كيف يعمل التحقق عبر الرسائل القصيرة — شرح تقني
الخطوة 1: إنشاء رمز OTP
عندما تحتاج منصة ما إلى التحقق من رقم هاتفك، فإنها تنشئ رمزًا لمرة واحدة (OTP). إليك ما يحدث على جانب الخادم:
- يقوم المستخدم بإرسال رقم الهاتف — يتلقى الواجهة الخلفية للمنصة الرقم ويتحقق من تنسيقه (رمز البلد، عدد الأرقام، البادئة الصالحة).
- يتم إنشاء رمز OTP — يتم إنشاء رمز عشوائي مشفر، عادةً ما يتكون من 4-6 أرقام. تستخدم معظم التطبيقات
HMAC-SHA1أوHMAC-SHA256مع بذرة تعتمد على الوقت أو العداد (معايير TOTP/HOTP من RFC 6238/RFC 4226). - يتم تخزين رمز OTP — يتم حفظ الرمز على جانب الخادم مع طابع زمني انتهاء الصلاحية (عادةً 60-300 ثانية) وربطه برقم الهاتف.
- يتم تطبيق تحديد المعدل — تتحقق المنصة من عدد رموز OTP التي تم طلبها لهذا الرقم مؤخرًا. تسمح معظم الخدمات بـ 3-5 محاولات لكل رقم في الساعة.
- يتم تشغيل استدعاء واجهة برمجة تطبيقات الرسائل القصيرة (SMS API) — ترسل المنصة طلبًا إلى مزود الرسائل القصيرة الخاص بها مع رقم الهاتف ومحتوى الرسالة.
رمز OTP نفسه هو عادةً مجرد رقم عشوائي. لا تقوم المنصات بتضمين رمز OTP في شكل مشفر في الرسالة — يتم إرساله كنص عادي في نص الرسالة القصيرة. هذا هو أحد نقاط الضعف الأمنية الأساسية في التحقق عبر الرسائل القصيرة.
الخطوة 2: نظام الرسائل القصيرة A2P البيئي
A2P تعني Application-to-Person — الرسائل المرسلة من تطبيق برمجي إلى هاتف شخص. هذا يختلف عن المراسلة P2P (Person-to-Person). يمتلك نظام الرسائل القصيرة A2P البيئي بنيته التحتية الخاصة:
مجمّعو الرسائل القصيرة (SMS Aggregators)
لا ترسل معظم المنصات الرسائل القصيرة مباشرة عبر شركات الاتصالات. بدلاً من ذلك، يستخدمون مجمّعي الرسائل القصيرة — شركات تحتفظ باتصالات مع مئات شركات الاتصالات حول العالم. يشمل المجمّعون الرئيسيون:
- Twilio — أكبر مزود لواجهات برمجة تطبيقات الرسائل القصيرة. تستخدمه Uber و Airbnb و Stripe وآلاف الشركات الأخرى.
- Vonage (Nexmo) — شائع لتوجيه الرسائل القصيرة الدولية.
- Sinch — قوي في توصيل رموز OTP للمؤسسات.
- MessageBird — مجمّع يركز على أوروبا.
- Infobip — لاعب رئيسي في الأسواق الناشئة.
عندما ترسل Instagram لك رمز OTP، فمن المحتمل أن تمر الرسالة عبر Twilio أو مجمّع مشابه قبل الوصول إلى شركة الاتصالات الخاصة بك. يتولى المجمّع التوجيه والتفاوض مع شركات الاتصالات وتأكيد التسليم.
توجيه الرسائل القصيرة (SMS Routing)
يحدد المجمّع المسار الأمثل لتسليم الرسالة القصيرة. بالنسبة لرقم أمريكي، قد يعني هذا:
- استدعاء واجهة برمجة تطبيقات المنصة → المجمّع (مثل Twilio)
- المجمّع → بوابة شركة الاتصالات (مثل AT&T، T-Mobile)
- بوابة شركة الاتصالات → مركز خدمة الرسائل القصيرة (SMSC)
- SMSC → مركز التحويل المتنقل (MSC)
- MSC → المحطة الأساسية → هاتف المستخدم
تضيف الرسائل الدولية تعقيدًا. قد يتم توجيه رمز OTP من منصة مقرها الولايات المتحدة إلى رقم هندي عبر 2-3 شركات اتصالات وسيطة قبل الوصول إلى الوجهة. كل خطوة تضيف تأخيرًا وفرصة صغيرة للفشل.
هل تريد رؤية هذا أثناء العمل؟
جرب VerifySMS مجانًا →احصل على أرقام افتراضية واستقبل رموز OTP في الوقت الفعلي
الخطوة 3: SS7 وطبقة الإشارات
SS7 (Signaling System No. 7) هي مجموعة البروتوكولات التي تتحكم في كيفية تواصل شبكات الهاتف. تم تطويرها في السبعينيات، ولا تزال العمود الفقري للاتصالات الهاتفية العالمية. عند إرسال رسالة قصيرة، تتعامل SS7 مع:
- البحث عن الرقم (استعلام HLR) — تستعلم شركة الاتصالات المرسلة من سجل الموقع الرئيسي (Home Location Register) لتحديد شركة الاتصالات والشبكة التي ينتمي إليها الرقم الوجهة.
- توجيه الرسالة — تحدد إشارات SS7 المسار الذي تسلكه الرسالة عبر الشبكة.
- تأكيد التسليم — يرسل مركز خدمة الرسائل القصيرة المستلم إيصال تسليم عبر إشارات SS7.
مشاكل أمان SS7
تم تصميم SS7 في عصر كان فيه فقط مشغلو الاتصالات الموثوق بهم لديهم وصول إلى الشبكة. اليوم، يتوفر الوصول إلى SS7 لآلاف الكيانات، مما يخلق ثغرات أمنية:
- اعتراض الرسائل القصيرة — يمكن للمهاجم الذي لديه وصول إلى SS7 إعادة توجيه الرسائل القصيرة إلى جهازه الخاص. وقد تم إثبات ذلك في هجمات واقعية على المصادقة الثنائية المصرفية.
- تتبع الموقع — يمكن لاستعلامات SS7 الكشف عن الموقع الفعلي للهاتف.
- انتحال الرقم — تسمح SS7 بإرسال رسائل تبدو وكأنها قادمة من رقم مختلف.
هذه الثغرات هي سبب توصية خبراء الأمن بالابتعاد عن المصادقة الثنائية القائمة على الرسائل القصيرة نحو أدوات المصادقة المستندة إلى التطبيقات (TOTP) أو المفاتيح المادية (FIDO2). ومع ذلك، للتحقق الأولي من الحساب (إثبات أن لديك وصولاً إلى رقم)، تظل الرسائل القصيرة هي المعيار الصناعي لأنها تتمتع بأوسع انتشار.
الخطوة 4: كيف تستقبل الأرقام الافتراضية الرسائل القصيرة
تعمل أرقام الهواتف الافتراضية عن طريق استبدال شريحة SIM المادية ومكونات الراديو بالبرمجيات. إليك كيف يستقبل رقم افتراضي رمز OTP:
- تعيين الرقم — يقوم مزود الرقم الافتراضي بتأجير كتل الأرقام من شركات الاتصالات. هذه أرقام هواتف حقيقية مع تسجيلات صالحة لدى شركات الاتصالات.
- بنك شرائح SIM أو شريحة SIM افتراضية — يقوم المزود بتشغيل بطاقات SIM مادية في أجهزة (بنوك شرائح SIM تحتوي على مئات أو آلاف الشرائح) أو يستخدم تكاملات برمجية على مستوى شركة الاتصالات لاستقبال الرسائل.
- تصل الرسالة القصيرة إلى شركة الاتصالات — يتم تسليم رسالة OTP إلى شركة الاتصالات المرتبطة بالرقم الافتراضي، تمامًا مثل أي رسالة قصيرة أخرى.
- يتم إعادة توجيه الرسالة — يلتقط بنك شرائح SIM أو تكامل شركة الاتصالات الرسالة القصيرة الواردة ويعيد توجيهها إلى الواجهة الخلفية للمزود عبر واجهة برمجة التطبيقات.
- يرى المستخدم الرمز — تعرض لوحة تحكم المزود أو واجهة برمجة التطبيقات الرسالة القصيرة المستلمة للمستخدم.
الفكرة الرئيسية: من منظور المنصة المرسلة، يبدو الرقم الافتراضي مطابقًا للهاتف المادي. تتبع الرسالة القصيرة نفس مسار التوجيه. الفرق هو في الميل الأخير — بدلاً من عرضها على شاشة الهاتف، يتم التقاط الرسالة بواسطة البرمجيات.
الخطوة 5: التحقق من جانب المنصة
بعد أن يتلقى المستخدم رمز OTP ويدخله على المنصة، يحدث التحقق من جانب الخادم:
- مقارنة الرمز — تقارن المنصة الرمز المقدم بالرمز OTP المخزن.
- فحص انتهاء الصلاحية — إذا انتهت صلاحية رمز OTP (عادةً 60-300 ثانية)، يفشل التحقق.
- عد المحاولات — تسمح معظم المنصات بـ 3-5 محاولات غير صحيحة قبل قفل التحقق.
- تصنيف الرقم — تتحقق بعض المنصات من الرقم مقابل قواعد بيانات الأرقام الصوتية عبر الإنترنت (VoIP)/الأرقام الافتراضية للإبلاغ عن سوء الاستخدام المحتمل.
- نجاح أو فشل — إذا تطابق الرمز ولم تنته صلاحيته، يتم تمييز رقم الهاتف على أنه تم التحقق منه.
كيف تكتشف المنصات الأرقام الافتراضية
تحاول بعض المنصات حظر الأرقام الافتراضية. الطرق التي يستخدمونها:
| طريقة الكشف | كيف تعمل | الفعالية |
|---|---|---|
| البحث عن نوع الرقم | يستعلم من قواعد بيانات شركات الاتصالات للتحقق مما إذا كان الرقم محمولًا، أرضيًا، أو صوتيًا عبر الإنترنت (VoIP) | متوسطة — يتم تسجيل العديد من الأرقام الافتراضية كأرقام محمولة |
| فحص قاعدة بيانات شركة الاتصالات | يقارن الرقم بقيم مزودي خدمات VoIP المعروفين | متوسطة — تعمل مع المزودين الكبار، وتفوت المزودين الأصغر |
| استعلام HLR | يستعلم من سجل الموقع الرئيسي (Home Location Register) لتفاصيل شريحة SIM | عالية للكشف عن الأرقام البرمجية فقط، أقل للأرقام في بنوك شرائح SIM |
| التحليل السلوكي | يتتبع عدد الحسابات التي تم إنشاؤها بأرقام من نفس النطاق | عالية بمرور الوقت، ولكنها تتطلب تجميع البيانات |
يقاوم مزودو الأرقام الافتراضية هذه الاكتشافات باستخدام أرقام على مستوى شركات الاتصالات مسجلة كخطوط محمولة، والحفاظ على مجموعات أرقام متنوعة، وتدوير الأرقام بشكل متكرر. دورة التهرب من الكشف مستمرة.
لماذا يستمر التحقق عبر الرسائل القصيرة على الرغم من عيوبه
يحتوي التحقق عبر الرسائل القصيرة على نقاط ضعف أمنية معروفة، ومع ذلك يظل الطريقة السائدة. الأسباب عملية:
- وصول عالمي — يمكن لكل هاتف استقبال الرسائل القصيرة. لا حاجة لتثبيت تطبيقات. هذا يغطي المليارات من المستخدمين على الهواتف الأساسية والأجهزة القديمة.
- ألفة المستخدم — الجميع يفهم "أدخل الرمز الذي أرسلناه". لا حاجة للشرح.
- تكلفة تنفيذ منخفضة — واجهات برمجة تطبيقات الرسائل القصيرة رخيصة. تتقاضى Twilio حوالي 0.0075 دولار لكل رسالة قصيرة في الولايات المتحدة. على نطاق واسع، هذه سنتات لكل عملية تحقق.
- موازنة أمنية مقبولة — بالنسبة لمعظم حالات الاستخدام (تسجيل حسابات وسائل التواصل الاجتماعي، حسابات توصيل الطعام)، توفر الرسائل القصيرة احتكاكًا كافيًا لردع الإساءة الآلية دون الحاجة إلى مفاتيح أمان مادية.
يتجه الصناعة ببطء نحو البدائل. مفاتيح المرور (FIDO2)، وأدوات المصادقة المستندة إلى التطبيقات (TOTP)، والإشعارات الفورية تكتسب اعتمادًا. ولكن للتحقق الأولي من الهاتف — إثبات أن المستخدم يتحكم في رقم هاتف — تظل الرسائل القصيرة هي المعيار.
دور الأرقام الافتراضية في هذا النظام البيئي
تشغل الأرقام الافتراضية مكانة محددة: فهي توفر وصولاً على مستوى رقم الهاتف دون الحاجة إلى جهاز مادي. هذا مفيد في سيناريوهات مشروعة بما في ذلك:
- حماية الخصوصية — إبقاء رقمك الحقيقي بعيدًا عن المنصات التي قد تبيع بياناتك. انظر مقارنتنا مع مواقع الرسائل القصيرة المجانية لمعرفة سبب أهمية الخصوصية هنا.
- إدارة الحسابات المتعددة — تحتاج الشركات التي تدير حسابات متعددة على نفس المنصة إلى أرقام فريدة لكل منها.
- الوصول الدولي — التحقق من الحسابات على منصات في بلدان أخرى دون الحاجة إلى بطاقات SIM محلية.
- التطوير والاختبار — تحتاج فرق ضمان الجودة التي تختبر تدفقات OTP إلى العديد من الأرقام دون إدارة أجهزة مادية.
من الناحية الفنية، تعمل الأرقام الافتراضية لأنها تستغل حقيقة أن التحقق عبر الرسائل القصيرة يثبت فقط التحكم في رقم — وليس أن الرقم موجود على هاتف مادي في جيب شخص ما. طالما أن الرقم صالح ويمكنه استقبال رسائل A2P، ينجح التحقق.
متقدم: تحسين توصيل رمز OTP
إذا كنت مطورًا تقوم بتطبيق التحقق عبر الرسائل القصيرة، فإليك اعتبارات فنية للتسليم الموثوق:
- استخدم معرفات المرسل بحكمة — في البلدان التي تدعم معرفات المرسل الأبجدية الرقمية، استخدم اسم علامتك التجارية. في الولايات المتحدة، استخدم رمزًا قصيرًا مخصصًا أو 10DLC (10-Digit Long Code) للحصول على أفضل معدلات التسليم.
- تطبيق توجيه احتياطي — استخدم مجمّعين متعددين للرسائل القصيرة بحيث إذا فشل مسار واحد، تعيد الرسالة المحاولة عبر مسار آخر.
- حافظ على قصر الرسائل — يجب أن تكون رسائل OTP أقل من 160 حرفًا (شريحة رسالة قصيرة واحدة). الرسائل متعددة الشرائح لها معدلات فشل أعلى.
- اضبط مهلات مناسبة — 120 ثانية هي النقطة المثالية. قصيرة جدًا تسبب فشلًا خاطئًا؛ طويلة جدًا تسمح باستخدام الرموز المعترضة.
- سجل إيصالات التسليم — تتبع ما إذا كانت الرسائل قد تم تسليمها، أو قيد الانتظار، أو فشلت. تساعد هذه البيانات في تحديد المشكلات الخاصة بشركات الاتصالات.
شاهد التحقق عبر الرسائل القصيرة من جانب الاستقبال
جرب VerifySMS مجانًا →150+ دولة · تفعيل فوري · 0.10 دولار/رقم
مزيد من المقالات باللغة العربية
- أفضل خدمات التحقق عبر الرسائل القصيرة في عام 2026 - مقارنة ضخمة
- أفضل تطبيقات الأرقام الافتراضية للتحقق عبر الرسائل القصيرة
- أفضل تطبيقات الأرقام الافتراضية للتحقق عبر الرسائل القصيرة
- أفضل الدول للأرقام الافتراضية الرخيصة
- VerifySMS مقابل 5SIM — أي خدمة تحقق من الرسائل القصيرة أفضل؟
- أفضل بدائل SMS-Activate في 2026 — دليل شامل
- هاتف مؤقت أم رقم افتراضي — ما الفرق؟
