يسأل الناس عن نصائح أمنية لحماية حساباتهم من الاختراق. ودائما ينصح بعمل كلمة سر قوية وطويلة مع الأحرف الكبيرة والصغيرة والأرقام والأحرف الخاصة.
ولكن يجب أن تكون كل كلمة مرور فريدة لكل حساب، ويجب أن تستخدم المصادقة الثنائية “2إف إيه” (2FA)، ولكن نوع المصادقة الثنائية الذي تستخدمه مهم أيضًا بشكل كبير.
فهذه المصادقة التي نستخدمها حاليا والقائمة على الرسائل النصية، حيث يتم إرسال نص برمز مكون من 6 أرقام إلى هاتفك للتحقق من هويتك، تقنيا ضعيفة حيث لم تصمم هذه الرسائل النصية لتكون بمثابة أداة للتحقق من الهوية، وهي خيار غير آمن بشكل كبير مؤخرا حيث يواصل المخترقون البحث عن طرق لاستغلالها.
لهذا السبب يوصى باستخدام تطبيقات المصادقة مثل “غوغل أوثنتيكاشن” (Google Authenticator) بدلاً من ذلك.
لا تدع الاسم يخيفك، هناك بضع الخطوات الإضافية عليك عملها، لكن النتيجة تستحق كل هذا العناء.
اختطاف شريحة الهاتف (SIMjacking)
لماذا رقم هاتفك ليس جيدًا بما يكفي للتحقق من هويتك؟
ربما سمعت بحالة من هذه الحالات التي يتم فيها الاستيلاء على شريحة الهاتف أو ما يعرف بالسيم جاكنغ، وهي عملية يقوم فيها المخترق بإقناع شركة الاتصالات بأنه أنت ويحصل على شريحة هاتف جديدة وبحلول الوقت الذي تقوم فيه بالاتصال والإبلاغ عن الحادثة يكون قد فات الأوان.
وأبرز حالات استخدام هذه الحيلة كانت من نصيب المؤسس المشارك والرئيس التنفيذي لشركة تويتر (Twitter) جاك دورسي في عام 2019. ولكن ليس عليك أن تكون مليارديرًا مشهورًا لتكون هدفًا.
فإذا كان أحد المتطفلين يعرف عنك ما يكفي لإقناع شركة الهاتف المحمول الخاصة بك بأنه أنت، فقد يقوم ممثل خدمة العملاء بتحويل بطاقة الهاتف الخاصة بك إليهم. كانت هناك أيضًا حالات تلقّى فيها موظفو مشغل شبكة الجوّال رشاوى لتبديل بطاقات الهاتف، وفي هذه الحالة لن يضطر المتسلل إلى معرفة شيء على الإطلاق.
وقد يؤدي وضع رقم تعريف شخصي على بطاقة الهاتف إلى منع حدوث بعض ذلك، ولكنه ليس مضمونًا. فقد ذكر موقع فايس (Vice) في مارس/آذار الماضي أن المتسللين اكتشفوا ثغرات أخرى في الرسائل القصيرة التي لا تتطلب حتى الوصول إلى بطاقة الهاتف الخاصة بك.
وقال مارك روجرز، المدير التنفيذي للأمن السيبراني في شركة أوكتا (Okta)، وهي شركة لتطوير تكنولوجيا مصادقة الهوية، لموقع ريكود (Recode) إن “الرسائل القصيرة، بوصفها تقنية، كانت موجودة منذ مدة طويلة”، وأضاف “لقد تم تصميمها لتكون وسيلة رخيصة لإرسال الرسائل. ولم يتم تصميمها لتكون آمنة. وبنيْنا مجموعة من الخدمات الأمنية فوقها”.
لذلك إذا كنت تستخدم رسائل نصية أو رقم هاتفك للتحقق من هويتك، فقد حان الوقت للتفكير في أمر آخر.
تطبيقات المصادقة -التي تكون عادةً مجانية- تحتاج خطوات قليلة للإعداد بخلاف المصادقة المستندة إلى النص. ولكن قد يجد بعض الأشخاص أن اختيار تطبيق آخر وتنزيله، ومسح رموز “كيو آر” (QR) وقبول الرموز أمرٌ مخيف للغاية، أو ببساطة لا يستحق الجهد الإضافي. ولكن الحقيقة أنه يستحق ذلك.
يقو أخيل تالوار، مدير إدارة المنتجات في “لاست باس” (LastPass)، وهو تطبيق يصنع مديرًا لكلمات المرور وللمصادقة، “هذا هو هدفنا الأساسي المتمثل في الترويج حقًا لتطبيقات المصادقة هذه.. إنها سهلة الاستخدام حقًا، فهي آمنة للغاية، كما أنها مريحة أيضًا. إنك تتلقى إشعارًا فوريًا في بعض الحالات”.
كيفية اختيار تطبيق المصادقة واستخدامه
تعمل تطبيقات المصادقة بالطريقة نفسها التي تعمل بها المصادقة الثنائية “2إف إيه” القائمة على النص، ولكن بدلاً من إرسال رمز إليك عبر رسالة نصية، يظهر الرمز في التطبيق.
ويتغير الرمز أيضًا كل 30 ثانية أو ما شابه ذلك كإجراء إضافي للحماية، بحيث يكون من المستحيل على المتسلل تخمين الكود الصحيح عندما يتغير كثيرًا.
وتحتوي العديد من المواقع على توصيات لتطبيقات المصادقة الجيدة والميزات الخاصة بكل منها، والتي من شأنها أن تساعدك على معرفة أيها أفضل بالنسبة لك.
ويعد تطبيق غوغل أوثنتيكاشن واحدًا من أكثر تطبيقات المصادقة شيوعًا، وهو من غوغل (Google)، لذا يمكنك الوثوق في أنه سيظل موجودًا لمدة طويلة وأن الشركة تعرف ما تفعله للحفاظ على أمان التطبيق.
ولكنه أيضًا أحد تطبيقات المصادقة الأساسية المتوفرة. إذا كنت تبحث عن بعض الميزات الأخرى، فإن آوثي (Authy) يوصى به بشدة من قبل معظم المستخدمين، وله واجهة رائعة، ويتيح لك البحث داخل التطبيق عن حساب معين (مفيد جدًا إذا كان لديك الكثير من الحسابات).
ويمكن الاستفادة أيضا من ربط تطبيقات المصادقة “لاست باس” و”1باسورد” (1Password) بمديري كلمات المرور لهذه الشركات.
كما أن أداة المصادقة من مايكروسوفت (Microsoft) -التي تتمتع، مثل غوغل، بدعم من شركة ضخمة وطويلة الأمد- هي أيضًا اختيار جيد.
تمنحك بعض التطبيقات خيارًا للحصول على نسخة احتياطية من المعلومات الخاصة على السحابة أو استخدام التطبيق عبر أجهزة متعددة، وهو ما قد يكون مفيدا إذا تعطل هاتفك (وبالتالي تطبيق المصادقة عليه) أو فقدته.
وتحتوي بعض التطبيقات على وظيفة بحث حتى تتمكن من العثور على التطبيق الذي تحاول تسجيل الدخول إليه بسهولة (مفيد جدًا إذا كانت لديك قائمة طويلة من عمليات تسجيل الدخول).
كيف تضيف حسابا بعد تنزيل تطبيق المصادقة على جهازك؟
دعنا نستخدم تطبيق إنستغرام (Instagram) كمثال على كيفية توصيل تطبيق المصادقة الخاص بك بحسابك على إنستغرام:
انتقل إلى الإعدادات في تطبيق إنستغرام، ثم إلى الأمان ومن ثم المصادقة الثنائية، واختر تطبيق المصادقة.
من هناك، سيطلب إنستغرام فتح تطبيق المصادقة الخاص بك وسيضيف حساب إنستغرام الخاص بك تلقائيًا إليه. وسترى بعد ذلك رمزًا مكونًا من 6 أرقام في التطبيق. أدخل هذا الرمز على إنستغرام وستكون جاهزًا.
لكنك لم تنته بعد. سيعرض لك إنستغرام بعد ذلك مجموعة من الرموز الاحتياطية. اكتب بعضًا منها أو كلها، واحتفظ بها في مكان آمن (ليس على هاتفك)، قد تحتاج إليها لاستعادة الوصول إلى التطبيق أو موقع الويب إذا فقدت الوصول إلى هاتفك ولم يكن لتطبيق المصادقة الخاص بك نظام احتياطي.
تختلف مواقع الويب قليلا في الإعداد، فمثلا لو أخذنا موقع تويتر كمثال:
فيجب أن تنتقل إلى الإعدادات والخصوصية وثم إلى الأمان والوصول إلى الحساب، وبعدها تختار الأمان ثم المصادقة الثنائية وتختار تطبيق المصادقة.
من هناك، سيُطلب منك مسح رمز الاستجابة السريعة ضوئيًا باستخدام كاميرا هاتفك، مما يؤدي إلى فتح تطبيق المصادقة وإضافة حساب تويتر الخاص بك إليه. إذا لم تتمكن من مسح رمز الاستجابة السريعة ضوئيًا أو إذا لم يفتح التطبيق بشكل صحيح، يمكنك أيضًا إنشاء رمز وإدخاله يدويًا بدلا من ذلك.
مرة أخرى على موقع تويتر، انقر فوق “التالي” وأدخل الرمز المكون من 6 أرقام في تطبيقك. مرة أخرى، تذكر حفظ الرمز الاحتياطي لتويتر في مكان آمن.
الآن بعد الانتهاء من الإعداد، عند تسجيل الدخول إلى إنستغرام أو تويتر، سيُطلب منك إدخال رمز من تطبيق المصادقة. افتح التطبيق، واحصل على رمز الحساب الذي تحاول تسجيل الدخول إليه، وأدخله في الموقع أو التطبيق. يمكنك اختيار القيام بذلك في كل مرة تقوم فيها بتسجيل الدخول إلى أحد المواقع، أو يمكنك اختيار القيام بذلك مرة واحدة فقط إذا كنت تستخدم جهازًا تثق به. وهذا كل شيء.
شيئان مهمان للغاية يجب تذكرهما
بمجرد تشغيل تطبيق المصادقة وتشغيله على حساب ما، تأكد من تعطيل المصادقة الثنائية المستند إلى الرسائل النصية وإزالة رقم هاتفك من الحساب (للأسف، لن تسمح لك بعض التطبيقات ومواقع الويب بالقيام بذلك).
ولا تستخدم رقم هاتفك كخيار نسخ احتياطي لاسترداد الحساب لأن أرقام الهواتف هي نقطة ضعف أدوات التحقق من الهوية.
أخيرًا، إذا كنت تحصل على هاتف جديد، فتأكد من نقل تطبيق المصادقة من جهازك القديم إلى الجهاز الجديد. إذا كان تطبيق المصادقة يتطلب أن يكون لديك كلا الجهازين في حوزتك للقيام بذلك، فتأكد من التخطيط مسبقًا، وإلا فسيتعين عليك الاعتماد على جميع الرموز الاحتياطية للحساب لاستعادة الوصول يدويًا إلى حساباتك. وهو خيار غير جيد لكن لا يزال أفضل من التعرض للاختراق.
مرة أخرى، سيحتاج هذا لجهد أكبر قليلاً من الاعتماد على المصادقة المستندة إلى الرسائل القصيرة، ولكن فكّر فيما قد تخسره إذا تم اختراق حساباتك. قد لا تدرك مدى قيمة بعض هذه الحسابات والأشياء الموجودة فيها.