العامل الثنائي – ولماذا تعتبر رموز الرسائل النصية القصيرة هي الحلقة الضعيفة
25 يونيو، 2026 · 3 دقائق للقراءة · التعليقات
تحتوي هذه المقالة على روابط تابعة. إذا قمت بالشراء من خلالها، فقد نكسب عمولة - دون أي تكلفة إضافية عليك.
تعد المصادقة الثنائية واحدة من أكثر الترقيات الأمنية فعالية التي يمكنك إجراؤها. ولكن ليس كل العامل الثنائي هو نفسه - والإصدار الأكثر شيوعًا، وهو الإصدار الافتراضي الذي تستخدمه معظم الخدمات، به ثغرة أمنية محددة وموثقة جيدًا لا يعرفها معظم الناس.
تعمل المصادقة الثنائية من خلال طلب شيء تعرفه (كلمة المرور الخاصة بك) وشيء تملكه (عادةً رمز). حتى إذا قام شخص ما بسرقة كلمة المرور الخاصة بك، فلن يتمكن من تسجيل الدخول بدون العامل الثاني. انها جيدة حقا. السؤال هو ماذا تعني عبارة "شيء لديك".
مشكلة رموز الرسائل القصيرة
يتم إرسال رموز الرسائل القصيرة إلى رقم هاتفك. يتم التحكم في رقم هاتفك بواسطة مشغل شبكة الجوال. ويمكن التلاعب بمشغلي شبكات الجوال - أحيانًا من خلال الهندسة الاجتماعية، وأحيانًا من خلال الرشوة الصريحة للموظفين - لنقل رقمك إلى بطاقة SIM التي يتحكم فيها المهاجم. وهذا ما يسمى مبادلة SIM.
بمجرد نقل رقمك، فإن كل رمز SMS يتم إرساله إلى هاتفك "الخاص بك" يذهب إلى جهاز المهاجم. أصبحت كلمة المرور الخاصة بك بالإضافة إلى أي عامل ثنائي يعتمد على الرسائل القصيرة ملكًا لهم الآن. يتم اختراق الأهداف عالية القيمة - الأشخاص الذين يمتلكون عملات مشفرة كبيرة، والمديرين التنفيذيين، والصحفيين - بهذه الطريقة بانتظام.
ما يجب استخدامه بدلا من ذلك
يقوم تطبيق المصادقة بإنشاء رموز تعتمد على الوقت على جهازك. ولا يتم نقلها عبر شبكة الهاتف — ولا يمكن لمبادلة بطاقة SIM اعتراضها. تعمل تطبيقات مثل Google Authenticator أو Authy بهذه الطريقة. يتضمن NordPass أيضًا أداة مصادقة مدمجة، مما يعني أن رموز المصادقة الثنائية وكلمات المرور الخاصة بك موجودة في نفس المخزن الآمن.
- Switch SMS 2FA to an authenticator app wherever the service allows it
- Prioritise accounts with the most at stake: email, banking, primary social
- NordPass generates and stores your TOTP codes alongside your passwords
- Passkeys — where offered — are better still: no code to phish at all
العامل الثنائي يستحق وجوده حتى في أضعف صوره. تعد ميزة 2FA عبر الرسائل القصيرة أفضل بكثير من عدم وجود 2FA. ولكن إذا كنت ستستخدمه، فسيستغرق الأمر حوالي دقيقتين لكل حساب للترقية من الرسائل القصيرة إلى تطبيق المصادقة - وتكون الفجوة في الحماية كبيرة.
الأسئلة المتداولة
What is credential stuffing?+
يحدث حشو بيانات الاعتماد عندما يأخذ المهاجمون مجموعات البريد الإلكتروني وكلمات المرور المكشوفة في إحدى عمليات الاختراق ويحاولون تجربتها تلقائيًا مع خدمات أخرى. إذا كنت "0"، فإن الاختراق في أحد المواقع يمنح المهاجمين إمكانية الوصول إلى كل حساب بنفس بيانات الاعتماد.
Is it safe to store all your passwords in one place?+
نعم، عند استخدام password manager حسن السمعة. يعد المخزن المشفر أكثر أمانًا بكثير من كلمات المرور المعاد استخدامها أو الضعيفة. يستخدم مديرو كلمات المرور مثل NordPass بنية المعرفة الصفرية - مما يعني أنه حتى الشركة لا يمكنها رؤية كلمات المرور المخزنة الخاصة بك.
What is two-factor authentication and should I use it?+
تتطلب المصادقة الثنائية (2FA) خطوة تحقق ثانية تتجاوز كلمة المرور الخاصة بك - عادةً رمز من أحد التطبيقات. استخدم تطبيق المصادقة (Google Authenticator، Authy) بدلاً من رموز الرسائل القصيرة، التي تكون عرضة لهجمات تبديل بطاقة SIM.
