لقد سمعت نصيحة لسنوات: تشغيل توثيق ذو عاملين في كل مكان تقدمه. لقد كان من الواضح منذ فترة طويلة أن استخدام اسم مستخدم وكلمة مرور فقط لتأمين الحسابات الرقمية ليس كافيًا. لكن وضع طبقات على “عامل” مصادقة إضافي – مثل رمز تم إنشاؤه عشوائيًا أو رمزًا ماديًا – يجعل مفاتيح مملكتك أكثر صعوبة للتخمين أو السرقة. والمخاطر كبيرة لكل من الأفراد والمؤسسات الذين يحاولون حماية شبكاتهم وبياناتهم القيمة والحساسة من القرصنة المستهدفة أو المجرمين الانتهازيين.
على الرغم من كل مزاياها ، إلا أنه غالبًا ما يتطلب الأمر القليل من الحب الشديد لجعل الأشخاص يقومون فعليًا بتشغيل المصادقة الثنائية ، والتي تُعرف غالبًا باسم 2FA. في مؤتمر بلاك هات الأمني في لاس فيجاس أمس ، قدم جون سوانسون ، مدير الإستراتيجية الأمنية في GitHub ، نتائج جهود منصة تطوير البرمجيات المهيمنة لمدة عامين للبحث والتخطيط ثم البدء في طرح عاملين إلزاميين لجميع الحسابات . وقد اتخذت الجهود إلحاحًا متزايدًا باستمرار هجمات سلسلة توريد البرمجيات ينشر او يبث والتهديدات التي يتعرض لها النظام البيئي لتطوير البرمجيات ينمو.
“هناك الكثير من الحديث عن عمليات الاستغلال وعدم وجود أيام ، وبناء تنازلات بشأن خط الأنابيب فيما يتعلق بسلسلة توريد البرامج ، ولكن في نهاية اليوم ، فإن أسهل طريقة للتغلب على سلسلة توريد البرامج هي التنازل عن مطور أو مهندس فردي ،” أخبر سوانسون WIRED قبل عرضه في المؤتمر. “نعتقد أن 2FA هي طريقة مؤثرة حقًا للعمل على منع ذلك.”
شركات مثل Apple و جوجل بذلوا جهودًا متضافرة لدفع قواعد المستخدمين الضخمة الخاصة بهم نحو 2FA ، لكن سوانسون يشير إلى أن الشركات التي لديها نظام بيئي للأجهزة ، مثل الهواتف وأجهزة الكمبيوتر ، بالإضافة إلى البرامج لديها المزيد من الخيارات لتسهيل الانتقال للعملاء. تحتاج منصات الويب مثل GitHub إلى استخدام استراتيجيات مخصصة للتأكد من أن العامل الثنائي ليس مرهقًا جدًا للمستخدمين في جميع أنحاء العالم الذين لديهم ظروف وموارد مختلفة.
على سبيل المثال ، تلقي رموز تم إنشاؤها عشوائيًا للعامل الثنائي عبر الرسائل النصية القصيرة أقل أمانًا من إنشاء هذه الرموز في تطبيق مخصص للجوّال ، لأن المهاجمين لديهم طرق للتهديد بأرقام هواتف الأهداف واعتراض رسائلهم النصية. في المقام الأول كتدبير لتوفير التكلفة ، فإن شركات مثل X ، المعروفة سابقًا باسم Twitter ، لديها تقليص عروض الرسائل القصيرة ذات العاملين. لكن سوانسون يقول إنه وزملاؤه في GitHub درسوا الاختيار بعناية وخلصوا إلى أنه من الأهمية بمكان تقديم خيارات متعددة من عاملين بدلاً من اتخاذ موقف صارم بشأن تسليم رمز الرسائل القصيرة. أي عامل ثان أفضل من لا شيء. يقدم GitHub أيضًا بدائل ويعززها بقوة أكبر مثل استخدام تطبيق مصادقة لإنشاء التعليمات البرمجية أو مصادقة تعتمد على رسائل الدفع عبر الأجهزة المحمولة أو رمز مصادقة الأجهزة. كما أضافت الشركة مؤخرًا دعم لمفاتيح المرور.
خلاصة القول هي أنه ، بطريقة أو بأخرى ، سينتهي به المطاف جميع مستخدمي GitHub البالغ عددهم 100 مليون مستخدم في 2FA إذا لم يفعلوا ذلك بالفعل. قبل بدء الطرح ، أمضى سوانسون وفريقه وقتًا طويلاً في دراسة تجربة المستخدم ذات العاملين. لقد أصلحوا تدفق الإعداد لجعل الأمر أكثر صعوبة على المستخدمين لتكوين عاملين خاطئين ، وهو سبب رئيسي لحظر العملاء من حساباتهم. تضمنت العملية مزيدًا من التركيز على أشياء مثل تنزيل رموز الاسترداد الاحتياطية بحيث يكون لدى الأشخاص شبكة أمان للدخول إلى حساباتهم إذا فقدوا الوصول. قامت الشركة أيضًا بفحص قدرتها على الدعم للتأكد من قدرتها على الرد على الأسئلة والمخاوف بسلاسة.
يقول سوانسون إنه منذ تلك التحسينات ، شهدت الشركة زيادة بنسبة 38 بالمائة في عدد المستخدمين الذين قاموا بتنزيل رموز الاسترداد الخاصة بهم وتخفيض بنسبة 42 بالمائة في تذاكر الدعم ذات الصلة 2FA. يقوم مستخدمو GitHub أيضًا بمحاولات أقل بنسبة 33 في المائة لاستعادة الحسابات المقفلة. بمعنى آخر ، يبدو أن عمليات تأمين الحساب قد انخفضت بمقدار الثلث.
يقول سوانسون إن النتائج كانت مشجعة للغاية حيث بدأت الشركة في طرح عاملين إلزاميين على مجموعات من المستخدمين في الأشهر الأخيرة. سيستمر الجهد طوال عام 2023 وما بعده. لكن كل الاهتمام والاهتمام اللذين تم إجراؤهما في العملية له هدف محدد في الاعتبار.
يقول سوانسون: “مع اقترابنا من التسجيل للمستخدم ، يتلقون عددًا من رسائل البريد الإلكتروني موزعة على حوالي 45 يومًا ، ويتلقون أيضًا لافتات الموقع عند زيارتهم للموقع لإبلاغهم بالتغييرات والمتطلبات”. “ثم يكون لديهم خيار في نهاية 45 يومًا لإلغاء الاشتراك لمرة واحدة لمدة سبعة أيام إذا كان يجب عليهم ذلك. ربما يكونون في إجازة أو يحتاجون إلى القيام بشيء بالغ الأهمية للمساعدة في تسهيل نقطة الإنفاذ هذه. ولكن بعد الأيام السبعة ، يتم منعك من الوصول إلى github.com. لا يوجد خيار لإلغاء الاشتراك في هذه المرحلة “.
في حملتيهما ذات العاملين ، تركت Apple و Google مساحة كبيرة للمناورة للمستخدمين الذين يرغبون في ترك المصادقة الثنائية (2FA) متعمدة ومتعمدة. ولكن بخلاف مشكلة الوصول المشروعة والتي لا يمكن التغلب عليها ، يقول سوانسون إن GitHub ليس لديها خطط للتساهل. ولم يثر أحد مثل هذا القلق حتى الآن.
“نحن نتخذ كل التدابير الممكنة لمحاولة توعية الناس وتجنب المشاكل. ولكن في مرحلة ما ، نشعر أن لدينا التزامًا – ومسؤولية – لدعم النظام البيئي للبرنامج الأوسع ومساعدته على أن يكون آمنًا ، كما يقول سوانسون. “ونعتقد أن هذه طريقة مهمة للقيام بذلك.”
يؤكد سوانسون على أن المنصات الرقمية تحتاج إلى تعزيز التبني ثنائي العوامل في جميع المجالات ، لكنها تحتاج أولاً إلى إجراء البحوث والتخطيط بعناية وتوسيع قدرتها على الدعم قبل فرض الحماية.
“على الرغم من أننا نريد أن ينضم إلينا الأشخاص في هذه الرحلة ، فإن هذا ليس شيئًا يجب على المؤسسات أن تستخف به. أنت بحاجة إلى الاستعداد والحصول على تجربة المستخدم بشكل صحيح ، “كما يقول. “إذا كانت نيتنا تطبيع المصادقة الثنائية (2FA) للمجتمع الأوسع ، فإن أسوأ شيء يمكن أن نفعله هو الفشل والفشل بشكل واضح.