المصادقة الثنائية المستندة إلى الرسائل القصيرة (2FA) هي طريقة مستخدمة على نطاق واسع لتعزيز أمان مصادقة المستخدم في أنظمة الكمبيوتر. يتضمن استخدام الهاتف المحمول لتلقي كلمة مرور لمرة واحدة (OTP) عبر الرسائل القصيرة ، والتي يتم إدخالها بعد ذلك من قبل المستخدم لإكمال عملية المصادقة. بينما توفر المصادقة الثنائية المستندة إلى الرسائل القصيرة طبقة إضافية من الأمان مقارنةً بمصادقة اسم المستخدم وكلمة المرور التقليدية ، فإنها لا تخلو من قيودها.
تتمثل إحدى القيود الرئيسية في 2FA المستندة إلى الرسائل القصيرة في ضعفها أمام هجمات تبديل بطاقة SIM. في هجوم مبادلة بطاقة SIM ، يقنع المهاجم مشغل شبكة الهاتف المحمول بنقل رقم هاتف الضحية إلى بطاقة SIM تحت سيطرة المهاجم. بمجرد أن يتحكم المهاجم في رقم هاتف الضحية ، يمكنه اعتراض الرسائل القصيرة التي تحتوي على كلمة المرور لمرة واحدة واستخدامها لتجاوز 2FA. يمكن تسهيل هذا الهجوم من خلال تقنيات الهندسة الاجتماعية أو من خلال استغلال نقاط الضعف في عمليات التحقق لمشغل شبكة الهاتف المحمول.
من القيود الأخرى على 2FA المستندة إلى الرسائل القصيرة إمكانية اعتراض رسالة SMS. بينما توفر الشبكات الخلوية عمومًا تشفيرًا للاتصالات الصوتية والبيانات ، غالبًا ما يتم إرسال رسائل SMS بنص عادي. هذا يجعلهم عرضة للاعتراض من قبل المهاجمين الذين يمكنهم التنصت على الاتصال بين شبكة الهاتف المحمول وجهاز المستلم. بمجرد اعتراضه ، يمكن للمهاجم استخدام كلمة المرور لمرة واحدة للوصول غير المصرح به إلى حساب المستخدم.
علاوة على ذلك ، يعتمد 2FA المستند إلى الرسائل القصيرة على أمان الجهاز المحمول للمستخدم. في حالة فقدان الجهاز أو سرقته ، يمكن للمهاجم الذي يمتلك الجهاز الوصول بسهولة إلى رسائل SMS التي تحتوي على كلمة المرور لمرة واحدة. بالإضافة إلى ذلك ، يمكن للبرامج الضارة أو التطبيقات الضارة المثبتة على الجهاز اعتراض رسائل SMS أو معالجتها ، مما يعرض أمن عملية المصادقة الثنائية للخطر.
يقدم 2FA المستندة إلى الرسائل القصيرة أيضًا نقطة واحدة محتملة للفشل. إذا واجهت شبكة الهاتف المحمول انقطاعًا في الخدمة أو إذا كان المستخدم في منطقة ذات تغطية خلوية رديئة ، فقد يتأخر تسليم كلمة المرور لمرة واحدة أو حتى يفشل تمامًا. يمكن أن يؤدي ذلك إلى عدم قدرة المستخدمين على الوصول إلى حساباتهم ، مما يؤدي إلى الإحباط وربما فقدان الإنتاجية.
علاوة على ذلك ، فإن 2FA المستندة إلى الرسائل القصيرة تكون عرضة لهجمات التصيد الاحتيالي. يمكن للمهاجمين إنشاء صفحات تسجيل دخول وهمية مقنعة أو تطبيقات جوال تحث المستخدمين على إدخال اسم المستخدم وكلمة المرور وكلمة المرور لمرة واحدة المستلمة عبر الرسائل القصيرة. إذا وقع المستخدمون ضحية لمحاولات التصيد هذه ، فيمكن للمهاجم التقاط بيانات اعتمادهم وكلمة المرور لمرة واحدة ، ويمكنهم بعد ذلك استخدامها للوصول غير المصرح به إلى حساب المستخدم.
بينما توفر المصادقة الثنائية المستندة إلى الرسائل القصيرة طبقة إضافية من الأمان مقارنةً بمصادقة اسم المستخدم وكلمة المرور التقليدية ، فإنها لا تخلو من قيودها. وتشمل هذه قابلية التعرض لهجمات مبادلة بطاقة SIM ، واعتراض رسائل SMS ، والاعتماد على أمان الجهاز المحمول للمستخدم ، ونقطة واحدة محتملة للفشل ، وقابلية التعرض لهجمات التصيد الاحتيالي. يجب أن تكون المؤسسات والمستخدمون على دراية بهذه القيود وأن يفكروا في طرق المصادقة البديلة ، مثل المصادقات المستندة إلى التطبيق أو الرموز المميزة للأجهزة ، للتخفيف من المخاطر المرتبطة بـ 2FA المستندة إلى الرسائل القصيرة.
أسئلة وأجوبة أخرى حديثة بخصوص التحقّق من المُستخدم :
- ما هي المخاطر المحتملة المرتبطة بأجهزة المستخدم المخترقة في مصادقة المستخدم؟
- كيف تساعد آلية UTF في منع هجمات man-in-the-middle في مصادقة المستخدم؟
- ما هو الغرض من بروتوكول استجابة التحدي في مصادقة المستخدم؟
- كيف يعمل تشفير المفتاح العام على تحسين مصادقة المستخدم؟
- ما هي بعض طرق المصادقة البديلة لكلمات المرور ، وكيف تعمل على تحسين الأمان؟
- كيف يمكن اختراق كلمات المرور ، وما هي الإجراءات التي يمكن اتخاذها لتعزيز المصادقة المستندة إلى كلمة المرور؟
- ما هي المفاضلة بين الأمان والراحة في مصادقة المستخدم؟
- ما هي بعض التحديات التقنية التي ينطوي عليها مصادقة المستخدم؟
- كيف يتحقق بروتوكول المصادقة باستخدام Yubikey وتشفير المفتاح العام من صحة الرسائل؟
- ما هي مزايا استخدام أجهزة Universal 2nd Factor (U2F) لمصادقة المستخدم؟
عرض المزيد من الأسئلة والأجوبة في المصادقة