لماذا لا أستخدم الرسائل القصيرة للمصادقة الثنائية (وما أستخدمه بدلاً من ذلك)

تضيف المصادقة الثنائية (2FA) طبقة حيوية من الأمان إلى حساباتك عبر الإنترنت، ولكن لسوء الحظ، لا يتم إنشاء جميع الأساليب على قدم المساواة. يعتمد العديد من الأشخاص على المصادقة الثنائية المستندة إلى الرسائل القصيرة، على افتراض أنها خيار آمن. لسوء الحظ، الرسائل القصيرة بعيدة كل البعد عن كونها مضمونة. هذا هو سبب توقفي عن استخدام الرسائل القصيرة للمصادقة الثنائية وما أستخدمه بدلاً من ذلك…

تسمح عمليات مبادلة بطاقة SIM للمتسللين بسرقة رقم هاتفك

أحد المخاطر الأكثر إثارة للقلق عند استخدام الرسائل القصيرة للمصادقة الثنائية هو تبديل بطاقة SIM، وهي تقنية يخدع فيها المهاجمون مزود خدمة الهاتف المحمول الخاص بك لنقل رقم هاتفك إلى بطاقة SIM جديدة. بمجرد التحكم في رقمك، يمكنهم اعتراض أي رسائل نصية قصيرة يتم إرسالها إليه.

وإليك كيفية العمل: يتصل المهاجمون بشركة الاتصالات الخاصة بك، متظاهرين بأنهم أنت. باستخدام التفاصيل الشخصية المسروقة – مثل عنوانك أو آخر أربعة أرقام من رقم الضمان الاجتماعي الخاص بك – فإنهم يقنعون مقدم الخدمة بنقل رقم هاتفك إلى بطاقة SIM الخاصة به. بمجرد اكتمال عملية النقل هذه، يعترض المهاجم الرسائل النصية المرسلة إلى رقمك، بما في ذلك رموز المصادقة الثنائية (2FA) المخصصة لحماية حساباتك.

الضرر لا يتوقف عند هذا الحد. يربط الكثير منا أرقام هواتفنا بحسابات متعددة، بدءًا من البريد الإلكتروني إلى وسائل التواصل الاجتماعي وحتى التطبيقات المصرفية. يمكن لمبادلة بطاقة SIM الناجحة أن تمنح المهاجم إمكانية الوصول إلى حسابات متعددة مرتبطة برقم هاتفك، بدءًا من البريد الإلكتروني وحتى التطبيقات المصرفية. يمكن أن يساعدك دليلنا السابق حول تبديل بطاقة SIM وكيفية حماية نفسك في تجنب هذا الاحتيال الشائع بشكل متزايد.

يمكن اعتراض الرسائل القصيرة

حتى لو تجنبت تبديل بطاقة SIM، فإن الرسائل النصية القصيرة نفسها ليست آمنة. إنهم يسافرون عبر شبكات يمكن أن تكون عرضة للاعتراض. يمكن للقراصنة استغلال نقاط الضعف في نظام الإشارة رقم 7 (SS7)، وهو بروتوكول الاتصالات العالمي الذي يسمح لشركات الاتصالات بتوجيه المكالمات والرسائل. ومن خلال استغلال SS7، يمكن للمهاجمين اعتراض رسائلك النصية القصيرة دون الحاجة إلى الوصول إلى هاتفك الفعلي.

هذه ليست نظرية فقط. تعد عملية اختراق بطاقة SIM مشكلة موثقة جيدًا. استخدم مجرمو الإنترنت وحتى بعض الجماعات التي ترعاها الدولة ثغرات SS7 للتجسس على الاتصالات وسرقة المعلومات الحساسة. نظرًا لأن الرسائل النصية القصيرة تفتقر إلى التشفير، فإن محتوى الرسالة، بما في ذلك رموز المرور لمرة واحدة، يتم كشفه أثناء الإرسال.

هناك طريقة أخرى يمكن من خلالها اختراق الرسائل وهي من خلال التطبيقات الضارة أو برامج التجسس المثبتة على جهازك. يمكن لهذه البرامج مراقبة رسائلك النصية القصيرة الواردة وإعادة توجيه رموز المصادقة الثنائية (2FA) إلى المهاجمين دون علمك.

الرسائل القصيرة مرتبطة برقم هاتفك

عيب آخر مهم في المصادقة الثنائية المستندة إلى الرسائل القصيرة هو اعتمادها على رقم هاتفك. ترتبط قدرتك على تلقي الرموز مباشرة بخدمة الهاتف المحمول الخاصة بك. إذا كنت في منطقة ذات استقبال ضعيف، فإن المصادقة الثنائية المستندة إلى الرسائل القصيرة تصبح عديمة الفائدة تمامًا، حتى لو كان لديك شبكة Wi-Fi. على عكس طرق المصادقة الأخرى التي يمكن أن تعمل عبر اتصال بالإنترنت، تتطلب الرسائل النصية القصيرة إشارة خلوية مستقرة.

يمكن أن تتركك هذه التبعية عالقًا في المواقف التي تحتاج فيها إلى الوصول إلى حساباتك ولكن لا يمكنك تلقي الرموز. سواء كنت تسافر إلى مكان بعيد أو ببساطة في مبنى يعاني من ضعف الاستقبال، فإن هذا القيد يجعل الرسائل القصيرة أقل موثوقية من البدائل.

ما أستخدمه بدلاً من ذلك: تطبيقات المصادقة

بدلاً من الاعتماد على الرسائل القصيرة في المصادقة الثنائية، قمت بالتبديل إلى تطبيقات مصادقة المصادقة الثنائية. تقوم تطبيقات مثل Google Authenticator وMicrosoft Authenticator وAuthy بإنشاء كلمات مرور لمرة واحدة (TOTP) مباشرة على جهازك، مما يوفر بديلاً أكثر أمانًا وموثوقية للرسائل النصية القصيرة.

الميزة الرئيسية الأولى لتطبيقات المصادقة هي الأمان. وعلى عكس الرسائل النصية القصيرة، تقوم هذه التطبيقات بإنشاء رموز محليًا على هاتفك، مما يعني أنها لا تنتقل عبر شبكات يمكن اعتراضها أو استغلالها. كما أنها محمية بطبقات إضافية من الأمان، حيث تتطلب العديد من التطبيقات رمز مرور أو بصمة إصبع أو مسحًا للوجه للوصول إلى الرموز.

السبب الآخر الذي يجعلني أفضل تطبيقات المصادقة هو وظيفتها دون اتصال بالإنترنت. نظرًا لأنه يتم إنشاء الرموز مباشرة على الجهاز، فلن تحتاج إلى اتصال خلوي لاستخدامها. سواء كنت في منطقة نائية بدون خدمة أو ببساطة في الداخل مع ضعف الاستقبال، فلا يزال بإمكانك الوصول إلى الرموز الخاصة بك طالما كان جهازك معك.

أفضّل Authy على تطبيقات المصادقة الأخرى لأنه يوفر نسخًا احتياطية سحابية، مما يجعل من السهل استرداد حساباتي في حالة فقدان هاتفي. وفي الوقت نفسه، يقوم بتأمين هذه النسخ الاحتياطية بالتشفير، مما يضمن أنني وحدي من يمكنه الوصول إليها. يعد Google Authenticator خيارًا شائعًا آخر. كلا الخيارين مجانيان ومدعومان على نطاق واسع وسهل الإعداد.

يعد استخدام تطبيق المصادقة أمرًا سهلاً. بمجرد إعداده، عادةً عن طريق مسح رمز الاستجابة السريعة المقدم من موقع الويب أثناء عملية إعداد المصادقة الثنائية، يمكنك ببساطة فتح التطبيق للوصول إلى الرمز عند تسجيل الدخول. يتم تحديث الرموز كل 30 ثانية، لذلك حتى لو تمكن شخص ما من ذلك لسرقة واحدة، تصبح عديمة الفائدة على الفور تقريبًا.

تعد المصادقة الثنائية ضرورية للحفاظ على أمان حساباتك، ولكن الطريقة التي تستخدمها مهمة. على الرغم من أن المصادقة الثنائية المستندة إلى الرسائل النصية القصيرة قد تبدو ملائمة، إلا أنها مليئة بنقاط الضعف – بدءًا من تبديل بطاقة SIM إلى طرق الاعتراض وحتى المشكلات العملية مثل ضعف الاستقبال الخلوي. هذه المخاطر تجعل الرسائل النصية القصيرة وسيلة حماية غير موثوقة لأمنك على الإنترنت.