في هذه المرحلة، أصبح التحقق بخطوتين (2FA) هو المعيار الذهبي الجديد للأمان. أول مرة صادفته كانت على موقع البنك الذي أتعامل معه. في ذلك الوقت، وكوني طالبًا مفلسًا، لم أفهم لماذا هو مهم. ما زلت طالبًا مفلسًا، ولكنني الآن أفهم لماذا تحتاج خدمة مصرفية إلكترونية إلى التحقق بخطوتين. ما زلت لا أفهمه هو لماذا يصر حسابي على Grammarly على ذلك.
التحقق بخطوتين (2FA) هو ما يحدث عندما تدخل اسم المستخدم وكلمة المرور الخاصة بك، لتتفاجأ بالرسالة المخيفة: “الرجاء إدخال الرمز المرسل إلى [عنوان بريدك الإلكتروني]”. من الناحية النظرية، هو طبقة إضافية من الأمان. حتى لو كان شخص ما يمتلك بيانات الاعتماد الخاصة بك، فإنه لا يزال بحاجة إلى الوصول إلى بريدك الإلكتروني أو هاتفك. ولكن من الناحية العملية، فإن التحقق بخطوتين يمثل مشكلة أكبر للمستخدم منه للمخترق.
روابط سريعة
يعقد الوصول بشكل مفرط
لا يجب أن تضطر إلى فحص مكابح سيارتك قبل كل مشوار
بشكل أساسي، الغرض الكامل من التحقق بخطوتين هو جعل الوصول أصعب، ونعم، هو ينجح في ذلك – ولكن ليس فقط للمخترقين، بل بالنسبة لي أيضًا. احتمالات أن الشخص الذي يقوم بتسجيل الدخول ليس أنا بل بعض المخترقين ضئيلة، ومع ذلك فأنا من يعاقب بالمرور عبر حلقات. أحتاج الآن إلى نافذتين مفتوحتين على الأقل لتسجيل الدخول في أي مكان. أولاً، الموقع. ثم، بريدي الإلكتروني، للحصول على الرمز. والأسوأ من ذلك، إذا كان التحقق بخطوتين يعتمد على الرسائل النصية القصيرة (SMS)، فيجب علي إحضار هاتفي.
إنها نفس المعضلة المتأصلة في أي إجراء أمني. يمكنك منع مكابح سيارتك من الفشل عن طريق فحصها قبل كل مشوار. هذا منطقي: إذا كنت لا تريد فشل المكابح، وإذا كنت تريد تجنب الحوادث وعيش حياة أطول، فيجب عليك فحص مكابح سيارتك في كل مرة. ولكن لا أحد يفعل ذلك لأنه غير ممكن عمليًا. هذا ما يحدث مع التحقق بخطوتين.
استخدام VPN يزيد الأمر سوءًا. أنا دائمًا تقريبًا أقوم بتشغيل VPN. هذا يعني أن نقطة التفتيش الساذجة للتحقق بخطوتين “هل هذا هو نفس عنوان IP؟” تعلمني تقريبًا في كل مرة. استخدام VPN ثابت يقتل نقطة الخصوصية، ولكن بدونه، أضطر إلى هذه الدورة اللانهائية لاسترداد الرموز. إذن ما الذي يفترض أن يفعله المرء، بخلاف الإمساك ببريده الإلكتروني أو هاتفه في كل مرة يريد فيها تسجيل الدخول؟
شعور زائف بالأمان
العادات الجيدة أكثر أهمية من إعادة المصادقة المستمرة
من الواضح أن هناك فرقًا بين وجود عادات أمان جيدة للبريد الإلكتروني ناهيك عن الاضطرار إلى القفز عبر الأطواق في كل مرة تسجل فيها الدخول. أنت لست بحاجة إلى رقابة صارمة على الجودة إذا كان لديك ضمان جيد للجودة. إذا كنت تقود السيارة بمسؤولية بالفعل وتستبدل مكابحك بانتظام، فلست بحاجة إلى فحصها قبل كل رحلة؛ ينطبق المنطق نفسه هنا.
لا أستطيع أن أحصي عدد المرات التي حاولت فيها تسجيل الدخول إلى حسابي في Google على هاتفي، ليتم إرسال مطالبة التحقق إلى الجهاز نفسه. إذا كان شخص ما يمتلك هاتفي، فقد انتهت اللعبة – فهم لا يحتاجون حتى إلى كلمة المرور الخاصة بي. يمنحهم رمز البريد الإلكتروني أو الرسائل النصية القصيرة المفاتيح. لا تزال المصادقة الثنائية عبر الرسائل النصية القصيرة موجودة في كل مكان، على الرغم من أن تبديل شريحة SIM يمثل تهديدًا معروفًا ونشطًا. المصادقة الثنائية عبر الرسائل النصية القصيرة مريحة، ولكنها غير آمنة بشكل سخيف. لا يمكن لموقع ويب أن يدعي بجدية أنه جعل حسابك أكثر أمانًا عن طريق إضافة المصادقة الثنائية عبر الرسائل النصية القصيرة.
غير موثوق بها
تم بناء المُصادقة الثنائية على طرق تسليم مهتزة
على الرغم من اعتبار المصادقة الثنائية حجر الزاوية في الأمن الحديث، إلا أنها أبعد ما تكون عن الموثوقية. كانت تجاربي مع Google جيدة، لكن المصادقة الثنائية من Meta غير متناسقة، والمصادقة الثنائية من Microsoft مروعة تمامًا (سأتحدث عن هذا لاحقًا). إذا كانت الشركات التقنية الكبرى لا تستطيع إتقان المصادقة الثنائية، فما هو الأمل للشركات الصغيرة؟ وإذا كانوا يعتمدون على خدمة طرف ثالث، فماذا يحدث عندما تتعطل هذه الخدمة – هل نفقد فجأة الوصول إلى عشرات الحسابات في وقت واحد؟
كان لدى مزود الخدمة الخاص بي انقطاع في الخدمة الأسبوع الماضي. لم أتمكن من تسجيل الدخول إلى لوحة التحكم الخاصة بي لأن رمز الرسائل النصية القصيرة لم يصل أبدًا. مع المصادقة الثنائية المستندة إلى الرسائل النصية القصيرة، حتى أدنى خلل في الشبكة يمكن أن يبتلع النص بالكامل.
يتعامل المزودون مع المصادقة الثنائية كشبكة أمان اختيارية، وليست ميزة أساسية. هذا يعني أنهم لا يكلفون أنفسهم عناء آليات النسخ الاحتياطي القوية. إذا كان كل حساب قائم على كلمة مرور يتطلب الآن المصادقة الثنائية، فلماذا لا يعمل النظام في كلا الاتجاهين؟ يجب أن تتطلب الحسابات التي تم إعدادها فقط باستخدام الهاتف أو البريد الإلكتروني أيضًا كلمة مرور احتياطية. لأنه عندما تسوء المصادقة الثنائية – وهذا يحدث كثيرًا – فأنت في ورطة.
فوضى البريد الوارد والخصوصية
الرموز تأتي بتكاليف خفية
تصبح كل محاولة تسجيل دخول بريدًا إلكترونيًا أو نصًا آخر لم أطلبه أبدًا. المصادقة الثنائية تجعل ذلك أمرًا لا مفر منه. أنا أسلم باستمرار بريدي الإلكتروني أو رقم هاتفي إلى الشركات التي أفضل عدم القيام بذلك. هل تتذكر عندما كان بإمكانك التسجيل باسم مستخدم وكلمة مرور فقط؟ في ذلك الوقت كان عليك تأكيد كلمة المرور؛ الآن أنت تؤكد بريدك الإلكتروني بدلاً من ذلك. كلمات المرور لم تعد رائجة.
وهناك مشكلة خصوصية أعمق. عندما يتعامل مزود البريد الإلكتروني الخاص بي مع رموز المصادقة الثنائية، فإنه يراقب بشكل أساسي كل محاولة تسجيل دخول. يعرف Gmail متى أحاول تسجيل الدخول إلى PayPal. لا أريد أن يعرف Gmail ذلك.
تفعيل التحقق بخطوتين عبر الرسائل النصية أسوأ مما تتخيل. شركة الاتصالات التي أتعامل معها، والتي تعرف بالفعل رقمي وموقعي، أصبحت تعرف الآن التطبيقات التي أستخدمها ومتى. صحيح أنها لن تستخدم هذه الرموز لتسجيل الدخول بدلاً مني، لكن الأمر مقلق للغاية.
حتى لو لم تكن مهتمًا بالخصوصية بشكل كبير، فبالتأكيد تريد راحة البال. لا أريد أن أعطي رقم هاتفي لكل موقع أسجل فيه، ثم أغرق برسائل تسويقية مزعجة. ولا أريد أن أضطر للرد بكلمة “إيقاف” على رمز مختصر ثم يتم محاسبتي على ذلك.
أنا أقدر جدًا صندوق الوارد النظيف، خاصةً رسائل الـ iPhone الخاصة بي. لهذا السبب أحببت نظام iOS 26—لأنه أخيرًا جلب مجلدات الرسائل غير المرغوب فيها إلى أجهزة الـ iPhones. ولكن في أسوأ الحالات، تستخدم الخدمة نفس الرقم لكل من التحقق بخطوتين والرسائل غير المرغوب فيها. إذا قمت بحظر الرقم، فستكون قد منعت نفسك من الوصول إلى حسابك. يا له من حل مثالي!
عمليات إغلاق دائمة
لم أتجاوز بعد خسارة حسابي في Outlook
قد يؤدي عدم القدرة على الوصول إلى بريدك الإلكتروني الاحتياطي أو هاتفك أو جهازك إلى إغلاقك نهائيًا من حسابات مهمة، وعملية الاسترداد تكون قاسية للغاية. لقد عشت هذا الكابوس مع Microsoft، وبعد مرور أكثر من عام، ما زلت أدفع الثمن.
كان لدي بريد إلكتروني على Outlook مرتبط بالجامعة والعمل. كل حساب مهم—Asana, Slack, CMS, مواقع الشركة, LinkedIn, لوحة الجامعة الخاصة بي, VPN—كان متصلاً بهذا العنوان.
كنت أرغب فقط في إرسال مسودة رسالتي إلى أستاذي. لكن Outlook كان لديه خطط أخرى—فقد أجبرني على إعادة المصادقة. لا مشكلة. كتبت بريدي الإلكتروني وكلمة المرور، لكن هذا لم يكن كافيًا. تم إرسال رمز التحقق بخطوتين إلى بريدي الإلكتروني الاحتياطي. لسوء الحظ، كان البريد الاحتياطي عبارة عن بريد Outlook آخر يطلب أيضًا التحقق بخطوتين.
البريد الاحتياطي للاحتياطي كان حسابي على Yahoo. يمكنك بالفعل تخمين ما سيحدث. انهار النظام بأكمله مثل أحجار الدومينو. نفد الوقت والصبر، فضغطت على “إعادة تعيين كلمة المرور”. أجبت على سؤالين أمان بشكل صحيح، لكن قيل لي أن حسابي “محظور بسبب نشاط مشبوه”.
بحلول الوقت الذي استعدت فيه الوصول إلى Yahoo و Outlook الثانوي، كان الحساب الرئيسي قد اختفى. أراد نظام الاسترداد الخاص بـ Microsoft موضوعات رسائلي الإلكترونية الحديثة (لا مشكلة)، وجهات الاتصال الحديثة (لا مشكلة)، والبلد الذي سجلت منه (مستحيل—كنت أستخدم دائمًا VPN). خمنت البلد بشكل خاطئ. كان رد Microsoft هو تجريدي من القدرة على المحاولة مرة أخرى. تم إغلاقه بشكل دائم.
اضطررت إلى التدافع وتغيير بريدي الإلكتروني في كل مكان، وشرح الأمر للأساتذة والزملاء، والاعتذار عن الفوضى. لا تزال بعض الخدمات لا تسمح لي بتحديث تسجيل الدخول الخاص بي بدون عنوان Outlook هذا. إذا تم تسجيل خروجي، فستختفي هذه الحسابات إلى الأبد.
نعم، عاداتي الأمنية لم تكن مثالية. لم يكن من المفترض أن أستخدم Outlook كنسخة احتياطية لـ Outlook. كان يجب عليّ فحص النسخ الاحتياطية الخاصة بي بشكل أكثر انتظامًا. لكن هذا العقاب قاسٍ للغاية. يجب أن يحمي الأمان المستخدمين دون جعلهم رهائن لحساباتهم الخاصة. بدلاً من ذلك، حظرني المصادقة الثنائية (2FA) من حياتي. وفي عام 2025، لم يعد دعم العملاء خيارًا متاحًا حقًا. ستحصل على روبوت دردشة يعمل بالذكاء الاصطناعي بدلاً من ذلك.
العلاج أسوأ من الداء
بالنظر إلى كل شيء، أتفهم سبب تقديم المصادقة الثنائية (2FA) كحصن ضد الوصول غير المصرح به، ولكن ثبت أن تطبيقها في العالم الحقيقي يسبب مشاكل أكثر مما يستحق. التعقيد المفرط للوصول، والطبيعة غير الموثوقة لتسليم الرموز، والفوضى وانتهاك الخصوصية في صناديق البريد الوارد لدينا، واحتمال عمليات الإغلاق الدائمة المرعبة – هل تتجاوز تكلفة هذه الطبقة الإضافية من الأمان حقًا فوائدها المقصودة؟
