ما هي المصادقة ثنائية العاملين؟
المصادقة ثنائية العاملين (2FA)، تطبيق محدد من المفهوم الأوسع للمصادقة متعددة العوامل (MFA)، هي آلية تسجيل دخول والتحقق من الإجراء التي تتطلب من المستخدم تقديم أدلة من فئتي عاملين مميزتين على الأقل قبل أن يمنح النظام الوصول أو تسجيل إجراء امتياز. الفئات الثلاث المعترف بها هي: عوامل المعرفة وعوامل الملكية وعوامل الوجود (القياسات الحيوية). نظام 2FA صحيح يتطلب عوامل من فئتين مختلفتين على الأقل.
الآلية التقنية
التنفيذ الأكثر شيوعاً في تطبيقات الويب للمستهلك هو TOTP (كلمة مرور لمرة واحدة على أساس الوقت)، الموحدة في RFC 6238. أثناء التسجيل، ينشئ الخادم مفتاح سري ويشاركه مع المستخدم، عادةً عبر رمز QR يتم استيراده إلى تطبيق مصادق. بعد ذلك، يحسب كل من الخادم والتطبيق بشكل مستقل رمز من 6 أرقام. لأن كلا الجانبين يستخدمان نفس الخوارزمية والسر، فإن الرمز الذي يولدانه متطابق.
تشمل آليات تسليم 2FA الشائعة الأخرى:
- SMS OTP: رمز لمرة واحدة يتم إرساله عبر الرسالة النصية.
- البريد الإلكتروني OTP: رابط لمرة واحدة أو رمز يتم تسليمه إلى عنوان بريد إلكتروني مسجل.
- إشعار الدفع: يوافق المستخدم على طلب تسجيل دخول مباشرة في تطبيق مصحوب.
- مفاتيح الأمان الصلبة (FIDO2 / WebAuthn): أجهزة USB أو NFC المادية التي تولد التصديق التشفيري.
متى يتم استخدام 2FA في منصات المسابقات والتصويت؟
تنشر منصات المسابقات 2FA بشكل شائع في إنشاء الحساب (للتحقق من رقم هاتف حقيقي أو عنوان بريد إلكتروني) عند تسجيل الدخول وأحياناً كبوابة على إجراء تقديم الصوت. متغير التحقق من رقم الهاتف فعال بشكل خاص لأن الحصول على أعداد كبيرة من أرقام هواتف فريدة يحمل تكلفة كبيرة.
كيف تتفاعل الأصوات مع 2FA
عندما تتطلب منصة مسابقات حسابات محققة بـ 2FA للتصويت، يتم دعم كل صوت ضمناً بإشارة هوية محققة. يجب على مشغل روبوت يرغب في تقديم أصوات احتيالية بالتالي الحصول على أرقام هواتف فريدة أو صناديق بريد إلكترونية.
يمكن التحايل جزئياً على 2FA المستند إلى SMS باستخدام خدمات رقم الهاتف الافتراضية. يصعب الحصول على 2FA المستند إلى TOTP بكثرة لأنه يتطلب إدارة أسرار كل حساب. تفاتيح FIDO2 / WebAuthn مقاومة بشكل فعال لاحتيال التسجيل الجماعي.
تفاصيل البائع والمعيار
2FA ليست منتج بائع واحد ولكن فئة مفتوحة تحكمها معايير IETF وموصفة FIDO Alliance. توجد مكتبات التنفيذ لكل لغة برمجة رئيسية. موفرو هوية السحابة يقدمون 2FA كميزة مدمجة.
الاستخدامات الشرعية
2FA هو تحكم أمني أساسي عبر كل سياق رقمي حساس تقريباً: الخدمات المصرفية وشبكات VPN الشركات والتشفير وخدمات الحكومة الإلكترونية. يخدم الانتشار على منصات التصويت الغرض المزدوج للتأكد من تفرد الناخب وتوفير قابلية التتبع للتدقيق.
زاوية منع الاحتيال
من وجهة نظر تكامل المسابقات، 2FA هي أحد أكثر الضوابط الهيكلية فعالية لأنها تنقل عبء منع الاحتيال من الكشف عن سلوك البوت إلى فرض ندرة الهوية في العالم الحقيقي. رقم الهاتف أو صندوق البريد الإلكتروني هو مورد محدود وباهظ الثمن. عندما يتطلب كل صوت موردة واحدة من هذا القبيل وخطوة التحقق الحية، يتغير الاقتصاد بشكل جذري.
