منذ عامين، حصلت على رقم هاتف جديد. في نظر وسائل التواصل الاجتماعي وتطبيقات نقل الركاب، وأمازون، والبنك الذي أتعامل معه، وولاية بنسلفانيا، كان هذا يعني فعليًا أنني فقدت هويتي. ولم أخرج من هذا المستنقع الذي أحدثته التكنولوجيا إلا مؤخراً.
أثناء جلوسي على مكتبي وفي يدي هاتف ذكي جديد، قمت بتدوير رأسي ببطء لأعلى ولأسفل بينما كنت أحدق في الكاميرا الأمامية. بعد ذلك، وبدون قطع الاتصال البصري بالعدسة، قمت بتحريك رأسي بعناية من أذن إلى أخرى. كان من المفترض أن يثبت المقطع القصير لنظام أمان Instagram ما كنت أصر عليه منذ أسابيع: أنني لم أكن محتالاً – بل كنت أنا في الواقع.
وجاء في رسالة البريد الإلكتروني الآلية من Instagram: “شكرًا لك على فيديو السيلفي الخاص بك”. “لقد تلقينا هذه المعلومات وهي في انتظار المراجعة.”
لم أنس كلمة مرور Instagram الخاصة بي فحسب، بل لم يعد بإمكاني أيضًا الوصول إلى رقم هاتفي القديم: منذ آخر مرة قمت فيها بتسجيل الدخول، قمت بالتبديل إلى خطة عائلية لتوفير المال مع مزود خدمة جوال جديد. لتجاوز أمان المصادقة الثنائية في Instagram – حيث يتحقق التطبيق من هويتك عن طريق إرسال رمز سري إليك – واستعادة الوصول إلى 12 عامًا من صور القطط وأفق المدينة المفلترة، كان علي تحميل مقطع فيديو لوجهي.
وبينما كنت أنتظر رد إنستغرام، تخيلت شخصًا من فريق الأمن بالشركة يشاهد مقطع الفيديو السيلفي الخاص بي، ويراقب الصور التي نشرتها على حسابي على مر السنين، ويؤكد هويتي مرة واحدة وإلى الأبد. وبعد بضع دقائق – وبسرعة كبيرة جدًا بحيث لا يمكن أن يكون وراءها شخص حقيقي – وصلت رسالة بريد إلكتروني. وجاء في سطر الموضوع “لا يمكن تأكيد معلوماتك”. معلوماتي؟ تقصد وجهي؟
وجاء في الرسالة: “لم نتمكن من تأكيد هويتك من الفيديو الذي أرسلته”. “يمكنك إرسال مقطع فيديو جديد وسنقوم بمراجعته مرة أخرى.”
بقدر ما بدت هذه اللعبة ممتعة، كان لدي أشياء أخرى يجب أن أعتني بها.
اعتقدت أن تبديل أرقام الهواتف فجأة سيؤدي إلى بعض الصداع، لكنني لم أتوقع مدى التعقيد الذي سيصبح عليه الأمر بالفعل. من Lyft وCash App إلى Instagram وAmazon، اضطررت فجأة إلى القفز عبر الأطواق اللوجستية التي تختلف من منصة إلى أخرى للتحقق من هويتي الحقيقية واستعادة الوصول إلى حياتي الرقمية. أصبح تأكيد هويتي بمثابة وظيفة بدوام جزئي. وكما تعلمت بالطريقة الصعبة، كان من الصعب العثور على إخواني من البشر الذين يمكنهم مساعدتي في حل الأمور.
في حين أن أصل المصادقة الثنائية المبنية على الرسائل النصية يعود إلى التسعينيات، إلا أنها لم تبدأ في الانتشار إلا في أوائل عام 2010. مع ازدياد عدد الأشخاص الذين اشتروا الهواتف الذكية، بدا من المناسب استخدام رقم هاتف الشخص كوسيلة لتأكيد هويته. وفي الوقت نفسه، أدى التكرار والتعقيد المتزايد لخروقات البيانات والهجمات الإلكترونية إلى جعل كلمات المرور التقليدية عديمة الفائدة تقريبًا، مما دفع الرئيس باراك أوباما آنذاك إلى كتابة مقال افتتاحي في صحيفة وول ستريت جورنال في عام 2016 يناشد المواطنين “تجاوز كلمات المرور” وتبنيها. طبقات إضافية من الأمان لحماية بياناتهم. وحتى في عام 2024، ظلت كلمات المرور القابلة للاختراق مثل “1234” و”password” شائعة بشكل مثير للقلق.
من خلال مطالبة الأشخاص باتخاذ خطوة إضافية (أو خطوتين) للتحقق من أنفسهم، توفر المصادقة متعددة العوامل تحسينًا أمنيًا هائلاً مقارنة بكلمة المرور التقليدية. بفضل العمل عن بعد، يتزايد اعتماد أسلوب MFA: إذ يستخدم 64% من الأشخاص الذين يستخدمون Okta شكلاً من أشكال المصادقة متعددة العوامل، وفقًا لتقرير صادر عن الشركة في عام 2023. قبل الجائحة كانت النسبة 35%.
وعلى الرغم من فوائده، فقد طور النظام عيبًا خطيرًا في مكان ما على طول الطريق: المصادقة الثنائية المستندة إلى الرسائل القصيرة، والتي تعتمد على الاتصال أو إرسال رسالة نصية إلى هاتف شخص ما للتحقق من هويته. على عكس أساليب MFA التي تعتمد على تطبيق المصادقة، يمكن القول إن المصادقة المستندة إلى النص هي الطريقة الأقل أمانًا للتحقق من هوية شخص ما. ولسوء الحظ، فهي أيضًا واحدة من الأكثر شيوعًا.
وقال كريستيان رودريغيز، المدير الفني الميداني للأمريكتين في شركة CrowdStrike للأمن السيبراني: “كثيرًا ما نرى أن المنظمات الأقل نضجًا قد قامت بتوحيد معايير استخدام هذا الرمز المستند إلى الرسائل النصية القصيرة”. Apple، وGoogle، وZoom، وSlack، وDropbox، وPayPal، ومعظم البنوك والجامعات الأمريكية الكبرى مدرجة في القائمة الطويلة من المواقع التي لا تزال تستخدمها.
على عكس بصمات أصابعنا أو وجوهنا، فإن رقم هاتفنا ليس سمة دائمة لهويتنا.
وقال رودريجيز عن هذه الطريقة: “من السهل أيضًا اعتراضها”. “يعد تبديل بطاقة SIM طريقة سهلة حقًا للتحايل على ذلك كمهاجم.”
في هجوم تبديل بطاقة SIM، يمكن للمتسلل التحكم في رقم هاتف شخص ما وإحداث الفوضى في حياته. بدءًا من حساباتهم المصرفية وحساباتهم على وسائل التواصل الاجتماعي وحتى بطاقات الائتمان المخزنة في المحافظ الرقمية مثل Apple Pay، فإن حجم الوصول الذي يمكن أن يحصل عليه مجرم الإنترنت مذهل. إنه يوضح مدى ارتباط حياتنا بأرقام هواتفنا.
في الآونة الأخيرة، تمكن قراصنة متحالفون مع الحكومة الصينية من الوصول إلى الهواتف الأمريكية عبر شبكات الاتصالات الخاصة بهم في عملية اختراق ضخمة أطلق عليها اسم Salt Typhoon، والتي تقول الحكومة الفيدرالية إنها من بين الأسوأ في تاريخ البلاد. في حين أن الأصول الدقيقة والتأثير العام لإعصار الملح لا يزال قيد التحقيق، يقول الخبراء إن التسلل الذي دام عامين كان من الممكن أن يؤثر على ملايين الأمريكيين. في أعقاب الهجوم، الذي تم الإبلاغ عنه لأول مرة في أكتوبر، ينصح الفيدراليون الأشخاص بالتوقف عن استخدام المصادقة المستندة إلى الرسائل النصية القصيرة.
على عكس بصمات أصابعنا أو وجوهنا، فإن رقم هاتفنا ليس سمة دائمة لهويتنا. إنها مجرد سلسلة من الأرقام التي تم تخصيصها لنا عشوائيًا بواسطة مزود الخدمة الخلوية عندما نقوم بالتسجيل. إذا توقفنا عن الدفع، أو قمنا بتبديل مزودي خدمة الهاتف المحمول، أو انتقلنا إلى بلد جديد، فلن يعد الرقم ملكًا لنا. حتى عنوان البريد الإلكتروني – في حالتي، حساب Gmail عمره 20 عامًا وأنا متأكد من أنه سيستمر في تلقي العروض الترويجية التسويقية لفترة طويلة بعد وفاتي – من شأنه أن يشكل مؤشرًا أكثر موثوقية على المدى الطويل عن هويتي من هاتفي رقم. بعد كل شيء، لن يتم إعادة تعيين عنوان بريدي الإلكتروني أبدًا. انها لي. رقم هاتفي – إلى جانب ما يقرب من 35 مليون رقم يتم إعادة تخصيصها كل عام، وفقًا للجنة الاتصالات الفيدرالية – قصة أخرى.
يبدو أن القليل من الشركات تدرك المشكلة: في أوائل عام 2023، قررت X إنهاء دعم المصادقة الثنائية المستندة إلى الرسائل القصيرة للمستخدمين الذين لم يتم التحقق منهم، مشيرة إلى ضعفها. بعد الخروقات الكبرى، بدأ عمالقة التكنولوجيا مثل جوجل ومايكروسوفت أيضًا في الابتعاد عن مصادقة الرسائل النصية القصيرة. ومع ذلك، تظل X تقف وحدها بين منصات التواصل الاجتماعي الكبرى في التخلي عنها تمامًا – وهي حقيقة كان علي أن أتعلمها بالطريقة الصعبة.
في معظم الحالات، كانت استعادة الوصول إلى حساباتي أمرًا بسيطًا. على سبيل المثال، طلب البنك الذي أتعامل معه مكالمة هاتفية سريعة مع وكيل خدمة العملاء لتأكيد هويتي وتجاوز MFA وتحديث رقم هاتفي وإعادة تعيين كلمة المرور الخاصة بي.
إن إنستغرام، وهي عملية أكبر بشكل ملحوظ وأكثر موارد من الاتحاد الائتماني الصغير الذي أعمل معه، لم تقدم خطًا ساخنًا لخدمة العملاء. بدلاً من ذلك، بعد حوالي ست نقرات من شاشة تسجيل الدخول إلى Instagram، وجدت طريقي إلى أعماق صفحة الأسئلة الشائعة لخدمة العملاء التي اقترحت علي إرسال صورة شخصية بالفيديو. اضطررت إلى إرسال العديد من مقاطع الفيديو إلى الفراغ التلقائي قبل أن ينهار التطبيق ويسمح لي بالعودة إلى حسابي.
لقد أثبت حسابي على أمازون، والذي يتضمن خدمات مثل Audible، وAlexa، وWhole Foods للتسوق، أنه حصن منيع على نحو مدهش. بعد النقر في طريقي عبر متاهة من الروابط، وصلت في النهاية إلى رسالة تطلب مني تحميل صورة لجواز سفري للتحقق من هويتي. وبعد عدم سماع أي شيء لمدة أسبوع، حاولت مرة أخرى. وبعد بضعة أشهر، سمحت لي أمازون بالعودة. (لم يستجب إنستغرام وأمازون لطلبات متعددة للتعليق).
بفضل الذكاء الاصطناعي المستمر في خدمة العملاء والاستخدام المتزايد لروبوتات الدردشة، أصبح امتياز التحدث مع شخص حقيقي نادرًا بشكل متزايد. حتى يومنا هذا، لا أستطيع التحقق من ملفي الشخصي على LinkedIn. حتى بعد طلب رقم هاتفي الحالي، تستمر منصة التحقق من الهوية التي تستخدمها LinkedIn، Clear، في إرسال رمز مكون من ستة أرقام إلى هاتفي. قديم رقم الهاتف، الذي يستدعيه بطريقة ما من السحابة. وبطبيعة الحال، ليس هناك من يمكن التحدث معه لحل المشكلة. اوه حسناً.
إذا كانت تقنيتنا متقدمة إلى هذا الحد، فلماذا لا يزال من الصعب إقناع الآلات بأنها نحن بالفعل؟
يعد العزل عن الشبكات الاجتماعية والمتاجر عبر الإنترنت أمرًا مزعجًا للغاية. لكن هذا لا يقارن بالكابوس الذي عانيت منه عندما حاولت الاشتراك للحصول على إعانات البطالة بعد أن تم تسريحي من وظيفتي الصحفية.
تستخدم حكومة ولاية بنسلفانيا خدمة ID.me التي تحمل اسمًا مناسبًا للتعامل مع تسجيل الدخول إلى موقع الويب الخاص بها والتحقق من الهوية لخدمات مثل البطالة. تفتخر ID.me على موقعها الإلكتروني بالتكامل مع 19 وكالة فيدرالية و35 منظمة ذات صلة بالرعاية الصحية وأكثر من 600 متجر عبر الإنترنت في مهمتها لتمكين المستهلكين من خلال “تسجيل دخول واحد يتيح لك إثبات هويتك بسهولة”. هناك مشكلة واحدة فقط: يقوم ID.me بربط هويتك الرقمية برقم هاتفك.
عندما حاولت تسجيل الدخول إلى موقع البطالة في بنسلفانيا للمطالبة بإعاناتي، اكتشفت أن لدي بالفعل حساب ID.me – من المفترض أنه من موقع حكومي آخر قمت بالدخول إليه من قبل. هذا الحساب، بالطبع، كان مرتبطًا برقم هاتفي القديم.
بدون الوصول إلى هذا الرقم – وليس لدي أدنى فكرة عن كلمة المرور الخاصة بي – كان خياري الوحيد هو تقديم طلب لتجاوز MFA واستعادة الوصول إلى حساب ID.me الخاص بي من خلال مكتب مساعدة خدمة العملاء بالشركة.
بعد أن تلقيت رسالة تأكيد تلقائية بالبريد الإلكتروني من روي، الذي يصف نفسه بـ “الوكيل الافتراضي” في ID.me، تم تجاهل طلبي لمدة 48 ساعة. وبعد متابعات متعددة وقدر كبير من الصبر، تمكنت أخيرًا من إعداد فحص للهاتف مع إنسان حقيقي. بعد عشرة أيام من طلبي الأولي، كنت على الهاتف مع وكيل خدمة العملاء الذي أرسل لي بعض التعليمات عبر البريد الإلكتروني: املأ بعض النماذج وأرسلها مرة أخرى مع المسح الرقمي لجواز سفري وبطاقة الضمان الاجتماعي. عادةً، فإن إرسال مثل هذه المعلومات الحساسة عبر البريد الإلكتروني من شأنه أن يجعلني أتوقف مؤقتًا، ولكن في هذه الحالة، كان وكيل خدمة عملاء ID.me يحتجز هويتي وأمني المالي كرهينة، لذلك كنت أميل إلى القيام بكل ما يطلبه. لا يسعني إلا أن أتمنى أن تكون ممارسات الأمن السيبراني الخاصة بشركة ID.me أكثر قوة من عمليات خدمة العملاء الخاصة بها.
وبعد 30 يومًا من تقديم وإعادة تقديم المستندات التعريفية المختلفة، تمكنت أخيرًا من تسجيل الدخول إلى حسابي. بحلول ذلك الوقت، كنت قد اهتممت باحتياجات البطالة الخاصة بي بالطريقة القديمة: تقديم طلبي يدويًا عبر الهاتف – وهي عملية استغرقت ما يقرب من ثلاث ساعات على مدار مكالمتين هاتفيتين مملة للغاية. (ID.me لم يستجب لطلب التعليق.)
التكنولوجيا التي كانت تعد بتبسيط حياتنا يبدو الآن أنها تجعل كل شيء أكثر تعقيدًا. قبل أن تدخل عمليات الدفع الذاتي الآلية إلى متجر البقالة، لم تتم مقاطعة عملية الدفع مطلقًا بواسطة آلة مشوشة تعتقد أنك نسيت مسح عنصر ضوئيًا، مما يضطرك إلى انتظار المساعدة البشرية. على الرغم من كل التكنولوجيا “الذكية” المبتكرة التي شقت طريقها إلى السيارات الحديثة، غالبًا ما يبدو الأمر وكأننا على بعد خلل برمجي واحد من أن نحرم منها أيضًا.
إنه عام 2025، لدينا ذكاء اصطناعي قادر على تكوين علاقات رومانسية. يجب أن أكون قادرًا على فتح جهاز الكمبيوتر المحمول الخاص بي باستخدام بصمة الإبهام أو مسح وجهي للوصول بسرعة إلى حسابات التسوق عبر الإنترنت الخاصة بي. إذا كانت تقنيتنا متقدمة إلى هذا الحد، فلماذا لا يزال من الصعب إقناع الآلات بأنها نحن بالفعل؟
ليس عليك أن تأخذ كلامي لذلك. يمكنك أن تسأل كيث، الشخص الذي كان لديه رقم هاتفي الجديد قبلي. ليس لدي أي فكرة عن هوية كيث، لكنني أعلم أنه أيضًا يواجه مشكلة في العودة إلى مواقعه وتطبيقاته لأنني أتلقى رسائل نصية تحتوي على رموز التحقق المكونة من ستة أرقام والتي لم أطلبها مطلقًا. بينما عدت في النهاية إلى معظم حساباتي، يبدو أن كيث لا يزال يعاني.
كيث، إذا كنت هناك: الوصفة الطبية الخاصة بك جاهزة لاستلامها من Rite Aid.
جون بول تيتلو صحفي مستقل يكتب عن التكنولوجيا والثقافة الرقمية والسفر والصحة العقلية.