الكشف عن "سر" رمز OTP.

تُعدّ كلمات المرور لمرة واحدة (OTP) عنصرًا مألوفًا في عالمنا الرقمي اليوم، بدءًا من المعاملات المصرفية وصولًا إلى أمان حسابات وسائل التواصل الاجتماعي. لكن قليلًا من الناس يعلمون أن هذه السلسلة المؤقتة من الأرقام تُولّد باستخدام آلية تشفير معقدة، تجمع بين المعالجة الفورية والمفاتيح الخاصة والخوارزميات المعيارية.

إن فهم كيفية عمل كلمة المرور لمرة واحدة (OTP) يمنح المستخدمين راحة بال أكبر ويوفر نظرة ثاقبة على إحدى أكثر طرق الأمان شيوعًا اليوم.

جدار "OTP"

يرمز OTP إلى كلمة المرور لمرة واحدة، وهي كلمة مرور لا يمكن استخدامها إلا مرة واحدة. يتكون هذا الرمز عادةً من 6 أرقام، ويتم إنشاؤه عشوائيًا، ويظهر في عمليات مثل التحويلات المصرفية، وتسجيل الدخول إلى مواقع التواصل الاجتماعي، أو التحقق من الحساب.

ما يُميّز رمز التحقق لمرة واحدة (OTP) هو فترة صلاحيته القصيرة للغاية، والتي تتراوح بين 30 و60 ثانية فقط. بعد انقضاء هذه المدة، ينتهي صلاحية الرمز ويجب إعادة توليده إذا لم يُستخدم. هذا يقلل من خطر استغلاله من قِبل جهات خبيثة أو إعادة استخدام رموز قديمة.

تستخدم العديد من البنوك في فيتنام الآن كلمة المرور لمرة واحدة (OTP) للتحقق من صحة المعاملات الإلكترونية. يتلقى المستخدمون رمزًا يُرسل إلى هواتفهم، ويتعين عليهم إدخاله بشكل صحيح خلال فترة زمنية محددة. وبالمثل، تستخدم منصات مثل جوجل وفيسبوك أيضًا كلمة المرور لمرة واحدة (OTP) للمصادقة الثنائية لحماية الحسابات.

على الرغم من بساطتها وسرعة تنفيذها، تُعدّ كلمة المرور لمرة واحدة (OTP) من أكثر وسائل الأمان فعاليةً المتاحة اليوم. ولا يُعدّ قصر مدة هذه الكلمة محض صدفة، بل هو نتيجة نظام توليد كلمات مرور دقيق، يعتمد على مبادئ توقيت وتشفير محددة.

رمز واحد، استخدام واحد: من أين أتى؟

تُنشأ معظم رموز التحقق لمرة واحدة (OTP) الحالية باستخدام آلية TOTP، وهي اختصار لكلمة المرور لمرة واحدة المعتمدة على الوقت. يعتمد هذا النوع من الرموز على التوقيت الفعلي، وعادةً ما يدوم لمدة 30 ثانية فقط قبل استبداله برمز جديد.

إلى جانب TOTP، توجد آلية أخرى تُسمى HOTP، تستخدم عدادًا بدلًا من الوقت. مع ذلك، فإن HOTP أقل شيوعًا لأن الرمز لا ينتهي تلقائيًا بعد فترة زمنية محددة.

لإنشاء رمز التحقق لمرة واحدة (OTP)، يتطلب النظام عنصرين: مفتاح سري ثابت مُخصص لكل حساب، والوقت الحالي وفقًا لساعة النظام. كل 30 ثانية، يُقسّم الوقت إلى أجزاء متساوية ويُدمج مع المفتاح السري لإنشاء رمز جديد. لذا، أينما كنت تستخدم تطبيق المصادقة، طالما أن الوقت على جهازك يُطابق وقت الخادم، فسيكون رمز التحقق لمرة واحدة صحيحًا.

تُعتبر كل فترة زمنية مدتها 30 ثانية "نافذة زمنية". عند الانتقال إلى النافذة الزمنية التالية، يتم إنشاء رمز جديد. لا يُحذف الرمز القديم، ولكنه يصبح غير صالح تلقائيًا لأنه لم يعد متوافقًا مع الوقت الحالي. تعني هذه الآلية أن كل رمز OTP لا يمكن استخدامه إلا في تلك اللحظة المحددة، ولا يمكن إعادة استخدامه بعد بضع عشرات من الثواني.

  تتبع عملية توليد الشفرة المعيار الدولي RFC 6238، باستخدام خوارزمية HMAC SHA1 للتشفير. على الرغم من توليد 6 أرقام فقط، إلا أن النظام معقد بما يكفي لجعل التخمين الصحيح شبه مستحيل. يمتلك كل مستخدم مفتاحًا فريدًا، وتختلف أوقات توليد الشفرة، لذا فإن احتمال وجود شفرة مكررة يكاد يكون معدومًا.

ومن المثير للاهتمام أن تطبيقات مثل Google Authenticator وMicrosoft Authenticator قادرة على توليد رموز التحقق لمرة واحدة (OTP) دون الحاجة إلى اتصال بالإنترنت أو شبكة الهاتف. فبعد استلام المفتاح الخاص الأولي، لا يحتاج التطبيق إلا إلى مزامنة الوقت الصحيح ليعمل بشكل مستقل. وهذا يزيد من مرونة التطبيق مع ضمان أمان عملية المصادقة.

المخاطر المرتبطة برموز التحقق لمرة واحدة وكيفية حماية نفسك.

يُعدّ رمز التحقق لمرة واحدة (OTP) طبقة حماية فعّالة، لكنها ليست آمنة تمامًا. ففي العديد من عمليات الاحتيال الأخيرة، لم يحتج المجرمون إلى هجمات متطورة؛ بل اكتفوا بخداع الضحايا لحملهم على تقديم رموز التحقق لمرة واحدة الخاصة بهم.

تهدف المكالمات الوهمية التي تنتحل صفة موظفي البنوك، والرسائل النصية الاحتيالية التي تحتوي على روابط تسجيل دخول مزيفة، أو إشعارات الجوائز المزيفة، إلى الحصول على رموز OTP خلال فترة صلاحيتها.

قد تتمكن بعض البرامج الضارة من قراءة الرسائل التي تحتوي على رموز التحقق لمرة واحدة (OTP) خلسةً إذا منح المستخدم الإذن لتطبيق غير معروف. لهذا السبب، تتجه المزيد من الخدمات إلى استخدام التطبيقات لإنشاء رموزها الخاصة، بدلاً من إرسالها عبر الرسائل النصية. هذه الطريقة تجعل الرموز أقل اعتمادًا على شبكة الهاتف المحمول وأكثر صعوبة في اعتراضها.

لحماية حسابك، يجب على المستخدمين عدم مشاركة رمز التحقق لمرة واحدة (OTP) مع أي شخص على الإطلاق. إذا تلقيت مكالمة أو رسالة أو رابطًا غير معتاد يطلب رمزًا، فتوقف وتحقق جيدًا. يُعد استخدام المصادقة الثنائية مع تطبيقات مثل Google Authenticator أو Microsoft Authenticator وسيلة فعّالة لتعزيز الأمان.