الحماية والأمان الكامل على الإنترنت هي عبارة عن كذبة كبيرة! لا يوجد شيء إسمه حماية كاملة بنسبة 100% على الشبكة العنكبوتية، ولا يوجد شيء اسمه خدمة مُحصنة من الاختراق بشكل كامل. وقد شاهدنا في السابق كيف تعرضت مؤسسات وهيئات حكومية ومالية بالغة الحساسية إلى عمليات اختراق ناجحة، بما في ذلك حسابات البريد الالكتروني التابعة لشخصيات هامة بل والخاصة برؤساء بعض الدول أحيانًا أخرى.
بالطبع، تقدم الشركات العملاقة مثل غوغل ومايكروسوفت على سبيل المثال درجات عالية من الحماية التي تُحصّن مخدماتها من الاختراق الذي قد يؤدي إلى سرقة كلمات مرور وحسابات مستخدمي خدمات هذه الشركات. لكن الشركات مزوّدة الخدمة ليست هي المسؤول الوحيد عن حماية بياناتك وحماية بريدك الالكتروني، فهناك وسائل أخرى يمكن للمُخترقين من خلالها سرقة كلمة مرورك الخاصة بالبريد الالكتروني والدخول بسهولة إلى حساب “جيميل” الخاص بك على سبيل المثال. بعض هذه الوسائل قد تكون عبارة عن برمجية خبيثة يتم زرعها في جهاز الكمبيوتر الخاص بك تعمل على تسجيل كل ما تكتبه على لوحة المفاتيح ومن ثم سرقة كلمات المرور بكل سهولة. ويزداد هذا الخطر في حال استخدام أجهزة كمبيوتر عامة للوصول إلى بريدك الالكتروني في أماكن مثل مقاهي الانترنت أو المطارات على سبيل المثال.
في النهاية، فإن كل من يحصل على كلمة المرور الخاصة بك سيتمكن بسهولة شديدة من الوصول إلى حساباتك على الانترنت، بغض النظر عن الوسيلة التي حصل بها على كلمة المرور. السؤال هنا: هل توجد وسيلة لمنع المُخترق من الوصول إلى حسابي حتى لو حصل على كلمة المرور الخاصة بي؟ الجواب هو نعم! وهذا ما سنشرحه الآن.
التحقق بخطوتين أو two-step verification هي وسيلة حماية رائعة لمنع حساباتك الإلكترونية من السرقة، للأسف الكثير من المستخدمين لم يسمعوا بها مسبقًا. هذه الوسيلة تمنحك الثقة والراحة النفسية بأن حساباتك غير قابلة للدخول غير المُصرّح به من قِبل أي شخص كان حتى لو تمكن من الحصول على كلمة المرور الخاصة بك.
غوغل هي من أولى الشركات التي أتاحت هذه الميزة، وهي قابلة للاستخدام بالنسبة لحسابات غوغل، أي أنك تستطيع بواسطتها حماية Gmail و Google Drive و +Google وغير ذلك من عشرات الخدمات التي تقدمها غوغل. بالإضافة إلى ذلك هناك شركات أخرى تبنّت خدمة التحقق بخطوتين الخاصة بغوغل مما يعني أنك تستطيع استخدام نفس الطريقة المشروحة هنا تقريبًا لحماية خدمات أخرى لا تتعلق بغوغل وسنتحدث عن هذا لاحقًا، لكن أولًا دعنا نشرح مفهوم التحقق بخطوتين قبل الانتقال لشرح طريقة تفعيل الميزة.
التحقق بخطوتين من حيث المفهوم ليس بالأمر الجديد، والكثير منا يستخدمه في حياته اليومية دون أن يدرك أنه يستخدم ما يُعرف بالتحقق بخطوتين. فبطاقة الصراف الآلي ATM تعتمد على نفس المفهوم. عندما تريد سحب النقود من جهاز الصرف الآلي فإنك تحتاج إلى شيئين لا يمكن إتمام السحب بوجود أحدهما دون الآخر: الأول هو البطاقة، والثاني هو الرمز السري. لو تمت سرقة بطاقتك فلن يتمكن السارق من استخدامها وسحب الأموال لأنه لا يعرف الرمز السري، ولو تمكن أحدهم من معرفة الرمز السري فقط دون أن يحصل على البطاقة، فلن يتمكن بالتأكيد من استثمار هذا الأمر لصالحه.
غوغل نقلت نفس هذا المفهوم لحماية خدماتها على الانترنت، لكن بدل البطاقة والرمز السري، ستحتاج إلى هاتفك المحمول، وكلمة المرور بالطبع. وبما أننا نحمل هواتفنا معنا أينما ذهبنا، فهي تُشكل وسيلة ممتازة لاستخدامها كطبقة ثانية للدخول إلى حساباتنا، وهذا ما سنوضحه حالًا.
قبل شرح طريقة التفعيل سنشرح باختصار كيف تعمل طريقة التحقق بخطوتين بعد قيامك بتفعيلها:
- عند الدخول إلى الخدمة المطلوبة، وليكن بريد Gmail مثلًا، تقوم بإدخال كلمة المرور الخاصة بك (وهذه هي الخطوة التقليدية)
- بدل إدخالك مباشرةً إلى البريد، ستظهر لك صفحة أخرى تطلب منك إدخال رمز التحقق
- رمز التحقق هذا ستحصل عليه من خلال تطبيق خاص على هاتفك يقوم كل 30 ثانية بتوليد رمز جديد، أو سيصلك كرسالة SMS إلى هاتفك
- تقوم بإدخال الرمز، وسيتم نقلك حينها إلى صندوق بريدك الالكتروني
هذا يعني أن أي شخص يمتلك كلمة مرور بريدك الالكتروني ستكون عديمة الفائدة بالنسبة له، فعند إدخالها سيتم طلب إدخال رمز التحقق كذلك، وهو ما لا يستطيع الحصول عليه طالما لم يكن هاتفك موجودًا معه كذلك!
طريقة تفعيل التحقق بخطوتين لحماية حساب غوغل الخاص بك من السرقة:
1- أدخل إلى الصفحة الخاصة بأي خدمة من خدمات غوغل (مثل google.com أو gmail.com) وقم بتسجيل الدخول بالشكل المعتاد.
2- إضغط على صورتك الظاهرة في الزاوية العليا اليمنى من الصفحة ثم اضغط على Account للدخول إلى صفحة إعدادات حسابك.
3- من القائمة اليُسرى إضغط على Security وسترى ضمن الصفحة خيار التحقق بخطوتين كما هو ظاهر في الصورة، لاحظ أن حالة الخدمة حاليًا هي غير مفعلة: OFF. إضغط على Settings.
4- ستظهر لك صفحة تعريفية فيها شرح بسيط عن الخدمة. إضغط على Start setup كي تبدأ عملية الإعداد. سيطلب منك إدخال كلمة المرور الخاصة بك مرة أخرى. قم بإدخالها واضغط على Sign in للمتابعة
5- ستظهر لك الآن صفحة شبيهة بما تراه في الصورة التالية، تطلب منك إدخال رقم هاتفك المحمول. ستستخدم غوغل هذا الرقم لتنبيهك في حال قام أحدهم بمحاولة الدخول لحسابك، كما سيتم استخدام الرقم لإرسال رمز التحقق لهاتفك لدى قيامك بتسجيل الدخول لحسابك. هذه الخطوة ليست ضرورية لإتمام العملية وتستطيع تجاوزها إن أحببت بالضغط على Skip لكن من الأفضل إدخال رقم هاتفك والضغط على Send verification code.
6- سيتم إرسال رمز تحقق للتأكد من صحة رقم هاتفك، وسيتم إظهار حقل جديد يطلب منك إدخال الرمز الذي سيصلك إلى هاتفك عبر رسالة SMS خلال دقيقة تقريبًا. أدخل الرمز ثم اضغط verify. بعد إدخال الرمز سيتم نقلك مرة أخرى إلى صفحة تسجيل الدخول حيث ستحتاج مرة أخرى إلى إدخال كلمة مرور حساب غوغل الخاص بك، قم بإدخالها واضغط Verify للمتابعة.
7- سيتم نقلك الآن إلى مرحلة تفعيل التحقق بخطوتين، وهي عبارة عن أربع خطوات، الخطوة الأولى هي اختيار الطريقة التي تريد أن تستقبل رمز التحقق من خلالها. كما ترى في الصورة أدناه لديك خيارين: الأول هو عبر رسالة SMS والثاني من خلال مكالمة صوتية حيث سيتم الاتصال بك وتزويدك بالرمز عبر المجيب الآلي. اختر الطريقة التي تحب لكن الـ SMS هي الأفضل والأسهل على الأغلب، فلو كانت جودة الشبكة رديئة قد لا تسمع الرمز بشكل جيد. تستطيع إن أحببت إدخال رقم مختلف عن الرقم الذي أدخلته في الخطوة أعلاه لاستقبال رمز التحقق بخطوتين عليه، أو تستطيع الإبقاء على نفس الرقم والضغط على Send code:
8- سيتم إرسال رمز تأكيد آخر لهاتفك برسالة SMS قم بإدخاله ثم الضغط على Verify كما هو ظاهر في الصورة التالية:
9- الخطوة التالية ستسألك إن كنت تريد الوثوق بجهاز الكمبيوتر هذا، والذي تستخدمه حاليًا لعمل الإعدادات. هذا يعني أنك لو اخترت الوثوق بالجهاز، لن تحتاج إلى إدخال رمز التأكيد في كل مرة أردت فيها تسجيل الدخول إلى حسابك في غوغل، لأن غوغل ستضيف الجهاز إلى قائمة الأجهزة الموثوقة لديها، وسيتم طلب الرمز مرة واحدة كل شهر فقط. لو كان هذا الجهاز هو جهاز الكمبيوتر الشخصي الخاص بك ولا يستخدمه أحد سواك، تستطيع تفعيل الخيار لأن إدخال الرمز في كل مرة قد يكون مزعجًا. حينها لن يتم طلب إدخال الرمز منك، لكن سيتم طلبه ممن يحاولون الدخول إلى حسابك من أجهزة أخرى. أو سيتم طلبه منك إذا حاولت الدخول من جهاز كمبيوتر آخر أو متصفح آخر (تستطيع دائمًا تفعيل أو إلغاء تفعيل هذه الميزة من الإعدادات). الخيار هنا متروك لك بالطبع. بعد الاختيار إضغط على Next:
10- الآن ستظهر الصفحة التالية التي تعرض لك ملخصًا للاختيارات التي قمت بها، إضغط Confirm لتأكيد أنك تريد الاحتفاظ بالإعدادات التي قمت بتفعيلها:
11- بعد الضغط على Confirm ستذهب مجددًا إلى صفحة تسجيل الدخول بحساب غوغل، قم بالدخول مرة أخرى وستظهر لك الرسالة التالية، سنقوم بشرح معناها بعد قليل لهذا إضغط على Do this later ثم اضغط على OK في الرسالة التي تليها، فهناك بعض الأشياء التي ينبغي شرحها أولًا.
مبروك! الآن قمت بتفعيل ميزة التحقق بخطوتين. الآن وعند محاولتك الدخول إلى حسابك في غوغل من متصفح غير موثوق، سيتوجب عليك إدخال رمز التحقق الذي سيتم إرساله لك برسالة SMS إلى هاتفك، وإدخاله ضمن صفحة شبيهة بالصفحة التالية، بعد إدخال الرمز سيتم نقلك بأمان إلى بريدك الالكتروني أو الخدمة الأخرى التي تريد الدخول إليها:
هذا جميل. أنت الآن في مأمن، وعلى ثقة بأنه حتى لو تمكن أحدهم من سرقة كلمة مرورك وإدخالها، لن يستطيع الاستمرار لأن الصفحة الظاهرة أعلاه ستظهر له وتطلب منه إدخال الرمز، الرمز الذي لا يعرفه المُخترق لأنه وصل إلى هاتفك.
لكن هذا يطرح ثلاثة تساؤلات علينا الإجابة عليها:
- ماذا لو كنت في مكان لا تتوافر فيه التغطية، هذا يعني بأن الرسالة لن تصل إلى هاتفك وبالتالي لن تتمكن من الدخول إلى بريدك الالكتروني!
- ماذا لو فقدت هاتفك أو نسيته أو انتهت بطاريته، واضطررت للدخول إلى بريدك الالكتروني من جهاز كمبيوتر غير جهازك الموثوق. كيف ستحصل على الرمز وكيف ستتمكن من الدخول؟
- وأخيرًا، ماذا بالنسبة لبقية التطبيقات والخدمات التي تحتاج إلى إدخال كلمة مرور حسابك الخاص بغوغل. على سبيل المثال برامج الدردشة سواء عبر الويب أو عبر الهاتف المحمول مثل +IM أو imo، إذا ما أردت إعدادها للدردشة باستخدام حساب غوغل الخاص بك. هذه التطبيقات ليست مُعدّة لطلب رمز التأكيد بعد إدخال كلمة المرور، وبالتالي فمجرد إدخال كلمة مرور غوغل الخاصة بك لن تعمل في مثل هذه التطبيقات.
غوغل أخذت بعين الاعتبار الحالات الثلاث أعلاه، وهذا ما سنقوم بشرحه الآن.
تطبيق Google Authenticator
لنبدأ بالنقطة الأولى، ذكرنا في بداية الموضوع أن رسائل SMS ليست الوسيلة الوحيدة للحصول على رمز التأكيد. في الحقيقة فالطريقة الأضمن والأسرع هي تطبيق Google Authenticator المتوفر لأندرويد وآيفون وبلاك بيري. مهمة هذا التطبيق تتلخص في توليد رمز تأكيد جديد كل 30 ثانية تستطيع إدخاله بطريقة مماثلة تمامًا لإدخال الرمز الذي يصلك عبر الرسائل، الفارق الوحيد أنك تحصل على الرمز من خلال التطبيق الذي لا يحتاج إلى توافر اتصال بالانترنت على الهاتف، ولا يحتاج إلى توافر تغطية. لتفعيل تطبيق Google Authenticator اتُبع الخطوات التالية:
1- توجه إلى صفحة إعدادات التحقق بخطوتين. لو كنت قد اتبعت خطواتنا المشروحة أعلاه فأنت الآن ضمن الصفحة بالفعل، لكن تستطيع الوصول إليها دائمًا من صفحة إعدادات حسابك كما شرحنا في الفقرة السابقة (الخطوات 1 و 2 و3).
2- ضمن صفحة الإعدادات أنظر الخيار Mobile Application واضغط على نوع هاتفك كما هو موضح في الصورة، وذلك كي تقوم بإعداد التطبيق على هاتفك:
3- ستظهر لك النافذة الظاهرة في الصورة أدناه والتي تطلب منك تحميل التطبيق ثم تفعيله عن طريق التقاط صورة لرمز الاستجابة السريعة QR Code الظاهر على الشاشة. في البداية قم بتحميل التطبيق على هاتفك من متجر غوغل بلاي أو من مخدمنا بصيغة APK. (لو كان هاتفك آيفون أو بلاك بيري قم باتّباع الخطوات التي ستظهر لك على الشاشة بحسب هاتفك). بعد تحميل التطبيق قم بتشغيله واضغط على زر القائمة ثم اختر Set up account واختر Scan a barcode ثم قم بمسح رمز الـ QR (الذي سيظهر على شاشتك وليس الظاهر في المثال أدناه):
4- بعد مسح الكود سيقوم تطبيق Google Authenticator بتوليد رمز يتغير كل 30 ثانية، قم بإدخال الرمز الظاهر ضمن شاشة التطبيق في حقل Code الظاهر لديك على الشاشة (الموضّح في الصورة أعلاه) ثم اضغط Verify and Save. وبذلك تكون قد قمت بربط التطبيق مع حسابك لتوليد الرموز المناسبة لاستخدامها من أجل تسجيل الدخول كبديل عن رسائل SMS
الرموز الاحتياطية
الآن حان وقت الإجابة على النقطة الثانية والهامة: ماذا لو ضاع أو سُرق الهاتف، أو انتهت بطاريته؟ كيف ستتمكن من تسجيل الدخول بدون الرمز؟ بالطبع لو فقدت الهاتف وكنت قد أضفت جهاز الكمبيوتر الخاص بك إلى قائمة الأجهزة الموثوقة فلن تحتاج إلى الهاتف لتسجيل الدخول. حينها يمكنك الدخول إلى الإعدادات ببساطة وإلغاء تفعيل ميزة التحقق بخطوتين ريثما تقوم بتفعيلها على هاتف جديد. لكن ماذا لو لم تكن قد أضفتك جهازك كجهاز موثوق أو اضطررت للدخول إلى حسابك من جهاز آخر؟ هنا يأتي دور رموز الحالات الطارئة، أو ما تُسمى بالرموز الاحتياطية Backup Codes.
الرموز الاحتياطية هي عبارة عن عشرة رموز يتوجب عليك طباعتها على ورقة صغيرة وتخبئتها في محفظتك. هذه الرموز العشرة يخولك كل منها الدخول إلى حسابك عند عدم توفر هاتفك. وكل رمز منها صالح للاستخدام لمرة واحدة فقط. بعد استخدام الرموز العشرة تستطيع توليد عشرة جديدة، لكن تذكر أن هذه الرموز هي للحالات الطارئة فقط، واحرص على عدم فقدانها. من الأفضل أن تُبقي نسخة في محفظتك ونسخة في المنزل مخبأة بمكان أمين. للحصول على الرموز الاحتياطية اضغط ببساطة على الخيار Show backup codes ضمن صفحة الإعدادات وستظهر لك الرموز في نافذة منفصلة حيث تستطيع حفظها وطباعتها.
ماذا بالنسبة للتطبيقات؟
حسنًا، الآن اتفقنا أنك وعند الدخول إلى بريدك الإلكتروني أو حسابك في غوغل بشكل عام باستخدام متصفح جهاز الكمبيوتر، ستقوم غوغل بإرسال رمز التأكيد إلى هاتفك وستطلب منك إدخاله ضمن صفحة خاصة. هذا أصبح مفهومًا. لكن ماذا بالنسبة للتطبيقات غير المُهيأة أساسًا لطلب الرمز؟ مثل تطبيقات الدردشة التي تدعم Gtalk، أو أي تطبيقات أخرى تحتاج إلى المزامنة مع غوغل حتى لو لم تكن من إنتاج غوغل نفسها؟ لحل هذه المشكلة ابتكرت غوغل ما يُعرف بـ Application Specific Password وهي كلمات مرور تقوم غوغل بتوليدها لك، تصلح للاستخدام مرة واحدة وفي تطبيق واحد. وستحتاج إلى توليد كلمة مرور خاصة بكل تطبيق يطلب منك تسجيل الدخول أو المزامنة مع غوغل.
على سبيل المثال، وفي حال قمت باتباع الخطوات المشروحة أعلاه لتفعيل التحقق بخطوتين، ستلاحظ بأن هاتفك الأندرويد قد فقد الاتصال مع غوغل، وستلاحظ بأن متصفح كروم (على جهاز الكمبيوتر) قد أظهر رسالة خطأ بأنه لم يعد قادرًا على المزامنة. ولو قمت بتفعيل Google Talk على أحد تطبيقات الدردشة الخارجية مثل +IM أو Pidgin ستلاحظ أنها ستصبح غير قادرة على الدخول. لا تفزع! الحل هو توليد كلمات مرور خاصة بهذه التطبيقات وإدخالها مرة أخرى. لعمل هذا، ومن نفس صفحة الإعدادات:
1- اضغط على Manage application-specific passwords:
2- ستظهر لك صفحة شبيهة بالصورة التالية. أكتب إسم التطبيق الذي تريد توليد كلمة مرور له. ما ستكتبه هنا هو مجرد إسم لمساعدتك على تمييز التطبيق فيما بعد إذا احتجت لذلك. تستطيع كتابة أي شيء هنا لكن يفضل كتابة إسم ذو دلالة. على سبيل المثال لو كنت تريد توليد كلمة مرور لمزامنة متصفح كروم على ويندوز، أكتب Chrome on Windows.
3- إضغط Generate password وستظهر لك كلمة مرور طويلة تشبه ما هو ظاهر في الصورة أدناه، قم بإدخال كلمة المرور ضمن التطبيق المطلوب ربطه مع غوغل. يمكن إدخال كلمة المرور مع فراغات أو بدون. لن تحتاج إلى تذكر هذه الكلمة أو الاحتفاظ بها، ولن تحتاج إلى إدخالها مرة ثانية.
الصورة التالية فيها مثال عن التطبيقات والأجهزة الخاصة بي التي قمت بتوليد كلمات مرور لها. كما نلاحظ هناك تطبيق الدردشة Pidgin الذي أستخدمه على كل من ويندوز وأوبونتو، وكذلك الأمر بالنسبة لمتصفح كروم. وبالطبع أحتاج إلى كلمات مرور خاصة كذلك لمزامنة جهازي Nexus 4 و Nexus 7.
هكذا نكون انتهينا من كل ما يتعلق بحماية حساباتك في غوغل من الاختراق عن طريق تفعيل التحقق بخطوتين. لكن يجدر التنويه بأن شركات أخرى قررت الانضمام إلى هذه التقنية التي توفرها غوغل وبدأت بتقديم الحماية بخطوتين. من هذه الشركات خدمة التخزين السحابي Dropbox و خدمة تخزين وإدارة كلمات المرور LastPass، كما يمكن حماية مدونتك على WordPress من خلال إضافة خاصة. وكذلك الأمر بالنسبة لبرمجية Drupal. حتى بعض خدمات الاستضافة بدأت بتفعيل هذه الخدمة على غرار DreamHost. جميع هذه الخدمات تعتمد على تطبيق Google Authenticator. وطريقة تفعيلها سهلة جدًا حيث لا يتجاوز الأمر قيامك بمسح رمز QR Code تزودك به هذه الخدمة أو تلك لتفعيل التحقق بخطوتين عبر التطبيق.
كلمة أخيرة: قد يرى البعض بأن عملية التحقق بخطوتين، هي على درجة من التعقيد. قد يكون هذا صحيحًا إلى حد ما، فلا بد لأي درجة حماية إضافية، أن تحتاج إلى عمل إضافي. الأمر شبيه بتركيب باب حديدي ثاني فوق باب منزلك، الباب الحديدي سيمنحك درجة أعلى من الحماية والأمان، لكنك ستضطر إلى فتح وإغلاق قفلين بدل قفلٍ واحد في كل مرة أردت فيها الدخول أو الخروج. لكن بالنسبة للتحقق بخطوتين فالأمر أسهل من ذلك. بعد الانتهاء من إعداد الميزة لأول مرة، وبعد إنشاء كلمات مرور خاصة ببعض التطبيقات التي تحتاج للتواصل مع غوغل كما شرحنا في الخطوة الأخيرة، بعد ذلك لن يعود الأمر مزعجًا إلى هذه الدرجة. ناهيك عن الطمأنينة وراحة البال التي ستحصل عليها بمجرد معرفتك بأن أحدًا لن يتمكن من الدخول إلى حسابك حتى لو حصل على كلمة المرور. بالنسبة لنا فنحن ننصح الجميع باتّباع هذه الطريقة.
أحدث التعليقات