كيف ينجح المخترقين في تخطي المصادقة الثنائية

كيف ينجح المخترقين في تخطي المصادقة الثنائية

سمية غازي
تكنلوجيا، بيئة، علوم
19 أغسطس 2021

نعرف جميعًا أن كلمة المرور لم تعد كافية لحماية الحسابات عبر الإنترنت. خصوصًا بعدما كشفت دراسة حديثة عن حقيقة أن 80% من عمليات الاختراق الناجحة تحدث بسبب كلمات المرور الضعيفة، وهو رسّخ أهمية خاصية المصادقة الثنائية.

وتستخدم خاصية المصادقة الثنائية، والمعروفة اختصارًا باسم 2FA، في منع عمليات الاختراق وسرقة الحسابات. وبالفعل، أكثر من 99.9% من عمليات الاختراق الأوتوماتيكية تفشل بسبب هذه الخاصية.

وبالرغم من كفاءة هذه الطريقة إلا أنها لم تتمكن من منع المخترقين من إيجاد أكثر من طريقة للتغلب عليها. وهو ما تم من خلال تحصل على رموز التأكيد التي تصل للمستخدم عبر الرسائل النصية القصيرة SMS على هاتفه.

التغلب على المصادقة الثنائية

وظهور هذا الضعف الأمني لم يكن بسبب عيوب في الخاصية نفسها، بل في طريقة المصادقة الثنائية. وفي معظم الحالات تقوم الشركات بإتمام عملية المصادقة عبر رسالة نصية تصل لصاحب الهاتف، أو عبر مكالمة صوتية آلية.

وتعرف الرسائل النصيية القصيرة التقليدية بأنها واحدة من وسائل التواصل الأقل أمنًا. ولعل طريقة تبديل بطاقات SIM والمعروفة باسم SIM Swapping قد كانت الطريقة الأبرز في اختراق خاصية المصادقة الثنائية.

وذلك حيث يقوم المخترق بانتحال شخصية الضحية من خلال الحصول على رقم هاتفه. وفي هذه الحالة يمكن للمخترق أن يحصل على رموز المصادقة الثنائية ويستخدمها بحرية شديدة قبل أن يكتشف الضحية أنه فقد رقم هاتفه.

وإلى جانب ذلك، اختراق هاتف الضحية أو حتى استخدام تطبيق لعكس الإشعارات قد يسمح بالوصول لنفس الهدف. حيث يستلم المخترق نسخة من كل إشعار يستلمه صاحب الهاتف، بما في ذلك إشعارات رسائل SMS التي تضم رمز التأكيد.

وقد ظهرت طريقة ذكية جدًا لاختراق المستخدمين المعتمدين على المصادقة الثنائية بحرية وفعالية شديدة. وتعتمد الطريقة على خاصية تتيحها جوجل، وهي إمكانية تنصيب التطبيقات على الهاتف الذكي عبر متصفح الإنترنت على الحاسب الشخصي.

وبمجرد التوصل لكلمة مرور حساب جوجل الخاص بالضحية، يمكن أن يتم تنصيب تطبيق لعكس الإشعارات، وبخطوات بسيطة يمكن أن يتم تفعيل هذا التطبيق وجعله يرسل لك نسخًا من الإشعارات كما سلف الذكر.

وقد يلجأ المخترق لخداع المستخدم وجعله ينصب هذا التطبيق بنفسه. وذلك عبر إرساله له من هاتف صديق، أو الاتصال به من رقم رسمي لإقناعه بأن يقوم بتحميل التطبيق واستخدامه، والمزيد.

وقد نادت شركات رائدة مثل شركة مايكروسوفت بمنع الاعتماد على المصادقة الثنائية عبر الرسائل النصية القصيرة SMS وبدلًا من ذلك الاعتماد على تطبيقات المصادقة مثل Google Authenticator و Microsoft Authenticator.

والوسيلة الأخرى الأكثر أمنًا وسلامة هي الاعتماد على تنفيذ المصادقة الثنائية من خلال أجهزة وإكسسوارات فيزيائية تعتمد على منفذ USB.

اترك تعليق

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


شروط التعليق :ملاحظة هامة: الآراء الواردة في هذا الركن لا تمثل بالضرورة رأي أو توجه هيئة تحرير جريدة الثالثة، وإنما تعبّر عن رأي صاحبها فقط.