مفاتيح المرور مقابل المصادقة الثنائية: أيهما يحمي عملاتك الرقمية بشكل أفضل؟
يتم تسريب كلمة مرورك في اختراق لم تسمع به. بعد أسابيع قليلة، يحاول أحدهم استخدامها على منصة تداول العملات الرقمية الخاصة بك، والشيء الوحيد الذي يفصله عن رصيدك هو رمز مكون من ستة أرقام يُرسل إلى هاتفك. كان من المفترض أن يكون هذا الرمز بمثابة حاجز الأمان. لسنوات، كان كافيًا. يدور الجدل حول استخدام كلمات المرور مقابل المصادقة الثنائية حول ما إذا كان هذا الحاجز لا يزال جديرًا بالثقة، والإجابة الصادقة هي الأهم لأي شخص يمتلك أموالًا تتحرك في اتجاه واحد فقط. يشرح هذا الدليل كلا الطريقتين بأسلوب مبسط، ويقارن بينهما بشكل مباشر، ويوضح لماذا لا يتباطأ الهجوم الذي يستنزف الحسابات فعليًا إلا قليلًا مع المصادقة الثنائية التقليدية.
ما هي المصادقة الثنائية (2FA)؟
المصادقة الثنائية، أو ما يُعرف اختصارًا بـ "العاملين"، هي عملية تحقق إضافية تُضاف إلى كلمة مرورك، وفكرتها بسيطة لدرجة أن معظم الناس يستخدمونها تلقائيًا. فحتى لو تمكن أحدهم من سرقة العامل الأول، فإنه سيظل بحاجة إلى العامل الثاني قبل أن يتمكن من الدخول. يُصنّف خبراء الأمن هذه العوامل عادةً إلى ثلاث فئات رئيسية: شيء تعرفه مثل كلمة المرور أو رمز PIN، وشيء تملكه مثل هاتفك أو جهاز حماية، وشيء يُميّزك مثل بصمة إصبعك أو مسح وجهك، ويتم إعداد المصادقة الثنائية ببساطة عن طريق دمج أي عاملين منها.
يكمن الإشكال في أن عوامل التحقق الثنائية ليست متساوية، وخيار "تشغيل المصادقة الثنائية" يُخفي ذلك. يُعد رمز الرسائل النصية القصيرة أضعف الخيارات الشائعة، بينما يُعد الرمز من تطبيق مصادقة مثل Google Authenticator ، والذي عادةً ما يكون رمز TOTP يُجدد تلقائيًا كل 30 ثانية، أقوى بكثير، أما مفتاح الأمان المادي فهو أقوى من ذلك. صرّحت مايكروسوفت بأن تفعيل المصادقة متعددة العوامل يحجب حوالي 99.9% من هجمات الحسابات الآلية، مما يدل على أن هذا الأسلوب الأساسي فعال ضد المحاولات الجماعية ذات الجهد المنخفض، والسؤال الذي يدور حوله هذا المقال هو: ماذا يحدث عندما يكون المهاجم متمرسًا للغاية؟
إليكم كيفية ترتيب العوامل الثانية الشائعة.
| طريقة المصادقة الثنائية | كيف يعمل؟ | مقاوم للتصيد الاحتيالي؟ | نقطة الضعف الرئيسية |
|---|---|---|---|
| رمز الرسائل النصية القصيرة | رمز لمرة واحدة يتم إرساله إلى رقمك | لا | تبديل شريحة SIM، اعتراض SS7 |
| تطبيق المصادقة (TOTP) | تدوير الكود في التطبيق | لا | التصيد الاحتيالي عبر الترحيل في الوقت الفعلي |
| الموافقة الفورية | انقر على "موافقة" على هاتفك | لا | إرهاق وزارة الخارجية، وقصف فوري |
| مفتاح أمان الأجهزة | مفتاح فعلي تقوم بتوصيله أو النقر عليه | نعم | التكلفة، يمكن أن تضيع |
يكمن العامل الحاسم في الصف السفلي. تشترك رموز الرسائل النصية القصيرة، ورموز التطبيقات، وإشعارات الدفع في نقطة ضعف واحدة، وهي إمكانية إقناع المستخدم بإدخالها على موقع خاطئ، بينما لا يمكن إقناع مفتاح الأمان المادي بأي شيء على الإطلاق. هذه هي نفس الخاصية التي بُني عليها مفتاح المرور، لذا فإن الفارق الحقيقي يكمن بين عوامل الأمان القابلة للتصيد الاحتيالي وتلك المقاومة له، وليس بين كلمة المرور وعامل الأمان الثاني.
ما هو مفتاح المرور، وكيف تعمل مفاتيح المرور
مفتاح المرور ليس رمزًا أفضل؛ بل هو زوج من المفاتيح التشفيرية، وفهم هذا الزوج هو جوهر الأمر. عند إنشاء مفتاح مرور لموقع ويب أو تطبيق، يقوم جهازك تلقائيًا بإنشاء قيمتين مرتبطتين، مفتاح عام ومفتاح خاص، باستخدام معايير FIDO2 وWebAuthn التي اعتمدتها شركات Apple وGoogle وMicrosoft في أنظمتها كأساس للمصادقة بدون كلمة مرور.
تطورت ميزة مفاتيح المرور بسرعة. أفاد تحالف FIDO بوجود حوالي 5 مليارات مفتاح مرور قيد الاستخدام النشط حتى مايو 2026، حيث قام 75% من المستهلكين بتفعيل مفتاح مرور واحد على الأقل في حساب واحد. لم تعد هذه الميزة حكرًا على فئة معينة.
المصافحة بين المفتاح العام والخاص
يكمن سر أمان كلمة المرور في الفصل بين المفتاحين. تخيّل المفتاح العام كقفل يحتفظ الموقع بنسخة منه، والمفتاح الخاص هو الوسيلة الوحيدة لفتحه، وهو مُخبأ داخل هاتفك. عند تسجيل الدخول، يُرسل الموقع إلى جهازك لغزًا لمرة واحدة لتوقيعه. يُوقّع جهازك هذا اللغز باستخدام المفتاح الخاص، ويرسل الإجابة، ثم يتحقق الخادم منها بمقارنتها بالمفتاح العام الموجود لديه، وبذلك تكون قد دخلت. لا تنتقل أي معلومات سرية عبر الشبكة، لذا لا يملك أي شخص يتنصت على الشبكة أي شيء لسرقته وإعادة استخدامه لاحقًا.
يُتيح التحقق البيومتري أو رمز PIN الخاص بجهازك فتح المفتاح الخاص محليًا ليتمكن من التوقيع. ولا تصل بصمة الإصبع إلى الخادم أبدًا. قارن ذلك بكلمة المرور، التي تُقدمها كاملةً في كل مرة تُسجل فيها الدخول، واثقًا من أن من يقف وراءها سيحفظها بأمان.
مكان تخزين كلمات المرور الخاصة بك: متزامنة أم مرتبطة بالجهاز
تأتي مفاتيح المرور بنوعين. النوع الأول هو مفاتيح المرور المتزامنة، التي تُخزَّن في مدير كلمات المرور أو سلسلة مفاتيح النظام الأساسي (مثل Apple أو Google أو أدوات مثل 1Password أو Bitwarden)، وتُستخدم على جميع الأجهزة. أما النوع الثاني فهو مفاتيح المرور المرتبطة بالجهاز، بما في ذلك تلك الموجودة على مفاتيح الأمان المادية، والتي لا تُغادر الجهاز الذي أنشأها. تتميز مفاتيح المرور المتزامنة بسهولة استخدامها، كما أنها تبقى محفوظة حتى في حال فقدان الهاتف. بينما توفر مفاتيح المرور المرتبطة بالجهاز أعلى مستوى من الحماية المادية، لأن مفاتيح التشفير مُثبَّتة على جهاز واحد يُمكنك وضعه في درج.
مفاتيح المرور مقابل المصادقة الثنائية: الاختلافات الرئيسية
أسهل طريقة لفهم الفرق هي كالتالي: المصادقة الثنائية تضيف خطوة إلى كلمة المرور، بينما يستبدل مفتاح المرور كلمة المرور تمامًا. بمجرد فهمك للأمر بهذه الطريقة، ستفهم الباقي. لا تزال المصادقة الثنائية تعتمد على سر معروف يمكن تسريبه، بينما لا يوجد سر مشترك يمكن تسريبه في مفتاح المرور أصلًا.
يُحدث هذا التغيير البسيط تأثيرًا شاملًا على كل شيء آخر، بدءًا من مقاومة التصيد الاحتيالي وصولًا إلى سرعة تسجيل الدخول. تُشير التقارير التي تُفيد بأن مزودي خدمات تسجيل الدخول الذين يستخدمون مفاتيح المرور يُسجلون عمليات تسجيل دخول أسرع وأكثر نجاحًا بشكل ملحوظ من استخدام كلمة مرور مقترنة برمز عبر الرسائل النصية القصيرة، وذلك لعدم وجود أي شيء للكتابة أو الانتظار. يُوضح الجدول أدناه الفروقات الرئيسية.
| ما يهم | التحقق بخطوتين (كلمة المرور + رسالة نصية قصيرة/رمز التحقق عبر الهاتف) | مفتاح المرور |
|---|---|---|
| يستبدل كلمة المرور | لا، بل يزيد من ذلك. | نعم |
| مقاوم للتصيد الاحتيالي | لا (يمكن إعادة توجيه الرموز) | نعم (مرتبط بالنطاق الحقيقي) |
| التعرض لتبديل شريحة SIM | نعم، عبر الرسائل النصية القصيرة | لا |
| سر مشترك للسرقة | نعم | لا |
| سرعة تسجيل الدخول | أبطأ (أدخل رمزًا) | أسرع (انقر أو امسح ضوئياً) |
| استعادة الجهاز في حالة فقدانه | رموز النسخ الاحتياطي / الرسائل النصية القصيرة | مفتاح المزامنة أو النسخ الاحتياطي |
هل يُعتبر مفتاح المرور نفسه شكلاً من أشكال المصادقة الثنائية أو المصادقة متعددة العوامل؟
هنا يكمن الخلل الذي يُربك المستخدمين. عند فتح مفتاح المرور، يتم إجراء فحصين في نفس اللحظة. تُثبت أنك تحمل الجهاز الذي يخزن المفتاح الخاص، وتُثبت بصمة الإصبع أو مسح الوجه أن الجهاز بحوزتك فعلاً. هذا يعني عاملين في نقرة واحدة، مما يجعل مفتاح المرور متعدد العوامل بحد ذاته. إضافة المصادقة الثنائية التقليدية إليه تُضيف في الغالب طلبًا ثانيًا للتحقق، وليس حاجزًا ثانيًا.
لهذا السبب، لا تُصنّف وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية سوى بطاقات FIDO2/WebAuthn الذكية وبطاقات PKI الذكية كوسائل مصادقة متعددة العوامل مقاومة للتصيّد الاحتيالي. إنّ مفتاح المرور ليس بديلاً أضعف من عامل المصادقة الثاني، بل هو مصادقة متعددة العوامل مصممة خصيصاً لتكون خطوة واحدة.
لماذا يؤدي التصيد الاحتيالي إلى تعطيل المصادقة الثنائية دون تعطيل كلمات المرور؟
يُعدّ التصيّد الاحتيالي الهجومَ الذي يحسم هذا النقاش برمّته. فقد وجد تقرير فيريزون لعام 2025 حول تحقيقات اختراق البيانات أن بيانات الاعتماد المسروقة كانت وراء 22% من الاختراقات، والتصيّد الاحتيالي وراء 16% أخرى، لذا فهذه ليست ثغرات نادرة، بل هي المدخل الرئيسي الذي يسلكه معظم المتسللين.
تخيّل الفخّ المعتاد. يصلك بريد إلكتروني يُحذّرك من أن حسابك مُغلق، فتنقر للوصول إلى صفحة تُشبه تمامًا صفحة حسابك، وتُدخل كلمة مرورك ورمز التحقق المكوّن من ستة أرقام من تطبيق المصادقة. على الموقع الأصلي، سيكون هذا الرمز مقبولًا. أما على نسخة المُهاجم، فيستولي عليه ويُعيد استخدامه مع بيانات تسجيل الدخول الأصلية في غضون ثوانٍ، وبذلك يكون عامل المصادقة الثاني الذي وثقت به قد سمح له بالدخول مباشرةً. هذا هو الجانب الذي يُستهان به. لا تزال المصادقة الثنائية تتطلب من المستخدم تقديم بيانات، ويمكن إقناع أي شخص بأي شيء تقريبًا. أما مفتاح المرور فلا يُقدّم أي بيانات. لا يُمكن كتابة المفتاح الخاص، أو قراءته بصوت عالٍ، أو لصقه في نموذج مُزيّف، وهو يعمل فقط على النطاق الذي أنشأته عليه، لذا لا يوجد لدى الصفحة المُقلّدة أي شيء لجمعه أو لإعادة استخدامه.
مشكلة تبديل شريحة SIM ورمز الرسائل النصية القصيرة
تُعدّ الرسائل النصية القصيرة نقطة ضعف في المصادقة الثنائية. ففي عملية استبدال شريحة SIM ، يُقنع المهاجم شركة الاتصالات بنقل رقمك إلى هاتفه، فتظهر جميع الرموز المُرسلة إليك على شاشته. وقد سجّل مركز شكاوى جرائم الإنترنت التابع لمكتب التحقيقات الفيدرالي 982 شكوى تتعلق باستبدال شريحة SIM في تقريره لعام 2024، بخسائر تقارب 26 مليون دولار، وهذه فقط الحالات التي أبلغ عنها المستخدمون. كما يُمكن اعتراض الرسائل النصية القصيرة مباشرةً عبر ثغرات في بروتوكول الاتصالات SS7 القديم، ما يُؤكد حقيقةً مُقلقة، وهي أن أي رمز ينتقل عبر شبكة الهاتف يُمكن لأي شخص آخر إعادة توجيهه خلسةً.
التصيد الاحتيالي باستخدام رمز التحقق لمرة واحدة والإرهاق الناتج عن المصادقة متعددة العوامل
حتى تطبيقات المصادقة ليست بمنأى عن هذه المخاطر، إذ يُشغّل المهاجمون مواقع وسيطة تعمل في الوقت الفعلي، تتوسط بينك وبين تسجيل الدخول الحقيقي، فتلتقط رمز TOTP الخاص بك وتعيد إرساله خلال فترة الثلاثين ثانية المحددة. كما أن المصادقة الثنائية القائمة على الإشعارات لها نقطة ضعف خاصة بها تُعرف باسم "إرهاق المصادقة متعددة العوامل"، حيث يُرسل المهاجمون رسائل موافقة متكررة حتى يضغط المستخدم المُرهَق أخيرًا على زر الموافقة لإيقاف الإشعارات. لا تُجدي أي من هذه الحيل نفعًا مع كلمة المرور، لعدم وجود رمز يمكن اعتراضه من الأساس، ولا توجد رسالة يمكن الموافقة عليها عن طريق الخطأ.
استخدم مفاتيح المرور على منصات تداول العملات الرقمية والمحافظ الرقمية
هنا يتوقف النقاش حول مفاتيح المرور مقابل المصادقة الثنائية عن كونه نقاشًا نظريًا، وهنا تتجاهل معظم الأدلة العامة الأمر. يستطيع البنك إلغاء عملية احتيال، بينما لا تستطيع تقنية البلوك تشين ذلك. عندما يتسلل مهاجم إلى حسابك في منصة التداول باستخدام شريحة SIM ويسحب رصيدك، تصبح تلك العملية نهائية. وقد أحصى تقرير مكتب التحقيقات الفيدرالي لعام 2025 حول جرائم الإنترنت خسائر إجمالية بلغت 20.9 مليار دولار، منها حوالي 11.4 مليار دولار مرتبطة بعمليات احتيال في العملات المشفرة، وتُعدّ عمليات اختراق الحسابات جزءًا أساسيًا من هذه الخسائر.
تتيح منصات التداول الرئيسية، بما في ذلك Coinbase وBinance وKraken، الآن حماية بيانات تسجيل الدخول باستخدام رمز مرور. يؤدي تفعيل هذه الميزة إلى إزالة رمز الرسائل النصية القصيرة الذي يستهدفه مجرمو سرقة بيانات بطاقات SIM، واستبداله برمز لا يمكن للمهاجمين انتحاله من دولة أخرى.
هناك فرق جوهري، إذ يسهل الوقوع في الخطأ. يُؤمّن مفتاح المرور طريقة تسجيل دخولك إلى حسابك في منصة التداول. وهو يختلف عن المفتاح الخاص أو عبارة الاسترداد لمحفظتك الرقمية ، ولا يحلّ محلّهما. إذا كنت تحتفظ بعملاتك الرقمية بنفسك، فإن عبارة الاسترداد تظلّ المفتاح الرئيسي لأموالك؛ فمفتاح المرور يحمي بوابة منصة التداول، لا خزنتك الرقمية. إن فهم هذا الفرق بدقة هو ما يُميّز بين أمان الحساب الحقيقي والشعور الزائف به.
يُعدّ مفتاح المرور إضافةً قيّمةً لآليات التحكم التي توفرها منصة التداول. فعّله لتسجيل الدخول، ثم أضف قائمة عناوين السحب المسموح بها، بحيث لا يمكن حتى لجلسة مخترقة إرسال الأموال إلى محفظة مجهولة دون فترة انتظار. يمنع مفتاح المرور الاختراق، بينما تحدّ قائمة العناوين المسموح بها من الأضرار في حال حدوث أي ثغرة أخرى. عند استخدام مفاتيح المرور وآليات التحقق الثنائي معًا، يُحسّن الأمان بشكلٍ كبيرٍ يفوق فعالية كلٍّ منهما على حدة، ويتوقف اعتماد حسابك على رمزٍ يُمكن إرساله لاسلكيًا إلى هاتف شخصٍ غريب.
عندما لا تزال بحاجة إلى المصادقة الثنائية التقليدية
لا تزال مفاتيح المرور غير متاحة على نطاق واسع، وغالبًا ما يعتمد اختيارها مقابل المصادقة الثنائية على ما تدعمه الخدمة، لذا لا تتخلى عن المصادقة الثنائية من البداية. يُشير تحالف FIDO إلى وجود أكثر من 15 مليار حساب مُهيأ لمفاتيح المرور بحلول عام 2025، ومع ذلك، لا تزال التغطية متقطعة عبر المواقع الصغيرة، والعديد من الخدمات التي تعتمد عليها لا تزال لا تُقدم سوى كلمة مرور ورمز. في هذه الحالة، احتفظ بالمصادقة الثنائية واختر النسخة الأفضل منها، وهي تطبيق مصادقة بدلاً من الرسائل النصية. تكمن أهمية المصادقة الثنائية أيضًا في إمكانية استعادة الحساب. في حال فقدان الجهاز الذي يحتوي على مفتاح مرور مُرتبط به، فإن استخدام عامل مصادقة احتياطي أو مجموعة محفوظة من رموز الاستعادة هو ما يُتيح لك استعادة الوصول. يستخدم الإعداد الذكي كلا الطريقتين، حيث تستخدم مفاتيح المرور حيثما أمكن، والمصادقة الثنائية عبر التطبيق حيثما لم يكن ذلك ممكنًا، مع وجود خطة استعادة مُدمجة في كليهما.
هناك أيضًا تكلفة انتقالية جديرة بالذكر. فإلى أن يدعم الموقع نظام كلمات المرور، ستضطر إلى استخدام أقوى خيار متاح لديه، وبالنسبة للعديد من الخدمات، لا يزال هذا يعني تطبيق مصادقة بسيط. اعتبر هذا الوضع مؤقتًا وليس نهائيًا، وراجع حساباتك المهمة كل بضعة أشهر، لأن دعم كلمات المرور يتوسع باستمرار، وقد يوفر الحساب الذي لم تتمكن من حمايته الربيع الماضي هذه الميزة الآن.
كيفية التبديل من المصادقة الثنائية إلى مفاتيح المرور
الانتقال عملية تدريجية وليست قفزة واحدة، والقاعدة الوحيدة هي عدم حذف مسار الاستعادة أثناء عملية التبديل. إليك ترتيب منطقي:
1. استبدل الرسائل النصية القصيرة بتطبيق مصادقة على كل حساب لا يزال يستخدم رموز التحقق. هذا وحده يقضي على مخاطر استبدال شريحة SIM.
2. أضف مفتاح المرور أينما كان متاحًا، عادةً ضمن إعدادات أمان الحساب أو إعدادات تسجيل الدخول.
3. قم بتخزين مفتاح المرور في مدير كلمات مرور متزامن أو على مفتاح أمان مادي، وذلك حسب مستوى الأمان المادي الذي تريده.
4. احتفظ بطريقة مصادقة احتياطية واحدة واحفظ رموز الاسترداد الخاصة بك في مكان غير متصل بالإنترنت.
5. قم بإزالة الرسائل النصية القصيرة كعامل فقط بعد أن يتم تسجيل دخولك بشكل صحيح باستخدام رمز المرور.
ابدأ بالحسابات التي تحتوي على أموال أو بيانات شخصية: بريدك الإلكتروني (المفتاح الرئيسي لإعادة تعيين كلمة المرور)، وحسابك في منصة التداول، وبرنامج إدارة كلمات المرور. ثم انتقل إلى الحسابات الأصغر. قد تستغرق عملية النقل بأكملها فترة ما بعد الظهر، ومعظمها وقت انتظار تحميل الصفحات.
الخلاصة: هل نستخدم مفاتيح المرور، أم المصادقة الثنائية، أم كليهما؟
في نقاش كلمات المرور مقابل المصادقة الثنائية، تتفوق كلمات المرور في الهجمات التي تُفرغ الحسابات فعليًا. فالتصيد الاحتيالي واستبدال شرائح SIM يتجاوزان رموز الرسائل النصية القصيرة، وغالبًا رموز التطبيقات أيضًا، ثم يصطدمان بجدارٍ من كلمات المرور. استخدم كلمة المرور أينما وُجدت، واجعلها الخيار الافتراضي في أي منصة تداول عملات رقمية، واحتفظ بالمصادقة الثنائية عبر التطبيقات كخيار احتياطي لكل ما لم يتم تحديثه بعد. السؤال الحقيقي ليس أيّهما نثق به، بل مدى سرعة نقل الحسابات الأكثر أهمية. أيّهما ستُبدّل أولًا؟
