المقدمة
مفاتيح المرور هي بديل آمن وأكثر سهولة لكلمات المرور. وباستخدام مفاتيح المرور، يمكن للمستخدمين تسجيل الدخول إلى التطبيقات والمواقع الإلكترونية باستخدام مستشعر المقاييس الحيوية (مثل بصمة الإصبع أو تقنية التعرُّف على الوجه) أو رقم التعريف الشخصي أو النقش، ما يسمح لهم بتذكُّر كلمات المرور وإدارتها.
يمكن لمفتاح المرور استبدال كلمة المرور والعامل الثاني في خطوة واحدة. ويمكن أن تكون تجربة المستخدم بسيطة مثل الملء التلقائي لنموذج كلمة المرور. توفر مفاتيح المرور حماية قوية من هجمات التصيّد الاحتيالي، على عكس الرسائل القصيرة SMS أو التطبيقات التي تستند إلى كلمات مرور لمرة واحدة. نظرًا لأن مفاتيح المرور تكون معيارية، فإن التنفيذ الواحد يتيح تجربة بدون كلمة مرور عبر المتصفحات وأنظمة التشغيل المختلفة.
ما هي مفاتيح المرور؟
مفتاح المرور هو بيانات اعتماد رقمية مرتبطة بحساب مستخدم وموقع إلكتروني أو تطبيق. تتيح مفاتيح المرور للمستخدمين المصادقة بدون الحاجة إلى إدخال اسم مستخدم أو كلمة مرور أو تقديم أي عامل مصادقة إضافي. تهدف هذه التقنية إلى استبدال آليات المصادقة القديمة مثل كلمات المرور.
عندما يريد المستخدم تسجيل الدخول إلى خدمة تستخدم مفاتيح المرور، سيساعده المتصفح أو نظام التشغيل في اختيار مفتاح المرور المناسب واستخدامه. وتتشابه التجربة مع طريقة عمل كلمات المرور المحفوظة اليوم. للتأكد من أن المالك الشرعي فقط هو من يمكنه استخدام مفتاح المرور، سيطلب النظام منه إلغاء تأمين جهازه. ويمكن تنفيذ ذلك باستخدام مستشعر بيومتري (مثل بصمة الإصبع أو التعرف على الوجه) أو رقم تعريف شخصي أو نقش.
لإنشاء مفتاح مرور لموقع إلكتروني أو تطبيق، على المستخدم أولاً التسجيل في هذا الموقع الإلكتروني أو التطبيق.
- انتقل إلى التطبيق وسجّل الدخول باستخدام طريقة تسجيل الدخول الحالية.
- انقر على الزر إنشاء مفتاح مرور.
- تحقق من المعلومات المخزنة باستخدام مفتاح المرور الجديد.
- استخدم فتح قفل شاشة الجهاز لإنشاء مفتاح المرور.
عند عودتهم إلى هذا الموقع الإلكتروني أو التطبيق لتسجيل الدخول، يمكنهم اتخاذ الخطوات التالية:
- انتقل إلى التطبيق.
- انقر على تسجيل الدخول.
- اختَر مفتاح المرور الخاص به.
- استخدم إلغاء قفل شاشة الجهاز لإكمال تسجيل الدخول.
ينشئ جهاز المستخدم توقيعًا استنادًا إلى مفتاح المرور. يتم استخدام هذا التوقيع للتحقق من بيانات اعتماد تسجيل الدخول بين الأصل ومفتاح المرور.
يمكن للمستخدم تسجيل الدخول إلى الخدمات على أي جهاز باستخدام مفتاح مرور، بغض النظر عن مكان تخزين مفتاح المرور. على سبيل المثال، يمكن استخدام مفتاح مرور تم إنشاؤه على هاتف جوّال لتسجيل الدخول إلى موقع إلكتروني على كمبيوتر محمول منفصل.
كيف تعمل مفاتيح المرور؟
تهدف مفاتيح المرور إلى استخدامها من خلال البنية الأساسية لنظام التشغيل التي تسمح للمدراء بإنشاء مفاتيح مرور ونسخها احتياطيًا وإتاحتها للتطبيقات التي تعمل على نظام التشغيل هذا. في Chrome على نظام التشغيل Android، يتم تخزين مفاتيح المرور في مدير كلمات مرور Google الذي يعمل على مزامنة مفاتيح المرور بين أجهزة Android للمستخدم التي تم تسجيل الدخول إليها باستخدام حساب Google نفسه.
لا يقتصر استخدام المستخدمين لمفاتيح المرور على الجهاز الذي يتم تخزينه فيه فقط، بل يمكن استخدام مفاتيح المرور المخزنة على الهواتف عند تسجيل الدخول إلى جهاز كمبيوتر محمول، حتى إذا لم تتم مزامنة مفتاح المرور مع الكمبيوتر المحمول، ما دام الهاتف قريبًا من الكمبيوتر المحمول ويوافق المستخدم على تسجيل الدخول على الهاتف. ونظرًا لأن مفاتيح المرور تعتمد على معايير FIDO، يمكن لجميع المتصفحات الاعتماد عليها.
على سبيل المثال، يزور أحد المستخدمين example.com
على جهاز Chromebook. سجّل هذا المستخدم
الدخول إلى example.com
من قبل على جهازه الذي يعمل بنظام التشغيل iOS وأنشأ مفتاح مرور. على جهاز Chromebook، يختار المستخدم تسجيل الدخول باستخدام مفتاح مرور من جهاز آخر. سيتم توصيل الجهازين وستتم مطالبة المستخدم
بالموافقة على استخدام مفتاح المرور على جهاز iOS، على سبيل المثال، مع ميزة "التعرّف على الوجه".
وبعد إجراء ذلك، يتم تسجيل دخولهم على جهاز Chromebook. لاحظ أنه لا يتم نقل مفتاح المرور نفسه إلى Chromebook، لذلك سيعرض عادةً example.com
إنشاء مفتاح مرور جديد هناك. وبهذه الطريقة، لا يكون الهاتف مطلوبًا في المرة التالية التي يريد فيها المستخدم تسجيل الدخول. اقرأ تسجيل الدخول باستخدام
هاتف لمعرفة المزيد.
اعتبارات متعلقة بالخصوصية
- قد يفاجأ بعض المستخدمين إذا ظهرت مصادقة المقاييس الحيوية فجأة على موقع ويب أو تطبيق وظنوا أن ذلك يرسل معلومات حساسة إلى الخادم. ومن خلال مفاتيح المرور، لا يتم الكشف مطلقًا عن معلومات المقاييس الحيوية للمستخدم على موقع الويب أو التطبيق.
- لا تسمح مفاتيح المرور في حد ذاتها بتتبع المستخدمين أو الأجهزة بين المواقع. لا يتم استخدام مفتاح المرور نفسه مع أكثر من موقع واحد. تم تصميم بروتوكولات مفاتيح المرور بعناية بحيث لا يمكن استخدام أي معلومات تتم مشاركتها مع المواقع كمؤشر تتبع.
- يحمي مدراء مفاتيح المرور مفاتيح المرور من الوصول والاستخدام غير المصرَّح به. على سبيل المثال، يشفّر "مدير كلمات المرور في Google" أسرار مفتاح المرور من طرف إلى آخر. يمكن للمستخدم وحده الوصول إليها واستخدامها، وعلى الرغم من أنه قد تم الاحتفاظ بنسخة احتياطية منها في خوادم Google، لا يمكن لـ Google استخدامها لانتحال هوية المستخدمين.
الاعتبارات الأمنية
- تستخدم مفاتيح المرور ترميز المفتاح العام. يقلل تشفير المفتاح العام التهديد من عمليات اختراق البيانات المحتملة. عندما ينشئ المستخدم مفتاح مرور مع موقع إلكتروني أو تطبيق، ينشئ ذلك زوج مفاتيح عامًا وخاصًا على جهاز المستخدم. يتم تخزين المفتاح العام فقط بواسطة الموقع، إلا أن هذا وحده لا يفيد المهاجم. لا يستطيع المهاجم اشتقاق المفتاح الخاص للمستخدم من البيانات المخزنة على الخادم، والتي تكون مطلوبة لإكمال المصادقة.
- نظرًا لارتباط مفاتيح المرور بهوية موقع الويب أو التطبيق، فهي آمنة من هجمات التصيد الاحتيالي. ويضمن المتصفح ونظام التشغيل إمكانية استخدام مفتاح المرور مع موقع الويب أو التطبيق الذي أنشأه. وهذا يوفر على المستخدمين عدم تحملهم مسؤولية تسجيل الدخول إلى أي موقع أو تطبيق حقيقي.
تلقّي إشعارات
اشترِك في النشرة الإخبارية لمطوّري مفاتيح المرور من Google لتلقّي إشعارات حول تحديثات مفتاح المرور.
الخطوات التالية
- تعرَّف على كيفية إنشاء مفتاح مرور لعمليات تسجيل الدخول بدون كلمة مرور على الويب
- تعرَّف على كيفية السماح للمستخدمين بتسجيل الدخول باستخدام مفتاح مرور من خلال الملء التلقائي للنماذج على الويب
- تعرف على كيفية تسجيل الدخول إلى تطبيق Android باستخدام مدير بيانات الاعتماد