مفاتيح المرور المرتبطة بالأجهزة: السباق الحقيقي هو الاعتماد

1. المقدمة: من يفوز بسباق المستهلكين؟#

تعد مفاتيح المرور المرتبطة بالأجهزة الطريقة الأكثر أمانًا لتسجيل الدخول، ولكن لا يكاد أحد يستخدمها في تطبيقات المستهلكين. دفع مصنعو مفاتيح الأمان ومصنعو البطاقات الذكية هذا الشكل لسنوات. ومع ذلك، يُظهر مقياس المصادقة FIDO Alliance لعام 2024 أن تفعيل مفاتيح المرور المرتبطة بالأجهزة في الخدمات المصرفية للأفراد لا يزال أقل من 5 بالمائة في عام 2025.

السبب بسيط. تسيطر Apple و Google على أكثر من 99 بالمائة من حصة الهواتف المحمولة وفقًا لـ StatCounter وهم من يقررون نوع مفتاح المرور الذي يراه المستخدم أولاً. لذلك لن تفوز بالسباق الاستهلاكي الشركة التي تمتلك أقوى مفتاح. بل ستفوز الشركة التي تجمع بين الأجهزة والبرمجيات والبيانات والتوزيع.

1.1 المصطلحات: مفاتيح المرور المرتبطة بالأجهزة مقابل المتزامنة#

مفاتيح المرور المرتبطة بالأجهزة هي بيانات اعتماد FIDO2 يبقى مفتاحها الخاص مقفلاً داخل عنصر آمن مادي. لا يغادر المفتاح الجهاز أبدًا. تستخدم مفاتيح المرور المتزامنة نفس تشفير FIDO2 ولكنها تنسخ المفتاح عبر أجهزتك من خلال iCloud Keychain أو Google Password Manager أو مدير كلمات مرور تابع لجهة خارجية. تتعامل مواصفات W3C WebAuthn Level 3 مع كليهما كنوع بيانات اعتماد واحد ولكن مع سياسة تخزين مختلفة. تطلق الصناعة أيضًا على مفاتيح المرور المرتبطة بالأجهزة اسم "مفاتيح المرور المرتبطة بالجهاز" أو "بيانات اعتماد WebAuthn المرتبطة بالأجهزة". تستخدم هذه المقالة المصطلحات الثلاثة كمرادفات.

من المفاهيم الخاطئة الشائعة أن أي مفتاح مرور مدعوم بعنصر آمن على هاتف أو كمبيوتر محمول هو مفتاح مرتبط بالأجهزة. من الناحية العملية، يستضيف Apple Secure Enclave و Android StrongBox مفاتيح مرور تتزامن عبر iCloud Keychain أو Google Password Manager بشكل افتراضي، وبالتالي يمكن استرداد المفتاح الخاص من السحابة. العنصر الآمن الاستهلاكي الوحيد الذي لا يزال يحتفظ بالمفتاح محليًا بشكل صارم اليوم هو شريحة TPM في Windows Hello، وحتى Microsoft تتجه نحو المزامنة داخل Edge. نظرًا لأن Windows Hello لا يتطلب شراء أجهزة إضافية وهو مدمج في الكمبيوتر المحمول، تستبعد هذه المقالة ذلك من سباق المستهلكين المرتبط بالأجهزة وتركز على مفاتيح الأمان المخصصة والبطاقات الذكية FIDO2 ومحافظ العملات المشفرة.

هذا الاختلاف الوحيد - ما إذا كان يمكن للمفتاح مغادرة الجهاز - هو ما يحرك تقريبًا كل خاصية لاحقة، من مستوى ضمان NIST إلى مسار الاسترداد. يضع NIST SP 800-63B مفاتيح المرور المرتبطة بالأجهزة في مستوى AAL3، وهو أعلى مستوى، في حين أن مفاتيح المرور المتزامنة تتوقف عند AAL2. تهم هذه الفجوة المكونة من خطوة واحدة المنظمين الذين يطلبون ربط عامل الحيازة، بما في ذلك PSD2 و PSD3 و NYDFS Part 500 و RBI 2024 و APRA CPS 234.

1.2 لماذا فازت مفاتيح المرور المتزامنة بالمركز الافتراضي#

أخذت مفاتيح المرور المتزامنة المركز الافتراضي لأن Apple و Google أطلقتاها أولاً وتتحكمان في المطالبة (prompt). أضافت Apple دعم مفتاح المرور عبر iCloud Keychain في عام 2021، وتبعتها أداة Password Manager من Google في عام 2022، واستخدم كلاهما Conditional UI الخاص بـ WebAuthn لإظهار بيانات الاعتماد المتزامنة مباشرة داخل شريط الملء التلقائي. تقع أداة المصادقة الخاصة بالأجهزة أعمق بنقرة إلى ثلاث نقرات في كل مسار افتراضي.

يشير مقياس المصادقة عبر الإنترنت لـ FIDO Alliance لعام 2024 إلى أن 64 بالمائة من المستهلكين عالميًا قد لاحظوا وجود مفاتيح المرور وأن 53 بالمائة قاموا بتفعيل مفاتيح المرور على حساب واحد على الأقل. تقريبًا جميع عمليات التسجيل هذه متزامنة.

1.3 أين يُحسم سباق المستهلكين فعليًا#

في هذه المقالة، تعني كلمة "مستهلك" (Consumer) أو CIAM. نحن نتحدث عن العملاء الخارجيين الذين يسجلون الدخول إلى بنك أو منصة تداول عملات مشفرة أو محفظة حكومية أو منصة منشئي محتوى. نحن لا نتحدث عن تسجيل دخول القوى العاملة، حيث تهيمن بالفعل مفاتيح المرور المرتبطة بالأجهزة. السؤال المثير للاهتمام هو ما هي رحلات المستهلك التي ستُفتح بعد ذلك وأي لاعب سيصل إلى هناك أولاً.

يغطي السباق شكلين من أجهزة يجب على المستهلكين الحصول عليها فعليًا وثلاثة مسارات توزيع.

• أشكال الأجهزة: مفاتيح أمان USB أو مفاتيح أمان NFC والبطاقات الذكية FIDO2 المدمجة في بطاقات الدفع. تقف محافظ الأجهزة المشفرة جنبًا إلى جنب مع كليهما كفئة متخصصة ثالثة.
• مسارات التوزيع: المبيعات المباشرة للمستهلكين، والأجهزة التي تشحنها البنوك أو الحكومات إلى مستخدميها، ومحافظ العملات المشفرة التي يشتريها مستخدمو الحفظ الذاتي.

1.4 فرضية هذا المقال#

الأجهزة الجيدة ضرورية، لكنها لم تعد كافية. لن يفوز البائع الذي يمتلك أقوى شريحة تلقائيًا بحصة المستهلكين. تكمن العوائق الحقيقية فوق مستوى السيليكون: مطالبات المتصفح، وحزم NFC على هواتف Android المختلفة، وتصميم مسار الاسترداد، وتوزيع المستهلكين. الفائز سيكون الشركة التي تجمع بين الأجهزة وهندسة الاعتماد وقابلية المراقبة لمفاتيح المرور.

يستعرض باقي هذا المقال التاريخ، واللاعبين، والعوائق، وحالات الاستخدام في العالم الحقيقي، ودليلًا عمليًا لأي شركة ترغب في الخروج من قطاع المؤسسات إلى قطاع المستهلكين.

2. كيف وصلت أدوات المصادقة عبر الأجهزة إلى هنا؟#

بيانات الاعتماد المرتبطة بالأجهزة ليست بالأمر الجديد. فهي أقدم بحوالي 30 عامًا من FIDO. وصلت البطاقات الذكية PKI إلى القطاع الحكومي في التسعينيات، وتم تقنينها بواسطة معيار NIST FIPS 201 PIV. تلتها رموز RSA SecurID في شبكات VPN الخاصة بالمؤسسات. وصلت بطاقات EMV المزودة بشريحة ورقم تعريف شخصي (PIN) إلى قطاع المدفوعات في عام 2002. تُبلغ EMVCo عن تداول أكثر من 12 مليار بطاقة EMV اليوم، مما يجعل الشريحة الموجودة على بطاقة الدفع أكبر منصة تشفير للأجهزة تم نشرها في التاريخ.

نفس سلسلة توريد العناصر الآمنة، التي تديرها IDEMIA و Thales و Infineon بأكثر من 3 مليارات شريحة سنويًا، تنتج الآن السيليكون الموجود داخل البطاقات الذكية FIDO2. حدثت التحولات الصناعية الثلاثة التي أدخلت أدوات المصادقة للأجهزة في FIDO2 خلال أربع سنوات فقط، بين عامي 2014 و 2018.

2.1 من U2F إلى FIDO2 (2014 إلى 2018)#

أطلق FIDO Alliance بروتوكول FIDO U2F في عام 2014، مع أول رموز أجهزة تم شحنها بواسطة العديد من بائعي مفاتيح الأمان. طرحت Google مفاتيح U2F لأكثر من 89,000 موظف بحلول عام 2017 وأبلغت عن صفر حالات اختراق للحسابات مرتبطة بـ التصيد الاحتيالي في العام التالي، وفقًا لـ Krebs on Security. لكن U2F كان مجرد عامل ثانٍ. لا يزال لدى المستخدمين كلمة مرور وكانت نقرة الجهاز مجرد خطوة إضافية فوقها. ظل الشكل مرتبطًا بالمؤسسات: مفتاح USB صغير لموظفي Google والوكالات الحكومية وعدد قليل من منصات تداول العملات المشفرة.

غيّر FIDO2 و WebAuthn ذلك في عام 2018 بتحويل U2F إلى إطار عمل كامل بدون كلمة مرور. أصبح العنصر الآمن نفسه الذي كان يدعم العامل الثاني قادرًا الآن على دعم بيانات اعتماد تسجيل الدخول الأساسية.

2.2 التحول في العلامة التجارية لمفتاح المرور (2022)#

في مايو 2022، أطلقت Apple و Google و Microsoft و FIDO Alliance بشكل مشترك العلامة التجارية "passkey" (مفتاح المرور) في مؤتمر FIDO Alliance Authenticate. كانت الفكرة تتمثل في كلمة واحدة بسيطة يمكن للمستهلكين فهمها لكل من بيانات اعتماد FIDO2 المتزامنة والمرتبطة بالجهاز.

طرحت Apple دعم مزامنة مفاتيح المرور عبر iCloud Keychain في iOS 16 في سبتمبر 2022، وفقًا لـ ملاحظات إصدار المطورين من Apple. وتبعتها Google في أكتوبر 2022 على Android 9 وما فوق، وفقًا لـ مدونة Identity الخاصة بها.

كانت Microsoft هي المتأخرة من بين الثلاثة. قامت Windows Hello بشحن بيانات اعتماد مرتبطة بـ TPM والمرتبطة بالجهاز منذ عام 2015، وفقًا لـ وثائق Windows Hello، لكن حسابات المستهلكين لم تتمكن من مزامنة مفاتيح المرور عبر الأجهزة لسنوات. أضافت Microsoft دعم مفاتيح المرور لحسابات Microsoft الاستهلاكية فقط في مايو 2024، ووصلت مفاتيح المرور المتزامنة في Microsoft Edge Password Manager لاحقًا، في عام 2025. لذا، في حين كان لدى Apple و Google بداية متقدمة من عامين إلى ثلاثة أعوام في مفاتيح مرور المستهلكين المتزامنة، لا تزال Microsoft تلحق بالركب فيما يخص المزامنة عبر الأجهزة داخل متصفحها الخاص.

توقع بائعو الأجهزة أن تؤدي إعادة التسمية الكبيرة هذه من أربعة لاعبين رئيسيين إلى زيادة الطلب على مفاتيح الأمان والبطاقات الذكية. لم يحدث ذلك. استوعبت مفاتيح المرور المتزامنة تقريبًا جميع تسجيلات المستهلكين الجديدة، وفقًا لـ FIDO Alliance Barometer.

2.3 الانقسام إلى مسارين#

في غضون 18 شهرًا، انقسم النظام البيئي إلى مسارين واضحين. سيطرت مفاتيح المرور المتزامنة على مسار المستهلكين، حيث صممت Apple و Google المسار الافتراضي حول مديريهما الخاصين. سيطرت مفاتيح المرور المرتبطة بالأجهزة على مسار المؤسسات، حيث تشتري أقسام تكنولوجيا المعلومات مفاتيح الأمان أو البطاقات الذكية FIDO2 لهوية القوى العاملة. يُقدّر FIDO Alliance قيمة سوق المؤسسات هذا بأكثر من مليار دولار أمريكي من الإنفاق السنوي على أدوات المصادقة الخاصة بالأجهزة.

لم يتخل بائعو الأجهزة أبدًا عن سوق المستهلكين. السؤال الحقيقي هو ما إذا كان لا يزال لديهم مسار موثوق أم أن طبقة نظام التشغيل (OS) قد استبعدتهم إلى الأبد.

3. من يتنافس في سباق المستهلكين؟#

يتنافس شكلان للأجهزة على المساحة. تتصدر مفاتيح الأمان المبيعات المباشرة للمتحمسين والمؤسسات. تمتلك البطاقات الذكية أكبر قناة توزيع من خلال البنوك: يتم إصدار أكثر من 1.5 مليار بطاقة EMV سنويًا وفقًا لـ إحصائيات EMVCo.

ينقسم البائعون المتنافسون إلى معسكرين. يبيع مصنعو مفاتيح الأمان مفاتيح USB أو NFC مباشرة إلى المستخدمين النهائيين والمؤسسات. يقوم مصنعو البطاقات الذكية والعناصر الآمنة ببناء الرقائق والبطاقات التي تصدرها البنوك. يواجه كل معسكر مشكلة مختلفة في تكلفة الوحدة، ولم يحل أي منهما فجوة توزيع المستهلكين بمفرده.

3.1 من يقود شكل مفتاح الأمان؟#

يتنافس العديد من مصنعي مفاتيح الأمان في هذا القطاع. تدعم مفاتيح الأمان الحديثة عادةً FIDO2 و FIDO U2F و PIV الخاص بالبطاقة الذكية و OpenPGP و OTP عبر USB-A و USB-C و NFC و Lightning، ويضيف بعضها مستشعر بصمة إصبع على الجهاز فوق ذلك. يقدم الجدول أدناه نظرة عامة على البائعين الأكثر صلة في سوق المستهلكين والمؤسسات.

يتراوح سعر الجهاز الواحد بين 40 و 80 دولارًا أمريكيًا وفقًا لصفحات تسعير الشركات المصنعة، وهو أمر يمكن إدارته في بيئة المؤسسات ولكنه يقضي على الاعتماد على مستوى المستهلك. تمت تغطية مشاكل NFC والاسترداد والتوزيع التي تصاحب هذا السعر بالتفصيل في القسم 4.

3.2 من يقود شكل البطاقة الذكية؟#

يتنافس مصنعو البطاقات الذكية في قطاع FIDO2 الذي تصدره البنوك. ينقسم مشهد البائعين إلى صانعي بطاقات وموردي رقائق. ينتج صانعو البطاقات مثل CompoSecure (التي تشحن منتجها Arculus FIDO2) و IDEMIA و NagraID و Feitian و TrustSEC بطاقات FIDO2 بأنفسهم. بينما يقوم موردو الرقائق، وهم عمالقة العناصر الآمنة الثلاثة IDEMIA و Thales و Infineon، بتصنيع العناصر الآمنة داخل معظم البطاقات. توفر IDEX Biometrics مستشعر بصمة الإصبع الموجود على البطاقة والذي يحول البطاقة الذكية إلى بطاقة ذكية بيومترية.

تم بالفعل حل مشكلة التوزيع إلى مُصدري البطاقات من خلال سلسلة التوريد الحالية لبطاقات الدفع. ويكمن التحدي في إقناع المُصدرين باستيعاب علاوة تكلفة الوحدة والتأكد من أن نقرة NFC تعمل بشكل موثوق عبر الأجهزة.

تضيف بطاقة FIDO2 الذكية 2 إلى 5 دولارات أمريكية علاوة على التكلفة الأساسية البالغة 5 إلى 15 دولارًا أمريكيًا لجسم البطاقة المعدني أو البيومتري. وفقًا لـ Juniper Research 2024، ستتجاوز بطاقات الدفع البيومترية 140 مليون وحدة يتم شحنها عالميًا بحلول عام 2027.

3.3 ماذا عن الحلول الهجينة والمجاورة؟#

تتنافس بعض المنتجات الأخرى على نفس حالة الاستخدام دون أن تتناسب بدقة مع أي من الشكلين. شحنت Ledger أكثر من 7 ملايين محفظة Nano، وشحنت Trezor أكثر من مليونين. يعرض كلاهما FIDO2 كميزة ثانوية علاوة على تخزين العملات المشفرة. من الناحية الفنية، تحمي العناصر الآمنة للهاتف مثل Apple Secure Enclave و Android StrongBox المفتاح الخاص باستخدام الأجهزة، لكن Apple و Google تقومان بمزامنة مفاتيح المرور من خلال iCloud Keychain و Google Password Manager بشكل افتراضي، وبالتالي فإن السلوك المرئي للمستخدم هو مفتاح مرور متزامن، وليس مفتاحًا مرتبطًا بالأجهزة. ظلت أدوات المصادقة القابلة للارتداء مثل حلقات Token Ring و Mojo Vision أقل من 100,000 وحدة يتم شحنها، وفقًا للتصريحات العامة.

بعبارة أخرى، سباق المستهلكين هو في الحقيقة مسابقة ثنائية بين مفاتيح الأمان والبطاقات الذكية، مع اعتبار محافظ العملات المشفرة قطاعًا رأسيًا ثالثًا، والأجهزة القابلة للارتداء كحاشية سفلية تشكل أقل من 1 بالمائة.

4. ما الذي يعيق اعتماد المستهلكين؟#

هناك أربع رياح معاكسة هيكلية تعيق اعتماد مفاتيح المرور المرتبطة بالأجهزة في أسواق المستهلكين: التسلسل الهرمي لنظام التشغيل والمطالبة في المتصفح، وتجزئة NFC على Android، وصعوبة الاسترداد بعد فقدان الجهاز، والتكلفة المباشرة للمستهلك. لا يمكن لشركة تصنيع الأجهزة بمفردها إصلاح أي من هذه العوائق.

4.1 التسلسل الهرمي لأنظمة التشغيل والمتصفحات#

يعتمد AuthenticationServices من Apple بشكل افتراضي على iCloud Keychain. حتى عندما تقوم الجهة المعتمدة (relying party) بتعيين authenticatorAttachment إلى cross-platform، لا يزال يتعين على المستخدم تجاهل ورقة النظام (platform sheet) أولاً. يفعل Credential Manager من Google نفس الشيء على Android مع Google Password Manager. تستحوذ متصفحات Safari و Chrome معًا على حوالي 84 بالمائة من حصة متصفحات الأجهزة المحمولة وفقًا لـ StatCounter، لذلك يحدد بائعان بشكل فعال تجربة المستخدم للمطالبة (prompt UX) لكامل شبكة المستهلكين.

تستثمر المتصفحات أيضًا بشكل منخفض في تجربة مستخدم مفاتيح الأجهزة لأن أكثر من 99 بالمائة من المستهلكين لا يمتلكون مفتاح أمان مخصصًا، استنادًا إلى بيانات شحن مفاتيح الأمان المجمعة مقارنة بحصة الأجهزة المحمولة العالمية على StatCounter. وهذا يخلق حلقة مفرغة. تؤدي تجربة المستخدم السيئة إلى انخفاض الاعتماد. يعني انخفاض الاعتماد عدم وجود استثمار. عدم وجود استثمار يؤدي إلى تجربة مستخدم سيئة.

4.2 تجزئة NFC على Android#

يختلف سلوك NFC على Android بشكل كبير بين الشركات المصنعة. تقوم كل من Samsung و Xiaomi و Oppo و Google Pixel بشحن حزم NFC مختلفة فوق Android Open Source. حتى أن بعض إصدارات Android 14 قد عطلت دعم مزودي مفاتيح المرور التابعين لجهات خارجية لعدة أشهر في عام 2024، وفقًا لـ Android Issue Tracker. البطاقة الذكية FIDO2 التي تعمل جيدًا عند النقر على Pixel 8 قد تفشل على Galaxy S23 Ultra وتتصرف بشكل مختلف تمامًا على Xiaomi 14. ولا يوجد برنامج اختبار مركزي من Google Android Compatibility Program يكتشف هذه التراجعات قبل أن تصل إلى المستهلكين.

4.3 الاسترداد والفقدان#

تُسترد مفاتيح المرور المتزامنة تلقائيًا عندما يسجل المستخدم الدخول على جهاز جديد. بينما لا تفعل بيانات الاعتماد الخاصة بالأجهزة ذلك. يجب على المستخدم الذي يفقد مفتاح أمان أو يكسر بطاقة ذكية أن يمر عبر استرداد الحساب أو غالبًا عبر طرق أقل أمانًا. وجد تقرير تحقيقات خرق البيانات لشركة Verizon لعام 2024 أن 68 بالمائة من الانتهاكات تتضمن عنصرًا بشريًا غير ضار، بما في ذلك إساءة استخدام استرداد بيانات الاعتماد. يحذر NIST SP 800-63B أيضًا بشكل صريح من أن استرداد الحساب يعد مسارًا شائعًا لاختراق المصادقة. لذا فإن ارتباط الأجهزة يكون قويًا بقدر قوة قناة الاسترداد، مما يعني أن الجهة المعتمدة تتحمل نفس القدر من عبء الأمان الذي يتحمله بائع السيليكون.

4.4 التوزيع والتكلفة#

يُباع مفتاح الأمان على مستوى المستهلكين بالتجزئة بسعر يتراوح بين 40 و 80 دولارًا أمريكيًا وفقًا لصفحات تسعير الشركات المصنعة. لن يدفع المستهلك الذي لا يعتقد أن حسابه في خطر ببساطة. يمكن للبنوك ومنصات تبادل العملات المشفرة التي تتحمل التكلفة توزيع الأجهزة مجانًا، لكنها ستتحمل حينها عبء الدعم. البطاقات الذكية المدمجة مع بطاقة ائتمان تضيف 2 إلى 5 دولارات أمريكية فوق التكلفة الأساسية البالغة 5 إلى 15 دولارًا أمريكيًا لكل بطاقة، وفقًا لإفصاحات بائعي البطاقات الذكية العامة بما في ذلك مواد مستثمري CompoSecure.

تفسر هذه الرياح المعاكسة الأربع سبب استحواذ مفاتيح المرور المتزامنة على أكثر من 95 بالمائة من تسجيلات المستهلكين في الخدمات المالية وفقًا لـ FIDO Alliance Barometer، حتى عندما يتم تقديم الأجهزة كخيار.

5. أين تفوز مفاتيح المرور المرتبطة بالأجهزة فعليًا؟#

هناك ثلاث فئات استهلاكية تمنح الأشخاص سببًا حقيقيًا لحمل أجهزة مخصصة: الخدمات المصرفية والمدفوعات، الحفظ الذاتي للعملات المشفرة، والحسابات ذات القيمة العالية. تجمع كل فئة بين محفز قوي، ومسار توزيع موثوق، وعواقب خطيرة بما يكفي لتبرير الاحتكاك. خارج هذه القطاعات الثلاثة، تفوز مفاتيح المرور المتزامنة عادةً بسبب الراحة.

5.1 الخدمات المصرفية والمدفوعات#

تعتبر البنوك قناة التوزيع الأكثر طبيعية. فهي تشحن بالفعل بطاقات مادية للعملاء. وتعمل أيضًا بموجب لوائح PSD2 و PSD3 و رأي EBA بشأن SCA و RBI 2FA و NYDFS Part 500 و APRA CPS 234. تتطلب العديد من هذه القواعد عامل حيازة تشفيري لا تلبيه مفاتيح المرور المتزامنة بشكل واضح.

تعمل فرضية "البطاقة الذكية كبطاقة ائتمان" لأن البطاقة موجودة بالفعل. يدفع البنك الذي يصدر بطاقة معدنية 5 إلى 15 دولارًا أمريكيًا لكل بطاقة، وفقًا لـ CompoSecure 10-K. تؤدي إضافة FIDO2 إلى رفع ذلك إلى 7 إلى 20 دولارًا أمريكيًا، وفقًا لتحليل تكلفة البطاقة البيومترية من Juniper Research. تعالج تلك البطاقة الواحدة بعد ذلك البطاقة المزودة بشريحة ورقم تعريف شخصي، وتقنية NFC للنقر للدفع، وسحوبات أجهزة الصراف الآلي، وتسجيل الدخول إلى الخدمات المصرفية عبر الإنترنت، وتأكيد معاملات 3DS ذات القيمة العالية 3DS transaction confirmation. لا يُسأل المستهلك أبدًا "هل تريد أداة مصادقة للأجهزة؟" البطاقة تصل ببساطة في البريد.

5.2 العملات المشفرة والحفظ الذاتي#

يتقبل مستخدمو العملات المشفرة بالفعل فكرة حمل أجهزة مخصصة. شحنت Ledger أكثر من 7 ملايين جهاز Nano وأبلغت عن إيرادات تراكمية للأجهزة تزيد عن 4 مليارات دولار، وفقًا لـ صفحتها المؤسسية. شحنت Trezor أكثر من مليوني وحدة. تتمتع مفاتيح الأمان أيضًا بمكانة طويلة الأمد في المصادقة متعددة العوامل (MFA) لمنصات تبادل العملات المشفرة، حيث تدعم Coinbase و Kraken و Binance مفاتيح FIDO2.

تعد إضافة FIDO2 إلى محفظة أجهزة عملاً هندسيًا تدريجيًا. من الواضح أن جهازًا بقيمة 100 دولار يحمي محفظة استثمارية بقيمة 50,000 دولار يستحق الحمل. تظل العملات المشفرة الفئة الاستهلاكية الوحيدة التي يشتري فيها المستخدمون الأجهزة بمبادرة شخصية منهم.

5.3 حسابات المستهلكين ذات القيمة العالية#

تقوم مجموعة أصغر من المستهلكين بحماية الحسابات التي يكون فيها الاستيلاء عليها أمرًا لا رجعة فيه. الأمثلة النموذجية هي البريد الإلكتروني الأساسي، ومحافظ الهوية الحكومية، وحسابات منشئي المحتوى على YouTube أو Twitch وبيانات اعتماد الصحفيين. يصف برنامج الحماية المتقدمة من Google هذه المجموعة بأنهم "مستخدمون معرضون لمخاطر عالية مثل الصحفيين والعاملين في مجال حقوق الإنسان وموظفي الحملات السياسية."

اتبعت OpenAI نفس النهج في أبريل 2026 مع برنامج أمان الحساب المتقدم لـ ChatGPT، بالشراكة مع Yubico لتقديم حزمة مزدوجة من YubiKey C NFC و YubiKey C Nano بعلامة تجارية مشتركة بسعر حوالي 68 دولارًا أمريكيًا. يقوم البرنامج بتعطيل تسجيل الدخول بكلمة المرور والبريد الإلكتروني أو الرسائل القصيرة بالكامل ويتطلب مفاتيح مرور أو مفاتيح أمان مادية، ويستهدف الصحفيين والمسؤولين المنتخبين والمعارضين وغيرهم من مستخدمي ChatGPT المعرضين لمخاطر عالية. من السابق لأوانه معرفة عدد المستخدمين الذين سيدفعون 68 دولارًا مقابل هذه الطبقة الإضافية، ولكنه أوضح اختبار حتى الآن لما إذا كانت حسابات المستهلكين ذات القيمة العالية يمكن أن تدفع التبني الطوعي للأجهزة خارج العملات المشفرة والخدمات المصرفية.

يجد مؤشر جاهزية الأمن السيبراني لعام 2024 الصادر عن شركة Cisco أيضًا أن 3 بالمائة فقط من المؤسسات تتمتع بموقف أمني ناضج. يشير تقرير الأمن السيبراني لـ GAO لعام 2024 إلى الاستيلاء على الحسابات كأحد أكبر خمسة مخاطر سيبرانية فيدرالية، مما يوسع مجموعة المستهلكين الذين يحتاجون إلى هذه الحماية إلى ما هو أبعد بكثير من الفئة المتخصصة الأصلية للصحافة.

6. لماذا لن تفوز الأجهزة وحدها#

امتلاك أفضل الأجهزة لا يضمن الحصول على حصة في سوق المستهلكين. هناك خمس فجوات بين بائع الأجهزة والمنتج الاستهلاكي المتكامل: التوزيع، التهيئة (onboarding)، الاسترداد، رحلات عبر الأجهزة، والقياس. تحتاج كل فجوة إلى مهارات تقع خارج تصميم السيليكون.

1. التوزيع: ليس لشركات الأجهزة علاقة مباشرة حقيقية مع المستهلكين. من الناحية النظرية، يمكن لأي شخص طلب YubiKey من yubico.com، ولكن من الناحية العملية فإن المشترين هم متخصصون في مجال الأمن ومسؤولو تكنولوجيا المعلومات ومجموعة صغيرة من المتحمسين. هذا المسار لا يتوسع ليصل إلى المستهلكين العاديين، الذين لم يسمعوا أبدًا بالعلامة التجارية ولن يبحثوا عن أداة مصادقة بقيمة 50 دولارًا بمفردهم. البنوك وشركات الاتصالات وتجار التجزئة وبائعو أنظمة التشغيل هم الأطراف التي تمتلك العلاقة مع المستهلك، لذلك يحتاج بائع الأجهزة على مستوى المستهلكين إلى شريك أو صفقة منتج بعلامة بيضاء.
2. التهيئة (Onboarding): كل خطوة يتعين على المستهلك اتخاذها لإعداد مفتاح المرور تكلفك مستخدمين. تُبلغ عمليات النشر المصرفية الواقعية عن معدلات انسحاب تتراوح بين 30 إلى 60 بالمائة عبر مسار التسجيل، بما يتماشى مع معايير التخلي عن الدفع من Baymard Institute.
3. الاسترداد: المنتج الاستهلاكي الذي لا يمتلك قصة استرداد هو منتج مكسور. يحتاج الاسترداد إلى إشارات على مستوى الحساب، والتحقق من الهوية، وتسجيل المخاطر، وكلها أمور تعيش داخل الجهة المعتمدة.
4. الرحلات عبر الأجهزة: يسجل مستخدم واحد الدخول من الهاتف، والكمبيوتر المحمول، والتلفزيون الذكي، والسيارة. بيانات الاعتماد المرتبطة بالأجهزة تعيش على جهاز واحد فقط. لذا فأنت بحاجة إلى توجيه ذكي بين الأجهزة وبيانات الاعتماد المتزامنة لتجنب الطرق المسدودة.
5. القياس: عادةً ما يشحن بائعو الأجهزة وينسون الأمر. فهم يحصون الوحدات المباعة والتراخيص المفعلة. لكنهم لا يرون فشل عملية WebAuthn أو تخلي المستخدم عن النقر. بدون القياس، لا يمكن سد أي من الفجوات الأربع الأخرى.

يصبح البائعون الذين يحلون هذه الفجوات الخمس داخل منتجهم الخاص منصات مصادقة متكاملة. بينما يظل البائعون الذين لا يفعلون ذلك في مجال أعمال المكونات ويبيعون لمنصة شخص آخر.

7. ما هي الرافعة الحقيقية؟ هندسة الاعتماد#

تعني هندسة الاعتماد (Adoption engineering) دمج مفاتيح المرور المرتبطة بالأجهزة مع برمجيات تدفع التسجيل، وتقيس كل عملية مصادقة، وتتجاوز المسارات المعطلة. لا يوجد أي من هذه الأنشطة متعلقًا بالأجهزة. جميع الأنشطة الأربعة مطلوبة للفوز في أسواق المستهلكين، وهي لا تعمل إلا كحلقة مغلقة. يوضح الرسم البياني أدناه كيف تتغذى الأنشطة الأربعة على بعضها البعض.

يشير مقياس المصادقة FIDO Alliance لعام 2024 إلى أن 53 بالمائة من المستهلكين قاموا بتفعيل مفاتيح المرور على حساب واحد على الأقل، لكن التفعيل المرتبط بالأجهزة في الرحلات المنظمة لا يزال أقل من 5 بالمائة. هذه فجوة بمقدار 10 أضعاف، وهندسة الاعتماد هي ما يسدها. تتعامل مجموعة عمل W3C WebAuthn مع هذه الفجوة كمشكلة نشر، وليس كمشكلة مواصفات.

7.1 القياس عن بُعد على مستوى مسار التحويل#

على مستوى مسار التحويل (Funnel)، تقيس مراقبة مفاتيح المرور كل خطوة، من "نقرة المستخدم على تسجيل الدخول" إلى "إصدار رمز الجلسة". بدون هذه الأجهزة، لا يستطيع الفريق التمييز بين "لم يرى المستخدم خيار الأجهزة" و "شاهده المستخدم ونقر وفشل NFC" و "أكمل المستخدم العملية لكن الجهة المعتمدة رفضت النتيجة".

يمنحك القياس عن بُعد لمسار التحويل المقاييس التي تهم حقًا: معدل تفعيل مفتاح مرور الأجهزة، ومعدل نجاح مفتاح مرور الأجهزة حسب الجهاز، ووقت الاكتمال، والتخلي حسب الخطوة. تحدد مواصفات W3C WebAuthn Level 3 14 رمز خطأ مميزًا يمكن أن تعود به العملية، لكن معظم عمليات النشر الإنتاجية تقوم ببرمجة أقل من خمسة منها، وفقًا لـ محادثات نشر FIDO Alliance Authenticate لعام 2024.

7.2 تشخيصات على مستوى الجلسة#

عندما تفشل مصادقة واحدة، تحتاج فرق الدعم إلى رؤية ما حدث بالضبط. تلتقط تشخيصات مستوى الجلسة وسيلة النقل (NFC أو USB أو BLE)، ورمز خطأ CTAP، والمتصفح، وإصدار نظام التشغيل، والشركة المصنعة للجهاز، وتوقيت كل خطوة في العملية. تحدد مواصفات FIDO CTAP 2.1 أكثر من 20 رمز خطأ يمكن لـ أدوات المصادقة أن ترجعها، ويتم تعيين هذه الرموز لإجراءات استرداد المستخدم المحددة في مواصفات W3C WebAuthn Level 3.

بدون هذا القياس عن بُعد، يرى وكيل الدعم عبارة "فشل تسجيل الدخول" فقط وقد يبدأ في استرداد الحساب.

7.3 التوجيه الذكي للأجهزة#

بعض مجموعات الأجهزة وأنظمة التشغيل تتعطل باستمرار. تظهر بيانات العالم الحقيقي من عمليات النشر الكبيرة معدلات إجهاض تتراوح بين 40 إلى 90 بالمائة على أزواج فردية معطلة، مع الأنماط الشائعة الموثقة في Android Issue Tracker و محادثات FIDO Alliance Authenticate 2024.

منطق التوجيه الذي يخفي خيار الأجهزة على المجموعات المعطلة المعروفة ويلجأ إلى أفضل مسار تالٍ يُبقي المستخدمين خارج حالة الفشل. لكن لا يمكنك اتخاذ قرارات التوجيه هذه إلا بعد أن تحدد بيانات المراقبة الأزواج المعطلة عبر ما يقرب من 24,000 طراز جهاز Android متميز تتعقبه قاعدة بيانات أجهزة OpenSignal.

7.4 التكرار المستمر مع المُصدرين#

عادةً ما تقوم البنوك وشركات التكنولوجيا المالية بإجراء برامج تجريبية وعمليات نشر كاملة على دورات تتراوح من 6 إلى 12 شهرًا، وفقًا لـ أبحاث Gartner حول برامج الهوية. المنصة التي تفوز هي التي تحول بيانات المراقبة إلى ملاحظات إصدار أسبوعية، وإصلاحات للأخطاء، ومعدلات نجاح تتحسن باطراد. النشر الثابت مع المراجعات الربع سنوية يخسر أمام التكرار المستمر.

8. إذن من يفوز فعليًا بسباق المستهلكين؟#

لا يفوز أي بائع أجهزة نقي بسباق المستهلكين. تتنافس ثلاثة نماذج أصلية على دور منصة مصادقة المستهلكين: البنوك والمُصدرون، وموردو الأجهزة الذين يقومون ببناء طبقات البرمجيات، ومنصات أنظمة التشغيل (OS). البنوك تقود اليوم لأنها تمتلك التوزيع المادي ولديها غطاء تنظيمي من PSD2 و NYDFS Part 500. تمتلك منصات أنظمة التشغيل السيليكون المشحون بالفعل داخل كل هاتف وكمبيوتر محمول، ولكن طالما أن Apple و Google تقومان بمزامنة مفاتيح المرور بشكل افتراضي، فإنهما متنافسان في مفاتيح المرور المتزامنة، وليس في المفاتيح المرتبطة بالأجهزة.

8.1 لماذا تقود البنوك اليوم#

تقود البنوك سوق مفاتيح المرور الاستهلاكية المرتبطة بالأجهزة اليوم. هناك أربع مزايا تتراكم لصالحها. فهي تصدر بالفعل بطاقات مادية. ولديها غطاء تنظيمي من PSD2، و PSD3، و NYDFS Part 500، و RBI، و APRA CPS 234. كما أنها تمتلك ثقة المستهلك. ويمكنها استيعاب علاوة تكلفة الوحدة البالغة 2 إلى 5 دولارات أمريكية عبر محفظتها، وفقًا لإفصاحات بائعي البطاقات الذكية العامة.

البنوك التي تجمع بين هذه المزايا الأربع وهندسة الاعتماد تضمن الاحتفاظ بالعملاء لعدة سنوات من العملاء الذين قاموا بتفعيل مفاتيح المرور. أما البنوك التي تشتري منتجًا للأجهزة وتفترض أن العمل ينتهي عند هذا الحد فينتهي بها الأمر بنفس معدلات التفعيل المكونة من رقم واحد والتي أبلغت عنها الصناعة على مدار العامين الماضيين.

8.2 ماذا عن موردي الأجهزة الذين يطورون البرمجيات؟#

النموذج الثاني هو مورد الأجهزة الذي يقوم أيضًا ببناء طبقة برمجيات. بدأ العديد من مصنعي مفاتيح الأمان والبطاقات الذكية هذا الانتقال، ولكن من الجدير بالاهتمام أن نكون دقيقين بشأن نوع البرامج التي يشحنونها. معظم هذه المنتجات عبارة عن منصات لإدارة الهوية والوصول (IAM)، أو إدارة الأسطول، أو المصادقة التكيفية، وليست مراقبة مفاتيح المرور على مستوى مسار التحويل بالنوع المطلوب لسد فجوة اعتماد المستهلكين.

• قامت Yubico ببناء المنصة الأكثر اكتمالاً لأي بائع مفاتيح أمان. يجمع اشتراكها YubiKey as a Service بين الترخيص لكل مستخدم، وبوابة العملاء لإدارة الأسطول والشحنات، و FIDO Pre-reg، وتطبيق وكتابة كود التسجيل (SDK) والتسليم العالمي، المتكامل مع Okta و Microsoft Entra ID و Ping Identity. المنتج هو بشكل أساسي طبقة توصيل وإدارة دورة حياة للمؤسسات، وليس تحليلات اعتماد المستهلكين.
• تقوم Thales بإقران أجهزة SafeNet eToken والبطاقات الذكية الخاصة بها مع SafeNet Trusted Access، وهي منصة هوية كخدمة سحابية مع تسجيل دخول أحادي SSO ومصادقة تكيفية adaptive authentication.
• تقوم OneSpan بدمج أجهزة DIGIPASS الخاصة بها مع منصة OneSpan Cloud Authentication والمصادقة التكيفية الذكية Adaptive Authentication، مع التركيز على الخدمات المصرفية والتكنولوجيا المالية.
• تقوم HID Global بشحن بطاقاتها الذكية Crescendo إلى جانب HID Authentication Service وأداة المصادقة على الأجهزة المحمولة HID Approve.
• تقوم CompoSecure بتوسيع بطاقة Arculus FIDO2 الذكية الخاصة بها مع تطبيق محفظة مصاحب و SDK للمطورين من أجل المُصدرين.

حتى الآن، لا يزال معظم هؤلاء البائعين يربحون غالبية إيراداتهم من الأجهزة. البائعون الذين يوسعون حزمة برمجياتهم من تسليم الأجهزة وإدارة الهوية والوصول (IAM) إلى المراقبة الحقيقية لمفاتيح المرور passkey observability على مستوى العملية يحصلون على فرصة لدفع الاعتماد من البداية إلى النهاية. أما البائعون الذين لا يفعلون ذلك فيظلون محبوسين داخل قطاع المؤسسات كموردين للمكونات.

8.3 ماذا عن منصات أنظمة التشغيل؟#

منصات أنظمة التشغيل (OS platforms) هي حالة خاصة. الأجهزة موجودة - فكل من Apple Secure Enclave، و Android StrongBox وشريحة Pluton في Windows 11 جميعها موجودة داخل كل جهاز يبيعونه - لكن السياسة الافتراضية لـ مفتاح المرور على Apple و Google هي المزامنة، لذلك لا يحصل المستهلكون أبدًا على بيانات اعتماد مرتبطة بالأجهزة بشكل حقيقي كإعداد افتراضي. تقوم كل من iCloud Keychain و Google Password Manager بنسخ المفتاح عبر الأجهزة، مما يجعل السلوك المرئي للمستخدم مطابقًا لـ مفتاح مرور متزامن. يعد Windows Hello المرتبط بـ TPM من Microsoft هو العنصر الآمن الاستهلاكي الوحيد الذي لا يزال يحتفظ بالمفاتيح محليًا، لكن Edge يتجه نحو المزامنة أيضًا، ونحن نستبعد Windows Hello من سباق المستهلكين المرتبط بالأجهزة لأنه لا يتطلب شراء أجهزة منفصلة.

من الناحية النظرية، يمكن لـ Apple أو Google أو Microsoft إعادة تعريف الفئة من خلال تعريض مفاتيح المرور المرتبطة بالمنصة وغير المتزامنة بنفس تجربة المستخدم المصقولة مثل تلك المتزامنة. لا توجد أي علامة عامة على أنهم يخططون لذلك. طالما ظلت المزامنة هي الوضع الافتراضي، فإن منصات أنظمة التشغيل هي منافسة في مفاتيح المرور المتزامنة، وليس في مفاتيح المرور المرتبطة بالأجهزة، وتظل مفاتيح الأمان المخصصة بالإضافة إلى البطاقات الذكية FIDO2 هي المسار الحقيقي الوحيد لأجهزة المستهلكين.

8.4 كيف يبدو السباق الحقيقي؟#

السباق الحقيقي ليس "مفتاح الأمان مقابل البطاقة الذكية". السؤال الحقيقي هو من يبني منصة مصادقة المستهلكين التي تجمع بين الأجهزة حيثما كان ذلك مهمًا مع البرمجيات والبيانات وهندسة الاعتماد في كل مكان آخر. استنادًا إلى الكلمة الرئيسية لـ FIDO Alliance Authenticate 2024، من المرجح أن يكون الفائزون على مدى السنوات الثلاث إلى الخمس القادمة هم:

• ثلاثة إلى خمسة بنوك كبيرة وشبكات دفع تحول البطاقات الذكية FIDO2 إلى تجربة المستهلك الافتراضية.
• مورد أجهزة أو اثنان ينجحون في الانتقال إلى منصات مصادقة مع تحليلات حقيقية على مستوى العملية، وليس فقط إدارة الهوية والوصول (IAM) وإدارة الأسطول.
• برامج الحسابات ذات القيمة العالية مثل الحماية المتقدمة من Google وأمان الحساب المتقدم من OpenAI، إذا أثبتت أن 5 إلى 10 بالمائة من المستخدمين سيدفعون بالفعل مقابل الأجهزة مقابل حماية أقوى للحسابات.

من غير المرجح أن تفوز شركات الأجهزة البحتة التي تظل بحتة بسباق المستهلكين. سينتهي بها المطاف كموردي سيليكون داخل منصة شخص آخر. هذا عمل صحي وخندق حقيقي في مجال المؤسسات، لكنه لا يعد هيمنة على المستهلكين.

9. ما الذي يجب على البنوك والمُصدرين وفرق المنتجات فعله بعد ذلك؟#

هناك ثلاثة إجراءات تهم أي فريق منتج يقيم مفاتيح المرور المرتبطة بالأجهزة في الأشهر الـ 12 المقبلة، استنادًا إلى دليل نشر FIDO Alliance و إرشادات هوية Gartner. اختر حالة الاستخدام التي تفوز فيها الأجهزة بالفعل. وقم بدمج كل عملية نشر للأجهزة مع هندسة الاعتماد. وقم ببناء حلقة تعليقات البيانات من اليوم الأول.

1. اختر حالة الاستخدام المناسبة: تأكيد المعاملات transaction confirmation ذات القيمة العالية، والمصادقة التصاعدية في الرحلات المنظمة، واسترداد الحسابات للشرائح عالية المخاطر. لا تدفع الأجهزة إلى تسجيل الدخول العام للمستهلكين.
2. اربط الأجهزة بهندسة الاعتماد: القياس، ومعالجة الأخطاء في التطبيق الأصلي native app passkey errors، والتوجيه الذكي للأجهزة، والقياس الصريح مقابل خط أساس لـ مفتاح مرور متزامن.
3. قم ببناء حلقة البيانات مبكرًا: اشحن القياس عن بُعد لمسار التحويل مع الإصدار التجريبي الأول، وليس بعد طرحه. الفرق التي ترى أي جهة تصنيع لنظام Android، وأي إصدار من iOS وأي مجموعة متصفحات تقتل نجاح النقر يمكنها التكرار في أسابيع. أما الفرق التي لا تفعل ذلك فتُختزل إلى مجرد حكايات وتضطر إلى انتظار تذاكر الدعم.

بالنسبة لموردي الأجهزة، تكون الرسالة أكثر حدة. قرر ما إذا كانت الشركة ستبقى موردًا للمكونات أو ستبني منصة. كلا الخيارين قابلان للتطبيق. لكن محاولة القيام بكليهما دون التزام كامل تترك الاستثمار في المنصة يعاني من نقص التمويل وتشتت خارطة طريق السيليكون.

10. الخاتمة#

لا تزال مفاتيح المرور المرتبطة بالأجهزة هي النوع الاستهلاكي الوحيد لبيانات الاعتماد الذي يصل إلى NIST AAL3، وينجو من اختراق الحساب السحابي، ويلبي بوضوح القراءة الأكثر صرامة لـ PSD2، و PSD3 واللوائح المماثلة. التكنولوجيا سليمة. السيليكون قوي. المعايير ناضجة.

ما لا تستطيع التكنولوجيا القيام به بمفردها هو الفوز باعتماد المستهلكين. تسيطر Apple و Google على طبقة نظام التشغيل والمتصفح. وتتحكم البنوك والمُصدرون في توزيع المستهلكين. ويتحكم موردو الأجهزة في السيليكون. يفوز بسباق المستهلكين اللاعب الذي يجمع بين الثلاثة من خلال منصة برمجيات تدفع الاعتماد، وتقيس كل عملية مصادقة، وتتجاوز الفجوات.

وصفة الفوز هي الأجهزة بالإضافة إلى قابلية المراقبة لمفاتيح المرور بالإضافة إلى هندسة الاعتماد المستمرة. البائع أو المُصدر الذي يشحن كل هذه الثلاثة يكتب قواعد اللعبة الاستهلاكية للعقد القادم. أما أي شخص آخر فهو يبيع المكونات لمنصة شخص آخر فقط.

حول Corbado

Corbado هي Passkey Intelligence Platform لفِرَق CIAM التي تُدير المصادقة الاستهلاكية على نطاق واسع. نُمكّنك من رؤية ما لا تستطيع سجلات IDP وأدوات التحليل العامة إظهاره: أي الأجهزة وإصدارات أنظمة التشغيل والمتصفحات ومديري بيانات الاعتماد تدعم passkeys، ولماذا لا تتحوّل عمليات التسجيل إلى عمليات دخول، وأين يفشل تدفق WebAuthn، ومتى يُعطّل تحديث نظام التشغيل أو المتصفح تسجيل الدخول بصمت — كل ذلك دون استبدال Okta أو Auth0 أو Ping أو Cognito أو IDP الداخلي لديك. منتجان: Corbado Observe يُضيف observability للـ passkeys وأي طريقة دخول أخرى. Corbado Connect يُقدّم managed passkeys مع تحليلات مدمجة (إلى جانب IDP الخاص بك). تُشغّل VicRoads passkeys لأكثر من 5 ملايين مستخدم مع Corbado (تفعيل passkey بنسبة +80%). تحدث مع خبير Passkey →

الأسئلة الشائعة#

ما هو الفرق بين مفاتيح المرور المرتبطة بالأجهزة ومفاتيح المرور المتزامنة للمستهلكين؟#

تحتفظ مفاتيح المرور المرتبطة بالأجهزة بالمفتاح الخاص داخل عنصر آمن مادي مثل مفتاح أمان أو بطاقة ذكية FIDO2 أو شريحة TPM مدمجة. لا يغادر المفتاح تلك الأجهزة أبدًا. تعيش مفاتيح المرور المتزامنة في iCloud Keychain أو Google Password Manager أو مدير كلمات مرور تابع لجهة خارجية، ويتم نسخها عبر أجهزتك من خلال السحابة. تصل مفاتيح المرور المرتبطة بالأجهزة إلى مستوى NIST AAL3 لأنه لا يمكن تصدير المفتاح الخاص. تتوقف مفاتيح المرور المتزامنة عند AAL2 لأن مسار المزامنة السحابية يجعل المفتاح قابلاً للاسترداد. تحدث هذه الفجوة المكونة من خطوة واحدة في الضمان فرقًا كبيرًا لدى المنظمين في قطاعات البنوك والحكومة والرعاية الصحية.

لماذا لم تصبح مفاتيح الأمان الخاصة بالأجهزة سائدة بين المستهلكين على الرغم من اعتماد مفاتيح المرور؟#

تسيطر Apple و Google على أنظمة التشغيل والمتصفحات التي يستخدمها أكثر من 99 بالمائة من المستهلكين، وفقًا لـ StatCounter. يعطي كلاهما الأولوية لمديري بيانات الاعتماد المتزامنة الخاصة بهم في مطالبات WebAuthn. تقع أدوات المصادقة الخاصة بالأجهزة على بعد نقرة إلى ثلاث نقرات أعمق في كل تدفق افتراضي، وفقًا لـ Apple AuthenticationServices ووثائق Android Credential Manager. كما أن سلوك NFC على Android مجزأ عبر الشركات المصنعة للهواتف، ويعتمد Conditional UI بشكل افتراضي على بيانات الاعتماد المتزامنة. علاوة على ذلك، لن يدفع معظم المستهلكين 40 إلى 80 دولارًا أمريكيًا مقابل أداة مصادقة منفصلة ما لم تجبرهم خدمة ما على ذلك.

ما هي حالات الاستخدام التي تبرر وجود مفتاح مرور مرتبط بالأجهزة للمستهلكين؟#

تمنح ثلاث فئات المستهلكين دافعًا كافيًا. الأولى هي الخدمات المصرفية والمدفوعات، حيث تتطلب كل من PSD2 و PSD3 و RBI في الهند و APRA CPS 234 في أستراليا مصادقة قوية للعملاء. الثانية هي العملات المشفرة والحفظ الذاتي، حيث يعني فقدان المفتاح فقدان الأموال، وحيث قامت Ledger و Trezor بالفعل بشحن أكثر من 9 ملايين جهاز. الثالثة هي الحسابات ذات القيمة العالية، بما في ذلك البريد الإلكتروني الأساسي ومحافظ الهوية الحكومية وحسابات منشئي المحتوى، حيث يكون الاستيلاء عليها أمرًا لا رجعة فيه. يستهدف كل من برنامج الحماية المتقدمة من Google وأمان الحساب المتقدم من OpenAI لـ ChatGPT، الذي تم إطلاقه في أبريل 2026 مع حزمة مزدوجة من YubiKey ذات علامة تجارية مشتركة بحوالي 68 دولارًا أمريكيًا، هذه المجموعة. خارج هذه الفئات الثلاث، عادة ما تفوز مفاتيح المرور المتزامنة.

كيف تتناسب البطاقات الذكية FIDO2 مع سباق مفاتيح المرور الخاصة بأجهزة المستهلكين؟#

تقوم الشركات المصنعة للبطاقات الذكية مثل CompoSecure (التي تشحن أكثر من 100 مليون بطاقة دفع معدنية سنويًا وفقًا لملف 10-K الخاص بها وتقدم Arculus كمنتج FIDO2 الخاص بها) و IDEMIA ببناء بطاقات ذكية NFC مع عناصر آمنة يمكنها استضافة بيانات اعتماد FIDO2. يحمل المستهلكون بالفعل بطاقة ائتمان، لذا فإن إضافة مفتاح مرور مرتبط بالأجهزة إلى تلك البطاقة يلغي الحاجة إلى جهاز منفصل. يمكن للبنوك والبنوك الرقمية وأمناء حفظ العملات المشفرة بعد ذلك دمج المصادقة والدفع والتصعيد في شكل واحد. تكمن الأجزاء الصعبة في جعل نقرة NFC موثوقة عبر متصفحات iOS و Android وإقناع المصدرين بتحمل تكلفة إضافية تتراوح بين 2 إلى 5 دولارات أمريكية لكل بطاقة.

ما الذي يتطلبه الأمر للفوز فعليًا بسوق مفاتيح المرور المرتبطة بأجهزة المستهلكين؟#

الأجهزة الجيدة ضرورية، لكنها ليست كافية. يجمع الفائز بين شكل أجهزة موثوق به ومنصة ذكاء تقيس كل خطوة من خطوات التسجيل والمصادقة، وتتجاوز مجموعات الأجهزة وأنظمة التشغيل المعطلة، وتثبت للمصدرين أن تكاليف الاحتيال والدعم آخذة في الانخفاض. بدون مراقبة مفاتيح المرور على مستوى مسار التحويل، لا يستطيع البائعون والبنوك معرفة أن 60 بالمائة من المستخدمين يتخلون عن نقرة NFC، وهو نمط موثق في محادثات النشر الخاصة بـ FIDO Alliance Authenticate 2024، أو أن Conditional UI ابتلع المطالبة بصمت، وفقًا لمواصفات W3C WebAuthn Level 3. سيتم حسم السباق بواسطة البيانات والبرمجيات، وليس بناءً على المفتاح الذي يحتوي على أقوى غلاف من التيتانيوم.