الرسائل النصية والمصادقة الثنائية: ما يجب أن تعرفه كل شركة

نظرًا لأن المجرمين أصبحوا أكثر اجتهادًا في جهودهم لاختراق دفاعات المستخدمين ، يجب أن تصبح الشركات أكثر نشاطًا في الحفاظ على سلامة البيانات الخاصة بهم.

قد يتفاعل العملاء ، الذين اعتادوا أكثر على إرسال بريد إلكتروني كما لو كان يتم إرسالها بالبريد ، بشكل غير مريح لأي خطوات إضافية مطلوبة. لحسن الحظ ، أصبح العملاء على دراية أفضل وأصبحت العملية أسهل.

الهدف هو جعل التحديد الثنائي أسهل ما يمكن للمستخدمين النهائيين مع التأكد في نفس الوقت من صعوبة تجاوز الأوغاد.

تبدو هائلة؟ الاسترخاء! تم تطوير المصادقة الثنائية ( 2FA ) لمكافحة هؤلاء المحتالين الأذكياء.

كيف يعمل؟

تضيف المصادقة الثنائية طبقة إضافية إلى بروتوكولات المصادقة. يمكن أن يأتي في أشكال عديدة. في بعض الأحيان يكون ذلك من خلال المقاييس الحيوية ، مما يتطلب أن يكون الصوت أو بصمة الإصبع أو فحص شبكية العين أو أي عنصر فريد آخر جزءًا من المزيج.

هذه تحتاج إلى حفظ سجلات مكثف وتخزين معلومات التعريف الشخصية (PII) ، والتي يمكن أن تضيف بشكل كبير إلى النفقات العامة ، فضلاً عن التسبب في مخاوف أمنية إضافية في حالة تعرض هذا التخزين للخطر.

ومع ذلك ، في حين أن مثل هذه التقنيات ممكنة ، فهي ليست عملية في معظم الحالات. بدلاً من ذلك ، تُصدر مؤسسات مثل البنوك بطاقات هوية فريدة (على سبيل المثال) لتشغيل ماكينة الصراف الآلي (ATM). هذه البطاقات غير مجدية بدون رقم التعريف الشخصي (رقم التعريف الشخصي).

يعتمد هذا الأمان على وجود عنصر معين ودمجها مع جزء معين من المعرفة. يمكن أن تُفقد البطاقات المصرفية عند سرقة المحفظة أو في غير محلها ، ولكن البطاقات نفسها لا فائدة منها بدون رقم التعريف الشخصي.

تعمل المصادقة الثنائية على تعزيز نموذج "اسم المستخدم" و "كلمة المرور" التقليديين.

فوائد المصادقة الثنائية

لقد وجدت العصابات المنظمة ، أو حتى المجرمين المنفردين ، استراتيجيات لخداع الأشخاص الأذكياء لاتخاذ بعض القرارات السيئة بشكل لافت للنظر ، مثل منح وصول آمن للغرباء أو مشاركة كلمات المرور.

2FA من خلال الرسائل القصيرة تجعل العملية صعبة بما فيه الكفاية بالنسبة للمجرمين لدرجة أن الغالبية منا بشكل عام غير مهتمين بجذب الانتباه.

القضاء على خطوة

لقد كانت إنترنت الأشياء ، أو إنترنت الأشياء ، نعمة عظيمة للإنسانية (وكذلك لعنة ، في بعض الحالات). هذا يعني أن 5 مليارات هاتف ذكي قيد الاستخدام حاليًا بالإضافة إلى عدد لا يحصى من الأجهزة الأخرى التي يمكنها استقبال رسائل SMS.

وفقًا للتقديرات الحالية ، يحمل 21/2 مليار من سكان الأرض هاتفًا ذكيًا واحدًا على الأقل (بخلاف جميع أجهزتنا الأخرى).

إنه معنا طوال الوقت تقريبًا ، في متناول اليد ، وقد أصبحنا نعتمد عليه تمامًا.

لا يتعين على خدمات المصادقة الثنائية (2FA) إصدار أدوات تعريف سرية ؛ ولا يتعين عليهم تخزين المعلومات غير الضرورية حول الأفراد.

لا يزال بإمكاننا امتلاك أسماء وكلمات مرور ، ولكن الآن ، بعد أن حددنا أنفسنا ، يمكن للخدمة استخدام مصادقة الرسائل القصيرة لإرسال رسالة نصية إلينا برقم تعريف شخصي مؤقت تنتهي صلاحيته خلال دقيقة أو دقيقتين فقط.

أنت الآن تعرف شيئًا ما (الاسم وكلمة المرور) ولديك شيئًا (هاتفك) ، حتى تتمكن من المتابعة. ما الذي يمكن أن يكون أسهل؟

المخاوف بعيدًا ، سيستخدمها العملاء

تعتقد بعض الشركات أن العملاء سوف يثورون ويأخذون أعمالهم إلى مكان آخر. كدليل ، غالبًا ما يشيرون إلى حقيقة أن 10٪ فقط من مستخدمي Gmail يقومون بتشغيل 2FA - أو بشكل أكثر تحديدًا ، 90٪ لا يقومون بذلك .

أثناء استخدام المصادقة الثنائية (2FA) هو بلا شك فكرة جيدة ، يجب أن تكون على دراية بالنموذج الموجود هنا. غالبًا ما يستخدم الأشخاص شركة أمان أو خدمة بريد إلكتروني خاصة بمزود خدمة الإنترنت لبريدهم "المهم" ، و Gmail لامتصاص الرسائل الاقتحامية (SPAM) وتوفير الاتصال بمواقع الويب غير الموثوق بها.

أولئك الذين يستخدمونه لـ "كل شيء" يميلون إلى الاهتمام أكثر ؛ بالنسبة للباقي ، فإنه لا يستحق الجهد الإضافي.

يطلب العملاء الآن 2FA للمعاملات المالية

عندما يتعلق الأمر بتحويل الأموال ، من ناحية أخرى ، يميل العملاء إلى أن يكونوا أكثر خصوصية ويستفيدون من تدابير الأمان الإضافية.

إذا كنت لا تقدم خدمات مصادقة الرسائل القصيرة ، فسوف ينتقلون إلى مزود آخر. تتطلب مواقع الويب الشهيرة مثل Amazon و LinkedIn و PayPal و DropBox المصادقة الثنائية (2FA) للمعاملات المالية من أجهزة غير معروفة ، أو لتبادل معلومات تحديد الهوية الشخصية (PII).

للراحة ، ستجد في كثير من الأحيان مربعات اختيار صغيرة تقول "ثق بهذا الجهاز" ، مما يعني أن المعاملات المستقبلية من خلال هذا الجهاز يتم الوثوق بها تلقائيًا.

إذا اقترضت جهازًا لوحيًا لأحد الأصدقاء لتسجيل الدخول إلى حسابك المصرفي ، فستتم مطالبتك بالحصول على رمز مصادقة لمرة واحدة ومحدود زمنيًا ، ولكن على جهازك المسجل ، سيكون الأمر مجرد مسألة استخدام كلمة مرورك واسمك المعتاد.

تتطلب بعض المواقع أن تصدق على جهاز مرة واحدة فقط ؛ أخرى شهريًا أو سنويًا. تتطلب المواقع عالية الأمان المصادقة الثنائية (2FA) عند كل تسجيل دخول.

تحديات المصادقة الثنائية

2FA ليس حلاً سحريًا لأن المتسللين الخبراء يمكنهم اعتراض الرسائل القصيرة وإعادة توجيه المكالمات الفورية - كل هذا لإرسال الكود الناتج إلى مكان آخر.

ومع ذلك ، "لا داعي للذعر!" ، كما نصحنا دوجلاس نويل آدامز ذات مرة. يتطلب الأمر قدرًا هائلاً من العمل ، وعادة ما يقتصر على الموظفين غير الشرفاء داخل مزود خدمة GSM ، لخلق فرص الاستغلال هذه.

عندما يكون هناك مكسب كبير يمكن تحقيقه ، يكون المحتالون على استعداد لبذل المزيد من الجهد.

أولئك الذين ينقلون عشرات الآلاف أو الملايين (أو في حالة المشاهير ، كل صورهم العارية) يحتاجون إلى اتخاذ احتياطات إضافية ، لكن هذا لا يعني غالبية السكان.

بعض الأنظمة ضعيفة في جوهرها أو تخضع للحراسة من قبل ممثلي خدمة العملاء الذين هم قلقون جدًا لإعادة تعيين كلمات المرور. من الأفضل على الأرجح الالتزام بشركات حسنة السمعة تستخدم خدمة تحمل علامة تجارية.

بالطبع ، يمكن أن تكون المصادقة الثنائية (2FA) مشكلة بالنسبة للأشخاص الذين يشعرون بأنهم ملزمون بالحصول على هاتف ذكي جديد كل عام. يجب عليهم تحديث جميع حساباتهم ، وتحديد الجهاز الجديد (إضافة أذونات جديدة وحذف أذونات قديمة) ، قبل أن يتمكنوا من الوصول إليها بسلاسة. هذه هي تكلفة الحصول دائمًا على أحدث التقنيات ...

المزيد من الأدوات للمصادقة الثنائية (2FA)

قد تعتقد أن هناك أدوات أفضل يمكن الحصول عليها. هناك أدوات تطبيق ، مثل Google Authenticator (انظر مثال اختبار العمل هنا) ، والتي تعد إثباتًا ضد "اعتراض الرسائل القصيرة" ، أو إذا كنت من محبي Apple ، فقم بإشعارات PUSH التي لا تستخدم نظام الرسائل القصيرة أيضًا.

يمكنك استخدام شيء من هذا القبيل إذا كان يروق لك. في البيئات عالية الأمان ، توجد أدوات أقوى ، ويتم استخدامها بشكل متكرر عند الضرورة.

ربما تكون قد سمعت عن جهاز مفتاح فوب يشبه USB يقوم بإنشاء كلمة مرور عشوائية عند الطلب ، على سبيل المثال. هذا مفيد لمنظمة ما ولكنه أقل فائدة في التعامل مع آلاف الأعضاء من عامة الناس.

الوجبات الجاهزة

كل هذه أنظمة رائعة وتغلب على أي نقاط ضعف متصورة في 2FA التي تعتمد على الرسائل القصيرة. ومع ذلك ، فإن الحقيقة هي أن نقاط الضعف المذكورة طفيفة وليست جوهرية بالضرورة. يقع اللوم دائمًا تقريبًا على تنفيذ البروتوكولات من قبل شركات الاتصالات الفردية.

ستصبح هذه العيوب أكاديمية بمرور الوقت بينما نتحرك نحو القضاء على الثغرات الأمنية في البروتوكولات المستغلة مثل SS7 (المستخدمة لتمكين التجوال على شبكات الهاتف المختلفة).

تعد الرسائل القصيرة خيارًا ممتازًا لأن الناس يفهمونها جيدًا بالفعل ، فهي موجودة في كل مكان وتعقد حياة القراصنة.

احموا أنفسكم وعملائك ، كما فعلنا مع Cloud Data Service ، وهي وكالة لتطوير الويب والبرمجيات تعتمد على أمان SMS 2FA للتأكد من أن معلومات عملائها تظل سرية.

إذا كنت تريد قناة اتصال موثوقة وآمنة لعملائك ، فتواصل مع أحد خبراء TextMagic لدينا عبر نموذج الاتصال عبر الإنترنت الخاص بنا أو سجل للحصول على نسخة تجريبية مجانية ، حتى تتمكن من معرفة كيفية عملها بنفسك!