التحقق بخطوتين ( المصادقة الثنائية ):
في السنوات القليلة الماضية، بدأت عدة خدمات على الإنترنت – من ضمنها فيسبوك و غوغل وتويتر – بتقديم التوثيق الثنائي كبديل للمصادقة باستخدام كلمة السر وحدها
بمجرد تفعيل هذه الميزة، سيتم إلزام المستخدمين بتقديم كلمة السر الخاصة بهم وأسلوب توثيق آخر لتسجيل الدخول، وعادة ما يكون ذلك رمزاً يستخدم لمرة واحدة
يتم إرساله عبر الرسائل النصية القصيرة أو توليده باستخدام تطبيق محمول مخصص لذلك (مثل Google Authenticator أو Duo Mobile ).
وبأي حال فإن العامل الثاني هو الهاتف المحمول الخاص بالمستخدم، كما تدعم بعض المواقع الرموز الاحتياطية والتي يمكن تنزيلها وطباعتها على الورق
كوسيلة احتياطية إضافية للتوثيق. متى ما قرر المستخدم اعتماد التوثيق الثنائي، سيحتاج لإدخال كلمة السر ورمز صالح للاستخدام لمرة واحدة من هاتفه للوصول إلى الحساب.
لماذا يتوجب علي تمكين التوثيق الثنائي؟
يوفر التوثيق الثنائي أماناً أكبر للحسابات عبر إلزامك بتوثيق هويتك بأكثر من أسلوب واحد. وذلك يعني أنه حتى لو تمكن شخص ما من الحصول على كلمة السر الخاصة بك،
فلن يمكنه الوصول إلى حسابك إلا إذا كان هاتفك المحمول بحوزته أيضاً، أو طريقة ثانوية أخرى للتوثيق.
عند تمكين ميزة التحقق بخطوتين (المعروفة أيضًا باسم المصادقة الثنائية)، فأنت بذلك تضيف طبقة أمان إضافية إلى حسابك
حيث تسجّل الدخول باستخدام شيء تعرفه (اسم المستخدم وكلمة المرور ) وشيء تحصل عليه ومتغير في كل مرة (رمز يتم إرساله إلى هاتفك).
يمكن لميزة التحقق بخطوتين أن تساعدك في منع الأشخاص والذين ندعوهم ” الطرف الثالث “، حتى وإن كانوا يملكون كلمة مرورك من الدخول الى حسابك
هل هناك سلبيات لاستخدام التوثيق الثنائي ؟
التوثيق الثنائي يوفر وسيلة أكثر أماناً للمصادقة، ولكن احتمال تعذر وصول المستخدمين إلى حساباتهم أكبر. مثلاً، إذا فقد المستخدم هاتفه أو قام بتغيير الرقم
أو سافر إلى بلد آخر دون تشغيل خدمة التجوال الدولي.
توفر الكثير من خدمات التوثيق قائمة قصيرة من الرموز الاحتياطية (أو رموز الاسترداد)؛ وهي رموز تعمل دائماً لفتح حسابك. إذا كنت قلقاً حول فقدان القدرة
على الوصولإلى هاتفك أو أجهزة التوثيق الأخرى، يتوجب عليك طباعة هذه الرموز وحملها معك. ستعمل على أنها “شيء تملكه”، فلا تطبع أكثر من نسخة
وأبقها قريبة منك.تذكر أن تكون حذراً للغاية للاحتفاظ بهذه الرموز آمنة وضمان عدم رؤيتها أو الوصول إليها من قبل أي شخص آخر في أي وقت.
هناك مشكلة أخرى في أنظمة التوثيق الثنائي التي تستخدم الرسائل النصية القصيرة SMS وهي أن التراسل عبرها ليس آمناً للغاية. من الممكن لمهاجم خبير
(مثل جهاز استخبارات أو عصابة جريمة منظمة) لديه القدرة على الوصول إلى شبكة الهاتف اعتراض تلك الرموز المرسلة عبر SMS واستخدامها.
كما توجد حالات تمكن بها مهاجم أقل تطوراً (فرد واحد مثلاً) من تحويل الاتصالات والرسائل النصية القصيرة المرسلة لرقم معين إلى رقمه الخاص،
أو تمكن من الوصول إلى خدمة من شركة الهاتف تتيح استعراض الرسائل النصية المرسلة لرقم هاتف معين دون الحاجة لأن يكون الهاتف بحوزتك.
بالإضافة إلى ذلك، قد يعني التوثيق الثنائي أنك تعطي خدمة ما معلومات أكثر مما ترتاح إليه. لنفترض أنك مستخدم تويتر، وقمت بالتسجيل باستخدام اسم مستعار.
حتى لو كنت دقيقاً في تجنب إعطاء تويتر أي معلومات تعريفية، وحتى لو كنت تصل للخدمة عن طريق تور Tor أو شبكة خاصة افتراضية VPN،
إن قمت بتفعيل التوثيق الثنائي، فإن تويتر سيحتاج لرقم هاتفك. وذلك يعني أن تويتر في حال أجبرته المحكمة سيتمكن من ربط حسابك بشخصك باستخدام رقم هاتفك.
قد لا يشكل هذا مشكلة بالنسبة لك خصوصاً إذا كنت تستخدم اسمك الحقيقي في خدمة معينة، ولكن إذا كان الحفاظ على سرية هويتك هاماً بالنسبة لك
يتوجب عليك التفكير ملياً حول استخدام الرسائل النصية القصيرة للتوثيق الثنائي.
تتعرض كلمات المرور للسرقة بطرق مختلفة ومتنوعة والتي تتم في معظم الحالات من خلال الهندسة الإجتماعية
بعض هذه الإجراءات الشائعة التي تعرضك إلى سرقة كلمة المرور :
- استخدام كلمة المرور نفسها في أكثر من موقع ويب واحد
- تنزيل البرامج من مواقع عير موثوقة وعدم تنزيلها من المواقع الرسمية وتفعيلها بطرق غير شرعية .
- النقر على روابط غير موثوق وغير معروفة المصدر في البريد الإلكتروني
تخيل فقد إمكانية الدخول إلى حسابك وكل شيء داخله
إذا استولى أحدهم على كلمة مرورك، فسوف تفقد القدرة دون دخولك إلى حسابك، ومن بعض الاشياء التي يمكنها تنفيذها
- استعراض كل بريدك الإلكتروني وجهات اتصالك وصورك وما إلى ذلك، ,ويصبح هنالك امكانية حذفها.
- انتحال شخصيتك وإرسال بريد إلكتروني غير مرغوب فيه أو ضار إلى جهات اتصالك مثل روابط التصيد
- استخدام حسابك لإعادة تعيين كلمات مرور حساباتك الأخرى (حسابتك على وسائل التواصل الإجتماعي ، البرامج والتطبيقات التي تعمل عليها وتم توثيقها من خلال البريد الالكتروني وما إلى ذلك)
يتم تفعيل التحقق بخطوتين على حساب الجيميل من خلال 5 طرق :
- من خلال رسالة نصية
- من خلال تطبيق Google Authenticator
- من خلال الرموز الإحتياطية
- من خلال مفتاح الأمان
- من خلال رسالة المطالبة من Google
ختاماً، لقد أظهرت الأبحاث أن بعض المستخدمين يقومون باختيار كلمات سر أضعف بعد تمكين التوثيق الثنائي ظناً منهم أنه سيبقيهم آمنين.
يتوجب استخدام كلمة سر قوية حتى في حال تفعيل التوثيق الثنائي.
