تسجيل الدخول بدون كلمة مرور باستخدام مفاتيح المرور

المقدمة

تشكّل مفاتيح المرور بديلاً أكثر أمانًا وأسهل لكلمات المرور. باستخدام مفاتيح المرور، يمكن للمستخدمين تسجيل الدخول إلى التطبيقات والمواقع الإلكترونية باستخدام أداة استشعار حيوية (مثل بصمة الإصبع أو التعرّف على الوجوه) أو رقم تعريف شخصي أو نقش، ما يتيح لهم تذكّر كلمات المرور وإدارتها.

يكره كل من المطوّرين والمستخدمين كلمات المرور: فهي لا تترك انطباعًا سيئًا لدى المستخدم، كما تزيد من صعوبات في التحويل، كما تتحمّل مسؤولية أمنية لكل من المستخدمين ومطوّري البرامج. يحد مدير كلمات المرور في Google في Android وChrome من المعاناة باستخدام ميزة الملء التلقائي. وبالنسبة إلى المطورين الذين يبحثون عن مزيد من التحسينات في التحويل والأمان، تعتبر مفاتيح المرور واتحاد الهوية من الأساليب الحديثة في المجال.

يمكن لمفتاح المرور تلبية متطلبات المصادقة متعددة العوامل في خطوة واحدة، بحيث يستبدل كل من كلمة المرور وكلمة المرور لمرة واحدة (OTP) (مثل رمز الرسائل القصيرة SMS المكوَّن من 6 أرقام) لتوفير حماية قوية ضد هجمات التصيّد الاحتيالي وتجنُّب معاناة تجربة المستخدم من الرسائل القصيرة SMS أو كلمات المرور التي تُستخدَم لمرة واحدة والمستندة إلى التطبيق. بما أنّ مفاتيح المرور موحّدة، يتيح تنفيذها بشكل فردي تجربة بدون كلمة مرور على جميع أجهزة المستخدمين وعلى المتصفحات وأنظمة التشغيل المختلفة.

مفاتيح المرور أسهل:

• ويمكن للمستخدمين اختيار حساب لتسجيل الدخول باستخدامه. لا يلزم كتابة اسم المستخدم.
• يمكن للمستخدمين المصادقة باستخدام قفل شاشة الجهاز مثل مستشعر بصمة الإصبع أو التعرّف على الوجه أو رقم التعريف الشخصي.
• عند إنشاء مفتاح مرور وتسجيله، يستطيع المستخدم التبديل بسلاسة إلى جهاز جديد واستخدامه على الفور بدون الحاجة إلى إعادة التسجيل (على عكس المصادقة بالمقاييس الحيوية التقليدية التي تتطلّب الإعداد على كل جهاز).

استخدام مفاتيح المرور أكثر أمانًا:

• يحفظ المطوّرون مفتاحًا عموميًا للخادم فقط بدلاً من كلمة المرور، ما يعني أنّ هناك احتمالاً أقل بكثير من أن يتمكن المخترق المسيء من اختراق الخوادم، وتقليل عمليات تنظيف الخوادم في حال اختراقها.
• تحمي مفاتيح المرور المستخدمين من هجمات التصيّد الاحتيالي. لا تعمل مفاتيح المرور إلا على المواقع الإلكترونية والتطبيقات المسجّلة، ولا يمكن خداع المستخدم ودفعه إلى إجراء مصادقة على موقع إلكتروني مخادع، لأنّ المتصفّح أو نظام التشغيل يُجري عملية إثبات الملكية.
• تساعد مفاتيح المرور في خفض تكاليف إرسال الرسائل القصيرة، ما يجعلها وسيلة أكثر أمانًا وفعالية من حيث التكلفة للمصادقة الثنائية.

ما هي مفاتيح المرور؟

مفتاح المرور هو بيانات اعتماد رقمية مرتبطة بحساب مستخدم وموقع إلكتروني أو تطبيق. تتيح مفاتيح المرور للمستخدمين إجراء المصادقة بدون الحاجة إلى إدخال اسم مستخدم أو كلمة مرور، أو توفير أي عامل مصادقة إضافي. وتهدف هذه التقنية إلى استبدال آليات المصادقة القديمة، مثل كلمات المرور.

عندما يريد مستخدم تسجيل الدخول إلى خدمة تستخدم مفاتيح المرور، سيساعده المتصفّح أو نظام التشغيل في اختيار مفتاح المرور المناسب واستخدامه. تشبه التجربة حاليًا طريقة عمل كلمات المرور المحفوظة. للتأكد من أنّ المالك الشرعي فقط هو الذي يمكنه استخدام مفتاح المرور، سيطلب منه النظام فتح قفل جهازه. يمكن إجراء ذلك باستخدام جهاز استشعار حيوي (مثل بصمة الإصبع أو التعرّف على الوجه) أو رقم تعريف شخصي أو نقش.

لإنشاء مفتاح مرور لموقع إلكتروني أو تطبيق، يجب على المستخدم أولاً التسجيل في ذلك الموقع الإلكتروني أو التطبيق.

1. انتقِل إلى التطبيق وسجِّل الدخول باستخدام طريقة تسجيل الدخول الحالية.
2. انقر على الزر إنشاء مفتاح مرور.
3. تحقَّق من المعلومات المخزَّنة باستخدام مفتاح المرور الجديد.
4. استخدِم فتح قفل شاشة الجهاز لإنشاء مفتاح المرور.

عند العودة إلى هذا الموقع الإلكتروني أو التطبيق لتسجيل الدخول، يمكنهم اتّخاذ الخطوات التالية:

1. انتقِل إلى التطبيق.
2. انقر على حقل اسم الحساب لعرض قائمة بمفاتيح المرور في مربّع حوار للملء التلقائي.
3. اختَر مفتاح المرور.
4. استخدِم فتح قفل شاشة الجهاز لإكمال عملية تسجيل الدخول.

ينشئ جهاز المستخدم توقيعًا استنادًا إلى مفتاح المرور. يتم استخدام هذا التوقيع للتحقق من بيانات اعتماد تسجيل الدخول بين المصدر ومفتاح المرور.

يمكن للمستخدم تسجيل الدخول إلى الخدمات على أي جهاز باستخدام مفتاح مرور، بغض النظر عن مكان تخزين مفتاح المرور. على سبيل المثال، يمكن استخدام مفتاح مرور تم إنشاؤه على هاتف جوّال لتسجيل الدخول إلى موقع إلكتروني على كمبيوتر محمول منفصل

كيف تعمل مفاتيح المرور؟

تم تصميم مفاتيح المرور للاستخدام من خلال البنية الأساسية لنظام التشغيل التي تسمح لمديري مفاتيح المرور بإنشاء مفاتيح المرور والاحتفاظ بنسخة احتياطية منها وإتاحتها للتطبيقات التي تعمل على نظام التشغيل هذا. على أجهزة Android، يمكن تخزين مفاتيح المرور في مدير كلمات المرور في Google الذي يزامن مفاتيح المرور بين أجهزة Android الخاصة بالمستخدم والتي تم تسجيل الدخول إلى حساب Google نفسه عليها. يتم تشفير مفاتيح المرور بأمان على الجهاز قبل مزامنتها، ويتطلّب ذلك فك تشفيرها على أجهزة جديدة. يمكن لمستخدمي الإصدار 14 من نظام التشغيل Android أو الإصدارات الأحدث اختيار تخزين مفاتيح المرور الخاصة بهم في مدير كلمات مرور متوافق تابع لجهة خارجية.

لا يقتصر المستخدمون على استخدام مفاتيح المرور فقط على الجهاز المتوفّر لديهم، إذ يمكن استخدام مفاتيح المرور المتوفّرة على الهواتف عند تسجيل الدخول إلى جهاز كمبيوتر محمول، حتى إذا لم تتم مزامنة مفتاح المرور مع الكمبيوتر المحمول، طالما أنّ الهاتف بالقرب من الكمبيوتر المحمول ووافق المستخدم على عملية تسجيل الدخول على الهاتف. بما أنّ مفاتيح المرور يتم إنشاءها استنادًا إلى معايير FIDO، يمكن لجميع المتصفّحات استخدامها.

على سبيل المثال، يزور أحد المستخدمين example.com على متصفح Chrome على جهازه الذي يعمل بنظام التشغيل Windows. سجّل هذا المستخدم في السابق الدخول إلى example.com على جهازه الذي يعمل بنظام التشغيل Android وأنشأ مفتاح مرور. على جهاز Windows، يختار المستخدم تسجيل الدخول باستخدام مفتاح مرور من جهاز آخر. سيتم ربط الجهازين وستتم مطالبة المستخدم بالموافقة على استخدام مفتاح المرور الخاص به على جهاز Android، على سبيل المثال، مع مستشعر بصمات الإصبع. بعد القيام بذلك، يتم تسجيل الدخول إليه على جهاز Windows. لا يتم نقل مفتاح المرور نفسه إلى جهاز Windows، لذلك سيعرض example.com عادةً إنشاء مفتاح مرور جديد هناك. وبهذه الطريقة، لن يكون الهاتف مطلوبًا في المرة القادمة التي يريد المستخدم تسجيل الدخول فيها. يمكنك الاطّلاع على تسجيل الدخول باستخدام الهاتف لمعرفة المزيد من المعلومات.

مَن يستخدم مفاتيح المرور؟

تستخدم بعض الخدمات حاليًا مفاتيح المرور في أنظمتها.

• تطبيق DocuSign
• Google
  • بداية نهاية كلمة المرور
  • مدونة Google Online Security: جعل المصادقة أسرع من أي وقت مضى: مقارنة بين مفاتيح المرور وكلمات المرور
  • تصميم تجربة المستخدم الخاصة بمفاتيح المرور على حسابات Google
• قارب كاياك
• Mercari
• NTT Docomo
• PayPal
• Shopify
  • طريقة استخدام مفاتيح المرور في تقليل الصعوبات التي تحدث أثناء تجربة التسوّق في التجارة الإلكترونية
  • إتاحة استخدام مفاتيح المرور في عمليات مصادقة المتجر
• Yahoo! اليابان
  • حساب بفضل المصادقة بدون كلمة مرور في اليابان، نجحت في تقليل الاستفسارات بنسبة 25% مع تسريع وقت تسجيل الدخول بمقدار 2.6 ضعف.

جربه بنفسك

يمكنك تجربة مفاتيح المرور في هذا الإصدار التجريبي: https://passkeys-demo.appspot.com/

اعتبارات الخصوصية

• لأنّ تسجيل الدخول باستخدام المقاييس الحيوية قد يمنح المستخدمين انطباعًا زائفًا بأنّه يرسل معلومات حساسة إلى الخادم. في الواقع، لا تترك مادة المقاييس الحيوية جهاز المستخدم الشخصي أبدًا.
• لا تسمح مفاتيح المرور وحدها بتتبُّع المستخدمين أو الأجهزة بين المواقع الإلكترونية. لا يتم أبدًا استخدام مفتاح المرور نفسه مع أكثر من موقع إلكتروني واحد. تم تصميم بروتوكولات مفتاح المرور بعناية بحيث لا يمكن استخدام أي معلومات تتم مشاركتها مع المواقع كمتجهات تتبع.
• يحمي مديرو مفاتيح المرور مفاتيح المرور من الوصول إليها واستخدامها بشكل غير مصرَّح به. على سبيل المثال، يشفِّر "مدير كلمات المرور في Google" أسرار مفاتيح المرور من البداية إلى النهاية. يمكن للمستخدم فقط الوصول إليها واستخدامها، وعلى الرغم من الاحتفاظ بنسخة احتياطية منها في خوادم Google، لا يمكن لشركة Google استخدامها لانتحال هوية المستخدمين.

الاعتبارات الأمنية

• تستخدم مفاتيح المرور تشفير المفتاح العام. يحد تشفير المفتاح العام من التهديدات الناتجة عن عمليات الاختراق المحتملة للبيانات. عندما ينشئ مستخدم مفتاح مرور في موقع إلكتروني أو تطبيق، يؤدي ذلك إلى إنشاء زوج مفاتيح بين عام وخاص على جهاز المستخدم. لا يخزّن الموقع سوى المفتاح العام، ولكن هذا وحده عديم الفائدة للمهاجم. ويتعذّر على المهاجم الحصول على المفتاح الخاص للمستخدم من البيانات المخزنة على الخادم، وهي بيانات مطلوبة لإكمال المصادقة.
• تكون مفاتيح المرور آمنة من هجمات التصيّد الاحتيالي لأنّها ترتبط بهوية موقع إلكتروني أو تطبيق. يضمن المتصفّح ونظام التشغيل عدم استخدام مفتاح المرور إلا مع الموقع الإلكتروني أو التطبيق اللذين أنشأتهما. يخلص هذا الإجراء إلى عدم تحمّل المستخدمين مسؤولية تسجيل الدخول إلى الموقع الإلكتروني أو التطبيق الحقيقي

تلقّي إشعار

اشترِك في النشرة الإخبارية الخاصة بمطوّري مفاتيح المرور من Google لتلقّي إشعارات بشأن التعديلات التي يتم إجراؤها على مفاتيح المرور.

الخطوات التالية

• إتاحة مفتاح المرور على نظامي التشغيل Android وChrome
• الأسئلة الشائعة
• حالات الاستخدام
• دليل مطوّري مفاتيح المرور للجهات المعتمدة
• تعرَّف على كيفية تسجيل الدخول إلى تطبيق Android باستخدام "مدير بيانات الاعتماد"