القاهرة-محمد عادل
تتعدد الطرق التي يعتمد عليها مستخدمو الخدمات الإلكترونية حاليا لتأمين حساباتهم، ما بين كلمات مرور قوية، وأسلوب المصادقة الثنائية Two-Factor Authntecation أو متعددة الخطوات Multi-Factor Authentication.
ومنذ عقد تقريباً، بدأت الشركات ومقدمو الخدمات الإلكترونية في إتاحة مصادقة الهوية، وكان جميعها في البداية يعتمد على الرسائل النصية، لإرسال كود تأكيدي يكتبه المستخدم لدى تسجيل الدخول.
خطر الـ SMS
ولكن تطورت الأدوات والأساليب البرمجية التي تستخدمها مجموعات الاختراق، وأصبح من السهل اعتراض مسار رسائل الـ SMS، مما قلل من قدرتها على الحفاظ على خصوصية المستخدمين وأصبح لابد من إيجاد بديل أكثر أمانا.
وحذر العديد من الشركات التقنية والمتخصصة في مجال الأمن المعلوماتي من مدى خطورة الاعتماد على الرسائل النصية SMS كوسيلة لتأكيد الهوية، وذلك بعد تزايد الهجمات التي تستهدف سرقة أرقام خطوط الاتصالات SIM Swapping، وشيوع عمليات الاحتيال التي تستهدف استحواذ المخترق على الأرقام الواردة إلى هاتف الضحية في رسالة نصية.
وأكدت مؤخراً شركة مايكروسوفت، أن فريق المخترقين "لابسوس" اخترق أحد أجهزة موظفيها، إلى جانب أنظمة مجموعة من الشركات الكبرى مثل نيفيديا وسامسونج وفودافون و"أوكتا".
وكان من بين أهم الأدوات الأكثر شيوعاً في هجمات "لابسوس" هو أسلوب سحب أرقام خطوط الهواتف المحمولة، بحيث يمكنهم الوصول إلى الرسائل النصية التي تحمل كودا لتأكيد الهوية، وبالتالي يكون من اليسير النفاذ إلى داخل الحسابات الإلكترونية وأجهزة الضحايا.
وسائل بديلة
ظهرت العديد من الوسائل البديلة للرسائل النصية لتأكيد هوية المستخدمين بخطوتين خلال فتح حساباتهم الشخصية على الخدمات والتطبيقات الإلكترونية، وأبرزها تطبيقات إنشاء الأكواد العشوائية، مثل تطبيق Google Authenticator، وتطبيق Microsoft Authenticator.
وتعتمد فكرة تطبيقات وخدمات إنشاء الأكواد العشوائية على ربط المستخدم التطبيق بحسابه الشخصي على أي خدمة، ومع محاولة تسجيل الدخول من جهاز غريب لأول مرة، ستطالبه الخدمة بضرورة إدخال كود تعريفي لتأكيد هويته، وذلك يكون من داخل تطبيق الأكواد الذي ينشئ أكواداً عشوائية كل 30 ثانية، وهو لا يحتاج إلى اتصال بالإنترنت أو شبكة المحمول.
كما أن هناك طريقة أخرى لتأكيد الهوية باستخدام مفتاح مادي يعمل بمخرج USB، وعلى متن هذا المفتاح يوجد مفتاحان برمجيان، أحدهما خاص سري والآخر عام، ومع تسجيل الدخول من جهاز غريب لأول مرة، ستطلب الخدمة أو الموقع تأكيد هوية المستخدم، حينها يوصل المستخدم مفتاحه المادي في الجهاز، وعندها يتم مشاركة المفتاح البرمجي العام مع الخدمة للتأكد من هوية المستخدم وأنه بالفعل لديه المفتاح الخاص، وعندها تتم عملية تسجيل الدخول.
وهذا النوع من طرق تأكيد الهوية تقدمه شركات عديدة مثل Yubico وجوجل، وجميعها تعتمد على بروتوكول التأمين FIDO.
كما تقدم بعض الشركات مثل جوجل وفيسبوك طريقة لتأكيد الهوية من خلال التفاعل مع إشعار يصل إلى الهاتف المحمول، خصوصاً إذا كان المستخدم يحاول الدخول لحسابه عبر حاسوب شخصي، ويكون هذا الإشعار في صورة تنبيه بأن هناك من يحاول الدخول إلى حساب المستخدم من جهاز غريب، أو إظهار رقم أو رمز على شاشة الهاتف، ويكون على المستخدم إدخال الرموز والأرقام ذاتها على الحاسوب لتاكيد هويته.
وأتاحت جوجل مؤخراً لمستخدمي هواتف أندرويد إمكانية استخدام هواتفهم كوسيلة لتأكيد هويتهم، دون الحاجة إلى أي تطبيقات على متنها، وذلك يعتمد على تفعيل ميزة تأكيد الهوية بخطوتين داخل حساب جوجل، ومن ثم اختيار ميزة Phone as Security Key، ويتطلب ذلك من المستخدم تشغيل البلوتوث على هاتفه الذكي، وأن يكون الحاسوب أو الهاتف الذي يحاول تسجيل الدخول عليه يدعم أيضا البلوتوث، بحيث تتم عملية تأكيد الهوية بشكل سريع.
وأخيرا، هناك طريقة خامسة تسمح بتأكيد هوية المستخدم ولا تحتاج إلى إنترنت، وهي الأكواد الاحتياطية Backup Codes، والتي تنصح جميع الشركات مستخدميها بطباعة تلك الأكواد على ورقة والاحتفاظ بها أينما يذهبون، خاصة في حالة السفر.
تصنيفات
