تسجيل الدخول بدون كلمات مرور باستخدام مفاتيح المرور

مفاتيح المرور

مقدمة

تعتبر مفاتيح المرور بديلاً أكثر أمانًا وسهولة لكلمات المرور. باستخدام مفاتيح المرور، يمكن للمستخدمين تسجيل الدخول إلى التطبيقات والمواقع الإلكترونية باستخدام أداة استشعار للمقاييس الحيوية (مثل بصمة الإصبع أو التعرّف على الوجوه) أو رقم التعريف الشخصي أو النقش، ما يغنيهم عن الحاجة إلى تذكّر كلمات المرور وإدارتها.

كل من المطورين والمستخدمين يكرهون كلمات المرور: يتركون انطباعًا سيئًا لدى المستخدم، ويزيدون من الصعوبات في التحويل، ويحمّلون مسؤولية أمنية لكل من المستخدمين ومطوري البرامج. يحدّ "مدير كلمات المرور في Google" في نظامَي التشغيل Android وChrome من المعاناة باستخدام ميزة الملء التلقائي. وبالنسبة إلى المطوّرين الذين يبحثون عن تحسينات إضافية في ما يتعلّق بالتحويل والأمان، تعتبر مفاتيح المرور واتحاد الهوية من الأساليب الحديثة المتّبعة في المجال.

يمكن لمفتاح المرور استيفاء متطلبات المصادقة المتعدّدة العوامل في خطوة واحدة، بدلاً من كلمة المرور وكلمة المرور لمرة واحدة (OTP) (مثلاً رمز الرسالة القصيرة SMS المكوّن من 6 أرقام) لتقديم حماية قوية ضد هجمات التصيّد الاحتيالي وتجنُّب معاناة تجربة المستخدم في الرسائل القصيرة أو كلمات المرور التي تُستخدم مرة واحدة. وبما أنّ مفاتيح المرور يتم توحيدها، يتيح التنفيذ الفردي تجربة بدون استخدام كلمات مرور على جميع أجهزة المستخدمين وعلى جميع المتصفحات وأنظمة التشغيل المختلفة.

أصبحت مفاتيح المرور أسهل:

  • يمكن للمستخدمين اختيار حساب لتسجيل الدخول باستخدامه. لا يلزم كتابة اسم المستخدم
  • يمكن للمستخدمين المصادقة باستخدام قفل شاشة الجهاز مثل جهاز استشعار بصمة الإصبع أو التعرّف على الوجه أو رقم التعريف الشخصي.
  • بعد إنشاء مفتاح مرور وتسجيله، يمكن للمستخدم التبديل بسلاسة إلى جهاز جديد واستخدامه على الفور بدون الحاجة إلى إعادة التسجيل (على عكس المصادقة بالمقاييس الحيوية التقليدية التي تتطلّب عملية الإعداد على كل جهاز).

تكون مفاتيح المرور أكثر أمانًا:

  • لا يحفظ المطوّرون إلا مفتاحًا عموميًا للخادم بدلاً من كلمة مرور، ما يعني أنّ اختراق الخوادم للخوادم يوفر قيمة أقل بكثير من حيث إمكانية تنظيف الخوادم في حال اختراق الخادم.
  • تعمل مفاتيح المرور على حماية المستخدمين من هجمات التصيّد الاحتيالي. ولا تعمل مفاتيح المرور إلا على المواقع الإلكترونية والتطبيقات المسجّلة، ولا يمكن خداع المستخدم للمصادقة على موقع إلكتروني مخادع، لأنّ المتصفّح أو نظام التشغيل يعالجان عملية إثبات الهوية.
  • تساعد مفاتيح المرور في تقليل تكلفة إرسال الرسائل القصيرة، ما يجعلها وسيلة أكثر أمانًا وأقل تكلفة للمصادقة الثنائية.

ما هي مفاتيح المرور؟

مفتاح المرور هو بيانات اعتماد رقمية مرتبطة بحساب مستخدم وموقع إلكتروني أو تطبيق. تتيح مفاتيح المرور للمستخدمين إجراء المصادقة بدون الحاجة إلى إدخال اسم مستخدم أو كلمة مرور أو توفير أي عامل مصادقة إضافي. وتهدف هذه التكنولوجيا إلى استبدال آليات المصادقة القديمة، مثل كلمات المرور.

عندما يريد المستخدم تسجيل الدخول إلى خدمة تستخدم مفاتيح المرور، سيساعده المتصفّح أو نظام التشغيل في اختيار مفتاح المرور المناسب واستخدامه. وتشبه التجربة حاليًا طريقة عمل كلمات المرور المحفوظة. للتأكّد من أنّ المالك الشرعي فقط هو مَن يستطيع استخدام مفتاح مرور، سيطلب منه النظام فتح قفل جهازه. يمكن إجراء ذلك باستخدام أحد أجهزة استشعار المقاييس الحيوية (مثل بصمة الإصبع أو التعرّف على الوجوه) أو رقم التعريف الشخصي أو النقش.

لإنشاء مفتاح مرور لموقع إلكتروني أو تطبيق، على المستخدم أولاً التسجيل باستخدام ذلك الموقع الإلكتروني أو التطبيق.

  1. انتقِل إلى التطبيق وسجِّل الدخول باستخدام طريقة تسجيل الدخول الحالية.
  2. انقر على الزر إنشاء مفتاح مرور.
  3. تحقَّق من المعلومات المخزَّنة باستخدام مفتاح المرور الجديد.
  4. استخدِم طريقة فتح قفل شاشة الجهاز لإنشاء مفتاح المرور.

عند عودتهم إلى هذا الموقع الإلكتروني أو التطبيق لتسجيل الدخول، يمكنهم اتّخاذ الخطوات التالية:

  1. انتقِل إلى التطبيق.
  2. انقر على حقل اسم الحساب لعرض قائمة بمفاتيح المرور في مربع حوار الملء التلقائي.
  3. اختَر مفتاح المرور.
  4. استخدِم فتح قفل شاشة الجهاز لإكمال عملية تسجيل الدخول.

ينشئ جهاز المستخدم توقيعًا استنادًا إلى مفتاح المرور. يُستخدم هذا التوقيع للتحقق من بيانات اعتماد تسجيل الدخول بين المصدر ومفتاح المرور.

يمكن للمستخدم تسجيل الدخول إلى الخدمات على أي جهاز باستخدام مفتاح مرور، بغض النظر عن مكان تخزين مفتاح المرور. على سبيل المثال، يمكن استخدام مفتاح مرور تم إنشاؤه على هاتف جوّال لتسجيل الدخول إلى موقع إلكتروني على جهاز كمبيوتر محمول منفصل

كيف تعمل مفاتيح المرور؟

تم تصميم مفاتيح المرور للاستخدام من خلال البنية الأساسية لنظام التشغيل التي تسمح لمديري مفاتيح المرور بإنشاء مفاتيح المرور والاحتفاظ بنسخة احتياطية منها وإتاحتها للتطبيقات التي تعمل على نظام التشغيل هذا. على أجهزة Android، يمكن تخزين مفاتيح المرور في مدير كلمات المرور في Google الذي يزامن مفاتيح المرور بين أجهزة Android للمستخدم التي تم تسجيل الدخول إليها بحساب Google نفسه. يتم تشفير مفاتيح المرور بأمان على الجهاز قبل مزامنتها ويجب فك تشفيرها على الأجهزة الجديدة. يمكن لمستخدمي الإصدار 14 من نظام التشغيل Android أو الإصدارات الأحدث اختيار تخزين مفاتيح المرور في مدير كلمات مرور متوافق تابع لجهة خارجية.

لا يقتصر استخدام مفاتيح المرور على استخدام مفاتيح المرور إلا على الجهاز الذي تتوفّر عليها فقط، إذ يمكن استخدام مفاتيح المرور المتوفّرة على الهواتف عند تسجيل الدخول إلى جهاز كمبيوتر محمول، حتى إذا لم تتم مزامنة مفتاح المرور مع الكمبيوتر المحمول، طالما أنّ الهاتف قريب من الكمبيوتر المحمول ويوافق المستخدم على تسجيل الدخول إلى الهاتف. بما أنّه يتم إنشاء مفاتيح المرور استنادًا إلى معايير FIDO، يمكن لجميع المتصفحات استخدامها.

على سبيل المثال، يزور أحد المستخدمين example.com على متصفّح Chrome على جهاز يعمل بنظام التشغيل Windows. سبق أن سجّل هذا المستخدم الدخول إلى example.com على جهازه الذي يعمل بنظام التشغيل Android وأنشأ مفتاح مرور. على جهاز Windows، يختار المستخدم تسجيل الدخول باستخدام مفتاح مرور من جهاز آخر. سيتم توصيل الجهازين وسيُطلب من المستخدم الموافقة على استخدام مفتاح المرور الخاص به على جهاز Android، على سبيل المثال، مع جهاز استشعار بصمة الإصبع. بعد إجراء ذلك، يتم تسجيل الدخول على جهاز Windows. لا يتم نقل مفتاح المرور نفسه إلى جهاز Windows، لذلك سيعرض example.com عادةً إنشاء مفتاح مرور جديد هناك. وبهذه الطريقة، لن يكون الهاتف مطلوبًا في المرة القادمة التي يريد فيها المستخدم تسجيل الدخول. اقرأ تسجيل الدخول باستخدام الهاتف لمعرفة المزيد.

مَن يستخدم مفاتيح المرور؟

تستخدم حاليًا بعض الخدمات مفاتيح المرور في أنظمتها.

جربه بنفسك

يمكنك تجربة مفاتيح المرور في هذا العرض التوضيحي: https://passkeys-demo.appspot.com/

اعتبارات الخصوصية

  • لأنّ تسجيل الدخول باستخدام المقاييس الحيوية قد يمنح المستخدمين انطباعًا زائفًا بأنّه يرسل معلومات حساسة إلى الخادم. في الواقع، لا تغادر مواد المقاييس الحيوية جهاز المستخدم الشخصي أبدًا.
  • لا تسمح مفاتيح المرور وحدها بتتبُّع المستخدمين أو الأجهزة بين المواقع الإلكترونية. لا يتم استخدام مفتاح المرور نفسه مع أكثر من موقع إلكتروني واحد. تم تصميم بروتوكولات مفتاح المرور بعناية بحيث لا يمكن استخدام أي معلومات تتم مشاركتها مع المواقع كمتجهات تتبع.
  • تعمل مدراء مفاتيح المرور على حماية مفاتيح المرور من الوصول إليها واستخدامها بشكل غير مصرَّح به. على سبيل المثال، يشفّر "مدير كلمات المرور في Google" أسرار مفاتيح المرور من البداية إلى النهاية. يمكن للمستخدم فقط الوصول إليها واستخدامها، وعلى الرغم من الاحتفاظ بنسخة احتياطية منها في خوادم Google، لا يمكن لشركة Google استخدامها لانتحال هوية المستخدمين.

الاعتبارات الأمنية

  • تستخدم مفاتيح المرور تشفير المفتاح العام. يحد تشفير المفتاح العام من التهديدات الناتجة عن عمليات اختراق البيانات المحتملة. عندما ينشئ مستخدم مفتاح مرور باستخدام موقع إلكتروني أو تطبيق، يؤدي ذلك إلى إنشاء زوج مفاتيح بين عام وخاص على جهاز المستخدم. لا يخزّن الموقع الإلكتروني سوى المفتاح العام، ولكنه وحده عديم الفائدة للمهاجم. ولا يمكن للمهاجم الحصول على المفتاح الخاص للمستخدم من البيانات المخزنة على الخادم، والتي تكون مطلوبة لإكمال المصادقة.
  • ولأنّ مفاتيح المرور ترتبط بهوية الموقع الإلكتروني أو التطبيق، فهي آمنة من هجمات التصيّد الاحتيالي. يضمن المتصفّح ونظام التشغيل أنّه لا يمكن استخدام مفتاح المرور إلا مع الموقع الإلكتروني أو التطبيق الذي أنشأهما. يحرر ذلك المستخدمين من تحمل مسؤولية تسجيل الدخول إلى الموقع الإلكتروني أو التطبيق الحقيقي.

تلقّي إشعار

اشترِك في النشرة الإخبارية لمطوّري مفاتيح المرور من Google لتلقّي إشعارات بشأن التعديلات على مفاتيح المرور.

الخطوات التالية