لماذا يجب عليك تجنب استخدام كلمات المرور لمرة واحدة المرسلة عبر الرسائل النصية
إحدى الطرق الأكثر ملاءمة لمستخدمي الهاتف المحمول لتسجيل الدخول إلى التطبيقات – والتي تعتمد عليها العديد من الشركات لمنح الوصول – هي كلمة المرور لمرة واحدة، أو OTP، والتي غالبًا ما تتم مشاركتها عبر الرسائل النصية. ولكن هناك إجماع متزايد بين المتخصصين في مجال الأمن السيبراني على ضرورة التخلص من كلمات المرور لمرة واحدة، مثل كلمات المرور التقليدية، على الرغم من أن الخبراء يقولون إنه من المشكوك فيه أن يحدث ذلك في أي وقت قريب.
ويتم حث المستهلكين على الانتباه إلى الأنواع المختلفة لكلمات المرور التي تُستخدم لمرة واحدة، والمخاطر الأمنية النسبية مقابل المزايا التي يقدمها كل منها. تظهر التجربة أن هناك دائمًا طريقة ما للتغلب على المصادقة، لكن بعض الأساليب تعتبر أقوى من غيرها، وفقًا لما ذكره أنت آلان، نائب الرئيس في شركة جارتنر للأبحاث. وقال آلان: “لا توجد طرق مضادة للرصاص للمصادقة”.
إليك ما يحتاج المستهلكون إلى معرفته حول OTPs والأمن عبر الإنترنت:
OTPs عرضة لعمليات الاحتيال عبر الإنترنت
قالت تريسي سي. كيتن، مديرة مكافحة الاحتيال والبرمجيات، إن كلمات المرور لمرة واحدة (OTP) عبر الرسائل النصية أو الرسائل النصية القصيرة، أكثر عرضة لهجمات المحتالين من خلال مجموعة متنوعة من الوسائل مثل هجمات التصيد الاحتيالي ومبادلة بطاقة SIM واعتراض الرسائل، حتى لو كان هاتفك في حوزتك. الأمن في Javelin Strategy & Research.
ومما يزيد المشكلة تعقيدًا حقيقة أنه عندما يكون لديك حساب جوال أو موقع ويب، فقد لا تكون على علم بذلك على الفور. قال كيتن: “يمكنك أن تطلب من أحد البنوك، على سبيل المثال، إرسال رسالة نصية ثم إعادة إرسالها، دون أن تدرك أن شخصًا آخر قد استلمها. قد يستغرق الأمر 45 دقيقة قبل أن تدرك وجود خطأ ما، وعند هذه النقطة يكون الأوان قد فات”.
استخدم تطبيق المصادقة من Google وMicrosoft
يقول متخصصو الأمن إن الخيار الأفضل، على الرغم من أنه ليس حلاً سحريًا، هو تنزيل تطبيق مصادقة، مثل Google Authenticator أو Microsoft Authenticator، على جهاز محمول. وقال آلان إن تطبيقات المصادقة قد تظل عرضة لبعض أنواع الهجمات مثل “الخصم في المنتصف”، لكنها لا تزال أكثر أمانًا من الرسائل النصية القصيرة.
باستخدام تطبيق المصادقة، يتلقى المستخدمون رمزًا فريدًا في كل مرة يقومون فيها بتسجيل الدخول، وتنتهي صلاحية الرمز، عادةً بعد 30 إلى 60 ثانية. لا يتم إرسال أي شيء إلى رقم الهاتف. وقال كيتن إن أداة المصادقة موجودة على جهازك المحمول، لذا إذا كان الهاتف محميًا بكلمة مرور وتم تمكين التعرف على الوجه، فهذا يقلل بشكل كبير من خطر قدرة شخص ما على الوصول إلى هذه الرموز.
وبطبيعة الحال، لا تزال هناك نقاط ضعف محتملة تعتمد على الحاجة إلى إدخال رمز، كما يقول سيدريك ثيفينيت، نائب الرئيس ورئيس قسم المبيعات والحلول السيبرانية في Capgemini Americas. لنفترض، على سبيل المثال، أن شخصًا ما يتلقى رسالة بريد إلكتروني تبدو وكأنها من شركة أو مزود يتعامل معه بشكل روتيني، ولكنها في الواقع محاولة تصيد مقنعة بشكل جيد. وقال ثيفينيت إنه بفضل الذكاء الاصطناعي، أصبح من الصعب اكتشاف هذه الأنواع من رسائل البريد الإلكتروني التصيدية
إذا قام المستخدم المطمئن بالنقر فوق الرابط، فقد ينقله ذلك إلى موقع ويب يبدو شرعيًا، ولكنه ليس كذلك. يقوم الشخص بإدخال اسم المستخدم وكلمة المرور الخاصة به على موقع المتسلل، معتقدًا أنه موقع الموفر، وبعد ذلك، عندما يُطلب منه رمز المصادقة، يكتب ذلك أيضًا. وأوضح Thevenet أن المتسلل لديه الآن حق الوصول إلى حساب الشخص.
فكر في دفع تطبيقات الهاتف المحمول للحصول على حماية أفضل
وهناك خيار أكثر أمانًا للمصادقة يعمل جنبًا إلى جنب مع تطبيقات الهاتف المحمول على هاتف المستخدم. عندما يقوم المستخدمون بتسجيل الدخول إلى موقع ويب خاص ببنكهم أو أي نوع آخر من مقدمي الخدمة، فإنهم يتلقون إشعارًا في التطبيق المقابل على هواتفهم يطالبهم بالتحقق من هويتهم من خلال هذا الإشعار.
قال آلان إن طريقة التحقق هذه مستقلة عن الجهاز الذي تقوم بتسجيل الدخول عليه، وهي أفضل من الرسائل النصية القصيرة أو كلمات المرور لمرة واحدة (OTP) الخاصة بالمصادقة، ولكن هناك هجمات يمكن أن تعمل ضد هذه الطريقة أيضًا. يمكن للمتسلل أن يحاول بشكل متكرر تسجيل الدخول إلى حساب شخص ما باستخدام كلمة مرور مسروقة وسيتلقى المستخدم رسائل متعددة على هاتفه للتحقق. إذا كان الشخص لا يولي اهتمامًا دقيقًا، أو يريد فقط التوقف عن الإزعاج، فيمكنه النقر للتحقق وبالتالي منح الوصول إلى حساب المتسلل.
اختر مفتاح أمان الأجهزة عندما يكون ذلك ممكنًا
الخيار الأفضل هو استخدام مفتاح أمان الأجهزة مثل Yubico. يمكن استخدام مفتاح واحد مع تطبيقات وخدمات متعددة. وقال آلان إنه من وجهة نظر أمنية، فهو أفضل من الرسائل النصية القصيرة أو تطبيق المصادقة. ولكن هناك استثمار. يمكن أن تتراوح تكلفة المفتاح ما بين 20 دولارًا إلى 60 دولارًا أو أكثر ويجب على الأشخاص توخي الحذر حتى لا يفقدوه.
كما أنها ليست عملية في كل حالة. وقال Thevenet إن بائع التجزئة عبر الإنترنت لن يعطي مفتاحًا لكل من عملائه لأسباب تتعلق بالتكلفة والعملية.
قم بإزالة كلمات المرور من المعادلة باستخدام مفاتيح مرور متعددة الأجهزة
على الرغم من أنه ليس بالضرورة بديلاً لمرة واحدة (OTP)، فإن استخدام مفاتيح المرور متعددة الأجهزة، التي تحل محل الحاجة إلى كلمات المرور، يجعل من الصعب على المهاجم اختراق حساباتك. تتكون مفاتيح المرور من “مفتاح خاص” مخزن على كمبيوتر المستخدم أو هاتفه وتشفير المفتاح العام، وفقًا لتحالف FIDO، وهو اتحاد صناعي مفتوح يركز على تقليل اعتماد العالم على كلمات المرور.
بالإضافة إلى التخلص من بعض مضايقات كلمات المرور، تعمل مفاتيح المرور على حماية المستخدمين من هجمات التصيد الاحتيالي لأنها تعمل فقط على مواقع الويب والتطبيقات المسجلة الخاصة بهم. وقال آلان إنه لا تزال هناك بعض المخاوف الأمنية، ولكن على أقل تقدير، “يخرج هذا كلمات المرور من المعادلة، مما يزيد من صعوبة بدء المهاجم في المقام الأول”.
وقال آلان إنه من وجهة نظر تنظيمية، قد لا تكون مفاتيح المرور مؤهلة للمصادقة متعددة العوامل، ولكنها لا تزال أكثر أمانًا من استخدام كلمة المرور والرسائل النصية القصيرة.
توقع أن تظل كلمة المرور لمرة واحدة (OTP) عبر الرسائل النصية القصيرة قيد الاستخدام، وتشكل خطرًا
هناك مجموعة واسعة من الخيارات المتاحة للمستخدمين لإدارة تسجيلات الدخول الخاصة بهم عبر الإنترنت مع إيلاء اهتمام أكبر للأمان، بما في ذلك مديري كلمات المرور، ولكن جميعها تنطوي على مخاطر، وإلى حد ما، فإن المستهلكين مقيدون بطرق المصادقة التي يقدمها مختلف مقدمي الخدمة.
داستي أندرسون، العضو المنتدب في شركة Protiviti، الذي يقود ممارسة الهوية الرقمية للشركة، لديه عميل ينفق عشرات الآلاف من الدولارات شهريًا لإرسال OTPs عبر الرسائل القصيرة. وقالت إنه على الرغم من المخاوف الأمنية، فإن العميل يتردد لأنه يخشى إحداث تغيير جذري، خاصة مع العملاء الذين لا يتمتعون بالذكاء التكنولوجي وقد يرفضون استخدام نوع آخر من أدوات المصادقة.
ولهذا السبب ولأسباب أخرى، قال ثيفينيت إنه من المرجح أن تكون OTPs موجودة بشكل ما في المستقبل المنظور. وقال ثيفينيت إن الخيارات الأكثر شيوعاً هي منخفضة التكلفة وسهلة الاستخدام، وعلى الرغم من بعض المخاطر، إلا أن هذه الأساليب لا تزال أفضل من مجرد كلمة المرور وحدها. “هل هذا هو الحل الأعظم على الإطلاق لإرسال كلمة المرور لمرة واحدة (OTP) عبر الرسائل النصية القصيرة؟ لا. هل هو أفضل من مجرد كلمة مرور؟ نعم.”
