تنبيه أمني: بالنسبة لمزامنة حماية جوجل الس

[yhiaali3]

                                                                                  السلام عليكم

تنبيه أمني: بالنسبة لمزامنة حماية جوجل السحابية two-factor authentication (2FA)

منذ عدة أيام جاءتني رسالة تنبيه أمني من منصة  coinex.com  التي أعمل عليها بضرورة إيقاف مزامنة حماية جوجل السحابية لأنه من الممكن أن يكون فيها ثغرة أمنية، ولأن الموضوع مهم جدا أحببت مشاركتها هنا لفائدة الجميع.

المزامنة السحابية تعني تخزين رموز المصادقة الثنائية على الانترنت لاستعادتها وقت الحاجة، هذه الميزة موجودة في إصدارات أندرويد الحديثة وفي أنظمة iOS لكن ثبت حسب كلام المنصة أن هذه الميزة غير مشفرة مما يعني أنه من الممكن أن يتم سرقتها عبر الانترنت وبالتالي هناك خطر إمكانية تهكير الحساب لذلك من الأفضل تعطيل هذه الميزة وعدم استخدامها.

تحقق وظيفة مزامنة الحساب التي يدعمها Google Authenticator مؤخرًا (بدءًا من 6.0 على Android و 4.0 على iOS) النسخ الاحتياطي للمُصَّدَق من خلال مزامنة رمز التحقق من جوجل للمستخدمين مع حساب تسجيل الدخول إلى جوجل. ومع ذلك، فقد تم التأكيد على أن هذه الميزة لم يتم تشفيرها من طرف إلى طرف end-to-end، مما قد يشكل خطرًا محتملاً على أمان الحساب للمستخدمين الذين قاموا بتشغيلها.

بناءً على ذلك، توصي CoinEx بشدة المستخدمين الذين يستخدمون Google Authenticator بفحص وإيقاف تشغيل مزامنة الحساب. يرجى الرجوع إلى الإرشادات التالية (لمستخدمي iOS / Android):

                                                            


للذين يرغبون بتعطيل هذه الميزة يمكنك قراءة الطريقة كاملة من هذا الرابط:
https://support.coinex.com/hc/ar/articles/18534222042777

[albon]

مشكور أخى يحى على مشاركة هذا الموضوع,

بالفعل هي ميزة ذات حدين في رئي، فهي ضارة إذا قام شخص ما بعمل نسخ احتياطي لهذه الحسابات على هيئة رموز استجابة سريعة باركودز وتم حفظهم في سحابية حساب الجيميل الخاص به، ففي حال اختراق وتعرض حسابه الجيميل للسرقة فإن جميع هذه الحسابات ورموز التحقق بخطوتين سوف تكون في أيدي المحتال على طبق من ذهب ويستطيع فتح حسابات المنصات بكل إرتياحية، أما بالنسبة لفائدة الميزة فإنه بعد عمل فورمات للهاتف أو تلفه أو ضياعه أو في حال تم حذف تطبيق جوجل للمصادقة الثنائية بالخطأ فإنه من خلال هذه الميزة تستطيع استعادة جميع الحسابات ورموزها في ضغطة زر.

[yhiaali3]

نعم أخي albon صحيح هي سلاح ذو حدين، من ناحية تسهل عملية استرجاع الرموز في حال حدوث أي شيء للموبايل أو الانتقال لهاتف آخر لكن في نفس التخزين السحابي على الانترنت ممكن أن يتم اختراقه وإذا لم تكن البيانات مشفرة فهذا يعني اختراق كل حساباتك.

لكن أتوقع أن تكون هناك حادثة اختراق حصلت بالفعل لأن هذه الخدمة قديمة منذ سنوات وليست جديدة، وهذا التحذير أول مرة يأتيني رغم أنه صار لي مدة في المنصة، لذلك أتوقع أن هناك عملية اختراق للحماية المخزنة سحابيا هو الذي دفع منصة coinex أن تقوم بوضع هذا التحذير للمستخدمين. لذلك من الأفضل توخي الحذر.

[Kavelj22]

نعم أخي albon صحيح هي سلاح ذو حدين، من ناحية تسهل عملية استرجاع الرموز في حال حدوث أي شيء للموبايل أو الانتقال لهاتف آخر لكن في نفس التخزين السحابي على الانترنت ممكن أن يتم اختراقه وإذا لم تكن البيانات مشفرة فهذا يعني اختراق كل حساباتك.

التخزين السحابي للمفاتيح الخاصة و كلمات العبور و اي نوع من الاكواد او البيانات الخاصة يعتبر اسوأ انواع التخزين على الاطلاق و الاقل حماية مقارنة ببقية الطرق. افضل حل في مثال تطبيقات التحقق 2Auth فهي الاحتفاظ بالكود الخاص باي خدمة توفر ميزة التحقق من خلال Google authentificator او تطبيق Authy. حين تريد تفعيل الخدمة على احدى المنصات سوف يطلب منك نسخ كود على التطبيق او معالجة authontification code و على التطبيق سوف يقوم باعطائك كود حماية تستعمله في حالة ضياع او تلف الهاتف. ايضا من الافضل ان لا تكون هذه هي وسيلة الحماية الوحيدة المفعلة على اي من المنصات لكي تتمكن من الدخول الى حسابك باستخدام طرق الحماية الاخرى اذا تعذر استخدام التطبيق، اقصد بذلك البريد الالكتروني و كلمة مرور صلبة و استعمال اكواد الهواتف و هناك طرق اخرى تختلف من منصة لأخرى.

كالعادة يحي، شكرا لك على رفع التحذير.

[yhiaali3]

التخزين السحابي للمفاتيح الخاصة و كلمات العبور و اي نوع من الاكواد او البيانات الخاصة يعتبر اسوأ انواع التخزين على الاطلاق و الاقل حماية مقارنة ببقية الطرق. افضل حل في مثال تطبيقات التحقق 2Auth فهي الاحتفاظ بالكود الخاص باي خدمة توفر ميزة التحقق من خلال Google authentificator او تطبيق Authy. حين تريد تفعيل الخدمة على احدى المنصات سوف يطلب منك نسخ كود على التطبيق او معالجة authontification code و على التطبيق سوف يقوم باعطائك كود حماية تستعمله في حالة ضياع او تلف الهاتف. ايضا من الافضل ان لا تكون هذه هي وسيلة الحماية الوحيدة المفعلة على اي من المنصات لكي تتمكن من الدخول الى حسابك باستخدام طرق الحماية الاخرى اذا تعذر استخدام التطبيق، اقصد بذلك البريد الالكتروني و كلمة مرور صلبة و استعمال اكواد الهواتف و هناك طرق اخرى تختلف من منصة لأخرى.

نعم أخي صحيح.
أن شخصيا أستخدم التطبيقين  Google authentificator على الموبايل و إضافة Authy على متصفح جوجل كروم لتخزين رموز المصادقة ، يعني أستخدم نفس الرموز في التطبيقين لأنه في حال حصل أي مشكلة في الهاتف يكون التطبيق الآخر مثل نسخة احتياطية، لكنني لا أقوم أبدا باستخدام ميزة التخزين السحابي بل أقوم بستجيل كل الرموز على الورق لاستعادتها عند الحاجة.

طبعا بعض الناس يجدون أن تخزين الرموز بطريقة يدوية أمر متعب لذلك يستخدمون التخزين السحابي ليريحوا أنفسهم وهذا فيه مخاطرة كبيرة. لأن التخزين السحابي لأي معلومات حساسة مثل كلمات المرور أو رموز المصادقة الثنائية خطير جدا، لأن أي شيء مخزن على الانترنت هو عرضة للاختراق مهما كانت حمايته قوية ولذلك من الأفضل تخزين هذه البيانات الحساسة بشكل يدوي.

[Kavelj22]

التخزين السحابي للمفاتيح الخاصة و كلمات العبور و اي نوع من الاكواد او البيانات الخاصة يعتبر اسوأ انواع التخزين على الاطلاق و الاقل حماية مقارنة ببقية الطرق. افضل حل في مثال تطبيقات التحقق 2Auth فهي الاحتفاظ بالكود الخاص باي خدمة توفر ميزة التحقق من خلال Google authentificator او تطبيق Authy. حين تريد تفعيل الخدمة على احدى المنصات سوف يطلب منك نسخ كود على التطبيق او معالجة authontification code و على التطبيق سوف يقوم باعطائك كود حماية تستعمله في حالة ضياع او تلف الهاتف. ايضا من الافضل ان لا تكون هذه هي وسيلة الحماية الوحيدة المفعلة على اي من المنصات لكي تتمكن من الدخول الى حسابك باستخدام طرق الحماية الاخرى اذا تعذر استخدام التطبيق، اقصد بذلك البريد الالكتروني و كلمة مرور صلبة و استعمال اكواد الهواتف و هناك طرق اخرى تختلف من منصة لأخرى.

نعم أخي صحيح.
أن شخصيا أستخدم التطبيقين  Google authentificator على الموبايل و إضافة Authy على متصفح جوجل كروم لتخزين رموز المصادقة ، يعني أستخدم نفس الرموز في التطبيقين لأنه في حال حصل أي مشكلة في الهاتف يكون التطبيق الآخر مثل نسخة احتياطية، لكنني لا أقوم أبدا باستخدام ميزة التخزين السحابي بل أقوم بستجيل كل الرموز على الورق لاستعادتها عند الحاجة.

طبعا بعض الناس يجدون أن تخزين الرموز بطريقة يدوية أمر متعب لذلك يستخدمون التخزين السحابي ليريحوا أنفسهم وهذا فيه مخاطرة كبيرة. لأن التخزين السحابي لأي معلومات حساسة مثل كلمات المرور أو رموز المصادقة الثنائية خطير جدا، لأن أي شيء مخزن على الانترنت هو عرضة للاختراق مهما كانت حمايته قوية ولذلك من الأفضل تخزين هذه البيانات الحساسة بشكل يدوي.

اليوم بالصدفة كنت بصدد استعمال تطبيق Google authentificator و لأول مرة تظهر لي نافذة توصية بتفعيل خاصية استرداد المفاتيح من خلال التخزين السحابي دون ان تقدم لي خيارا اخر ثم في النافذة الموالية ظهر لي خيار مكتوب بخط صغير ان كنت أريد مواصلة استخدام التطبيق دون تفعيل الخاصية.
الملاحظة الأولى أنه و بهذه الطريقة يمكن ان تضمن ان يفعل مستخدمون اكثر الخاصية من خلال تأجيل اظهار زر الغاء تفعيل الخاصية في الشاشة الاولى و ان لا تكون ظاهرة تماما في الشاشة الثانية الا بالتركيز الدقيق على كل محتوياتها. يمكن ان نجد العذر لقوقل في هذا بما انها تبحث عن زيادة عدد المستخدمين و تظهر انها تجتهد لحماية استعمال امن للتطبيق، و لكن هذا ليس بتلك الفاعلية بما ان هناك طرقا ناجحة لاختراق هذا النظام و الحصول على البيانات. و لهذا يوصى دائما بعدم استعمال التخزين السحابي لحفظ البيانات الخاصة و هو ما لا تقوله لنا قوقل ابدا.
الملاحظة الثانية ان هذا الاشعار يظهر لي لأول مرة منذ قمت بتنزيل التطبيق قبل اكثر من سنة و لم يحدث ان طلب مني تفعيل الخاصية الا اثناء عملية التثبيت اول مرة. لا اعرف ان كان لهذا اي معنى او له اي علاقة بما يحصل مع هذه الخاصية.

[Ulven]

لم أتذكر رابط هنا في المنتدى يتحدث عن عدم الإعتماد على التخزين السحابي لأنه يستطيع المتسللين الوصول إلى البيانات من خلال عمل تهكير البريد الإلكتروني. صراحة لا أستخدم هذه المنصة لقناعة شخصية و لكن على الرغم من هذا فإن المنصة حريصة على توجيه المستخدمين إلى تفادي الأخطاء الأمنية.لهذا تفاعلها مع الحدث كان من الرقي.
أييد نصيحة عدم إستخدام التخزين السحابي للمعلومات الشخصية لذلك من الجيد عدم تفعيل هذه الخاصية على تطبيق المصادقة الثنائية.

[yhiaali3]

الملاحظة الثانية ان هذا الاشعار يظهر لي لأول مرة منذ قمت بتنزيل التطبيق قبل اكثر من سنة و لم يحدث ان طلب مني تفعيل الخاصية الا اثناء عملية التثبيت اول مرة. لا اعرف ان كان لهذا اي معنى او له اي علاقة بما يحصل مع هذه الخاصية.

أتوقع أن له علاقة لأنه حتى المنصة هذه أول مرة تعطيني هذه الرسالة رغم أنني مسجل من سنين وأدخل بشكل شبه يومي، أتوقع أن تكون هناك حادثة حصلت ربما تكون تهكير أو محاولة تهكير إحدى مخدمات التخزين السحابي. لا أعلم صراحة لكنه احتمال وارد وهو خطير جدا لذلك من الأفضل تعطيل هذه الميزة وعدم استخدامها رغم أنها مريحة جدا.

لم أتذكر رابط هنا في المنتدى يتحدث عن عدم الإعتماد على التخزين السحابي لأنه يستطيع المتسللين الوصول إلى البيانات من خلال عمل تهكير البريد الإلكتروني. صراحة لا أستخدم هذه المنصة لقناعة شخصية و لكن على الرغم من هذا فإن المنصة حريصة على توجيه المستخدمين إلى تفادي الأخطاء الأمنية.لهذا تفاعلها مع الحدث كان من الرقي.

تقصد منصة CoinEX صراحة أنا استخدم هذه المنصة من سنين وأعتبرها من المنصات الجيدة، كما تعلم أخي ألفين بسبب وجودي في سوريا أنا خياراتي محدودة وهذه المنصة جيدة جدا بالنسبة لي كونها لاتحظر سوريا وكذلك لاتفرض KYC. كنت أستخدم بينانس لكنني غادرتها بعد أن قاموا بحظري وفرض KYC.

[Kavelj22]

الملاحظة الثانية ان هذا الاشعار يظهر لي لأول مرة منذ قمت بتنزيل التطبيق قبل اكثر من سنة و لم يحدث ان طلب مني تفعيل الخاصية الا اثناء عملية التثبيت اول مرة. لا اعرف ان كان لهذا اي معنى او له اي علاقة بما يحصل مع هذه الخاصية.

أتوقع أن له علاقة لأنه حتى المنصة هذه أول مرة تعطيني هذه الرسالة رغم أنني مسجل من سنين وأدخل بشكل شبه يومي، أتوقع أن تكون هناك حادثة حصلت ربما تكون تهكير أو محاولة تهكير إحدى مخدمات التخزين السحابي. لا أعلم صراحة لكنه احتمال وارد وهو خطير جدا لذلك من الأفضل تعطيل هذه الميزة وعدم استخدامها رغم أنها مريحة جدا.

أولا أستبعد أن يكون هذا بسبب حصول حالات تهكير لأننا بالتأكيد كنا سنسمع بها بما ان الهاكر سيستغل البيانات التي قام بتهكيرها قبل ان تتفطن له قوقل بأسرع وقت. و بالتالي فان فرضية ان يكون التهكير سببا لذلك هو مستبعد جدا. أغلب الظن أنهم قاموا باضافة تحديثات جديدة يودون بها جلب مستخدمين اكثر للخدمة و بالتالي فقد تم ارسال اشعار لكل الذين لم يفعلوا الخاصية على التطبيق بعد، و هنا أجده سببا وجيها الى حد ما بما انه ان قمت بتفعيل خاصية الاسترداد على قوقل فانت ستبقى دوما تستعمل نفس التطبيق و لن تغيره ابدا و هذا يضمن بقاءك كحريف دائم. الفرضضية الاخيرة و المستبعدة نسبيا هي ان تكون هذه اولى الخطوات في لفرض الزامية تفعيل خاصية الاسترداد السحابي على كل المستخدمين و ذلك خدمة للغرض الذي كنت اشرحه في الفرضية السابقة و هي ان تضمن بقاء مستخدميها لديها و ان لا يفكروا ابدا في مقاطعة خدماتها.

لازلت غير موافق على كلمة "مريحة" لانها تشبه كثيرا الراحة التي نشعر بها حين نستعمل منصات الخدمات المركزية و نشعر بالراحة لمجرد ان حسابنا محمي بطبقات حماية كافية كرقم الموبايل و كلمة السر و غيرها دون التفكير ان المنصة نفسها يمكن ان تتعرض للاختراق حتى من العاملين على المنصة نفسها.

[abderrazak belkhir]

صحيح ان الميزة لا تبدو آمنة لكن يبدو ان الميزة تم إضافتها بسبب الشكاوي العديدة من قبل بعض المستخدمين من فقدان حساباتهم

التطبيق كان يوفر طريقة لحفظ الحسابات حتى قبل إضافة المزامنة السحابية لكن العديد من الناس لم يفهمو الطريقة و لم يستوعبو الموضوع و الكل اصبح يشتكي من التطبيق

انا اعمل كمدير مجتمع في مجموعة عربية لمنصة و العديد من المستخدمين فقدو حساباتهم بسبب عدم درايتهم بطريقة نقل و حفظ الحسابات

[yhiaali3]

صحيح ان الميزة لا تبدو آمنة لكن يبدو ان الميزة تم إضافتها بسبب الشكاوي العديدة من قبل بعض المستخدمين من فقدان حساباتهم

التطبيق كان يوفر طريقة لحفظ الحسابات حتى قبل إضافة المزامنة السحابية لكن العديد من الناس لم يفهمو الطريقة و لم يستوعبو الموضوع و الكل اصبح يشتكي من التطبيق

انا اعمل كمدير مجتمع في مجموعة عربية لمنصة و العديد من المستخدمين فقدو حساباتهم بسبب عدم درايتهم بطريقة نقل و حفظ الحسابات

كلامك صحيح أخي، أتذكر أنني منذ عدة سنوات كان لدي موبايل بإصدار أندرويد 6.0 على ما أذكر ولم تكن هذه الميزة موجودة وبحثت عن طريقة لحفظ الرموز كلها دفعة واحدة بدل من الطريقة التقليدية بحفظ كل مفتاح بشكل يدوي، لكنني لم أعثر على طريقة ومن خلال البحث علمت أن هذه الميزة متوفرة بالنسبة لتطبيقات آيفون على أنظمة IOS.

وقتها تمنيت لو كانت هذه الميزة موجودة على تطبيقات أندرويد لكنني لم أكن أعلم مساوئها، لذلك كما تفضلت أخي من المؤكد أن الشركة أضافت الميزة بناء على طلبات المستخدمين ، لكن برأيي كان من الأفضل لو وفرت جوجل بدل ميزة المزامنة السحابية ميزة التخزين المحلي على فلاشة أو ماشابه، في هذه الحالة من الممكن أن تحتفظ بالبيانات على فلاشة غير متصلة بالانترنت وتقوم باستخدامها عند الحاجة للاسترجاع فقط. هكذا أكثر أمان.

[khaled0111]

بالفعل اخي يحيى. من أكبر مساوئ تطبيق google authenticator هي عدم السماح للمستخدمين بعمل نسخة احتياطية من مفاتيح المزمنة حتى يتمكن ن استرجاع حسابه بسهولة.
اضعت عديد الهواتف و منها ما تعرض للكسر و وجدت صعوبة لاسترجاع المفاتيح و عادة ما اضطر للتواصل مع المنصات و غيرها من المواقع اعطائي مفاتيح جديدة.
ملاحظة: يمكن عمل نسخة احتياطية من خلال حفظ ال qr code الذي تحصل عليه عند طلب نقل حساب. لكن برأيي هذه ليست الطريقة المثلى.

[yhiaali3]

بالفعل اخي يحيى. من أكبر مساوئ تطبيق google authenticator هي عدم السماح للمستخدمين بعمل نسخة احتياطية من مفاتيح المزمنة حتى يتمكن ن استرجاع حسابه بسهولة.
اضعت عديد الهواتف و منها ما تعرض للكسر و وجدت صعوبة لاسترجاع المفاتيح و عادة ما اضطر للتواصل مع المنصات و غيرها من المواقع اعطائي مفاتيح جديدة.
ملاحظة: يمكن عمل نسخة احتياطية من خلال حفظ ال qr code الذي تحصل عليه عند طلب نقل حساب. لكن برأيي هذه ليست الطريقة المثلى.

نعم صحيح أخي خالد.

عندما تقوم بتفعيل الحماية الثنائية في أي موقع كما هو معروف يعطيك كود QR وكود آخر مؤلف من أحرف وأرقام للمزامنة مع حماية جوجل، لأنني عانيت كثيرا من هذا الأمر أصبحت أقوم بنسخ الرمز الخاص بالحماية لكل موقع واحتفظ به على ورقة حتى أتمكن من استرجاعه عند الحاجة.

بالرغم من أن الطريقة متعبة وليست مثالية لأن الورقة ممكن أن تتلف أو تضيع لكنها الأكثر أمانا في الوقت الحالي. أو يمكن تخزين الكود في ملف على فلاشة خارجية وتشفيره وهذه الطريقة أيضا غير آمنة تماما إذا كان الجهاز مصاب بالفيروسات.
أنا أستخدم كلا الطريقتين وحتى الآن لم أتعرض لمشاكل والحمد لله.