الإعلانات

في هذه الأيام ، يبدو أن كل موقع ويب تزوره يحاول تشجيعك عليه استخدام المصادقة ذات العاملين (2FA).

إحدى الطرق الأكثر شيوعًا لاستخدام 2FA هي إدخال رمز فريد من جهازك المحمول. عادةً ، تتلقى الرمز في رسالة نصية أو تستخدم تطبيقًا خارجيًا 2FA لإنشاء واحد.

الطريقتان هما طريقتان شائعتان لاستخدام الرموز نظرًا لراحتهما. ومع ذلك ، فإن كلتا الطريقتين ضعيفة أيضًا من الناحية الأمنية. ونظرًا لأن كود 2FA الخاص بك آمن تمامًا مثل التكنولوجيا المستخدمة في توصيله ، فإن نقاط الضعف مهمة.

لذا ، ما هو الخطأ في باستخدام SMS وتطبيقات الطرف الثالث للوصول إلى الرموز الخاصة بك ما هي تسجيلات الدخول بدون كلمة مرور؟ هل هي في الواقع آمنة؟تسجيلات الدخول بدون كلمة مرور قادمة. هل هم آمنون؟ كيف يعمل تسجيل الدخول بدون كلمة مرور؟ إليك ما تحتاج إلى معرفته. اقرأ أكثر ? وهل هناك بديل مناسب بنفس القدر أكثر أمانًا؟ سنشرح كل شيء. استمر بالقراءه لمعرفة المزيد.

كيف يعمل المصادقة الثنائية

لنأخذ لحظة لمناقشة كيفية عمل المصادقة الثنائية. بدون فهم الآليات الكامنة وراء التكنولوجيا ، لن يكون لبقية هذا المقال معنى كبير.

بعبارات عامة ، 2FA

instagram viewer
يضيف طبقة أمان إضافية إلى حسابك كيفية تأمين حساباتك باستخدام 2FA: Gmail و Outlook والمزيدهل يمكن للمصادقة الثنائية أن تساعد في تأمين بريدك الإلكتروني والشبكات الاجتماعية؟ إليك ما تحتاج إلى معرفته للحصول على أمان عبر الإنترنت. اقرأ أكثر . يُعرف أيضًا باسم المصادقة متعددة العوامل ، ولا تتكون بيانات اعتماد تسجيل الدخول من كلمة مرور فحسب ، بل أيضًا من معلومة ثانية لا يملك حق الوصول إليها سوى المالك الشرعي للحساب.

يأتي 2FA في العديد من الأشكال المختلفة إيجابيات وسلبيات أنواع وطرق المصادقة الثنائيةلا يتم إنشاء طرق المصادقة ثنائية العوامل على قدم المساواة. بعضها أكثر أمانًا بشكل واضح وأكثر أمانًا. فيما يلي نظرة على أكثر الطرق شيوعًا وأيها يناسب احتياجاتك الفردية. اقرأ أكثر . في أبسط مستوياته ، يمكن أن يكون شيئًا بسيطًا مثل الأسئلة الأمنية (لأنه لا يمكن لأي شخص آخر أن يفعل تعرف اسم والدتك قبل الزواج لماذا الإجابة على أسئلة أمان كلمة المرور خاطئةكيف تجيب على أسئلة أمان الحساب عبر الإنترنت؟ إجابات صادقة؟ لسوء الحظ ، يمكن أن تؤدي صدقك إلى حدوث صدع في درعك عبر الإنترنت. دعنا نلقي نظرة على كيفية الإجابة على أسئلة الأمان بأمان. اقرأ أكثر أو المفضل لديك). في الطرف الأكثر تعقيدًا ، يمكن أن يكون معرفًا حيويًا مثل مسح شبكية العين أو بصمة الإصبع.

لماذا يجب تجنب التحقق من الرسائل القصيرة

تتمتع SMS بمكانة باعتبارها الطريقة الأكثر سهولة للوصول إلى رموز 2FA واستخدامها. إذا كان أحد المواقع يقدم تسجيلات دخول ثنائية للمصادقة ، فمن شبه المؤكد أنه يقدم SMS كأحد الخيارات.

لكن الرسائل القصيرة ليست طريقة آمنة لاستخدام 2FA. لديها اثنين من نقاط الضعف الرئيسية.

أولا ، التكنولوجيا عرضة لهجمات مبادلة SIM. لا يتطلب الأمر الكثير من القراصنة لإجراء تبديل بطاقة SIM. إذا كان بإمكانهم الوصول إلى معلومة شخصية أخرى - مثل رقم الضمان الاجتماعي الخاص بك - فيمكنهم الاتصال بشركة الاتصالات ونقل رقمك إلى بطاقة SIM جديدة.

ثانياً ، يمكن للقراصنة اعتراض رسائل SMS. يعود كل ذلك إلى نظام توجيه الهاتف بنظام الإشارات رقم 7 (SS7) المؤرخ الآن. تم تصميم المنهجية في عام 1975 ولكنها لا تزال تستخدم عالميًا تقريبًا للاتصال بالمكالمات وقطع الاتصال بها. كما أنه يتعامل مع ترجمات الأرقام والفواتير المدفوعة مسبقًا والرسائل النصية القصيرة بشكل حاسم.

من غير المستغرب أن هذه التكنولوجيا من عام 1975 مليئة بالثغرات الأمنية. إليك الطريقة خبير الأمن بروس شناير وصف العيوب:

"إذا تمكن المهاجمون من الوصول إلى بوابة SS7 ، فيمكنهم إعادة توجيه محادثاتك إلى جهاز تسجيل عبر الإنترنت وإعادة توجيه المكالمة إلى وجهتها المقصودة [...] تعني أن مجرمًا مجهزًا جيدًا يمكنه الحصول على رسائل التحقق الخاصة بك واستخدامها قبل أن ترى معهم."

بالطبع ، اكتشاف أن المجرم الإلكتروني لديه اخترق الفيسبوك الخاص بك كيفية معرفة ما إذا تم اختراق حساب Facebook الخاص بكمع احتواء Facebook على الكثير من البيانات ، تحتاج إلى الحفاظ على حسابك آمنًا. إليك كيفية معرفة ما إذا تم اختراق Facebook الخاص بك. اقرأ أكثر الحساب بعيد عن المثالية. لكن الوضع أكثر رعباً عندما تفكر في استخدامات أخرى لـ 2FA. يمكن لمجرم الإنترنت سرقة الرموز التي تستخدمها في الخدمات المصرفية عبر الإنترنت ، أو حتى بدء وإكمال التحويلات المالية أفضل 6 تطبيقات لإرسال الأموال إلى الأصدقاءفي المرة القادمة التي تحتاج فيها إلى إرسال أموال إلى الأصدقاء ، تحقق من تطبيقات الجوال الرائعة هذه لإرسال الأموال إلى أي شخص في غضون دقائق. اقرأ أكثر .

علاوة على ذلك ، يدعي شناير أيضًا أنه يمكن لأي شخص شراء الوصول إلى شبكة SS7 مقابل 1000 دولار تقريبًا. بمجرد وصولهم ، يمكنهم إرسال طلب توجيه. لإكمال المشكلة ، قد لا تقوم الشبكة بمصادقة مصدر الطلب.

تذكر أن استخدام المصادقة الثنائية عبر الرسائل القصيرة أفضل من ترك 2FA معطلًا. وربما من غير المحتمل أن تصبح ضحية. ومع ذلك ، إذا بدأت تشعر بالقلق قليلاً ، فأنت بحاجة إلى مواصلة القراءة. يقبل الكثير من الناس أن الرسائل القصيرة غير آمنة ويتحولون إلى تطبيقات الطرف الثالث بدلاً من ذلك.

لكن ذلك قد لا يكون أفضل بكثير.

لماذا يجب عليك تجنب تطبيقات 2FA

الطريقة الأخرى الشائعة لاستخدام رموز 2FA هي تثبيت تطبيق مخصص للهواتف الذكية. هناك الكثير للاختيار من بينها. يمكن القول إن Google Authenticator هو الأكثر تمييزًا ، ولكنه ليس بالضرورة الأفضل. هناك الكثير من البدائل المتاحة - تحقق من Authy و Authenticator Plus و Duo.

ولكن ما مدى أمان تطبيقات 2FA المتخصصة؟ ضعفهم الأكبر هو الاعتماد على مفتاح سري.

دعنا نرجع خطوة للوراء لمدة ثانية. في حالة عدم علمك ، عند الاشتراك في العديد من التطبيقات للمرة الأولى ، ستحتاج إلى إدخال مفتاح سري. يتم مشاركة السر بينك وبين مزود التطبيق.

عند الوصول إلى أحد المواقع ، يعتمد الرمز الذي ينشئه التطبيق على مزيج من مفتاحك والوقت الحالي. في نفس الوقت ، يقوم الخادم بإنشاء رمز باستخدام نفس المعلومات. يجب أن يتطابق الرمزان للحصول على حق الوصول. تبدو معقولة.

فلماذا المفاتيح هي نقطة الضعف؟ حسنًا ، ماذا يحدث إذا تمكن المجرم الإلكتروني من الوصول إلى قاعدة بيانات كلمة مرور الشركة وأسرارها؟ سيكون كل حساب ضعيفًا يمكن للمهاجم أن يأتي ويذهب كيفية التحقق مما إذا كان هناك شخص آخر يمكنه الوصول إلى حسابك على Facebookإنه أمر شرير ومقلق على حد سواء إذا كان شخص ما لديه حق الوصول إلى حسابك على Facebook دون علمك. إليك كيفية معرفة ما إذا تم اختراقك. اقرأ أكثر في الإرادة.

ثانيًا ، يتم عرض السر إما في نص عادي أو كرمز QR ؛ لا يمكن أن تكون مجزأة أو تستخدم مع الملح ماذا يعني كل هذا MD5 Hash Stuff في الواقع [تقنية]فيما يلي نسخة كاملة من MD5 ، تجزئة ونظرة عامة صغيرة على أجهزة الكمبيوتر والتشفير. اقرأ أكثر . من المحتمل أيضًا أن يكون في نص عادي على خوادم الشركة.

المفتاح السري هو العيب الأساسي في كلمة المرور لمرة واحدة (TOTP) التي تستخدمها التطبيقات المتخصصة. هذا هو السبب في أن مفتاح U2F المادي هو دائمًا خيار أكثر أمانًا.

عيوب في التصميم والأمن لتطبيقات 2FA

بالطبع ، تعد فرص اختراق قواعد البيانات الضرورية لتطبيق إجرامي من طرف ثالث صغيرة إلى حد ما. ولكن قد يعاني تطبيقك أيضًا من عيوب أمنية أساسية في تصميمه.

جمع مدير كلمة المرور LastPass 8 طرق سهلة لشحن أمان LastPass الخاص بكربما تستخدم LastPass لإدارة العديد من كلمات المرور عبر الإنترنت ، ولكن هل تستخدمها بشكل صحيح؟ إليك ثماني خطوات يمكنك اتخاذها لجعل حسابك في LastPass أكثر أمانًا. اقرأ أكثر سقط ضحية في ديسمبر 2017. أ مشاركة مدونة المبرمج على Medium كشف يمكن الوصول إلى 2FA مفاتيح سرية دون بصمة أو كلمة مرور أو تدابير أمنية أخرى.

لم يكن الحل المعقد حتى. من خلال الوصول إلى نشاط إعدادات تطبيق LastPass Authenticator (com.lastpass.authenticator.activities. SettingsActivity) ، يمكن للمرء إدخال جزء الإعدادات للتطبيق دون أي عمليات تحقق. من هناك ، يمكنك الضغط عودة مرة واحدة للوصول إلى جميع رموز 2FA.

لقد أصلح LastPass الآن العيب ، ولكن لا تزال هناك أسئلة. وفقًا للمبرمج ، حاول إخبار LastPass عن المشكلة لمدة سبعة أشهر ، لكن الشركة لم تصلحها أبدًا. كم عدد تطبيقات 2FA الأخرى غير الآمنة؟ وكم عدد الثغرات غير المثبتة التي يعرفها المطورون ولكن يؤخرون التصحيح؟ هناك أيضا مخاوف عندما يتعلق الأمر فقدان الوصول إلى مولد الشفرة الخاص بك على Facebook كيفية تسجيل الدخول إلى Facebook إذا فقدت الوصول إلى Code Generatorفقدت الوصول إلى مولد رمز الفيسبوك؟ تتناول هذه المقالة طرقًا بديلة لتسجيل الدخول إلى حسابك على Facebook. اقرأ أكثر على سبيل المثال.

ماذا تفعل بدلاً من ذلك: استخدم مفاتيح U2F

بدلاً من الاعتماد على الرسائل القصيرة و 2FA لرموزك ، يجب عليك استخدامها مفاتيح العامل الثاني العالمي ما هي مفاتيح U2F وأين يتم دعمها؟تعد مفاتيح U2F واحدة من أفضل الطرق للحفاظ على حساباتك آمنة ومأمونة. ولكن أين يتم دعم مفاتيح U2F؟ اقرأ أكثر (U2F). إنها الطريقة الأكثر أمانًا لإنشاء الرموز والوصول إلى خدماتك.

تعتبر على نطاق واسع أنها نسخة من الجيل الثاني من 2FA ، فهي تبسط وتقوي البروتوكول الحالي. بالإضافة إلى ذلك ، فإن استخدام مفاتيح U2F مناسب تقريبًا مثل فتح رسالة SMS أو تطبيق تابع لجهة خارجية.

تستخدم مفاتيح U2F إما اتصال NFC أو USB. عند توصيل جهازك بحساب لأول مرة ، سينشئ رقمًا عشوائيًا يسمى "Nonce". تمت تجزئة Nonce باستخدام اسم نطاق الموقع لإنشاء رمز فريد.

مفتاح F2 معتمد من Fido

بعد ذلك ، يمكنك نشر مفتاح U2F الخاص بك عن طريق توصيله بجهازك وانتظار الخدمة للتعرف عليه.

لذا ، ما هو الجانب السلبي؟ حسنًا ، على الرغم من أن U2F هو معيار مفتوح ، فإنه لا يزال يكلف المال لشراء مفتاح U2F الفعلي. وربما أكثر إثارة للقلق أنك في خطر من السرقة.

لا يؤدي مفتاح U2F المسروق إلى جعل حسابك غير آمن تلقائيًا ؛ سيظل المخترق بحاجة إلى معرفة كلمة مرورك. ولكن في منطقة عامة ، ربما رأى اللص بالفعل إدخال كلمة المرور الخاصة بك من بعيد ، قبل سرقة ممتلكاتك.

يمكن أن تكون مفاتيح U2F باهظة الثمن

تختلف الأسعار اختلافًا كبيرًا بين الشركات المصنعة ، ولكن يمكنك توقع أن تدفع ما بين حوالي 15 دولارًا و 50 دولارًا.

من الناحية المثالية ، ترغب في شراء نموذج يحمل شهادة "FIDO". يعتبر تحالف FIDO (Fast IDentity Online) مسؤولاً عن تحقيق التشغيل المتبادل بين تقنيات المصادقة. يشمل الأعضاء الجميع من Google و Microsoft إلى Bank of America و MasterCard.

من خلال شراء جهاز FIDO ، يمكنك التأكد من أن مفتاح U2F سيعمل مع جميع الخدمات التي تستخدمها كل يوم. تحقق من مفتاح DIGIPASS SecureClick U2F إذا كنت ترغب في شراء واحد.

2FA غير آمن لا يزال أفضل من لا 2FA

للتلخيص ، توفر مفاتيح Universal 2nd Factor وسيطًا سعيدًا بين سهولة الاستخدام والأمان. تعد الرسائل القصيرة هي الطريقة الأقل أمانًا ، ولكنها أيضًا الأكثر ملاءمة.

وتذكر أن أي 2FA أفضل من عدم وجود 2FA. نعم ، قد يستغرق تسجيل الدخول إلى تطبيقات معينة 10 ثوانٍ إضافية ، ولكنه أفضل من التضحية بأمنك.

دان مغترب بريطاني يعيش في المكسيك. وهو مدير تحرير موقع شقيقة MUO ، كتل فك الشفرة. في أوقات مختلفة ، عمل كمحرر اجتماعي ومحرر إبداعي ومحرر مالي لـ MUO. يمكنك أن تجده يتجول في قاعة العرض في CES في لاس فيغاس كل عام (أيها الناس ، تواصلوا!) ، وهو يقوم بالكثير من المواقع خلف الكواليس...