لكن المصادقة ذات العاملين ليست بمثابة حل سحري قادر على إيقاف المتسللين في مساراتهم. إنه إجراء مضاد مفيد بين دفاعاتك، ولكنه في النهاية ليس بديلاً عن المعرفة العملية بأكبر التهديدات التي نواجهها عبر الإنترنت.
مقاطع الفيديو الموصى بها
قم بتنشيط المصادقة ذات العاملين أينما أتيحت لك الفرصة - ولكن لا ترتكب خطأ الاعتماد على حمايتها إذا كنت لا تفهم ما يمكن وما لا يمكن الدفاع عنه. وكما أثبت عام 2016، فإن الحفاظ على أمان البيانات أمر معقد، والثقة المفرطة يمكن أن تجعلك عرضة للهجوم.
متعلق ب
- يظهر تقرير جديد أن كلمات المرور صعبة والناس كسالى
- لم يعد تويتر بحاجة إلى أرقام هواتف للمصادقة الثنائية
- تقدم Google مفتاح أمان USB "Titan" الخاص بها لتسجيلات الدخول بدون كلمة مرور
هل أنت من تقول أنك أنت؟
في جوهرها، تتعلق المصادقة الثنائية بالتحقق من بيانات الاعتماد. إنها طريقة للتأكد من أن الشخص هو ما يدعيه، من خلال التحقق من نوعين مختلفين من الأدلة. هذا النوع من النظام موجود منذ سنوات.
إذا كنت لا تفهم أساسيات أمان الكمبيوتر، فلا يُسمح لك بإجراء المعاملات المصرفية عبر الإنترنت.
ربما تكون مدفوعات بطاقات الائتمان باستخدام الشريحة ورقم التعريف الشخصي (PIN) المثال الأكثر انتشارًا؛ يعتمدون على امتلاك المستخدم لبطاقة فعلية في حوزته ومعرفة رقم التعريف الشخصي الخاص به. في حين أن اللص يمكن أن يسرق البطاقة عمليا و تعرف على رقم التعريف الشخصي (PIN)، فليس من السهل إدارة كليهما.
كان هناك وقت، منذ وقت ليس ببعيد، عندما كانت المعاملات المالية هي السبب الوحيد الذي يدفع الأشخاص إلى التحقق من هويتهم بشكل منتظم. اليوم، أي شخص يستخدم الإنترنت لديه مجموعة من الحسابات التي لا يريد أن يتمكن أي شخص من الوصول إليها، وذلك لعدة أسباب.
تمكنت الصناعة المالية من تنفيذ المصادقة ذات العاملين بسهولة بالغة، لأن الجهاز الوحيد الذي يلزم توزيعه كان البطاقة المصرفية. يكاد يكون من المستحيل توزيع نظام مماثل لمواقع الويب اليومية، لذلك يتم تمكين العامل الثنائي من خلال وسائل أخرى. وهذه الأساليب لها عيوبها الخاصة.
تجربة المستخدم
"لقد سئمت حقًا من أن كل الأشياء المريحة في الحياة أصبحت فجأة مرهقة جدًا بحيث لا يمكن استخدامها،" هذا ما جاء في أحد التعليقات المنشورة على أحد الأشخاص في عام 2005. سلاشدوت مقالة حول الارتفاع الوشيك للمصادقة الثنائية فيما يتعلق بالخدمات المصرفية عبر الإنترنت. "أنا حقًا أكره حقًا أن يكون لدي عملة رمزية يصعب حملها."
"ليس لدى السياسيين أي فكرة عن تأثير ذلك على العالم الحقيقي"، وافق شخص آخر، معربًا عن أسفه للتهديد المتمثل في إجبار المستخدمين على شراء أجهزة إضافية. وأضاف معلق آخر: "إذا كنت لا تفهم أساسيات أمن الكمبيوتر، فلا ينبغي أن يُسمح لك بإجراء المعاملات المصرفية عبر الإنترنت".
اليوم، تبدو مثل هذه الشكاوى حمقاء بشكل إيجابي، ولكن في عام 2005، كان المستخدمون أكثر اهتمامًا بالتكلفة والإزعاج الناتج عن حمل شكل من أشكال الرمز المميز ثنائي العامل. يمكن أن تكون استجابة المستخدم أكثر سلبية عندما يتم حماية شيء أقل أهمية من الخدمات المصرفية. في عام 2012، تم رفع دعوى قضائية جماعية ضد مطور اللعبة Blizzard Entertainment بعد الشركة قدمت جهازًا طرفيًا للمصادقة مصممًا للدفاع عن حسابات Battle.net الخاصة بالمستخدمين، وفقًا لتقرير صادر عن بي بي سي.
لاست باس
لقد تم بذل الجهود لتنفيذ هذا النوع من المصادقة ذات العاملين منذ الثمانينيات، عندما قامت شركة Security Dynamics Technologies حصل على براءة اختراع "طريقة وجهاز لتحديد هوية الفرد بشكل إيجابي". وبحلول العقد الأول من القرن الحادي والعشرين، كانت البنية التحتية والقدرة على التصنيع ضعيفة معمول به للمؤسسات التي تتراوح من المؤسسات المالية إلى ناشري ألعاب الفيديو لفرض وسائلهم الخاصة ذات العاملين المصادقة.
ولسوء الحظ، قرر المستخدمون عدم التعاون. سواء كان العامل الثاني للمصادقة بسيطًا مثل شاشة LCD التي تقدم رمزًا فريدًا، أو معقدًا مثل الماسح الضوئي لبصمات الأصابع، فإن فكرة إن وجود قطعة أخرى من الأجهزة المادية - وربما قطعة واحدة لكل خدمة مختلفة تتطلب تسجيل دخول فريدًا - لم يكن جذابًا بالنسبة إلى الجماهير.
من الممكن أن نتخيل تاريخًا بديلًا حيث لم يتم اكتشاف العامل الثنائي مطلقًا بسبب هذه المشكلة. ولحسن حظنا، قدمت شركة Apple جهاز iPhone، وقدمت Google جهازًا ذكري المظهر. لقد وضعت الهواتف الذكية جهازاً قادراً على المصادقة الثنائية في أيدي المليارات من الناس في مختلف أنحاء العالم، الأمر الذي أدى إلى حل مشكلة الراحة التي اشتكى منها المستخدمون في عام 2005.
الهواتف الذكية مريحة، ولكن لها مخاطرها الخاصة
سمحت طبيعة الهواتف الذكية المنتشرة في كل مكان للمواقع والخدمات بإزالة المتاعب من عملية المصادقة الثنائية. قال الخبير الأمني وزميل جامعة هارفارد، بروس شناير، متحدثًا إلى Digital Trends في وقت سابق من هذا الشهر: "إن الأشخاص الذين يستخدمون هاتفك المحمول يميلون إلى أن يكونوا سهلين جدًا في الاستخدام، وتأثيرهم منخفض جدًا". "لأنه شيء لديك بالفعل. إنه ليس شيئًا جديدًا عليك أن تحمله معك."
من الممكن أن نتخيل تاريخًا بديلًا لم ينتشر فيه العامل الثنائي مطلقًا.
في بعض السيناريوهات، يمكن أن يقدم هذا النهج فوائد محددة. على سبيل المثال، إذا كنت تقوم بتسجيل الدخول إلى خدمة من جهاز كمبيوتر جديد، فقد يُطلب منك إدخال رمز تم إرساله إلى جهاز موثوق به بالإضافة إلى كلمة المرور القياسية الخاصة بك. وهذا مثال جيد لكيفية استخدام المصادقة الثنائية؛ من الممكن أن يكون شخص آخر قد سرق كلمة المرور الخاصة بك وحاول تسجيل الدخول إلى الحساب المرتبط من نظامه - ولكن ما لم يكن قد سرق هاتفك بالفعل، فلن يتمكن من الوصول إليه.
ومع ذلك، هناك تهديدات لا يستطيع هذا النوع من الحماية التعامل معها. في عام 2005، كتب شناير أن "المصادقة الثنائية ليست منقذنا" في مقالة له. مشاركة مدونة الخوض في نقاط ضعفها.
وتابع ليصف كيف يمكن لهجوم رجل في الوسط أن يخدع المستخدم ويجعله يعتقد أنه كذلك على موقع ويب شرعي، وإقناعهم بتقديم كلا شكلي المصادقة لتسجيل الدخول الزائف شاشة. ويشير أيضًا إلى أنه يمكن استخدام حصان طروادة للتسلل إلى عملية تسجيل دخول شرعية تم تنفيذها باستخدام شكلين من المصادقة. هناك أيضًا مشكلة مركزية الأمن على جهاز واحد؛ يستخدم معظم الأشخاص عاملين يدعمان الهاتف الذكي لمواقع ويب متعددة. إذا تمت سرقة هذا الهاتف واختراقه، فإن جميع هذه المواقع معرضة للخطر.
المعرفة قوة
قال شناير: "عندما تقوم بتسجيل الدخول إلى حسابك، يعد العامل الثنائي أمرًا رائعًا". "جامعتي، هارفارد، تستخدمه، وشركتي تستخدمه. لقد اعتمده الكثير من الأشخاص، وهو مفيد جدًا. لكن ما كنت أكتب عنه حينها، هو أن المشكلة كانت أنه تم النظر إليه باعتباره علاجًا سحريًا، وسوف يحل كل شيء. بالطبع، نحن نعلم أن الأمر ليس كذلك”.
تعمل المكاسب المالية دائمًا على تحفيز المتسللين الضارين على تطوير تقنيات جديدة للوصول إلى حسابات الآخرين. وطالما أن هناك فائدة من امتلاك بيانات اعتماد شخص آخر، فسنرى القرصنة تتطور باستمرار.
وأوضح شناير أن "هناك الكثير من التهديدات المختلفة، والكثير من الآليات الأمنية المختلفة". "لا يوجد تهديد واحد فقط، ولا آلية واحدة فقط، هناك تهديدات كثيرة وآليات عديدة".
أفضل دفاع هو التدفق المستمر للإجراءات المضادة الجديدة والمحسنة. إذا واصلنا تغيير وتحديث الأساليب التي نستخدمها للحفاظ على حساباتنا آمنة، فإننا نجعل الأمور أكثر صعوبة على أي شخص يحاول الوصول دون إذن.
ولسوء الحظ، فإن المهاجمين لديهم المبادرة. لقد استغرق الأمر سنوات حتى تصبح المصادقة الثنائية مقبولة لدى الجماهير. ومع توفر أشكال جديدة من الحماية، نحتاج كمستخدمين إلى الالتزام بالاستفادة منها. وهذا يعيدنا إلى منتديات Slashdot، حوالي عام 2005. لقد أصبحنا جميعًا مرة أخرى مستخدمين يشكون من الراحة، بدلاً من القلق بشأن الأمان.
من الصعب أن نتجاهل مدى شيوع عمليات الاختراق واسعة النطاق، وليس هناك ما يشير إلى أن هذا النوع من الإجرام سوف يختفي. لا يوجد دفاع قادر بنسبة 100% على صد أي نوع من الهجوم؛ سيجد المجرمون دائمًا طريقة لاستغلال حتى أصغر نقاط الضعف. على الرغم من أن الأمر ليس سهلاً، فإن أفضل طريقة للبقاء آمنًا عبر الإنترنت هي أن تكون على دراية بالتهديدات، وأن تكون على دراية بما يمكن فعله للحماية من تلك التهديدات.
يشبه الأمان عبر الإنترنت دفع تكاليف التأمين أو الذهاب إلى طبيب الأسنان. لا يبدو الأمر بهذه الأهمية، حتى يكون كذلك. لا يكفي مجرد الاشتراك في أشكال الحماية التي تقدمها المواقع والخدمات المختلفة. إن معرفة نوع الهجمات التي تدافع عنا وسائل الحماية هذه منها - وما لا تدافع عنه - هي الطريقة الوحيدة لتولي مسؤولية أمنك.
توصيات المحررين
- تواجه المصادقة الثنائية عبر الرسائل النصية القصيرة على تويتر مشكلات. وإليك كيفية تبديل الأساليب
- لهذا السبب يقول الناس أن المصادقة الثنائية ليست مثالية
- يجد المتسللون طريقة لتجاوز المصادقة الثنائية لـ Gmail
