بقلم “عامر عويضه”(*)
مع مرور السنوات الماضية المليئة بالانتهاكات الأمنية السيبرانية، قد حان الوقت لتقييم الطريقة التي نؤمن بها وجودنا على الإنترنت. والطريقة المعتادة لتأمين معظم حساباتك الرقمية هي باستخدام كلمة مرور. المشكلة هي أن لديك عشرات – حتى المئات – من الحسابات التي تحتاج إلى تأمينها. ماذا يمكنك أن تفعل حيال تأمين كل تلك الحسابات؟ هل لديك كلمة مرور فريدة لكل خدمة تستخدمها؟
سوف يجيب عدد كبير منكم على السؤال المطروح بـ “لا”، والاجابة لن تكون مفاجأة. في كثير من الأحيان يميل الأشخاص إلى الحفاظ على كلمات المرور بسيطة، بحيث يمكن تذكرها بسهولة. لا شيء يمكن أن يؤكد هذا أكثر من حقيقة أن الرمز المروري “123456” تم تصنيفه على أنها كلمة المرور الأكثر استخدامًا في عام 2018. إذا التزمنا بالممارسة المعمول بها (على الرغم من الاعتراف الآن بأنها معيبة بشكل خطير) المتمثلة في إنشاء كلمات مرور قوية مثل تضمين الأحرف الكبيرة والحروف الصغيرة، الأرقام والحروف الخاصة وما إلى ذلك، ما زلنا نميل إلى إعادة تدوير كلمات المرور الخاصة بنا أو استخدام أشكال مختلفة منها. وكما يقال، كلمات السر لها حدودها. إنها ليست سوى حاجز واحد بين حسابك والمتسلل.
عامل المصادقة الثنائية (2FA)، والمعروفة أيضًا باسم المصادقة متعددة العوامل (MFA)، هي طريقة بسيطة لإضافة طبقة أخرى من الأمان إلى حساباتك. ماذا نعني بالعاملين؟ لفهم ذلك، تحتاج إلى معرفة عوامل المصادقة الكلاسيكية الثلاثة، والتي يشار إليها غالبًا باسم “شيء تعرفه، وشيء لديك، وشيء هو أنت”. الأول هو أشياء مثل كلمات المرور وأرقام التعريف الشخصية وأنماط قفل الشاشة. والثاني هو أشياء مثل المفاتيح المادية (نحاسية أو رقمية)، والرموز الإلكترونية ورموز الرسائل القصيرة، في حين أن الثالث هو القياسات الحيوية مثل بصمات الأصابع وشبكة العين و تعريف الوجوه.
من المحتمل أنك الآن خمنت أن نظام عامل المصادقة الثنائية (2FA) يتطلب منك اجتياز تحديات المصادقة التي تتطلب استجابات من عاملين مختلفين. قد يكون ذلك رمز PIN (شيء تعرفه) وفحص بصمة الإصبع (شيء هو أنت)، أو فحص شبكية العين (شيء هو أنت) متبوعًا بإدخال رمز أمان (شيء لديك). نظرًا لاستخدام كلمات المرور تقليديًا للخدمات عبر الإنترنت فإنها تميل إلى أن تكون أحد العوامل التي لا تزال مطلوبة في مخططات عامل المصادقة الثنائية لهذه الخدمات. وبالتالي، فإن وجود نظام عامل المصادقة الثنائية يجمع بين كلمة مرور وحيازة عامل آخر يجعل من الصعب على المتسللين الوصول إلى حسابك لأنهم سيفقدون أحد أجزاء اللغز.
هناك مجموعة متنوعة من أنظمة عامل المصادقة الثنائية لاستخدام الخدمات. ما يشترك فيه معظمهم هو أنه يتم إنشاء رمز لمرة واحدة على جهاز مصادقة أو إرساله إلي المستخدم حتى يتمكن من إدخاله مع كلمة المرور الخاصة به، مما يتيح للمستخدم الوصول إلى حسابه. تتمثل الطريقة الأكثر شيوعًا في استخدام ميزة عامل المصادقة الثنائية التي تستخدمها الخدمات الشهيرة عبر الإنترنت في إرسال رسالة نصية تحتوي رمز مصادقة يتم إرساله إلى هاتفك. إنها ليست الطريقة الأفضل والأكثر أمانًا، لكنها لا تزال فعالة وأفضل من عدم وجود طريقة على الإطلاق.
و هناك تطبيقات المصادقة التي يمكنك استخدامها والتي يمكن إقرانها مع حساباتك. تستمر هذه التطبيقات في إنشاء رموز مصادقة صالحة لفترة زمنية محدودة فقط. على سبيل المثال، كل رمز صالح لمدة دقيقة واحدة فقط. ومثال اَخر؛ جربت جوجل نموذجًا جديدًا من عامل المصادقة الثنائية يلغي الحاجة إلى إدخال المفاتيح يدويًا، مما يحول هاتفك إلى مفتاح أمان نفسه. بدلاً من ذلك، تقدم بعض الشركات حلول الأجهزة الخاصة بها والتي يمكنك استخدامها لأغراض عامل المصادقة الثنائية. الخيارات كثيرة؛ وتحتاج فقط لاختيار واحد يناسب احتياجاتك بالشكل الأفضل.
توفر معظم المواقع الشائعة و الكبيرة خيار المصادقة ثنائية، و القليل يفرض عامل المصادقة الثنائية لتسجيل الدخول. بشكل عام، سيتعين عليك تحديد خيارات عامل المصادقة الثنائية لموقع ما وتمكينها بنفسك. يمكن العثور عليها عادة في إعدادات أو أقسام الخصوصية في الموقع. سترشدك المواقع من خلال إعداد طريقة عامل المصادقة الثنائية، وتقدم في بعض الأحيان أكثر من خيار واحد.
إذا كنت تتساءل ما إذا كان عامل المصادقة الثنائية مقاوم للرصاص، فقد كانت هناك حالات نادرة للغاية تم تجاوزها. ولكن في معظم الحالات، يوفر طبقة أمان إضافية كبيرة ضد الهجمات المختلفة التي تحاول خداعك للكشف عن بيانات اعتماد تسجيل الدخول الخاصة بك.
(*)الكاتب في أمن المعلومات لدى شركة «إسيت» ESET
