YubiKey: مفتاح أمان للأجهزة للتشفير والمصادقة متعددة العوامل
قطعة معدنية صغيرة تنقر عليها بطرف إصبعك حققت ما لم تحققه أي كلمة مرور من قبل: فقد أنهت عمليات اختراق الحسابات في إحدى أكثر الشركات تعرضًا للهجمات الإلكترونية في العالم. بعد أن وزعت جوجل مفتاح YubiKey على أكثر من 85,000 موظف ، انخفض عدد حسابات الموظفين التي تم اختراقها بنجاح إلى الصفر، وظل كذلك منذ أوائل عام 2017. هذه هي الفكرة الأساسية لمفتاح الأمان المادي. إنه ليس برنامجًا مضادًا للفيروسات، ولا يخزن عملاتك الرقمية. إنه مجرد أداة مادية تثبت هويتك، ومن شبه المستحيل خداعها.
يشرح هذا الدليل ماهية YubiKey، وكيف يعمل في الواقع، ولماذا يتفوق على الرسائل النصية القصيرة وتطبيقات المصادقة ، وكيفية استخدامه لتأمين حسابات العملات المشفرة التي يستهدفها اللصوص أولاً.
ما هو مفتاح YubiKey ولماذا هو مهم
تخيل مفتاح YubiKey كمفتاح أمان لحساباتك، إلا أن هذا المفتاح غير قابل للنسخ. إنه مفتاح أمان صغير الحجم من شركة Yubico السويدية الأمريكية، التي تصنعه منذ عام 2007. لا يحتوي على بطارية أو شاشة، بل هو مجرد قطعة صغيرة من البلاستيك والمعدن بحجم ذاكرة فلاش، تُوصل بمنفذ USB أو تتصل بهاتفك عبر تقنية NFC، ويحتوي على قرص ذهبي تضغط عليه بطرف إصبعك.
يكمن السرّ في لمسة إصبعك. كلمة المرور شيء تعرفه، وأي شيء تعرفه قابل للسرقة أو التسريب أو التخمين، وغالبًا ما تجتمع هذه الثلاثة معًا. أما مفتاح YubiKey فهو شيء تملكه، ولا يمكنك انتحال صفة شخص ما عن طريق سرقة شيء مادي من جيبه. لذا، يصبح عاملًا ثانيًا للمصادقة الثنائية، وعاملًا قويًا لا يلين. فهو لا يخزن أيًا من عملاتك أو ملفاتك. عند تسجيل الدخول، يجيب على سؤال واحد ثم يتوقف: هل المالك الحقيقي موجود هنا الآن؟ انقر، وستدخل. لا تنقر، وسيختفي تسجيل الدخول من الشاشة، مهما بدت كلمة المرور المسروقة متقنة.
كيف يعمل مفتاح YubiKey على إيقاف التصيد الاحتيالي
يكمن سر الذكاء ليس في المكونات المادية، بل في التوقيع المرتبط بالنطاق والذي لا يمكن لأي موقع ويب مزيف استخراجه من الجهاز.
سر لا يزول أبداً
عند تسجيل مفتاح YubiKey لدى خدمة ما، تقوم الخدمة تلقائيًا بإنشاء زوج جديد من المفاتيح، أحدهما عام والآخر خاص، باستخدام تشفير المفتاح العام. يُثبّت النصف الخاص في شريحة آمنة ولا يُستخرج نهائيًا، لا عبر منفذ USB ولا حتى أثناء حمل الجهاز. أما النصف العام فقط فيُرسل إلى الخادم. بعد ذلك، يصبح كل تسجيل دخول عملية سريعة: يُرسل الموقع طلبًا عشوائيًا، ويُوقّع المفتاح عليه بالنصف الخاص الذي لا يمكن لأحد قراءته، ثم يتحقق الخادم من هذا التوقيع مقابل النصف العام المحفوظ لديه. هذا هو معيار FIDO2 وWebAuthn، المبني على معيار U2F الأقدم، وهو السبب في استحالة استخراج بيانات اعتمادك من الجهاز.
لماذا لا تنجح عمليات التصيد الاحتيالي
والآن نأتي إلى الجزء الذي يقضي فعليًا على التصيد الاحتيالي. في نفس عملية التبادل، يُخبر المتصفح المفتاحَ بالنطاق الذي تتصفحه. يقارن YubiKey هذا النطاق بالموقع الذي سُجِّلَ فيه أولًا. في صفحة مُقلَّدة، يكون النطاق خاطئًا، لذا يتجاهل المفتاح الأمر ويرفض التوقيع. قد تنخدع تمامًا بالموقع المُزيَّف، لكن الجهاز ليس كذلك، وهو ما يُهم. أضف إلى ذلك النقر الفعلي الذي يُثبت وجود شخص، وستحصل على ما تُسميه وكالات الأمن المصادقة المقاومة للتصيد الاحتيالي. يُمكن كتابة كلمة المرور في مربع مُزيَّف، لكن التوقيع المرتبط بالنطاق لا يُمكن ذلك.
كلمة المرور لمرة واحدة، والبطاقة الذكية، ورموز المرور
يدعم جهاز YubiKey الرائد عدة لغات، وليس لغة واحدة فقط. فهو قادر على إرسال كلمة مرور Yubico لمرة واحدة، وهي عبارة عن سلسلة من 44 حرفًا تُضاف إلى الرموز المكونة من ستة أرقام التي يعرضها التطبيق. كما يدعم كلمات المرور لمرة واحدة المعتمدة على الوقت، وهو نفس معيار TOTP الذي يستخدمه تطبيق المصادقة. ويدعم أيضًا بطاقات التعريف الذكية لتسجيل الدخول إلى حسابات الشركات والمؤسسات الحكومية. بالإضافة إلى ذلك، يخزن مفاتيح المرور للمصادقة الكاملة بدون كلمة مرور، حيث يكون المفتاح هو تسجيل الدخول نفسه، وليس مجرد نسخة احتياطية. وقد لاقت هذه الميزة الأخيرة رواجًا سريعًا، إذ تشير تحالف FIDO إلى أن ما يقرب من نصف أفضل 100 موقع ويب يقبل بالفعل مفاتيح المرور.
| بروتوكول | ما يفعله | يستبدل |
|---|---|---|
| FIDO2 / WebAuthn | تسجيل دخول وكلمات مرور مقاومة للتصيد الاحتيالي | كلمات المرور والمصادقة الثنائية الضعيفة |
| يو تو إف | العامل الثاني المرتبط بالأصل | رموز الرسائل النصية القصيرة والتطبيقات |
| Yubico OTP | كلمة مرور لمرة واحدة مكونة من 44 حرفًا | رموز مصادقة قصيرة |
| TOTP / OATH | رموز زمنية مخزنة على المفتاح | تطبيق مصادقة منفصل |
| البطاقة الذكية (PIV) | تسجيل الدخول باستخدام الشهادات | تسجيل الدخول باستخدام شارات الشركات |
لماذا يتفوق مفتاح YubiKey على الرسائل النصية القصيرة وتطبيقات المصادقة؟
يمكن نقل جميع عوامل التحقق الثانوية الشائعة الأخرى إلى موقع مزيف في الوقت الفعلي. أما مفتاح YubiKey فلا يمكن نقله، وهذه الثغرة تحديدًا هي التي تُسرق منها العملات الرقمية.
الرسائل النصية القصيرة هي الحلقة الأضعف
يبدو رمز الرسائل النصية مريحًا، ولكنه أسوأ الخيارات الشائعة. يُرسل الرمز إلى رقم هاتفك، مما يُعرّض رقمك للسرقة. في عملية استبدال شريحة SIM، يُقنع المُهاجم شركة الاتصالات بنقل رقمك إلى شريحتهم، ثم يستولي على رموزك مباشرةً. هذه ليست حالة نادرة. فقد ارتفعت عمليات الاحتيال باستبدال شريحة SIM في المملكة المتحدة بأكثر من 1055% في عام 2024. لهذا السبب، ترفض وكالة الأمن السيبراني وأمن البنية التحتية (CISA) ومكتب التحقيقات الفيدرالي (FBI) اعتبار الرسائل النصية وسيلة مصادقة متعددة العوامل مقاومة للتصيد الاحتيالي. بالنسبة لحسابات الأموال، يُعدّ الاعتماد على الرسائل النصية خطأً، وهذه الثغرة تحديدًا هي التي تجعل مفتاح الأمان المادي أكثر أهمية لحاملي العملات الرقمية من غيرهم.
حتى تطبيقات المصادقة تعاني من ثغرة أمنية ضد التصيد الاحتيالي
تُعدّ تطبيقات المصادقة خطوةً متقدمةً عن الرسائل النصية القصيرة، وتُعتبر وسيلة مصادقة ثنائية قوية إلى جانب رمز التحقق النصي، لكنها لا تزال تعاني من نقطة ضعف. يُنصح بتفعيل أي نوع من المصادقة متعددة العوامل؛ فقد وجدت مايكروسوفت أنها تحجب 99.9% من الهجمات الآلية. مع ذلك، يبقى نوع المصادقة هو العامل الحاسم في نجاح محاولات التصيد الاحتيالي. فالرمز المكون من ستة أرقام الذي يعرضه التطبيق ليس سوى رقم، ويمكن كتابة أي رقم في خانة وهمية. تطلب صفحة التصيد الاحتيالي الحديثة رمزك وترسله إلى الخدمة الحقيقية خلال 30 ثانية. يُغلق مفتاح YubiKey هذه الثغرة، لأن توقيعه مرتبط بالنطاق الحقيقي ولا يمكن استخدامه على نطاق آخر. هذه ليست مجرد نظرية، بل هي السبب وراء توقف 85,000 موظف في جوجل عن التعرض للتصيد الاحتيالي منذ أن حلت مفاتيح الأجهزة محل كل شيء آخر.
| طريقة | مقاوم للتصيد الاحتيالي | مقاوم لتبديل شريحة SIM | يعمل دون اتصال بالإنترنت |
|---|---|---|---|
| رمز الرسائل النصية القصيرة | لا | لا | لا |
| تطبيق المصادقة | لا | نعم | نعم |
| YubiKey | نعم | نعم | نعم |
استخدام YubiKey لتأمين عملاتك الرقمية
إليكم الفائدة المرجوة لكل من يعمل في مجال العملات الرقمية: يقوم مفتاح YubiKey بتأمين الحسابات التي يستهدفها في البداية من يقومون باستبدال شرائح SIM وسحب الأموال من المحافظ الرقمية. تدعم معظم منصات التداول الرئيسية الآن مفتاح أمان مادي لحماية الحسابات، ويتيح العديد منها تسجيل الدخول الكامل باستخدام بروتوكول FIDO2 أو كلمة المرور، بما في ذلك Coinbase وBinance وGemini وOKX وBybit وCrypto.com وKuCoin. تقبل منصتا Kraken وBitfinex المفتاح المادي كعامل أمان ثانٍ. تفعيل هذه الميزة يعني أن اللص الذي يمتلك كلمة مرورك ورقم هاتفك لن يتمكن من الوصول إلى حسابك بدون المفتاح المادي.
لا تكتفِ بمنصة التداول. أهم حساب لديك هو بريدك الإلكتروني - فهو وسيلة استعادة جميع حساباتك الأخرى - لذا خصص له مفتاحًا أولًا. أضف مفتاحًا إلى مدير كلمات المرور لديك، ثم إلى منصة التداول وأي خدمة محفظة تدعمه. الهدف بسيط: إزالة أي بيانات تسجيل دخول تعتمد فقط على رمز يمكن للمحتالين اختراقه أو اعتراضه. سيؤمّن المفتاح نفسه خدماتك الإلكترونية الأخرى بآلية واحدة، ولأن هذه التقنية مصممة خصيصًا للتصدي لهجمات التصيد الاحتيالي، فإنها تحيّد الخطوة التي يعتمد عليها المحتالون لسحب الأموال أو صفحات الإنزال الجوي المزيفة. يصبح مفتاح YubiKey، عبر جميع حساباتك الإلكترونية، هو بيانات الاعتماد الوحيدة التي لا يمكن لأحد نسخها عن بُعد، مما يغلق الباب الذي يعتمد عليه المحتالون لعمليات استبدال شرائح SIM وسحب الأموال.
موديلات YubiKey وكيفية اختيارها
يبدو كتالوج Yubico أكثر تعقيداً مما هو عليه في الواقع. ثلاثة أسئلة تحسم الأمر: ما هي المنافذ الموجودة في أجهزتك، وهل تريد تقنية NFC لهاتفك، وهل تريد قارئ بصمات الأصابع.
بالنسبة لمعظم المستخدمين، يُعدّ YubiKey 5 NFC الخيار الأمثل بسعر 58 دولارًا تقريبًا. فهو يدعم جميع البروتوكولات المذكورة أعلاه، بالإضافة إلى منفذ USB-A وتقنية NFC. هل جميع أجهزتك مزودة بمنفذ USB-C؟ إذًا، YubiKey 5C NFC هو نفس المفتاح ولكن بتصميم مختلف. هل ترغب في خيار أقل تكلفة؟ مفتاح الأمان بسعر 29 دولارًا تقريبًا يُغنيك عن الإضافات ويدعم بروتوكولي FIDO2 وU2F فقط، وهو كافٍ تمامًا للعملات الرقمية وتسجيلات الدخول اليومية. هل تُفضّل بصمة الإصبع؟ سلسلة YubiKey Bio، بسعر 98 دولارًا تقريبًا، تُضيف مستشعرًا بيومتريًا للاستخدام بدون رقم تعريف شخصي، كما يتوفر خط إنتاج FIPS لأماكن العمل الخاضعة للوائح. أيًا كان اختيارك، اشترِ اثنين. الثاني هو النسخة الاحتياطية، وستُقدّر وجوده عندما يتلف الأول.
إعداد واستخدام YubiKey
يستغرق الإعداد حوالي عشر دقائق لكل حساب. أما الجزء الذي لا يحذرك منه أحد فهو النسخ الاحتياطي.
تسجيل مفتاحك
ابدأ من صفحة الإعداد الرسمية، واختر خدمة، ثم افتح إعدادات المصادقة الثنائية أو مفتاح المرور. بعد ذلك، اختر أحد ثلاثة مسارات لتكوين المفتاح: تسجيله كمفتاح أمان، أو حفظ مفتاح مرور له، أو إضافته إلى خانة تطبيق المصادقة. انقر عند ظهور المطالبة، وبذلك تكون قد انتهيت. غالبًا ما يمتلك المستخدمون مفتاحي YubiKey وخيارين للمصادقة لكل حساب، لذا فإن فقدان جهاز واحد لا يمنعهم من الوصول إلى حساباتهم. يعمل المفتاح نفسه على أنظمة Windows و macOS و Linux و Android و iOS، مما يحمي حاسوبك المحمول وهاتفك على حد سواء. ابدأ ببريدك الإلكتروني أولًا، ثم مدير كلمات المرور، ثم Exchange. هذه الثلاثة تغطي معظم المخاطر الحقيقية.
الشرط: النسخ الاحتياطية والحدود الصادقة
مفتاح YubiKey ليس سحريًا، ومن المهم معرفة مزاياه وعيوبه. فعند تسجيل مفتاح واحد وفقدانه، قد تُحرم من الوصول إلى حسابك، لذا احرص دائمًا على تسجيل مفتاح احتياطي أو حفظ رموز الاسترداد في مكان آمن. لا تدعم جميع الخدمات مفاتيح الأجهزة حتى الآن، مع أن القائمة تتزايد سنويًا. هناك تكلفة أولية تبلغ حوالي 58 دولارًا. كما أن الجهاز نفسه قد واجه بعض المشاكل: ثغرة ROCA عام 2017، ومشكلة Infineon عام 2024، وكلاهما يتطلب الوصول المادي، وقد تم إصلاحهما في البرامج الثابتة الأحدث. هذه مجرد ملاحظات بسيطة، وليست عيوبًا جوهرية. لا شيء منها يُقلل من أهمية الأمر الأهم هنا، وهو منع اختراق الحسابات عن بُعد بشكل كامل.
هل يُعدّ مفتاح YubiKey خيارًا مناسبًا لمستخدمي العملات الرقمية؟
لكل من يمتلك عملات رقمية، فالإجابة هي نعم بكل تأكيد. يُشترى مفتاح YubiKey لمرة واحدة، بسعر حوالي 58 دولارًا أمريكيًا بالإضافة إلى نسخة احتياطية، دون أي اشتراك. قارن ذلك بخطر استبدال شريحة SIM واحدة أو صفحة تصيد احتيالي تُفرغ حساب التداول، وستجد أن الفرق شاسع. كلمة المرور وتطبيق المصادقة يرفعان مستوى الحماية، بينما يرفع YubiKey مستوى الحماية إلى درجة يصعب معها على المهاجمين الوصول عن بُعد. إذا كان لديك رصيد في أي من حساباتك الإلكترونية، فهو أرخص تأمين يمكنك شراؤه على الإطلاق.
مفتاح YubiKey يحول إصبعك إلى كلمة مرور
بغض النظر عن البروتوكولات وأرقام الطرازات، فإن مفتاح YubiKey يُؤدي وظيفةً واحدةً على أكمل وجه: فهو يجعل الجزء الأقوى من بيانات تسجيل دخولك شيئًا ماديًا تحمله وتلمسه. صحيح أن التصيد الاحتيالي يستطيع نسخ كلمة المرور وإرسال رمز، لكنه لا يستطيع نسخ مفتاح موجود في جيبك، أو حتى تقليد نقرة إصبعك. هذا هو السبب الرئيسي لفعاليته في حين أن كل شيء آخر قابل للاختراق. ضع واحدًا على بريدك الإلكتروني وحسابك الرئيسي هذا الأسبوع، وأضف نسخة احتياطية. إذن، السؤال الحقيقي الوحيد المتبقي هو السؤال العملي: أي حساب من حساباتك التي لا تزال تحميه برمز يمكن لشخص غريب اختراقه اليوم؟
