isplay:none" src="https://www.facebook.com/tr?id=1498566888174227&ev=PageView&noscript=1" />
محتوى ممول

العامل الثنائي – ولماذا تعتبر رموز الرسائل النصية القصيرة هي الحلقة الضعيفة

25 يونيو، 2026 · 3 دقائق للقراءة · التعليقات

تحتوي هذه المقالة على روابط تابعة. إذا قمت بالشراء من خلالها، فقد نكسب عمولة - دون أي تكلفة إضافية عليك.

تعد المصادقة الثنائية واحدة من أكثر الترقيات الأمنية فعالية التي يمكنك إجراؤها. ولكن ليس كل العامل الثنائي هو نفسه - والإصدار الأكثر شيوعًا، وهو الإصدار الافتراضي الذي تستخدمه معظم الخدمات، به ثغرة أمنية محددة وموثقة جيدًا لا يعرفها معظم الناس.

تعمل المصادقة الثنائية من خلال طلب شيء تعرفه (كلمة المرور الخاصة بك) وشيء تملكه (عادةً رمز). حتى إذا قام شخص ما بسرقة كلمة المرور الخاصة بك، فلن يتمكن من تسجيل الدخول بدون العامل الثاني. انها جيدة حقا. السؤال هو ماذا تعني عبارة "شيء لديك".

مشكلة رموز الرسائل القصيرة

يتم إرسال رموز الرسائل القصيرة إلى رقم هاتفك. يتم التحكم في رقم هاتفك بواسطة مشغل شبكة الجوال. ويمكن التلاعب بمشغلي شبكات الجوال - أحيانًا من خلال الهندسة الاجتماعية، وأحيانًا من خلال الرشوة الصريحة للموظفين - لنقل رقمك إلى بطاقة SIM التي يتحكم فيها المهاجم. وهذا ما يسمى مبادلة SIM.

بمجرد نقل رقمك، فإن كل رمز SMS يتم إرساله إلى هاتفك "الخاص بك" يذهب إلى جهاز المهاجم. أصبحت كلمة المرور الخاصة بك بالإضافة إلى أي عامل ثنائي يعتمد على الرسائل القصيرة ملكًا لهم الآن. يتم اختراق الأهداف عالية القيمة - الأشخاص الذين يمتلكون عملات مشفرة كبيرة، والمديرين التنفيذيين، والصحفيين - بهذه الطريقة بانتظام.

طرق ذات عاملين - القوة النسبية
Method
Strength
Vulnerable to
SMS code
Weak
SIM swap, SS7 attacks, phishing
تطبيق المصادقة (TOTP)
Good
Real-time phishing (if attacker acts fast)
مفتاح الأجهزة (مفتاح المرور)
Strong
السرقة المادية للمفتاح

ما يجب استخدامه بدلا من ذلك

يقوم تطبيق المصادقة بإنشاء رموز تعتمد على الوقت على جهازك. ولا يتم نقلها عبر شبكة الهاتف — ولا يمكن لمبادلة بطاقة SIM اعتراضها. تعمل تطبيقات مثل Google Authenticator أو Authy بهذه الطريقة. يتضمن NordPass أيضًا أداة مصادقة مدمجة، مما يعني أن رموز المصادقة الثنائية وكلمات المرور الخاصة بك موجودة في نفس المخزن الآمن.

العامل الثنائي يستحق وجوده حتى في أضعف صوره. تعد ميزة 2FA عبر الرسائل القصيرة أفضل بكثير من عدم وجود 2FA. ولكن إذا كنت ستستخدمه، فسيستغرق الأمر حوالي دقيقتين لكل حساب للترقية من الرسائل القصيرة إلى تطبيق المصادقة - وتكون الفجوة في الحماية كبيرة.

الأسئلة المتداولة

What is credential stuffing?+

يحدث حشو بيانات الاعتماد عندما يأخذ المهاجمون مجموعات البريد الإلكتروني وكلمات المرور المكشوفة في إحدى عمليات الاختراق ويحاولون تجربتها تلقائيًا مع خدمات أخرى. إذا كنت "0"، فإن الاختراق في أحد المواقع يمنح المهاجمين إمكانية الوصول إلى كل حساب بنفس بيانات الاعتماد.

Is it safe to store all your passwords in one place?+

نعم، عند استخدام password manager حسن السمعة. يعد المخزن المشفر أكثر أمانًا بكثير من كلمات المرور المعاد استخدامها أو الضعيفة. يستخدم مديرو كلمات المرور مثل NordPass بنية المعرفة الصفرية - مما يعني أنه حتى الشركة لا يمكنها رؤية كلمات المرور المخزنة الخاصة بك.

What is two-factor authentication and should I use it?+

تتطلب المصادقة الثنائية (2FA) خطوة تحقق ثانية تتجاوز كلمة المرور الخاصة بك - عادةً رمز من أحد التطبيقات. استخدم تطبيق المصادقة (Google Authenticator، Authy) بدلاً من رموز الرسائل القصيرة، التي تكون عرضة لهجمات تبديل بطاقة SIM.

كلمات المرور وأكواد المصادقة الثنائية (2FA) في قبو واحد آمن
يقوم NordPass بتخزين كلمات المرور الخاصة بك وإنشاء رموز المصادقة الخاصة بك. تطبيق واحد، وكلمة مرور رئيسية واحدة، وكل شيء تتم مزامنته عبر أجهزتك.
⭐ 4.5/5 · حماية الملايين من كلمات المرور
Try NordPass →

Sam Feldman
Sam Feldman
"اللافتة الجيدة ليس لها شكل ثابت وليس لها معنى متأصل."
Austin, TX · https://sams.blog/weekly
RELATED READING
كارثة كلمة المرور لا أحد يفكر فيها
يمكنك إعادة استخدام كلمة مرور واحدة. المتسللين يعولون على ذلك.
شرح مديري كلمات المرور للأشخاص العاديين
أنت على وشك الحصول على إعداد الأمان الدقيق الذي صممته لوالديّ، وهو الإعداد الذي يعمل بالفعل

معظم الناس لديهم طبقة واحدة من الحماية. إنهم يفتقدون ثلاثة.

  • The 3-layer setup I’d never skip — stripped to what matters.
  • Who’s really watching you — your browser, your provider, and the “free” tools selling your data. How to shut them out.
  • A 30-second leak check — most people’s passwords are already out there. See if yours are, and what to do.
  • Pull your info back — data brokers are selling your address and number right now. Here’s how to get removed.

20 دقيقة، من البداية إلى النهاية — ثم يتم تشغيله في الخلفية. أدخل بريدك الإلكتروني وسأرسله.

حدث خطأ ما - يرجى المحاولة مرة أخرى.
لقد وصلت — تحقق من بريدك الوارد قريبًا.
سرية 100%. إلغاء الاشتراك في أي وقت.