هل تستحق SMS 2FA استخدامها؟

نعم، إذا لم يتم تقديم خيار أفضل. تعد ميزة 2FA عبر الرسائل القصيرة أفضل بشكل كبير من عدم وجود ميزة 2FA - فهي توقف الجزء الأكبر من هجمات حشو بيانات الاعتماد. ولكن بالنسبة لأي حساب يمكنك من خلاله استخدام TOTP أو مفتاح الجهاز بدلاً من ذلك، فافعل ذلك. أدت هجمات مبادلة بطاقة SIM ضد الحسابات المحمية عبر الرسائل النصية القصيرة إلى خسائر حقيقية، خاصة بالنسبة للعملات المشفرة والحسابات الاجتماعية رفيعة المستوى.

ما هو تطبيق المصادقة الذي يجب أن أستخدمه؟

يعد Aegis (مفتوح المصدر، Android) وRaivo (مفتوح المصدر، iOS) خيارين نظيفين. يمكن لـ 1Password وBitwarden تخزين أسرار TOTP إلى جانب كلمات المرور. تجنب Google Authenticator إذا لم يكن لديك نسخة احتياطية - حتى وقت قريب لم تتم مزامنته، وفقد العديد من المستخدمين حساباتهم بعد فقدان الهاتف. يقوم Authy بالمزامنة ولكن تعرض لاختراق قاعدة بيانات جهات الاتصال في عام 2024.

هل مفاتيح الأجهزة تستحق التكلفة؟

بالنسبة لحساباتك عالية القيمة، نعم. يبلغ إجمالي زوج YubiKeys (واحد أساسي وواحد احتياطي في خزنة) حوالي 90 دولارًا وهو أعلى استثمار أمني يقوم به معظم الأشخاص على الإطلاق. يجب أن يكون أي حساب يمكن تهيئته ليتطلب مفتاح جهاز - والعديد من المفاتيح المهمة - كذلك.

هل يمكن تجاوز المصادقة الثنائية (2FA)؟

يمكن تجاوز TOTP وإشعارات الدفع عن طريق التصيد الاحتيالي في الوقت الفعلي (يقوم المهاجم بتسجيل الدخول إلى الموقع الحقيقي). لا يمكن لمفاتيح الأجهزة (FIDO2) ذلك، لأن ربط الأصل يجعل التوقيع خاصًا بالموقع. تؤدي تدفقات استرداد الحساب أيضًا إلى إضعاف المصادقة الثنائية - إذا كان بإمكانك إعادة تعيين المصادقة الثنائية عبر الرسائل القصيرة، تصبح الرسائل النصية القصيرة هي سطح الهجوم.

لماذا تدعم بعض المواقع الـ SMS 2FA فقط؟

تكلفة التنفيذ وإمكانية الوصول. تعمل خدمة الرسائل النصية القصيرة (SMS) على كل هاتف دون الحاجة إلى تثبيت التطبيق؛ يتطلب TOTP/FIDO إعدادًا لمرة واحدة يجده بعض المستخدمين مربكًا. وكانت البنوك الكبرى بطيئة في اعتماد نظام FIDO؛ اعتمدتها الخدمات السحابية والتقنية منذ سنوات. الخبر السار: كل المواقع الأكثر أهمية بالنسبة لأمنك تدعم على الأقل TOTP، ومعظمها يدعم مفاتيح الأجهزة.

شرح المصادقة الثنائية: TOTP، وPush، وSMS، ومفاتيح الأجهزة

كلمة المرور وحدها هي أحد العوامل - "شيء تعرفه". المهاجم الذي يسرق أو يخمن أنه يملك الحساب. تضيف المصادقة الثنائية عاملاً ثانيًا مستقلاً - "شيء تملكه" أو "شيء أنت عليه" - مما يجعل نفس كلمة المرور المسروقة عديمة الفائدة. الجزء الصعب ليس ما إذا كان سيتم استخدام المصادقة الثنائية (2FA). إنها الطريقة التي يجب استخدامها، لأن الأساليب ليست بنفس القوة.

يتم توفير نص المقالة الكامل باللغة الإنجليزية أدناه.

المصادقة الثنائية (2FA) أو المصادقة متعددة العوامل (MFA)يتطلب بيانات اعتماد إضافية تتجاوز كلمة المرور لتسجيل الدخول. فئات العوامل هي:

شيء تعرفه - كلمة المرور ورقم التعريف الشخصي والأمان سؤال
شيء تملكه - هاتف، رمز مميز للأجهزة، بطاقة ذكية
شيء أنت - بصمة الإصبع، الوجه، شبكية العين، الصوت

عاملان من فئات مختلفة هو المعيار. كلمة المرور بالإضافة إلى سؤال الأمان ليسا 2FA حقيقيين - كلاهما "شيء تعرفه".

تصنيف العوامل

من الأضعف إلى الأقوى:

MS - المصادقة الثنائية السائدة الأصلية. عرضة لتبديل بطاقة SIM (يقنع المهاجم شركة الاتصالات بنقل رقمك) والاعتراض عبر نقاط ضعف SS7. لا يزال أفضل من عدم وجود 2FA، ولكنه الخيار الأضعف الذي لا يزال مستخدمًا على نطاق واسع.
الرموز التي يتم تسليمها عبر البريد الإلكتروني - بقوة حساب البريد الإلكتروني نفسه، والذي غالبًا ما يكون به 2FA أضعف. مقبول كأسلوب استرداد أخير، وليس عاملاً أساسيًا.
TOTP (كلمة المرور المستندة إلى الوقت لمرة واحدة) - رموز يتم إنشاؤها بواسطة تطبيق مصادقة (Aegis، Authy، Google Authenticator، 1Password) كل 30 ثانية، مستمدة من سر مشترك. قابل للتصيد الاحتيالي، نظرًا لأن المهاجم في الوقت الفعلي الذي يخدعك لإدخال الرمز في موقع مزيف يمكنه إعادة تشغيله.
إشعارات الدفع - "هل توافق على تسجيل الدخول هذا؟" الإخطارات على جهاز موثوق به. مريحة، ولكنها عرضة لـ "إرهاق MFA" حيث يرسل المهاجمون رسائل غير مرغوب فيها إلى الموافقات حتى ينقر المستخدم على نعم.
مفاتيح أمان الأجهزة (FIDO2/WebAuthn) - رموز USB/NFC الفعلية مثل YubiKey وSolo وGoogle Titan. يشير المفتاح إلى وجود تحدي من الموقع، ويربط الاستجابة بشكل مشفر بأصل الموقع - مما يعني أن التصيد الاحتيالي مستحيل لأن الموقع المزيف لا يمكنه تشغيل التوقيع الصحيح. هذا هو المعيار الذهبي.

كيف يعمل TOTP فعليًا

عند التسجيل، يعرض الموقع رمز الاستجابة السريعة الذي يحتوي على سر مشترك 160 بت. يقوم تطبيق المصادقة الخاص بك بتخزينه. لإنشاء رمز، يأخذ التطبيق:

وقت Unix الحالي مقسومًا على 30 (يعطي عدادًا يزيد كل 30 ثانية).
HMAC-SHA1 مع السر المشترك عبر العداد.
يستخرج 6 أرقام من مخرج HMAC (ديناميكي) اقتطاع).

يحسب الخادم نفس القيمة بشكل مستقل ويقبل الرمز إذا كان مطابقًا. يتم تعريف البروتوكول في RFC 6238؛ إنه متماثل وغير متصل بالإنترنت تمامًا ويعمل على كل تطبيق مصادقة.

لماذا تختلف مفاتيح الأجهزة

FIDO2/WebAuthn يربط المصادقة بأصل موقع الويب في البروتوكول نفسه. لا يكشف مفتاح الجهاز مطلقًا عن مفتاحه الخاص؛ ولا يتم إثبات الحيازة إلا من خلال التوقيع على طعن يتضمن نطاق الموقع. إذا طلب أحد مواقع التصيد الاحتيالي على evil.com توقيع YubiKey، فإن المفتاح يمثل تحديًا لـ evil.com - وهو ما لن يقبله موقع البنك الحقيقي. باستخدام TOTP، يمكن للمستخدم كتابة الرمز المكون من 6 أرقام في موقع evil.com، الذي يعيد توجيهه إلى البنك الحقيقي في الوقت الفعلي. تغلق مفاتيح الأجهزة هذه الثغرة.

رموز الاسترداد

يجب أن يكون لكل حساب محمي بتقنية 2FA رموز استرداد احتياطية مطبوعة ومخزنة فعليًا - في مكان آمن، مع مستندات مهمة، في أي مكان باستثناء نفس الجهاز الذي يحمل العامل الثاني. يؤدي فقدان العامل الثاني بدون رموز الاسترداد إلى حجب معظم الخدمات بشكل دائم. يختلف تدفق الاسترداد: تقبل بعض الخدمات التحقق من الهوية عن طريق الدعم، ولكن الاتجاه هو نحو الإغلاق الصارم للحسابات التي لا تحتوي على رموز استرداد.

Passkeys: 2FA بنقرة واحدة

Passkeys (بيانات اعتماد FIDO2 المخزنة في سلسلة مفاتيح نظام التشغيل أو مدير كلمات المرور) قم بطي كلمة المرور + العامل الثاني في فحص بيومتري واحد أو رقم PIN واحد على جهاز اجتاز بالفعل مصادقة على مستوى الجهاز. إنها مقاومة للتصيد الاحتيالي لنفس سبب وجود مفاتيح الأجهزة، وتتم مزامنتها عبر iCloud Keychain، وGoogle Password Manager، و1Password، وما إلى ذلك. الاتجاه على المدى المتوسط هو استبدال كلمة المرور + 2FA بمفاتيح المرور للمواقع الجديدة، مع الاحتفاظ بكلمة المرور + مفتاح الجهاز للمواقع القديمة.

حيث يكون المصادقة الثنائية أكثر أهمية

الحسابات عالية القيمة التي تتطلب 2FA قوية: بريدك الإلكتروني الأساسي (ناقل الاسترداد لكل شيء آخر)، ومدير كلمات المرور، والبنك الذي تتعامل معه، ومسجل المجال الخاص بك، وحساباتك السحابية (AWS/GCP/Azure)، ومستودعات التعليمات البرمجية الخاصة بك (GitHub/GitLab). بالنسبة لهذه الأجهزة، يعد مفتاح الجهاز - ويفضل أن يكون مفتاحين للنسخ الاحتياطي - هو الاستثمار المناسب. بالنسبة لكل شيء آخر، يعد TOTP عبر تطبيق المصادقة هو الخيار الافتراضي العملي.

الأسئلة المتداولة

هل تستحق SMS 2FA استخدامها؟: نعم، إذا لم يتم تقديم خيار أفضل. تعد ميزة 2FA عبر الرسائل القصيرة أفضل بشكل كبير من عدم وجود ميزة 2FA - فهي توقف الجزء الأكبر من هجمات حشو بيانات الاعتماد. ولكن بالنسبة لأي حساب يمكنك من خلاله استخدام TOTP أو مفتاح الجهاز بدلاً من ذلك، فافعل ذلك. أدت هجمات مبادلة بطاقة SIM ضد الحسابات المحمية عبر الرسائل النصية القصيرة إلى خسائر حقيقية، خاصة بالنسبة للعملات المشفرة والحسابات الاجتماعية رفيعة المستوى.
ما هو تطبيق المصادقة الذي يجب أن أستخدمه؟: يعد Aegis (مفتوح المصدر، Android) وRaivo (مفتوح المصدر، iOS) خيارين نظيفين. يمكن لـ 1Password وBitwarden تخزين أسرار TOTP إلى جانب كلمات المرور. تجنب Google Authenticator إذا لم يكن لديك نسخة احتياطية - حتى وقت قريب لم تتم مزامنته، وفقد العديد من المستخدمين حساباتهم بعد فقدان الهاتف. يقوم Authy بالمزامنة ولكن تعرض لاختراق قاعدة بيانات جهات الاتصال في عام 2024.
هل مفاتيح الأجهزة تستحق التكلفة؟: بالنسبة لحساباتك عالية القيمة، نعم. يبلغ إجمالي زوج YubiKeys (واحد أساسي وواحد احتياطي في خزنة) حوالي 90 دولارًا وهو أعلى استثمار أمني يقوم به معظم الأشخاص على الإطلاق. يجب أن يكون أي حساب يمكن تهيئته ليتطلب مفتاح جهاز - والعديد من المفاتيح المهمة - كذلك.
هل يمكن تجاوز المصادقة الثنائية (2FA)؟: يمكن تجاوز TOTP وإشعارات الدفع عن طريق التصيد الاحتيالي في الوقت الفعلي (يقوم المهاجم بتسجيل الدخول إلى الموقع الحقيقي). لا يمكن لمفاتيح الأجهزة (FIDO2) ذلك، لأن ربط الأصل يجعل التوقيع خاصًا بالموقع. تؤدي تدفقات استرداد الحساب أيضًا إلى إضعاف المصادقة الثنائية - إذا كان بإمكانك إعادة تعيين المصادقة الثنائية عبر الرسائل القصيرة، تصبح الرسائل النصية القصيرة هي سطح الهجوم.
لماذا تدعم بعض المواقع الـ SMS 2FA فقط؟: تكلفة التنفيذ وإمكانية الوصول. تعمل خدمة الرسائل النصية القصيرة (SMS) على كل هاتف دون الحاجة إلى تثبيت التطبيق؛ يتطلب TOTP/FIDO إعدادًا لمرة واحدة يجده بعض المستخدمين مربكًا. وكانت البنوك الكبرى بطيئة في اعتماد نظام FIDO؛ اعتمدتها الخدمات السحابية والتقنية منذ سنوات. الخبر السار: كل المواقع الأكثر أهمية بالنسبة لأمنك تدعم على الأقل TOTP، ومعظمها يدعم مفاتيح الأجهزة.