المصادقة الثنائية: ما هي، كيف تعمل، ولماذا تُستخدم لتعزيز أمان حساباتك وحمايتها من الاختراقات والتهديدات الإلكترونية.

تخيل أن باب منزلك الأمامي يحتوي على قفلين. أحدهما هو مفتاحك (كلمة المرور الخاصة بك)، والآخر هو رمز يتغير باستمرار يُرسل إلى هاتفك (العامل الثاني). هذه هي جوهر المصادقة الثنائية (2FA)، نظام أمني يضيف طبقة إضافية من الحماية ضد الوصول غير المصرح به إلى حساباتك على الإنترنت.

هل كلمة المرور لمرة واحدة (OTP) والمصادقة الثنائية (2FA) هما نفس الشيء؟

على الرغم من استخدامهما غالبًا بالتبادل، هناك فرق بسيط بين كلمة المرور لمرة واحدة (OTP) والمصادقة الثنائية (2FA):

• كلمة المرور لمرة واحدة (OTP): هي رمز فريد يُستخدم لمرة تسجيل دخول واحدة فقط. يمكن إرساله عبر الرسائل النصية القصيرة، البريد الإلكتروني، أو توليده بواسطة تطبيق. فكر فيه كرمز قابل للاستخدام مرة واحدة على شريحة بطاقة الائتمان الخاصة بك.
• المصادقة الثنائية (2FA): هي نظام أوسع يعتمد على عاملين للمصادقة: شيء تعرفه (كلمة المرور) وشيء تملكه (الهاتف، مفتاح الأمان) أو شيء أنت عليه (بصمة الإصبع، التعرف على الوجه). كلمة المرور لمرة واحدة هي إحدى الطرق المستخدمة لتحقيق المصادقة الثنائية، لكنها ليست الطريقة الوحيدة.

لذا، تطبيق Google Authenticator ليس أفضل من المصادقة الثنائية نفسها. تطبيق Google Authenticator هو تطبيق يستخدم طريقة TOTP (كلمة المرور لمرة واحدة المعتمدة على الوقت) لتوليد رموز OTP للمصادقة الثنائية. تُعتبر رموز TOTP أكثر أمانًا من رموز OTP التقليدية التي تُرسل عبر الرسائل النصية لأنها تتغير بفواصل منتظمة (عادة كل 30 ثانية) ولا تعتمد على شبكات الهاتف المحمول.

أقوى المنافسين في مجال المصادقة الثنائية

عندما يتعلق الأمر بأقوى طريقة للمصادقة الثنائية، فهذا يعتمد على الحالة. إليك ما نعرفه:

تطبيقات المصادقة:

• TOTP (كلمة المرور لمرة واحدة المعتمدة على الوقت): هذه هي التقنية التي تشغل معظم تطبيقات المصادقة مثل Google Authenticator أو Microsoft Authenticator. تستخدم مزيجًا من:
  • المفتاح السري: مفتاح سري فريد يتم مشاركته بين التطبيق والخدمة الإلكترونية التي تقوم بتسجيل الدخول إليها. يتم إنشاء هذا المفتاح عادةً أثناء الإعداد الأولي.
  • مزامنة الوقت: يعتمد كل من التطبيق والخادم على نفس المرجع الزمني (عادةً ما يكون توقيت UTC - التوقيت العالمي المنسق).
• توليد الرمز: يستخدم التطبيق خوارزمية محددة (مثل HMAC-SHA1) لدمج المفتاح السري مع الوقت الحالي، مما يولد رمزًا فريدًا يتغير كل حوالي 30 ثانية. هذا يضمن أنه حتى إذا اعترض شخص ما رمزًا، فإنه يصبح عديم الفائدة خلال فترة قصيرة.
• عملية التحقق: عند إدخال الرمز المولد أثناء تسجيل الدخول، يقوم الخادم بنفس الحساب باستخدام نفس المفتاح السري والوقت الحالي. إذا تطابقت الرموز، يتم منح الوصول.

مفاتيح الأمان:

• التشفير بالمفتاح العام: تعتمد مفاتيح الأمان مثل YubiKeys على التشفير بالمفتاح العام. يتضمن هذا النظام مفتاحين مرتبطين رياضيًا: مفتاح عام ومفتاح خاص.
  • المفتاح العام (على الخادم): هذا المفتاح متاح للجميع ويستخدمه الخادم لتشفير التحديات.
  • المفتاح الخاص (داخل المفتاح): يُخزن هذا المفتاح بأمان داخل مفتاح الأمان نفسه ولا يغادر الجهاز أبدًا. يُستخدم لفك تشفير التحدي وإنشاء توقيع رقمي.
• تحد