoft Authenticator.

الأنظمة القائمة على البريد الإلكتروني

تعتمد الخدمات الأخرى على حساب بريدك الإلكتروني لمصادقتك. على سبيل المثال ، إذا قمت بتمكين Steam Guard ، فستطالبك شركة Steam بإدخال رمز لمرة واحدة يتم إرساله إلى بريدك الإلكتروني في كل مرة تقوم فيها بتسجيل الدخول من جهاز كمبيوتر جديد. يضمن هذا على الأقل أن يحتاج المهاجم إلى كلمة مرور حساب Steam الخاصة بك والوصول إلى حساب البريد الإلكتروني الخاص بك للوصول إلى هذا الحساب.

هذا ليس آمنًا مثل طرق التحقق الأخرى المكونة من خطوتين ، حيث قد يكون من السهل على شخص ما الوصول إلى حساب بريدك الإلكتروني ، خاصةً إذا كنت لا تستخدم التحقق بخطوتين عليه! تجنب التحقق من البريد الإلكتروني إذا كان بإمكانك استخدام شيء أقوى. (لحسن الحظ ، تقدم شركة Steam مصادقة تستند إلى التطبيق على تطبيق الجوال الخاص بها.)

آخر منتجع: رموز الانتعاش

توفر رموز الاستعادة شبكة أمان في حالة فقد أسلوب المصادقة الثنائية. عند إعداد مصادقة ثنائية ، ستحصل عادةً على رموز الاسترداد التي يجب عليك تدوينها وتخزينها في مكان آمن. ستحتاج إليها في حالة فقد طريقة التحقق المكونة من خطوتين.

تأكد من حصولك على نسخة من رموز الاسترداد في مكان ما إذا كنت تستخدم مصادقة بخطوتين.

لن تجد هذه الخيارات العديدة لكل حساب من حساباتك. ومع ذلك ، تقدم العديد من الخدمات طرقًا متعددة للتحقق من خطوتين يمكنك الاختيار من بينها.

هناك أيضًا خيار استخدام أساليب مصادقة ثنائية متعددة. على سبيل المثال ، إذا أعددت تطبيقًا لإنشاء الشفرة ومفتاح أمان فعليًا ، يمكنك الوصول إلى حسابك عبر التطبيق في حالة فقد المفتاح الفعلي.