2FAPRO.COM

مُنشئ رموز التحقق بخطوتين (2FA)

أنشئ رموز TOTP من مفتاحك السري لخدمات مثل Google وFacebook وInstagram وغيرها.

أدخل المفتاح السري للتحقق بخطوتين من الخدمة التي تريد استخدامها. سيتم تنظيف المسافات والتنسيق تلقائياً.

لا يتم تخزين مفتاحك السري على خوادمنا ويتم معالجته فقط على جهازك.

مسح رمز QR

شارك هذه الأداة

الحسابات المحفوظة

لا توجد حسابات محفوظة

أضف حسابات من علامة تبويب المُنشئ أو استورد من النسخة الاحتياطية

المفاتيح الأخيرة

لا يوجد سجل بعد

ستظهر الرموز المُنشأة هنا

المعلومات والمساعدة

ما هو 2FA/TOTP؟

التحقق بخطوتين (2FA) هو طبقة أمان إضافية تتطلب من المستخدم تقديم نوعين من التحقق. TOTP هو خوارزمية تُنشئ كلمات مرور لمرة واحدة تتغير كل 30 ثانية.

كيف أحصل على المفتاح السري؟

الأمان

تتم معالجة المفتاح السري محلياً في متصفحك. لا يتم تخزين البيانات على خوادمنا أو إرسالها إلى أطراف ثالثة. مع ذلك، تأكد دائماً من الحفاظ على سرية مفتاحك السري.

الخدمات المتوافقة

يعمل هذا المُنشئ مع الخدمات التي تستخدم معيار TOTP، بما في ذلك Google وFacebook وTwitter وMicrosoft وGitHub وDropbox وAmazon ومعظم خدمات السحابة ووسائل التواصل الاجتماعي.

الدليل الشامل للمصادقة الثنائية (2FA)

كل ما تحتاج معرفته عن 2FA ورموز TOTP وتطبيقات authenticator وكيفية حماية حساباتك عبر الإنترنت باستخدام المصادقة الثنائية.

كيفية إنشاء رمز 2FA في 3 خطوات بسيطة

  1. 1

    انسخ مفتاح 2FA السري الخاص بك

    عند تفعيل المصادقة الثنائية في Google أو Facebook أو GitHub أو أي خدمة أخرى، انسخ مفتاح Base32 السري المعروض بجانب رمز QR.

  2. 2

    الصق المفتاح وأنشئ TOTP

    الصق المفتاح السري في حقل مولد 2FA أعلاه وانقر على Generate Code. يتم حساب رمز TOTP المكون من 6 أرقام فورا في متصفحك.

  3. 3

    استخدم رمز 2FA لتسجيل الدخول

    أدخل رمز التحقق المكون من 6 أرقام في نموذج تسجيل الدخول قبل انتهاء مؤقت الـ 30 ثانية. يتم تحديث الرمز تلقائيا لكل عملية تسجيل دخول جديدة.

الخدمات والمنصات الشهيرة التي تدعم مولد 2FA الخاص بنا

مولد رمز 2FA الخاص بنا متوافق تماما مع أي خدمة تتبع معيار TOTP RFC 6238. فيما يلي أشهر المنصات التي يمكنك استخدام هذا الـ authenticator معها:

Google / Gmail
Facebook / Meta
Instagram
X (Twitter)
Microsoft / Outlook
GitHub
GitLab
Bitbucket
Dropbox
Amazon / AWS
PayPal
Coinbase
Binance
Kraken
Discord
Slack
Steam
Epic Games
Fortnite
Roblox
Twitch
Reddit
WordPress
Cloudflare
DigitalOcean
LastPass
1Password
Bitwarden
Apple ID
Snapchat
TikTok
LinkedIn

لماذا تستخدم مولد 2FA TOTP المجاني الخاص بنا

خاص ومحلي 100%

كل عمليات توليد رموز TOTP تحدث مباشرة في متصفحك. لا يتم إرسال مفتاح 2FA السري إلى أي خادم، مما يحافظ على خصوصية بيانات authenticator الخاصة بك بشكل كامل.

رموز فورية مكونة من 6 أرقام

أنشئ رموز استخدام مرة واحدة قائمة على الوقت فورا مع تحديث تلقائي كل 30 ثانية. تعمل كبديل كامل لـ Google Authenticator و Authy و Microsoft Authenticator.

ماسح QR Code مدمج

امسح أي رمز QR خاص بـ 2FA بالكاميرا أو ارفع صورة. تقرأ الأداة رابط otpauth URI تلقائيا، لذا لا تحتاج إلى كتابة مفتاح Base32 السري.

دعم وضعي TOTP و HOTP

تبديل بين الخوارزميات القائمة على الوقت (TOTP / RFC 6238) والقائمة على العداد (HOTP / RFC 4226). يدعم تجزئات SHA-1 و SHA-256 و SHA-512.

الأسئلة الشائعة حول 2FA

ما هو 2FA (المصادقة الثنائية)؟
2FA أو المصادقة الثنائية هي طريقة أمان تتطلب خطوتين مختلفتين للتحقق للوصول إلى حساب: شيء تعرفه (كلمة المرور) وشيء تمتلكه (رمز 2FA من تطبيق authenticator). حتى لو سرق مخترق كلمة المرور، فلن يستطيع تسجيل الدخول دون رمز 2FA القائم على الوقت.
هل مولد 2FA هذا متوافق مع Google Authenticator؟
نعم. يستخدم مولد 2FA عبر الإنترنت الخاص بنا خوارزمية TOTP RFC 6238 نفسها المستخدمة في Google Authenticator و Microsoft Authenticator و Authy و 1Password. الرمز المكون من 6 أرقام الذي يتم إنشاؤه هنا سيتطابق مع رمز تلك التطبيقات لنفس المفتاح السري.
لماذا يتغير رمز 2FA الخاص بي كل 30 ثانية؟
رموز TOTP هي كلمات مرور استخدام مرة واحدة قائمة على الوقت - مشتقة من الطابع الزمني Unix الحالي ومفتاحك السري، وتتجدد على فترات ثابتة (عادة 30 ثانية). يمنع هذا العمر القصير هجمات الإعادة ويحافظ على أمان المصادقة الثنائية.
هل من الآمن إدخال مفتاح 2FA السري على هذا الموقع؟
نعم. تحدث جميع عمليات توليد رموز 2FA محليا في متصفحك باستخدام Web Crypto API. المفتاح السري لا يغادر جهازك أبدا ولا يتم إرساله إلى أي خادم. لأقصى درجات الأمان، تعامل مع المفتاح السري كأنه كلمة مرور ولا تشاركه مع أحد.
ما الفرق بين TOTP و HOTP؟
TOTP (كلمة مرور لمرة واحدة قائمة على الوقت، RFC 6238) يولد رموزا بناء على الوقت الحالي، ولهذا يتغير الرمز كل 30 ثانية. HOTP (كلمة مرور لمرة واحدة قائمة على HMAC، RFC 4226) يستخدم عدادا يتزايد. كلاهما نوعان من رموز 2FA، لكن TOTP أكثر شيوعا اليوم.
هل يمكنني استخدام هذا كتطبيق authenticator رئيسي؟
نعم. يمكنك حفظ حسابات 2FA متعددة في تبويب My Accounts مع تخزين محلي مشفر، وتصدير نسخ احتياطية مشفرة، واستعادتها على جهاز آخر. تعمل الأداة كتطبيق ويب تقدمي (PWA)، ويمكن تثبيتها مثل أي authenticator أصلي.
ماذا لو تم رفض رمز 2FA الخاص بي من قبل الموقع؟
عادة ما يعني رمز 2FA الخاطئ أن ساعة جهازك غير متزامنة، أو أن المفتاح السري تم نسخه بشكل خاطئ. تأكد من عدم وجود مسافات زائدة في المفتاح Base32، وأن وقت النظام مضبوط تلقائيا، وجرب الرمز التالي بعد تحديث الـ 30 ثانية.
هل تعمل أداة 2FA هذه دون اتصال بالإنترنت؟
نعم. بعد الزيارة الأولى، يتم تخزين الـ authenticator في الذاكرة المؤقتة بواسطة service worker حتى تتمكن من إنشاء رموز TOTP دون اتصال بالإنترنت. مثالي للسفر أو عندما لا يكون تطبيق authenticator الأساسي متاحا.

لماذا تعتبر المصادقة الثنائية مهمة في 2026

كلمات المرور وحدها لم تعد كافية. تتسرب مليارات بيانات الاعتماد في خروقات البيانات كل عام، ويمكن لأدوات التصيد المتقدمة هزيمة حتى كلمات المرور المعقدة. المصادقة الثنائية - المعروفة أيضا باسم 2FA أو MFA أو التحقق بخطوتين - تضيف طبقة ثانية لا يستطيع المهاجمون عن بعد تجاوزها بسهولة.

تطبيقات TOTP authenticator مثل هذا هي طريقة 2FA الأكثر دعما، وتعمل على Google و Microsoft و Apple ID و GitHub و Facebook و Instagram و Snapchat و TikTok و Steam و Epic Games و Fortnite و Discord وتقريبا جميع الخدمات الكبرى عبر الإنترنت. مع رمز 2FA جديد مكون من 6 أرقام يتجدد كل 30 ثانية، تصبح كلمات المرور المسربة بلا فائدة وحدها.

فعل 2FA أينما أمكن - البريد الإلكتروني ووسائل التواصل الاجتماعي وبورصات العملات المشفرة والتخزين السحابي والخدمات المصرفية وحسابات الألعاب. بالاقتران مع مدير كلمات مرور قوي وكلمات مرور فريدة لكل موقع، فإن إعداد المصادقة الثنائية الصحيح هو واحد من أكبر الترقيات التي يمكنك القيام بها لأمانك عبر الإنترنت.

مقارنة أنواع طرق 2FA: SMS و TOTP ومفاتيح الأجهزة والمقاييس الحيوية

هناك عدة أنواع من المصادقة الثنائية المتاحة اليوم، لكل منها مستويات مختلفة من الأمان والراحة. فهم هذه الخيارات يساعدك على اختيار طريقة 2FA المناسبة لكل حساب - من تسجيل دخول الألعاب البسيط إلى الحسابات المصرفية وحسابات العملات المشفرة عالية القيمة. فيما يلي نقارن كل شكل رئيسي من أشكال 2FA التي ستواجهها في 2026، مع الإيجابيات والسلبيات وتوصياتنا بصدق.

طريقة 2FA الأمان الراحة مناسب لـ
SMS 2FALowHighFallback only; vulnerable to SIM swap
TOTP Authenticator AppHighHighDaily 2FA for all accounts
Push NotificationsMediumVery HighWork accounts with managed devices
Hardware Security KeyVery HighMediumEmail, password manager, crypto
Biometric / PasskeyVery HighVery HighModern passwordless sign-in
Backup CodesMediumOne-timeRecovery when authenticator is lost

SMS-based 2FA هي أكثر أشكال المصادقة الثنائية شيوعا لأنها تعمل مع جميع الهواتف المحمولة. بعد إدخال كلمة المرور، يتم إرسال رسالة نصية تحتوي على رمز تحقق مكون من 6 أرقام إلى رقمك. رغم أنها مريحة، إلا أن SMS 2FA عرضة لهجمات SIM swapping - حيث يخدع المجرمون مشغلي الشبكة لنقل رقمك إلى أجهزتهم. قامت NIST بالتخلي عن SMS كطريقة 2FA آمنة للحسابات عالية القيمة، وتوصي البنوك الكبرى بشكل متزايد بالانتقال إلى تطبيقات TOTP authenticator.

Authenticator apps (TOTP) مثل Google Authenticator و Microsoft Authenticator و Authy و 1Password تولد كلمات مرور استخدام مرة واحدة قائمة على الوقت مباشرة على جهازك دون الحاجة إلى اتصال بالشبكة. هذا يجعل TOTP 2FA أسرع وأكثر أمانا ومناعة ضد هجمات SIM swap. تتجدد الرموز كل 30 ثانية بناء على معيار RFC 6238، ويعمل نفس المفتاح السري في جميع تطبيقات authenticator المتوافقة - بما في ذلك هذا المولد المستند إلى المتصفح.

Hardware security keys مثل YubiKey و Google Titan و SoloKeys و Feitian تستخدم معيار FIDO2 / WebAuthn لإثبات الملكية المادية عبر أجهزة USB أو NFC أو Bluetooth. مفاتيح الأجهزة هي المعيار الذهبي لأمان 2FA لأنها مقاومة للتصيد - لا يمكن لصفحات تسجيل الدخول المزيفة الحصول على التوقيعات المشفرة، على عكس رموز TOTP. استخدم مفاتيح الأجهزة لأكثر الحسابات أهمية: البريد الرئيسي ومدير كلمات المرور وبورصات العملات المشفرة وهوية العمل.

Push notification 2FA التطبيقات مثل Duo Mobile وإشعارات Microsoft Authenticator و Okta Verify ترسل نقرة تأكيد إلى هاتفك. أكثر راحة من كتابة رمز 2FA المكون من 6 أرقام لكنها تتطلب دعم الخدمة وعرضة لهجمات MFA fatigue حيث يرسل المجرمون طلبات موافقة متكررة على أمل أن تنقر على Approve بسبب الغفلة.

Biometric 2FA and passkeys يستخدم بصمات الأصابع أو التعرف على الوجه، غالبا مدمجا مع passkey مرتبط بالجهاز. Apple Face ID و Windows Hello وماسحات بصمات الأصابع في Android تستخدم بشكل متزايد كعامل ثانوي للأجهزة التي سجلت الدخول بالفعل. تحل passkeys المستندة إلى FIDO2 / WebAuthn تدريجيا محل كلمات المرور و TOTP 2FA في Google و Apple و Microsoft و GitHub وقائمة متزايدة من الخدمات - هذا هو مستقبل المصادقة.

توصيتنا: استخدم تطبيق TOTP authenticator كطريقة 2FA أساسية، مدعومة بمفتاح أمان للأجهزة لأكثر الحسابات أهمية (البريد الرئيسي، ومدير كلمات المرور، والعملات المشفرة، وهوية العمل). تجنب SMS 2FA كلما أمكن واحفظ دائما backup codes دون اتصال في مكان آمن.

كيفية تفعيل 2FA على الخدمات الشهيرة (خطوة بخطوة)

إعداد المصادقة الثنائية يختلف قليلا على كل منصة، لكن التدفق الأساسي هو نفسه في جميع الخدمات الرئيسية. فيما يلي دليل سريع خطوة بخطوة لتفعيل 2FA على المنصات الأكثر شعبية، وكلها تعمل بسلاسة مع مولد TOTP هذا.

تفعيل 2FA على Google / Gmail

قم بزيارة myaccount.google.com ثم Security و 2-Step Verification و Get Started. سجل الدخول بكلمة المرور واختر Authenticator app. يعرض Google رمز QR - امسحه بمولد TOTP الخاص بنا أو الصق مفتاح Base32 السري. يدعم Google أيضا إشعارات Google Prompt ومفاتيح الأمان للأجهزة كطرق 2FA إضافية لحساب Gmail و Google الخاص بك.

تفعيل 2FA على Facebook / Meta

انقر على صورة ملفك الشخصي في Facebook، وافتح Settings & Privacy و Settings و Accounts Center و Password and security و Two-factor authentication. اختر Authentication app وامسح رمز QR أو انسخ المفتاح السري إلى مولد رمز 2FA الخاص بنا. يسمح Facebook باستخدام SMS كنسخة احتياطية، لكن 2FA عبر تطبيق authenticator موصى به بشدة لأمان أفضل.

تفعيل 2FA على Discord

افتح Discord و User Settings (أيقونة الترس) و My Account و Enable Two-Factor Auth. أدخل كلمة المرور، ثم استخدم رمز QR المعروض أو مفتاح Base32 اليدوي مع مولد رمز 2FA الخاص بنا. احفظ دائما backup codes الخاصة بـ Discord على الفور - إذا فقدت الوصول إلى authenticator، فستحتاج Discord إلى تلك الرموز لاستعادة الحساب.

تفعيل 2FA على GitHub

انتقل إلى Settings و Password and authentication و Two-factor authentication و Enable. اختر Set up using an app لإنشاء رموز TOTP باستخدام أداة 2FA الخاصة بنا أو أي authenticator RFC 6238. يدعم GitHub أيضا مفاتيح أمان FIDO2 كعامل إضافي، ويتطلب 2FA لجميع المساهمين في المستودعات الحساسة.

تفعيل 2FA على Microsoft / Outlook

قم بزيارة account.microsoft.com و Security و Advanced security options و Two-step verification و Turn on. تفضل Microsoft تطبيق Microsoft Authenticator الخاص بها ولكن أي مولد TOTP RFC 6238 - بما في ذلك تطبيقنا - يعمل بشكل متطابق. يغطي نفس إعداد 2FA خدمات Outlook و Xbox و Microsoft 365 و Teams و OneDrive وجميع خدمات Microsoft الأخرى.

تفعيل 2FA على Fortnite / Epic Games

قم بزيارة epicgames.com ثم account و password-and-security و Two-factor authentication و Enable Authenticator App. امسح رمز QR بمولد 2FA الخاص بنا. تفعيل 2FA على Fortnite يمنحك أيضا مكافأة حركة Boogiedown ويحسن أمان حسابات Rocket League و Epic Games Store.

تفعيل 2FA على Binance / Coinbase / Kraken

كل بورصات العملات المشفرة الكبرى - Binance و Coinbase و Kraken و Gemini و KuCoin و Bitstamp - تتطلب 2FA لعمليات السحب. فعل توافق Google Authenticator في علامة تبويب الأمان لكل بورصة واحفظ المفتاح السري في مدير كلمات المرور. فقدان الوصول إلى 2FA لحسابات العملات المشفرة دون backup codes قد يغلق أموالك نهائيا.

تفعيل 2FA على Instagram / TikTok / Snapchat

Instagram و TikTok و Snapchat جميعها تدعم 2FA عبر تطبيق authenticator من خلال قائمة Settings و Security. كل تطبيق ينشئ رمز QR متوافق مع أي أداة TOTP RFC 6238. نظرا لكثرة استهداف حسابات التواصل الاجتماعي لسرقة الحسابات وإعادة بيعها، فإن تفعيل المصادقة الثنائية على كل حساب وسائل تواصل اجتماعي أمر إلزامي في 2026.

بعد تفعيل 2FA على أي خدمة، اختبر على الفور بتسجيل الخروج وتسجيل الدخول مرة أخرى - قبل أن تحتاجه فعلا. هذا يضمن أن رمز authenticator يعمل بشكل صحيح وأنك قد حفظت recovery backup codes بأمان.

أفضل ممارسات أمان 2FA التي يجب أن يتبعها كل مستخدم

تفعيل المصادقة الثنائية هو نصف العمل فقط. اتباع أفضل الممارسات التالية يحافظ على إعداد 2FA آمنا من التهديدات الحديثة التي تستهدف تطبيقات authenticator ورموز SMS وتدفقات الاسترداد. تبني نصف هذه الممارسات فقط يضعك في مرتبة أفضل من 95% من المستخدمين من حيث نظافة 2FA.

  • احفظ دائما backup codes الخاصة بك. كل خدمة تدعم 2FA تنشئ 8-10 رموز استرداد للاستخدام مرة واحدة عند تفعيل authenticator. اطبعها أو احفظها في مدير كلمات المرور أو خزنها في ملاحظات مشفرة. بدون backup codes، قد يعني فقدان الهاتف فقدان الحساب نهائيا - لا يوجد دعم عملاء يمكنه استعادة حسابات 2FA المؤمنة دون إثبات الهوية.
  • استخدم أجهزة authenticator متعددة. صدر نسخة احتياطية 2FA من هذه الأداة واستوردها على جهاز ثان، أو استخدم Authy / 1Password التي تزامن أسرار TOTP عبر الأجهزة بشكل أصلي. يمتلك Google Authenticator الآن ميزة تصدير QR رسمية. امتلاك جهاز ثان يعني أن فقدان الهاتف أو تلفه لن يقطعك عن كل حساب 2FA في أسوأ الأوقات.
  • احذر من هجمات MFA fatigue. قد يرسل المهاجمون الذين يعرفون كلمة مرورك طلبات 2FA عبر إشعارات push على أمل أن تنقر Approve بدافع العادة أو الانزعاج. استخدم هذا في اختراقات عالية المستوى في Uber وغيرها. تحقق دائما من التطبيق الذي يطلب التأكيد ورفض أي مطالبات غير متوقعة - عمليات تسجيل الدخول الشرعية نادرا ما تشغل طلبات 2FA دون سبب في منتصف الليل.
  • احم نفسك من SIM swapping. حتى لو تجنبت SMS 2FA، فإن أرقام الهواتف المحمولة غالبا ما ترتبط بتدفقات استرداد الحساب. اطلب من مشغلك إضافة PIN أو حماية port-out إلى حسابك حتى لا يتمكن المجرمون من نقل SIM إلى أجهزتهم. هذا التغيير وحده يمنع معظم هجمات SIM swap وهو مجاني على جميع المشغلين الرئيسيين.
  • ادمج 2FA مع مدير كلمات المرور. كلمات مرور قوية وفريدة لكل موقع بالإضافة إلى TOTP 2FA بالإضافة إلى مفتاح أمان للأجهزة للحسابات الحرجة هو المعيار الذهبي لأمان الحساب في 2026. يمكن لـ 1Password و Bitwarden و LastPass و KeePass تخزين أسرار TOTP جنبا إلى جنب مع كلمات المرور - حتى أن بعضها يملأ تلقائيا كلا الحقلين في آن واحد لتجربة تسجيل دخول سلسة.
  • لا تشارك أبدا رموز 2FA، حتى مع الدعم. لن تطلب منك أي شركة شرعية أو بنك أو منصة عبر الإنترنت قراءة رمز 2FA المكون من 6 أرقام بصوت عال أو كتابته في الدردشة أو إرساله عبر البريد الإلكتروني. إذا طلب منك أحد ذلك - سواء ادعى أنه دعم فني أو البنك الخاص بك أو شركة شحن - فهو احتيال. أنه المكالمة واتصل بالشركة عبر رقمها الرسمي أو موقعها الإلكتروني مباشرة.
  • راجع إعداد 2FA الخاص بك سنويا. قم بإعداد قائمة بكل حساب قمت بتفعيل المصادقة الثنائية عليه. أزل 2FA من الحسابات غير المستخدمة، وفعله على الحسابات الجديدة المنشأة، وتحقق من أن backup codes لا تزال تعمل. مراجعة 2FA السنوية تكتشف عناوين البريد الإلكتروني القديمة للاسترداد وأرقام الهواتف القديمة وبذور authenticator المنسية.
  • رقي إلى passkeys متى كان متاحا. تحل passkeys المستندة إلى FIDO2 / WebAuthn تدريجيا محل كلمات المرور و TOTP 2FA في Google و Apple و Microsoft و GitHub و PayPal ومئات الخدمات الأخرى. passkeys مقاومة للتصيد بحكم التصميم ومرتبطة بـ secure enclave الخاص بجهازك - عندما تقدم المواقع passkey، فعلها بدلا من الاعتماد فقط على رموز 2FA.

حل مشكلات 2FA الشائعة

حتى إعداد المصادقة الثنائية المهيأ جيدا يمكن أن يواجه مشاكل. فيما يلي أكثر مشكلات 2FA شيوعا التي يواجهها المستخدمون والإصلاحات العملية التي تحل معظمها دون الحاجة إلى الاتصال بالدعم.

رمز 2FA غير صالح أو رمز التحقق خاطئ

السبب الأكثر شيوعا هو انحراف ساعة الجهاز. يعتمد TOTP على الوقت الدقيق - حتى انحراف 30 ثانية يتسبب في عدم تطابق الرموز. على Android: Settings و System و Date & time و Set time automatically. على iOS: Settings و General و Date & Time و Set Automatically. على Windows: Settings و Time & language و Date & time و Set time automatically. عادة ما تقبل الخوادم الرموز في نافذة زائد ناقص 1، لذا فإن تجربة الرمز التالي بعد التحديث كل 30 ثانية غالبا ما يعمل.

خطأ إملائي في المفتاح السري عند الإدخال اليدوي

يستخدم Base32 فقط الحروف من A إلى Z والأرقام من 2 إلى 7 - لا يوجد 0 أو 1 أو 8 أو 9. الأحرف الغامضة مثل O مقابل 0 أو I مقابل 1 تكسر كل شيء. انسخ المفتاح السري مباشرة من رمز QR الخاص بالخدمة بدلا من كتابته يدويا، أو استخدم ماسح QR المدمج. تسمح العديد من الخدمات أيضا بعرض السر plaintext بجانب رمز QR للإدخال اليدوي الأسهل.

فقد الهاتف مع تطبيق authenticator

أولا، جرب backup codes - تطلب معظم الخدمات واحدة عندما لا يمكنك الوصول إلى 2FA authenticator. إذا قمت بتصدير أو مزامنة أسرار TOTP، فاستعدها على الجهاز الجديد. كملاذ أخير، اتصل بفريق دعم الخدمة واتبع تدفق استرداد الحساب الخاص بهم، والذي يتضمن عادة التحقق من هوية حكومية أو تأكيد سر آخر. لا تدفع أبدا مقابل خدمات استرداد 2FA من طرف ثالث - فهي احتيال.

لا يمكن مسح رمز QR

الإضاءة وتركيز الكاميرا ووهج الشاشة من الأسباب الشائعة. جرب تنزيل QR كملف صورة ورفعه إلى ماسح الصور الخاص بنا، أو أدخل مفتاح Base32 السري المعروض يدويا. تأكد من عدم وجود ملحقات متصفح تعدل عرض QR.

الحساب مغلق تماما من 2FA

معظم الخدمات تدعم التحقق من الهوية عبر هوية حكومية أو آخر 4 أرقام من بطاقة الائتمان أو البريد الإلكتروني للاسترداد أو جهات اتصال موثوقة. يمكن لتسجيلات الدخول الاجتماعية (Google و Apple و Microsoft) فتح القفل غالبا عبر 2FA الحساب الأصلي. بورصات العملات المشفرة هي الأكثر صرامة - كن مستعدا لعملية KYC تستغرق أياما. وثق هويتك بشكل صحيح واتبع تدفقات الاسترداد الرسمية لكل خدمة.

إشعارات push لا تصل

تأكد من أن تطبيق authenticator لديه إذن الإشعارات، وتعطيل تحسين البطارية خصيصا له، وأن الجهاز لديه وصول إنترنت نشط. على Android، تقوم بعض موفرات البطارية العدوانية بإيقاف خدمات authenticator في الخلفية - ضع تطبيق 2FA في القائمة البيضاء. إعادة تشغيل التطبيق عادة ما يحدث رمز push.

كيف يعمل TOTP خلف الكواليس (غوص تقني عميق)

للفضوليين تقنيا، إليك خطوة بخطوة كيف يتم إنشاء رموز 2FA TOTP، باتباع RFC 6238 - نفس الخوارزمية التي يستخدمها مولد 2FA الخاص بنا داخليا، ونفس الخوارزمية التي يتبعها Google Authenticator و Microsoft Authenticator و Authy وجميع authenticators المتوافقة الأخرى.

  1. 1. Shared secret. عند تفعيل 2FA على خدمة، يتفق كل من الخادم وتطبيق authenticator الخاص بك على مفتاح سري عشوائي، عادة 160 بت (20 بايت) مشفر بـ Base32 للعرض المقروء من قبل الإنسان. هذا shared secret لا يغادر أي من الجانبين في العمليات العادية.
  2. 2. Time counter. خذ طابع Unix الزمني الحالي، واقسم على 30، وأرضض النتيجة. ينتج عن ذلك عداد integer يزداد على كلا الجانبين كل 30 ثانية. استخدام الوقت كعداد يعني عدم الحاجة إلى مزامنة الحالة بين الخادم و authenticator - يحسب كلا الجانبين بشكل مستقل نفس القيمة.
  3. 3. HMAC-SHA1. احسب تجزئة HMAC-SHA1 باستخدام shared secret كمفتاح وعداد 8 بايت big-endian كرسالة. الإخراج هو تجزئة تشفير 20 بايت. تدعم التطبيقات الحديثة أيضا HMAC-SHA256 و HMAC-SHA512 لـ 2FA أقوى عندما يتفق الجانبان على الخوارزمية.
  4. 4. Dynamic truncation. خذ البايت الأخير من التجزئة، وقناع 4 بت السفلية للحصول على offset (من 0 إلى 15). استخرج 4 بايت من ذلك الـ offset في التجزئة، ومسح high bit، وعامل النتيجة كـ integer من 32 بت. هذه هي خوارزمية dynamic truncation من RFC 4226 (HOTP) التي يستند إليها TOTP.
  5. 5. Modulo للأرقام. احسب integer من 32 بت modulo 10 مرفوعا لعدد الأرقام - عادة 10 مرفوعا للأس 6 لرمز 2FA قياسي من 6 أرقام، أو 10 مرفوعا للأس 8 لبعض الخدمات المصرفية. املأ بالأصفار في البداية إذا لزم الأمر حتى يصبح إخراج القيم المنخفضة مثل 7 هو 000007، وليس رمزا جزئيا.

النتيجة هي رمز تحقق من 6 أرقام يتم حسابه بشكل متطابق بواسطة authenticator والخادم. عند كتابة الرمز أثناء تسجيل الدخول، يحسب الخادم الرمز المتوقع لنافذة الوقت الحالية ويقارن. لأن HMAC مقاوم للتصادم، فقط من يحمل shared secret يمكنه إنتاج رمز TOTP صالح - هذه هي رياضيات التشفير وراء أمان 2FA الحديث. في تطبيقنا، تحدث كل هذه الحسابات على جانب العميل باستخدام Web Crypto API في المتصفح، لذا فإن المفتاح السري الخاص بك لا يلمس الخادم أبدا والرموز التي ننتجها تتطابق تماما مع Google Authenticator و Authy و Microsoft Authenticator و 1Password و Bitwarden وجميع authenticators المتوافقة مع RFC 6238.

مسرد المصادقة الثنائية

مرجع سريع لأكثر مصطلحات المصادقة الثنائية شيوعا التي ستواجهها عند تفعيل 2FA عبر الخدمات المختلفة.

2FA
Two-Factor Authentication. Requires two different authentication factors before granting account access.
MFA
Multi-Factor Authentication. Umbrella term covering any use of multiple factors (2FA is the most common form of MFA).
TOTP
Time-based One-Time Password. 6-digit 2FA codes that change every 30 seconds. Defined by RFC 6238.
HOTP
HMAC-based One-Time Password. Counter-based 2FA codes that increment on each use. Defined by RFC 4226.
OTP
One-Time Password. Any code valid for a single login attempt. Includes both TOTP and HOTP variants.
HMAC
Hash-based Message Authentication Code. The cryptographic primitive that underpins both TOTP and HOTP.
Base32
The text encoding used for 2FA secret keys — only A–Z and 2–7, chosen to avoid ambiguous characters.
Authenticator
Any app or device that generates 2FA codes. Examples: Google Authenticator, Authy, 1Password, Microsoft Authenticator.
QR Code
Quick Response barcode containing the otpauth:// URI used to provision a new 2FA secret without typing.
Secret Key
The shared cryptographic key between you and the service, usually 160 bits encoded in Base32.
Recovery Codes
Single-use backup codes to log in when your authenticator is unavailable. Also called backup codes.
SIM Swap
Attack where criminals port your phone number to their SIM card to intercept SMS 2FA codes.
Passkey
Modern FIDO2 / WebAuthn credential replacing passwords plus 2FA on a growing list of sites.
FIDO2
Open authentication standard for phishing-resistant login using hardware keys or device biometrics.
WebAuthn
Web API that implements FIDO2 inside the browser for passkey and hardware key sign-in.
U2F
Universal 2nd Factor. The predecessor of FIDO2, still supported by many hardware security keys.
YubiKey
Popular brand of hardware security key supporting FIDO2, U2F, OTP, and smart card functions.
Phishing-resistant MFA
2FA methods (hardware keys, passkeys) that cannot be tricked by fake login pages.