تنصح شركة مايكروسوفت المستخدمين بالتخلي عن حلول المصادقة الثنائية المستندة إلى الهاتف (MFA) التي تتيح الحصول على رموز الأمان عبر الرسائل القصيرة (SMS)، والمكالمات الصوتية لأنها هي الخيار الأقل أمانًا حاليًا.
جاء هذا التحذير من (أليكس وينرت) Alex Weinert مدير أمان الهوية في مايكروسوفت، حيث أشار إلى أن كلمات المرور لم تعد وسيلة فعالة لمنع اختراق الحسابات، كما أن حلول المصادقة المستندة إلى الهاتف توفر طبقة حماية إضافية، لكنها ليست مضمونة.
لماذا أصبحت حلول المصادقة الثنائية المستندة إلى الهاتف أقل أمانًا؟
أكد (أليكس وينرت) أن استخدام أي شكل من أشكال المصادقة الثنائية أفضل من الاعتماد فقط على كلمة مرور لتأمين الحسابات، لأنها خطوة تزيد بشكل كبير من تكاليف القراصنة الذين يحاولون اختراق حسابك، وهذا هو السبب في أن معدل اختراق الحسابات التي تستخدم أي نوع من أنواع المصادقة أقل بكثير من الحسابات التي تعتمد على كلمات المرور فقط.
قال (أليكس) في منشور العام الماضي: “إن المستخدمين الذين فعّلوا ميزة المصادقة الثنائية (MFA) في حساباتهم تجنبوا نحو 99.9% من الهجمات الآلية التي استهدفت حسابات مايكروسوفت الخاصة بهم”.
لكنه أكد في تقرير حديث أن تسليم رموز المصادقة عبر شبكات الهاتف العامة (PSTN) هو الأقل أمانًا من بين أساليب المصادقة الثنائية المتاحة، للأسباب التالية:
- أنظمة شبكات الهواتف العامة (PSTN) ليست موثوقة بنسبة 100%، مما يعني أن الرسالة أو المكالمة قد لا تأتي عند الحاجة.
- يمكن للقراصنة إعادة توجيه الرسائل النصية القصيرة أو المكالمات الهاتفية بسهولة إلى رقم آخر عن طريق خداع موظفي خدمة دعم العملاء في شركات الاتصالات لتحويل أرقام الهواتف إلى بطاقة SIM أخرى – وهي هجمات تُعرف باسم (SIM swap)، أو (SIM splitting) – ، مما يسمح للقراصنة بتلقي رموز المصادقة نيابة عن المستخدمين.
- صُممت الرسائل القصيرة والمكالمات الهاتفية بدون تشفير ويمكن للقراصنة اعتراضها بسهولة.
الجدير بالذكر أن (جاك دورسي) Jack Dorsey المؤسس والرئيس التنفيذي لشركة تويتر تعرض لاختراق بطاقة SIM في أغسطس 2019، حيث استخدم المتسللون العملية الاحتيالية (SIM splitting) للوصول إلى رقم هاتفه، مما سمح لهم بإنشاء تغريدات عبر الرسائل النصية القصيرة SMS وإرسالها من الرقم لحسابه على تويتر.
ما هو الحل الأفضل الآن؟
تعتبر المصادقة الثنائية من أهم عوامل الأمان المتاحة حاليًا لتأمين الحسابات لذلك أهميتها ليست موضع جدال حاليًا، ولكن مع تزايد عدد المستخدمين لها، سيحاول القراصنة التوصل إلى طرق جديدة للحصول على رموز المصادقة المطلوبة لمرة واحدة.
لذلك ينصح (أليكس وينرت) المستخدمين بالتخلي عن حلول المصادقة المستندة إلى الهاتف والبدء باستخدام المصادقة المستندة إلى التطبيق، وبطبيعة الحال رشح تطبيق (Microsoft Authenticator).
كما يوجد تطبيقات أخرى تقدم الوظيفة نفسها، منها: تطبيق (Google Authenticator) الذي يوفر لك رموز لتأكيد الهوية يصعب على المتسلل الوصول إليها لأنه لابد أن يصل إلى هاتفك فعليًا.
ولكن الحال المثالي دائمًا هو استخدام أحد مفاتيح الأمان الفعلية حيث لن تحتاج إلى استخدام رمز لإثبات هويتك، فغالبًا ما تتخذ هذه الأجهزة شكل جهاز USB يستخدم في عملية المصادقة، ويعتبر أفضل من استخدام البرمجيات القائمة على نظام التشغيل التي يمكن استغلالها لاختراق حساباتك في حالة ضياع هاتفك. ولكن مع مفتاح الأمان سيحتاج المتسلل إلى سرقته أولًا ليتمكن من الوصول إلى حسابك.