لماذا لم أعد أرشح تطبيق أوثي
قبل عام كان تطبيق أوثي (Authy) أحد التطبيقات التي أرشحها دوما للتحقق المتعدد، فقد كان يقدم ميزتين يندر تقديمهما في تطبيقات التحقق المتعدد؛ الأولى هي المزامنة، لأنه يدعم إنشاء حساب لاستخدامه على أكثر من جهاز، وكانت تلك الميزة تعالج معضلة ضياع مفاتيح التحقق التي كانت تتسبب في الكثير من المشاكل عند ضياع الهاتف الذي يحتوي تطبيق التحقق أو محو التطبيق أو إعادة ضبط المصنع للهاتف، كل تلك السيناريوهات وغيرها كانت تؤدي إلى فقدان المستخدم للقدرة على الحصول على أكواد التحقق، وبالتالي فقدان الوصول إلى الحسابات، وهي مشكلة كبيرة كان أوثي من التطبيقات القليلة التي عالجتها. أما الميزة الثانية هي عمله على معظم أنظمة التشغيل، فلم يكن أوثي يعمل على أنظمة الهواتف فقط، إنما كان يعمل أيضا على أنظمة تشغيل الحاسب، مثل ويندوز وماك أو إس ولينكس، وهذا ما كان يجعله أكثر تطبيقات التحقق توفرا لأنظمة التشغيل المختلفة، فكان يضمن قدرة وصول مستخدمه إلى أكواد التحقق من أجهزته المختلفة بغض النظر عن نوع الجهاز. وقد صار أوثي حديث الآلاف بعد انتشار خبر تسريب أرقام الهواتف من حساباته بسبب ثغرة استغلها المهاجمون للحصول على تلك البيانات، ورغم أني كنت قد توقفت عن ترشيح أوثي منذ فترة، لكن ذلك الخبر أتى ليؤكد أن أوثي كان صالحا لمدة معينة، وقد انتهت تلك المدة.
ما حقيقة تسريب البيانات؟
في نهاية شهر يونيو تمكن أحد المهاجمين من الحصول على ملف يحتوي على قائمة ببيانات 33,420,546 مستخدم لأوثي، وهذه البيانات تشمل أرقام الهواتف التي يستخدمونها وعدد الأجهزة التي يربطونها بحساب أوثي، وقد اعترفت الشركة المالكة للتطبيق بحدوث تسريب للبيانات لكنها أكدت أن مفاتيح التحقق ليست ضمن البيانات المسربة وبالتالي فإن أكواد التحقق بمأمن من هذا التسريب، وقالت الشركة أنها عالجت الثغرة التي سمحت للمهاجمين بالحصول على تلك البيانات وحثت مستخدميها على تحديث التطبيق. لقد توقفت عن ترشيح أوثي قبل حدوث هذا التسريب بمدة لكن هذا التسريب يشير إلى عيوب مهمة في أوثي، وربما أهم تلك العيوب هي كون التطبيق مغلق المصدر، أي أن لا أحد خارج الشركة بإمكانه التحقق من طريقة عمله بدقة، مما يعني أن طريقة معالجة الشركة للبيانات ووسائلها للحفاظ على أمانها لا يمكن لأي شخص آخر التحقق منها، فهل يجب أن نثق في برمجية تتعامل مع بيانات بهذه الحساسية دون أن تتيح الكود المصدري لها؟ أي أنها تحتفظ لنفسها بطريقة عمل تلك البرمجية، دون أن يتمكن من هم خارج الشركة من مراجعة وفحص هذه الطريقة، وربما أيضا تطويرها.
لم تعد المزامنة ميزة نادرة
لقد تجنبت أغلب تطبيقات التحقق المتعدد تقديم ميزة المزامنة لأنها كانت تتصور أن الحل الأمثل هو وجود التطبيق على جهاز واحد فقط، وهو بمثابة تحقق من امتلاك المستخدم لهذا الجهاز، دون ترك فرصة لوجود حساب يمكن الاستيلاء عليه، وفي هذه الظروف كان أوثي متميزا بكونه يسمح بالمزامنة مع اتخاذه معايير أمان جيدة لحماية الحساب من الاختراق، وبالتالي حماية أكواد التحقق من هجمات المخترقين. أما مع تطور وسائل الحماية، فقد قدمت تطبيقات تحقق أخرى ميزة المزامنة، وربما أشهرها Google Authenticator، وإذا كنا سنضحي بكون التطبيق مفتوح المصدر في حالة أوثي، فإن Google Authenticator بديل أسهل وأكثر اتصالا بالهواتف التي تعمل بنظام أندرويد خصيصا، لهذا فإن ميزة المزامنة التي كانت تجعلنا نتغاضى عن بعض عيوب أوثي، صارت متوفرة في تطبيقات أخرى تقدم تجربة أسهل منه، وحسابات جوجل عموما أوسع انتشارا من حسابات أوثي بفارق هائل، لذا فإن إقناع شخص باستخدام حسابه المتواجد بالفعل والمرتبط بهاتفه باستخدام Google Authenticator أسهل بكثير من إقناعه بإنشاء حساب على منصة جديدة. لكن المزامنة أيضا لم تكن ميزة أوثي الوحيدة.
لم يعد أوثي متوفرا لكل الأجهزة
كانت أهم ميزة لأوثي في وجهة نظري هي توفره لجميع الأجهزة تقريبا؛ فقد كان يعمل على أندرويد و iOS وكذلك أنظمة سطح المكتب ويندوز وماك أو إس ولينكس، وهذا ما كان يضمن قدرة المستخدمين على الوصول إلى أكواد التحقق باستخدام أي جهاز دون اضطرارهم لاستخدام الهاتف. في بداية هذا العام أعلنت الشركة المالكة لتطبيق أوثي إنهاء دعم تطبيقات الحاسب، أي أن تطبيق أوثي سيتوقف تدريجيا عن العمل على أنظمة ويندوز وماك أو إس ولينكس، وقد بدأ التطبيق بإخراج مستخدميه على نسخة سطح المكتب وقد أبلغ المستخدمون عن مشاكل في الانتقال منه إلى التطبيقات الأخرى أو حتى إلى نسخة الهاتف من نفس التطبيق، وهذا يعني أن أوثي قد قام بنفسه بالتخلص من إحدى أهم مزاياه التنافسية ولم يقدم حتى طريقة جيدة لمستخدميه للانتقال إلى تطبيقات أخرى. على مستخدمي نسخة سطح المكتب من أوثي الآن البحث عن بدائل جيدة للتطبيق، وهذا ما سنستعرضه هنا.
إلى أين نذهب؟
إذا كنتم من مستخدمي أوثي وتريدون أقرب بديل يعالج تلك المشاكل المذكورة فإن البديل الأنسب حاليا هو ente Auth، لأنه مفتوح المصدر على عكس أوثي، وهو يوفر خيار المزامنة، كما أنه يعمل على جميع أنظمة التشغيل الشهيرة التي كان يعمل عليها أوثي بل ويتفوق عليه في وجود تطبيق ويب يمكن الوصول إليه باستخدام المتصفح على أي نظام تشغيل كما أنه أكثر توافقا مع التطبيقات الأخرى ويجعل عملية الانتقال من تطبيق آخر إليه (وكذلك عملية الانتقال منه إلى تطبيق آخر) سهلة قدر الإمكان، لهذا فإن ente Auth يعتبر بديلا قويا لأوثي وهو يتفوق عليه في المزايا وفي درجة الأمان.