المقدمة
تشكّل مفاتيح المرور خيارًا أكثر أمانًا وسهولةً لكلمات المرور. باستخدام مفاتيح المرور، يمكن للمستخدمين تسجيل الدخول إلى التطبيقات والمواقع الإلكترونية باستخدام أداة استشعار حيوية (مثل بصمة الإصبع أو التعرّف على الوجه) أو رقم التعريف الشخصي أو النقش، ما يتيح لهم تذكّر كلمات المرور وإدارتها.
يحضر مطوّرو البرامج والمستخدمون كلمات المرور على حد سواء، إذ إنّها يتركون انطباعًا سيئًا لدى المستخدمين ويضيفون معوقات إلى الإحالات الناجحة ويتحمّلون مسؤولية الأمان لكلّ من المستخدمين ومطوّري البرامج. تساعد خدمة "مدير كلمات المرور في Google" على نظامَي التشغيل Android وChrome، في الحد من أي صعوبات قد يواجهها المستخدم من خلال ميزة "الملء التلقائي"، وهي بالنسبة إلى مطوّري البرامج الذين يبحثون عن المزيد من التحسينات في مجال التحويل والأمان، حيث تمثل مفاتيح المرور والاتحادات التعريفية النهج المتّبع في المجال.
يمكن لمفتاح المرور استيفاء متطلبات المصادقة المتعدّدة العوامل بدلاً من ذلك، واستبدال كلمة المرور وكلمة المرور لمرة واحدة (OTP) (مثل رمز SMS المكوّن من 6 أرقام) لتقديم حماية فعّالة من هجمات التصيّد الاحتيالي وتجنُّب مؤلّف تجربة المستخدم بشأن الرسائل القصيرة SMS أو كلمات المرور المستنِدة إلى التطبيق. وبما أنّ مفاتيح المرور موحَّدة، يؤدي تنفيذ عملية واحدة إلى توفير تجربة بدون كلمة مرور على جميع أجهزة المستخدمين، وذلك على المتصفحات وأنظمة التشغيل المختلفة.
تتميز مفاتيح المرور بسهولة أكبر:
- ويمكن للمستخدمين اختيار حساب لتسجيل الدخول باستخدامه. كتابة اسم المستخدم غير مطلوبة.
- يمكن للمستخدمين المصادقة باستخدام قفل شاشة الجهاز، مثل أداة استشعار بصمة الإصبع أو ميزة التعرّف على الوجه أو رقم التعريف الشخصي.
- بعد إنشاء مفتاح مرور وتسجيله، يمكن للمستخدم التبديل بسهولة إلى جهاز جديد واستخدامه فورًا بدون الحاجة إلى إعادة التسجيل (على عكس مصادقة المقاييس الحيوية التقليدية التي تتطلّب الإعداد على كل جهاز).
مفاتيح المرور أكثر أمانًا:
- ينشر مطوّرو البرامج مفتاحًا عامًا فقط إلى الخادم بدلاً من كلمة مرور، ما يعني أنّه الأفضل من كل عملية اختراق المخترق أنّه لا يمكن الاستيلاء على الخادم، فضلاً عن أنه لا يمكن الكثير من الإجراءات الوقائية في حال حدوث اختراق.
- تحمي مفاتيح المرور المستخدمين من هجمات التصيّد الاحتيالي. لا تعمل مفاتيح المرور إلا على مواقعها الإلكترونية وتطبيقاتها المسجّلة، ولا يمكن خداع المستخدم للمصادقة على موقع إلكتروني مخادع لأنّ المتصفّح أو نظام التشغيل يتعامل مع عملية إثبات الملكية.
- تؤدي مفاتيح المرور إلى خفض تكاليف إرسال الرسائل القصيرة SMS، ما يجعلها وسيلة أكثر أمانًا وأقل تكلفة للمصادقة الثنائية.
ما هي مفاتيح المرور؟
مفتاح المرور هو بيانات اعتماد رقمية مرتبطة بحساب مستخدم وموقع إلكتروني أو تطبيق. تتيح مفاتيح المرور للمستخدمين إجراء مصادقة بدون الحاجة إلى إدخال اسم مستخدم أو كلمة مرور أو تقديم أي عامل مصادقة إضافي. تهدف هذه التكنولوجيا إلى استبدال آليات المصادقة القديمة، مثل كلمات المرور.
عندما يريد المستخدم تسجيل الدخول إلى خدمة تستخدم مفاتيح المرور، سيساعده المتصفّح أو نظام التشغيل على اختيار مفتاح المرور المناسب واستخدامه. والتجربة مماثلة لطريقة عمل كلمات المرور المحفوظة اليوم. للتأكّد من أنّ المالك الشرعي فقط يمكنه استخدام مفتاح مرور، سيطلب منه النظام فتح قفل جهازه. ويمكن تنفيذ ذلك باستخدام استشعار المقاييس الحيوية (مثل بصمة الإصبع أو التعرّف على الوجه) أو رقم التعريف الشخصي أو النقش.
لإنشاء مفتاح مرور لموقع إلكتروني أو تطبيق، على المستخدم أولاً التسجيل في ذلك الموقع الإلكتروني أو التطبيق.
- انتقِل إلى التطبيق وسجِّل الدخول باستخدام طريقة تسجيل الدخول الحالية.
- انقر على الزر إنشاء مفتاح مرور.
- تحقَّق من المعلومات المخزَّنة باستخدام مفتاح المرور الجديد.
- استخدِم ميزة فتح قفل شاشة الجهاز لإنشاء مفتاح المرور.
عند عودته إلى هذا الموقع الإلكتروني أو التطبيق لتسجيل الدخول، يمكنه اتّخاذ الخطوات التالية:
- انتقِل إلى التطبيق.
- انقر على حقل اسم الحساب لعرض قائمة بمفاتيح المرور في مربّع حوار الملء التلقائي.
- اختيار مفتاح المرور
- استخدِم فتح قفل شاشة الجهاز لإكمال عملية تسجيل الدخول.
يُنشئ جهاز المستخدم توقيعًا استنادًا إلى مفتاح المرور. يُستخدم هذا التوقيع للتحقُّق من بيانات اعتماد تسجيل الدخول بين المصدر ومفتاح المرور.
يمكن للمستخدم تسجيل الدخول إلى الخدمات على أي جهاز باستخدام مفتاح مرور، بغض النظر عن مكان تخزين مفتاح المرور. على سبيل المثال، يمكن استخدام مفتاح المرور الذي تم إنشاؤه على هاتف جوّال لتسجيل الدخول إلى موقع إلكتروني على كمبيوتر محمول منفصل.
كيف تعمل مفاتيح المرور؟
من المفترض أن يتم استخدام مفاتيح المرور من خلال البنية الأساسية لنظام التشغيل التي تسمح لمدراء مفاتيح المرور بإنشاء مفاتيح المرور والاحتفاظ بنسخة احتياطية منها وإتاحتها للتطبيقات التي تعمل على نظام التشغيل هذا. على جهاز Android، يمكن تخزين مفاتيح المرور في مدير كلمات المرور في Google الذي يعمل على مزامنة مفاتيح المرور بين أجهزة Android التابعة للمستخدم والتي تم تسجيل الدخول إلى حساب Google نفسه عليها. يتم تشفير مفاتيح المرور بأمان على الجهاز فقط قبل مزامنتها، وتتطلّب فك تشفيرها على الأجهزة الجديدة. يمكن للمستخدمين الذين يستخدمون نظام التشغيل Android 14 أو إصدار أحدث اختيار تخزين مفاتيح المرور في مدير كلمات مرور متوافق تابع لجهة خارجية.
لا يقتصر استخدام المستخدمين لمفاتيح المرور على الجهاز إلا في حال توفرها، إذ يمكن استخدام مفاتيح المرور المتاحة على الهواتف عند تسجيل الدخول إلى كمبيوتر محمول، حتى إذا لم تتم مزامنة مفتاح المرور مع الكمبيوتر المحمول، طالما أنّ الهاتف ليس بالقرب من الكمبيوتر المحمول ووافق المستخدم على تسجيل الدخول على الهاتف. بسبب إنشاء مفاتيح المرور استنادًا إلى معايير FIDO، يمكن لجميع المتصفحات استخدامها.
على سبيل المثال، يزور أحد المستخدمين example.com على متصفّح Chrome على جهاز Windows. سجّل هذا المستخدم في السابق الدخول إلى example.com على جهازه الذي يعمل بنظام التشغيل Android
وأنشأ مفتاح مرور. على جهاز Windows، يختار المستخدم تسجيل الدخول
باستخدام مفتاح مرور من جهاز آخر. سيتم ربط الجهازين وسيُطلب من المستخدم
الموافقة على استخدام مفتاح المرور على جهاز Android، مع
جهاز استشعار بصمة الإصبع مثلاً. بعد إجراء ذلك، يتم تسجيل الدخول إلى
جهاز Windows. يُرجى العِلم أنّ مفتاح المرور نفسه لا يتم نقله إلى جهاز يعمل بنظام التشغيل Windows، لذا يعرض example.com عادةً إنشاء مفتاح مرور جديد هناك.
وبهذه الطريقة، لن يكون الهاتف مطلوبًا في المرة القادمة التي يريد فيها المستخدم تسجيل الدخول. اطّلِع على
تسجيل الدخول باستخدام هاتف لمعرفة
مزيد من المعلومات.
مَن يستخدم مفاتيح المرور؟
يستخدم عدد من الخدمات مفاتيح المرور في أنظمتها.
- DocuSign
- قوارب كاياك
- Mercari
- NTT Docomo
- PayPal
- Shopify
- Yahoo! اليابان
تجربة الميزة بنفسك
يمكنك تجربة مفاتيح المرور في هذا الإصدار التجريبي: https://passkeys-demo.appspot.com/
اعتبارات متعلقة بالخصوصية
- لأنّ تسجيل الدخول باستخدام المقاييس الحيوية قد يمنح المستخدمين انطباعًا زائفًا بأنّ ذلك يؤدي إلى إرسال معلومات حساسة إلى الخادم. في الواقع، إنّ المواد الحيوية لا تخرج مطلقًا من جهاز المستخدم الشخصي.
- ولا تسمح مفاتيح المرور في حد ذاتها بتتبُّع المستخدمين أو الأجهزة بين المواقع المختلفة. لا يتم استخدام مفتاح المرور نفسه مطلقًا مع أكثر من موقع إلكتروني واحد. تم تصميم بروتوكولات مفتاح المرور بعناية بحيث لا يمكن استخدام أي معلومات تمت مشاركتها مع المواقع الإلكترونية كمتّبع تتبُّع.
- يحمي مدراء مفاتيح المرور مفاتيح المرور من الوصول والاستخدام غير المصرَّح به. على سبيل المثال، يعمل مدير كلمات المرور في Google على تشفير أسرار مفاتيح المرور بشكل تام بين الطرفين. يمكن للمستخدم فقط الوصول إليها واستخدامها، وعلى الرغم من أنه تم الاحتفاظ بنسخة احتياطية منها في خوادم Google، لا يمكن لشركة Google استخدامها لانتحال هوية المستخدمين.
الاعتبارات الأمنية
- تستخدم مفاتيح المرور تشفير المفاتيح العامة. يؤدي استخدام مفتاح التشفير العلني إلى الحد من التهديد الناتج عن عمليات اختراق البيانات المحتملة. عندما ينشئ المستخدم مفتاح مرور مع موقع إلكتروني أو تطبيق، يؤدي ذلك إلى إنشاء مفتاحَي تشفير عام وخاص على جهاز المستخدم. يتم تخزين المفتاح العام فقط بواسطة الموقع الإلكتروني، ولكن هذا الإجراء غير مفيد للمهاجم. لا يمكن للمهاجم اشتقاق المفتاح الخاص للمستخدم من البيانات المخزنة على الخادم، والتي تكون مطلوبة لإكمال المصادقة.
- لأنّ مفاتيح المرور مرتبطة بهوية الموقع الإلكتروني أو التطبيق، هي بمأمن من هجمات التصيّد الاحتيالي. ويضمن المتصفّح ونظام التشغيل استخدام مفتاح المرور فقط مع الموقع الإلكتروني أو التطبيق الذي أنشأه. وهذا يمنع المستخدمين من تحمّل مسؤولية تسجيل الدخول إلى التطبيق أو الموقع الإلكتروني الحقيقي.
تلقّي إشعارات
اشترِك في النشرة الإخبارية لمطوّري مفاتيح المرور في Google لتلقّي إشعارات حول تحديثات مفاتيح المرور.