عندما تم تقديم المصادقة الثنائية لأول مرة ، أحدثت ثورة في أمان الجهاز وساعدت في جعل سرقة الهوية أكثر صعوبة - بتكلفة طفيفة من الإزعاج الطفيف الذي تمت إضافته إلى عمليات تسجيل الدخول.
محتويات
- ما هي المصادقة الثنائية بالضبط؟
- هذا يبدو آمنًا جدًا. ما هي المشكلة؟
- هل يجب علي الاستمرار في استخدام المصادقة ذات العاملين؟
- كيف يمكن تحسين المصادقة ذات العاملين؟
لكنها ليست مثالية ، كما أنها لم تحل جميع مشاكل القرصنة وسرقة البيانات. قدمت بعض الأخبار الحديثة مزيدًا من السياق لكيفية تجنب المتسللين للمصادقة الثنائية وتآكل بعض ثقتنا بها.
ما هي المصادقة الثنائية بالضبط؟
تضيف المصادقة ذات العاملين طبقة إضافية من الأمان لعملية تسجيل الدخول للأجهزة والخدمات. في السابق ، كان لعمليات تسجيل الدخول عامل واحد للمصادقة - عادةً ، كلمة مرور ، أو تسجيل الدخول بالمقاييس الحيوية مثل مسح بصمة الإصبع أو معرف الوجه ، أحيانًا مع إضافة أسئلة الأمان. لقد وفر ذلك بعض الأمان ، لكنه لم يكن مثاليًا ، خاصة مع كلمات المرور الضعيفة أو كلمات المرور المعبأة تلقائيًا (أو إذا تم اختراق قواعد بيانات تسجيل الدخول وبدأت هذه المعلومات في الظهور على شبكة الإنترنت المظلمة).
متعلق ب
- هذا هو السبب الذي يجعل الناس يقولون تجنب M2 Pro MacBook Pro للمبتدئين
- هناك مشكلات في المصادقة الثنائية عبر الرسائل القصيرة SMS في تويتر. إليك كيفية تبديل الطرق
- يظهر تقرير جديد أن كلمات المرور صعبة والناس كسالى
تعالج المصادقة ذات العاملين هذه المشكلات عن طريق إضافة عامل ثانٍ ، وهو شيء آخر يجب على الشخص فعله لضمان أنه هو فعلاً وأن لديه سلطة الوصول. عادةً ما يعني ذلك إرسال رمز عبر قناة أخرى ، مثل تلقي رسالة نصية أو بريد إلكتروني من الخدمة ، والتي يتعين عليك إدخالها بعد ذلك.
يستخدم البعض رموزًا حساسة للوقت (TOTP ، كلمة مرور لمرة واحدة قائمة على الوقت) ، والبعض الآخر يستخدم رموزًا فريدة مرتبطة بجهاز معين (HOTP ، كلمة مرور لمرة واحدة تعتمد على HMAC). قد تستخدم بعض الإصدارات التجارية مفاتيح مادية إضافية تحتاجها في متناول اليد.
مقاطع الفيديو الموصى بها
أصبحت ميزة الأمان شائعة جدًا ، وربما تكون معتادًا على رؤية الرسائل على غرار ، "لقد أرسلنا إليك بريدًا إلكترونيًا يحتوي على رمز آمن لإدخاله ، يرجى التحقق عامل تصفية الرسائل غير المرغوب فيها إذا لم تتلقها ". إنها الأكثر شيوعًا للأجهزة الجديدة ، وبينما تستغرق بعض الوقت ، فإنها قفزة هائلة في الأمان مقارنة بعامل واحد طُرق. لكن هناك بعض العيوب.
هذا يبدو آمنًا جدًا. ما هي المشكلة؟
صدر تقرير مؤخرًا من شركة الأمن السيبراني Sophos يوضح بالتفصيل طريقة جديدة مفاجئة لذلك يتخطى المتسللون المصادقة الثنائية: بسكويت. كان الفاعلون السيئون "يسرقون ملفات تعريف الارتباط" ، مما يمنحهم حق الوصول فعليًا إلى أي نوع من المتصفحات أو خدمة الويب أو حساب البريد الإلكتروني أو حتى الملفات.
كيف يحصل مجرمو الإنترنت هؤلاء على ملفات تعريف الارتباط هذه؟ حسنًا ، يلاحظ Sophos أن Emotet botnet هو أحد هذه البرامج الضارة التي تسرق ملفات تعريف الارتباط والتي تستهدف البيانات في متصفحات Google Chrome. يمكن للأشخاص أيضًا شراء ملفات تعريف الارتباط المسروقة من خلال الأسواق السرية ، والتي اشتهرت في حالة EA الأخيرة حيث انتهى الأمر بتفاصيل تسجيل الدخول في سوق يسمى Genesis. وكانت النتيجة 780 جيجا بايت من البيانات المسروقة التي تم استخدامها لمحاولة ابتزاز الشركة.
في حين أن هذه حالة رفيعة المستوى ، إلا أن الطريقة الأساسية موجودة ، وتوضح أن المصادقة ذات العاملين بعيدة كل البعد عن الحل الفضي. بالإضافة إلى مجرد سرقة ملفات تعريف الارتباط ، هناك عدد من المشكلات الأخرى التي تم تحديدها على مر السنين:
- إذا كان المتسلل يمتلك حصلت على اسم المستخدم أو كلمة المرور الخاصة بك لإحدى الخدمات، قد يتمكنون من الوصول إلى بريدك الإلكتروني (خاصة إذا كنت تستخدم نفس كلمة المرور) أو رقم الهاتف. يمثل هذا مشكلة خاصة بالنسبة للمصادقة الثنائية القائمة على الرسائل النصية القصيرة / النصية ، لأنه من السهل العثور على أرقام الهواتف ويمكن استخدامها لنسخ هاتفك (من بين الحيل الأخرى) وتلقي الرمز النصي. يتطلب الأمر مزيدًا من العمل ، ولكن لا يزال أمام المتسلل المصمم طريقًا واضحًا للمضي قدمًا.
- تعد التطبيقات المنفصلة للمصادقة ذات العاملين ، مثل Google Auth أو Duo ، أكثر أمانًا بكثير ، لكن معدلات التبني منخفضة جدًا. يميل الأشخاص إلى عدم الرغبة في تنزيل تطبيق آخر لأغراض أمنية لخدمة واحدة فقط ، و تجد المؤسسات أنه من الأسهل كثيرًا طرح السؤال "بريد إلكتروني أو رسالة نصية؟" بدلاً من مطالبة العملاء بتنزيل ملف تطبيق الطرف الثالث. بعبارة أخرى ، لا يتم استخدام أفضل أنواع المصادقة ذات العاملين.
- في بعض الأحيان يكون من السهل جدًا إعادة تعيين كلمات المرور. يمكن لصوص الهوية جمع معلومات كافية حول الحساب لاستدعاء خدمة العملاء أو إيجاد طرق أخرى لطلب كلمة مرور جديدة. غالبًا ما يتحايل هذا على أي مصادقة ثنائية متضمنة ، وعندما يعمل ، فإنه يسمح للصوص بالوصول المباشر إلى الحساب.
- توفر الأشكال الأضعف من المصادقة الثنائية حماية قليلة ضد الدول القومية. تمتلك الحكومات أدوات يمكنها بسهولة مواجهة المصادقة الثنائية ، بما في ذلك مراقبة رسائل SMS أو إكراه شركات الاتصالات اللاسلكية أو اعتراض رموز المصادقة بطرق أخرى. هذه ليست أخبار جيدة لأولئك الذين يريدون طرقًا للحفاظ على خصوصية بياناتهم من الأنظمة الأكثر شمولية.
- تتجاوز العديد من مخططات سرقة البيانات المصادقة الثنائية تمامًا من خلال التركيز على خداع البشر بدلاً من ذلك. مجرد إلقاء نظرة على كل محاولات التصيد التي تتظاهر بأنها من البنوك، والوكالات الحكومية ، ومزودو الإنترنت ، وما إلى ذلك ، يطلبون معلومات مهمة عن الحساب. يمكن أن تبدو رسائل التصيد الاحتيالي هذه حقيقية جدًا ، وقد تتضمن شيئًا مثل ، "نحن بحاجة لك رمز المصادقة من جانبنا حتى نتمكن أيضًا من تأكيد أنك صاحب الحساب "، أو حيل أخرى احصل على الرموز.
هل يجب علي الاستمرار في استخدام المصادقة ذات العاملين؟
قطعاً. في الواقع ، يجب عليك مراجعة خدماتك وأجهزتك وتمكين المصادقة ذات العاملين حيثما كانت متاحة. إنه يوفر أمانًا أفضل بشكل ملحوظ ضد مشكلات مثل سرقة الهوية من استخدام اسم مستخدم وكلمة مرور بسيطين.
حتى المصادقة الثنائية المستندة إلى الرسائل القصيرة أفضل بكثير من عدم وجودها على الإطلاق. إنفاكت ، المعهد الوطني للمعايير والتكنولوجيا أوصى مرة واحدة بعدم استخدام الرسائل القصيرة في المصادقة الثنائية ، ولكن بعد ذلك تراجعت عن ذلك في العام التالي لأنه ، على الرغم من العيوب ، كان لا يزال يستحق العناء.
عندما يكون ذلك ممكنًا ، اختر طريقة مصادقة غير مرتبطة بالرسائل النصية ، وستحصل على شكل أفضل من الأمان. أيضًا ، حافظ على كلمات مرورك قوية و استخدم مدير كلمات المرور لإنشائها لتسجيل الدخول إذا استطعت.
كيف يمكن تحسين المصادقة ذات العاملين؟
يعد الابتعاد عن المصادقة المستندة إلى الرسائل القصيرة هو المشروع الحالي الكبير. من الممكن أن تنتقل المصادقة ذات العاملين إلى عدد قليل من تطبيقات الطرف الثالث مثل Duo، مما يزيل العديد من نقاط الضعف المرتبطة بالعملية. وستنتقل المزيد من الحقول عالية الخطورة إلى MFA ، أو المصادقة متعددة العوامل ، والتي تضيف متطلبًا ثالثًا ، مثل بصمة الإصبع أو أسئلة الأمان الإضافية.
لكن أفضل طريقة لإزالة المشكلات المتعلقة بالمصادقة الثنائية هي تقديم جانب مادي قائم على الأجهزة. بدأت الشركات والوكالات الحكومية بالفعل في طلب ذلك لمستويات وصول معينة. في المستقبل القريب ، هناك فرصة معقولة لأن يكون لدينا جميعًا بطاقات مصادقة مخصصة في محافظنا ، وتكون جاهزة للتمرير السريع على أجهزتنا عند تسجيل الدخول إلى الخدمات. قد يبدو الأمر غريبًا الآن ، لكن مع امتداد الارتفاع الحاد في هجمات الأمن السيبراني، يمكن أن يصبح الحل الأكثر أناقة.
توصيات المحررين
- لماذا لا تكفي بطاقة Nvidia RTX 4060 Ti لعام 2023
- تنفجر تصنيفات الهاكر - وإليك كيف يمكنك حماية نفسك
- لماذا وضع التصفح المتخفي في Google Chrome ليس كما يدعي
- إليكم سبب قول الناس أن Nvidia RTX 4090 لا تستحق الانتظار
- هذا هو السبب في أن الناس يقولون لشراء M1 MacBook Air بدلاً من M2
ترقية نمط حياتكتساعد الاتجاهات الرقمية القراء على متابعة عالم التكنولوجيا سريع الخطى من خلال أحدث الأخبار ومراجعات المنتجات الممتعة والافتتاحيات الثاقبة والنظرات الخاطفة الفريدة من نوعها.
