الجميع يعرف ما هي كلمة المرور. ولكن لا يمكننا قول الشيء نفسه بالنسبة للمصادقة الثنائية أو مفاتيح المرور، وهو أمر مؤسف لأن هاتين الميزتين الأمنيتين تعززان بشكل كبير أمان حساباتك على الإنترنت.
إن استخدام كليهما هو في الواقع أفضل رهان لك، ولكن قد يكون استخدام أحدهما بدلاً من الآخر أمرًا مربكًا. إذا كنت لا تعرف الكثير عن المصادقة الثنائية أو مفاتيح المرور أو لم تكن متأكدًا من أيهما أفضل، فيجب أن يوضح هذا الدليل ذلك على الفور.
ما هو المصادقة الثنائية (2FA)؟
المصادقة ذات العاملين هي طبقة ثانية من الأمان تضيفها إلى الحساب، فكر في الأمر مثل قفل آخر على الباب. لتتمكن من تسجيل الدخول بنجاح، يجب عليك التحقق من نفسك مرة ثانية.
تقليديًا، كلمة المرور (العامل الأول لديك) هي شيء تعرفه. “العامل” الثاني هو شيء تملكه (مثل الهاتف أو مفتاح الأمان) أو شيء أنت عليه (مثل بصمة الإصبع). تتضمن طرق المصادقة الثنائية رموز الاستخدام لمرة واحدة المرسلة عبر رسالة نصية أو التي يتم إنشاؤها بواسطة أحد التطبيقات، ودفع الإشعارات عبر تطبيق الهاتف، ومفتاح أمان الجهاز (على سبيل المثال، YubiKey).
ليست كل أشكال المصادقة الثنائية آمنة بنفس القدر. تعد رموز الرسائل النصية هي الأضعف بسبب نقاط الضعف الأمنية في الرسائل النصية القصيرة ونقل خط الهاتف المحمول. (على سبيل المثال، يمكن اعتراض الرسائل النصية عبر هجمات SS7، بينما يمكن لمقبس بطاقة SIM سرقة رقم هاتفك من تحت أنفك.) مفاتيح أمان الأجهزة هي الأقوى. سيحتاج المهاجم إلى الوصول الفعلي إلى الدونجل لاستخدامه.
ما هو مفتاح المرور؟
مفتاح المرور هو في الواقع مجموعة من مفاتيح التشفير المستخدمة لمصادقة الحساب. إنه شكل من أشكال التشفير غير المتماثل (المعروف أيضًا باسم تشفير المفتاح العام) استنادًا إلى معيار WebAuthn. يؤدي إنشاء مفتاح مرور إلى إنشاء زوج مفاتيح عام وخاص فريد، مرتبط بالجهاز وموقع الويب الذي تم إنشاؤه من أجله. يقوم الموقع بتخزين المفتاح العام. أنت تحتفظ بالمفتاح الخاص، الذي يظل دائمًا سريًا – على الرغم من أنه جزء من عملية المصادقة، إلا أنه لا تتم مشاركته بشكل مباشر أبدًا. ولا يمكن استخلاصه من المفتاح العام أيضًا.
يمكنك تخزين مفتاح المرور بعدة طرق. لمزيد من الراحة، احفظها في مدير كلمات المرور المستند إلى السحابة. يمكن أن تكون هذه الخدمة مدمجة في حساب Google أو Microsoft الخاص بك، أو شركة مستقلة مثل Bitwarden أو Dashlane. لمزيد من الأمان، احفظها على جهاز محدد مثل جهاز الكمبيوتر الشخصي الذي يعمل بنظام Windows (وليس حساب Microsoft الخاص بك) أو مفتاح أمان الجهاز.
يمكنك إنشاء أكثر من مفتاح مرور لكل حساب. على الرغم من أن كل منها فريد من نوعه، إلا أنها لا تزال بمثابة نسخ احتياطية لبعضها البعض – بمعنى أنه إذا فقدت واحدة، فلا يزال بإمكانك تسجيل الدخول باستخدام واحدة مختلفة. يعد إنشاء أكثر من مفتاح مرور واحد لتخزينه على أجهزة مختلفة أمرًا ذكيًا، لأنه من الممكن أن تفقد هاتفًا أو مفتاح أمان، أو تتم سرقة الكمبيوتر المحمول الخاص بك. ومؤخرًا، قامت المجموعة التي تقف وراء مفاتيح المرور (تحالف FIDO) بتمكين دعم عمليات نقل مفاتيح المرور – لذلك إذا كانت مدعومة من قبل مديري كلمات المرور، فيمكنك التنقل بين الأنظمة البيئية أو الخدمات دون أي متاعب تذكر.
(في الوقت الحالي، لا يدعم سوى عدد قليل من برامج إدارة كلمات المرور إمكانية نقل مفتاح المرور، مع كون شركة Apple أكبر مشارك. لكن القائمة مستمرة في التوسع).
لاستخدام مفتاح مرور، يجب عليك أولاً بدء طلب مصادقة على الموقع الذي تقوم بتسجيل الدخول إليه. (بشكل أساسي، اختر خيار تسجيل الدخول باستخدام مفتاح المرور.) ثم ستستخدم القياسات الحيوية مثل بصمة إصبعك أو رمز PIN للسماح باستخدام مفتاح المرور الخاص بك. يعتبر خبراء الأمن أن القياسات الحيوية أكثر أمانًا، لكن خبراء الخصوصية ينصحون باستخدام رقم التعريف الشخصي في ظروف معينة. (على سبيل المثال، في الولايات المتحدة، لا تستطيع الحكومة إجبارك على مشاركة رقم التعريف الشخصي، ولكن البيانات البيومترية ليست محمية بنفس الطريقة.)
إذن، أيهما أفضل؟
حقيقة ممتعة حول مفاتيح المرور والمصادقة الثنائية – إنهما لا يستبعد أحدهما الآخر! يمكن لموقع الويب أو التطبيق اختيار السماح لك بتمكين المصادقة الثنائية (2FA) بالإضافة إلى مفتاح مرور لتسجيل الدخول. ومع ذلك، لن تجد هذا المزيج كثيرًا على الإطلاق، على الأقل في الوقت الحالي. (أمازون هو الموقع الرئيسي الوحيد الذي رأيته والذي لا يزال يطلب رموز المصادقة الثنائية بعد استخدام مفتاح المرور.)
لماذا؟ يعد مفتاح المرور بطبيعته أكثر أمانًا من كلمة المرور، لأنه لا يمكن سرقته أو مشاركته بسهولة مثل كلمات المرور. كما أنه يمزج بين المعلومات التي لديك (مفتاح التشفير الخاص) والشيء الذي تعرفه أو تعرفه (إما القياسات الحيوية أو رقم التعريف الشخصي). تصبح المصادقة ذات العاملين أقل أهمية للحماية من التصيد الاحتيالي وحشو بيانات الاعتماد والهجمات الشائعة الأخرى التي تعتمد على كلمات مرور ضعيفة أو مخترقة.
لذا فإن مواجهتنا هنا تدور حول الوقت الأفضل لاستخدام أحدهما أو أحدهما – إذا كان لديك الاختيار.
2FA مقابل مفاتيح المرور: الراحة
يمكنك جعل المصادقة الثنائية (2FA) سلسة إلى حد كبير — والخدعة المفضلة لدي هي استخدام مفتاح أمان الجهاز وتركه متصلاً بجهاز الكمبيوتر الخاص بك. في أي وقت تحتاج فيه إلى المصادقة الثنائية، ما عليك سوى لمس المفتاح.
وفي الوقت نفسه، يعمل مفتاح المرور عبر جميع الأجهزة دون الحاجة إلى عمليات إعداد أو شراء إضافية، على افتراض أنك قمت بالتسجيل في خدمة تخزين سحابية مجانية. سيكون حساب Microsoft هو الطريقة الأكثر سلاسة للبدء لمستخدمي الكمبيوتر الشخصي، ولكن حساب Google أو Apple أو حتى Bitwarden يعمل بشكل رائع أيضًا.
في نهاية المطاف، ما هو الأفضل بالنسبة لك سوف يعتمد على تفضيلاتك الشخصية. لكن بالنسبة لمعظم الناس، يعود الفوز إلى مفاتيح المرور نظرًا لرخص ثمنها (مجانيتها!) وسهولة إعدادها واستخدامها.
الفائز: مفاتيح المرور
2FA مقابل مفتاح المرور: الأمان
أولاً، حتى لا نغفل الصورة الكبيرة – أي شكل من أشكال المصادقة الثنائية أفضل من عدم وجود المصادقة الثنائية.
ومع ذلك، فإن المصادقة الثنائية آمنة بقدر الطريقة التي تختارها. كما ذكرنا سابقًا، تحتوي الرسائل النصية (SMS) على نقاط ضعف يمكن استغلالها. تعد الإشعارات الفورية أفضل قليلاً، ولكنها أيضًا يمكن أن تتعرض للاختراق من قبل المتسللين. إذا كان أحد الممثلين السيئين يعرف كلمة المرور الخاصة بك، فيمكنه تجربة هجمات إرهاق MFA للوصول إلى حسابك – أي إرسال بريد عشوائي إليك باستخدام كلمة مرور ناجحة، على أمل الموافقة عن طريق الخطأ على طلب إشعار دفع 2FA أثناء الطوفان.
أوصي بالبدء بالرموز التي يتم إنشاؤها لمرة واحدة بواسطة التطبيق، حيث لا يمكن اختراقها أو الهجوم عليها بسهولة. لكنهم ما زالوا عرضة لهجمات التصيد الاحتيالي، حيث يمكن للمهاجم سرقة رمز المصادقة الثنائية (2FA) الخاص بك بعد إدخاله في موقع ويب مزيف يتحكم فيه. (لقد نجح هذا النوع من الهجوم في التسبب في تعثر خبير أمني في وقت سابق من هذا العام).
أقوى طريقة للمصادقة الثنائية هي رمز أمان الأجهزة، الذي يتطلب لمسة بشرية للعمل – ويتم تشفيره بطريقة لا يمكن اختراقها بسهولة. سيحتاج المهاجم إلى الوصول الفعلي لاستخدام مفتاح الأمان هذا.
وفي الوقت نفسه، بالنسبة لمفاتيح المرور، فإن زوج مفاتيح التشفير الخاص بها غير قابل للاختراق من الناحية النظرية بواسطة أجهزة الكمبيوتر اليوم. ومع ذلك، فإن تخزينها في مدير كلمات مرور قائم على السحابة ينطوي على مخاطر نظرية. إذا تعرض هذا الحساب للاختراق، فيمكن للمهاجم استخدام مفاتيح المرور الخاصة بك عبر الويب، أو نقلها إلى خدمة أخرى لا يمكنك التحكم فيها.
لذا، في رأيي، هذه المواجهة المباشرة انتهت بالتعادل. تعمل كلتا الطريقتين على تحسين الأمان بشكل كبير بطريقتهما الخاصة، ولكن لا يمكن مقارنتهما بشكل مباشر. بالإضافة إلى ذلك، لا تدعم جميع مواقع الويب كلاً من المصادقة الثنائية ومفاتيح المرور، لذلك قد لا يكون لديك خيار. أعتقد أن هذه الخيارات الأمنية تكميلية أكثر من كونها منافسين مباشرين.
ومع ذلك، إذا كنت لا تستخدم كلمات مرور قوية ولن تقوم أبدًا بتشغيل المصادقة الثنائية بشكل واقعي، فستفوز مفاتيح المرور في كل مرة.
الفائز: يرسم
2FA مقابل مفتاح المرور: السعر
مفاتيح المرور مجانية. قد لا تكون طرق تخزينها كذلك. (ربما تفضل مفاتيح أمان الأجهزة بشكل أفضل.)
العديد من أشكال المصادقة الثنائية مجانية أيضًا. ولكن مرة أخرى، قد تتطلب كيفية التعامل معهم أجهزة إضافية. على سبيل المثال، أعرف أفرادًا يحتفظون بخط هاتف خلوي ثانٍ رخيص الثمن، يُستخدم حصريًا لرموز المصادقة الثنائية النصية. (لا تقدم بعض البنوك طرقًا أخرى للمصادقة الثنائية.) لا يشاركون الرقم مطلقًا، لذلك لا يمكن ربطه بهم علنًا، وبالتالي يقلل من خطر نجاح هجوم سرقة بطاقة SIM.
لكن الدفع مقابل استخدام أي منهما يعد أمرًا اختياريًا، حتى لو لم تكن تمتلك هاتفًا ذكيًا.
رأيي؟ بالنسبة لكل شخص، يعود الفائز في هذا إلى أشكال المصادقة الثنائية المتاحة لك، وتعاملك مع الأمان مقابل الراحة، وميزات الأمان المدعومة لمواقع الويب والتطبيقات التي تستخدمها. بالإضافة إلى ذلك، ما مدى شعورك بجنون العظمة بشأن فقدان النماذج الأساسية والثانوية من المصادقة الثنائية أو الجهاز (الأجهزة) الذي يحتوي على مفاتيح المرور المخزنة عليها.
لكن بشكل عام، أعتقد أن هذا تعادل، فالراحة والأمان سيلعبان أدوارًا أكبر في أي دور تختاره.
الفائز: يرسم