كيف تقوم بتفعيل “التحقق بخطوتين” لحماية حسابك في جوجل والخدمات السحابية الأخرى من الإختراق؟

السلام عليكم ورحمة الله وبركاته

الحماية والأمان الكامل على الإنترنت هي عبارة عن كذبة كبيرة! لا يوجد شيء إسمه حماية كاملة بنسبة 100% على الشبكة العنكبوتية، ولا يوجد شيء اسمه خدمة مُحصنة من الاختراق بشكل كامل. وقد شاهدنا في السابق كيف تعرضت مؤسسات وهيئات حكومية ومالية بالغة الحساسية إلى عمليات اختراق ناجحة، بما في ذلك حسابات البريد الالكتروني التابعة لشخصيات هامة بل والخاصة برؤساء بعض الدول أحيانًا أخرى.

بالطبع، تقدم الشركات العملاقة مثل جوجل ومايكروسوفت على سبيل المثال درجات عالية من الحماية التي تُحصّن مخدماتها من الاختراق الذي قد يؤدي إلى سرقة كلمات مرور وحسابات مستخدمي خدمات هذه الشركات. لكن الشركات مزوّدة الخدمة ليست هي المسؤول الوحيد عن حماية بياناتك وحماية بريدك الالكتروني، فهناك وسائل أخرى يمكن للمُخترقين من خلالها سرقة كلمة مرورك الخاصة بالبريد الالكتروني والدخول بسهولة إلى حساب “جيميل” الخاص بك على سبيل المثال. بعض هذه الوسائل قد تكون عبارة عن برمجية خبيثة يتم زرعها في جهاز الكمبيوتر الخاص بك تعمل على تسجيل كل ما تكتبه على لوحة المفاتيح ومن ثم سرقة كلمات المرور بكل سهولة. ويزداد هذا الخطر في حال استخدام أجهزة كمبيوتر عامة للوصول إلى بريدك الالكتروني في أماكن مثل مقاهي الانترنت أو المطارات على سبيل المثال.

في النهاية، فإن كل من يحصل على كلمة المرور الخاصة بك سيتمكن بسهولة شديدة من الوصول إلى حساباتك على الانترنت، بغض النظر عن الوسيلة التي حصل بها على كلمة المرور. السؤال هنا: هل توجد وسيلة لمنع المُخترق من الوصول إلى حسابي حتى لو حصل على كلمة المرور الخاصة بي؟ الجواب هو نعم! وهذا ما سنشرحه الآن.

التحقق بخطوتين أو two-step verification هي وسيلة حماية رائعة لمنع حساباتك الإلكترونية من السرقة، للأسف الكثير من المستخدمين لم يسمعوا بها مسبقًا. هذه الوسيلة تمنحك الثقة والراحة النفسية بأن حساباتك غير قابلة للدخول غير المُصرّح به من قِبل أي شخص كان حتى لو تمكن من الحصول على كلمة المرور الخاصة بك.

جوجل هي من أولى الشركات التي أتاحت هذه الميزة، وهي قابلة للاستخدام بالنسبة لحسابات جوجل، أي أنك تستطيع بواسطتها حماية Gmail و Google Drive و +Google وغير ذلك من عشرات الخدمات التي تقدمها جوجل. بالإضافة إلى ذلك هناك شركات أخرى تبنّت خدمة التحقق بخطوتين الخاصة بجوجل مما يعني أنك تستطيع استخدام نفس الطريقة المشروحة هنا تقريبًا لحماية خدمات أخرى لا تتعلق بجوجل وسنتحدث عن هذا لاحقًا، لكن أولًا دعنا نشرح مفهوم التحقق بخطوتين قبل الانتقال لشرح طريقة تفعيل الميزة.

التحقق بخطوتين من حيث المفهوم ليس بالأمر الجديد، والكثير منا يستخدمه في حياته اليومية دون أن يدرك أنه يستخدم ما يُعرف بالتحقق بخطوتين. فبطاقة الصراف الآلي ATM تعتمد على نفس المفهوم. عندما تريد سحب النقود من جهاز الصرف الآلي فإنك تحتاج إلى شيئين لا يمكن إتمام السحب بوجود أحدهما دون الآخر: الأول هو البطاقة، والثاني هو الرمز السري. لو تمت سرقة بطاقتك فلن يتمكن السارق من استخدامها وسحب الأموال لأنه لا يعرف الرمز السري، ولو تمكن أحدهم من معرفة الرمز السري فقط دون أن يحصل على البطاقة، فلن يتمكن بالتأكيد من استثمار هذا الأمر لصالحه.

جوجل نقلت نفس هذا المفهوم لحماية خدماتها على الانترنت، لكن بدل البطاقة والرمز السري، ستحتاج إلى هاتفك المحمول، وكلمة المرور بالطبع. وبما أننا نحمل هواتفنا معنا أينما ذهبنا، فهي تُشكل وسيلة ممتازة لاستخدامها كطبقة ثانية للدخول إلى حساباتنا، وهذا ما سنوضحه حالًا.

قبل شرح طريقة التفعيل سنشرح باختصار كيف تعمل طريقة التحقق بخطوتين بعد قيامك بتفعيلها:

عند الدخول إلى الخدمة المطلوبة، وليكن بريد Gmail مثلًا، تقوم بإدخال كلمة المرور الخاصة بك (وهذه هي الخطوة التقليدية)

بدل إدخالك مباشرةً إلى البريد، ستظهر لك صفحة أخرى تطلب منك إدخال رمز التحقق

رمز التحقق هذا ستحصل عليه من خلال تطبيق خاص على هاتفك يقوم كل 30 ثانية بتوليد رمز جديد، أو سيصلك كرسالة SMS إلى هاتفك

تقوم بإدخال الرمز، وسيتم نقلك حينها إلى صندوق بريدك الالكتروني

هذا يعني أن أي شخص يمتلك كلمة مرور بريدك الالكتروني ستكون عديمة الفائدة بالنسبة له، فعند إدخالها سيتم طلب إدخال رمز التحقق كذلك، وهو ما لا يستطيع الحصول عليه طالما لم يكن هاتفك موجودًا معه كذلك!

طريقة تفعيل التحقق بخطوتين لحماية حساب جوجل الخاص بك من السرقة:

1- أدخل إلى الصفحة الخاصة بأي خدمة من خدمات جوجل (مثل google.com أو gmail.com) وقم بتسجيل الدخول بالشكل المعتاد.

2- إضغط على صورتك الظاهرة في الزاوية العليا اليمنى من الصفحة ثم اضغط على Account للدخول إلى صفحة إعدادات حسابك.

3- من القائمة اليُسرى إضغط على Security وسترى ضمن الصفحة خيار التحقق بخطوتين، لاحظ أن حالة الخدمة حاليًا هي غير مفعلة: OFF. إضغط على Settings.

4- ستظهر لك صفحة تعريفية فيها شرح بسيط عن الخدمة. إضغط على Start setup كي تبدأ عملية الإعداد. سيطلب منك إدخال كلمة المرور الخاصة بك مرة أخرى. قم بإدخالها واضغط على Sign in للمتابعة

5- سيطلب منك إدخال رقم هاتفك المحمول. ستستخدم جوجل هذا الرقم لتنبيهك في حال قام أحدهم بمحاولة الدخول لحسابك، كما سيتم استخدام الرقم لإرسال رمز التحقق لهاتفك لدى قيامك بتسجيل الدخول لحسابك. هذه الخطوة ليست ضرورية لإتمام العملية وتستطيع تجاوزها إن أحببت بالضغط على Skip لكن من الأفضل إدخال رقم هاتفك والضغط على Send verification code.

6- سيتم إرسال رمز تحقق للتأكد من صحة رقم هاتفك، وسيتم إظهار حقل جديد يطلب منك إدخال الرمز الذي سيصلك إلى هاتفك عبر رسالة SMS خلال دقيقة تقريبًا. أدخل الرمز ثم اضغط verify. بعد إدخال الرمز سيتم نقلك مرة أخرى إلى صفحة تسجيل الدخول حيث ستحتاج مرة أخرى إلى إدخال كلمة مرور حساب جوجل الخاص بك، قم بإدخالها واضغط Verify للمتابعة.

7- سيتم نقلك الآن إلى مرحلة تفعيل التحقق بخطوتين، وهي عبارة عن أربع خطوات، الخطوة الأولى هي اختيار الطريقة التي تريد أن تستقبل رمز التحقق من خلالها.لديك خيارين: الأول هو عبر رسالة SMS والثاني من خلال مكالمة صوتية حيث سيتم الاتصال بك وتزويدك بالرمز عبر المجيب الآلي. اختر الطريقة التي تحب لكن الـ SMS هي الأفضل والأسهل على الأغلب، فلو كانت جودة الشبكة رديئة قد لا تسمع الرمز بشكل جيد. تستطيع إن أحببت إدخال رقم مختلف عن الرقم الذي أدخلته في الخطوة أعلاه لاستقبال رمز التحقق بخطوتين عليه، أو تستطيع الإبقاء على نفس الرقم والضغط على Send code:

8- سيتم إرسال رمز تأكيد آخر لهاتفك برسالة SMS قم بإدخاله ثم الضغط على Verify

9- الخطوة التالية ستسألك إن كنت تريد الوثوق بجهاز الكمبيوتر هذا، والذي تستخدمه حاليًا لعمل الإعدادات. هذا يعني أنك لو اخترت الوثوق بالجهاز، لن تحتاج إلى إدخال رمز التأكيد في كل مرة أردت فيها تسجيل الدخول إلى حسابك في جوجل، لأن جوجل ستضيف الجهاز إلى قائمة الأجهزة الموثوقة لديها، وسيتم طلب الرمز مرة واحدة كل شهر فقط. لو كان هذا الجهاز هو جهاز الكمبيوتر الشخصي الخاص بك ولا يستخدمه أحد سواك، تستطيع تفعيل الخيار لأن إدخال الرمز في كل مرة قد يكون مزعجًا. حينها لن يتم طلب إدخال الرمز منك، لكن سيتم طلبه ممن يحاولون الدخول إلى حسابك من أجهزة أخرى. أو سيتم طلبه منك إذا حاولت الدخول من جهاز كمبيوتر آخر أو متصفح آخر (تستطيع دائمًا تفعيل أو إلغاء تفعيل هذه الميزة من الإعدادات). الخيار هنا متروك لك بالطبع. بعد الاختيار إضغط على Next:

10- الآن ستظهر الصفحة التالية التي تعرض لك ملخصًا للاختيارات التي قمت بها، إضغط Confirm لتأكيد أنك تريد الاحتفاظ بالإعدادات التي قمت بتفعيلها:

11- بعد الضغط على Confirm ستذهب مجددًا إلى صفحة تسجيل الدخول بحساب جوجل، قم بالدخول مرة أخرى وستظهر لك الرسالة التالية، سنقوم بشرح معناها بعد قليل لهذا إضغط على Do this later ثم اضغط على OK في الرسالة التي تليها، فهناك بعض الأشياء التي ينبغي شرحها أولًا.

مبروك! الآن قمت بتفعيل ميزة التحقق بخطوتين. الآن وعند محاولتك الدخول إلى حسابك في جوجل من متصفح غير موثوق، سيتوجب عليك إدخال رمز التحقق الذي سيتم إرساله لك برسالة SMS إلى هاتفك، وإدخاله ضمن صفحة شبيهة بالصفحة التالية، بعد إدخال الرمز سيتم نقلك بأمان إلى بريدك الالكتروني أو الخدمة الأخرى التي تريد الدخول إليها:

هذا جميل. أنت الآن في مأمن، وعلى ثقة بأنه حتى لو تمكن أحدهم من سرقة كلمة مرورك وإدخالها، لن يستطيع الاستمرار لأن الصفحة الظاهرة أعلاه ستظهر له وتطلب منه إدخال الرمز، الرمز الذي لا يعرفه المُخترق لأنه وصل إلى هاتفك.

لكن هذا يطرح ثلاثة تساؤلات علينا الإجابة عليها:

ماذا لو كنت في مكان لا تتوافر فيه التغطية، هذا يعني بأن الرسالة لن تصل إلى هاتفك وبالتالي لن تتمكن من الدخول إلى بريدك الالكتروني!

ماذا لو فقدت هاتفك أو نسيته أو انتهت بطاريته، واضطررت للدخول إلى بريدك الالكتروني من جهاز كمبيوتر غير جهازك الموثوق. كيف ستحصل على الرمز وكيف ستتمكن من الدخول؟

وأخيرًا، ماذا بالنسبة لبقية التطبيقات والخدمات التي تحتاج إلى إدخال كلمة مرور حسابك الخاص بجوجل. على سبيل المثال برامج الدردشة سواء عبر الويب أو عبر الهاتف المحمول مثل +IM أو imo، إذا ما أردت إعدادها للدردشة باستخدام حساب جوجل الخاص بك. هذه التطبيقات ليست مُعدّة لطلب رمز التأكيد بعد إدخال كلمة المرور، وبالتالي فمجرد إدخال كلمة مرور جوجل الخاصة بك لن تعمل في مثل هذه التطبيقات.

جوجل أخذت بعين الاعتبار الحالات الثلاث أعلاه، وهذا ما سنقوم بشرحه الآن.

تطبيق Google Authenticator

لنبدأ بالنقطة الأولى، ذكرنا في بداية الموضوع أن رسائل SMS ليست الوسيلة الوحيدة للحصول على رمز التأكيد. في الحقيقة فالطريقة الأضمن والأسرع هي تطبيق Google Authenticator المتوفر لأندرويد وآيفون وبلاك بيري. مهمة هذا التطبيق تتلخص في توليد رمز تأكيد جديد كل 30 ثانية تستطيع إدخاله بطريقة مماثلة تمامًا لإدخال الرمز الذي يصلك عبر الرسائل، الفارق الوحيد أنك تحصل على الرمز من خلال التطبيق الذي لا يحتاج إلى توافر اتصال بالانترنت على الهاتف، ولا يحتاج إلى توافر تغطية. لتفعيل تطبيق Google Authenticator اتُبع الخطوات التالية:

1- توجه إلى صفحة إعدادات التحقق بخطوتين. لو كنت قد اتبعت خطواتنا المشروحة أعلاه فأنت الآن ضمن الصفحة بالفعل، لكن تستطيع الوصول إليها دائمًا من صفحة إعدادات حسابك كما شرحنا في الفقرة السابقة (الخطوات 1 و 2 و3).

2- ضمن صفحة الإعدادات أنظر الخيار Mobile Application واضغط على نوع هاتفك، وذلك كي تقوم بإعداد التطبيق على هاتفك:

3- سيطلب منك تحميل التطبيق ثم تفعيله عن طريق التقاط صورة لرمز الاستجابة السريعة QR Code الظاهر على الشاشة. في البداية قم بتحميل التطبيق على هاتفك من متجر جوجل بلاي أو من عندنا بصيغة APK أو من AppStore (لو كان هاتفك آيفون أو بلاك بيري قم باتّباع الخطوات التي ستظهر لك على الشاشة بحسب هاتفك). بعد تحميل التطبيق قم بتشغيله واضغط على زر القائمة ثم اختر Set up account واختر Scan a barcode ثم قم بمسح رمز الـ QR (الذي سيظهر على شاشتك وليس الظاهر في المثال أدناه):

4- بعد مسح الكود سيقوم تطبيق Google Authenticator بتوليد رمز يتغير كل 30 ثانية، قم بإدخال الرمز الظاهر ضمن شاشة التطبيق في حقل Code الظاهر لديك على الشاشة ثم اضغط Verify and Save. وبذلك تكون قد قمت بربط التطبيق مع حسابك لتوليد الرموز المناسبة لاستخدامها من أجل تسجيل الدخول كبديل عن رسائل SMS

الآن حان وقت الإجابة على النقطة الثانية والهامة: ماذا لو ضاع أو سُرق الهاتف، أو انتهت بطاريته؟ كيف ستتمكن من تسجيل الدخول بدون الرمز؟ بالطبع لو فقدت الهاتف وكنت قد أضفت جهاز الكمبيوتر الخاص بك إلى قائمة الأجهزة الموثوقة فلن تحتاج إلى الهاتف لتسجيل الدخول. حينها يمكنك الدخول إلى الإعدادات ببساطة وإلغاء تفعيل ميزة التحقق بخطوتين ريثما تقوم بتفعيلها على هاتف جديد. لكن ماذا لو لم تكن قد أضفتك جهازك كجهاز موثوق أو اضطررت للدخول إلى حسابك من جهاز آخر؟ هنا يأتي دور رموز الحالات الطارئة، أو ما تُسمى بالرموز الاحتياطية Backup Codes.

الرموز الاحتياطية هي عبارة عن عشرة رموز يتوجب عليك طباعتها على ورقة صغيرة وتخبئتها في محفظتك. هذه الرموز العشرة يخولك كل منها الدخول إلى حسابك عند عدم توفر هاتفك. وكل رمز منها صالح للاستخدام لمرة واحدة فقط. بعد استخدام الرموز العشرة تستطيع توليد عشرة جديدة، لكن تذكر أن هذه الرموز هي للحالات الطارئة فقط، واحرص على عدم فقدانها. من الأفضل أن تُبقي نسخة في محفظتك ونسخة في المنزل مخبأة بمكان أمين. للحصول على الرموز الاحتياطية اضغط ببساطة على الخيار Show backup codes ضمن صفحة الإعدادات وستظهر لك الرموز في نافذة منفصلة حيث تستطيع حفظها وطباعتها.

ماذا بالنسبة للتطبيقات؟

حسنًا، الآن اتفقنا أنك وعند الدخول إلى بريدك الإلكتروني أو حسابك في جوجل بشكل عام باستخدام متصفح جهاز الكمبيوتر، ستقوم جوجل بإرسال رمز التأكيد إلى هاتفك وستطلب منك إدخاله ضمن صفحة خاصة. هذا أصبح مفهومًا. لكن ماذا بالنسبة للتطبيقات غير المُهيأة أساسًا لطلب الرمز؟ مثل تطبيقات الدردشة التي تدعم Gtalk، أو أي تطبيقات أخرى تحتاج إلى المزامنة مع جوجل حتى لو لم تكن من إنتاج جوجل نفسها؟ لحل هذه المشكلة ابتكرت جوجل ما يُعرف بـ Application Specific Password وهي كلمات مرور تقوم جوجل بتوليدها لك، تصلح للاستخدام مرة واحدة وفي تطبيق واحد. وستحتاج إلى توليد كلمة مرور خاصة بكل تطبيق يطلب منك تسجيل الدخول أو المزامنة مع جوجل.

على سبيل المثال، وفي حال قمت باتباع الخطوات المشروحة أعلاه لتفعيل التحقق بخطوتين، ستلاحظ بأن هاتفك الأندرويد قد فقد الاتصال مع جوجل، وستلاحظ بأن متصفح كروم (على جهاز الكمبيوتر) قد أظهر رسالة خطأ بأنه لم يعد قادرًا على المزامنة. ولو قمت بتفعيل Google Talk على أحد تطبيقات الدردشة الخارجية مثل +IM أو Pidgin ستلاحظ أنها ستصبح غير قادرة على الدخول. لا تفزع! الحل هو توليد كلمات مرور خاصة بهذه التطبيقات وإدخالها مرة أخرى. لعمل هذا، ومن نفس صفحة الإعدادات:

1- اضغط على Manage application-specific passwords:

2-أكتب إسم التطبيق الذي تريد توليد كلمة مرور له. ما ستكتبه هنا هو مجرد إسم لمساعدتك على تمييز التطبيق فيما بعد إذا احتجت لذلك. تستطيع كتابة أي شيء هنا لكن يفضل كتابة إسم ذو دلالة. على سبيل المثال لو كنت تريد توليد كلمة مرور لمزامنة متصفح كروم على ويندوز، أكتب Chrome on Windows.

3- إضغط Generate password وستظهر لك كلمة مرور طويلة، قم بإدخال كلمة المرور ضمن التطبيق المطلوب ربطه مع جوجل. يمكن إدخال كلمة المرور مع فراغات أو بدون. لن تحتاج إلى تذكر هذه الكلمة أو الاحتفاظ بها، ولن تحتاج إلى إدخالها مرة ثانية.

مثال عن التطبيقات والأجهزة الخاصة بي التي قمت بتوليد كلمات مرور لها.هناك تطبيق الدردشة Pidgin الذي أستخدمه على كل من ويندوز وأوبونتو، وكذلك الأمر بالنسبة لمتصفح كروم. وبالطبع أحتاج إلى كلمات مرور خاصة كذلك لمزامنة جهازي Nexus 4 و Nexus 7.

هكذا نكون انتهينا من كل ما يتعلق بحماية حساباتك في جوجل من الاختراق عن طريق تفعيل التحقق بخطوتين. لكن يجدر التنويه بأن شركات أخرى قررت الانضمام إلى هذه التقنية التي توفرها جوجل وبدأت بتقديم الحماية بخطوتين. من هذه الشركات خدمة التخزين السحابي Dropbox و خدمة تخزين وإدارة كلمات المرور LastPass، كما يمكن حماية مدونتك على WordPress من خلال إضافة خاصة. وكذلك الأمر بالنسبة لبرمجية Drupal. حتى بعض خدمات الاستضافة بدأت بتفعيل هذه الخدمة على غرار DreamHost. جميع هذه الخدمات تعتمد على تطبيق Google Authenticator. وطريقة تفعيلها سهلة جدًا حيث لا يتجاوز الأمر قيامك بمسح رمز QR Code تزودك به هذه الخدمة أو تلك لتفعيل التحقق بخطوتين عبر التطبيق.

كلمة أخيرة: قد يرى البعض بأن عملية التحقق بخطوتين، هي على درجة من التعقيد. قد يكون هذا صحيحًا إلى حد ما، فلا بد لأي درجة حماية إضافية، أن تحتاج إلى عمل إضافي. الأمر شبيه بتركيب باب حديدي ثاني فوق باب منزلك، الباب الحديدي سيمنحك درجة أعلى من الحماية والأمان، لكنك ستضطر إلى فتح وإغلاق قفلين بدل قفلٍ واحد في كل مرة أردت فيها الدخول أو الخروج. لكن بالنسبة للتحقق بخطوتين فالأمر أسهل من ذلك. بعد الانتهاء من إعداد الميزة لأول مرة، وبعد إنشاء كلمات مرور خاصة ببعض التطبيقات التي تحتاج للتواصل مع جوجل كما شرحنا في الخطوة الأخيرة، بعد ذلك لن يعود الأمر مزعجًا إلى هذه الدرجة. ناهيك عن الطمأنينة وراحة البال التي ستحصل عليها بمجرد معرفتك بأن أحدًا لن يتمكن من الدخول إلى حسابك حتى لو حصل على كلمة المرور. بالنسبة لنا فنحن ننصح الجميع باتّباع هذه الطريقة.