يعرف الجميع مدى صعوبة تذكر كلمات السر الطويلة والمعقده خاصة عندما يمتلك الإنسان عدد كبير من الحسابات على الإنترنت من الإيميل إلى فيسبوك وتويتر ولينكدإن وغيرها وغيرها من الخدمات. ونظرا للخطر الكبير المحدق بهذه الحسابات بسبب نشاطات المخترقين والمجرمين الإلكترونيين الباحثين عن المال والمعلومات, فإن الحاجة إلى طبقة أخرى من الأمان دفعت نحو تبني جميع المنصات ميزة التحقق بخطوتين التي تضيف طبقة أمان ثانية إلى الحساب, حيث يتم توليد كلمة سر مؤقتة وصالحة لمرة واحدة ولفترة محدودة من الوقت, لإتمام عملية تسجيل الدخول إلى الحساب, مما يعني منع أي طرف آخر من الدخول إليه حتى لو حصل على كلمة السر الدائمة للحساب. تصل كلمة السر المؤقتة تلك إلى المستخدم من خلال رسالة نصية قصيرة, أو من خلال مولد الرموز الذي عليه تنصيبه على هاتفه الذكي مثل تطبيق Google Authenticato.
لاشك أن هذه التقنية تساهم إلى حد بعيد جداً بحماية حسابات المستخدمين من الاختراق, لكن التمعن قليلاً فيها, يظر أنه يمكن تجاوزها, وذلك بإحدى طريقتين.
- هجوم الرجل في المتصف
هجوم الرجل في المنتصف هو آلية لاعتراض الاتصال بالإنترنت, أو أي اتصال إلتكروني يتم بين جهازين أو نقطتين, حيث يعمد المهاجم إلى اعتراض الاتصال والاطلاع على البيانات التي يتم تبادلها, ويمكن له تحريفها أو تغيير مسارها, او استبادلها كليا. هذا يعني أن مزود خدمة الاتصال أو الجهات الوصائية التي تستطيع فرض رغبتها على هذا المزود مثل أجهزة الأمن في الدول المستبدة مثلا, يمكن لها أن تعترض الرسالة النصية القصيرة التي تحمل الرمز, واستخدامها للوصول إلى الحساب أيضا, حيث أن هذه الرسائل ترسل بشكل نص صريح ولا يتم تشفيرها في معظم الحالات.
- هجوم الرجل في المتصفح
هذا النوع من الهجوم يقوم على زرع برمجيات خبيثة على جهاز الضحية, ويتم هذا من خلال الهندسة الاجتماعية أو التقنيات الأخرى المعروفة, حيث يخدم المستخدم لفتح ملف أو رابط ما, وتحميل هذه البرمجيات على الجهاز. وعند وصولها إلى الجهاز, تقوم هذه البرمجيات برصد النشاط على المتصفح ونقل ما يتم طباعته فيه إلى المهاجم, وبالتالي يمكن للمهاجم أن يعرف كلمة السر المؤقتة (رمز التحقق بخطوتين) وإعادة استخدامها.
يمكن أيضا في حال تم نسخ جهاز هاتف الضحية (Mirroring) أن يتم استقبال هذه الرموز على جهاز آخر.
هناك دعوات لإعادة النظر بآلية عمل هذه التقنية والمعروفة بتقنية كلمة السر لمرة واحدة OTP, والتركيز على توثيق ومصادقة عملية نقلها بدل من توثيق ومصادقة المستخدم, كما توجد دعوات لاستخدام المؤشرت الحيوية لصاحب الحساب مثل البصمة مثلا لإتمامها بدل الرمز المؤقت مما يعزز أمن هذه الحسابات على نحو أكبر.
لائحة بالخدمات التي تسخدم التحقق بخطوتين.
