إحدى الطرق الأكثر ملاءمة لمستخدمي الهاتف المحمول لتسجيل الدخول إلى التطبيقات – والتي تعتمد عليها العديد من الشركات لتوفير الوصول – هي كلمة المرور لمرة واحدة، أو OTP، والتي غالبًا ما تتم مشاركتها عبر الرسائل النصية. هناك إجماع بين خبراء الأمن السيبراني على ضرورة التخلص التدريجي من كلمات المرور لمرة واحدة، مثل كلمات المرور التقليدية، على الرغم من أن الخبراء يقولون إنهم يشكون في حدوث ذلك في أي وقت قريب.
ونحث المستهلكين على أن يكونوا على دراية بالأنواع المختلفة لكلمات المرور التي تُستخدم لمرة واحدة والفوائد التي يوفرها كل منها والمخاطر الأمنية المرتبطة بها. ووفقا للمحلل أنت ألين، نائب رئيس شركة جارتنر للأبحاث، فإن التجربة تظهر أن هناك دائما بعض الطرق للتغلب على المصادقة، ولكن بعض الأساليب تعتبر أقوى من غيرها. وقال ألين: “لا توجد طرق مصادقة مضادة للرصاص”.
إليك ما يحتاج المستهلكون إلى معرفته حول OTPs والأمن عبر الإنترنت:
OTPs عرضة للاحتيال عبر الإنترنت
إن كلمات المرور لمرة واحدة (OTP) التي تأتي عبر الرسائل النصية أو الرسائل النصية القصيرة معرضة بشدة لهجمات المحتالين من خلال وسائل مختلفة، مثل هجمات التصيد الاحتيالي ومبادلة بطاقة SIM واعتراض الرسائل، حتى عندما يكون هاتفك في حوزتك، كما يقول تريسي سي. – قالت القطة. استراتيجية رأس الحربة والحفظ في البحوث.
ومما يزيد المشكلة تعقيدًا أنك إذا استحوذت على حساب هاتف محمول أو موقع ويب، فقد لا تكون على علم بذلك على الفور. وقال كيتون: “على سبيل المثال، يمكنك أن تطلب من البنك إرسال رسالة نصية ثم إعادة إرسالها دون أن تدرك أن شخصًا آخر يستلمها. قد يستغرق الأمر 45 دقيقة قبل أن تدرك أن هناك خطأ ما، وبحلول ذلك الوقت يكون الأوان قد فات”.
استخدم تطبيق المصادقة من Google وMicrosoft
يقول خبراء الأمن إن الخيار الأفضل، على الرغم من أنه ليس حلاً سحريًا، هو تنزيل تطبيق مصادقة مثل Google Authenticator أو Microsoft Authenticator على الجهاز المحمول. وقال ألين إن تطبيقات المصادقة لا تزال عرضة لأنواع معينة من الهجمات، مثل “الأعداء في المنتصف”، لكنها لا تزال أكثر أمانًا من الرسائل النصية القصيرة.
باستخدام تطبيق المصادقة، يتلقى المستخدمون رمزًا فريدًا في كل مرة يقومون فيها بتسجيل الدخول، وتنتهي صلاحية الرمز، عادةً بعد 30 إلى 60 ثانية. لم يتم إرسال أي شيء إلى رقم الهاتف. وقال كيتون إن المصادقة موجودة على جهازك المحمول، لذلك إذا كان الهاتف محميًا بكلمة مرور وقمت بتشغيل التعرف على الوجه، فإن ذلك يقلل بشكل كبير من خطر وصول شخص ما إلى هذه الرموز.
وبطبيعة الحال، لا تزال هناك نقاط ضعف محتملة تعتمد على الحاجة إلى إدخال رمز، كما يقول سيدريك ثيفينيت، رئيس ونائب رئيس المبيعات والحلول السيبرانية في Capgemini Americas. على سبيل المثال، قد يتلقى شخص ما رسالة بريد إلكتروني من شركة أو مزود يتعامل معه عادة، ولكنها في الواقع محاولة تصيد احتيالي مقنعة بشكل جيد. وقال ثيفينيت إنه بفضل الذكاء الاصطناعي، أصبح من الصعب اكتشاف هذه الأنواع من رسائل البريد الإلكتروني التصيدية.
إذا قام أحد المستخدمين المطمئنين بالنقر فوق رابط ما، فقد ينقله ذلك إلى موقع ويب يبدو شرعيًا ولكنه ليس كذلك. يقوم الشخص بإدخال اسم المستخدم وكلمة المرور الخاصة به على موقع الهاكر، معتقدًا أنه موقع المزود، وعندما يُطلب منه رمز التوثيق، يكتب ذلك أيضًا. وأوضح Thevenet أن المتسلل لديه الآن حق الوصول إلى حساب ذلك الشخص.
فكر في الدفع بتطبيقات الهاتف المحمول لتحسين الأمان
ويعمل خيار المصادقة الأكثر أمانًا مع تطبيقات الأجهزة المحمولة على هاتف المستخدم. عندما يقوم المستخدمون بتسجيل الدخول إلى موقع ويب خاص ببنكهم أو مزود خدمة آخر، فإنهم يتلقون إشعارًا في التطبيق المقابل على هواتفهم، يطالبهم بالتحقق من هويتهم من خلال هذا الإشعار.
قال ألين إن طريقة التحقق هذه مستقلة عن الجهاز الذي قمت بتسجيل الدخول به وهي أفضل من الرسائل النصية القصيرة أو OTPs للمصادقة، ولكن هناك هجمات يمكن أن تعمل ضد هذه الطريقة أيضًا. يمكن للمتسلل أن يحاول بشكل متكرر تسجيل الدخول إلى حساب شخص ما باستخدام كلمة مرور مسروقة وسيتلقى المستخدم رسائل متعددة على هاتفه للتحقق. إذا كان الشخص لا ينتبه، أو يريد فقط التوقف عن الإزعاج، فيمكن للمتسلل النقر للتحقق، مما يتيح له الوصول إلى الحساب.
حدد مفتاح أمان الجهاز إن أمكن
الخيار الأفضل هو استخدام مفتاح أمان الأجهزة مثل Yubico. يمكن استخدام مفتاح واحد مع تطبيقات وخدمات متعددة. وقال ألين إنه من منظور أمني، فهو أفضل من الرسائل النصية القصيرة أو تطبيق المصادقة. ولكن هناك استثمار. يمكن أن تتراوح تكلفة المفتاح من 20 دولارًا إلى 60 دولارًا أو أكثر ويجب على الأشخاص توخي الحذر حتى لا يفقدوه.
وهذا ليس عمليًا في جميع المواقف. وقال Thevenet إن بائع التجزئة عبر الإنترنت لن يمنح كل عميل من عملائه مفتاحًا لأسباب تتعلق بالتكلفة والعملية.
أخرج كلمات المرور من المعادلة باستخدام كلمات مرور متعددة الأجهزة
على الرغم من أنه ليس بالضرورة بديلاً لمرة واحدة (OTP)، فإن استخدام كلمات مرور متعددة للأجهزة التي تحل محل الحاجة إلى كلمات المرور قد يزيد من صعوبة قيام المهاجم باقتحام حساباتك. تتكون كلمات المرور من “مفتاح خاص” مخزن على كمبيوتر المستخدم أو هاتفه وتشفير المفتاح العام، وفقًا لتحالف FIDO، وهو اتحاد صناعي مفتوح يركز على تقليل اعتماد العالم على كلمات المرور.
بالإضافة إلى إزالة بعض متاعب كلمات المرور، تعمل كلمات المرور أيضًا على حماية المستخدمين من هجمات التصيد الاحتيالي لأنها تعمل فقط على مواقع الويب والتطبيقات المسجلة. وقال ألين إنه لا تزال هناك بعض المخاوف الأمنية، لكنها على الأقل “تخرج كلمات المرور من المعادلة، وبالتالي تجعل من الصعب على المهاجم البدء في المقام الأول”.
من وجهة نظر تنظيمية، قد لا تكون مفاتيح المرور مؤهلة للمصادقة متعددة العوامل، كما قال ألين، ولكنها قد تظل أكثر أمانًا من استخدام كلمة المرور والرسائل النصية القصيرة.
توقع أن تكون OTPs عبر الرسائل القصيرة قيد الاستخدام
لدى المستخدمين مجموعة متنوعة من الخيارات لإدارة عمليات تسجيل الدخول الخاصة بهم عبر الإنترنت مع التركيز القوي على الأمان، بما في ذلك مديري كلمات المرور، ولكن جميعها تنطوي على مخاطر، وإلى حد ما، فإن المستهلكين مقيدون بطرق المصادقة التي يقدمها مقدمو الخدمات المختلفون.
داستي أندرسون، المدير الإداري لشركة Protiviti، الذي يقود ممارسة الهوية الرقمية للشركة، لديه عملاء ينفقون عشرات الآلاف من الدولارات شهريًا لإرسال كلمات المرور لمرة واحدة (OTP) عبر الرسائل القصيرة. وقال إنه على الرغم من المخاوف الأمنية، فإن العميل متمسك بالموقف، خائفًا من إحداث تغيير جذري، خاصة مع العملاء البارعين في التكنولوجيا الذين يرفضون استخدام شكل آخر من أشكال المصادقة.
وقال ثيفينيت إنه لهذا السبب ولأسباب أخرى، ستتواجد OTPs بشكل ما في المستقبل. وقال ثيفينيت إن الخيارات الأكثر شيوعًا أقل تكلفة وأسهل في الاستخدام، وعلى الرغم من بعض المخاطر، إلا أن هذه الأساليب لا تزال أفضل من كلمات المرور. “هل إرسال كلمة المرور لمرة واحدة (OTP) عبر الرسائل النصية القصيرة هو الحل الأفضل؟ لا. هل هو أفضل من كلمة المرور؟ نعم.”