الصفحة الرئيسية » howto » لماذا لا يجب استخدام SMS للمصادقة الثنائية (وماذا تستخدم بدلاً من ذلك)

    لماذا لا يجب استخدام SMS للمصادقة الثنائية (وماذا تستخدم بدلاً من ذلك)

    يوصي خبراء الأمن باستخدام المصادقة الثنائية لتأمين حساباتك عبر الإنترنت كلما أمكن ذلك. العديد من الخدمات الافتراضية للتحقق من الرسائل النصية القصيرة ، وإرسال الرموز عبر رسالة نصية إلى هاتفك عند محاولة تسجيل الدخول. ولكن رسائل SMS تحتوي على الكثير من مشاكل الأمان ، وهي الخيار الأقل أمانًا للمصادقة الثنائية.

    الأشياء الأولى أولاً: الرسائل القصيرة لا تزال أفضل من عدم المصادقة الثنائية على الإطلاق!

    في حين أننا سنضع القضية ضد الرسائل القصيرة هنا ، فمن المهم أن نوضح شيئًا أولاً: استخدام الرسائل القصيرة أفضل من عدم استخدام المصادقة الثنائية على الإطلاق.

    عندما لا تستخدم المصادقة الثنائية ، يحتاج شخص ما فقط إلى كلمة المرور الخاصة بك لتسجيل الدخول إلى حسابك. عند استخدام المصادقة الثنائية مع SMS ، سيحتاج شخص ما إلى الحصول على كلمة المرور الخاصة بك والوصول إلى رسائلك النصية للوصول إلى حسابك. الرسائل القصيرة أكثر أمنا من أي شيء على الإطلاق.

    إذا كانت SMS هي خيارك الوحيد ، فيرجى استخدام الرسائل القصيرة. ومع ذلك ، إذا كنت ترغب في معرفة لماذا يوصي خبراء الأمان بتجنب الرسائل النصية القصيرة وما نوصي به بدلاً من ذلك ، فاقرأ.

    SIM المبادلة تسمح للمهاجمين بسرقة رقم هاتفك

    في ما يلي كيفية عمل ميزة التحقق من الرسائل القصيرة: عندما تحاول تسجيل الدخول ، ترسل الخدمة رسالة نصية إلى رقم الهاتف المحمول الذي سبق أن زودتهم به. يمكنك الحصول على هذا الرمز على هاتفك وإدخاله لتسجيل الدخول. هذا الرمز جيد فقط للاستخدام الفردي.

    يبدو آمنة إلى حد معقول. بعد كل شيء ، فقط لديك رقم هاتفك وشخص ما يجب أن يكون هاتفك لرؤية رمز الحق؟ للاسف لا.

    إذا كان هناك شخص يعرف رقم هاتفك ويمكنه الوصول إلى معلومات شخصية مثل الأرقام الأربعة الأخيرة من رقم الضمان الاجتماعي - للأسف ، فسيكون من السهل العثور على هذا بفضل العديد من الشركات والوكالات الحكومية التي سربت بيانات العملاء - يمكنهم الاتصال بهاتفك الشركة ونقل رقم هاتفك إلى هاتف جديد. يُعرف هذا باسم "مبادلة SIM" ، وهي نفس العملية التي تنفذها عند شراء جهاز جديد ونقل رقم هاتفك إليه. يقول الشخص إنك أنت ، ويوفر البيانات الشخصية ، وتقوم شركة الهاتف الخلوي بإعداد هاتفها برقم هاتفك. سيحصلون على رموز رسائل SMS التي يتم إرسالها إلى رقم هاتفك على هواتفهم.

    لقد رأينا تقارير عن هذا يحدث في المملكة المتحدة ، حيث سرق المهاجمون رقم هاتف الضحية واستخدموه للوصول إلى الحساب المصرفي للضحية. وقد حذرت ولاية نيويورك أيضا من هذه الفضيحة.

    في جوهرها ، هذا هو هجوم الهندسة الاجتماعية التي تعتمد على خداع شركة الهاتف الخليوي الخاصة بك. لكن لا ينبغي أن تكون شركة الهاتف الخلوي قادرة على تزويد شخص ما بإمكانية الوصول إلى رموز الأمان الخاصة بك في المقام الأول!

    يمكن اعتراض رسائل SMS في العديد من الطرق

    من الممكن أيضًا التجسس على رسائل SMS. سوف يرغب المنشقون السياسيون والصحفيون في الدول القمعية في توخي الحذر ، حيث يمكن للحكومة اختطاف رسائل SMS بمجرد إرسالها عبر شبكة الهاتف. وقد حدث هذا بالفعل في إيران ، حيث قيل أن مخترقين إيرانيين تعرضوا لعدد من حسابات Telegram messenger عن طريق اعتراض رسائل SMS التي توفر الوصول إلى هذه الحسابات.

    كما أساء المهاجمون مشكلات في SS7 ، نظام الاتصال المستخدم للتجوال ، لإعتراض رسائل SMS على الشبكة وتوجيههم في مكان آخر. هناك العديد من الطرق الأخرى التي يمكن بها اعتراض الرسائل ، بما في ذلك من خلال استخدام أبراج الهواتف الخلوية المزيفة. لم تكن رسائل SMS مصممة للأمان ، ولا يجب استخدامها.

    بعبارة أخرى ، يمكن لمهاجم متطور مزود بقليل من المعلومات الشخصية اختطاف رقم هاتفك للوصول إلى حساباتك على الإنترنت ثم استخدام هذه الحسابات لمحاولة استنزاف حساباتك المصرفية ، على سبيل المثال. هذا هو السبب في أن المعهد الوطني للمعايير والتكنولوجيا لم يعد يوصي باستخدام رسائل SMS للمصادقة الثنائية.

    البديل: إنشاء الرموز على جهازك

    إن نظام المصادقة الثنائية الذي لا يعتمد على الرسائل القصيرة هو الأفضل ، لأن شركة الهاتف الخلوي لن تكون قادرة على منح شخص آخر إمكانية الوصول إلى الرموز الخاصة بك. الخيار الأكثر شيوعًا لهذا التطبيق هو تطبيق Google Authenticator. ومع ذلك ، فنحن نوصي باستخدام Authy ، نظرًا لأنه يفعل كل ما يفعله Google Authenticator وأكثر من ذلك.

    تعمل تطبيقات مثل هذه على إنشاء رموز على جهازك. حتى لو قام أحد المهاجمين بخداع شركة الهاتف الخلوي لتحويل رقم هاتفك إلى هاتفه ، فلن يتمكن من الحصول على رموز الأمان الخاصة بك. ستبقى البيانات اللازمة لإنشاء هذه الرموز بشكل آمن على هاتفك.

     

    ليس عليك استخدام الرموز ، سواء. تختبر خدمات مثل Twitter و Google و Microsoft مصادقة ثنائية العوامل تستند إلى التطبيقات وتسمح لك بتسجيل الدخول على جهاز آخر من خلال تفويض تسجيل الدخول في تطبيقهم على هاتفك.

    هناك أيضا الرموز المادية المادية التي يمكنك استخدامها. نفذت الشركات الكبيرة مثل Google و Dropbox بالفعل معيارًا جديدًا للرموز المميزة بالمصادقة الثنائية القائمة على الأجهزة والمعروفة باسم U2F. هذه كلها آمنة أكثر من الاعتماد على شركة الهاتف الخلوي وشبكة الهاتف التي عفا عليها الزمن.

    إن أمكن ، تجنب الرسائل القصيرة للمصادقة الثنائية. إنه أفضل من لا شيء ويبدو مناسبًا ، ولكنه عادة ما يكون نظام المصادقة الثنائية الأقل أمانًا الذي يمكنك اختياره.

    للأسف ، بعض الخدمات تفرض عليك استخدام الرسائل القصيرة. إذا كنت قلقًا بشأن هذا ، فيمكنك إنشاء رقم هاتف Google Voice وتقديمه إلى الخدمات التي تتطلب مصادقة SMS. يمكنك بعد ذلك تسجيل الدخول إلى حسابك في Google - والذي يمكنك حمايته باستخدام طريقة مصادقة ثنائية أكثر أمانًا - والاطلاع على الرسائل الآمنة في موقع أو تطبيق Google Voice. لا تعمد إلى إعادة توجيه الرسائل من Google Voice إلى رقم هاتفك الخلوي الفعلي.