بعد حصر ميزة المصادقة الثنائية برسائل SIM لمشتركي Twitter Blue هل من بدائل لتأمين حسابك؟

أعلنت تويتر منذ أسبوع أنه بحلول 20 مارس، سيتعين على غير المشتركين في خدمة تويتر المدفوعة والمعروفة بخدمة Twitter Blue، أن يتخلوا عن ميزة المصادقة الثنائية عبر الرسائل النصية. وفي سبيل اقتراح بعض البدائل، أوصت تويتر المستخدمين بالاستعانة بتطبيقات الطرف الثالث وغيرها من الوسائل التي تضمن حماية حساباتهم.

المشكلة تكمن في أن الأغلبية الساحقة من مستخدمي تويتر النشطين، والذين تبلغ نسبتهم 74.4%، يعتمدون على خدمة الرسائل النصية كوسيلة أساسية للمصادقة الثنائية، والآن لم يعد أمامهم سوى أقل من شهر واحدٍ فقط للبحث عن بديل. إن كنت من هؤلاء المستخدمين، فلا تقلق، نحن هنا من أجلك وسنرشح لك اليوم أكثر من وسيلة يمكنك الاعتماد عليها بدلًا من الرسائل النصية.

قديمًا، أو بالأحرى قبل بضع سنوات، كنا إذا أردنا أن نسجل دخولنا على إحدى المنصات مثل فيسبوك أو الجيميل أو تويتر أو غيرها من المنصات، كنا نكتب اسم المستخدم والبريد الإلكتروني وكلمة المرور لنجد أنفسنا داخل المنصة بكل سهولة. هذه السهولة كانت بمثابة السلاح ذي الحدين؛ فتسجيل الدخول كان يتم عن طريقة خطوة واحدة، ولكن حساباتنا كانت لقمة سائغة لكل المخترقين إلى أن جاءت المصادقة الثنائية، والتي لم تمنع المخترقين من ممارسة ألاعيبهم، ولكنها على الأقل حجّمت نشاطاتهم.

في الحقيقية إن فكرة كلمات السر "Passwords" نفسها ليست بذلك القِدم؛ فقد ظهرت للمرة الأولى في ثمانينيات القرن الماضي كوسيلة لتأمين معاملاتنا، وبالأخص معاملاتنا البنكية. وفي أوائل التسعينيات ظهرت الكروت الذكية على الساحة للمرة الأولى، ومن بعدها ظهرت المصادقة الثنائية عن طريق الرسائل SMS-based 2FA في أوائل الألفية الجديدة.

أضافت المصادقة الثنائية خطوة إضافية على كلمات السر لتصعّب بذلك تسجيل الدخول على المنصة المُراد تسجيل الدخول لها، ولكن في نفس الوقت ضمنت تأمين الحسابات بشكل أكبر. لتسجل الدخول الآن إلى منصة ما، أصبح لزامًا عليك أن تُدخل البريد الإلكتروني وكلمة السر وتنتظر رسالةً بكلمة سر إضافية مؤقتة تُرسل على رقم هاتفك لتُدخلها هي الأخرى بعد كلمة سر المنصة، وهناك أنظمة أعقد من هذه بكثير، ولكن بالنسبة لمعظم وسائل التواصل وحتى الحسابات البنكية، فالمصادقة الثنائية عبر الرسائل النصية هي وسيلة أكثر من كافية لتتأكد من المستخدمين.

بالطبع لم تتخل تويتر عن هذه الخدمة بشكل كلي، ولكنها حصرتها لمستخدمي Twitter Blue فقط. أما عن سبب حصر الخدمة لمستخدمي "تويتر المدفوع"، فهناك أكثر من رواية. الرواية الأولى تقول إن هذه الفكرة تشبه غيرها من أفكار إيلون ماسك الغريبة لإجبار المستخدمين على دفع الأموال.

لكن حسب الراوية التي تحججت بها تويتر على لسان إيلون ماسك، فإن هناك العديد من المستخدمين استغلوا المصادقة الثنائية عبر الرسائل النصية بطريقة غير مشروعة، وهذا يُكلّف تويتر حوالي 60 مليون دولار سنويًا. لم تزودنا تويتر بأي تفاصيل، ولهذا فنحن لا نعرف مدى مصداقية ادعاءها، ولكن ما نعرفه هو أن المصادقة الثنائية لا تعد أفضل وسيلة لتأمين الحسابات بالفعل.

هناك ثغرات كثيرة يمكن استغلالها لتجاوز المصادقة الثنائية، وأشهر هذه الثغرات هو هجوم الـ SIM-swap. في هذا الهجوم يقوم المخترق بسرقة رقم هاتفك الذي يُرسل إليك عليه رسالة التأكيد أو كلمة السر المؤقتة، وهذه السرقة ليست حرفية، والمقصود بها هنا هو أن المخترق يُقنع الجهة أو المصدر بإرسال كلمة السر المؤقتة إليه هو بدلًا منك، وبهذا لا يكون للمصادقة الثنائية قيمة على الإطلاق، وهذه ليست سوى ثغرة واحدة من عدة ثغرات أخرى.

الثغرة الثانية هي هجمات "التصيد الاحتيالي" Phishing attacks؛ وفيها يعمل المخترق على خداعك أنت بدلًا من خداع الجهة نفسها. كيف يخدعك المخترق؟ عن طريق إرسال صفحة تسجيل دخول مزيفة يمتلك هو وصولًا إليها، وبمجرد كتابتك لأي شيء فيها يصل إليه ما كتبته فينجح في اختراقك.

هاتان الثغرتان ليستا سوى مثالين فقط، والباقي أدهى وأمرّ، وبعيدًا عن الثغرات، فالمصادقة الثنائية ليست حلًا عمليًا بالنسبة للمستخدمين أنفسهم؛ فقد يكون الهاتف الذي يحمل رقم المصادقة الثنائية ليس معنا في الوقت الذي نحتاج الدخول فيه لحسابنا على تويتر مثلًا. قد يضيع هذا الهاتف أو يُسرق منا، وقد تنفذ بطاريته في وقت نحن بأمس الحاجة إليه فيها، وغيرها من الأشياء الأخرى.

هناك بدائل كثيرة وليس مجرد بديل واحد، وهذا من حسن حظنا. البديل الأول هو ما رشحته تويتر نفسها عقب الإعلان الذي ذكرناه في بداية المقال، وهو الاعتماد على تطبيقات الطرف الثالث. يُعد تطبيق Google Authenticator هو أشهر تطبيقات المصادقة الثنائية وأكثرها أمانًا، ولكن هذا لا يُنحّي الحلول الأخرى، والتي قبل أن ننتقل إليها نريد أن نُعرّج لتطبيقات أخرى مثل Microsoft Authenticator وتطبيق Authy. فكرة هذه التطبيقات أنها تتيح كودًا مؤقتًا يجب استخدامه في أثناء تسجيل الدخول قبل أن يتغير الكود وتضطر لإدخال الكود الجديد.

ملحوظة: سنتحدث عن بدائل المصادقة الثنائية بشكل عام، وليس شرطًا أن تدعم هذه البدائل تطبيق تويتر.

تطبيقات إدارة كلمات السر أيضًا، مثل ذلك الذي يأتي مُدمجًا بنظام iOS، هي حلول مناسبة وتدعم الآن تويتر وغيره من المواقع. أما عن الحل الثالث، والفعّال جدًا، فهو مفتاح الأمان Security Key، وهو عبارة عن "فلاشة" USB بمجرد إدخالها إلى حاسوبك المحمول تؤكد دخولك، وإذا أردت أن تدخل إلى حسابك من هاتفك المحمول، فيمكنك استخدام "فلاشة لاسلكية" تدعم Bluetooth أو NFC.

الحل الرابع هو ما أحب أن أنعته "بالمصادقة الثنائية الحيوية" Biometric Authentication، والذي يتأكد من أنك أنت صاحب الحساب عن طريق بصمة الإصبع أو الوجه. أما عن الحل الخامس فهو عن طريق البريد الإلكتروني؛ فبعض التطبيقات تُرسل لك بريدًا إلكترونيًا بكود معين ليكون بمثابة المصادقة الثنائية.

وأما الحل السادس والأخير لدينا فهو عن طريق الإشعارات Push notification، وهو ما يتيحه الجيميل بالمناسبة ليتأكد من هويتك؛ وهذا يتم عن طريق إرسال إشعارٍ لجهازك يسألك فيه عما إذا كنت تحاول تسجيل الدخول لحسابك من جهاز آخر، وأنت ما عليك سوى الضغط على كلمة نعم.

في النهاية لا يهم نوع المصادقة الثنائية التي تعتمد عليها بقدر ما يهم أن تستخدم هذه الميزة نفسها. أما عن قرار تويتر، فأراه بلا مبرر منطقي، والدليل أن بقية الشركات كانت وما زالت توفر لمستخدميها هذا النوع من الحماية لأنه أبسط حقوقهم. وحتى لو صدقت ادعاءات الشركة بأن هذه الخاصية تكلفها أكثر من 60 مليون دولار سنويًا، فهذا لا شيء مقارنة بأرباح تويتر التي تتخطى مليارات الدولارات سنويًا.