هناك العديد من الطرق لتحسين الأمان من خلال المصادقة متعددة العوامل، ويوجد بعض الأنواع توفر مزيدًا من الحماية من الهاكرز.
أمن المستخدم
نحن بحاجة إلى المصادقة متعددة العوامل (MFA) على حسابات البيتكوين الخاصة بك وأي حسابات أخرى تريد حمايتها.
كما أن هجمات الاختراق ستبقى مستمرة حتى يتم اختراق حسابك أو يتم إرسال الأشخاص إلى موقع سيئ وتحميل البرامج الضارة عن طريق الخطأ بدلاً من البرامج التي تم التحقق منها.
الحقيقة هي أنك لن تكون آمنًا تمامًا في أي من معاملاتك المالية عبر الإنترنت في أي نظام. ومع ذلك، يمكنك تنفيذ مجموعة أدوات وأفضل الممارسات أكثر مرونة من أجل أمان أقوى.
تعريف التوثيق المتعدد العوامل
وفقًا لوكالة الأمن السيبراني وأمن البنية التحتية،
المصادقة متعددة العوامل هي نهج متعدد الطبقات لتأمين البيانات والتطبيقات حيث يتطلب النظام من المستخدم تقديم مزيج من بيانات الاعتماد للتحقق من هوية المستخدم لتسجيل الدخول.
عندما نسجل الدخول إلى حساب عبر الإنترنت، فإننا غالبًا ما نهدف إلى إحباط مهاجم أو متسلل باستخدام طبقات إضافية من طرق التحقق.
توفر الأقفال المتعددة مزيدًا من الأمان. إذا كانت أشكال المصادقة جيدة، مثل كلمة المرور، فيمكن أن تكون ال MFA أفضل.
إذا كنت تستخدم المصادقة البيومترية فقط، فهذا هو المصادقة أحادية. إنه مجرد قياس حيوي لأي طريقة تستخدمها: الإبهام، قزحية العين، التعرف على الوجوه، إلخ. إذا كنت تستخدم مفتاح الأجهزة بدون عبارة مرور، فهذا أيضًا مصادقة أحادية
ومع ذلك، إذا تم استخدام القياس الحيوي أو المفتاح كعامل ثان، فيمكن أن يحقق هدف المصادقة متعددة العوامل ويكون أكثر أمانًا من العديد من المصادقة متعددة العوامل القائم على التطبيق.
مع المصادقة متعددة العوامل، يجب عليك استخدام 2 على الأقل من آليات المصادقة 3 هذه:
- شيء تعرفه (كلمة السر، رقم التعريف الشخصي، إلخ)
- وشيء تملكه (رمز، جهاز)
- شيء له علاقة بك (بصمة إصبع أو غيرها من المقاييس الحيوية)
أماكن استخدام المصادقة متعددة العوامل
يجب أن يكون لديك المصادقة متعددة العوامل لإعداد ما يلي:
- بورصات البيتكوين
- عقد البيتكوين وعمال المناجم.
- محافظ البيتكوين.
- تطبيقات Lightning ، مثل RTL أو Thunderhub.
- مزودي السحابة، مثل حسابات الجهد.
ملاحظة: يحتاج كل حساب أو تطبيق إلى دعم نوع المصادقة متعددة العوامل الذي تستخدمه ويجب عليك تسجيل المصادقة متعددة العوامل بالحساب أو الطلب.
غالبًا ما يتضمن مقدمو المصادقة متعددة العوامل خيارات أقل أمانًا مثل:
الرسائل القصيرة أو الهاتف أو البريد الإلكتروني كلمات المرور لمرة واحدة (OTPs) أو كلمات المرور لمرة واحدة القائمة على الوقت (TOTP)
المصادقة القائمة على الدفع المحمول (أكثر أمانًا إذا تم إدارتها بشكل صحيح).
يتضمن مقدمو المصادقة متعددة العوامل أحيانًا خيارات أكثر أمانًا مثل:
- تطبيقات المصادقة.
- التحقق البيومتري.
- مفاتيح الأجهزة.
- البطاقات الذكية.
يتم إنجاز المصادقة متعددة العوامل بشكل أكثر أمانًا من خلال تطبيق مصادقة أو بطاقة ذكية أو مفتاح أجهزة، مثل Yubikey.
حتى إذا كنت تستخدم MFA القائم على التطبيقات أو الأجهزة، فلن يتم إنشاء جميع تطبيقات وأجهزة المصادقة على قدم المساواة.
سنلقي نظرة على بعض تطبيقات المصادقة الأكثر شيوعًا وبعض نقاط ضعفها من خلال التتبع والقرصنة والنسخ الاحتياطي.
لا يتطلب Microsoft Authenticator رقم هاتف، ولكن لا يمكنه الانتقال إلى Android لأنه مدعوم إلى iCloud.
لا يتطلب Google Authenticator أيضًا رقم هاتف، ولكنه لا يحتوي على نسخة احتياطية عبر الإنترنت وقادر فقط على النقل من هاتف إلى آخر.
بالإضافة إلى ذلك، يعتبر البعض كل هذه التطبيقات أقل مرونة ومنفتحة على التصيد الاحتيالي (MITM).
كيف يمكن المساس بحساباتك ومواردك المالية
حسب روجر غرايمز خبير الأمن السيبراني
يجب على الأشخاص استخدام MFA المقاوم للتصيد الاحتيالي كلما أمكنهم ذلك لحماية البيانات والأنظمة القيمة
كانت شركات البيتكوين مثل العديد من الشركات المالية وشركات البيانات، هدفًا لانتهاكات متعددة للبيانات حيث حصل المهاجمون على عناوين البريد الإلكتروني وأرقام هواتف العملاء.
ليس من الصعب بشكل خاص العثور على عناوين البريد الإلكتروني وأرقام الهواتف الخاصة بشخص ما، باستخدام رسائل البريد الإلكتروني هذه، يمكن للمهاجمين تنفيذ هجمات واعتراض بيانات اعتماد تسجيل الدخول: كلاً من كلمة المرور والمصادقة متعددة العوامل التي استخدمتها كعامل مصادقة ثانٍ لأي من حساباتك.
عملية هجوم التصيد النموذجي MITM:
يمكنك النقر فوق رابط (أو مسح رمز الاستجابة السريعة) ويتم إرسالك إلى موقع يبدو مشابهًا جدًا للموقع القانوني الذي تريد الوصول إليه.
تقوم بكتابة بيانات اعتماد تسجيل الدخول الخاصة بك ثم يتم طلبك للحصول على رمز MFA الخاص بك، والذي تقوم بكتابته.
ثم يلتقط المهاجم رمز جلسة الوصول للمصادقة الناجحة على الموقع القانوني. قد يتم توجيهك إلى الموقع الصحيح ولا تعرف أبدًا أنك تعرضت للاختراق (لاحظ أن رمز الجلسة عادة ما يكون جيدًا فقط لتلك الجلسة الواحدة).
ثم يتمكن المهاجم من الوصول إلى حسابك.
بصرف النظر عن ذلك، تأكد من أن لديك MFA مرفقًا بعمليات السحب على محفظة أو تبادل. الراحة هي عدو الأمن.
MFA مقاوم للتصيد
لكي تكون مقاومًا للتصيد الاحتيالي، يجب أن يكون MFA الخاص بك هو حل ضمان المصادقة من المستوى AAL3 (مستويات ضمان المصادقة)
هناك عدة خصائص توثيق إضافية مطلوبة:
- المتحقق من انتحال الهوية.
- المدقق يخل بالمقاومة.
- نية المصادقة.
- مفاتيح الأجهزة والبطاقات الذكية MFA
مفاتيح الأجهزة :
مثل Yubikey ، هي شكل من أشكال MFA الأقل قابلية للاختراق. بالإضافة إلى ذلك ، فإن رقم هاتفك غير مرتبط بالمفتاح ، لذا فهو أقل قابلية للتتبع.
(قم باستخدام Yubikey). بدلاً من الرمز الذي تم إنشاؤه ، اضغط على زر مفتاح الجهاز للمصادقة.
يحتوي مفتاح الجهاز على رمز فريد يتم استخدامه لإنشاء رموز لتأكيد هويتك كعامل ثانٍ للمصادقة.
البطاقات الذكية هي شكل آخر من أشكال MFA تتمتع بمقاومة مماثلة للتصيد الاحتيالي.
هناك اعتبار آخر للمصادقة متعددة العوامل وهو ما إذا كنت ستواجه موقفًا تحتاج فيه إلى MFA ولا يمكنك استخدام الهاتف الخلوي أو الهاتف الذكي.
هناك سببان رئيسيان يمكن أن يحدث هذا لمستخدمي البيتكوين:
- تغطية الشبكة منخفضة أو معدومة
- ليس لديك هاتف ذكي أو لا يمكنك استخدامه
يمكن أن تكون هناك قيود أخرى على استخدام الهاتف المحمول بسبب بيئات العمل
تعد مراكز الاتصال أو البيئات عالية الأمان مثل مختبرات البحث من المناطق التي يتم فيها تقييد الهواتف ، وبالتالي لن تتمكن من استخدام تطبيق مصادقة الهاتف الخاص بك.
في هذه الحالات الخاصة التي تستخدم فيها جهاز كمبيوتر وليس لديك هاتف ذكي ، ستحتاج بعد ذلك إلى بطاقة ذكية أو مفتاح جهاز لـ MFA. ستحتاج أيضًا إلى تطبيقك لدعم خيارات الأجهزة هذه.
الدفاع المستمر ضد الهجمات الإلكترونية هو لعبة القط والفأر . يجب أن يكون هدفك أن تصبح أقل قابلية للاختراق وأقل قابلية للتتبع.
