رمز التحقق
16/4/2026
رمز التحقق هو رمز قصير يُستخدم لمرة واحدة (عادةً 6 أرقام) لإثبات أن المستخدم يتحكم في جهاز معين أو رقم هاتف أو حساب. تستخدم بورصات العملات الرقمية والمحافظ ومجمعات التعدين رموز التحقق كعامل ثانٍ بجانب كلمة المرور — يُعرف باسم المصادقة الثنائية (2FA).
أنواع رموز التحقق
TOTP (تطبيقات المصادقة)
يتم توليدها محليًا بواسطة تطبيقات مثل Google Authenticator، Authy، أو الرموز المادية. تعتمد على معيار TOTP (كلمة مرور لمرة واحدة تعتمد على الوقت) — يتغير الرمز كل 30 ثانية باستخدام سر مشترك يتم إنشاؤه عند الإعداد.
- قوي — يتم توليد الرمز دون اتصال؛ لا يمكن لأي وسيط اعتراضه
- موصى به كطريقة افتراضية للمصادقة الثنائية في معظم البورصات
رموز SMS
تُرسل إلى رقم هاتف المستخدم عبر رسالة نصية.
- ضعيف — عرضة لهجمات استبدال شريحة SIM، حيث يقنع المهاجم شركة الاتصالات بنقل رقم الضحية إلى شريحة SIM يتحكمون بها، مما يتيح لهم التقاط جميع الرموز الواردة
- بدأت العديد من خسائر العملات الرقمية البارزة باستبدال شريحة SIM
- تجنب استخدام SMS للمصادقة الثنائية إذا كان هناك بديل متاح
رموز البريد الإلكتروني
تُرسل إلى عنوان البريد الإلكتروني المسجل للمستخدم.
- تعتمد على أمان حساب البريد الإلكتروني نفسه — إذا تم اختراق البريد الإلكتروني، فإن الرموز أيضًا معرضة للخطر
- غالبًا ما تُستخدم للإجراءات الفردية (إعادة تعيين كلمة المرور، تسجيل الدخول من جهاز جديد) بدلاً من كل تسجيل دخول
مفاتيح الأمان المادية (مفاتيح المرور، U2F، WebAuthn)
أجهزة مادية (مثل YubiKey، Titan) تقوم بتوقيع تحدي تشفيري. الأقوى — ليست رمزًا على الإطلاق، ومحصنة ضد التصيد الاحتيالي.
رموز مكافحة التصيد الاحتيالي
تقدم العديد من البورصات رمز مكافحة التصيد الاحتيالي — سلسلة شخصية تقوم بتكوينها وتظهر في كل بريد إلكتروني شرعي يرسلونه لك. إذا ادعى بريد إلكتروني أنه من البورصة ولكن رمز مكافحة التصيد مفقود أو خاطئ، فهو محاولة تصيد.
قواعد عامة
- يفضل استخدام TOTP أو المفاتيح المادية على SMS
- لا تشارك رمز التحقق مع أي شخص — لن يطلب منك موظفو الدعم ذلك أبدًا
- قم بعمل نسخة احتياطية من بذور المصادقة الثنائية عند إعداد TOTP (تقدم العديد من التطبيقات نسخًا احتياطيًا مشفرًا على السحابة)
- قم بتمكين قوائم السحب البيضاء في البورصات كطبقة إضافية
