طرق تسجيل الدخول والمصادقة باستخدام رمز QR

أصبحت طرق المصادقة الآمنة والمريحة أكثر أهمية من أي وقت مضى. مع تزايد عدد الخدمات عبر الإنترنت التي نستخدمها يوميًا على أجهزة مختلفة، أصبحت أنظمة كلمات المرور التقليدية أقل فعالية وأكثر تعقيدًا. وقد أدى هذا، خاصة بالنسبة للشركات التي لديها عدد كبير من المستخدمين على تطبيقاتها الأصلية (تطبيقات iOS أو Android)، إلى زيادة الطلب على عمليات تسجيل الدخول المستندة إلى رمز QR، والتي توفر طريقة سريعة وسهلة لمصادقة المستخدمين دون الحاجة إلى كتابة كلمات مرور معقدة أو حتى أسماء مستخدمين.

في هذا السياق، تظهر أسئلة مثل:

• كيف تعمل المصادقة المستندة إلى رمز QR مع التطبيقات الأصلية؟
• كيف تُقارن بالمصادقة المستندة إلى رمز QR مع مفاتيح المرور؟

Native QR Code Revolut

Passkeys QR Code Apple

من الأمثلة البارزة على استخدام رموز QR في تسجيلات الدخول عبر التطبيقات الأصلية خدمات تعتمد على التطبيقات أولاً مثل WhatsApp وTikTok وRevolut. وفي الوقت نفسه، هناك قائمة متزايدة بسرعة من الشركات التي تدعم تسجيل الدخول بمفاتيح المرور.

في هذا المقال، سنستكشف تقنيات المصادقة المستندة إلى رمز QR. لن نركز على رموز QR الخاصة بـ TOTP المستخدمة لتهيئة العامل الثاني (مع تطبيقات إضافية مثل Authy أو Google Authenticator).

سنقارن أيضًا بين طرق المصادقة المختلفة المستندة إلى رمز QR، وندرس نقاط قوتها وضعفها والثغرات الأمنية المحتملة.

بحلول نهاية المقال، سيكون لديك فهم أوضح لما إذا كانت المصادقة المستندة إلى رمز QR هي الخيار الصحيح لاحتياجاتك الأمنية.

رموز QR، أو رموز الاستجابة السريعة، هي رموز شريطية ثنائية الأبعاد يمكنها تخزين مجموعة متنوعة من المعلومات، بدءًا من عناوين URL إلى النصوص العادية. طُورت رموز QR في الأصل عام 1994 بواسطة شركة Denso Wave، وهي شركة تابعة لمجموعة Toyota، وقد صُممت لتتبع قطع غيار السيارات بسرعة وكفاءة. منذ ذلك الحين، تطورت رموز QR ووجدت مكانها في مختلف الصناعات بفضل قدرتها على تخزين كمية كبيرة من البيانات في مربع صغير قابل للمسح الضوئي.

مصطلح "QR Code" هو في الواقع علامة تجارية لشركة Denso Wave، على الرغم من أن التكنولوجيا نفسها أصبحت معتمدة على نطاق واسع وغير مقيدة بالعلامة التجارية. تتميز رموز QR بأنماطها المربعة بالأبيض والأسود، والتي يمكن مسحها ضوئيًا باستخدام هاتف ذكي أو جهاز مسح ضوئي مخصص (ماسح QR) للوصول إلى المعلومات المشفرة.

تم دمج دعم رموز QR في أنظمة تشغيل الهواتف المحمولة مثل iOS وAndroid لعدة سنوات. تدعم كلتا المنصتين مسح رموز QR بشكل أصلي من خلال تطبيقات الكاميرا الخاصة بهما، مما يسهل على المستخدمين التفاعل مع رموز QR دون الحاجة إلى برامج إضافية.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

بشكل عام، تستفيد رموز QR المستخدمة مع التطبيقات من عناوين URL مخصصة أو روابط تطبيقات. يمكن لهذه الروابط تشغيل التطبيق ليفتح تلقائيًا إذا كان مثبتًا على الجهاز. إذا لم يكن التطبيق مثبتًا، يمكن لرمز QR توجيه المستخدم إلى متجر التطبيقات المناسب لتنزيل التطبيق وتثبيته، مما يسهل تجربة مستخدم سلسة. هنا يمكنك رؤية قائمة بالمسارات التي سجلتها Revolut للتعامل مع التطبيقات:

https://revolut.com/.well-known/apple-app-site-association
{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.revolut",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.test",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.retail.india",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.retail.india-debug",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.invest",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.invest-debug",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.revolutx",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.revolutx-debug",
                "paths": ["/app/*"]
            }
        ]
    }
}

كما ترى، يتم التعامل مع جميع الروابط التي تبدأ بـ "/app/*"، وسترى مثالاً على ذلك في القسم التالي. من خلال تضمين عناوين URL وروابط تطبيقات مخصصة داخل رموز QR، يمكن للشركات والمطورين إنشاء تجارب مخصصة تقود المستخدمين مباشرة إلى التطبيق أو الخدمة المطلوبة، مما يعزز الراحة والأمان في تفاعلات المستخدم.

يستفيد تسجيل الدخول برمز QR عبر التطبيقات الأصلية من التفاعل السلس بين كاميرا الجهاز المحمول وعناوين URL محددة مضمنة في رموز QR. تبدأ العملية عادةً بمسح المستخدم لرمز QR معروض على موقع ويب أو جهاز آخر باستخدام كاميرا هاتفه الذكي. يحتوي رمز QR على عنوان URL مخصص مصمم خصيصًا للتفاعل مع تطبيق أصلي معين، مثل تلك الموجودة على أجهزة iOS أو Android.

على سبيل المثال، قد تستخدم خدمة مثل Revolut رمز QR مع عنوان URL مثل https://revolut.com/app/challenges/qr/e2d78521-d38a-4773-b1b8-27a902a36b4b. من المفترض أن يتعرف تطبيق Revolut المثبت على جهاز المستخدم على عنوان URL هذا.

عند مسح رمز QR، يلتقط التطبيق هذا الرابط تلقائيًا ويتعرف عليه ويعرض التطبيق المقابل (في المثال أعلاه، انظر كيف تم تحديد "Revolut" كتطبيق مطابق)، ثم يتابع للتعامل مع عملية تسجيل الدخول داخليًا. يتم تسهيل هذا التفاعل من خلال آليات الروابط العميقة التي تدعمها كل من iOS وAndroid، والتي تسمح بفتح روابط محددة مباشرة داخل تطبيق مثبت بدلاً من فتحها في متصفح الويب:

إذا لم يكن التطبيق مثبتًا على الجهاز، فعادةً ما يطالب نظام التشغيل المستخدم بتثبيت التطبيق عن طريق إعادة توجيهه إلى متجر التطبيقات المناسب، سواء كان متجر تطبيقات Apple لأجهزة iOS أو متجر Google Play لأجهزة Android.

يضمن هذا أنه حتى لو لم يكن لدى المستخدم التطبيق مثبتًا في البداية، يمكنه الحصول عليه بسرعة وسهولة، ومتابعة العملية بعد التثبيت.

في معظم الحالات، سيحظى العملاء الحاليون الذين قاموا بالفعل بتثبيت التطبيق بتجربة تسجيل دخول سلسة. يقومون بمسح رمز QR، ويفتح التطبيق تلقائيًا، وتكتمل المصادقة دون الحاجة إلى إدخال اسم مستخدم أو كلمة مرور. توفر هذه الطريقة الراحة بشكل أساسي للمستخدمين، حيث لا يتم نقل أي معلومات حساسة أثناء عملية مسح رمز QR.

ما يحدث تقنيًا هو أن جلسة تسجيل دخول حالية على الهاتف المحمول تُستخدم لمصادقة جلسة جديدة على سطح المكتب. هناك تقنيات مختلفة للقيام بذلك. تم نشر نسخة مفصلة للغاية في الورقة البيضاء لأمان WhatsApp تحت عنوان تسجيل العميل ← تسجيل الجهاز المرافق ← الربط باستخدام رمز QR.

مأخوذة من https://engineering.fb.com/2021/07/14/security/whatsapp-multi-device/

نظرًا لأن WhatsApp يدعم الوصول متعدد الأجهزة والتشفير من طرف إلى طرف منذ عام 2021، فإن البنية ليست مناسبة تمامًا للمصادقة - حيث أن البروتوكول مصمم بشكل أساسي لتطبيق مراسلة متعدد الأجهزة. هناك طرق أبسط لتحقيق مصافحة آمنة، اعتمادًا على التنفيذ الفعلي للمصادقة. ما يجب أخذه في الاعتبار هو أنك تحتاج دائمًا إلى ضمان التعامل الآمن مع جلسات المستخدم وقنوات الاتصال بين الجهاز والخادم. بغض النظر عن مدى تعقيد تنفيذ تسجيل الدخول بالمصادقة عبر رمز QR، يجب دائمًا اتباع بعض مبادئ الأمان الرئيسية:

1. سلامة الجلسة: يجب التحقق من صحة جلسة تسجيل الدخول الحالية على الهاتف المحمول، المستخدمة لمصادقة جلسة جديدة على سطح المكتب أو جهاز آخر، بشكل آمن. يتضمن هذا عادةً التحقق من أصالة الجلسة باستخدام رموز آمنة أو طرق تشفير أخرى لمنع اختطاف الجلسة أو هجمات إعادة التشغيل.
2. الاتصال المشفر: يجب تشفير جميع الاتصالات بين تطبيق الهاتف المحمول والخادم والجهاز الذي يطلب المصادقة باستخدام HTTPS. يساعد هذا في ضمان عدم إمكانية اعتراض المعلومات الحساسة، بما في ذلك رموز الجلسة وتفاصيل تسجيل الدخول، أو التلاعب بها أثناء الإرسال.
3. إنشاء رموز آمنة: يجب إنشاء أي رموز أو بيانات اعتماد تم إنشاؤها لعملية المصادقة برمز QR بشكل آمن. قد يشمل ذلك ربطها بالجهاز الطالب بحيث لا يمكن استخدامها على أجهزة أخرى كإجراء احترازي (على سبيل المثال، وكيل المتصفح).
4. التحقق من تسجيل الدخول من قبل المستخدم: قبل إنهاء عملية المصادقة، يوصى بوجود خطوة يمكن للمستخدم من خلالها التحقق من محاولة تسجيل الدخول أو تأكيدها. يمكن أن يكون ذلك في شكل إشعار على الجهاز المحمول يتطلب موافقة المستخدم ويعرض تفاصيل المصادقة، مما يضيف طبقة إضافية من الأمان (كما يمكن رؤيته في لقطة الشاشة أعلاه).
5. قيود زمنية: قم بتنفيذ قيود زمنية على صلاحية رمز QR لتقليل مخاطر استخدام رمز QR للوصول غير المصرح به إذا وقع في الأيدي الخطأ. يساعد تحديد الإطار الزمني الذي يمكن فيه استخدام رمز QR في تقليل التهديدات الأمنية المحتملة. يجب أن يتم تحديثه تلقائيًا وأن تكون صلاحيته القصوى أقل من 120 ثانية لتجنب هجمات الوسيط.
6. قيود قائمة على الموقع: يجب أيضًا فرض قيود تتعلق بمحاولات تسجيل الدخول، مثل اكتشافات "السفر المستحيل". قد يتضمن ذلك اعتراض محاولات تسجيل الدخول تلقائيًا بناءً على معلومات استخباراتية مشبوهة تعتمد على عنوان IP، مثل إنشاء رمز QR في الولايات المتحدة الأمريكية بينما يتم فتح التطبيق للمصادقة في أوروبا.
7. تحديد المعدل والتسجيل والمراقبة: قم بتنفيذ تحديد معدل وتسجيل ومراقبة مناسبة لاكتشاف أي أنشطة مشبوهة مرتبطة بعمليات تسجيل الدخول برمز QR والاستجابة لها. يساعد هذا في تحديد الخروقات الأمنية المحتملة واتخاذ إجراءات في الوقت المناسب لحماية حسابات المستخدمين.
8. إشعار المستخدم: يجب أن تؤدي محاولات تسجيل الدخول الناجحة على جهاز جديد إلى إرسال إشعار بالبريد الإلكتروني إلى المستخدم بمعلومات مهمة (مثل متى وأين تمت محاولة تسجيل الدخول وبأي جهاز وعنوان IP) وتعليمات حول ما يجب فعله إذا لم يتم تشغيل تسجيل الدخول من قبل المستخدم (مثل الاتصال الفوري بالخدمة أو مراقبة الحساب أو إزالة جميع الأجهزة المسجلة الدخول إذا كان النظام يدعم ذلك).

باتباع هذه الممارسات الأفضل، يمكن للشركات تنفيذ مصادقة مستندة إلى رمز QR تكون سهلة الاستخدام وآمنة في نفس الوقت، مع الاستفادة من راحة الأجهزة المحمولة مع الحفاظ على تدابير أمنية قوية لحماية بيانات المستخدمين وجلساتهم.

Become part of our Passkeys Community for updates & support.

Join

الآن دعونا نلقي نظرة على تسجيلات الدخول برمز QR عبر مفاتيح المرور.

توفر المصادقة المستندة إلى مفاتيح المرور نظام مصادقة آمن عبر الأجهزة مدمج في أنظمة iOS وAndroid ومحدد في معيار WebAuthn. حاليًا، يمكن فقط استخدام مفاتيح المرور التي تم إنشاؤها على iOS أو Android لـالمصادقة عبر الأجهزة (CDA) عبر رموز QR.

دعونا نحلل كيفية عمل تسجيل الدخول برمز QR مع مفاتيح المرور. يوضح المخطط التالي نظرة عامة عالية المستوى على الخطوات المختلفة.

لكل من iOS وAndroid، يتم تخزين مفاتيح المرور داخل أداة المصادقة الأصلية للمنصة (مثل Face ID أو Touch ID أو Android Biometrics). يضمن هذا أن تكون مفاتيح مرور المستخدم متاحة عبر جميع أجهزته التي سجلت الدخول إلى نفس حساب Apple ID (لـ iOS) أو حساب Google (لـ Android) على إصدارات أنظمة التشغيل الحديثة.

• يجب أن يكون لدى كلا الجهازين اتصال إنترنت نشط: يجب أن يكون لدى كلا الجهازين المشاركين في عملية المصادقة اتصال إنترنت نشط. هذا أمر بالغ الأهمية لمزامنة البيانات والتحقق من بيانات الاعتماد أثناء عملية المصادقة.
• يجب أن يدعم كلا الجهازين البلوتوث: يجب أن يدعم كلا الجهازين البلوتوث، ويجب تفعيله. يُستخدم البلوتوث لتحديد القرب بين الجهازين، مما يضمن أن الأجهزة قريبة من بعضها البعض أثناء المصادقة، وبالتالي التخفيف من مخاطر التصيد الاحتيالي من موقع بعيد.

• مفاتيح المرور المرتبطة بالجهاز على سطح المكتب: مفاتيح المرور المرتبطة بالجهاز والموجودة على أجهزة سطح المكتب، على سبيل المثال على منصات Windows، غير مؤهلة للمصادقة عبر الأجهزة (CDA) المستندة إلى رمز QR.
• الاعتماد على البلوتوث: قد يكون الاعتماد على البلوتوث أحيانًا عيبًا بسبب مشكلات الاتصال المحتملة أو إعدادات الجهاز التي قد تتداخل مع فحص القرب عبر البلوتوث. في حين أن تحديد القرب يمكن أن يعزز الأمان، إلا أنه قد يسبب أيضًا تحديات في قابلية الاستخدام إذا فشلت الأجهزة في الاتصال عبر البلوتوث. ومع ذلك، بمجرد إقران الأجهزة بنجاح، تصبح الاتصالات اللاحقة عادةً أكثر سهولة.

Discuss passkeys news and questions in r/passkey.

Join Subreddit

• لا هجمات تصيد احتيالي عن بعد: يضمن استخدام البلوتوث لفحص القرب أن كلا الجهازين قريبان ماديًا من بعضهما البعض أثناء عملية المصادقة، مما يقلل من مخاطر هجمات التصيد الاحتيالي من مواقع بعيدة.
• مفاتيح المرور المتزامنة توفر تجربة مستخدم أفضل: توفر مزامنة مفاتيح المرور عبر الأجهزة أيضًا تجربة مستخدم سلسة، حيث لا يحتاج المستخدمون إلى إدارة مجموعات متعددة من بيانات الاعتماد.

عند تنفيذ المصادقة عبر الأجهزة (CDA) المستندة إلى مفاتيح المرور، من الضروري توفير إرشادات واضحة للمستخدمين حول العملية. يجب إبلاغ المستخدمين بأنه سيتم عرض رمز QR وأنهم بحاجة إلى استخدام هواتفهم المحمولة لمسحه ضوئيًا.

في رأينا، من المهم التأكد من عدم عرض رموز QR إذا لم يكن لدى المستخدم مفتاح مرور يمكن استخدامه للمصادقة عبر الأجهزة. بالإضافة إلى ذلك، من الضروري التحقق من أن نظام التشغيل والمتصفح الحالي للمستخدم يدعمان المصادقة عبر الأجهزة قبل عرض رمز QR.

Want to find out how many people use passkeys?

View Adoption Data

لإدارة هذه السيناريوهات بفعالية، قمنا بتوضيح جميع الحالات الحرجة في هذا المقال، لذلك لن ندخل في التفاصيل هنا. تم تصميم نظام استخبارات مفاتيح المرور الخاص بنا للتعامل مع هذه المواقف تلقائيًا، مما يضمن عرض رموز QR فقط عند الاقتضاء وتوجيه المستخدمين بسلاسة خلال عملية المصادقة. يضمن هذا تجربة سلسة مع الحفاظ على أمان عالٍ وتوافق عبر مختلف الأجهزة وأنظمة التشغيل.

في هذا القسم، سنلخص طريقتي تسجيل الدخول الأساسيتين المستندتين إلى رمز QR اللتين تمت مناقشتهما في هذا المقال: تسجيل الدخول برمز QR عبر التطبيقات الأصلية وتسجيل الدخول برمز QR عبر مفاتيح المرور. تقدم كل طريقة مزايا فريدة وهي مناسبة لحالات استخدام مختلفة بناءً على عوامل مثل الأمان وتجربة المستخدم وتعقيد التنفيذ.

• تسجيل الدخول برمز QR عبر التطبيقات الأصلية يستفيد من الروابط العميقة لربط رمز QR بتطبيق معين مثبت على جهاز محمول. عندما يقوم المستخدم بمسح رمز QR، يتم تشغيل التطبيق المرتبط، مما يسهل عملية تسجيل دخول سلسة وآمنة. تُستخدم هذه الطريقة بشكل شائع في التطبيقات التي تعتمد على التطبيقات أولاً مثل WhatsApp وTikTok وRevolut، حيث يكون المستخدمون على دراية ببيئة التطبيق ويمكنهم المصادقة بسهولة دون الحاجة إلى إدخال كلمة مرور.
• تسجيل الدخول برمز QR عبر مفاتيح المرور يستخدم نهج مصادقة أكثر تقدمًا عبر الأجهزة يتكامل مباشرة مع أدوات المصادقة الخاصة بنظام التشغيل (ليست هناك حاجة لتثبيت أي تطبيق أصلي). تم تصميم هذه الطريقة لتوفير مستوى عالٍ من الأمان، باستخدام مفاتيح المرور المتزامنة وتتطلب أن يكون كلا الجهازين على مقربة من بعضهما البعض (يتم التحقق منها عبر البلوتوث) أثناء عملية المصادقة. توفر هذه الطريقة حماية قوية ضد هجمات التصيد الاحتيالي وتوفر تجربة مستخدم مبسطة عبر أجهزة متعددة.

دعونا نرى كيف تتم مقارنة كلتا الطريقتين وما هي خصائصهما المختلفة:

جدول المقارنة: تسجيل الدخول برمز QR عبر التطبيقات الأصلية مقابل تسجيل الدخول برمز QR عبر مفاتيح المرور

لقد ركزنا على الخصائص المستندة إلى المصادقة في جدول المقارنة، وتنطبق المتطلبات المحيطة الموضحة في القسم الثالث على كلا البديلين. القيود المستندة إلى الموقع والوقت ليست ضرورية مع مفاتيح المرور، لأنها تستخدم مقاومة التصيد الاحتيالي وفحص القرب عبر WebAuthn.

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

كما أوضحنا في المقدمة، ألقينا نظرة على السيناريوهين الأكثر شيوعًا للمصادقة عبر الأجهزة، دعونا نلخصهما بإيجاز:

• تسجيل الدخول برمز QR عبر التطبيقات الأصلية مثالي للشركات التي لديها قاعدة مستخدمين قوية على تطبيقاتها الأصلية، ولا تفكر في تنفيذ مفاتيح المرور بعد، وليست قلقة جدًا بشأن هجمات التصيد الاحتيالي. توفر هذه الطريقة الراحة والأمان باستخدام آليات المصادقة الحالية للتطبيق، مما يقلل من الاحتكاك للمستخدمين الذين يستخدمون التطبيق بشكل متكرر، ولكنه لا يساعد في عمليات تسجيل الدخول غير المتكررة للتطبيق.
• تسجيل الدخول برمز QR عبر مفاتيح المرور يقدم خيارًا أكثر أمانًا ومرونة، خاصة للبيئات التي تكون فيها المصادقة عبر الأجهزة ضرورية وتكون مفاتيح المرور أيضًا قيد الدراسة أو مستخدمة بالفعل كعامل مصادقة. من خلال الاستفادة من المصادقة على مستوى المنصة وفحص القرب المستند إلى البلوتوث، تجلب هذه الطريقة الطريقة الوحيدة للمصادقة متعددة العوامل المقاومة للتصيد الاحتيالي والمستقبلية أيضًا إلى حالات الاستخدام عبر الأجهزة.

للإجابة على أسئلتنا من المقدمة:

• كيف يختلف النهجان: يجب على كل مؤسسة اختيار الطريقة التي تناسب احتياجاتها على أفضل وجه، مع مراعاة عوامل مثل قاعدة المستخدمين ومتطلبات الأمان وتجربة المستخدم المرغوبة. بالنسبة للخدمات التي تتمحور حول التطبيقات، قد يكون دمج تسجيل الدخول برمز QR عبر التطبيقات الأصلية كافيًا. ومع ذلك، بالنسبة لأولئك الذين يعطون الأولوية للأمان الأقصى والقدرات عبر الأجهزة، فإن تسجيل الدخول برمز QR عبر مفاتيح المرور يمثل حلاً قويًا.

بغض النظر عن التقييم الحالي للحل الذي يناسب بنية المصادقة الحالية، يجب أن نضع في اعتبارنا أن مفاتيح المرور هي استثمار في مستقبل المصادقة، حيث يتحرك النظام البيئي بوضوح في هذا الاتجاه. يمكن دمج البدء مبكرًا في جمع مفاتيح المرور مع استراتيجيات مختلفة للمصادقة عبر الأجهزة.