ما هو مفتاح المرور (Passkey)؟
مفتاح المرور (Passkey) هو بديل آمن ومريح لكلمات المرور التقليدية معتمد على FIDO . يستخدمون التشفير المتقدم لحماية حساباتك من هجمات التصيد الاحتيالي .
- فريد لكل خدمة: عند التسجيل في خدمة، يقوم جهازك بإنشاء مفتاح مرور فريد مرتبط بنطاق تلك الخدمة المحددة.
- مرتبط بالجهاز: عادة ما يتم ربط مفاتيح المرور بجهاز، مثل الهاتف، أو الكمبيوتر المحمول، أو معرف بيومتري، أو مفاتيح أمان الأجهزة.
- زوج مفاتيح عامة-خاصة: يحتفظ الجهاز بالمفتاح الخاص، بينما يتم مشاركة المفتاح العام مع الخدمة. وتُسمى هذه الأزواج من المفاتيح التشفيرية بمفاتيح المرور. (مقتبس من FIDO )
- طرق مصادقة متعددة: يمكنك استخدام مسح بصمة الإصبع، أو التعرف على الوجه، أو رمز PIN الجهاز، أو مسح رمز QR، أو مفاتيح الأمان للمصادقة باستخدام مفتاح المرور.
- مزامنة عبر الأجهزة: يمكن مزامنة مفاتيح المرور عبر الأجهزة باستخدام تخزين سحابي آمن (مثل سلسلة مفاتيح iCloud من Apple أو مدير كلمات مرور Google)، مما يتيح لك تسجيل الدخول من أي جهاز مدعوم.
كيف يبدو سير عمل مفتاح المرور (Passkey)؟
تعمل مفاتيح المرور (Passkeys) عن طريق استخدام التشفير بالمفتاح العام لتوفير اعتماد آمن.
- التسجيل
- عند التسجيل في خدمة، يقوم جهازك بإنشاء زوج مفاتيح تشفير فريدة مرتبطة بتلك الخدمة.
- يبقى المفتاح الخاص على جهازك، بينما يتم مشاركة المفتاح العام مع الخدمة.
- المصادقة
- عندما تحاول تسجيل الدخول، ترسل الخدمة تحدي إلى جهازك.
- يستخدم جهازك المفتاح الخاص لإنشاء توقيع تشفيري بناءً على التحدي.
- يُرسل التوقيع مرة أخرى إلى الخدمة، التي تتحقق منه باستخدام المفتاح العام.
- إذا كان التوقيع صالحاً، تكون المصادقة ناجحة.
اقرأ WebAuthn، وهي API لتنفيذ مفاتيح المرور (Passkeys)، لتتعلم التفاصيل.
كيف يبدو تدفق المستخدم النهائي لمفتاح المرور (Passkey)؟
تقدم مفاتيح المرور المرونة بنوعين من المصادقين للاستخدام المحلي والسحابي، ويمكن للمستخدمين تمكين أحدهما أو كليهما للخدمة.
- المصادق الأساسي (المصادق الداخلي): مرتبط بنظام تشغيل جهاز معين (مثل الهاتف، الكمبيوتر المحمول)، باستخدام القياسات الحيوية أو رمز مرور الجهاز للتفويض. إنه سريع ومريح.
- أمثلة: سلسلة مفاتيح iCloud للأجهزة Apple (التحقق عبر Touch ID أو Face ID أو رمز المرور للجهاز)، Windows Hello، مدير كلمات مرور Google على Android.
- المصادق المتجول (المصادق الخارجي): أجهزة أو برامج محمولة، مثل مفاتيح الأمان، الهواتف الذكية. يمكن استخدامها عبر أجهزة متعددة ولكن قد تحتاج إلى خطوات إضافية مثل مسح رمز QR أو الاقتران عبر NFC/Bluetooth.
- أمثلة: YubiKey وحسابات سحابية على الهواتف الذكية. يتطلب الأمر من المصادقين على الجوال غالبًا مسح رمز QR للربط مع الأجهزة المكتبية، وتحتاج المصادقة عبر الأجهزة إلى الاتصال عبر Bluetooth أو NFC أو USB لضمان وجود المصادق قريبًا.
متى يتم استخدام مفتاح المرور (Passkey)؟
مفاتيح المرور هي عامل مصادقة حديث يمكن استخدامها كعامل أول أو ثان.
- تسجيل الدخول باستخدام مفتاح المرور (Passkey): تقدم مفاتيح المرور طريقة مصادقة بدون كلمة مرور أسرع وأكثر أمانًا مقارنة بكلمات المرور التقليدية.
- تتميز التطبيقات الحديثة عادةً بزر “تسجيل الدخول باستخدام مفتاح المرور (Passkey)” في صفحة تسجيل الدخول، مما يدفع المستخدمين للنقر على هذا الخيار بنشاط.
- بالإضافة إلى ذلك، يمكن لصفحة تسجيل الدخول تلقائيًا إظهار منبثق لتسجيل الدخول باستخدام مفتاح المرور إذا تعرفت على أن المستخدم يستخدم نفس الجهاز والمتصفح حيث تم تسجيل مفتاح المرور.
- مفتاح المرور للمصادقة متعددة العوامل (Passkey MFA): يمكن أن تعمل مفاتيح المرور أيضًا كعامل ثانٍ للمصادقة متعددة العوامل.
- عندما يحاول مستخدم تسجيل الدخول، يدخل أولاً بريده الإلكتروني وكلمة المرور (أو عوامل أولى أخرى)، وبعد ذلك تطلب الخدمة منه إكمال التحقق الثنائي باستخدام مفتاح المرور.
- إذا كانت هناك جلسات موجودة في المتصفح، يمكن للخدمة أن تطلب مباشرةً من المستخدمين تسجيل الدخول باستخدام مفتاح المرور دون الحاجة إلى إدخال كلمة المرور مرة أخرى. تُعرف هذه العملية بإكمال المصادقة متعددة العوامل، لأن مفتاح المرور هو مستوى أمني عالي من خلال الربط بالجهاز الحالي والتحقق من المستخدمين عبر القياسات الحيوية أو الرموز الشخصية أو طرق الأجهزة الأخرى.
- التحقق الأمني: في البيئات ذات الأمان العالي، تُستخدم مفاتيح المرور غالبًا للتحقق المزدوج من هوية المستخدم. على سبيل المثال، عند الوصول إلى معلومات مالية حساسة أو تنفيذ عمليات حرجة (البنوك، الحكومة، نظام الشركات).