كيف ينجح المخترقين في تخطي المصادقة الثنائية

نعلم جميعًا أن كلمة المرور لم تعد كافية لحماية الحسابات عبر الإنترنت. خاصة بعد البحث الأخير في حقيقة أن 80٪ من الاختراقات الناجحة ناتجة عن كلمات مرور ضعيفة ، مما عزز أهمية ميزة المصادقة الثنائية.

تُستخدم المصادقة الثنائية ، المعروفة باسم 2FA ، لمنع اختراق الحساب والسرقة. في الواقع ، أكثر من 99.9٪ من الاختراقات الآلية تفشل بسبب هذه الميزة.

على الرغم من فعالية هذه الطريقة ، إلا أنها فشلت في منع المتسللين من إيجاد أكثر من طريقة للتغلب عليها. يتم ذلك عن طريق تلقي رموز التحقق التي يتم إرسالها إلى المستخدم عبر رسائل نصية قصيرة SMS على هواتفهم.

التغلب على المصادقة الثنائية

لم يكن ظهور هذا الضعف الأمني ​​بسبب عيوب في الوظيفة نفسها ، بل إلى طريقة المصادقة الثنائية. في معظم الحالات ، تكمل الشركات عملية المصادقة برسالة نصية تصل إلى مالك الهاتف ، أو بمكالمة صوتية تلقائية.

تُعرف الرسائل القصيرة التقليدية بأنها واحدة من أقل الاتصالات أمانًا. ربما كانت طريقة تبديل بطاقة SIM المعروفة باسم SIM Swapping هي أشهر طريقة لاختراق ميزة المصادقة الثنائية.

هنا ينتحل المخترق شخصية الضحية من خلال الحصول على رقم هاتفها. في هذه الحالة ، يمكن للمتسلل الحصول على رموز المصادقة الثنائية واستخدامها بحرية كبيرة قبل أن يكتشف الضحية أنه فقد رقم هاتفه.

بالإضافة إلى ذلك ، يمكن أن يؤدي اختراق هاتف الضحية أو حتى استخدام تطبيق لإلغاء الإشعارات إلى فتح الوصول إلى نفس الهدف. يتلقى المخترق نسخة من كل إشعار يتلقاها مالك الهاتف ، بما في ذلك إشعارات الرسائل القصيرة مع رمز التأكيد.

توجد الآن طريقة ذكية للغاية لاختراق مستخدمي المصادقة الثنائية (2FA) بحرية وفعالية كبيرة. تستخدم هذه الطريقة ميزة توفرها Google ، وهي القدرة على تثبيت التطبيقات على الهاتف الذكي عبر متصفح الإنترنت على جهاز الكمبيوتر.

بمجرد الوصول إلى كلمة مرور حساب google للضحية ، يمكن تثبيت تطبيق لإلغاء الإشعارات وبخطوات بسيطة يمكن تنشيط هذا التطبيق وجعله يرسل لك نسخًا من الإشعارات كما هو مذكور أعلاه.

يمكن للمتسلل خداع المستخدم لتثبيت هذا التطبيق. عن طريق إرسالها إليه من هاتف صديق أو عن طريق الاتصال به من رقم رسمي لإقناعه بتنزيل التطبيق واستخدامه وغير ذلك الكثير.

تدعو الشركات الرائدة مثل Microsoft إلى حظر المصادقة الثنائية عبر الرسائل القصيرة والاعتماد بدلاً من ذلك على المصادقة مثل Google Authenticator و Microsoft Authenticator.

هناك طريقة أخرى أكثر أمانًا وأمانًا وهي تنفيذ المصادقة الثنائية باستخدام الأجهزة والملحقات المادية التي تعتمد على منفذ USB.