🔐 التحقّق بخطوتين: ليس مجرد رفاهية بل ضرورة حتمية

كثيرون يتعاملون مع حساباتهم الرقمية كأنها غرفة مغلقة بمفتاح سحري اسمه كلمة السر. يختار كلمة معقدة، يضيف رمزاً أو رقمين، ثم ينام مرتاحاً وهو يظن أن صوره ورسائله وملفاته لا يستطيع أحد الوصول إليها.

الحقيقة أصعب بكثير: ليس فقط الهاكرز من الخارج من يستطيعون الوصول، بل أحياناً موظفون من داخل الشركة نفسها، أو أي شخص ينجح في سرقة كلمة السر. هنا يأتي دور التحقّق بخطوتين: ليس كخيار جميل في الإعدادات، بل كطبقة أمان حقيقية بين حياتك الخاصة والعالم كله.

في الدورات والمقالات كثيراً ما نسمع نصائح من نوع: استخدم كلمة سر طويلة، لا تكرر نفس الكلمة، لا تكتبها في ورقة. هذه نصائح صحيحة، لكنها حل نصف المشكلة فقط.

ما لا يخبرك به كثيرون أن:

- قواعد البيانات نفسها قد تُخترق. - موظفاً من الداخل قد يسيء استخدام صلاحياته. - كلمة السر قد تُسرق بسبب برمجية خبيثة على جهازك أو جهاز موظف في الشركة.

كل هذا حدث فعلاً في حوادث موثقة، ليس في أفلام الخيال العلمي.

في 2022 تعرّضت شركة التأمين الصحي الأسترالية Medibank لاختراق ضخم شمل بيانات حوالي 9.7 مليون عميل، بينهم معلومات حساسة عن حالات صحية وعلاجات، بحسب تقارير صحفية وتحقيقات رسمية في أستراليا.

اللافت في القضية أن التحقيقات كشفت أن أنظمة Medibank الداخلية كانت تسمح بالدخول إلى الشبكة الحساسة عن طريق اسم مستخدم وكلمة سر فقط، بدون أي نوع من التحقّق المتعدد العوامل، رغم أن الشركة كانت تعرف عن هذا العيب منذ أكثر من سنة ولم تُصلحه.

الهاكر لم يخترق "سيرفر سرياً" بطريقة سينمائية؛ كل ما في الأمر أن موظفاً في الدعم التقني خزّن بيانات دخوله في متصفح على جهاز منزلي، أصيب ذلك الجهاز ببرمجية سرقة كلمات مرور، فانتقلت بيانات الدخول، ثم استخدمها المهاجم للوصول إلى شبكة الشركة. خطوة أمان إضافية مثل تطبيق تحقّق على الهاتف كانت كفيلة بإيقافه عند الباب.

تطبيق Timehop كان يقدم خدمة لطيفة: يذكّرك بصورك ومنشوراتك القديمة على الشبكات الاجتماعية. في يوليو 2018 أعلن التطبيق عن اختراق شمل نحو 21 مليون مستخدم، بحسب تقارير أمنية متخصصة.

السبب؟ حساب إداري على مزوّد سحابي لم يكن محمياً بالتحقّق بخطوتين. نجاح المهاجم في اختراق هذا الحساب منحه الوصول إلى رموز الدخول التي تسمح برؤية محتوى حسابات المستخدمين وصورهم القديمة.

مرة أخرى، لم تكن المشكلة في أن المستخدمين اختاروا كلمات سر ضعيفة، بل في أن الحسابات الإدارية العالية الصلاحيات لم تكن محمية بخطوة أمان ثانية.

حتى لو كانت الشركة نفسها غير مخترقة، يبقى هناك خطر آخر: الموظفون الذين يملكون صلاحيات داخلية.

في 2010 مثلاً، نشر تقرير عن مهندس في Google تم فصله بعد أن استغل صلاحياته للوصول إلى محادثات وسجلات اتصال لمستخدمين مراهقين، بحسب تقارير من Business Insider وWired. التحقيقات أشارت إلى أنه استخدم صلاحياته كمهندس موثوق للدخول إلى بيانات لم يكن من المفترض أن يراها.

وفي 2021، تناول كتاب صحفي عن Facebook أن الشركة أنهت خدمات عشرات الموظفين بين 2014 و2015 بسبب إساءة استخدام صلاحياتهم للوصول إلى بيانات مستخدمين لأغراض شخصية، من بينها تتبّع موقع شخص أو الاطلاع على حسابات بدون سبب مشروع.

هذه الحوادث لا تعني أن كل موظف شرير؛ لكنها تؤكد حقيقة مزعجة: هناك دائماً بشر داخل الأنظمة يمكنهم رؤية ما لا تتخيل أنك تكشفه. وكلما قل عدد النقاط التي يمكن من خلالها الدخول إلى حساباتك، قلّت فرص إساءة الاستخدام.

التحقّق بخطوتين (أو التحقّق المتعدد العوامل) يعني ببساطة: لا يكفي أن يعرف المهاجم كلمة السر، بل يحتاج شيئاً ثانياً يخصّك أنت:

- رمزاً من تطبيق على هاتفك. - رسالة من جهاز أمان مادي (Security Key). - إشعار تأكيد على جهاز موثوق.

تقنياً، هذا يضيف طبقة مختلفة بالكامل: كلمة السر معلومة يمكن نسخها، أما الهاتف أو المفتاح المادي فهما شيء تملكه. وحتى لو تمكن موظف داخلي من رؤية كلمة السر، لن يتمكن من الدخول بدون العامل الثاني الذي في جيبك أنت.

بعض الناس يفعّلون التحقّق بخطوتين ثم يشعرون أنهم محميون تماماً، بينما يرتكبون أخطاء تجعل الحماية أضعف بكثير:

- الاعتماد على الرسائل النصية فقط مع أن شريحة الهاتف يمكن أن تتعرض لعمليات "استبدال شريحة" (SIM swap). - تفعيل التحقّق بخطوتين على البريد الإلكتروني لكن ترك حسابات أخرى مهمة (مثل تخزين الصور أو حسابات العمل) بدون حماية إضافية. - حفظ رموز الاسترجاع في نفس البريد أو نفس الجهاز بدون أي عزل.

الفكرة ليست أن تصبح خبير أمن معلومات، بل أن تفهم أن التحقّق بخطوتين يحتاج قليلاً من التنظيم حتى يؤدي دوره كما ينبغي.

في العالم العربي نحب العبارات من نوع "خذ الموضوع خطوة خطوة". فلنطبّق ذلك هنا:

1. ابدأ بالبريد الأساسي: حساب البريد هو مفتاح إعادة تعيين كلمات السر لكل شيء تقريباً. فعّل التحقّق بخطوتين عليه أولاً.

2. ثانياً: التخزين السحابي والصور: Google Photos، iCloud، OneDrive… هذه ليست مجرد صور؛ إنها سجل حياتك. فعّل التحقّق بخطوتين عليها.

3. ثالثاً: الحسابات المالية: البنوك، المحافظ الرقمية، بوابات الدفع. كثير من هذه الخدمات توفر تطبيقات أمان أو رسائل تأكيد.

4. رابعاً: حسابات العمل والتطوير: GitHub، GitLab، منصات الاستضافة. اختراقها قد يعني تسريب كود عملائك أو مشاريعك.

5. احتفظ بمفاتيح احتياطية بذكاء: استخدم تطبيقات موثوقة، وخذ نسخة احتياطية مشفرة من رموز الاسترجاع في مكان منفصل عن جهازك اليومي.

قد يبدو الأمر مزعجاً في البداية؛ لكن كما يقول المثل: "ساعة وقاية خير من سنوات علاج". التحقّق بخطوتين ليس زرّاً إضافياً تضغطه — بل حارس شخصي يقف بين عالمك الخاص وبين أخطاء البشر، سواء كانوا مهاجمين من الخارج أو موظفين من الداخل.