الأمان السيبراني وكلمات المرور المؤقتة: من الرسائل النصية إلى البدائل الأفضل
تاريخ النشر: 30th, July 2024 GMT
تُعد كلمات المرور المؤقتة المرسلة عبر الرسائل النصية وسيلة شائعة لتسجيل الدخول إلى التطبيقات على الهواتف المحمولة، وتعتمد عليها العديد من الشركات لتوفير الوصول، ولكن، يُجمع خبراء الأمن السيبراني على أن هذه الرموز تعاني من عدة مشكلات أمنية تتطلب النظر في بدائل أكثر أمانًا.
كيف يمكن اختراقك عبر الرموز المؤقتة؟الرموز المؤقتة التي تُرسل عبر الرسائل النصية عرضة لعدة تهديدات:
التصيد الاحتيالي: يمكن للمهاجمين إرسال رسائل احتيالية تطلب من المستخدم إدخال الرموز المؤقتة في مواقع مزيفة.سرقة بطاقة SIM: قد يتمكن المهاجمون من سرقة بطاقة SIM الخاصة بك للحصول على الرسائل النصية.اعتراض الرسائل: حتى وإن كان هاتفك بحوزتك، يمكن للمهاجمين اعتراض الرسائل النصية.
تقول تريسي كيتن، مديرة الاحتيال والأمن في Javelin Strategy & Research: «يمكنك طلب رسالة نصية من البنك وإعادة إرسالها، دون أن تدرك أن شخصًا آخر قد يتلقاها. وقد يستغرق الأمر 45 دقيقة لتدرك الخطأ، وفي تلك اللحظة يكون الأوان قد فات».
تطبيقات المصادقة: الخيار الأفضللتحسين الأمان، يُوصى باستخدام تطبيقات المصادقة مثل Google Authenticator أو Microsoft Authenticator:
كيف تعمل؟: تتلقى رمزًا فريدًا في كل مرة تسجل فيها الدخول، مما يقلل من المخاطر المرتبطة بالرسائل النصية.مزاياها: لا تُرسل أي بيانات إلى رقم الهاتف، مما يجعلها أكثر أمانًا من الرسائل النصية.ومع ذلك، تظل هناك نقاط ضعف، مثل خطر هجمات التصيد الاحتيالي التي قد تخدع المستخدمين لإدخال الرموز في مواقع مخترقة، كما يوضح سيدريك ثيفينيت، نائب الرئيس في Capgemini Americas.
الإشعارات المحمولة: أمان إضافيتعتبر الإشعارات المحمولة خيارًا أكثر أمانًا:
كيف تعمل؟: يتلقى المستخدم إشعارًا عبر التطبيق لتأكيد هويته عند تسجيل الدخول، مما يجعله مستقلًا عن الجهاز المستخدم.مزاياها: تجعل عملية تسجيل الدخول أكثر أمانًا مقارنة بالرسائل النصية.ومع ذلك، يمكن للمخترقين استغلال هذه الطريقة عن طريق إرسال إشعارات متعددة، مما قد يؤدي إلى النقر العشوائي والموافقة على دخول المخترق.
المفاتيح الأمنية: الخيار الأمثلتُعتبر المفاتيح الأمنية المادية، مثل مفتاح Yubico، الخيار الأكثر أمانًا:
كيف تعمل؟: يتم استخدامها مع تطبيقات وخدمات متعددة، وتوفر حماية أقوى من الرسائل النصية أو تطبيقات المصادقة.مزاياها: تعتبر الأكثر أمانًا رغم تكلفتها وعدم ملاءمتها في كل المواقف. كلمات المرور المتعددة الأجهزة ومستقبل المصادقةتُعتبر كلمات المرور المتعددة الأجهزة، التي تستخدم مفتاحًا خاصًا مخزنًا على جهاز المستخدم ومشفرة، خيارًا أمنيًا ممتازًا:
مزاياها: تحمي من هجمات التصيد الاحتيالي وتقلل من الحاجة إلى كلمات المرور التقليدية.استمرار استخدام الرموز المؤقتة عبر الرسائل النصيةعلى الرغم من المخاطر، يظل استخدام الرموز المؤقتة عبر الرسائل النصية شائعًا:
السبب: سهولة الاستخدام وتكلفتها المنخفضة.تحديات التغيير: بعض العملاء يفضلون عدم التغيير بسبب عدم الإلمام بالتكنولوجيا، مما يجعل الرموز النصية تستمر في الاستخدام في المستقبل المنظور، كما تقول داستي أندرسون، المدير الإداري في Protiviti.تُعتبر الرموز المؤقتة عبر الرسائل النصية مريحة، فإنها ليست الخيار الأكثر أمانًا، يُنصح بالانتقال إلى بدائل أكثر أمانًا مثل تطبيقات المصادقة أو المفاتيح الأمنية لتعزيز الحماية ضد التهديدات السيبرانية.
المصدر: بوابة الفجر
كلمات دلالية: الأمان السيبراني الرسائل النصية كلمات المرور عبر الرسائل النصیة کلمات المرور أکثر أمان ا
إقرأ أيضاً:
لماذا كان تطبيق Signal خياراً غير آمن لتبادل الخطط السرية؟ وما هي بدائل المراسلة الأكثر أماناً؟
في ظل الجدل المستمر حول مشاركة خطط الهجمات الأمريكية عبر تطبيق Signal، بات أمن تطبيقات المراسلة محط اهتمام وتدقيق كبيرين.
بعد ثلاثة أيام فقط من إدلاء وزير الدفاع الأمريكي بيت هيغسيث بتصريحات على شاشة التلفزيون الوطني قال فيها إن الولايات المتحدة "لم تعد تبدو كالحمقى"، اتضح أنه كان ضمن مجموعة من كبار المسؤولين الذين أرسلوا عن غير قصد خططًا لعملية عسكرية في اليمن إلى أحد الصحفيين.
ضمّت المجموعة، التي كانت تناقش معلومات حساسة للغاية عبر منصة "سيغنال"، إلى جانب هيغسيث، نائب الرئيس جيه دي فانس، ووزير الخارجية ماركو روبيو، ومستشار الأمن القومي مايكل والتز.
وصفت الواقعة بأنها خرق أمني "خطير"، حيث أصدر المشرعون الديمقراطيون إدانات شديدة اللهجة. في المقابل، أكد الرئيس دونالد ترامب أنه "لا يعلم شيئًا عن الحادثة"، فيما زعم فريقه أن السبب يعود إلى "خلل تقني" أدى إلى إدراج الصحفي جيفري غولدبرغ عن طريق الخطأ ضمن سلسلة الرسائل التي تحمل اسم "مجموعة صغيرة من الحواسيب الشخصية".
Related"خلل بسيط".. هكذا وصف ترامب فضيحة نشر خطة العمليات العسكرية على سيجنال فضيحة أمنية في واشنطن والديموقراطيون يطالبون باستقالة وزير الدفاعفضيحة أمنية.. خطط عسكرية أمريكية ضد الحوثيين تصل إلى صحفي من "ذي أتلانتيك" عن طريق الخطأيقول كالوم فوغ، مدير الشؤون الحكومية والمناصرة في جمعية الإنترنت، إن منصة "سيغنال"، رغم كونها مشفرة وآمنة تقنيًا، تظل "مليئة بالمخاطر" المرتبطة بالأخطاء البشرية وبرامج التجسس، ولم تكن الخيار المناسب لهذا النوع من المحادثات.
ويضيف أن الحكومات تعتمد بروتوكولات محددة لحماية المعلومات السرية، والتي تنص عادةً على أن هذه المعلومات لا يمكن مشاركتها إلا في ظروف معينة. لذلك، عندما يشير البعض إلى أن "سيغنال" ليس مناسبًا لتبادل أسرار الدولة، فإن الأمر لا يتعلق فقط بهذا التطبيق تحديدًا، بل يشمل أي تطبيق مراسلة موجه للمستهلكين، سواء كان "واتساب" أو "سيغنال" أو "تيليغرام"، إذ يشكل كل منها مخاطر محتملة.
ويؤكد أن الخطر الأساسي يكمن في أن تطبيق "سيغنال" متاح للجمهور العام ويستخدمه ملايين الأشخاص حول العالم.
وأشار إلى أنه "يمكن لأي شخص في العالم إنشاء حساب على منصة سيغنال. وبالتالي، قد يتم إضافة فرد لا يحمل تصريحًا أمنيًا عن طريق الخطأ إلى محادثة جماعية. هذه إحدى الطرق التي قد تتسرب بها المعلومات السرية، سواء كان ذلك نتيجة الصدفة أو خطأ بشري أو بفعل متعمد."
ويكمل فوغ كلامه أنه "علاوة على ذلك، يُستخدم سيغنال على الأجهزة الشخصية، مما يجعله عرضة لخطر برامج التجسس. هذه البرامج قادرة على تسجيل النشاطات على الجهاز في الزمن الفعلي وإرسالها إلى طرف ثالث. لذا، حتى لو كان تطبيق سيغنال هو الأكثر أمانًا على مستوى التشفير، فإن وجود برامج تجسس على الهاتف يمكن أن يؤدي إلى تسريب المعلومات."
تحذيرات من أن سيجنال كان هدفاً للمخترقينأصدرت وزارة الدفاع الأمريكية، بعد أيام قليلة من حادثة تسريب محتوى دردشة تطبيق "سيغنال"، مذكرة على مستوى الوزارة تحذر فيها من أن مجموعات القرصنة الروسية المحترفة تستهدف التطبيق بنشاط.
ووفقًا للمذكرة، كان المهاجمون يستغلون خاصية "الأجهزة المرتبطة" في "سيغنال"، وهي وظيفة شرعية تتيح للمستخدمين الوصول إلى حساباتهم عبر أجهزة متعددة، بهدف التجسس على المحادثات المشفرة.
"إذا تعرض الجهاز للاختراق - سواء عبر البرمجيات الخبيثة أو الوصول غير المصرح به أو برامج التجسس المتطورة مثل Pegasus - يصبح التشفير عديم الجدوى. يمكن للمهاجمين مراقبة جميع الأنشطة على الجهاز والتقاطها في الزمن الفعلي، بما في ذلك الرسائل أثناء كتابتها." غوستافو أليتو خبير الأمن السيبراني في شركة إيكوانس بي لوكسو"تعتمد فعالية تطبيق سيغنال على مدى أمان الجهاز المستخدم. الأمر يشبه تركيب نظام إنذار متقدم في منزل لا يحتوي على أبواب"، كما أوضح غوستافو أليتو، خبير الأمن السيبراني في شركة إيكوانس بي لوكس.
ويقول أليتو: "إذا تعرض الجهاز للاختراق - سواء عبر البرمجيات الخبيثة أو الوصول غير المصرح به أو برامج التجسس المتطورة مثل Pegasus - يصبح التشفير عديم الجدوى. يمكن للمهاجمين مراقبة جميع الأنشطة على الجهاز والتقاطها في الزمن الفعلي، بما في ذلك الرسائل أثناء كتابتها."
وأوضح، أن"التطور اللافت في هذه الحالة هو أن التقارير تشير إلى أن تطبيق سيغنال كان مثبتًا مسبقًا على أجهزة الحكومة الأمريكية. وعلى الرغم من أن ذلك يعكس دعمًا مؤسسيًا لاستخدام الاتصالات المشفرة، إلا أنه أثار مخاوف جديدة."
وأكد أليتو، أنه "ربما دفع توفر سيغنال على نطاق واسع المسؤولين إلى افتراض أنه مصرح باستخدامه لإجراء مناقشات سرية، على الرغم من التحذيرات السابقة الصادرة عن وكالة الأمن القومي ووزارة الدفاع بشأن عدم ملاءمته للأمور الحساسة."
سيغنال، وي تشات، واتساب، تيليغرام: ما هي المنصة الأكثر أمانًا؟في الطرف الأدنى من الطيف، من حيث الحماية، توجد المنصات التي تفتقر إلى التشفير من طرف إلى طرف أو لا تفعّله افتراضيًا، مما يجعل الرسائل أكثر عرضة للخطر.
وفقًا لفوغ، "التشفير من طرف إلى طرف يعني أن الرسائل مشفرة بين نقطتين: هاتف المرسل وهاتف المستقبل. أثناء نقل المحادثة أو الرسالة بين هاتين النقطتين، لا يمكن لأي طرف ثالث فك تشفيرها، بما في ذلك مزود الخدمة."
ويوضح أنه وعلى سبيل المثال، تطبيقات مثل WeChat لا توفر تشفيرًا من طرف إلى طرف، مما يعني أن الرسائل قد تكون متاحة لمزود الخدمة أو السلطات الحكومية، وهو مصدر قلق كبير في دول مثل الصين.
وبالمثل، لا يشفر تطبيق تيليغرام الدردشات الجماعية أو حتى الدردشات الفردية بشكل افتراضي؛ يجب على المستخدمين تمكين "الدردشات السرية" يدويًا للحصول على حماية من طرف إلى طرف. نتيجة لذلك، تكون الرسائل على هذه المنصات أكثر عرضة للاعتراض.
وأشار لفوغ إلى أنه في المقابل، توجد تطبيقات ذات مستوى عالٍ من الأمان، مثل سيغنال وواتساب، وإلى حد ما iMessage، والتي توفر تشفيرًا من طرف إلى طرف افتراضيًا.
من بين هذه التطبيقات، يتميز تطبيق سيغنال ببروتوكوله المفتوح المصدر، وحوكمته غير الربحية، والحد الأدنى من الاحتفاظ بالبيانات الوصفية، بالإضافة إلى توفير تشفير افتراضي للرسائل والمكالمات والمحادثات الجماعية.
وعلى الرغم من أن واتساب يستخدم بروتوكول سيغنال للتشفير، إلا أنه مملوك لشركة ميتا ويحتفظ بكميات أكبر من البيانات الوصفية، وهو ما يُعتبره البعض ثغرة محتملة. أما iMessage، فيُعد آمنًا من الناحية التقنية، لكنه نظام مغلق المصدر ومخصص حصريًا لأجهزة آبل، مما يحد من الشفافية والتدقيق الخارجي.
لهذا السبب، يُنظر إلى تطبيق سيغنال على نطاق واسع باعتباره المعيار الذهبي للرسائل المشفرة. ومع ذلك، كما رأينا مؤخرًا، فإنه ليس بمنأى عن المخاطر الناتجة عن خطأ المستخدم أو اختراق الجهاز أو سوء الاستخدام في بيئات تتطلب اتباع بروتوكولات اتصال سرية.
"مثل أي شركة تقنية، تقوم سيغنال بمراجعة منتظمة لأجزاء مختلفة من تطبيقها، مثل آليات التحقق من أرقام الهواتف أو إضافة أجهزة جديدة. في بعض الأحيان يتم اكتشاف مشكلات، وتستجيب الشركة بإصدار تصحيحات أمنية، والتي يتم نشر تفاصيلها على موقعها الإلكتروني."
"على سبيل المثال، ظهرت ثغرة أمنية حديثة مرتبطة بروسيا. كان الهجوم عبارة عن عملية تصيد احتيالي استهدفت مستخدمين في أوكرانيا: حيث أرسل المهاجمون رموز QR مزيفة لخداع الأشخاص للانضمام إلى مجموعات Signal. عند مسح الرمز ضوئيًا، كان الجهاز الجديد يرتبط بحساب الضحية، مما يؤدي عمليًا إلى اختطاف الحساب."
"لم يكن هذا الخلل متعلقًا ببروتوكول التشفير نفسه، بل بكيفية تعامل سيغنال مع ربط الأجهزة. استجابت الشركة بتحديث أمني الآن، لإضافة جهاز جديد، يتعين على المستخدم التحقق عبر معرف الوجه أو معرف اللمس."
ما هي أفضل طريقة لإرسال الرسائل بأمان؟إذن، ما الذي كان يجب أن يقوم به هيغسيث وفانس ووالتز وبقية المجموعة بدلاً من استخدام تطبيق سيغنال؟
من شبه المؤكد أن الحكومة الأمريكية تمتلك أنظمة خاصة مخصصة للتعامل مع المعلومات السرية. و"يُتوقع عادةً أن يستخدم المسؤولون الحكوميون أجهزة وأنظمة غير متاحة للعامة. يمكن تصور منصة يمكن تحميلها فقط من قبل المسؤولين الحكوميين، مع مستويات تصنيف مدمجة، مثل السري والسري للغاية."
علاوة على ذلك، يُفترض وجود "بيئة حكومية حيث يدخل المسؤولون إلى غرفة آمنة ويتركون أجهزتهم الشخصية، ثم يستخدمون جهاز كمبيوتر خاص غير متصل بالإنترنت للوصول إلى المعلومات الحساسة."
"وبسبب طبيعة السفر، قد تكون هناك شبكات أو تطبيقات حكومية يمكن الوصول إليها فقط عبر أجهزة توفرها الحكومة للموظفين المصرح لهم. هذه الأنظمة ليست متاحة للعامة، ومن المرجح أن تحتوي على آليات مدمجة لإدارة مستويات التصنيف."
أو، كما يوضح أليتو، "نظام مشفر من طرف إلى طرف معتمد من الحكومة ومصمم خصيصًا للاتصالات السرية. المنصات الآمنة مثل بروتوكول التشغيل البيني للاتصالات الآمنة (SCIP) التابع لوكالة الأمن القومي أو الشبكات السرية مثل SIPRNet وJWICS تتناسب بشكل أفضل مع متطلبات الأمن والتشفير للمؤسسات الحكومية."
يجب أن يتيح النظام أيضًا الاحتفاظ بسجلات المحادثات، وهو أمر مرتبط بقوانين حفظ السجلات.
"بعض الحكومات تطلب من صانعي السياسات الاحتفاظ بسجل لرسائلهم أو بريدهم الإلكتروني. لكن سيغنال يتضمن ميزات مثل اختفاء الرسائل. لذلك، إذا استخدمه المسؤولون الحكوميون، قد يؤدي ذلك إلى فقدان سجل الاتصالات، مما قد يتعارض مع قوانين الشفافية والمساءلة."
انتقل إلى اختصارات الوصولشارك هذا المقالمحادثة مواضيع إضافية بأثر فوري.. الحكم على مارين لوبان بالسجن النافذ سنتيْن وبمنعها من الترشح لأي منصب عام مدة 5 سنوات عيد مبارك بكل اللغات... شبكة يورونيوز تتقدم لكم بأسمى التهاني بمناسبة عيد الفطر خمسة أشياء لا يجب مشاركتها مع روبوت دردشة GPS الولايات المتحدة الأمريكيةدونالد ترامبتحقيقتطبيق
قبل انطلاقه غدا.. أعضاء لجنة تحكيم مهرجان SITFY-Georgia يصلون مطار تبيلسي