تفعيل العامل الثاني عبر الـSMS من أفضل القرارات التي يمكنك اتخاذها اليوم. وهو أيضًا أول قرار ستضطر إلى مراجعته.
الأمران صحيحان في آنٍ واحد، وهنا تكمن كل صعوبة المسألة. النقاش عادةً ينحدر إلى معسكرين على القدر نفسه من الخطأ: من يعامل الـSMS كأنه أمان حقيقي، ومن يعامله كأنه مسرحية. الـSMS أفضل بكثير جدًا من لا شيء، وهو في الوقت نفسه أضعف العوامل الثانية الشائعة الاستخدام. لا تناقض هنا. هناك سُلَّم، والـSMS هو درجته الأولى — وهي أعلى بكثير من الأرض.
ما الذي يُحسنه الـSMS
من دون عامل ثانٍ، يتعلق حسابك بسرٍّ قد يكون يتداول منذ سنوات في تسريبٍ لا علاقة لك به من دون أن تدري. يأخذ أحدهم تلك القائمة، ويجربها في خدمة تلو الأخرى، وإن كنت قد أعدت استخدام كلمة المرور، دخل. هو لم يخترك أنت: صادف أن جاء دورك في جدول بيانات.
الـSMS يقطع هذا من جذوره. بمجرد وجود عامل ثانٍ، تتوقف مهاجمتك عن كونها إجراءً آليًا وتتحول إلى عملٍ موجَّه ضدك أنت. يجب أن يعرف من أنت، وأي رقم تستخدم، ومن يزودك به. كثيرون لا يجدون في ذلك ما يستحق العناء: هناك حسابات أسهل. لهذا، إن كانت خدمة ما لا تقدم سوى الـSMS، فالجواب نعم، بلا تحفظات. التحفظات تأتي بعد ذلك.
العطل ليس في هاتفك
يتخيل المرء أن كسر الـSMS يعني اعتراض الموجات، أو استنساخ الشريحة، أو زرع برمجية خبيثة في الجوال. لا شيء من ذلك ضروري. الهجوم الذي يسقط الحسابات فعلًا، والذي يتكرر مرة بعد مرة في القضايا المعلنة، هو SIM swapping، وهو يقوم على شيء أشد مللًا بكثير: يتصل أحدهم بشركة اتصالاتك، ويقول إنه أضاع الشريحة، ويجيب على بضعة أسئلة تحقق، ويطلب بديلًا. من تلك اللحظة، رسائلك تصل إليه.
انتبه لما لم يحدث هنا. لم يُكسر أي تشفير. لم يُمَسّ هاتفك. أنت لم تفعل شيئًا خاطئًا — ولم تنتبه أصلًا، إلا لأن خطك يصمت فجأة، وهذا، إن كنت نائمًا، قد يتأخر في لفت انتباهك. الـSIM swapping ليس هجومًا تقنيًا عليك: إنه هندسة اجتماعية على شركة اتصالاتك. الحلقة التي تنكسر هي موظف خدمة عملاء يتقاضى أجره على حل المشكلات بسرعة، وقد سُردت عليه للتو قصة قابلة للتصديق تمامًا، لأن ضياع الشريحة أمر يحدث للناس كل يوم. الحالات موثقة على نطاق واسع والنمط يتكرر برتابة لم تعد تفاجئ أحدًا.
المزعج أنه لا حيلة لك هناك: أمانك يتوقف على إجراءات التحقق لدى شركة لم تخترها لهذا السبب. وثمة عيب ثانٍ، أكثر صمتًا: رقم هاتفك ليس سرًّا. أعطيته لطبيب الأسنان، ولشركة الكهرباء، ولنصف من في دليل هاتفك. معرِّف توزعه بمزاجك يقوم هنا بدور بيانات الاعتماد.
الدرجة الثانية: تطبيق
الدرجة التالية هي TOTP — الأكواد المكونة من ستة أرقام التي تتبدل كل ثلاثين ثانية في تطبيق مثل تطبيقات Google أو Aegis أو 1Password أو Bitwarden.
الآلية أنيقة: الخدمة وتطبيقك يتشاركان سرًّا مرة واحدة فقط، عند الإعداد، ومنذ ذلك الحين يحسب كلاهما الكود نفسه انطلاقًا من ذلك السر ومن الوقت. لا يُرسل شيء. وهنا كل الفرق: إذا لم يسافر شيء، فلا شيء يمكن تحويل مساره. لا شركة اتصالات، ولا رقم، ولا أحد تتصل به لطلب بديل. الـSIM swapping لا يجد منفذًا يدخل منه.
قفزة كبيرة تكلفك خمس دقائق. لكنها ليست النهاية أيضًا، لأن الـTOTP يحتفظ ببقعة عمياء بشرية جدًا: الكود تكتبه أنت بيدك لمن يطلبه منك. إن كنت تكتبه في صفحة تشبه بنكك لكنها ليست هو، يلتقطه المهاجم ويعيد إرساله إلى الموقع الحقيقي في الثواني المتبقية من عمره. تطبيقك يولّد رقمًا؛ وهو لا يعرف أين تلصقه.
الدرجة التي لا تنخدع
المفتاح المادي — معيار FIDO/U2F، مفتاح USB أو NFC، أو الجوال نفسه وهو يقوم بدور المُصادِق — يحل هذا بالضبط. عند التسجيل يُنشئ زوج مفاتيح مربوطًا بالـorigin: بنطاق تلك الخدمة تحديدًا. وعند الدخول، يخبره المتصفح لأي نطاق يُطلب التوقيع، فيوقّع المفتاح تحديًا يحمل ذلك النطاق في داخله. وإن كانت الصفحة نسخة مستضافة في مكان آخر، فالنطاق لا يتطابق ولا يخرج توقيع تقبله الخدمة الحقيقية.
بعبارة أخرى: المفتاح ليس أذكى منك؛ هو فقط لا يثق في تقديرك. لا ينظر إلى القفل، ولا يقرأ الـURL، ولا يقيّم ما إذا كانت الرسالة تبدو شرعية. إنه يقارن سلسلة نصية بأخرى. إنه الحلقة الوحيدة التي لا تُقنعها قصة جيدة — وقد لاحظتَ في هذه المرحلة أن القصص الجيدة هي المشكلة بالضبط.
«مُقيَّد» ليست «ممنوع»
NIST، في SP 800-63B، يصنّف التحقق خارج النطاق عبر شبكة الهاتف — أي الـSMS — بأنه مُقيَّد. تستحق الكلمة وقفة، لأن هذا الفارق الدقيق هو المقال كله. مُقيَّد ليست ممنوع: إنها فئة وسيطة ومقصودة. يمكن الاستمرار في استخدامه، لكن من يستخدمه يتحمل التزامات: تقييم المخاطر، وإخبار المستخدمين بأن تلك القناة فيها ضعف معروف، ووجود خطة للانتقال إلى شيء أفضل.
موقف أذكى من الحظر، ويفسر لماذا لا يزال الـSMS واقفًا. آلية متوسطة يستخدمها الناس تحمي أكثر من آلية ممتازة لا يفعّلها أحد. لو مُنع غدًا في كل مكان، فإن جزءًا كبيرًا من تلك الحسابات لن يصعد درجة: سيبقى معها كلمة المرور وحدها، وهي الأرض.
ماذا تفعل، بالترتيب
- إن كانت خدمة ما لا تقدم سوى الـSMS، فعّله. اليوم. الدرجة الأولى هي التي تكسبك أكبر ارتفاع.
- وإن كانت تقدم TOTP، انتقل إلى TOTP واحذف الـSMS كاحتياطي إن سمحت لك. أمانك هو أمان أضعف طريقة تقبلها، لأن المهاجم هو من يختار من أين يدخل.
- وفي ما يهم فعلًا — البريد، والبنك، ومدير كلمات المرور — ضع مفتاحًا ماديًا. من البريد تتدلى رسائل «نسيت كلمة المرور» الخاصة بحياتك كلها.
- وإن كانت شركة اتصالاتك تسمح برمز PIN أو بحظر نقل الرقم، فضعه. لا يعالج أصل المشكلة، لكنه يعقّد استخراج البديل على من يتصل.
- ولا تنسَ العامل الأول. المصادقة الثنائية قفل ثانٍ، وليست عفوًا عن الأول: كلمة مرور طويلة وفريدة وخارجة من المولّد، وإن ساورك الشك في إحدى التي تستخدمها أصلًا، مرّرها على المدقّق.
الخلاصة مملة، ولهذا لا يكاد أحد يقولها: الـSMS سيئ، وينبغي أن تستخدمه إن لم يكن لديك غيره. الأمان الحقيقي لا يقوم تقريبًا أبدًا على اختيار الخيار المثالي، بل على معرفة أي الحلول الجيدة هو الأسوأ، واستخدامه ما دام ذلك ضروريًا، وألّا تخلط بينه وبين أنك انتهيت.
المصادر: NIST SP 800-63B، الذي يصنّف التحقق خارج النطاق عبر شبكة الهاتف العمومية (SMS أو صوت) بأنه أسلوب مُقيَّد، مع ما تستتبعه تلك الفئة من التزامات تقييم المخاطر وإخبار المستخدمين وخطة الانتقال · مواصفات FIDO/U2F وWebAuthn، وتحققها من الـorigin (النطاق) لحظة التوقيع · RFC 6238 (TOTP) · حالات SIM swapping المعلنة والموثقة على نطاق واسع في الصحافة وفي الإجراءات القضائية.