شارك
الرئيسية
ربما سمعت عن منتج جديد غريب أعلنت عنه جوجل، وهو أداة صغيرة تسمى “مفتاح تيتان للأمان” والتي ستستخدم كوسيلة للمصادقة ثنائية العوامل (الاستيقان من هوية المستخدم عبر إفادته بمعلومتين). هذا يعني أنك ستستخدم هذه الأداة كجزء من عملية تسجيل الدخول لكي تؤكد هويتك. فبدلاً من أن تتلقى رسالة نصية تتضمن رمز التأكيد، تقوم بإدخال مفتاح الأمان في منفذ الحاسوب المخصص لديك وتضغط زراً معيناً.
لا يمكنك شراء واحد من هذه المفاتيح حتى الآن (تقول جوجل إنها ستكون متاحة للعموم “قريباً”)، ولكن الإعلان عنها يعد تذكيراً جيداً بأن إعداد عملية المصادقة الثنائية على حساباتك تمثل واحدة من أسهل الطرق للحفاظ على خصوصية معلوماتك، حتى وإن تعرض اسم المستخدم وكلمة المرور لديك للاختراق.
يقول أورين فولكويتز، الرئيس التنفيذي لشركة “إيريا ون سيكيوريتي” التي تساعد على منع هجمات التصيد الاحتيالي (انتحال هوية كيان موثوق في اتصال إلكتروني): “نحن نرى باستمرار أنه في نسبة كبيرة من الحوادث السيبرانية، عندما يستخدم الأفراد نوعاً من الاستيقان متعدد العوامل، فإنهم يتسببون على الأقل بتأخير إمكانية دخول المهاجمين، أو يصعبون الأمر عليهم قليلاً”.
باختصار، إن استخدام المصادقة الثنائية أمر ذكي، ولكن استخدام مفتاح فيزيائي ليس خيارك الوحيد.
راسلني؟
يقول خبراء أمن المعلومات، إن تلقي رمز التأكيد عبر رسالة نصية هو أضعف الخيارات ثنائية العوامل. فإجراء عملية التحقق عبر رسالة نصية أمر في غاية البساطة: حيث تحاول تسجيل الدخول إلى حسابك المعني، ولكن عليك أولاً أن تدخل رمزاً تم إرساله إلى هاتفك الخليوي. من السهل اتباع هذا الوسيلة وفهم خطواتها، وهي أفضل من لا شيء بالتأكيد، ولكنها وسيلة لها عيوبها.
تقول لوري فيث كرانور، أستاذة علوم الحاسوب في جامعة كارنيجي ميلون ورئيسة قسم التكنولوجيا سابقاً لدى هيئة التجارة الفيدرالية: “أود القول إن الرسائل النصية القصيرة هي الوسيلة الأسوأ على الإطلاق”. ويتابع: “ذلك لأنها تعتمد على قناة غير آمنة في الشبكة الخليوية، والتي لم يكن الهدف منها يوماً أن تستخدم لأغراض أمنية”.
بالإضافة إلى حقيقة أن القناة ليست آمنة، فإن المشكلة الأخرى المرافقة لاستخدام الرسائل النصية القصيرة في تلقي رمز التأكيد وفقاً لكرانور هي “قرصنة الحساب”. في هذه الحالة، قد يلجأ المهاجم إلى أسلوب كالتالي: يتوجه إلى متجر للهواتف الخليوية، يدعي بأنه شخص آخر، ثم ينقل رقم الهاتف الخاص بالضحية إلى هاتف جديد.
ترى كرانور أن هذا الأسلوب قد يؤدي إلى سيناريوهات غير سارة، كأن يقوم المهاجم بسحب الأموال من الحساب المصرفي الخاص بالضحية. تقول كرانور: “لقد لاحظنا أيضاً كيف يتوجه أحدهم إلى حساب تويتر الخاص بالضحية، ومن ثم يبدأ بنشر التغريدات كما لو أنه هو”.
في الواقع، أفضل ألا تراسلني
غير أن خبراء أمن المعلومات يرون أن هناك خيارات أفضل من مجرد تلقي ذلك الرمز في رسالة نصية على هاتفك الخليوي. وأحد هذه الخيارات هو أن تستخدم تطبيقاً مثل “أوثي”، أو تطبيقاً آخر يسمى “جوجل أوثنتيكيتور” لتولد العدد الذي تحتاجه والمكون من 6 أرقام. تنتهي صلاحية هذه الرموز بعد فترة زمنية محددة، مثل رسالة التدمير الذاتي في سلسلة أفلام “مهمة مستحيلة” لتوم كروز.
بعد ذلك بالطبع، يأتي خيار استخدام أداة تقوم بإدخالها في منفذ نقل البيانات التسلسلي العام USB أو توصيلها عبر البلوتوث. أحد الخيارات المعروفة هو “يوبي كي”، والآخر هو الأداة القادمة من جوجل.
يقول أمين هامبابا، كبير مدراء أمن المعلومات في شركة شيب سيكوريتي: “يعتبر التحايل على رمز الأمان الفيزيائي أمراً في غاية الصعوبة”. ذلك لأنه إذا تمكن مهاجم بعيد من الحصول على اسم المستخدم وكلمة المرور الخاصين بك، فسيبقى بحاجة للحصول على شيء ملموس.
تقول جوجل إنهم نجحوا باستخدام هذه الأدوات داخل نطاق الشركة. حيث يقول متحدث باسم الشركة في رسالة له عبر البريد الإلكتروني: “لم نتلق أي تبليغات أو تأكيدات على حدوث عمليات استيلاء على حسابات المستخدمين منذ أن قمنا بتطبيق أسلوب مفاتيح الأمان في جوجل”. ولا يعمل مفتاح تيتان مع حسابات جوجل فقط، بل يمكنك استخدامه أيضاً مع غيرها من الحسابات التي تدعم استخدام مفتاح للأمان.
في نهاية المطاف، يمثل استخدام مفتاح فيزيائي وسيلة قوية لتحصين الحسابات أمنياً على الإنترنت، ولكنها لا تعد درعاً واقياً من كافة التهديدات عبر الإنترنت. فامتلاك واحد من هذه المفاتيح لن يمنعك من تحميل ملف خبيث، على سبيل المثال. كما أن استخدام غرض مادي للمصادقة له جوانب سلبية واضحة.
تقول كرانور من جامعة كارنيجي ميلون: “أعتقد أنها وسيلة مفيدة كحل أمني”. وتتابع: “لكنها ليست الوسيلة المثلى دائماً”. ذلك لأنه يتعين عليك إبقاؤها في حوزتك لتتمكن من استخدامها عملياً، وكأنها مفتاح تقليدي لمنزلك. تضيف كرانور قائلة: “إنه شيء آخر عليك أن تبقيه تحت ناظريك، وتتعامل معه”.
سواء أكنت تخطط لشرا مفتاح جوجل أم لا، فمن المنطقي أن تقوم بتطبيق المصادقة الثنائية على حساباتك الرئيسية التي تسمح بذلك، لذلك توجه إلى المواقع الإلكترونية التي تهمك مثل فيسبوك وجوجل وقم بذلك الآن.