الاستيثاق بعدَّة مُعامِلات

مُحدَّث في28 March 2024

الاستيثاق بمُعاملين (2FA) أو بعدّة مُعاملات (MFA) يضيف مُعاملا للاستيثاق إلى نظام الولوج بحيث يتطلّب الولوج معرفة شيء ما (كلمة السرّ) و حيازة شيء ما (مثل مفتاح عتادي أو تطبيق يولّد رموزًا فريدة أو هاتفًا لتلقّي رسالة SMS عليه تحوي رمزًا).

الاستيثاق بعدة مُعامِلات يمنع الولوج غير المصرّح به حتّى بفرض استطاعة المهاجم تخمين كلمة السرِّ لأنّ الولوج يتطلّب مُعامِلا آخر غيرها يصعب الحصول عليه عبر الإنترنت أو لأنّه يكون صالحًا لبرهة قصيرة و يُولّد بنبيطة عتادية يحوزها صاحب الحساب أو يُرسَل إليه عند الحاجة.

كيفية استخدام الاستيثاق بعدَّة مُعامِلات

• يوجد دليل على الوِب يسرد خدمات متنوّعة تتيح الاستيثاق بمُعاملات عدَّة و يشرح كيفية تفعيله في كلٍّ منها.
• من المهم تفعيل وظيفة الاستيثاق بمُعاملين ﻷجل:
  • الحسابات البنكية و التطبيقات المالية
  • الحسابات مثل صناديق البريد الإلكتروني و الشبكات الاجتماعية و تخزين الملفّات، و أيَّة حسابات تحوي بيانات حسّاسة أو سريّة، و كذلك الحسابات التي تستخدم لاسترجاع القدرة على النفاذ إلى حسابات أخرى.

استخدام تطبيق أو عتاد للاستيثاق

ضمن الخيارات المتاحة للاستيثاق بمعاملين:

• استخدام تطبيق للاستيثاق
  • نُزكّي لكم Aegis لأندرويد و Raivo OTP لنبائط iOS و iPhone أو FreeOTP الذي يعمل مع كل النظم السابق ذكرها.
  • كما يمكنكم كذلك استخدام الاستيثاق بمعاملين مع التطبيقات KeePassXC و KeePassDX و Strongbox.
  • عند استخدام هذا الخيار من المهم حماية النبيطة المعدّة للاستيثاق بعدّة مُعامِلات من البرمجيات الخبيثة.
• باستخدام نَبٍيطة عتاديّة — تُسمى عادة أمارة أمان أو مفتاح USB أو مفتاح FIDO — توصَل بالحاسوب أو بالهاتف أو تستخدم لاسلكيا، مثلا بطريق التواصل بالحقل القريب NFC (near-field communication).
  • أمثلة من بعض المنتجات التي تطبّق هذه الوظيفة: Yubikey و Nitrokey و Google Titan Key و Thetis Key.
  • تنبغي ملاحظة أنّ بعض النبائط العتاديّة لا يمكن استخدامها مع النبائط المحمولة، لذا يجب التحقّق قبل شراء أيٍّ منها إن كانت تدعم التواصل مع هاتفكم.

اختيار أسلوب الاستيثاق بمُعاملين المناسب

• يمكنكم استخدام تطبيق للاستيثاق أو نبيطة الاستيثاق العتادية مع عدَّة حسابات، أو ضبط الخدمات المختلفة بحيث تستخدم أساليبًا مختلفة من الاستيثاق بمعاملين.
• تطبيقات الاستيثاق و نبائط الاستيثاق العتادية لا يلزمها الاتّصال بالإنترنت لتوليد رموز الاستيثاق، أما الوسائل الأخرى فتتطلّب اتّصالا بشبكة المحمول (SMS) أو بالإنترنت (الاستيثاق بطريق البريد الإلكتروني).
• هاكم وسائل الاستيثاق بمُعاملين تناوليا حسب درجة أمانها: تطبيق للاستيثاق أو عتاد، يليها البريد الإلكتروني و آخرها رسائل SMS. مع ملاحظة أن SMS قد لا تصلكم إن كنتم خارج نطاق تغطية الشبكة.
  • لا نحبّذ استخدام رسائل SMS وسيلةً للاستيثاق بمُعاملين و ذلك لأنّها غير مُعمّاة و يمكن التنصت عليها أثناء انتقالها عبر شبكة المحمول.
• لا تُعطِّلوا وظيفة الاستيثاق بمعاملين بعد تفعيلها. بعض الخدمات تتيح إيقافها مؤقتًا عند الحاجة، لكن تعطيلها نهائيا قد تكون له تبعات على أمانكم.

احفظوا رموز الأمان الاحتياطية لوظيفة الاستيثاق بمعاملين معزولة و آمنة

عند تفعيل الاستيثاق بمُعاملين في خدمة ما فمن المهمّ الحرص على وجود وسيلة أخرى للولوج في حالة ما فقدتم النبيطة المستخدمة للاستيثاق أو تعطُّلها.

في أغلب الأحوال يكون الأسلوب الاحتياطي سلسلة من رموز الاستيثاق التي يمكن تنزيلها و حفظها في موضع آمن. إنْ لم تعرض عليكم الخدمة رموز الاستيثاق الاحتياطية تلقائيًّا عند تفعيل الاستيثاق بمُعاملين فيجب عليكم البحث عن كيفية توليدها أو إيجادها، و إذا تعذَّر ذلك فيلزم تفعيل وسيلة استيثاق أخرى، مثل إضافة نبيطة عتادية في حال ما كانت الوسيلة الأساسية المُفعّلة تطبيق استيثاق. كما قد يفيد حفظ صورة كود QR الذي تظهره الخدمة بغرض ضبط تطبيق الاستيثاق لإعادة استخدامه لاحقا عند الحاجة لضبط نبيطة أخرى.

• إذا أُعطيتم رموزًا احتياطية أثناء تفعيل وظيفة الاستيثاق بمعاملين فاحفظوها في مدير كلمات السرِّ.
  • يمكن حفظ لحفظ الملاحظات و الملفات في مُدخلات مسوّغات الولوج في KeePassXC.
  • و كذلك في KeepPassDX.
  • و أيضا في Strongbox.
• الممارسة الفُضلى لحفظ أكواد الولوج الاحتياطية و المفاتيح السرّية للخدمات المعمّاة بين الأطراف هي إنشاء محفظة أسرار منفصلة عن المحفوظة فيها كلمات السرّ ثم حفظها في موضع مختلف.