لماذا تعتبر الرسائل النصية القصيرة الطريقة الأقل أماناً للمصادقة الثنائية؟


by Posted on

في عالم الأمن الرقمي، تعد المصادقة الثنائية (2FA) خط دفاع أساسي لحماية حساباتك عبر الإنترنت. ومع ذلك، ليست كل طرق المصادقة الثنائية متساوية من حيث مستوى الأمان. تُعتبر الرسائل النصية القصيرة (SMS) الخيار الأكثر شيوعاً نظراً لسهولة استخدامها، لكنها للأسف الأضعف أمنياً. فلماذا يحذر خبراء الأمن والجهات الرسمية مثل مكتب التحقيقات الفيدرالي (FBI) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) من استخدامها؟ دعونا نستكشف الأسباب.

المخاطر الرئيسية للمصادقة الثنائية عبر الرسائل النصية

غياب التشفير

تفتقر الرسائل النصية القصيرة إلى التشفير الأساسي، مما يجعلها عرضة للاعتراض والقراءة من قبل المهاجمين. عندما تتلقى رمز تحقق عبر رسالة نصية، يمكن للمخترقين اعتراض هذه الرسالة وقراءة الرمز بسهولة إذا كانوا يستخدمون الأدوات المناسبة.

هجمات تبديل شريحة SIM

تعد هجمات تبديل شريحة SIM من أكثر المخاطر شيوعاً وخطورة. يقوم المهاجمون بإقناع شركة الاتصالات بأنهم أصحاب الرقم الأصليين، ويطلبون نقل الرقم إلى شريحة جديدة تحت سيطرتهم. بمجرد نجاح هذه العملية، يمكنهم تلقي جميع الرسائل النصية، بما في ذلك رموز المصادقة الثنائية، مما يتيح لهم اختراق حساباتك المختلفة.

ثغرات بروتوكول SS7

يعتمد نظام الرسائل النصية على بروتوكول قديم يسمى SS7 تم تطويره في عام 1975، ولم يُصمم في الأصل للتحقق من هوية المستخدمين. اكتشف الخبراء ثغرات أمنية خطيرة في هذا البروتوكول تسمح للمهاجمين باعتراض الرسائل النصية دون الحاجة للوصول الفيزيائي لهاتف الضحية.

الهندسة الاجتماعية

يمكن للمهاجمين استخدام تقنيات الهندسة الاجتماعية لخداع المستخدمين وإقناعهم بمشاركة رموز التحقق. على سبيل المثال، قد يتظاهر المهاجم بأنه ممثل لمؤسسة مالية أو متجر إلكتروني ويطلب من المستخدم تقديم رمز التحقق “لأغراض أمنية”.

اعتراض الرسائل النصية

يمكن اعتراض الرسائل النصية بطرق مختلفة، سواء من خلال هجمات على شبكات الاتصالات، أو استخدام برامج خبيثة على الأجهزة المصابة، أو هجمات الوسيط (Man-in-the-Middle) التي تستغل غياب التشفير.

انقطاعات الشبكة والتأخير

قد تواجه الرسائل النصية تأخيراً أو عدم وصول بسبب مشاكل في شبكة الاتصال، مما يمنعك من الوصول إلى حساباتك حتى في الحالات الطارئة. هذه المشكلة لا تتعلق بالأمان فقط، بل بالاعتمادية أيضاً.

توصيات الجهات الرسمية

في ديسمبر 2024، أصدر مكتب التحقيقات الفيدرالي (FBI) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) تحذيراً صريحاً للأمريكيين بعدم استخدام رموز SMS للمصادقة الثنائية. كما أن المعهد الوطني للمعايير والتكنولوجيا (NIST) قد أوصى بعدم استخدام الرسائل النصية للمصادقة منذ عام 2016.

جاءت هذه التوصيات استجابة لهجمات إلكترونية متطورة، مثل هجمات Salt Typhoon التي استهدفت شركات الاتصالات ووصلت إلى سجلات المكالمات والبيانات لعدد غير معروف من الضحايا.

البدائل الأكثر أماناً

تطبيقات المصادقة

تطبيقات المصادقة مثل Google Authenticator وMicrosoft Authenticator وAegis توفر طريقة أكثر أماناً للمصادقة الثنائية. تولد هذه التطبيقات رموزاً فريدة تستند إلى الوقت (TOTP) وتعمل حتى بدون اتصال بالإنترنت، مما يجعلها محصنة ضد هجمات اعتراض الرسائل النصية.

المفاتيح المادية

المفاتيح المادية مثل YubiKey توفر أعلى مستويات الأمان. تعمل هذه الأجهزة كعنصر منفصل للمصادقة، ويجب توصيلها فيزيائياً بجهازك لإتمام عملية تسجيل الدخول، مما يجعل الاختراق عن بُعد مستحيلاً تقريباً.

المصادقة البيومترية

تستخدم هذه الطريقة خصائصك البيولوجية مثل بصمة الإصبع أو مسح الوجه أو بصمة العين للتحقق من هويتك. وهي مدمجة الآن في معظم الهواتف الذكية والأجهزة الحديثة.

المفاتيح الرقمية (Passkeys)

تقنية جديدة نسبياً تتيح لك تسجيل الدخول باستخدام نفس آليات القفل البيومترية التي تستخدمها لفتح جهازك، مثل بصمة الإصبع أو التعرف على الوجه، لكن دون مشاركة البيانات البيومترية الفعلية مع المواقع.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *