أسئلة بسيطة: ما هي المصادقة ذات العاملين أو التحقق المكوَّن من خطوتين؟

في السنوات الأخيرة ، تصدّر مفهوم الأمان(security concept) الجديد عناوين الأخبار - التحقق من خطوتين أو المصادقة الثنائية(verification or two-factor authentication) (2FA). بدأ كل شيء بتمكين Google لمستخدميها ، ومنذ ذلك الحين ، اتبعت العديد من الشركات مثالهم ، بما في ذلك Microsoft و Apple و Facebook . حتى شركات الألعاب انضمت إلى هذا الاتجاه. إذا كنت ترغب في فهم ماهية المصادقة ذات العاملين(two-factor authentication) ، وكيف تعمل ، ولماذا يجب عليك تمكينها وأين تقرأ هذه المقالة:

ما هي المصادقة المكونة من خطوتين أو التحقق(authentication or verification) ؟

المصادقة الثنائية هي عملية أمنية(security process) تتضمن مرحلتين للتحقق من هوية الشخص أو الكيان(person or entity) الذي يحاول الوصول إلى خدمة من أي نوع (البريد الإلكتروني ، والشبكات الاجتماعية ، والخدمات المصرفية ، وما إلى ذلك). يُطلق على هذا المفهوم أيضًا اسم التحقق من خطوتين ، ويتطلب عاملين أو أكثر من عوامل المصادقة الثلاثة هذه: عامل المعرفة(knowledge factor) ، وعامل الامتلاك(possession factor) ، وعامل الميراث(inherence factor) .

تتضمن المصادقة التقليدية واحدًا أو اثنين فقط من العوامل الثلاثة المذكورة سابقًا. على سبيل المثال ، إذا كنت ترغب في استخدام خدمة مثل البريد الإلكتروني ، فإن المصادقة التقليدية تتضمن معرفة اسم المستخدم وكلمة المرور الخاصة به. يمكن أن تُسرق المعرفة(Knowledge) بعدة طرق ويمكن للأشخاص معرفة اسم المستخدم وكلمة المرور الخاصين(username and password) بك ، ثم استخدام هذه المعلومات لتظهر وكأنك أنت ، أو لسرقة معلومات قيمة يمكن استخدامها لإلحاق الأذى بك.

تسجيل الدخول إلى Spotify: مطلوب اسم مستخدم وكلمة مرور

في العالم الحقيقي ، قد يشمل التحقق التقليدي عامل المعرفة(knowledge factor) وعامل الحيازة(possession factor) . على سبيل المثال ، عندما تذهب إلى ماكينة الصراف الآلي(ATM) للحصول على النقود ، فإنك تستخدم بطاقة الخصم أو الائتمان(debit or credit card) الخاصة بك ( عامل الحيازة(possession factor) ) ورقم التعريف الشخصي(PIN) ( عامل المعرفة(knowledge factor) ). ومع ذلك ، يمكن سرقة كل من رقم التعريف الشخصي(PIN) أو المعلومات الموجودة على بطاقتك الائتمانية(credit card) بطرق مختلفة ، ويمكن للأطراف غير المصرح لها إجراء معاملات عبر الإنترنت باستخدام أموالك. لهذا السبب تم تطوير مفهوم 3D Secure لتوفير طبقة أمان(security layer) إضافية لمعاملات بطاقات الائتمان والخصم عبر الإنترنت.

عند استخدام التحقق من خطوتين في العالم الرقمي ، يتم إضافة عامل ثالث: عامل الحيازة(possession factor) - عادة ما يكون هاتفك الذكي أو هاتفك المحمول. يستخدم هذا الجهاز في المرحلة الثانية للتحقق من هويتك. على سبيل المثال ، عندما تقوم بتسجيل الدخول إلى حساب البريد الإلكتروني(email account) الخاص بك ، فإنك تقدم أولاً اسم المستخدم وكلمة المرور الخاصين(username and password) بك . بعد ذلك ، يُطلب منك تقديم كلمة مرور مستندة إلى الوقت تنتهي صلاحيتها في غضون ثانيتين. يمكن إرسال كلمة المرور هذه إلى حساب بريدك الإلكتروني(email account) أو هاتفك الذكي أو يمكن إنشاؤها بواسطة تطبيق مصدق(authenticator app) مثل Google Authenticator أو Microsoft Authenticator .

كيف تعمل المصادقة الثنائية

توفر بعض الشركات والخدمات أيضًا أجهزة المصادقة المادية التي تنشئ باستمرار الرموز التي تحتاج إلى استخدامها لإنهاء عملية التحقق(verification process) . على سبيل المثال ، توفر العديد من البنوك أجهزة مادية للتحقق على خطوتين ، بحيث يمكنك الوصول إلى حسابك المصرفي عبر الإنترنت(bank account online) . أيضًا ، يقوم PayPal بذلك لعدد من البلدان ، بما في ذلك الولايات المتحدة الأمريكية(USA) .

كيف تعمل المصادقة ذات العاملين(authentication work) ؟

إن تطبيقات المصادقة المكونة من خطوتين كثيرة ، ولا ندخل في تفاصيل عنها جميعًا لأن هذه المقالة ستصبح طويلة جدًا.

التطبيق الأكثر شيوعًا هو نهج Google الذي يعتمد على TOTP - خوارزمية كلمة المرور لمرة واحدة المستندة إلى الوقت(TOTP - Time-based One-time Password Algorithm) . عند تمكين التحقق بخطوتين لحسابك ، يقوم خادم خاص بإنشاء كلمة مرور / رمز جديد مرة كل ثانيتين. يجب أن تتم مزامنة الجهاز الذي يشارك كلمة المرور معك مع الخادم بحيث يتطابق الرمز الذي تدخله أثناء خطوة المصادقة(authentication step) الثانية مع الرمز الموجود على الخادم. إذا كان الجهاز الذي يشارك كلمة المرور غير متزامن ، فلا يمكنك إكمال التحقق من هويتك.

هذه الخوارزمية هي الأكثر شهرة على الإنترنت. تستخدمه العديد من الشركات ، بما في ذلك Google و Microsoft و Apple و Facebook و Evernote و Dropbox و WordPress و MailChimp و LastPass .

لتسهيل فهم كيفية عمل المصادقة الثنائية ، دعنا نأخذ على سبيل المثال Fortnite ، وهي (Fortnite)لعبة(online game) شائعة على الإنترنت يلعبها كثير من الناس. بمجرد تكوين المصادقة الثنائية (2FA) لحساب Epic Games الخاص بك (منشئو Fortnite ) ، لم يعد يكفي مجرد تقديم اسم المستخدم وكلمة المرور(username and password) لتسجيل الدخول. بل يتعين عليك أيضًا تقديم رمز مرور ثانوي لتتمكن من ذلك للقيام بذلك.

توفير رمز مرور 2FA لتسجيل الدخول إلى حساب Fortnite (Epic Games)

رمز المرور الإضافي مؤقت ، وأنت الوحيد الذي يعرفه. يجب ألا يتمكن أي شخص آخر من العثور عليه ، حيث يمكنك فقط الحصول على هذا الرمز من تطبيق مصدق(authenticator app) (مثل Google Authenticator ) أو من رسالة بريد إلكتروني تتلقاها من Epic Games . تتغير رموز المصادقة ذات العاملين كل ثانيتين ، لذا من شبه المستحيل تخمينها.

تطبيق Google Authenticator على هاتف ذكي

إذا قدمت رمز المصادقة(authentication code) الثنائي الصحيح ، فأنت مسجّل الدخول إلى حساب Fortnite(Fortnite account) الخاص بك . خلال الثلاثين يومًا القادمة ، لا يتعين عليك تقديم رموز 2FA على الجهاز الذي قمت بتسجيل الدخول من خلاله بالفعل. ومع ذلك ، في نهاية الـ 30 يومًا أو إذا حاولت تسجيل الدخول من جهاز جديد ، يجب عليك تقديم رمز مرور 2FA صالح مرة أخرى.

المصادقة ذات العاملين في القطاع المصرفي(banking sector)

نهج شائع آخر هو النهج المستخدم من قبل البنوك ومقدمي بطاقات الائتمان . (credit card)يطلق عليه اسم 3-D Secure ، ويستخدم للموافقة على المعاملات المالية التي تتم عبر الإنترنت. تتضمن طريقة التحقق من خطوتين هذه ثلاثة كيانات: مجال التاجر أو البنك الذي يتم دفع الأموال إليه ، ومجال البنك الذي يصدر البطاقة المستخدمة والبنية التحتية التي تدعم البروتوكول ثلاثي الأبعاد.

كلمة مرور لمرة واحدة يطلبها البنك للوصول إلى خدماته عبر الإنترنت

يستخدم هذا البروتوكول فقط اتصالات SSL الآمنة(SSL) لإجراء المعاملات عبر الإنترنت ، وللموافقة على المعاملة ، تحتاج إلى كلمة مرور خاصة ، إلى جانب اسمك وتفاصيل بطاقة الائتمان(name and credit card details) الخاصة بك . قد تكون كلمة المرور هذه مؤقتة وتستند إلى الوقت ، أو قد تكون دائمة وتعيينها أنت ، المستخدم. جانب آخر مهم هو أن كلمة المرور هذه لا يتم تخزينها من قبل التاجر أو البنك الذي يتم دفع الأموال إليه. لا تُعرف كلمة المرور إلا من خلال الخوادم التي توفر البنية التحتية للبروتوكول ثلاثي الأبعاد. لذلك ، إذا تم اختراق التاجر ، فلن يتمكن المتسللون من الحصول على كلمة المرور ثلاثية الأبعاد Secure(Secure password) الخاصة بك .

لماذا تحتاج المصادقة ذات العاملين؟

السبب الرئيسي لاستخدام التحقق من خطوتين هو حماية نفسك. باستخدام طبقة الحماية الإضافية هذه ، فإنك تجعل من الصعب على الأطراف غير المرغوب فيها الوصول إلى هويتك عبر الإنترنت(identity online) وسرقة البيانات الشخصية أو المالية.

عند استخدام 3-D Secure للمعاملات المالية ، فإنك تجعل من الصعب على المتسللين سرقة أموالك. من السهل عليهم نسخ تفاصيل بطاقتك ولكنهم سيواجهون صعوبة في الحصول على كلمة المرور ثلاثية الأبعاد الآمنة(Secure password) .

متى يجب استخدام المصادقة ذات العاملين؟

تعد إضافة خطوة مصادقة(authentication step) ثانوية مزعجة للجميع ولكنها ضرورية للحفاظ على خصوصية حساباتنا وبياناتنا. نوصي بشدة بتمكين التحقق من خطوتين واستخدامه على الأقل لأنواع الخدمات التالية:

  • البريد الإلكتروني(E-mail) - يخزن صندوق الوارد(Inbox) الخاص بك أكبر قدر من البيانات الشخصية من بين جميع حساباتك على الإنترنت. يمكن للأشخاص التجسس على سجل بريدك الإلكتروني ، ومعرفة اسم المستخدم لحساباتك المصرفية و PayPal(banking and PayPal accounts) ، ومعرفة المزيد عن عملك ، وعلاقاتك ، والعديد من التفاصيل المهمة الأخرى. تأمين بريدك الوارد هو أول شيء يجب عليك فعله.
  • المعاملات المصرفية والمالية(Online banking & financial transactions) عبر الإنترنت - إذا كنت تقوم بالخدمات المصرفية عبر الإنترنت ، أو إذا اشتريت أشياء من Amazon أو eBay أو غيرها من المتاجر عبر الإنترنت ، فيجب عليك تأمين بطاقة الائتمان أو الخصم الخاصة بك. اسأل البنك الذي تتعامل معه حول الأمان ثلاثي الأبعاد وخيارات التحقق المكونة من خطوتين التي يقدمونها ، وقم بتمكينها واستخدامها.
  • تخزين كلمات المرور الخاصة بك(Storing your passwords) - يستخدم العديد من الأشخاص المهتمين بالأمن خدمات مثل LastPass أو Roboform أو KeePass(Roboform or KeePass) . تأمينهم أمر بالغ الأهمية. إذا تمت سرقة كلمة مرور حسابك(account password) ، فإن الأطراف غير المصرح لها بالوصول إلى جميع كلمات المرور الخاصة بك ويمكن أن تلحق الكثير من الضرر بك.
  • الشبكات الاجتماعية(Social Networking) - نقوم جميعًا بتخزين الكثير من البيانات الشخصية على الشبكات الاجتماعية مثل Facebook أو Twitter أو Instagram . إذا تمكن الآخرون من الوصول إلى بياناتك ، فقد يجدون العديد من الأشياء التي تفضل الاحتفاظ بها خاصة. على سبيل المثال ، إذا كان لديك شريك غيور ، فقد يعرف بالفعل كلمة مرور Facebook(Facebook password) الخاصة بك ويراقب ما تفعله. قم بحماية نفسك وتمكين المصادقة ذات العاملين.

التحقق من خطوتين لحساب Gmail الخاص بك

كيفية تمكين المصادقة ذات العاملين لأهم حساباتك

بشكل عام ، يعني تمكين المصادقة الثنائية أنه يتعين عليك تسجيل الدخول إلى حسابك عبر الإنترنت والتوجه(account and head) إلى كلمة المرور وإعدادات الأمان(password and security settings) . بعد ذلك ، إذا كان بإمكانك استخدام المصادقة ذات العاملين لحسابك ، فيجب أن تجد خيارًا لذلك. إذا كان 2FA متاحًا ، فإن تمكينه يعني اتباع خطوتين تختار فيهما الطريقة التي تفضلها (عادةً ما تكون المصادقة عبر البريد الإلكتروني أو تطبيق المصادقة(email or authenticator app) على الهاتف الذكي). لمساعدتك في تمكين المصادقة الثنائية واستخدامها ، قمنا بنشر بعض الأدلة التي تغطي بعض الخدمات الأكثر شيوعًا عبر الإنترنت:

  • كيفية تمكين أو تعطيل التحقق بخطوتين لحساب Google الخاص بك(Google account)
  • قم بالموافقة(Approve) أو رفض طلبات تسجيل الدخول إلى حساب Microsoft(Microsoft account) الخاص بك باستخدام Android
  • كيفية تنشيط التحقق من خطوتين لمعرف Apple(Apple ID) الخاص بك ، على iPhone أو iPad(iPhone or iPad)
  • قم(Set) بإعداد التحقق من خطوتين لحساب Microsoft(Microsoft account) الخاص بك باستخدام Google Authenticator
  • كيفية تمكين واستخدام 2FA(Fortnite) في Fortnite (المصادقة الثنائية)
  • تمكين واستخدام المصادقة الثنائية (2FA) لحساب Blizzard الخاص بك(Blizzard account)

أيضًا ، إذا كنت تبحث عن طريقة سهلة لتنفيذ المصادقة ذات العاملين في شركتك الخاصة ، فإليك مقالة قصيرة حول فوائد حل ممتاز من هذا النوع: 7 أشياء يمكنك القيام بها باستخدام ESET Secure Authentication .

هل قمت بتمكين المصادقة الثنائية على جميع حساباتك؟

نأمل أن تكون قد وجدت هذا الدليل مفيدًا. إذا كانت لديك أي أسئلة أو مشكلات في فهم كيفية عمل التحقق على خطوتين ، فلا تتردد في ترك تعليق أدناه.



عبدالقادر السبيعي

About the author

أنا فني كمبيوتر عملت مع Android وبرامج المكتب لسنوات عديدة. لقد قمت أيضًا بتعليم الأشخاص كيفية استخدام أجهزة Mac على مدار السنوات الخمس الماضية أو نحو ذلك. إذا كنت تبحث عن شخص يعرف كيفية إصلاح الأشياء على جهاز الكمبيوتر الخاص بك ، فربما يمكنني مساعدتك!


Related posts