يتسابق حماة الأمن السيبراني والقراصنة الإلكترونيون على ملكية البيانات، مع كل تطور في الأنظمة الأمنية التي تحمي بيانات المؤسسات والأفراد المهتمين في حماية بياناتهم الشخصية يبتكر المقرصنون طرقًا جديدة لخرق التحصينات والنيل من البيانات والتي هي أثمن موارد هذا العصر.
يتناول هذا المقال واحدًا من أهم الابتكارات في مجال أمن المعلومات وهو ”التوثيق ثنائي العامل“ Two Factor Authentication الذي ازداد استخدامه في شتى التطبيقات والمواقع. التوثيق ثنائي العامل هو خطوة إضافية للتعريف عن المستخدم، وذلك عن طريق إنشاء رمز مكون غالبًا من ستة أرقام ويرسل إما عبر البريد الإلكتروني أو في رسالة نصية قصيرة أو عبر تطبيق على الهاتف. يصلح الرمز للاستخدام لمرة واحدة فقط، والخوارزمية الرئيسية المطبقة لهذه العملية هي HMAC-SHA1.
واحدة من الأمثلة في الحياة العملية لأغلب الأشخاص لتوضيح هذه الطريقة للتوثيق هي زيارتك للصراف الآلي، قبل أن تسحب النقود يُطلب منك إدخال بطاقة الصراف وبعدها إدخال رمز مكون من أربعة أرقام. فَكّر في عملية التوثيق ثنائي العامل على أنها تلك العملية الإضافية التي تطلبت منك أن تدخل الرمز بعد إدخال بطاقة الصراف الآلي، بطاقة الصراف الآلي في هذه المقارنة هي اسم المستخدم وكلمة المرور، أما الرمز فهو مثل الرمز الذي يرسل لك عبر البريد الإلكتروني أو عبر خدمة الرسائل القصيرة.
عملية التوثيق ثنائي العامل تجرى بطرق مختلفة وفي ما يلي توضيح الفروق في آلية عملهم، وميزات وشروط كُلٍّ منها.
كلمة مرور لمرة واحدة:
OTP هو اختصار لمصطلح One-Time Password أي كلمة مرور لمرة واحدة، وهو كما يتضح في اسمه صالحٌ للاستخدام مرة واحدة فقط، ويعاد إنشاؤه من جديد مع كل عملية دخول. كيف يتم إنشاء هذا الرمز وما المدخلات اللازمة لهذه العملية؟ لنفرض أنك تريد تفعيل التوثيق ثنائي العامل على حسابك في موقع جيت هاب، سيطلب منك إدخال اسم المستخدم وكلمة المرور ثم سيتأكد إذا كانت موجودة في قاعدة البيانات وبعد ذلك يفتح لك صفحة لإدخال الرمز الذي يرسله لك التوثيق ثنائي العامل بالاعتماد على شيئين هما «البذرة» و«العامل المتحرك». البذرة هي عبارة عن مفتاح سري يتم إنشاؤه عند إنشاء حساب جديد . أما بالنسبة للعامل المتحرك فهو عَدّاد يقوم بزيادة العدد مع كل عملية التوثيق ثنائي العامل. هذه الآلية تعمل فقط في HOTP ولكن تختلف بالنسبة إلى TOTP
ما هو الـ HOTP :
هذه الخوارزمية تستند ل(رمز مصادقة الرسالة استنادًا على التجزئة ذات المفتاح أو رمز مصادقة الرسالة استنادًا على التجزئة هاش) وهي نوع من انواع رمز توثيق الرسالة (MAC) وتستخدم للتحقق من سلامة البيانات ومن صحة الرسالة في الوقت ذاته.
كلمة مرور مؤقتة:
TOTP اختصار Time-based One-Time Password وهي كلمة مرور لمرة واحدة ولكنها مؤقتة، بخلاف HOTP يتم احتساب العامل المتحرك في نافذة زمنية تتراوح مدتها بين الثلاثين والستين ثانية، يجب على المستخدم إدخال الرمز الناتج من هذه العملية خلال هذه الفترة وإلا لن يعود قابلًا للاستخدام إلا إذا تكررت عملية التوثيق مجددًا.
أفضلية كلمة المرور المؤقتة على الرسائل النصية؟
تستخدم كلمة المرور المؤقتة عن طريق تطبيقات مثل Google Authenticator وتطبيق FreeOTP مفتوح المصدر مما يجعله أكثر أمانًا من خدمة الرسائل النصية القصيرة، وتوفّر بعض المواقع تطبيقها الخاص للتوثيق ثنائي العامل مثل موقع تويتش. هذه الخطوة تجعل قدرة المخترقين على تنفيذ الهجمات التي تعترض الرسائل النصية بلا قيمة. إذا أُرسِل الرمز عن طريق الرسائل النصية القصيرة ثم تأخر المستخدم في إدخاله كأن يستغرق عشر دقائق قبل أن تتم عملية التوثيق فهذا يعد وقتًا كافيًا لسرقة الرمز واستعماله من قبل شخص آخر، بينما تقتصر المدة الزمنية لكلمة المرور المؤقتة على تلك التطبيقات من ثلاثين إلى ستين ثانية وبعدها يعيد توليده من جديد وهذا حتمًا يُصعّب على المخترق سرقة الرمز.
سنجد مقابل مزايا عملية التوثيق هذه بعض المساوئ فمثلًا لا يمكنك استخدام كلمة المرور المؤقتة إلا عن طريق تحميل تطبيقات معينة، أيضًا فإن الوقت القصير المتاح لاستخدام الرمز يزعج البعض بعض الشيء وكأنك في سباق مع مخترق متخيل على استخدام الرمز، كما أن عملية التوثيق هذه تربط المفتاح السري أو البذرة بتطبيق خارجي، وبعض التطبيقات غير آمنة ومن الخطير معرفة المفتاح السري لأنه يتيح إمكانية إعادة توليد الرمز بمجرد الحصول عليه من شخص آخر كأن المخترق حصل على قالب المفتاح إلى باب منزلك ويستطيع بذلك صناعة المفاتيح وقتما يشاء.
