لماذا لا يجب عليك استخدام الرسائل القصيرة للمصادقة ذات العاملين (وماذا تستخدم بدلاً من ذلك)



يوصي خبراء الأمن باستخدام المصادقة ذات العاملين لتأمين حساباتك عبر الإنترنت حيثما أمكن ذلك. تقوم العديد من الخدمات افتراضيًا بالتحقق من الرسائل القصيرة ، وإرسال الرموز عبر رسالة نصية إلى هاتفك عندما تحاول تسجيل الدخول. لكن رسائل SMS بها الكثير من مشكلات الأمان ، وهي الخيار الأقل أمانًا للمصادقة الثنائية.

الأشياء الأولى أولاً: الرسائل القصيرة لا تزال أفضل من عدم وجود مصادقة ثنائية على الإطلاق!

ذات صلة: ما هي المصادقة الثنائية ، ولماذا أحتاجها؟





بينما سنقوم بتوضيح القضية ضد الرسائل القصيرة هنا ، من المهم أن نوضح شيئًا واحدًا أولاً: استخدام الرسائل القصيرة أفضل من عدم استخدام المصادقة ذات العاملين على الإطلاق.

عندما لا تستخدم المصادقة ذات العاملين ، فإن شخصًا ما يحتاج فقط إلى كلمة مرورك لتسجيل الدخول إلى حسابك. عند استخدام المصادقة الثنائية مع الرسائل القصيرة ، سيحتاج شخص ما إلى الحصول على كلمة مرورك والوصول إلى رسائلك النصية للوصول إلى حسابك. الرسائل القصيرة أكثر أمانًا من عدم وجود أي شيء على الإطلاق.



إذا كانت الرسائل القصيرة هي خيارك الوحيد ، فالرجاء استخدام الرسائل القصيرة. ومع ذلك ، إذا كنت ترغب في معرفة سبب توصية خبراء الأمان بتجنب الرسائل القصيرة وما نوصي بدلاً من ذلك ، فتابع القراءة.

تسمح مبادلات SIM للمهاجمين بسرقة رقم هاتفك

وإليك كيفية عمل التحقق عبر الرسائل القصيرة: عند محاولة تسجيل الدخول ، ترسل الخدمة رسالة نصية إلى رقم الهاتف المحمول الذي قدمته لهم مسبقًا. تحصل على هذا الرمز على هاتفك وتدخله لتسجيل الدخول. هذا الرمز صالح للاستخدام مرة واحدة فقط.



الإعلانات

يبدو آمنًا بشكل معقول. بعد كل شيء ، لديك فقط رقم هاتفك ويجب أن يكون لدى شخص ما هاتفك ليرى الرمز - أليس كذلك؟ للاسف لا.

إذا كان شخص ما يعرف رقم هاتفك ويمكنه الوصول إلى المعلومات الشخصية مثل الأرقام الأربعة الأخيرة من رقم الضمان الاجتماعي الخاص بك - لسوء الحظ ، يسهل العثور على هذا بفضل العديد من الشركات والوكالات الحكومية التي سربت بيانات العملاء - يمكنهم الاتصال بهاتفك شركة ونقل رقم هاتفك إلى هاتف جديد. هذا هو المعروف باسم مبادلة بطاقة SIM ، وهي نفس العملية التي تقوم بها عند شراء جهاز جديد ونقل رقم هاتفك إليه. يقول الشخص إنه أنت ، ويقدم البيانات الشخصية ، وتقوم شركة الهاتف الخلوي بإعداد هاتفها برقم هاتفك. سيتلقون رموز الرسائل القصيرة المرسلة إلى رقم هاتفك على هواتفهم.

لقد رأينا تقارير عن حدوث ذلك في المملكة المتحدة ، حيث سرق المهاجمون رقم هاتف الضحية واستخدموه للوصول إلى الحساب المصرفي للضحية. ولاية نيويورك لديها أيضا محذر حول هذا الاحتيال.

في جوهرها ، هذا هو ملف هجوم الهندسة الاجتماعية الذي يعتمد على خداع شركة الهاتف المحمول الخاصة بك. لكن يجب ألا تكون شركة الهاتف الخلوي قادرة على تزويد شخص ما بإمكانية الوصول إلى رموز الأمان الخاصة بك في المقام الأول!

يمكن اعتراض رسائل SMS بعدة طرق

من الممكن أيضًا التطفل على رسائل SMS. سوف يرغب المنشقون السياسيون والصحفيون في البلدان القمعية في توخي الحذر ، حيث يمكن للحكومة أن تختطف الرسائل النصية القصيرة لأنها تُرسل عبر شبكة الهاتف. لقد حدث هذا بالفعل في إيران ، حيث ورد أن قراصنة إيرانيين اخترقوا عددًا من حسابات Telegram messenger من خلال اعتراض رسائل SMS التي وفرت الوصول إلى هذه الحسابات.

الإعلانات

كما أساء المهاجمون مشاكل في SS7 ، وهو نظام الاتصال المستخدم في التجوال ، لاعتراض الرسائل النصية القصيرة على الشبكة وتوجيهها إلى مكان آخر. هناك العديد من الطرق الأخرى التي يمكن من خلالها اعتراض الرسائل ، بما في ذلك من خلال استخدام أبراج الهواتف المحمولة المزيفة. لم يتم تصميم رسائل SMS للأمان ، ويجب عدم استخدامها من أجلها.

بمعنى آخر ، يمكن لمهاجم متطور لديه القليل من المعلومات الشخصية أن يخطف رقم هاتفك للوصول إلى حساباتك عبر الإنترنت ثم يستخدم هذه الحسابات لمحاولة استنزاف حساباتك المصرفية ، على سبيل المثال. هذا هو سبب وجود المعهد الوطني للمعايير والتكنولوجيا لم تعد توصي استخدام رسائل SMS للمصادقة ذات العاملين.

البديل: إنشاء رموز على جهازك

ذات صلة: كيفية إعداد Authy للمصادقة الثنائية (ومزامنة الرموز الخاصة بك بين الأجهزة)

يعتبر نظام المصادقة الثنائية الذي لا يعتمد على الرسائل القصيرة أفضل ، لأن شركة الهاتف الخلوي لن تكون قادرة على منح شخص آخر حق الوصول إلى الرموز الخاصة بك. الخيار الأكثر شيوعًا لهذا التطبيق هو تطبيق مثل Google Authenticator . ومع ذلك، نوصي Authy ، نظرًا لأنه يفعل كل ما يفعله Google Authenticator والمزيد.

تطبيقات مثل هذه تنشئ رموزًا على جهازك. حتى لو خدع أحد المهاجمين شركة الهاتف الخلوي لنقل رقم هاتفك إلى هاتفهم ، فلن يتمكنوا من الحصول على رموز الأمان الخاصة بك. ستبقى البيانات اللازمة لإنشاء هذه الرموز بأمان على هاتفك.

ذات صلة: كيفية إعداد مصادقة Google الجديدة ذات العاملين بدون رمز

لست مضطرًا إلى استخدام الرموز أيضًا. خدمات مثل Twitter و Google و Microsoft قيد الاختبار المصادقة الثنائية المستندة إلى التطبيق يسمح لك بتسجيل الدخول على جهاز آخر من خلال الإذن بتسجيل الدخول في التطبيق الخاص به على هاتفك.

هناك أيضًا رموز مادية للأجهزة يمكنك استخدامها. الشركات الكبيرة مثل جوجل ودروب بوكس ​​نفذت بالفعل معيار جديد لرموز المصادقة الثنائية القائمة على الأجهزة المسماة U2F . هذه كلها أكثر أمانًا من الاعتماد على شركة الهاتف الخلوي وشبكة الهاتف القديمة.

إذا أمكن ، تجنب الرسائل القصيرة للمصادقة ذات العاملين. إنه أفضل من لا شيء ويبدو مناسبًا ، لكنه عادة ما يكون أقل أنظمة المصادقة الثنائية أمانًا التي يمكنك اختيارها.

الإعلانات

للأسف ، تجبرك بعض الخدمات على استخدام الرسائل القصيرة. إذا كنت قلقًا بشأن هذا الأمر ، فيمكنك إنشاء رقم هاتف Google Voice ومنحه للخدمات التي تتطلب مصادقة الرسائل القصيرة SMS. يمكنك بعد ذلك تسجيل الدخول إلى حساب Google الخاص بك - والذي يمكنك حمايته باستخدام طريقة مصادقة ثنائية أكثر أمانًا - ومشاهدة الرسائل الآمنة في موقع Google Voice أو التطبيق. فقط لا تعيد توجيه الرسائل من Google Voice إلى رقم هاتفك الخلوي الفعلي.

اقرأ التالي صورة الملف الشخصي لكريس هوفمان كريس هوفمان
كريس هوفمان هو رئيس تحرير How-To Geek. لقد كتب عن التكنولوجيا لأكثر من عقد وكان كاتب عمود في PCWorld لمدة عامين. كتب كريس لصحيفة نيويورك تايمز ، وتمت مقابلته كخبير تقني في محطات تلفزيونية مثل NBC 6 في ميامي ، وتمت تغطية أعماله من قبل وسائل الإعلام مثل بي بي سي. منذ عام 2011 ، كتب كريس أكثر من 2000 مقالة تمت قراءتها ما يقرب من مليار مرة - وهذا هنا فقط في How-To Geek.
اقرأ السيرة الذاتية الكاملة

مقالات مثيرة للاهتمام