المصادقة الثنائية، بلغة مبسّطة

المصادقة الثنائية هي أعلى إعدادات الأمان فاعليّة وأقلّها استخداماً عند معظم الناس. تقول الأرقام التي نشرتها Microsoft إنها تحجب أكثر من 99% من عمليات الاستيلاء الآلية على الحسابات. ومع ذلك تُوصف بأنها مزعجة — جزء من السبب أن أنواعها الثلاثة الشائعة ("رمز SMS"، "تطبيق المصادقة"، "مفتاح الأمان") يُتحدّث عنها وكأنها متبادلة. وهي ليست كذلك. إليك النسخة العملية.

ما تفعله 2FA فعلياً

كلمات المرور تتسرّب باستمرار. تفريغات قواعد البيانات، صفحات التصيّد، البرمجيات الخبيثة في المتصفّحات، إعادة استخدام كلمات المرور — كلها طرق كثيرة لينتهي بكلمة المرور خاصتك في جدول بيانات أحدهم. تُضيف 2FA فحصاً ثانياً مرتبطاً بشيءتملكه، لا مجرد شيء تعرفه. والمهاجم الذي يسرق كلمة مرورك يحتاج أيضاً لسرقة العامل الثاني، في الوقت الحقيقي، على الجهاز نفسه — وهذا أصعب بكثير.

SMS 2FA

يصلك رمز من ستة أرقام عبر رسالة نصية. تكتبه. وهو الأسهل استخداماً لأن كل هاتف يدعمه أصلاً، ولهذا أيضاً هو الحد الأدنى المقبول من الأمان: يكفي لإيقاف روبوتات حشو بيانات الاعتماد، لكنه مكشوف لهجمات استبدال شريحة SIM (يقنع المهاجم المشغّل بنقل رقمك) ولاعتراض SMS الصامت على الشبكات الضعيفة.

مناسب لـ: الحسابات منخفضة الأهمية التي تفضّل ألا تثبّت لها تطبيقاً آخر. المنتديات، مواقع التسوّق، القوائم البريدية.

غير مناسب لـ: البريد الإلكتروني، الخدمات المصرفية، البوابات الحكومية، أي شيء يتحكّم بحسابات أخرى.

تطبيقات المصادقة (TOTP)

تطبيقات مثل Google Authenticator وAuthy و1Password وBitwarden تولّد رمزاً جديداً من ستة أرقام كل 30 ثانية، مستمداً من سرّ مخزّن على جهازك فقط. لا SMS ولا تدخّل من المشغّل — الرموز تعمل دون اتصال. هجمات التصيّد التي تلتقط كلمة مرورك ورمزاً واحداً قد تنجح، لكن استبدال SIM لم يعد ذا صلة.

نصيحة الإعداد: حين يعرض لك الموقع رمز QR، احفظ النصّ المُولِّد (seed) إلى جانبه (معظم تطبيقات المصادقة تصدّره). إن فقدت هاتفك بدون البذرة وبدون رموز الاسترداد، فستحتاج لإعادة تعيين كل حساب من الصفر.

مناسب لـ: كل شيء تقريباً. معظم موفّري البريد، المنصات الاجتماعية، بورصات العملات المشفّرة وأدوات التطوير تدعم TOTP، وهي مجانية.

مفاتيح الأمان (FIDO2 / WebAuthn / passkeys)

مفتاح USB أو NFC (YubiKey، Titan، ومؤخراً "passkeys" المضمنة في سلاسل مفاتيح iOS وAndroid) يوقّع تحدّي تسجيل الدخول تشفيرياً. والمهم أنه مرتبط بنطاق الموقع — صفحة التصيّد المطابقة للنسخة الأصلية لن تحصل ببساطة على توقيع. هذه هي الطريقة الوحيدة الشائعة من 2FA التي تتغلّب على التصيّد المُحكم.

مناسب لـ: البريد الأساسي، مدير كلمات المرور، أي شيء لا يمكنك فقده. اشترِ مفتاحَين؛ سجّلهما كليهما؛ ضع أحدهما في درج.

أين تناسب الأرقام المؤقتة

الأرقام المؤقتة رائعة لخطوة التسجيل الأولي، لكنها غير مناسبة لـ SMS 2FA المستمر — فبحلول الوقت الذي تحتاج فيه لاستلام رمز، يكون الرقم قد عاد إلى المجمع. أفضل ممارسة: سجّل برقم مؤقت، اضبط TOTP فوراً في إعدادات أمان الحساب، واحفظ رموز الاسترداد في مكان آمن. ثم يمكن للرقم المؤقت أن يختفي.

رموز الاسترداد تستحقّ ذكرها

تقريباً كل شاشة إعداد 2FA تعرض عليك قائمة برموز استرداد ذات استخدام واحد. اطبعها أو احفظها في مدير كلمات المرور. هي طريقتك للعودة إن فقدت كل أجهزتك. لا تتجاوز هذه الخطوة — استرداد حساب بدونها كثيراً ما يتطلّب وثائق هوية تستغرق أسابيع.

توصيات سريعة

• البريد الإلكتروني ومدير كلمات المرور: مفتاح أمان أولاً، TOTP احتياطياً.
• البنك، الوسيط، البورصة: أعلى مستوى يتيحونه.
• الشبكات الاجتماعية، أدوات التطوير، SaaS العمل: TOTP.
• منتدى عشوائي يطلب رقم هاتف: SMS مؤقت، ثم TOTP بعد التسجيل.