ما هي المصادقة الثنائية أو التحقق بخطوتين؟ وكيف تعمل؟

مصدر الصورة: futurerange.ie

منذ آلاف السنين، تم اعتماد المعلومات الشخصية كوسيلة للتحقق من هوية الأشخاص وتطورت طريقة طلب تلك المعلومات مع دخول البشرية في عصر رقمي لا حدود له، الإنترنت مهد لبداية هذا العصر وبدأ معه تحول الشركات والخدمات المالية والمصرفية بما فيها البنوك وغيرها للعالم الافتراضي.

قبل 20 عاماً من الآن، كان الهجوم على عملية “التحقق بخطوتين” كبيراً للغاية، بل وتم نشر العديد من المقالات التي تشير لفشلها في حماية حسابات المستخدمين ولا سيما البنكية منها من عمليات الاختراق. لكن اليوم ومع توفر الهواتف الذكية في يد أي مستخدم، أصبح الموضوع خطوة ضرورية بغض النظر عن كفاءتها أمام عمليات الاختراق المختلفة.

الأمان عبر الإنترنت يشبه إلى حد ما الامضاء على عقد تأمين المنزل أو السيارة أو المراجعة الدورية للطبيب، لن تدرك أهمية ذلك حتى تصبح ضحية لأحد الحالات السابقة. التحقق بخطوتين مرّت بتاريخ معقد ممتد من ثمانينات القرن الماضي ومازالت مستمرة حتى وقتنا الحالي بأشكالها المختلفة.

 

ماذا تعني المصادقة الثنائية أو التحقق بخطوتين؟

هي طبقة ثانية من الحماية لحساب أو نظام ما، يطلق عليها 2FA وهو اختصار لعبارة (Two-Factor Authentication) وهي أيضاً أحد أشكال المصادقة متعددة العوامل وأشهرها. يُطلب من المستخدم عند تفعيلها معلومات إضافية للتحقق منها بجانب كلمة السر الخاصة بحسابه.

تطورت أشكال المصادقة الثنائية وتعددت أنواعها، من رسائل نصية إلى تطبيقات مخصصة للتعامل معها. وتختلف درجات الحماية أيضاً فيما بينها على مستوى الأنواع نفسه، ولحسن الحظ فإن الهواتف اليوم ساعدت على حل العديد من المشاكل السابقة المتضمنة والتي كان أحدها الحصول على محركات فلاش USB مرفقة بشاشة LCD صغيرة مهمتها عرض رمز التحقق token.

 

آلية عمل المصادقة الثنائية

يتطلب الوصول إلى جميع حساباتك المهمة ومعلوماتك الشخصية كلمة مرور فقط، بغض النظر عن صعوبتها والخدمات والمواقع التي تدّعي الاحتفاظ بها بشكل آمن ومشفر، ببساطة فإنك لن تكون مدرك لخطورة الأمر حتى يتم الحصول على كلمة السر تلك.

آلية عمل المصادقة الثنائية

هنا يأتي دور المصادقة الثنائية، والتي ستعمل على طلب معلومة أو إدخال بيانات إضافية من طرف المستخدم بعد كلمة المرور، تشكل معادلة تسجيل الدخول تلك -إضافة إلى جعل عملية تسجيل الدخول مملة- الشكل النهائي للمصادقة الثنائية أو عملية التحقق بخطوتين.

لا يقتصر عمل المصادقة الثنائية على العالم الافتراضي فقط، بل تصل إلى مكونات العالم المادي أيضاً، من الامثلة على ذلك هو طلب أحد معلوماتك الشخصية المسجّلة على الهوية الحكومية عند الرغبة في إيداع مبلغ معين من النقود في حساباتك المصرفية وغيرها الكثير من الأمثلة وهي تعمل بالشكل ذاته للتحقق من هوية المستخدم بشكل كلي.

 

العوامل المستخدمة في المصادقة الثنائية

تعتبر المصادقة الثنائية الشكل الأقل تعقيداً من المصادقة متعددة العوامل، لكن إلى ماذا تشير كلمة العوامل تلك؟ هي باختصار المعلومات التي يتم إضافتها إلى نظام تسجيل الدخول بجانب كلمة المرور، وهي تختلف بين المواقع والخدمات ويمكن حينها الاختيار فيما بينها ضمن اعدادات حسابك نفسه.

تنقسم تلك العوامل إلى 3 فئات وهي: عوامل معرفية/ عوامل مُلكية/ عوامل بيولوجية وتفاصيلها كالتالي:

عوامل معرفية

أكثر أنواع العوامل شيوعاً، باختصار يتم طلب معلومة إضافية من المستخدم بعد إدخال كلمة المرور وأكثرها استخداماً هو الأسئلة الشخصية مثل “ما هو اسم صديقك المفضل في المدرسة” أو “ما هو أول عمل تقدمت إليه” وغيرها الكثير، يتم إعداد أحد هذه الأسئلة مع جواب لها عند انشاء الحساب وفي بعض الحالات يتم طلب تهيئة سؤالين عوضاً عن واحد فقط.

 

عوامل مُلكية

ويقصد بها التحقق من ملكيتك لشيء مادي أو افتراضي مرتبط بحسابك للتحقق من هويتك، على سبيل المثال إرسال رمز تحقق عبر الإيميل (ملكية افتراضية) أو التحقق من ملكيتك لرقم الهاتف بإرسال رسالة نصية أو رمز تحقق عبر تطبيق المصادقة (ملكية مادية) ومؤخراً بدأ الانتشار اللافت لمحركات أقراص usb التي تحتوي على مفاتيح المصادقة.

 

عوامل بيولوجية

وهي تشمل الصفات الوراثية أو المادية التي يتم تحليلها و الحصول عليها باستخدام مختلف التقنيات المتاحة، مثل لون قزحية العين أو بصمة الإصبع والتعرف على الصوت أو الوجه. غير منتشرة بكثرة مقارنة بالتقنيات الأخرى نتيجة عدم وجود آلية لاعتماد بيانات صحيحة ودقيقة. بينما الخوف هو أحد الأسباب الأخرى التي تُجنب المستخدمين الاعتماد عليها كونها عوامل ثابتة لا يمكن تغييرها عند حدوث اختراق ما والحصول عليها.

 

كيف يمكن تجاوز حماية المصادقة الثنائية؟

التهرب من استخدام خيار المصادقة الثنائية بدأ منذ مطلع القرن الحالي، لم تكن الأسباب الواردة في تلك الفترة لتجنب تطبيقها كافية، الأسباب في تلك الأعوام كانت تشير إلى عمليات الاختراق، فلك أن تتخيل إلى أين وصلت العمليات تلك؟

بالنظر إلى العوامل المستخدمة في المصادقة الثنائية (أو المتعددة العوامل) التي سبق وتمَّ ذكرها فإنه نظريّاً حماية تلك العوامل يعتمد بشكل كبير على المستخدم نفسه، لا يمكن لوم طرق الحماية هنا والقيام بذلك بشكل متكرر أمر مبالغ فيه.

تجاوز المصادقة الثنائية

عمليات التصيد الاحتيالي (Phishing)

تعتمد بشكل كبير على سرعة المخترق في تزييف الأمور على الضحية، الهدف هنا هو إنشاء صفحة ويب مزيفة مطابقة للأصلية، يمكن من خلالها إدخال معلومات تسجيل الدخول إضافة إلى رمز التحقق أو أحد العوامل المستخدمة في المصادقة الثنائية حتى لو كانت عملية  المصادقة تتم باستخدام تطبيقات التحقق. عند نجاح المخترق في الحصول على رمز التحقق سيكون بمقدوره الولوج إلى حساب الضحية بكل سهولة.

 

هجمات Brute force

ويقصد بها الوصول إلى رمز التحقق من خلال محاولة تجريب أكبر عدد ممكن من الاحتمالات خلال الوقت المسموح به لرمز التحقق الواحد، تستخدم هذه الطريقة بكثرة نتيجة وجود برامج وأدوات مخصصة لتلك الطريقة وفرص نجاحها تكون كبيرة للغاية في حالات رموز التحقق القصيرة (4 محارف أو أرقام مثلاً).

 

ثغرات في نظام تسجيل الدخول

عملية المصادقة الثنائية تكون عديمة القيمة عند استخدامها في نظام تسجيل دخول متهالك، من أحد الأمثلة على ذلك هو استخدام المخترق لثغرة (إعادة تعيين كلمة المرور) والتي تسمح له بتجاوز عملية المصادقة الثنائية وإرسال رابط لتعيين كلمة المرور عبر البريد الإلكتروني ولك حينها أن تتخيل ماذا لو كان المخترق يملك الوصول أساساً للبريد الإلكتروني!

 

هل استخدام المصادقة الثنائية آمن بالفعل؟ أم مجرد طبقة “هشّة” من الحماية؟

عملية التحقق بخطوتين توفر طبقة حماية لا يمكن أن تحصل عليها من كلمة المرور وحدها، لكنها لا تعني ببساطة أنك آمن بالفعل، ولن تكون كذلك في ظل الحالات والعوامل المتاحة والمستخدمة في المصادقة الثنائية. هي طبقة هشّة بالفعل ويجب عليك اعتبارها كذلك، والتعامل مع المعلومات المرتبطة بها مثل كلمة المرور تماماً أي أن تكون العوامل التي تملكها معقدة وغير قابلة للتداول مثل أسئلة الأمان المستخدمة في معظم المواقع.

الاعتماد على تطبيقات المصادقة مثل تطبيق جوجل وغيره حالياً يعد أفضل الخيارات بينما الأسوأ يكون من نصيب رسائل SMS نظراً لكونها الطريقة المفضلة لاختراقها من قبل أصحاب القبعات السوداء.

مصدر investopedia malwarebytes youtube