ما هو التحقق عبر الرسائل القصيرة وكيف يعمل؟
النسخة المبسطة: ما تفعله المصادقة عبر الرسائل القصيرة فعليًا
المصادقة عبر الرسائل القصيرة تجيب على سؤال واحد: "هل يتحكم هذا الشخص فعليًا في رقم الهاتف الذي ادعاه؟"
هذا كل شيء. لا تؤكد اسمك. لا تتحقق من عنوانك. لا تنظر إلى درجة الائتمان الخاصة بك. إنها تؤكد فقط أن الرقم الذي أدخلته ينتمي إلى شخص يمكنه قراءة رسائله النصية الآن.
لماذا هذا مفيد؟ لأن أرقام الهواتف يصعب تزييفها بكميات كبيرة. الحصول على رقم هاتف حقيقي واحد سهل - كل شخص لديه واحد. الحصول على ألف ليس كذلك. لذا، عندما تجعلك منصة ما تتحقق عبر الرسائل القصيرة، فإنها تنشئ حاجزًا منخفضًا بما يكفي للمستخدمين العاديين لتجاوزه ولكنه مرتفع بما يكفي لإبطاء الروبوتات والمحتالين.
إنها احتكاك. احتكاك متعمد. وعلى الرغم من عيوبها (سنتطرق إليها)، إلا أنها تعمل بشكل جيد بما يكفي لدرجة أن جميع المنصات تقريبًا على الإنترنت تستخدمها بشكل ما.
كيف تعمل المصادقة عبر الرسائل القصيرة من الداخل
عندما تضغط على "إرسال الرمز" على شاشة التحقق في تطبيق ما، إليك ما يحدث في الثواني الـ 5-30 التالية.
الخطوة 1: تقوم المنصة بإنشاء رمز OTP. يقوم الواجهة الخلفية بإنشاء رمز عشوائي - عادةً 6 أرقام. يتم تخزين هذا الرمز في قاعدة بيانات بجانب رقم هاتفك وطابع زمني. الطابع الزمني مهم لأن الرمز له نافذة انتهاء صلاحية، عادةً 5-10 دقائق.
الخطوة 2: يتم تسليم الرمز إلى بوابة رسائل قصيرة. معظم المنصات لا ترسل نصوصًا مباشرة. إنها تستخدم خدمات طرف ثالث تسمى بوابات الرسائل القصيرة - شركات مثل Twilio أو Vonage أو MessageBird أو Sinch. ترسل المنصة طلب API يقول أساسًا: "أرسل هذا الرمز إلى هذا الرقم."
الخطوة 3: تقوم البوابة بتوجيه الرسالة. تحدد بوابة الرسائل القصيرة شركة الاتصالات التي تمتلك رقمك، ثم توجه الرسالة عبر قنوات الاتصالات المناسبة. بالنسبة للرسائل المحلية، يكون هذا مباشرًا. بالنسبة للرسائل الدولية، غالبًا ما تمر عبر العديد من شركات الاتصالات الوسيطة. هذا هو السبب في أن الرموز تستغرق وقتًا أطول أحيانًا عندما تكون المنصة وهاتفك في بلدين مختلفين.
الخطوة 4: تقوم شركة الاتصالات الخاصة بك بتسليم الرسالة القصيرة. تتلقى شركة الاتصالات المتنقلة الخاصة بك الرسالة وتقوم بدفعها إلى هاتفك. تصل الرسالة النصية إلى صندوق الوارد الخاص بك مثل أي رسالة قصيرة أخرى. على معظم الهواتف، يكتشف نظام التشغيل ذلك تلقائيًا كرمز تحقق ويعرض ملءه تلقائيًا.
الخطوة 5: تقوم بإدخال الرمز. تقوم بكتابته (أو ملئه تلقائيًا) في حقل التحقق الخاص بالمنصة.
الخطوة 6: تقوم المنصة بالتحقق. تقارن الواجهة الخلفية ما أدخلته بما قامت بتخزينه. إذا تطابق الرمز وكان الطابع الزمني ضمن نافذة الانتهاء، تمر المصادقة. يتم تعطيل الرمز حتى لا يمكن إعادة استخدامه.
يستغرق كل هذا من 5 إلى 30 ثانية من وجهة نظرك. خلف الكواليس، قد تمر الرسالة عبر ثلاث أو أربع شركات وشبكات مختلفة قبل أن تصل إلى هاتفك. للحصول على تحليل فني أعمق، تحقق من مقالتنا حول كيف يعمل التحقق عبر الرسائل القصيرة — شرح تقني.
لماذا تستخدم الشركات المصادقة عبر الرسائل القصيرة؟
نظرًا لأن الرسائل القصيرة لديها نقاط ضعف أمنية معروفة (سنغطيها قريبًا)، فقد تتساءل لماذا لا تزال طريقة المصادقة السائدة. الإجابة عملية، وليست أيديولوجية.
وصول عالمي. يوجد حوالي 5.6 مليار مستخدم للهواتف المحمولة على هذا الكوكب. ليس لدى جميعهم هواتف ذكية. ليس لدى جميعهم متاجر تطبيقات. ولكن لديهم جميعًا تقريبًا القدرة على تلقي رسالة نصية. تصل الرسائل القصيرة إلى الأشخاص الذين لا تصل إليهم الإشعارات الفورية أو البريد الإلكتروني أو تطبيقات المصادقة.
لا يلزم التثبيت. لا تحتاج إلى تنزيل أي شيء. لا تحتاج إلى إعداد تطبيق مصادقة. لا تحتاج إلى امتلاك جهاز معين. أي هاتف به شريحة SIM يعمل. هذه البداية الخالية من الاحتكاك تساوي الكثير عندما تحاول تسجيل المستخدمين.
يفهمها المستخدمون. "سنرسل لك رمزًا عبر الرسائل القصيرة" لا يحتاج إلى شرح. يعرف كل شخص يزيد عمره عن اثني عشر عامًا كيفية قراءة رسالة نصية وكتابة ستة أرقام. قارن ذلك بطلب من شخص ما لإعداد Google Authenticator - لقد فقدت بالفعل جزءًا من جمهورك عند "مسح هذا الرمز QR".
إنها رخيصة. تكلف المصادقة عبر الرسائل القصيرة المنصة ما بين 0.005 دولار و 0.05 دولار، اعتمادًا على البلد. بالنسبة للاحتيال الذي تمنعه، فهذه صفقة رائعة بشكل لا يصدق. يمكن لحساب واحد مزيف أن يكلف المنصة مئات الدولارات من الأضرار - رسالة نصية بقيمة 0.01 دولار لمنعها هي مجانية في الأساس.
التوقعات التنظيمية. تتطلب العديد من الصناعات الآن المصادقة متعددة العوامل. يعتبر رمز OTP المستند إلى الرسائل القصيرة عاملاً ثانيًا (شيء لديك)، والذي يلبي المتطلب بأقل تكلفة تنفيذ.
إذن ما هي المشكلة؟ حسنًا.
نقاط ضعف المصادقة عبر الرسائل القصيرة
المصادقة عبر الرسائل القصيرة ليست محكمة الإغلاق. يشير باحثو الأمن إلى عيوبها منذ سنوات، وقد تم استغلال بعض هذه العيوب في هجمات حقيقية. إليك ما يجب أن تعرفه.
هجمات تبديل شريحة SIM
هذا هو الأمر الكبير. في هجوم تبديل شريحة SIM، يقنع شخص ما شركة الاتصالات الخاصة بك بنقل رقم هاتفك إلى شريحة SIM يتحكم فيها. بمجرد حصولهم على رقمك، يتلقون رموز التحقق الخاصة بك. هذا ليس افتراضيًا - بلغت رسوم احتيال تبديل شريحة SIM للمستهلكين ما يقدر بـ 68 مليون دولار في الولايات المتحدة وحدها في عام 2024، وفقًا لتقارير مكتب التحقيقات الفيدرالي.
كيف يحدث ذلك؟ عادةً من خلال الهندسة الاجتماعية. يتصل المهاجم بشركة الاتصالات الخاصة بك، ويتظاهر بأنه أنت، ويدعي أنه بحاجة إلى نقل الرقم إلى شريحة SIM جديدة لأنه "فقد هاتفه". إذا لم يتبع ممثل خدمة العملاء إجراءات التحقق المناسبة، يتم إجراء التبديل.
تحسنت بعض شركات الاتصالات في منع ذلك. قدمت T-Mobile رقم تعريف شخصي لحماية شريحة SIM في عام 2024. لكن ناقل الهجوم لا يزال موجودًا لأنه يستغل العمليات البشرية، وليس التقنية.
ثغرات شبكة SS7
SS7 هو البروتوكول الذي يحمل الرسائل القصيرة بين شركات الاتصالات. تم تصميمه في السبعينيات عندما كانت صناعة الاتصالات ناديًا صغيرًا وموثوقًا. لم يكن هناك تشفير لأن لا أحد تخيل أن الغرباء سيكون لديهم وصول إلى الشبكة.
بالانتقال إلى اليوم، يمكن شراء الوصول إلى SS7 من بائعي الاتصالات المشبوهين ببضعة آلاف من الدولارات. يمكن للمهاجم الذي لديه وصول إلى SS7 اعتراض الرسائل القصيرة أثناء النقل - بما في ذلك رموز التحقق الخاصة بك. تم عرض هذا الهجوم علنًا واستخدامه في عمليات احتيال مصرفية واقعية.
هل من المحتمل أن يحدث لك؟ بصراحة، لا. تتطلب هجمات SS7 موارد تقنية محددة وعادة ما تستهدف أهدافًا ذات قيمة عالية. لكن الثغرة موجودة ولن يتم حلها بالكامل حتى تكمل الصناعة انتقالها إلى بروتوكولات أحدث مثل Diameter و SIP.
التصيد الاحتيالي والهندسة الاجتماعية
أبسط هجوم لا يستهدف الرسائل القصيرة على الإطلاق. إنه يستهدفك. موقع تصيد احتيالي يبدو مطابقًا لبنكك يطلب منك تسجيل الدخول. تقوم بإدخال بيانات الاعتماد الخاصة بك. يستخدم موقع التصيد الاحتيالي تلك البيانات لتسجيل الدخول إلى البنك الحقيقي. يرسل البنك الحقيقي رمز OTP إلى هاتفك. يطلب منك موقع التصيد الاحتيالي الرمز. تقوم بكتابته. الآن لدى المهاجم رمزك وبيانات اعتمادك.
يُطلق على هذا اسم التصيد الاحتيالي في الوقت الفعلي، وهو يهزم المصادقة عبر الرسائل القصيرة تمامًا. يصل الرمز بشكل شرعي إلى هاتفك. أنت فقط تسلمه إلى الطرف الخطأ.
إعادة تدوير أرقام الهواتف
عندما تتوقف عن الدفع مقابل رقم هاتف، تقوم شركة الاتصالات بإعادة تعيينه إلى شخص آخر في النهاية. إذا كان لديك حسابات مرتبطة بهذا الرقم، فقد يتلقى المالك الجديد رموز التحقق الخاصة بك. هذا نادر مما كان عليه - عادةً ما تنتظر شركات الاتصالات 90 يومًا قبل إعادة التدوير - ولكنه لا يزال يحدث.
المصادقة عبر الرسائل القصيرة مقابل تطبيقات المصادقة مقابل المفاتيح المادية
الرسائل القصيرة ليست اللعبة الوحيدة في المدينة. كيف تقارن بالبدائل؟
| الطريقة | الأمان | الراحة | التكلفة | الوصول |
|---|---|---|---|---|
| OTP عبر الرسائل القصيرة | متوسط | عالي جدًا | 0.005 دولار - 0.05 دولار/رسالة | أي هاتف |
| تطبيق المصادقة (TOTP) | عالي | متوسط | مجاني | الهواتف الذكية فقط |
| إشعار الدفع | عالي | عالي | ~0.001 دولار/إشعار | الهواتف الذكية فقط |
| مفتاح مادي (FIDO2) | عالي جدًا | منخفض | 25 دولارًا - 60 دولارًا/مفتاح | يتطلب جهازًا |
| OTP عبر البريد الإلكتروني | منخفض - متوسط | عالي | ~0.001 دولار/بريد إلكتروني | أي جهاز |
| القياسات الحيوية | عالي | عالي جدًا | يعتمد على الجهاز | الهواتف الذكية الحديثة |
انظر إلى عمود "الوصول". هذا هو سبب فوز الرسائل القصيرة. تتطلب تطبيقات المصادقة هاتفًا ذكيًا. المفاتيح المادية تكلف المال ولا تعمل إلا مع الأجهزة التي تحتوي على USB أو NFC. تعمل الرسائل القصيرة على هاتف Nokia بقيمة 20 دولارًا من عام 2015. عندما تبني منتجًا لمليارات الأشخاص، فإن هذه التوافقية العالمية أكثر أهمية من مكاسب الأمان الهامشية.
ولكن إليك ما هو مثير للاهتمام: تستخدم العديد من المنصات الآن الرسائل القصيرة كنقطة دخول ثم تشجع المستخدمين على "الترقية" إلى تطبيق مصادقة للمصادقة الثنائية المستمرة الخاصة بهم. إنه نهج طبقي. الرسائل القصيرة تفتح الباب. الطرق الأفضل تبقيك آمنًا.
استخدام أرقام افتراضية للمصادقة عبر الرسائل القصيرة
هنا يصبح الأمر عمليًا. هناك العديد من الأسباب التي قد تجعل شخصًا ما لا يرغب في استخدام رقم هاتفه الحقيقي للمصادقة:
- الخصوصية. لا تريد أن يكون لدى تطبيق مواعدة عشوائي أو منصة وسائط اجتماعية رقم هاتفك الفعلي. بمجرد حصولهم عليه، يكون في قاعدة بياناتهم إلى الأبد - يمكن الوصول إليه من قبل المتسللين إذا حدث خرق.
- الوصول الدولي. أنت تسافر وتحتاج إلى رقم محلي. أو تحتاج إلى رقم أمريكي أثناء العيش في أوروبا.
- استخدام الأعمال. أنت تدير حسابات متعددة لأغراض تجارية مشروعة وليس لديك ما يكفي من شرائح SIM الشخصية.
- رقمك الحقيقي تم اختراقه. ربما تم تبديل شريحة SIM الخاصة بك ولا تثق بشركة الاتصالات الخاصة بك بعد الآن.
تملأ أرقام الهواتف الافتراضية هذه الفجوة. تحصل على رقم مؤقت، وتستخدمه للمصادقة، ويظل رقمك الشخصي خاصًا.
الشيء الحاسم هو الحصول على رقم افتراضي غير VoIP. تتحقق المنصات من نوع الخط لكل رقم قبل إرسال رمز. يتم حظر أرقام VoIP (Google Voice، Skype، TextNow). تمر الأرقام غير VoIP من خدمات مثل VerifySMS بالفحص لأنها أرقام هواتف محمولة حقيقية صادرة عن شركات الاتصالات.
لقد غطينا هذا التمييز بعمق - اقرأ مقالتنا حول هل استخدام أرقام الهواتف الافتراضية قانوني؟ كل ما تحتاج إلى معرفته إذا كنت تتساءل عن الجانب القانوني، أو تحقق من حجتنا حول سبب لماذا يجب ألا تستخدم رقم هاتفك الحقيقي عبر الإنترنت أبدًا.
مستقبل المصادقة عبر الرسائل القصيرة
هل المصادقة عبر الرسائل القصيرة تحتضر؟ كان الناس يتنبؤون بوفاتها منذ عقد من الزمان. ومع ذلك، ها نحن في عام 2026، وهي أكثر انتشارًا من أي وقت مضى.
لكن التغيير قادم. ببطء.
مراسلة RCS تحل تدريجيًا محل الرسائل القصيرة كبروتوكول نصي افتراضي. يدعم RCS التشفير من طرف إلى طرف، مما من شأنه معالجة ثغرة اعتراض SS7. دفعت Google بقوة لتبني RCS، وأضافت Apple أخيرًا دعم RCS إلى أجهزة iPhone في أواخر عام 2024. لكن المصادقة المستندة إلى RCS لا تزال نادرة - لم تقم معظم المنصات بترحيل أنظمة OTP الخاصة بها بعد.
Passkeys هي التكنولوجيا الأكثر احتمالاً لاستبدال المصادقة عبر الرسائل القصيرة على المدى الطويل. استنادًا إلى معايير FIDO2، تستخدم Passkeys تشفير المفتاح العام المرتبط بالمصادقة الحيوية لجهازك. لا توجد رموز. لا يوجد خطر اعتراض. تدفع Google و Apple و Microsoft بقوة لـ Passkeys. وفقًا لبعض التقديرات، تضاعفت الحسابات المتوافقة مع Passkeys ثلاث مرات بين عامي 2024 و 2026.
المصادقة الصامتة للشبكة هي منافس آخر. بدلاً من إرسال رمز إليك، تتحقق المنصة من رقمك مباشرة مع شركة الاتصالات في الخلفية. لا تدخل شيئًا. تؤكد شركة الاتصالات أن الطلب قادم من جهاز به هذه الشريحة. إنها أسرع وأكثر أمانًا من OTP عبر الرسائل القصيرة. IPification و Number Verify هما خدمتان تمكنان ذلك.
ولكن هذه هي الحقيقة: لا أحد من هؤلاء عالمي حتى الآن. تتطلب Passkeys أجهزة حديثة. تتطلب المصادقة الصامتة تكاملات مع شركات الاتصالات غير موجودة في كل مكان. تبني RCS متقطع.
ستكون المصادقة عبر الرسائل القصيرة هي الحد الأدنى لمدة 3-5 سنوات القادمة على الأقل. إنها بسيطة جدًا، ورخيصة جدًا، وعالمية جدًا بحيث لا تختفي بسرعة. ما سيحدث هو أنها ستصبح متعددة الطبقات - الرسائل القصيرة كحد أدنى، مع توفر طرق أفضل للمستخدمين الذين يريدونها.
في غضون ذلك، إذا كنت ترغب في إبقاء رقمك الحقيقي بعيدًا عن هذه المنصات، فإن رقمًا افتراضيًا غير VoIP يظل الحل العملي الأفضل. تحقق من كيف يعمل التحقق عبر الرسائل القصيرة — شرح تقني لمزيد من التفاصيل حول كيفية عمل البنية التحتية.
The Future of SMS Verification
Is SMS verification dying? People have been predicting its death for a decade. And yet here we are in 2026, and it's more widespread than ever.
But change is coming. Slowly.
RCS messaging is gradually replacing SMS as the default text protocol. RCS supports end-to-end encryption, which would address the SS7 interception vulnerability. Google has pushed RCS adoption aggressively, and Apple finally added RCS support to iPhones in late 2024. But RCS-based verification is still rare — most platforms haven't migrated their OTP systems yet.
Passkeys are the technology most likely to displace SMS verification long-term. Based on FIDO2 standards, passkeys use public key cryptography tied to your device's biometric authentication. No codes. No interception risk. Google, Apple, and Microsoft are all pushing passkeys hard. By some estimates, passkey-compatible accounts tripled between 2024 and 2026.
Silent network authentication is another contender. Instead of sending you a code, the platform verifies your number directly with your carrier in the background. You don't enter anything. The carrier confirms that the request is coming from a device with that SIM. It's faster and more secure than SMS OTP. IPification and Number Verify are two services enabling this.
But here's the reality: none of these are universal yet. Passkeys require modern devices. Silent auth requires carrier integrations that don't exist everywhere. RCS adoption is patchy.
SMS verification will be the baseline for at least the next 3-5 years. It's too simple, too cheap, and too universal to disappear quickly. What'll happen is that it gets layered — SMS as the minimum, with better methods available for users who want them.
In the meantime, if you want to keep your real number off these platforms, a non-VoIP virtual number remains the best practical solution. Check out كيف يعمل التحقق عبر الرسائل القصيرة — شرح تقني for even more detail on how the plumbing works.