دليل مطوّري مفاتيح المرور للأطراف المعتمِدة

تعرَّف على كيفية دمج مفاتيح المرور في خدمتك.

بنية نظام مفتاح المرور

يتكوّن نظام مفتاح المرور من بضعة مكوّنات:

  • الطرف الموثوق به: في سياق مفتاح المرور، تتولّى الجهة الموثوق بها معالجة إصدار مفتاح المرور والمصادقة عليه. يجب أن يشغّل الجهة المحظورة برنامجًا، أي موقع إلكتروني أو تطبيق ينشئ مفاتيح المرور أو يصادق على مفاتيح المرور، وخادمًا لتسجيل بيانات الاعتماد التي يتم إنشاؤها باستخدام مفاتيح المرور على العميل وتخزينها والتحقق منها. يجب أن يكون تطبيق الأجهزة الجوّالة لمفتاح المرور مرتبطًا بنطاق خادم الجهة المحظورة باستخدام آلية الربط المتوفرة في نظام التشغيل مثل روابط مواد العرض الرقمية.
  • Authenticator: هي أجهزة حوسبة، مثل هاتف جوّال أو جهاز لوحي أو كمبيوتر محمول أو كمبيوتر مكتبي يمكنه إنشاء مفاتيح مرور والتحقّق منها باستخدام ميزة قفل الشاشة التي يوفّرها نظام التشغيل.
  • مدير كلمات المرور: برنامج مثبّت على أجهزة المستخدم النهائي يوفّر مفاتيح المرور ويخزّنها ويزامنها، مثل مدير كلمات المرور في Google.

مسار التسجيل

استخدِم WebAuthn API على موقع إلكتروني أو في مكتبة "مدير بيانات الاعتماد" على تطبيق Android لإنشاء مفتاح مرور جديد وتسجيله.

لإنشاء مفتاح مرور جديد، عليك توفير بعض المكوّنات الرئيسية:

  • رقم تعريف الجهة المحظورة: يمكنك تقديم رقم تعريف الجهة الموثوق بها على شكل نطاق ويب.
  • معلومات المستخدم: رقم تعريف المستخدم واسم المستخدم والاسم المعروض.
  • بيانات الاعتماد المطلوب استبعادها: معلومات عن مفاتيح المرور التي تم تخزينها سابقًا لمنع تكرار التسجيل.
  • أنواع مفاتيح المرور: تحدّد هذه السمة ما إذا كنت تريد استخدام الجهاز نفسه ("برنامج المصادقة للنظام الأساسي") كبرنامج مصادقة أو كمفتاح أمان قابل للفصل ("برنامج مصادقة من عدّة منصات / برنامج مصادقة للتجوال"). بالإضافة إلى ذلك، يمكن للمُتصلين تحديد ما إذا كان سيتم جعل بيانات الاعتماد قابلة للاكتشاف حتى يتمكّن المستخدم من اختيار حساب لتسجيل الدخول من خلاله.

بعد أن يطلب الجهة المحظورة إنشاء مفتاح مرور ويتأكّد المستخدم منه باستخدام فتح قفل الشاشة، يتم إنشاء مفتاح مرور جديد ويتم عرض بيانات اعتماد المفتاح العام. أرسل ذلك إلى الخادم وخزّن معرّف بيانات الاعتماد والمفتاح العام للمصادقة المستقبلية.

مسار التسجيل

تعرَّف على طريقة إنشاء مفتاح مرور وتسجيله بالتفصيل:

مسار المصادقة

استخدِم WebAuthn API على موقع إلكتروني أو مكتبة "مدير بيانات الاعتماد" على تطبيق Android للمصادقة باستخدام مفتاح مرور مسجَّل.

للمصادقة باستخدام مفتاح مرور، هناك مكوّنان رئيسيان يجب توفيرهما:

  • رقم تعريف الجهة المحظورة: يمكنك تقديم رقم تعريف الجهة الموثوق بها على شكل نطاق ويب.
  • التحدي: تحدٍّ أنشأه الخادم يمنع هجمات إعادة التشغيل.

بعد أن يطلب الجهة المحظورة المصادقة باستخدام مفتاح المرور ويتأكّد المستخدم من صحتها من خلال فتح قفل الشاشة، يتم عرض بيانات اعتماد المفتاح العام. أرسل ذلك إلى الخادم وتحقق من التوقيع باستخدام المفتاح العام المخزن.

مسار المصادقة

تعرَّف بالتفصيل على طريقة المصادقة باستخدام مفتاح مرور:

عمليات الدمج من جهة الخادم

عند إنشاء مفتاح مرور، يحتاج الخادم إلى تقديم معلَمات رئيسية، مثل التحدي ومعلومات المستخدم ومعرّفات بيانات الاعتماد التي يجب استبعادها وغير ذلك. ثم يتحقق من بيانات اعتماد المفتاح العام التي تم إنشاؤها المرسلة من العميل ويخزن المفتاح العام في قاعدة البيانات. للمصادقة باستخدام مفتاح مرور، يحتاج الخادم إلى التحقّق من صحة بيانات الاعتماد بعناية والتحقّق من التوقيع للسماح للمستخدم بتسجيل الدخول.

مزيد من المعلومات في الأدلة من جهة الخادم:

آليات المصادقة الحالية (القديمة)

إذا كانت خدمة استخدام مفاتيح المرور متاحة في خدمتك الحالية، لن يتم الانتقال من طريقة المصادقة القديمة، مثل كلمات المرور إلى مفاتيح المرور، خلال يوم واحد. نعلم أنّك تميل إلى التخلص من طريقة المصادقة الأضعف في أقرب وقت ممكن، ولكن قد يتسبب ذلك في إرباك المستخدم أو إبعاد بعض المستخدمين عنه. ننصحك بإبقاء طريقة المصادقة الحالية في الوقت الحالي.

هناك بضعة أسباب:

  • ثمة مستخدمون في بيئة غير متوافقة مع مفاتيح المرور: نحن نعمل على توسيع نطاق إتاحة مفتاح المرور على نطاق واسع في العديد من أنظمة التشغيل والمتصفّحات، ولكن يتعذّر حتى الآن على المستخدمين الذين يستخدمون إصدارات قديمة استخدام مفاتيح المرور.
  • المنظومة المتكاملة لمفاتيح المرور لم تنتهِ بعد: إنّ المنظومة المتكاملة لمفاتيح المرور في طور التطوّر. يمكن تحسين تفاصيل تجربة المستخدم والتوافق الفني بين البيئات المختلفة.
  • قد لا يكون المستخدمون مستعدين للعيش باستخدام مفتاح مرور حتى الآن: هناك أشخاص يترددون في الانتقال إلى أشياء جديدة. مع نمو منظومة مفاتيح المرور المتكاملة، سيتعرفون على آلية عمل مفاتيح المرور وسبب أهميتها بالنسبة إليهم.

مراجعة آلية المصادقة الحالية

على الرغم من أنّ مفاتيح المرور تجعل عملية المصادقة أكثر بساطة وأمانًا، فإنّ الحفاظ على الآليات القديمة يشبه إجراء حفرة صغيرة. نقترح عليك مراجعة آليات المصادقة الحالية وتحسينها.

كلمات المرور

يُعد إنشاء كلمات مرور قوية وإدارتها لكل موقع ويب مهامًا صعبة للمستخدمين. ننصحك بشدة باستخدام مدير كلمات مرور مضمَّن في النظام أو مدير كلمات مرور مستقل. ومن خلال إجراء تعديل بسيط على نموذج تسجيل الدخول، يمكن للمواقع الإلكترونية والتطبيقات إحداث فارق كبير في أمانها وتجربة تسجيل الدخول. اطّلِع على كيفية إجراء هذه التغييرات:

المصادقة الثنائية

إنّ استخدام مدير كلمات المرور يساعد المستخدمين في التعامل مع كلمات المرور، إلا أنّه لا يستخدمها جميع المستخدمين. ويُعد طلب بيانات اعتماد إضافية تُسمى كلمة المرور لمرة واحدة (OTP) من الممارسات الشائعة لحماية هؤلاء المستخدمين. يتم توفير كلمات المرور لمرة واحدة (OTP) عادةً عبر رسالة إلكترونية أو رسالة قصيرة SMS أو تطبيق مصادقة مثل Google Authenticator. نظرًا لأن كلمات المرور OTP تكون عادةً نصًا قصيرًا يتم إنشاؤه ديناميكيًا فقط لفترة زمنية محدودة، فإنها تقلل من احتمالية الاستيلاء على الحساب. وهذه الطرق ليست بنفس قوة مفتاح المرور، ولكنها أفضل بكثير من ترك المستخدمين لكلمة مرور فقط.

إذا اخترت الرسائل القصيرة SMS كطريقة لإرسال كلمة المرور لمرة واحدة (OTP)، ننصحك بالاطّلاع على أفضل الممارسات التالية لتبسيط تجربة المستخدم لإدخال كلمة المرور لمرة واحدة (OTP).

اتحاد الهوية

تتيح ميزة اتحاد الهوية للمستخدمين تسجيل الدخول بأمان وسهولة. باستخدام ميزة "توحيد الهوية"، يمكن للمواقع الإلكترونية والتطبيقات السماح للمستخدمين بتسجيل الدخول باستخدام هوية المستخدم من خلال موفّر هوية تابع لجهة خارجية. على سبيل المثال، تساعد ميزة تسجيل الدخول باستخدام حساب Google على تقديم إحالات ناجحة رائعة للمطوّرين، ويرى المستخدمون أنّها أسهل ويفضّلها إجراء المصادقة المستندة إلى كلمة المرور. تتكامل ميزة "توحيد الهوية" مع مفاتيح المرور. يُعد الاشتراك أمرًا رائعًا حيث يمكن للموقع الإلكتروني أو التطبيق الحصول على معلومات الملف الشخصي الأساسية للمستخدم في خطوة واحدة، بينما تُعد مفاتيح المرور رائعة لتبسيط إعادة المصادقة.

يُرجى العلم أنّه بعد أن يوقف Chrome ملفات تعريف الارتباط التابعة لجهات خارجية في عام 2024، قد تتأثر بعض أنظمة دمج الهوية استنادًا إلى طريقة إنشائها. وللحد من هذا التأثير، يجري تطوير واجهة برمجة تطبيقات جديدة للمتصفح تسمى Federated Credential Management API (المعروفة اختصارًا باسم FedCM). إذا كنت تدير موفِّر هوية، يُرجى الاطّلاع على التفاصيل ومعرفة ما إذا كنت بحاجة إلى استخدام FedCM.

تسجيل الدخول باستخدام الرابط السحري هو طريقة مصادقة تقدّم فيها الخدمة رابط تسجيل الدخول عبر رسالة إلكترونية حتى يتمكّن المستخدم من النقر عليه لمصادقة نفسه. يساعد ذلك المستخدمين في تسجيل الدخول بدون الحاجة إلى تذكّر كلمة مرور، إلا أنّ التبديل بين المتصفح/التطبيق وبرنامج البريد الإلكتروني سيمثل صعوبة. ونظرًا لاعتماد آلية المصادقة على البريد الإلكتروني، يمكن أن يعرِّض الأمان الضعيف لمزوِّد خدمة البريد الإلكتروني حسابات المستخدمين للخطر.

مراجع التعلّم

الويب

لدمج مفاتيح المرور في موقعك الإلكتروني، استخدِم Web Authentication API (WebAuthn). لمعرفة المزيد، تحقق من الموارد التالية:

Android

لدمج مفاتيح المرور في تطبيق Android، استخدِم مكتبة "مدير بيانات الاعتماد". لمعرفة المزيد، تحقق من الموارد التالية:

تجربة المُستخدِم

التعرّف على اقتراحات تجربة المستخدم بشأن مفاتيح المرور: