21Jul

أشكال مختلفة من اثنين من عامل المصادقة: سمز، تطبيقات المصادقة، وأكثر من ذلك

توفر العديد من الخدمات عبر الإنترنت مصادقة ثنائية العوامل، مما يعزز الأمان من خلال طلب أكثر من مجرد كلمة المرور لتسجيل الدخول. هناك العديد من أنواع مختلفة من أساليب المصادقة الإضافية التي يمكنك استخدامها.

تقدم خدمات مختلفة أساليب توثيق ثنائية العوامل، وفي بعض الحالات، يمكنك حتى الاختيار من بين عدد قليل من الخيارات المختلفة.وإليك كيفية عملها وكيفية اختلافها.

التحقق من الرسائل القصيرة

تتيح لك العديد من الخدمات الاشتراك لتلقي رسالة نصية قصيرة كلما قمت بتسجيل الدخول إلى حسابك.ستحتوي الرسالة القصيرة سمز على رمز قصير الاستخدام لمرة واحدة سيكون عليك إدخاله.مع هذا النظام، يتم استخدام الهاتف الخليوي الخاص بك كطريقة المصادقة الثانية.لا يستطيع شخص ما الدخول إلى حسابك إلا إذا كان لديه كلمة المرور - حيث يحتاج إلى كلمة المرور والدخول إلى هاتفك أو رسائل سمز.

هذا هو مريحة، كما أنك لا تحتاج إلى القيام بأي شيء خاص، ومعظم الناس لديهم الهواتف المحمولة.بعض الخدمات حتى الاتصال الهاتفي رقم الهاتف ولها نظام الآلي يتكلم رمز، مما يسمح لك لاستخدام هذا مع رقم الهاتف الثابت التي لا يمكن تلقي الرسائل النصية.

ومع ذلك، هناك مشاكل كبيرة مع التحقق سمز.يمكن للمهاجمين استخدام هجمات مبادلة سيم للوصول إلى رموز آمنة الخاص بك أو اعتراض لهم وذلك بفضل العيوب في الشبكة الخلوية.نوصي بعدم استخدام رسائل سمز، إن أمكن.ومع ذلك، رسائل سمز لا تزال أكثر أمانا من عدم استخدام أي عاملين التوثيق على الإطلاق!

رموز التطبيقات التي تم إنشاؤها( مثل غوغل أوثنتيكاتور و أوثي)

يمكنك أيضا الحصول على الرموز التي تم إنشاؤها بواسطة تطبيق على هاتفك.التطبيق الأكثر شهرة على نطاق واسع هو أن غوغل أوثنتيكاتور، الذي تقدمه غوغل لأجهزة أندرويد و إفون.ومع ذلك، فإننا نفضل أوثي، الذي يفعل كل ما يفعله غوغل أوثنتيكاتور - وأكثر من ذلك.على الرغم من اسم، هذه التطبيقات استخدام معيار مفتوح.على سبيل المثال، من الممكن إضافة حسابات ميكروسوفت والعديد من أنواع الحسابات الأخرى إلى تطبيق غوغل أوثنتيكاتور.

تثبيت التطبيق، مسح رمز عند إنشاء حساب جديد، وهذا التطبيق سوف تولد رموز جديدة تقريبا كل 30 ثانية.سيكون لديك لإدخال رمز الحالية المعروضة في التطبيق على الهاتف الخاص بك وكذلك كلمة المرور الخاصة بك عند تسجيل الدخول إلى حساب.

هذا لا يتطلب إشارة الخلوية على الإطلاق، و "البذور" التي تسمح التطبيق لتوليد تلك الرموز محدودة الوقت يتم تخزينها فقط على جهازك.وهذا يعني أنه أكثر أمانا، حتى أن الشخص الذي يكسب الوصول إلى رقم هاتفك أو اعتراض الرسائل النصية الخاصة بك لن تعرف الرموز الخاصة بك.

بعض الخدمات - على سبيل المثال، بليزارد's Battle.net أوثنتيكاتور - لديها أيضا تطبيقات مخصصة لتوليد الرموز الخاصة بهم.

مفاتيح المصادقة المادية

مفاتيح المصادقة المادية هي خيار آخر بدأ في أن يصبح أكثر شعبية.الشركات الكبيرة من قطاعات التكنولوجيا والمالية هي خلق معيار يعرف باسم U2F، وأنه من الممكن بالفعل لاستخدام رمز U2F المادية لتأمين حسابات غوغل، دروببوإكس، و جيثب الخاص بك.هذا هو مجرد مفتاح أوسب صغير كنت وضعت على المفاتيح الخاصة بك.كلما أردت تسجيل الدخول إلى حسابك من جهاز كمبيوتر جديد، سيتعين عليك إدخال مفتاح أوسب والضغط على زر عليه.هذا كل شيء - لا رموز الكتابة.في المستقبل، يجب أن تعمل هذه الأجهزة مع نفك و بليتوث للاتصال بالأجهزة المحمولة بدون منافذ أوسب.

يعمل هذا الحل بشكل أفضل من التحقق من سمز ورموز استخدام لمرة واحدة لأنه لا يمكن اعتراضها وعبث بها.كما انها أبسط وأكثر ملاءمة للاستخدام.على سبيل المثال، قد يعرض لك موقع تصيد احتيالي صفحة مزيفة لتسجيل الدخول إلى غوغل والتقاط رمز الاستخدام لمرة واحدة عند محاولة تسجيل الدخول. ويمكن بعد ذلك استخدام هذه الشفرة لتسجيل الدخول إلى غوغل.ولكن، مع مفتاح المصادقة المادية التي تعمل بالتنسيق مع المتصفح الخاص بك، يمكن للمتصفح التأكد من أنه التواصل مع الموقع الحقيقي ولا يمكن أن يتم التقاط رمز من قبل مهاجم.

نتوقع أن نرى الكثير من هذه في المستقبل.

المصادقة المستندة إلى التطبيقات

قد توفر بعض تطبيقات الجوال مصادقة ثنائية العوامل باستخدام التطبيق نفسه.على سبيل المثال، تقدم غوغل الآن مصادقة ثنائية العامل بدون رمز طالما أن تطبيق غوغل مثبتا على هاتفك.كلما حاولت تسجيل الدخول إلى غوغل من جهاز كمبيوتر أو جهاز آخر، ما عليك سوى النقر على زر على هاتفك، ولا يلزم وجود رمز.تعمل غوغل على التحقق للتأكد من إمكانية الدخول إلى هاتفك قبل محاولة تسجيل الدخول.

يعمل التحقق من خطوتين من أبل على نحو مماثل، على الرغم من أنه لا يستخدم التطبيق، فإنه يستخدم نظام التشغيل يوس نفسه.عندما تحاول تسجيل الدخول من جهاز جديد، يمكنك الحصول على رمز استخدام لمرة واحدة يتم إرساله إلى جهاز مسجل، مثل إفون أو إيباد.التطبيق المحمول تويتر لديه ميزة مماثلة تسمى التحقق من تسجيل الدخول كذلك.وقد أضافت غوغل و ميكروسوفت هذه الميزة إلى تطبيقات غوغل و ميكروسوفت أوثنتيكاتور للهواتف الذكية.

أنظمة تعتمد على البريد الإلكتروني

تعتمد الخدمات الأخرى على حساب بريدك الإلكتروني لمصادقتك.على سبيل المثال، إذا قمت بتمكين ستيم غوارد، ستطالبك ستيم بإدخال رمز لمرة واحدة يتم إرساله إلى بريدك الإلكتروني في كل مرة تقوم فيها بتسجيل الدخول من جهاز كمبيوتر جديد.وهذا يضمن على الأقل أن المهاجم يحتاج كل من كلمة السر حساب البخار الخاص بك والوصول إلى حساب البريد الإلكتروني الخاص بك للوصول إلى هذا الحساب.

هذه الطريقة ليست آمنة مثل طرق التحقق الأخرى المكونة من خطوتين، حيث يمكن أن يكون من السهل على شخص ما الوصول إلى حساب بريدك الإلكتروني، خاصة إذا كنت لا تستخدم التحقق بخطوتين على ذلك!تجنب التحقق المستند إلى البريد الإلكتروني إذا كنت تستطيع استخدام شيء أقوى.(الحمد لله، البخار لا توفر المصادقة المستندة إلى التطبيق على التطبيق المحمول.)

منتجع الماضي: رموز الاسترداد

رموز الاسترداد توفر شبكة أمان في حال فقدت أسلوب المصادقة اثنين عامل.عند إعداد المصادقة الثنائية، ستزودك عادة برموز الاسترداد التي يجب أن تكتبها وتخزينها في مكان آمن.ستحتاج إليها إذا فقدت طريقة التحقق بخطوتين.

تأكد من وجود نسخة من رموز الاسترداد في مكان ما إذا كنت تستخدم مصادقة من خطوتين.

لن تجد هذه الخيارات المتعددة لكل حساب من حساباتك.ومع ذلك، فإن العديد من الخدمات تقدم طرق متعددة للتحقق من خطوتين يمكنك الاختيار منها.

هناك أيضا خيار استخدام أساليب مصادقة متعددة العوامل.على سبيل المثال، إذا أعددت كلا من تطبيق إنشاء الشفرة ومفتاح الأمان الفعلي، فيمكنك الدخول إلى حسابك عبر التطبيق إذا فقدت المفتاح الفعلي من أي وقت مضى.