إلزامية المصادقة متعددة العوامل (MFA) والتوجه نحو مفاتيح المرور (Passkeys): أفضل الممارسات

لقد تحولت المصادقة متعددة العوامل (MFA) بشكل حاسم من كونها ميزة أمان للمستخدمين الاستباقيين إلى واقع مفروض لا مفر منه للمنظمات في جميع أنحاء العالم. هذا التحول ليس مدفوعًا بالاختيار، بل بالضرورة، حيث تغذيه الهجمات السيبرانية المستمرة القائمة على بيانات الاعتماد والضغوط التنظيمية المتزايدة. تعمل الصناعات من الخدمات المالية إلى القطاع العام الآن ضمن أطر عمل تجعل المصادقة متعددة العوامل (MFA) أساسًا للامتثال. هذا العصر الجديد، حيث يتم فرض MFA بدلاً من تقديمها كخيار، يقدم سلسلة من التحديات المعقدة التي تمتد إلى ما هو أبعد من التنفيذ التقني الأولي.

عندما يتعين على كل مستخدم استخدام MFA، تظهر مجموعة جديدة من الأسئلة الحاسمة التي يجب على كل منظمة الإجابة عليها. ستستكشف هذه المقالة هذه التحديات بعمق، وتقدم مسارًا واضحًا للمضي قدمًا. سنتناول ما يلي:

1. ما هي التكاليف التشغيلية الخفية ومزالق تجربة المستخدم لفرض MFA على نطاق واسع؟

2. عند إعطاء المستخدمين خيارًا، ما هي طرق MFA التي يتبنونها بالفعل، وما هي المخاطر الأمنية التي يخلقها ذلك؟

3. كيف يصبح استرداد الحساب هو التحدي الأساسي الجديد في بيئة إلزامية، وما هي المقايضات في حله؟

4. لماذا تعتبر مفاتيح المرور (Passkeys) الحل الاستراتيجي للمشكلات التي خلقتها إلزامية MFA، وليست مجرد خيار آخر؟

5. ما هو المخطط العملي خطوة بخطوة للانتقال بنجاح من MFA التقليدية الإلزامية إلى الأمان المتفوق وتجربة المستخدم لمفاتيح المرور (Passkeys)؟

سيقدم هذا التحليل مخططًا واضحًا وقابلاً للتنفيذ للانتقال الناجح من المصادقة أحادية العامل إلى MFA الإلزامية (ووصولاً إلى Passkeys الإلزامية).

قبل استكشاف تحديات الفرض، من الضروري تكوين فهم واضح لمشهد المصادقة ولماذا تغيره الإلزامية بشكل أساسي. يمكن أن تكون المصطلحات نفسها مصدرًا للالتباس، لكن الفروق حاسمة لأي استراتيجية أمان أو منتج.

تطور المصادقة هو استجابة مباشرة للضعف المتأصل في أبسط أشكالها.

• المصادقة أحادية العامل (SFA): مزيج اسم المستخدم وكلمة المرور المألوف. يعتمد على "عامل معرفة" واحد، وهو شيء يعرفه المستخدم. إن ضعفه أمام التصيد الاحتيالي وحشو بيانات الاعتماد وهجمات القوة الغاشمة هو الدافع الأساسي لطرق أقوى.

• التحقق بخطوتين (2SV): غالبًا ما يستخدم بالتبادل مع MFA، لكن 2SV هي عملية مميزة وأضعف. تتطلب خطوتي تحقق ولكنها قد تستخدم عاملين من نفس الفئة. مثال شائع هو كلمة مرور متبوعة بسؤال أمان، وكلاهما "عوامل معرفة". على الرغم من أنها أفضل من SFA، إلا أنها لا تفي بمعايير الأمان متعدد العوامل الحقيقي.

• المصادقة متعددة العوامل (MFA): المعيار الذهبي للأمان، تتطلب MFA التحقق من فئتين مختلفتين على الأقل من عوامل المصادقة. الفئات الأساسية الثلاث هي:

  • المعرفة: شيء يعرفه المستخدم (مثل كلمة مرور، رمز PIN).

  • الحيازة: شيء يمتلكه المستخدم (مثل هاتف محمول يتلقى رمزًا، مفتاح أمان مادي).

  • السمة الشخصية: شيء يمثل هوية المستخدم (مثل بصمة الإصبع، التعرف على الوجه).

الانتقال من MFA الاختيارية إلى الإلزامية هو نقلة نوعية. يسمح النظام الاختياري بالتبني التدريجي من قبل المستخدمين الأكثر وعيًا بالأمان، مما يخفي نقاط الاحتكاك الحقيقية. بينما يجبر التفويض قاعدة المستخدمين بأكملها، من الماهرين تقنيًا إلى المبتدئين، على النظام الجديد في وقت واحد، مما يكشف عن كل عيب في تجربة المستخدم وهيكل الدعم.

وقد تسارع هذا التحول بفعل المحفزات التنظيمية، وأبرزها توجيه خدمات الدفع الثاني في أوروبا (PSD2) ومتطلبه لـمصادقة العملاء القوية (SCA). أعاد هذا التنظيم تشكيل مشهد المدفوعات الأوروبية بشكل أساسي من خلال فرض MFA لمعظم المعاملات عبر الإنترنت. من خلال إجبار المؤسسات المالية على تبني واجهات برمجة تطبيقات مفتوحة (APIs) وأمان أقوى، يقدم PSD2 دراسة حالة ضخمة وواقعية للمصادقة المفروضة.

كان الهدف الأساسي من SCA هو تقليل الاحتيال من خلال طلب عاملين مصادقة مستقلين للمدفوعات الإلكترونية. ومع ذلك، أدى الإطلاق الأولي إلى احتكاك كبير، حيث خسر بعض التجار الأوروبيين ما يقرب من 40% من المعاملات بسبب ارتباك المستخدمين والتخلي عن عربات التسوق. بمرور الوقت، تكيف النظام البيئي، وأكد تقرير صادر عن البنك المركزي الأوروبي في أغسطس 2024 أن المعاملات المصادق عليها بـ SCA لديها الآن معدلات احتيال أقل بكثير. يوضح هذا الفائدة الأمنية طويلة الأجل، ولكنه يسلط الضوء أيضًا على الحاجة الماسة لتحقيق التوازن بين الأمان وتجربة المستخدم.

في حين أن هذه التفويضات تخلق احتكاكًا في البداية، إلا أنها تخلق أيضًا بيئة من التعليم الجماعي غير الطوعي. عندما يُجبر ملايين المستخدمين من قبل بنوكهم على الموافقة على معاملة ببصمة إصبع أو رمز، يصبحون على دراية بمفهوم العامل الثاني. هذا التطبيع، المدفوع بالتنظيم، يمهد الطريق بشكل متناقض للمنظمات الأخرى. يمكن أن يتطور الحوار من "ما هي MFA ولماذا أحتاجها؟" إلى "إليك طريقتنا الجديدة والأسهل للقيام بخطوة الأمان التي تعرفها بالفعل". وهذا يخلق الأساس المثالي لتقديم تجربة متفوقة مثل مفاتيح المرور (Passkeys).

إذا كنت ترغب في قراءة المزيد حول تفاصيل هذه اللوائح وعلاقتها بمفاتيح المرور (Passkeys)، يمكنك استكشاف هذه الموارد:

• تحليل متطلبات PSD2 و SCA

• ماذا تعني متطلبات SCA بالنسبة لمفاتيح المرور (Passkeys)

• مفاتيح المرور (Passkeys) لـ PSD2: مصادقة متعددة العوامل (MFA) متوافقة مع PSD2 ومقاومة للتصيد الاحتيالي

• تأثيرات SD3 / PSR على مفاتيح المرور (Passkeys)

• المصادقة المفوضة ومفاتيح المرور (Passkeys) بموجب PSD3 / PSR

يكشف فرض MFA على قاعدة مستخدمين بأكملها عن مجموعة من التحديات العملية التي غالبًا ما يتم التقليل من شأنها أثناء التخطيط الأولي. تؤثر هذه المشكلات على تجربة المستخدم، والوضع الأمني، والتكاليف التشغيلية.

عندما يكون التسجيل إلزاميًا، لم تعد تجربة المستخدم السيئة مجرد مصدر إزعاج؛ بل تصبح عقبة مباشرة أمام عمليات الأعمال. تختار المنظمات عادةً بين استراتيجيتين: التسجيل القسري، والذي يتطلب إعداد MFA عند تسجيل الدخول التالي، أو التسجيل التدريجي، الذي يطالب المستخدمين بمرور الوقت. في حين أن التسجيل القسري يحقق الامتثال بشكل أسرع، إلا أنه يخاطر بإحباط المستخدمين وتركهم للخدمة إذا لم تكن العملية سلسة. يعتمد النجاح على الالتزام بأفضل ممارسات تجربة المستخدم، مثل تقديم طرق مصادقة متعددة، وتوفير تعليمات واضحة تمامًا، وضمان إمكانية الوصول لجميع المستخدمين، على سبيل المثال من خلال توفير مفتاح سري نصي إلى جانب رمز QR لتطبيقات المصادقة.

بمجرد تفعيل MFA على حساب ما، فإن فقدان العامل الثاني يعني الإغلاق التام للحساب. في عالم الإلزامية، هذا ليس حادثًا معزولًا لعدد قليل من المستخدمين المهتمين بالأمان؛ بل يصبح تحديًا واسع النطاق وحاسمًا لقاعدة المستخدمين بأكملها وفرق الدعم التي تخدمهم. هذا يجعل استرداد الحساب أكبر تحدٍ على الإطلاق.

الرهانات المالية عالية: إعادة تعيين كلمة مرور واحدة أو MFA بمساعدة مكتب المساعدة يمكن أن تكلف الشركة ما متوسطه 70 دولارًا. بالنسبة لمنظمة لديها مئات الآلاف من المستخدمين، حتى نسبة صغيرة تحتاج إلى الاسترداد يمكن أن تترجم إلى ملايين الدولارات من التكاليف التشغيلية والإنتاجية المفقودة.

تُترك المنظمات مع مقايضة صعبة بين الأمان والتكلفة والراحة:

• الاسترداد عبر مكتب المساعدة: يمكن لوكيل الدعم التحقق من هوية المستخدم من خلال مكالمة فيديو أو وسائل أخرى. هذه عملية آمنة ومتحقق منها بشريًا ولكنها باهظة الثمن وبطيئة التوسع، مما يجعلها غير مستدامة لمعظم الشركات.

• الاسترداد عبر البريد الإلكتروني/الرسائل القصيرة: هذه هي الطريقة الأكثر شيوعًا بسبب تكلفتها المنخفضة وألفة المستخدمين بها. ومع ذلك، فهي أيضًا ثغرة أمنية خطيرة. إذا تمكن المهاجم بالفعل من اختراق حساب البريد الإلكتروني للمستخدم، وهو مقدمة شائعة لهجمات أخرى، فيمكنه بسهولة اعتراض رمز الاسترداد وتجاوز MFA بالكامل. هذه الطريقة تلغي فعليًا الفوائد الأمنية التي كان من المفترض أن يوفرها التفويض.

• رموز احتياطية مسجلة مسبقًا: يُمنح المستخدمون مجموعة من الرموز الاحتياطية التي تستخدم لمرة واحدة أثناء التسجيل. على الرغم من أنها أكثر أمانًا من الاسترداد عبر البريد الإلكتروني، إلا أن هذا النهج يضيف احتكاكًا إلى الإعداد الأولي. علاوة على ذلك، غالبًا ما يفشل المستخدمون في تخزين هذه الرموز بشكل آمن أو يفقدونها، مما يعيدهم في النهاية إلى نفس مشكلة الإغلاق.

• التحقق من الهوية بالصور الشخصية (Selfie-ID): تتطلب هذه الطريقة عالية الضمان من المستخدم التقاط صورة شخصية حية وصورة لبطاقة هوية صادرة عن الحكومة (مثل رخصة القيادة أو جواز السفر). تقوم الأنظمة التي تعمل بالذكاء الاصطناعي بعد ذلك بمطابقة الوجه مع بطاقة الهوية لتأكيد الهوية. على الرغم من شيوعها في الخدمات المصرفية والخدمات المالية حيث يتم التحقق من الهوية أثناء الإعداد، إلا أنها تثير مخاوف الخصوصية لدى بعض المستخدمين وتتطلب منهم أن تكون بطاقة هويتهم المادية في متناول أيديهم.

• بيانات الاعتماد والمحافظ الرقمية: خيار ناشئ وتطلعي يتضمن استخدام بيانات اعتماد رقمية يمكن التحقق منها ومخزنة في محفظة رقمية. يمكن للمستخدم تقديم بيانات اعتماد من جهة إصدار موثوقة (مثل حكومة أو بنك) لإثبات هويته دون المرور بتدفق استرداد خاص بالخدمة. لا تزال هذه الطريقة في مراحلها الأولى ولكنها تشير إلى مستقبل أكثر قابلية للنقل والتحقق من الهوية الذي يتحكم فيه المستخدم.

نقطة فشل متكررة وحاسمة في أي نظام MFA هي دورة حياة الجهاز. عندما يحصل المستخدم على هاتف جديد، تكون استمرارية طريقة المصادقة الخاصة به أمرًا بالغ الأهمية.

• الرسائل القصيرة (SMS): هذه الطريقة قابلة للنقل نسبيًا، حيث يمكن نقل رقم الهاتف إلى جهاز جديد عبر بطاقة SIM جديدة. ومع ذلك، هذه العملية بالذات هي ناقل الهجوم المستخدم في هجمات مبادلة بطاقة SIM، حيث يقنع المحتال شركة اتصالات محمولة بنقل رقم الضحية إلى بطاقة SIM يتحكم فيها.

• تطبيقات المصادقة (TOTP): هذا مصدر رئيسي للاحتكاك لدى المستخدم. ما لم يقم المستخدم بشكل استباقي بتمكين ميزة النسخ الاحتياطي السحابي داخل تطبيق المصادقة الخاص به (وهي ميزة ليست عالمية ولا تستخدم دائمًا)، فإن المفاتيح السرية التي تولد الرموز تُفقد مع الجهاز القديم. هذا يجبر المستخدم على عملية استرداد حساب كاملة ومؤلمة في كثير من الأحيان لكل خدمة قام بتأمينها.

• الإشعارات الفورية (Push Notifications): على غرار تطبيقات TOTP، ترتبط المصادقة متعددة العوامل (MFA) القائمة على الإشعارات الفورية بتثبيت تطبيق معين على جهاز مسجل. يتطلب الهاتف الجديد تسجيلًا جديدًا، مما يثير نفس تحديات الاسترداد.

عندما تفرض منظمة ما MFA وتقدم خيارًا من الطرق، يظهر نمط متوقع: ينجذب أكثر من 95% من المستخدمين نحو ما هو أكثر دراية ويُنظر إليه على أنه الأسهل، والذي غالبًا ما يكون رموز المرور لمرة واحدة (OTPs) المستندة إلى الرسائل القصيرة (SMS). يخلق هذا السلوك مفارقة. يمكن لـمسؤول أمن المعلومات الرئيسي (CISO) أن يفرض MFA لتحسين الأمان. ومع ذلك، إذا استمر العديد من المستخدمين في الاعتماد على طريقة قابلة للتصيد الاحتيالي مثل SMS، يمكن للمنظمة تحقيق الامتثال بنسبة 100% دون تحسين دفاعاتها بشكل مادي ضد الهجمات المتطورة. وإدراكًا لذلك، قدمت منصات مثل Microsoft "MFA المفضلة للنظام"، والتي تدفع المستخدمين بنشاط نحو خيارات أكثر أمانًا مثل تطبيقات المصادقة بدلاً من الرسائل القصيرة أو المكالمات الصوتية. يسلط هذا الضوء على درس حاسم: مجرد فرض MFA غير كافٍ. نوع MFA مهم للغاية، ويجب على المنظمات توجيه المستخدمين بنشاط بعيدًا عن العوامل الأضعف والقابلة للتصيد الاحتيالي.

قرار فرض MFA له تأثير مباشر وقابل للقياس على الموارد التشغيلية. يؤدي حتمًا إلى زيادة في تذاكر مكتب المساعدة المتعلقة بمشكلات التسجيل، وفقدان المصادقات، وطلبات الاسترداد. تشير أبحاث Gartner إلى أن 30-50% من جميع مكالمات الدعم الفني تتعلق بالفعل بمشكلات كلمات المرور؛ وتفاقم MFA الإلزامية، خاصةً عند إقرانها بتدفقات استرداد مرهقة، هذا العبء بشكل كبير. يترجم هذا إلى تكاليف مباشرة يجب على مديري التكنولوجيا ومديري المشاريع توقعها. علاوة على ذلك، يصبح مكتب المساعدة نفسه هدفًا رئيسيًا لهجمات الهندسة الاجتماعية، حيث ينتحل المهاجمون شخصية مستخدمين محبطين ومغلقين لخداع وكلاء الدعم لإعادة تعيين عوامل MFA نيابة عنهم.

يوفر فحص التطبيقات الواقعية واسعة النطاق لـ MFA الإلزامية دروسًا لا تقدر بثمن حول ما ينجح وما يخلق احتكاكًا كبيرًا. بدلاً من التركيز على شركات محددة، يمكننا استخلاص هذه التجارب في عدة حقائق عالمية.

• الاحتكاك الأولي لا مفر منه، ولكنه قابل للإدارة: أظهر طرح SCA الأوروبي أن فرض تغيير كبير في سلوك المستخدم، حتى من أجل الأمان، سيضر في البداية بمعدلات التحويل. ومع ذلك، فقد أظهر أيضًا أنه مع تحسين العمليات وتعود المستخدمين، يمكن التخفيف من هذه الآثار السلبية بمرور الوقت. المفتاح هو توقع هذا الاحتكاك وتصميم التدفق الأكثر انسيابية وسهولة في الاستخدام قدر الإمكان منذ البداية.

• اختيار المستخدم سيف ذو حدين: عند منحهم خيارات، يختار المستخدمون باستمرار مسار المقاومة الأقل، مما يعني غالبًا اختيار طرق MFA مألوفة ولكن أقل أمانًا مثل SMS. يؤدي هذا إلى حالة من "مسرحية الامتثال"، حيث تفي المنظمة بنص التفويض ولكن ليس بروحه، وتبقى عرضة للتصيد الاحتيالي. يجب أن توجه الاستراتيجية الناجحة المستخدمين بنشاط نحو خيارات أقوى ومقاومة للتصيد الاحتيالي.

• الاسترداد يصبح كعب أخيل: في عالم الإلزامية، يتحول استرداد الحساب من حالة نادرة إلى عبء تشغيلي أساسي وثغرة أمنية خطيرة. الاعتماد على البريد الإلكتروني أو الرسائل القصيرة للاسترداد يقوض نموذج الأمان بأكمله، بينما يكون الاسترداد عبر مكتب المساعدة غير مستدام ماليًا. إن عملية الاسترداد القوية والآمنة وسهلة الاستخدام ليست فكرة لاحقة؛ إنها مطلب أساسي لأي تفويض ناجح.

• الطرح المرحلي يقلل المخاطر بشكل كبير: محاولة طرح "دفعة واحدة" لقاعدة مستخدمين بأكملها هي استراتيجية عالية المخاطر. النهج الأكثر حكمة، والذي أثبت نجاحه في عمليات النشر الكبيرة في المؤسسات، هو تجربة النظام الجديد مع مجموعات مستخدمين أصغر وغير حرجة أولاً. يتيح ذلك لفريق المشروع تحديد الأخطاء وحلها، وتحسين تجربة المستخدم، وجمع الملاحظات في بيئة خاضعة للرقابة قبل النشر على نطاق كامل.

• منصة الهوية المركزية هي عامل تمكين قوي: المنظمات التي لديها منصة هوية وإدارة وصول (IAM) أو تسجيل دخول موحد (SSO) مركزية موجودة مسبقًا تكون في وضع أفضل بكثير لطرح سلس. يسمح نظام الهوية المركزي بالتطبيق السريع والمتسق لسياسات المصادقة الجديدة عبر مئات أو آلاف التطبيقات، مما يقلل بشكل كبير من تعقيد وتكلفة المشروع.

مفاتيح المرور (Passkeys)، المبنية على معيار WebAuthn من تحالف FIDO، ليست مجرد تحسين تدريجي على MFA التقليدية. بنيتها الأساسية، القائمة على تشفير المفتاح العام، مصممة خصيصًا لحل المشكلات الأكثر إيلامًا واستمرارية التي خلقتها إلزامية MFA.

• حل كابوس الاسترداد: أكبر تحدٍ لـ MFA الإلزامية هو استرداد الحساب. تعالج Passkeys هذا الأمر بشكل مباشر. مفتاح المرور هو بيانات اعتماد تشفيرية يمكن مزامنتها عبر أجهزة المستخدم من خلال نظام بيئة المنصة الخاصة بهم (مثل iCloud Keychain من Apple أو Google Password Manager). إذا فقد المستخدم هاتفه، يظل مفتاح المرور متاحًا على جهاز الكمبيوتر المحمول أو الجهاز اللوحي الخاص به. هذا يقلل بشكل كبير من تكرار حالات الإغلاق ويقلل من الاعتماد على قنوات الاسترداد غير الآمنة مثل البريد الإلكتروني أو تدخلات مكتب المساعدة المكلفة.

• حل مشكلة دورة حياة الجهاز: نظرًا لمزامنة Passkeys، تتحول تجربة الحصول على جهاز جديد من نقطة احتكاك عالية إلى انتقال سلس. عندما يسجل المستخدم الدخول إلى حسابه في Google أو Apple على هاتف جديد، تتم استعادة مفاتيح المرور الخاصة به تلقائيًا وتكون جاهزة للاستخدام. هذا يلغي عملية إعادة التسجيل المؤلمة لكل تطبيق على حدة المطلوبة من قبل تطبيقات المصادقة التقليدية المرتبطة بالجهاز.

• حل مفارقة تفضيلات المستخدم: تحل Passkeys مقايضة الأمان مقابل الراحة الكلاسيكية. إن أكثر طرق المصادقة أمانًا المتاحة، وهي تشفير المفتاح العام المقاوم للتصيد الاحتيالي، هي أيضًا الأسرع والأسهل للمستخدم. كل ما هو مطلوب هو إيماءة بيومترية واحدة أو رمز PIN للجهاز. لا يوجد حافز للمستخدم لاختيار خيار أضعف وأقل أمانًا، لأن الخيار الأقوى هو أيضًا الأكثر ملاءمة.

• حل ثغرة التصيد الاحتيالي: تم تصميم Passkeys لتكون مقاومة للتصيد الاحتيالي. يرتبط زوج المفاتيح التشفيرية الذي يتم إنشاؤه أثناء التسجيل بالأصل المحدد لموقع الويب أو التطبيق (على سبيل المثال، corbado.com). لا يمكن خداع المستخدم لاستخدام مفتاح المرور الخاص به على موقع تصيد احتيالي مشابه (على سبيل المثال، corbado.scam.com) لأن المتصفح ونظام التشغيل سيتعرفان على عدم تطابق الأصل ويرفضان إجراء المصادقة. يوفر هذا ضمانًا أمنيًا أساسيًا لا يمكن أن تقدمه أي طريقة تعتمد على الأسرار المشتركة (مثل كلمات المرور أو OTPs).

• حل إرهاق MFA: إجراء واحد بسيط من المستخدم، مثل مسح Face ID أو لمس بصمة الإصبع، يثبت في نفس الوقت حيازة المفتاح التشفيري على الجهاز ("شيء تملكه") والسمة الشخصية عبر القياس الحيوي ("شيء أنت عليه"). يبدو هذا كخطوة واحدة سهلة للمستخدم ولكنه يلبي من الناحية التشفيرية متطلبات المصادقة متعددة العوامل. يسمح هذا للمنظمات بتلبية معايير الامتثال الصارمة دون إضافة الخطوات الإضافية والعبء المعرفي المرتبط بـ MFA التقليدية.

يتطلب الانتقال من MFA التقليدية إلى استراتيجية تعتمد على Passkeys أولاً نهجًا مدروسًا ومتعدد المراحل يعالج التكنولوجيا وتجربة المستخدم وأهداف العمل.

قبل أن تتمكن من فرض Passkeys، يجب أن تفهم القدرة التقنية لقاعدة المستخدمين لديك على تبنيها. هذه خطوة أولى حاسمة لقياس جدوى وجدول زمني للطرح.

• تحليل مشهد أجهزتك: استخدم أدوات تحليلات الويب الحالية لجمع بيانات حول أنظمة التشغيل (iOS، Android، إصدارات Windows) والمتصفحات التي يفضلها المستخدمون.

• نشر أداة جاهزية Passkeys: للحصول على بيانات أكثر دقة، يمكن دمج أداة خفيفة الوزن وتحافظ على الخصوصية مثل Corbado Passkeys Analyzer في موقع الويب أو التطبيق الخاص بك. توفر تحليلات في الوقت الفعلي حول النسبة المئوية للمستخدمين الذين تدعم أجهزتهم المصادقات المنصية (مثل Face ID و Touch ID و Windows Hello) وتحسينات تجربة المستخدم الحاسمة مثل Conditional UI، والتي تتيح الملء التلقائي لمفاتيح المرور. هذه البيانات ضرورية لبناء نموذج تبني واقعي.

سيكون الانتقال إلى Passkeys تدريجيًا، وليس فوريًا. تتطلب الاستراتيجية الناجحة نظامًا هجينًا يروج لمفاتيح المرور باعتبارها الطريقة الأساسية والمفضلة مع توفير بديل آمن للمستخدمين على الأجهزة غير المتوافقة أو لأولئك الذين لم يسجلوا بعد.

• اختيار نمط التكامل:

  • المُعرف أولاً (Identifier-First): يدخل المستخدم بريده الإلكتروني أو اسم المستخدم. يتحقق النظام بعد ذلك مما إذا كان هناك مفتاح مرور مسجل لهذا المعرف، وإذا كان الأمر كذلك، يبدأ تدفق تسجيل الدخول بمفتاح المرور. إذا لم يكن كذلك، فإنه يعود بسلاسة إلى كلمة مرور أو طريقة آمنة أخرى. يوفر هذا النهج أفضل تجربة للمستخدم ويؤدي عادةً إلى معدلات تبني أعلى.

  • زر Passkey مخصص: يتم وضع زر "تسجيل الدخول باستخدام مفتاح مرور" بجانب نموذج تسجيل الدخول التقليدي. هذا أبسط في التنفيذ ولكنه يضع العبء على المستخدم لاختيار الطريقة الجديدة، مما قد يؤدي إلى انخفاض الاستخدام.

• ضمان أمان البدائل: يجب ألا تقوض آليتك البديلة أهدافك الأمنية. تجنب الرجوع إلى طرق غير آمنة مثل SMS OTPs. البديل الأقوى هو استخدام رمز لمرة واحدة حساس للوقت أو رابط سحري يتم إرساله إلى عنوان البريد الإلكتروني المعتمد للمستخدم، والذي يعمل كعامل حيازة لجلسة معينة.

التواصل الفعال أمر بالغ الأهمية لطرح سلس. الهدف هو تأطير Passkeys ليس كإزعاج أمني آخر، بل كترقية كبيرة لتجربة المستخدم.

• رسائل مدفوعة بالفوائد: استخدم لغة واضحة وبسيطة تركز على فوائد المستخدم: "سجل الدخول بشكل أسرع وأكثر أمانًا"، "قل وداعًا لكلمات المرور المنسية"، و"بصمة إصبعك هي الآن مفتاحك". استخدم باستمرار أيقونة FIDO Passkey الرسمية لبناء الاعتراف بها.

• استراتيجية الطرح المرحلي:

  1. ابدأ بالتبني "الجذب": في البداية، قدم إنشاء مفتاح المرور كخيار داخل صفحة إعدادات حساب المستخدم. يتيح ذلك للمتبنين الأوائل والمستخدمين الماهرين تقنيًا الاشتراك دون تعطيل التدفق للجميع.

  2. انتقل إلى التبني "الدفع": بمجرد استقرار النظام، ابدأ في مطالبة المستخدمين بشكل استباقي بإنشاء مفتاح مرور فور تسجيل الدخول بنجاح بكلمة المرور القديمة. هذا يلتقط المستخدمين عندما يكونون بالفعل في "عقلية المصادقة".

  3. الدمج في عملية الإعداد: أخيرًا، اجعل إنشاء مفتاح المرور خيارًا أساسيًا وموصى به لجميع عمليات تسجيل المستخدمين الجدد.

النهج القائم على البيانات ضروري للتحقق من الاستثمار في Passkeys ولتحسين التجربة باستمرار. يجب على جميع الفرق تتبع المقاييس ذات الصلة بأدوارها.

• مقاييس التبني والمشاركة:

  • معدل إنشاء Passkey: النسبة المئوية للمستخدمين المؤهلين الذين ينشئون مفتاح مرور.

  • معدل استخدام Passkey: النسبة المئوية لإجمالي عمليات تسجيل الدخول التي تتم باستخدام مفتاح مرور.

  • الوقت حتى أول إجراء رئيسي: مدى سرعة قيام المستخدمين الجدد بإجراء حاسم بعد تبني Passkeys.

• المقاييس التجارية والتشغيلية:

  • انخفاض تذاكر إعادة تعيين كلمة المرور: مقياس مباشر لخفض تكاليف مكتب المساعدة.

  • انخفاض تكاليف SMS OTP: وفورات ملموسة في التكاليف من التخلص من عامل قديم.

  • معدل نجاح تسجيل الدخول: مقارنة معدل نجاح عمليات تسجيل الدخول بـ Passkey بتسجيلات الدخول بكلمة المرور/MFA.

  • انخفاض حوادث الاستيلاء على الحسابات: المقياس النهائي لفعالية الأمان.

تقدم الجداول التالية ملخصًا موجزًا، حيث تقارن طرق المصادقة وتربط حلول Passkeys مباشرة بنقاط الألم الشائعة في الأعمال.

كيف توفر Passkeys حلولاً لنقاط ألم MFA الإلزامية

لقد حان عصر المصادقة متعددة العوامل الإلزامية ليبقى. على الرغم من أنها ولدت من الحاجة الماسة للدفاع ضد الهجمات القائمة على بيانات الاعتماد، إلا أن هذه التفويضات خلقت عن غير قصد مشهدًا جديدًا من التحديات.

لقد رأينا أن فرض MFA يفرض أعباء تشغيلية كبيرة، من التكاليف المباشرة لرسوم SMS إلى الزيادة في تذاكر مكتب المساعدة من المستخدمين الذين يعانون من التسجيل وتغيير الأجهزة. لقد تعلمنا أنه عند منح المستخدمين خيارًا، فإنهم ينجذبون نحو طرق مألوفة ولكنها قابلة للتصيد الاحتيالي مثل SMS، مما يحقق الامتثال على الورق ولكن يترك المنظمة عرضة للهجمات الواقعية. والأهم من ذلك، لقد أثبتنا أنه في عالم الإلزامية، يصبح استرداد الحساب أكبر نقطة فشل، ومصدرًا لإحباط المستخدم الهائل، وثغرة أمنية كبيرة عند التعامل معها بشكل غير صحيح.

لا يمكن لطرق MFA التقليدية حل هذه المشكلات. لكن Passkeys يمكنها ذلك. لقد أثبتنا أن Passkeys هي الإجابة النهائية، حيث تحل بشكل مباشر المشكلات المترابطة للاسترداد واحتكاك المستخدم والأمان. طبيعتها المتزامنة تقضي على معظم سيناريوهات الإغلاق، وسهولة استخدامها البيومترية تزيل الحافز لاختيار خيارات أضعف، وتصميمها التشفيري يجعلها محصنة ضد التصيد الاحتيالي. أخيرًا، لقد وضعنا مخططًا واضحًا من أربع خطوات، من تدقيق الجاهزية إلى قياس النجاح، يوفر مسارًا عمليًا لأي منظمة للقيام بهذا التحول الاستراتيجي.

إن النظر إلى هذا التحول على أنه مجرد صداع امتثال يعني تفويت الفرصة الاستراتيجية التي يمثلها. رواد مصادقة العملاء القوية في الخدمات المصرفية الأوروبية، على الرغم من الصعوبات الأولية، شكلوا في النهاية توقعات المستخدمين لصناعة بأكملها. اليوم، لدى رواد Passkeys نفس الفرصة. من خلال تبني هذا الانتقال، يمكن للمنظمات تحويل تفويض أمني من التزام مرهق إلى ميزة تنافسية قوية ودائمة. حان الوقت الآن للتخطيط للانتقال من الإلزامية إلى الزخم.