كشف "سر" رمز OTP

كلمة المرور لمرة واحدة (OTP) عنصرٌ مألوفٌ في حياتنا الرقمية اليوم، بدءًا من المعاملات المصرفية ووصولًا إلى حماية حسابات مواقع التواصل الاجتماعي. قليلٌ من الناس يعلمون أن هذه السلسلة العابرة من الأرقام تُنشأ باستخدام آلية تشفير معقدة، تجمع بين مفاتيح سرية آنية وخوارزميات قياسية.

إن فهم كيفية عمل OTP يمنح المستخدمين مزيدًا من راحة البال وفهمًا واضحًا لإحدى أكثر طرق الأمان شيوعًا اليوم.

جدار OTP

OTP هي اختصار لعبارة One Time Password (كلمة مرور لمرة واحدة)، أي كلمة مرور تُستخدم مرة واحدة فقط. يتكون هذا الرمز عادةً من 6 أرقام، ويتم توليده عشوائيًا، ويُستخدم في عمليات مثل التحويلات المصرفية، أو تسجيل الدخول إلى مواقع التواصل الاجتماعي، أو مصادقة الحساب.

ما يميز رمز OTP هو فترة صلاحيته القصيرة جدًا، من 30 إلى 60 ثانية فقط. بعد هذه الفترة، تنتهي صلاحية الرمز، ويجب إعادة إنشائه في حال عدم استخدامه. هذا يُقلل من خطر استغلال المُجرمين للرموز القديمة أو إعادة استخدامها.

تستخدم العديد من البنوك في فيتنام الآن كلمة المرور لمرة واحدة (OTP) لتأكيد المعاملات الإلكترونية. يتلقى المستخدمون رمزًا على هواتفهم، ويجب عليهم إدخاله بشكل صحيح خلال المدة المسموح بها. وبالمثل، تستخدم منصات مثل جوجل وفيسبوك كلمة المرور لمرة واحدة (OTP) في المصادقة الثنائية لحماية حساباتهم.

على الرغم من مظهره البسيط والسريع، يُعدّ OTP من أكثر وسائل الحماية فعاليةً المتاحة حاليًا. اختصار هذا الرمز ليس عشوائيًا، بل يخضع لنظام صارم لتوليد الرموز، يعتمد على الوقت ومبادئ تشفير فريدة.

رمز واحد، استخدام واحد: من أين يأتي؟

تُولَّد معظم رموز OTP اليوم باستخدام آلية TOTP، وهي اختصار لعبارة Time Based One-Terminal (كلمة مرور مؤقتة لمرة واحدة). هذا الرمز فوري، وعادةً ما يستمر لمدة 30 ثانية فقط، ثم يُستبدل برمز جديد.

بالإضافة إلى TOTP، هناك آلية أخرى تُسمى HOTP، والتي تستخدم عدادًا بدلًا من مؤقت. مع ذلك، تُعتبر HOTP أقل شيوعًا لأن الكود لا ينتهي صلاحيته تلقائيًا بعد فترة زمنية محددة.

لتوليد كل كلمة مرور لمرة واحدة (OTP)، يحتاج النظام إلى عنصرين: مفتاح سري فريد ودائم مُخصص لكل حساب، والوقت الحالي وفقًا لساعة النظام. كل 30 ثانية، يُقسّم الوقت إلى أجزاء متساوية، ويُدمج مع المفتاح السري لتوليد رمز جديد. بهذه الطريقة، بغض النظر عن مكان استخدامك لتطبيق المصادقة، طالما أن الوقت على جهازك يتطابق مع وقت الخادم، ستكون كلمة المرور لمرة واحدة (OTP) صحيحة.

يُعتبر كل مقطع مدته 30 ثانية "نافذة زمنية". عند انتقال الوقت إلى النافذة التالية، سيتم إنشاء رمز جديد. الرمز القديم، وإن لم يُحذف، سيُصبح غير صالح تلقائيًا لأنه لم يعد يطابق الوقت الحالي. هذه الآلية تجعل كل رمز OTP صالحًا للاستخدام فقط في الوقت المناسب، ولا يمكن إعادة استخدامه بعد بضع ثوانٍ.

  تتبع عملية توليد الشيفرة المعيار الدولي RFC 6238، باستخدام خوارزمية HMAC SHA1 للتشفير. على الرغم من أن النظام يُولّد 6 أرقام فقط، إلا أنه مُعقّد بما يكفي لجعل التخمين شبه مستحيل. لكل مستخدم مفتاح فريد، كما أن وقت توليد الشيفرة مختلف، لذا فإن احتمال تكرار الشيفرة يكاد يكون معدومًا.

من المثير للاهتمام أن تطبيقات مثل Google Authenticator وMicrosoft Authenticator يمكنها إنشاء رموز OTP دون الحاجة إلى اتصال بالإنترنت أو الهاتف. بعد الحصول على المفتاح السري الأولي، لا يحتاج التطبيق إلا إلى مزامنة الوقت المحدد ليتمكن من العمل بشكل مستقل. هذا يُعزز المرونة مع ضمان الأمان أثناء عملية المصادقة.

مخاطر رموز OTP وكيفية حماية نفسك

يُعدّ رمز OTP طبقة حماية فعّالة، ولكنه ليس آمنًا تمامًا. في العديد من عمليات الاحتيال الأخيرة، لم يضطرّ المجرمون إلى استخدام تقنيات متطورة للهجوم، بل كل ما احتاجوه هو إجبار الضحية على تقديم رمز OTP بنفسه.

المكالمات المزيفة من موظفي البنك، والرسائل المزيفة التي تحتوي على روابط تسجيل الدخول أو إشعارات الفوز، كلها تهدف إلى الحصول على رموز OTP ضمن فترة الصلاحية.

تستطيع بعض البرمجيات الخبيثة أيضًا قراءة الرسائل التي تحتوي على كلمات مرور لمرة واحدة (OTP) بصمت، إذا منح المستخدم إذنًا لتطبيق غير معروف. لهذا السبب، تتجه المزيد من الخدمات إلى استخدام تطبيقات تُنشئ رموزًا خاصة بها، بدلًا من إرسالها عبر الرسائل النصية. بهذه الطريقة، لا تعتمد الرموز على شبكة الهاتف المحمول، ويصعب اعتراضها.

لحماية حسابك، لا تشارك كلمة المرور لمرة واحدة (OTP) مع أي شخص. إذا تلقيت مكالمة أو رسالة نصية أو رابطًا غريبًا يطلب رمزًا، فتوقف وتحقق منه بعناية. يُعد استخدام المصادقة الثنائية مع تطبيق مثل Google Authenticator أو Microsoft Authenticator وسيلةً فعّالة لتعزيز الأمان.