دليل الأمان

MFA مقابل كلمة المرور القوية

تعلم كيف يعمل المصادقة متعددة العوامل وكلمات المرور القوية معًا، ولماذا لا يحل أي منهما محل الآخر.

ملخص

المصادقة متعددة العوامل (MFA) وكلمات المرور القوية تحل مشاكل مختلفة. كلمة المرور القوية تجعل هجمات التخمين وإعادة الاستخدام أصعب. MFA يضيف حاجزًا ثانيًا عند سرقة كلمة المرور أو اختراقها أو تسريبها. للحسابات المهمة، استخدم كليهما.

أنواع MFA

قد تشمل MFA تطبيقات المصادقة، مفاتيح الأمان المادية، مفاتيح المرور (passkeys)، موافقات الدفع، الرسائل النصية (SMS)، أو رموز البريد الإلكتروني. تختلف الطرق في مقاومة التصيد وخطر الاسترداد. كلمة المرور الثانية ليست عاملاً ثانيًا حقيقيًا.

توصيات عملية

استخدم كلمات مرور عشوائية فريدة لكل حساب.
فعّل MFA للبريد الإلكتروني، البنوك، العمل، السحابة، وحسابات مدير كلمات المرور.
فضّل الطرق المقاومة للتصيد حيثما كانت متاحة.
احفظ رموز الاسترداد بأمان.
راجع طرق النسخ الاحتياطي والأجهزة الموثوقة.

إرشادات مفصلة

يركز هذا الدليل على كيفية تكامل MFA وكلمات المرور القوية. كُتب للمستخدمين الذين يتساءلون عما إذا كان MFA يقلل من أهمية قوة كلمة المرور، لذا فإن الهدف العملي ليس تقديم ادعاء أمني دراماتيكي. الهدف هو اختيار عادة كلمة مرور يمكنها البقاء في الاستخدام اليومي: نماذج تسجيل الدخول، مديري كلمات المرور، لوحات المفاتيح المحمولة، استرداد الحساب، الأجهزة المشتركة، والخدمات التي تتحقق من صحة الإدخال بطرق غريبة. التوصية الآمنة مفيدة فقط إذا كان بإمكان شخص حقيقي اتباعها باستمرار.

نقطة البداية الأكثر أمانًا هي العشوائية بالإضافة إلى التفرد. العشوائية تعني أن القيمة مختارة من مساحة كبيرة بواسطة مصدر عشوائي مناسب تشفيريًا، وليست مخترعة من تاريخ ميلاد، اسم حيوان أليف، نمط لوحة مفاتيح، أو اقتباس مفضل. التفرد يعني أن نفس كلمة المرور لا تُستخدم في أي مكان آخر. كلمة مرور طويلة ولكن معاد استخدامها قد تفشل بسرعة بعد اختراق غير ذي صلة، بينما كلمة مرور عشوائية فريدة تحد من الضرر إلى الحساب الوحيد الذي استُخدمت فيه.

لهذا الموضوع، الإعداد العملي هو كلمة مرور عشوائية فريدة بالإضافة إلى عامل ثانٍ مستقل. يمكنك تطبيق هذا الإعداد باستخدام مولد كلمة مرور البريد الإلكتروني ثم تخزين القيمة النهائية في مدير كلمات مرور موثوق. PwdGen يولد القيم محليًا في المتصفح باستخدام Web Crypto؛ كلمة المرور المولدة لا تُرسل إلى خادم PwdGen. هذا التصميم المحلي يقلل من التعرض من جانب الخادم، لكنه لا يحمي من كل تهديد. إضافة متصفح ضارة، جهاز مخترق، صفحة تصيد، أو معالجة غير آمنة للحافظة يمكن أن تكشف السر بعد توليده.

المشاكل الأكثر شيوعًا التي يجب تجنبها هي اعتراض الرسائل النصية (SMS)، إرهاق الموافقات، بريد استرداد ضعيف، رموز احتياطية مخزنة بشكل غير آمن، وكلمات مرور معاد استخدامها خلف MFA. هذه المشاكل مهمة لأن المهاجمين نادرًا ما يحتاجون إلى تخمين كل كلمة مرور محتملة عندما تعطيهم العادات البشرية اختصارًا. حشو بيانات الاعتماد، التصيد، قوائم كلمات المرور المسربة، وإساءة استخدام استرداد الحساب غالبًا ما تكون أكثر واقعية من بحث رياضي بحت. لهذا السبب، أفضل نصيحة تجمع بين جودة كلمة المرور وضوابط مستوى الحساب مثل MFA، مفاتيح المرور (passkeys)، تخزين رموز الاسترداد، والمراجعة المنتظمة للبريد الإلكتروني أو إعدادات الهاتف للاسترداد.

استخدم قائمة التحقق هذه عند تطبيق التوصية:

استخدم عوامل قائمة على التطبيق، الأجهزة، أو مفاتيح المرور حيثما كانت متاحة.
احمِ البريد الإلكتروني أولاً.
خزّن رموز الاسترداد بأمان.
لا تضعف كلمات المرور لأن MFA مفعل.

إذا رفض موقع الويب الإعداد المثالي، لا تجبر كلمة المرور على نمط أضعف يدويًا. اضبط متغيرًا واحدًا في كل مرة. إذا تم رفض الرموز، احتفظ بالأحرف الكبيرة والصغيرة والأرقام مفعلة وزد الطول. إذا كان الحد الأقصى للطول منخفضًا، استخدم أكبر طول مقبول وتأكد من أن القيمة فريدة. إذا كان يجب قراءة كلمة المرور بصوت عالٍ، طباعتها، أو كتابتها على شاشة تلفزيون أو راوتر، فكر في استبعاد الأحرف المربكة وزيادة الطول لتعويض الأبجدية الأصغر.

أخيرًا، تذكر حدود نصيحة كلمة المرور. كلمة المرور القوية هي طبقة دفاع واحدة، وليست ضمانًا. لا يمكنها جعل صفحة التصيد آمنة، إصلاح البرامج الضارة، أو تعويض خدمة تخزن بيانات الاعتماد بشكل سيء. العادة المفيدة مملة لكنها دائمة: توليد قيمة فريدة، تخزينها بأمان، حماية مسار الاسترداد، واستبدالها بسرعة إذا اشتبهت في التعرض.

خطوة تالية آمنة

بعد قراءة هذا الدليل، قم بمراجعة حساب صغير واحد بدلاً من محاولة إصلاح كل شيء دفعة واحدة. اختر الحساب الذي قد يسبب أكبر مشكلة إذا تم الاستيلاء عليه، تأكد من أن كلمة مروره فريدة، وتحقق من بريد الاسترداد، هاتف الاسترداد، طريقة MFA، وتخزين رموز الاحتياطية. إذا كان أي جزء من هذه السلسلة ضعيفًا، حسّن ذلك الجزء قبل الانتقال إلى الحسابات منخفضة المخاطر. هذا الترتيب يحافظ على العمل قابلًا للإدارة ويحمي الحسابات التي من المرجح أن يستخدمها المهاجمون كنقطة انطلاق. بالنسبة لـ MFA مقابل كلمة المرور القوية، أفضل نتيجة هي عادة قابلة للتكرار: توليد محلي، تخزين بحذر، وتجنب إعادة الاستخدام.

الأسئلة الشائعة

هل MFA يغني عن كلمة المرور القوية؟

لا. MFA يقلل من خطر الاستيلاء على الحساب، لكن كلمة المرور يجب أن تظل فريدة وقوية.

هل MFA عبر SMS كافٍ؟

SMS قد يكون أفضل من عدم وجود MFA، لكن تطبيقات المصادقة، مفاتيح المرور (passkeys)، ومفاتيح الأمان غالبًا ما تكون أقوى عند توفرها.

ما الذي يجب أن أحميه أولاً؟

احمِ البريد الإلكتروني، مدير كلمات المرور، الحسابات البنكية، العمل، والسحابة أولاً لأنها يمكنها فتح خدمات أخرى.

المصادر

OWASP Multifactor Authentication Cheat Sheet