عنب بلدي | سلامتك
تعتبر كلمات السر خط الدفاع الأول لحماية الحسابات على الإنترنت، ولكن اختيار كلمات سهلة التخمين وضعيفة يجعلها عرضة للاختراق بسهولة. حاولت الشركات التي تقدم خدمات على الإنترنت الحد من التهديدات الرقمية وتقليل آثارها من خلال عدة أساليب منها: تذكير المستخدم بتغيير كلمة السر بعد مرور فترة زمنية معيّنة، منع استخدام كلمات سر سهلة أو منع تغيير كلمة السر من دون كتابة الكلمة المستخدمة سابقًا، بالإضافة إلى قفل الحساب مؤقتًا بعد محاولة تسجيل الدخول لعدة مرات باستخدام كلمة السر الخاطئة.
أثبتت هذه الأساليب فعالية كبيرة جدًا في حل كثير من المسائل المتعلقة باختراق الحسابات على الإنترنت، ومع تطور الهجمات والتهديدات الرقمية، بدأت فكرة التحقق بخطوتين بالتبلور أكثر لتوفير طبقة حماية إضافية للحسابات.
لذلك سعت شركات التكنولوجيا التي توفر خدمات تفاعلية من خلال شبكة الإنترنت (تويتر، فيسبوك، إنستجرام، البريد الإلكتروني…) إلى إنشاء طبقة حماية إضافية، يطلق عليها عدة أسماء منها: التحقق بخطوتين، المصادقة الثنائية، التحقق الإضافي…
توفر هذه الميزة طبقة أمان إضافية للحسابات في حال نجاح أحد الأشخاص في الحصول على كلمة المرور الأساسية، حيث لا يمكن للجهة المهاجمة تسجيل الدخول للحساب من دون التحقق الإضافي للمستخدم.
تعتمد عملية التحقق بخطوتين (المصادقة الثنائية) على خطوتين:
- الأولى (هي ما نعرفه): كلمة السر لتسجيل الدخول للحساب
- الثانية (هي ما نملكه): إدخال رموز (أرقام) للتأكد من هوية مستخدم للحساب.
هذه الرموز يتم توليدها بشكل تلقائي ويمكن الحصول عليها من خلال:
1. ربط الحساب برقم الهاتف: عند كل عملية تسجيل دخول يتم إرسال رمز التحقق إلى الهاتف.
2. تطبيق المصادقة الثنائية: عند كل عملية تسجيل دخول يتم توليد رمز لمدة 30 ثانية.
3. رموز احتياطية يتم الحصول عليها من داخل الحساب.
4. ستخدام “مفتاح يو إس بي” (USB Key): عند كل عملية تسجيل دخول يتم إدخال المفتاح في الكمبيوتر.
كيف تعمل ميزة التحقق بخطوتين؟
عند الرغبة بتسجيل الدخول للحساب الذي تم فيه تفعيل خيار التحقق بخطوتين (المصادقة الثنائية)، على سبيل المثال لتسجيل الدخول لحساب “فيسبوك”، يجب وضع اسم المستخدم وكلمة المرور (كلمة السر)، ثم سيطلب “فيسبوك” إدخال رمز التحقق بخطوتين، الذي كما ذُكر سابقًا يكون على شكل:
1. رمز (مجموعة أرقام): يتم إرسالها إلى الهاتف كرسالة نصية.
2. رمز (مجموعة أرقام): يتم توليدها لمدة 30 ثانية من خلال برنامج مولد الرموز.
3. الرموز الاحتياطية (مجموعة أرقام): يتم الحصول عليها من داخل الحساب.
4. “مفتاح يو إس بي” (USB Key): يتم إدخال المفتاح في الكمبيوتر.
بعد كتابة الرمز يتم تسجيل الدخول إلى حساب “فيسبوك”، وهنا لا بد من الإشارة إلى أن أغلب المواقع ومنصات التواصل الاجتماعي تدعم ميزة تفعيل التحقق بخطوتين، منها على سبيل المثال: “جوجل”، “فيسبوك”، “تويتر”، “إنستجرام”.
وللوهلة الأولى، قد تعتقد أن هذه الميزة معقدة وتأخذ الكثير من الوقت عند تسجيل الدخول، ولكن يمكنك حفظ جهازك بحيث لا يتم طلب الرمز في كل مرة، وفي حال تم تسريب كلمة المرور الخاصة بالحساب، لن يستطيع الشخص تسجيل الدخول من دون الحصول على أحد الرموز من الخطوات الأربع السابقة.
هذه الرموز صالحة لمدة 30 ثانية فقط أو لمدة 60 دقيقة (حسب الخدمة)، وبعد مرور هذه المدة يصبح هذا الرقم غير صالح، ويتم توليد رقم جديد على التطبيق، في حين يجب إعادة طلب رقم سري جديد في حال تفعيل الميزة على الرسائل النصية القصيرة (SMS).
هل يمكن اختراق الحسابات بعد تفعيل التحقق بخطوتين؟
يشكّل تفعيل ميزة التحقق بخطوتين العقبة الأساسية أمام الهجمات الرقمية، في حال السيطرة على كلمة السر الأساسية، وعدم وجود الجهاز المرتبط بالحساب لتوليد رموز التحقق بخطوتين، وبالتالي تصبح إمكانية اختراق الحساب أصعب، ولكن يجب تغيير كلمات المرور بشكل مستمر، والتأكد من اتباع شروط كلمة السر القوية والجيدة، كاختيار كلمات من 16 حرفًا أو أكثر، ومزج الحروف مع الرموز، والابتعاد عن تكرار الكلمة نفسها لأكثر من حساب، أو استخدام كلمة وجمل سهلة التخمين مثل المعلومات الشخصية، كالاسم أو المدن أو تاريخ الميلاد.
التطور السريع لأساليب هجمات البرمجيات الخبيثة، وتنزيل التطبيقات على الهواتف من أطراف ثالثة غير موثوقة، واختراق المعلومات وتسريبها لجهات ثالثة، وضياع أو سرقة هاتفك أو “مفتاح يو إس بي” (USB Key)، كلها تعتبر من أخطار تفعيل ميزة التحقق بخطوتين.
ولتفادي هذه المشكلة، تقوم المواقع التي تدعم ميزة التحقق بخطوتين بتزويد كل مستخدم بعد تفعيل هذه الخدمة بعدد من الرموز الاحتياطية، كل رمز منها صالح للاستخدام لمرة واحدة فقط. في حال ضياع أو سرقة الجهاز بالإمكان استخدام أحد هذه الرموز للدخول إلى الحساب وتغيير كلمة السر فورًا، ورقم الهاتف المرتبط مع الحساب أو إيقاف خدمة التحقق بخطوتين مؤقتًا.
أُعدت هذه المادة من قبل فريق “سلامتك” المتخصص بالأمن الرقمي