توصي Microsoft المستخدمين بالتخلي عن حلول المصادقة المستندة إلى MFA (MFAs) التي تتيح تلقي رموز الأمان عبر الرسائل القصيرة والمكالمات الصوتية لأنها الخيار الأقل أمانًا.
لقد جاء هذا التحذير بواسطة (Alex Weinert) أشار Alex Weinert ، مدير أمان الهوية في Microsoft ، إلى أن كلمات المرور لم تعد وسيلة فعالة لمنع انتهاكات الحساب ، وتوفر حلول المصادقة المستندة إلى الهاتف طبقة إضافية من الحماية ، ولكنها غير مضمونة.
لماذا تصبح حلول المصادقة الثنائية المستندة إلى الهاتف أقل أمانًا؟
أكد (Alex Weinert) أن استخدام أي شكل من أشكال المصادقة الثنائية أفضل استنادًا إلى الاعتماد على كلمة المرور فقط من أجل أمان الحساب ، حيث إنها خطوة تزيد بشكل كبير من تكاليف المتسللين الذين يحاولون اختراق حسابك ، وبالتالي فإن معدل اختراق المستخدم أقل بكثير من الحسابات كلمة المرور فقط.
قال (أليكس) بالداخل الأجر العام الماضي: “تجنب المستخدمون الذين مكّنوا ميزة المصادقة الثنائية (MFA) في حساباتهم حوالي 99.9٪ من الهجمات الآلية التي استهدفت حسابات Microsoft الخاصة بهم.”
لكنه شدد في تقرير حديث على أن توفير رموز التحقق عبر شبكات الهاتف العامة (PSTN) هو الأقل أمانًا من بين طرق المصادقة الثنائية المتاحة. للأسباب التالية:
- أنظمة PSTN ليست موثوقة بنسبة 100٪ ، مما يعني أن الرسالة أو المكالمة قد لا تصل عند الحاجة.
- يمكن للقراصنة إعادة توجيه رسائل SMS أو المكالمات الهاتفية بسهولة إلى رقم آخر عن طريق خداع فريق دعم عملاء الاتصالات لتحويل أرقام الهواتف إلى بطاقة SIM أخرى – هجمات تسمى مبادلات SIM ، أو تقسيم بطاقات SIM – والسماح للمتسللين بتلقي رموز التحقق نيابة عن المستخدمين.
- تم تصميم الرسائل القصيرة والمكالمات الهاتفية بدون تشفير ويمكن للمتطفلين اعتراضها بسهولة.
جدير بالذكر أن (جاك دورسي) ، المؤسس والرئيس التنفيذي لتويتر ، تعرض لاختراق بطاقة SIM في أغسطس 2019.استخدم المتسللون عملية الاحتيال (تقسيم بطاقة SIM) للوصول إلى رقم هاتفهسمح لهم ذلك بإنشاء تغريدات عبر الرسائل القصيرة وإرسالها من الرقم إلى حسابه على تويتر.
ما هو الحل الأفضل الآن؟
المصادقة ذات العاملين هي واحدة من أهم تدابير الأمان المتاحة اليوم للحسابات الآمنة ، لذلك لا يوجد خلاف حول أهميتها في الوقت الحالي ، ولكن مع تزايد عدد المستخدمين لها ، سيحاول المتسللون إيجاد طرق جديدة للحصول على رموز التحقق المطلوبة لمرة واحدة.
لذا ينصح (Alex Weinert) المستخدمين بالتخلي عن حلول المصادقة المستندة إلى الهاتف والبدء في استخدام المصادقة المستندة إلى التطبيق ، وبالطبع تعيين التطبيقات (يتحقق Microsoft).
هناك أيضًا تطبيقات أخرى تقدم نفس الوظيفة ، بما في ذلك: (Applicationالمدقق جوجل) يوفر لك ذلك رموز المصادقة التي يصعب على المخترق الوصول إليها لأنه يجب أن يكون لديه حق الوصول إلى هاتفك.
لكن الحالة المثالية دائمًا هي استخدام أحد مفاتيح الأمان المادية حيث لن تضطر إلى استخدام الرمز للتحقق من هويتك ، غالبًا ما تأخذ هذه الأجهزة شكل جهاز USB المستخدم في عملية التحقق ، وتعتبر أفضل من استخدام برنامج نظام التشغيل لاختراق حساباتك في حالة ضياع هاتفك. . ومع ذلك ، باستخدام مفتاح الأمان ، سيتعين على المتسلل سرقته أولاً من أجل الوصول إلى حسابك.
“Social media addict. Zombie fanatic. Travel fanatic. Music geek. Bacon expert.”