--- url: 'https://www.corbado.com/ar/blog/insurance-customer-portal-passkeys' title: 'دليل مفاتيح المرور لبوابات عملاء التأمين' description: 'مفاتيح المرور لبوابات عملاء التأمين: الحد من الاستيلاء على الحسابات وتقليل تكلفة كلمات المرور لمرة واحدة وتحديث المصادقة متعددة العوامل لحاملي الوثائق.' lang: 'ar' author: 'Vincent Delitz' date: '2026-05-20T13:53:38.896Z' lastModified: '2026-05-20T13:53:51.317Z' keywords: 'مفاتيح المرور، بوابة عملاء التأمين، الحد من الاحتيال، الاستيلاء على الحسابات، أمان تسجيل الدخول لحاملي الوثائق، تحديث المصادقة متعددة العوامل' category: 'Passkeys Strategy' --- # دليل مفاتيح المرور لبوابات عملاء التأمين ## Key Facts - **خسائر الاستيلاء على الحسابات** في التأمين آخذة في التسارع: غرمت NYDFS ثماني شركات تأمين على السيارات غرامة مجمعة قدرها **19 مليون دولار أمريكي في أكتوبر 2025** لفشلها في فرض MFA على أنظمة عروض الأسعار المواجهة للجمهور، مما أتاح هجمات حشو بيانات الاعتماد على بيانات السائقين. - **تكاليف SMS OTP** على نطاق شركة التأمين تصل إلى **0.01 إلى 0.05 دولار أمريكي لكل رسالة**؛ تنفق شركة اتصالات لديها 5 ملايين حامل بوليصة يسجلون الدخول مرتين شهريًا **1.2 إلى 6 ملايين دولار أمريكي سنويًا** على تسليم OTP وحده، قبل حساب فشل التسليم ومكالمات الدعم. - **إعادة تعيين كلمة المرور ومكالمات دعم MFA** تمثل ما يقدر بنحو **20-40٪ من حجم مركز اتصال التأمين**، حيث تكلف كل مكالمة **5 إلى 25 دولارًا أمريكيًا** اعتمادًا على وقت الوكيل وخطوات التحقق من الهوية. - حقق **نشر مفتاح مرور Aflac** **500000 عملية تسجيل** بـ **معدل نجاح في تسجيل الدخول بنسبة 96٪**؛ شهدت Branch Insurance **انخفاضًا في تذاكر دعم الوكيل بنسبة 50٪ تقريبًا** بعد الطرح. - تظهر **بيانات FIDO** أن مفاتيح المرور تزيد من تحويل تسجيل الدخول بمقدار **30 نقطة مئوية**؛ ذهبت HealthEquity إلى أبعد من ذلك، حيث جعلت مفاتيح المرور **إلزامية لجميع المستخدمين** في خريف عام 2025 بدون أي خيار للانسحاب. ## 1. مقدمة تتعرض بوابات عملاء [التأمين](https://www.corbado.com/passkeys-for-insurance) لضغوط من اتجاهات متعددة في وقت واحد. يرتفع خطر الاستيلاء على الحسابات، وتكون تكلفة SMS OTP باهظة على نطاق واسع، وتمتص مراكز الاتصال تداعيات فشل كلمات المرور وMFA، ويتوقع المنظمون بشكل متزايد MFA مقاومًا للتصيد الاحتيالي. هذا المزيج يجعل [التأمين](https://www.corbado.com/passkeys-for-insurance) أحد أوضح حالات استخدام مصادقة العملاء لمفاتيح المرور. **تغطي هذه المقالة:** 1. **لماذا تعد بوابات التأمين حالة استخدام قوية لمفاتيح المرور** مخاطر الاستيلاء على الحسابات (ATO)، وتدفقات OTP باهظة الثمن، واكتشاف الاحتيال المتأخر، والضغط التنظيمي المتزايد. 2. **كيف تقارن مفاتيح المرور بطرق المصادقة القديمة** SMS OTP وemail OTP وTOTP وثقة الجهاز عبر الأمان وتجربة المستخدم والامتثال والتكلفة. 3. **ما الذي يجعل عمليات طرح شركات التأمين مختلفة** أنظمة CIAM القديمة، وبنية البوابة متعددة العلامات التجارية، وتدفقات الوكلاء مقابل حاملي الوثائق، والتنظيم الإقليمي. 4. **كيف يمكن لشركات التأمين طرح مفاتيح المرور بنموذج تشغيل عملي** ما يجب قياسه، وكيفية استخدام نموذج النضج، وكيفية الانتقال من عمليات تسجيل الدخول المعتمدة بشكل كبير على OTP إلى MFA المقاوم للتصيد الاحتيالي. 5. **كيف تدفع مفاتيح المرور الاعتماد الرقمي والهجرة إلى الخدمة الذاتية** الحالة الاستراتيجية للقادة من المستوى C ومستوى نواب الرئيس: تحول القناة، وتحويل مركز الاتصال، وربط إمكانية مراقبة المصادقة بنتائج الأعمال. ## 2. لماذا تعد بوابات عملاء التأمين هدفًا رئيسيًا للاستيلاء على الحسابات؟ تحتوي بوابات عملاء التأمين على بعض البيانات الشخصية الأكثر حساسية بينما تعتمد غالبًا على أمان تسجيل دخول ضعيف. هذا يجعلها هدفًا طبيعيًا للهجمات القائمة على بيانات الاعتماد. تحتوي حسابات حاملي الوثائق على أرقام الضمان الاجتماعي وتفاصيل [الخدمات المصرفية](https://www.corbado.com/passkeys-for-banking) والسجلات الصحية وتاريخ المطالبات. كل هذا يمكن تحقيق الدخل منه من خلال سرقة الهوية أو المطالبات الاحتيالية. على عكس بوابات [الخدمات المصرفية](https://www.corbado.com/passkeys-for-banking) حيث تكتشف مراقبة المعاملات الاحتيال في الوقت الفعلي، غالبًا ما يستغرق الاحتيال في التأمين أسابيع أو أشهر ليطفو على السطح. يمكن للمهاجم الذي يكتسب الوصول إلى حساب حامل البوليصة تغيير المستفيدين أو تقديم مطالبات احتيالية أو استخراج البيانات الشخصية قبل وقت طويل من اكتشاف شركة التأمين للاختراق. **حجم المشكلة:** - **حشو بيانات الاعتماد عند الباب الأمامي:** غرمت NYDFS ثماني شركات تأمين على السيارات غرامة مجمعة قدرها 19 مليون دولار أمريكي في أكتوبر 2025 تحديدًا لأنها فشلت في فرض MFA على أنظمة عروض الأسعار المواجهة للجمهور. استخدم المهاجمون حشو بيانات الاعتماد للوصول إلى بيانات السائقين الحساسة بشكل جماعي. - **SMS OTP مكلف وهش:** على نطاق شركة التأمين (ملايين من حاملي الوثائق)، تتضاعف تكاليف تسليم SMS OTP بسرعة. تنفق شركة اتصالات ترسل 10 ملايين OTP شهريًا بسعر 0.03 دولار أمريكي لكل رسالة 3.6 مليون دولار أمريكي سنويًا، ويفترض هذا تسليمًا بنسبة 100٪. من الناحية العملية، تتسبب تصفية شركة الاتصالات ونقل الأرقام والتجوال الدولي في عدم وصول 5-15٪ من كلمات المرور لمرة واحدة مطلقًا، وكل تسليم فاشل يولد مكالمة دعم محتملة. - **عبء مركز الاتصال من إعادة تعيين كلمة المرور:** تتعامل مراكز اتصال التأمين بالفعل مع المطالبات المعقدة واستفسارات البوليصة. تؤدي إضافة عمليات إعادة تعيين كلمة المرور واستكشاف أخطاء MFA وإصلاحها إلى هذا المزيج إلى تحويل وقت الوكيل عن الأنشطة المدرة للدخل. تضع تقديرات الصناعة المكالمات المتعلقة بالمصادقة بنسبة 20-40٪ من إجمالي حجم مركز الاتصال في [الخدمات المالية](https://www.corbado.com/passkeys-for-banking) الاستهلاكية. - **الضغط التنظيمي آخذ في الاشتداد:** بعيدًا عن NYDFS، فرضت قاعدة ضمانات FTC تطبيق MFA للمؤسسات المالية غير المصرفية منذ يونيو 2023، ويتطلب قانون نموذج أمن بيانات التأمين التابع لـ NAIC (المعتمد في أكثر من 25 ولاية) MFA القائم على المخاطر لجميع المرخص لهم. تشير البيانات عالية القيمة، واكتشاف الاحتيال المتأخر، وتكاليف OTP المتزايدة، والتنظيم المشدد جميعها في نفس الاتجاه: تحتاج بوابات التأمين بشكل عاجل إلى مصادقة مقاومة للتصيد الاحتيالي. > - تعد بوابات التأمين أهدافًا عالية القيمة للاستيلاء على الحسابات (ATO) لأن الاحتيال يستغرق أسابيع للظهور، على عكس الخدمات المصرفية حيث تكتشف مراقبة المعاملات الإساءة في الوقت الفعلي. > - غرمت NYDFS ثماني شركات تأمين على السيارات 19 مليون دولار أمريكي في أكتوبر 2025 بسبب فقدان MFA في الأنظمة المواجهة للجمهور؛ وتصل العقوبات إلى 75000 دولار أمريكي يوميًا. > - تكلف SMS OTP على نطاق شركة التأمين 1.2 إلى 6 ملايين دولار أمريكي سنويًا قبل النفقات العامة للدعم؛ 5-15٪ من الرسائل لا تصل أبدًا. > - نشرت Aflac و Branch Insurance و HealthEquity بالفعل مفاتيح المرور بنتائج قابلة للقياس: نجاح تسجيل الدخول بنسبة 96٪، و تذاكر دعم أقل بنسبة 50٪ تقريبًا، وتسجيل إلزامي مع عدم وجود خيار انسحاب. ## 3. كيف تقارن مفاتيح المرور بكلمات المرور لمرة واحدة عبر الرسائل القصيرة و email OTP و TOTP وثقة الجهاز لبوابات التأمين؟ إن اختيار طريقة المصادقة الصحيحة يعني موازنة الأمان وتجربة المستخدم والاسترداد وتعقيد الطرح وعبء الدعم وموقف الامتثال والتكلفة على نطاق واسع. يوضح الجدول أدناه كيفية تكدس كل خيار. | الطريقة | الأمان | تجربة المستخدم (UX) | الاسترداد | تعقيد الطرح | عبء الدعم | الامتثال | التكلفة على نطاق واسع | | ----------------------------- | ----------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------ | | **SMS OTP** | منخفض: عرضة لمبادلة بطاقة SIM واعتراض SS7 وهجمات ترحيل التصيد الاحتيالي. تضع NYDFS علامة صريحة على الرسائل القصيرة كـ MFA ضعيف. | متوسط: مألوف ولكنه بطيء (انتظر رسالة، قم بتبديل التطبيقات، اكتب رمزًا). معدل فشل التسليم 5-15٪ على نطاق واسع. | سهل: مرتبط برقم الهاتف، لكن نقل الأرقام يخلق فجوات في الاسترداد. | منخفض: تدعم معظم منصات CIAM رسائل SMS OTP خارج الصندوق. | مرتفع: يؤدي فشل التسليم والرموز منتهية الصلاحية والتجوال الدولي إلى توليد حجم كبير في مركز الاتصال. | الحد الأدنى: يفي بقوائم مراجعة MFA الأساسية ولكن NYDFS و CISA يوصيان ببدائل مقاومة للتصيد الاحتيالي. | مرتفع: 0.01-0.05 دولار أمريكي لكل رسالة. عند 10 ملايين OTPs/شهر: 1.2-6 ملايين دولار أمريكي/سنة قبل تكاليف الدعم. | | **Email OTP** | منخفض: غالبًا ما يتم اختراق حسابات البريد الإلكتروني؛ أكواد OTP قابلة للتصيد وقابلة لإعادة التشغيل. | منخفض: تسليم بطيء (ثوانٍ إلى دقائق)، تبديل السياق بين التطبيقات، الرموز تنتهي صلاحيتها. | سهل: مرتبط بالبريد الإلكتروني، لكن اختراق البريد الإلكتروني يتسلسل إلى جميع الحسابات المرتبطة. | منخفض: تافه التنفيذ عبر SMTP. | مرتفع: فلاتر البريد العشوائي، والتسليم المتأخر، والرموز منتهية الصلاحية تدفع تذاكر الدعم. | ضعيف: لا يفي بمعايير MFA المقاومة للتصيد الاحتيالي بموجب إرشادات NYDFS أو FTC. | منخفض: التكلفة الحدية لكل رسالة تقترب من الصفر، لكن تكلفة الدعم غير المباشرة عالية. | | **TOTP (تطبيق الموثق)** | متوسط: يقضي على مخاطر مبادلة بطاقة SIM لكن الرموز تظل عرضة للتصيد الاحتيالي عبر هجمات الترحيل في الوقت الفعلي. | متوسط: يتطلب تثبيت التطبيق وإدخال الرمز اليدوي ومزامنة الوقت. احتكاك لحاملي الوثائق غير التقنيين. | صعب: في حالة فقد الجهاز بدون رموز النسخ الاحتياطي، يتطلب استرداد الحساب إثباتًا يدويًا للهوية. | متوسط: يتطلب تثقيف المستخدم وتثبيت التطبيق؛ الاعتماد عادة ما يكون أقل من 20٪ دون الإلزام. | متوسط: مشاكل تسليم أقل من الرسائل القصيرة، لكن استرداد الأجهزة المفقودة وأخطاء الإعداد مستمرة. | معتدل: يفي بمتطلبات MFA الأساسية ولكنه غير مقاوم للتصيد الاحتيالي وفقًا لمعايير NYDFS/CISA. | منخفض: لا توجد تكلفة لكل مصادقة، لكن دعم التطبيق والتكاليف العامة للاسترداد تضيف تكاليف غير مباشرة. | | **ثقة الجهاز** | متوسط: يقلل الاحتكاك على الأجهزة المعروفة ولكنه لا يوفر أي مقاومة للتصيد الاحتيالي؛ يمكن إعادة تشغيل ملف تعريف الارتباط/البصمة. | مرتفع: غير مرئي للمستخدمين على الأجهزة الموثوقة؛ عمليات تسجيل دخول متكررة سلسة. | متوسط: يؤدي فقدان الجهاز أو تغييرات المتصفح إلى إعادة تعيين الثقة، مما يتطلب إعادة التحقق. | متوسط: يتطلب بنية تحتية لبصمة الجهاز وسياسات تدهور الثقة. | منخفض: عدد قليل من المطالبات المواجهة للمستخدم على الأجهزة الموثوقة، لكن عمليات إعادة تعيين الثقة تولد ارتباكًا. | غير كافٍ بمفرده: لا يُعتبر MFA بموجب أي إطار عمل رئيسي بدون عامل ثانٍ. | منخفض: تكلفة البنية التحتية فقط؛ لا توجد رسوم لكل مصادقة. | | **مفاتيح المرور (FIDO2/WebAuthn)** | **مرتفع**: التشفير، المرتبط بالنطاق، مقاوم للتصيد الاحتيالي حسب التصميم. محصن ضد حشو بيانات الاعتماد، ومبادلة بطاقة SIM وهجمات الترحيل. | **مرتفع**: القياسات الحيوية أو تأكيد رقم التعريف الشخصي في أقل من ثانيتين. لا إدخال رمز، لا تبديل تطبيقات. حققت Aflac معدل نجاح في تسجيل الدخول بنسبة 96٪. | متوسط: مرتبط بالنظام البيئي للمنصة (iCloud Keychain, Google Password Manager). يتطلب إغلاق النظام البيئي إثبات الهوية للاسترداد. | متوسط إلى مرتفع: يتطلب خادم WebAuthn، واستراتيجية rpID، وتدفقات التسجيل، ومنطق الرجوع، والقياس عن بُعد من جانب العميل. | **منخفض**: شهدت Branch Insurance انخفاضًا في تذاكر الدعم بنسبة 50٪ تقريبًا بعد نشر مفتاح المرور. | **قوي**: يفي بمتطلبات MFA المقاومة للتصيد الاحتيالي بموجب NYDFS Part 500 وقاعدة ضمانات FTC وقانون نموذج NAIC. يتعرف NIST SP 800-63B على مفاتيح المرور المتزامنة على أنها متوافقة مع AAL2. | **منخفض**: تكلفة لكل مصادقة صفرية. تم تحقيق عائد الاستثمار (ROI) من خلال القضاء على الرسائل القصيرة وتقليل الاحتيال وتحويل مركز الاتصال. | **خلاصة القول:** مفاتيح المرور هي الخيار الوحيد الذي يسجل أعلى الدرجات عبر الأمان وتجربة المستخدم وعبء الدعم والامتثال والتكلفة على نطاق واسع. المفاضلة هي تعقيد الطرح، ولكن هذا استثمار لمرة واحدة يدفع ثمنه مع نمو الاعتماد. ## 4. ما الذي يجعل طرح مفاتيح المرور مختلفًا لشركات التأمين؟ لا يشبه نشر مفاتيح المرور في [التأمين](https://www.corbado.com/passkeys-for-insurance) نشرها في [الخدمات المصرفية](https://www.corbado.com/passkeys-for-banking) أو SaaS. تتعامل شركات التأمين مع البنية التحتية القديمة، والتعقيد متعدد العلامات التجارية، ومجموعات المستخدمين المتباينة والمتطلبات التنظيمية المتدرجة التي تشكل كل قرار تنفيذي. ### 4.1 منصات CIAM القديمة تقوم معظم شركات التأمين الكبيرة بتشغيل هوية المستهلك الخاصة بها على منصات CIAM الخاصة بالمؤسسات مثل Ping Identity أو ForgeRock أو Okta. تدعم هذه المنصات الآن FIDO2/WebAuthn على مستوى البروتوكول، لكن هذا الدعم يغطي فقط احتفال الواجهة الخلفية. طبقة الاعتماد (تنبيهات التسجيل، والمطالبات المدركة للجهاز، ومعالجة الأخطاء، والقياس عن بُعد من جانب العميل) إما مفقودة أو تتطلب تطويرًا مخصصًا كبيرًا. يؤدي هذا إلى نفس "فخ 1٪" الذي نراه في عمليات النشر المصرفية: تم تحديد مربع اختيار IdP، لكن الاعتماد يتوقف لأنه لم يقم أحد ببناء رحلة المنتج التي تنقل حاملي الوثائق من كلمة المرور إلى مفتاح المرور. ### 4.2 بوابات متعددة العلامات التجارية واستراتيجية rpID تدير شركة التأمين الكبيرة النموذجية منتجات السيارات والمنازل والحياة والتخصصات، غالبًا على نطاقات فرعية منفصلة أو حتى نطاقات منفصلة يتم الحصول عليها من خلال عمليات الاندماج والاستحواذ. مفاتيح المرور مرتبطة بالأصل: لن تعمل بيانات الاعتماد التي تم إنشاؤها على `auto.insurer.com` على `life.insurer.com` ما لم يشترك كلاهما في نفس معرف الطرف المعتمد (rpID). **الحل:** - حدد rpID واحدًا مرتبطًا بالنطاق الأصلي (على سبيل المثال `insurergroup.com`) قبل أن يبدأ أي عمل لمفتاح المرور. - قم بتوجيه جميع المصادقة من خلال طبقة تسجيل الدخول الأحادي المركزية (SSO) (OIDC/SAML) التي تستخدم rpID المشترك هذا. - إذا تعذر دمج النطاقات القديمة على الفور، فاستخدم الأصول ذات الصلة لسد الفجوة دون إجبار إعادة التسجيل. ### 4.3 تدفقات الوكلاء مقابل حاملي الوثائق يحتوي التأمين على مجموعتين مختلفتين جدًا من المستخدمين الذين يصلون إلى نفس أنظمة الواجهة الخلفية: | البعد | حاملو الوثائق | الوكلاء / السماسرة | | --------------- | ----------------------------------------------------------- | --------------------------------------------------------------------- | | تكرار تسجيل الدخول | منخفض (دفع فاتورة شهرية، تجديد سنوي، مطالبات) | مرتفع (عروض أسعار يومية، إدارة بوليصة، شيكات عمولة) | | ملف تعريف الجهاز | الهواتف الذكية والأجهزة اللوحية الشخصية؛ تنوع واسع في نظام التشغيل/المتصفح | محطات عمل الوكالة المشتركة، أجهزة الكمبيوتر المحمولة الخاصة بالشركات، غالبًا خلف جدران الحماية | | مستوى الثقة | ثقة أولية منخفضة؛ يجب أن تبنى من خلال التسجيل | ثقة أساسية أعلى؛ غالبًا ما يتم فحصها مسبقًا من خلال إعداد الوكالة | | الحساسية | وصول كامل لمعلومات تحديد الهوية الشخصية (PII) (رقم الضمان الاجتماعي، الخدمات المصرفية، السجلات الصحية) | وصول واسع لمعلومات تحديد الهوية الشخصية (PII) عبر العديد من حاملي الوثائق | | احتياجات الرجوع | يجب عدم الإغلاق أبدًا خارج المطالبات أو المدفوعات | يجب عدم الإغلاق أبدًا خارج عرض الأسعار أو ربط البوليصة | أظهرت Branch Insurance كيف يعمل هذا عمليًا: بدأوا مع الوكلاء (تكرار أعلى، بيئة أكثر تحكمًا) ووصلوا إلى اعتماد أولي بنسبة 25٪ قبل التوسع ليشمل حاملي الوثائق. أدى استخدام الوكلاء أولاً إلى بناء الثقة الداخلية وكشف المشكلات الخاصة بالجهاز في وقت مبكر. ### 4.4 المشهد التنظيمي الإقليمي لا تعد مصادقة التأمين مجرد مشكلة تنظيمية أمريكية. تختلف القواعد الدقيقة باختلاف السوق، لكن الاتجاه ثابت: ضوابط هوية أقوى، وتغطية MFA أوسع ومزيد من التدقيق في القنوات الرقمية المواجهة للعملاء. - **الولايات المتحدة:** يفرض NYDFS Part 500 تطبيق MFA الشامل بحلول نوفمبر 2025 للكيانات المشمولة، بما في ذلك شركات التأمين المرخصة في نيويورك. يضع NYDFS علامة صريحة على SMS OTPs كضعيفة ويوصي ببدائل مقاومة للتصيد الاحتيالي. يدفع قانون نموذج أمن بيانات التأمين NAIC إلى MFA القائم على المخاطر عبر 25+ ولاية، في حين تتطلب قاعدة ضمانات FTC MFA لبعض المؤسسات المالية والوسطاء غير المصرفيين. - **الاتحاد الأوروبي:** دخل [DORA](https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en) حيز التطبيق في 17 يناير 2025 وينطبق على شركات التأمين في جميع أنحاء الاتحاد الأوروبي. DORA أوسع من قاعدة MFA، لكنه يرفع مستوى إدارة مخاطر تكنولوجيا المعلومات والاتصالات والإبلاغ عن الحوادث واختبار المرونة والإشراف على الطرف الثالث للأنظمة المواجهة للعملاء. - **أستراليا:** يتطلب [APRA CPS 234](https://handbook.apra.gov.au/standard/cps-234) ضوابط أمن المعلومات التي تتناسب مع المخاطر عبر شركات التأمين والكيانات الأخرى الخاضعة لتنظيم APRA. يدعو [توجيه MFA](https://www.apra.gov.au/use-of-multi-factor-authentication-mfa) لعام 2023 الصادر عن APRA تحديدًا إلى تعزيز المصادقة للوصول المميز والوصول عن بُعد والأنشطة عالية المخاطر، ويلاحظ أن فجوات MFA الجوهرية التي تؤثر على حاملي الوثائق يمكن أن ترقى إلى مستوى ضعف أمني يجب الإبلاغ عنه. - **كندا:** ينطبق [OSFI Guideline B-13](https://www.osfi-bsif.gc.ca/en/guidance/guidance-library/technology-cyber-risk-management) على المؤسسات المالية الخاضعة للتنظيم الفيدرالي، بما في ذلك شركات التأمين. يقول OSFI أنه يجب على الشركات تنفيذ ضوابط الهوية والوصول القائمة على المخاطر، بما في ذلك MFA عبر القنوات الخارجية والحسابات المميزة. بالنسبة لشركات التأمين متعددة المناطق، فإن المعنى العملي بسيط: تصميم مصادقة العملاء لتلبية النظام المطبق الأكثر صرامة. الاتجاه المشترك نحو MFA القائم على المخاطر والمقاوم للتصيد الاحتيالي بشكل متزايد، وليس الاعتماد المستمر على SMS OTP. ## 5. ما الذي يجب على شركات التأمين قياسه قبل وبعد إطلاق مفاتيح المرور؟ إن إطلاق مفاتيح المرور بدون قياس عن بُعد من جانب العميل يشبه كتابة بوليصة تأمين بدون بيانات الاكتتاب. لن تعرف ما الذي يفشل أو أين أو لمن حتى يتم إرهاق مركز الاتصال الخاص بك. ينطبق خطأ "الطرح الأعمى" في عمليات النشر المصرفية هنا بنفس القدر، خاصة بالنظر إلى التركيبة السكانية المتنوعة لحاملي الوثائق التي تتعامل معها شركات التأمين. كحد أدنى، يجب على شركات التأمين قياس ثلاث نتائج مواجهة للأعمال: - **معدل نجاح تسجيل الدخول:** هل يكمل حاملو الوثائق والوكلاء تسجيل الدخول بشكل أكثر موثوقية بعد إطلاق مفاتيح المرور؟ - **معدل التسجيل:** هل يقوم المستخدمون بالفعل بإنشاء مفاتيح مرور، أم أن الاعتماد يتوقف بعد المطالبة الأولى؟ - **حجم التراجع والدعم:** هل يتراجع المستخدمون إلى الرسائل القصيرة أو استرداد كلمة المرور، وهل تنخفض تذاكر الدعم المتعلقة بالمصادقة؟ إذا كانت هذه الأرقام الثلاثة تتحرك في الاتجاه الصحيح، فإن الطرح يعمل. إذا لم يكن الأمر كذلك، فستحتاج إلى ضبط توقيت المطالبة أو تصميم التراجع أو تغطية الجهاز أو تعليم المستخدم قبل التوسع بشكل أكبر. ### 5.1 رحلات المطالبات وتغيير الحساب أكثر أهمية من عمليات تسجيل الدخول العامة لا تعد بوابات التأمين مجرد تجارب "تسجيل الدخول والتحقق من الرصيد". غالبًا ما تحدث اللحظات الأكثر خطورة عندما يقدم حامل البوليصة مطالبة، أو يغير تفاصيل الدفع، أو يقوم بتحديث عنوان، أو يضيف سائقًا، أو يغير مستفيدًا، أو يصل إلى مستندات حساسة. لا ينبغي تجميع هذه الرحلات في مؤشر أداء رئيسي (KPI) لتسجيل الدخول العام. لذلك، يجب على شركات التأمين تتبع أداء مفتاح المرور بشكل منفصل لأحداث الحساب عالية المخاطر. إذا بدا نجاح تسجيل الدخول قويًا بشكل عام ولكن الرحلات المتعلقة بالمطالبات أو المدفوعات لا تزال تتراجع إلى الرسائل القصيرة أو الاسترداد اليدوي، فإن الطرح لا يقلل في الواقع من المخاطر التشغيلية حيثما يكون ذلك مهمًا. هذا أحد أكبر الاختلافات بين التأمين وتطبيقات المستهلك الأكثر استخدامًا. ### 5.2 تغير عمليات تسجيل الدخول منخفضة التكرار قواعد الاعتماد يسجل العديد من حاملي الوثائق الدخول بضع مرات فقط في السنة: عند التجديد، أو بعد مشكلة في الفوترة، أو عند تقديم مطالبة. هذا يجعل اعتماد مفتاح المرور في التأمين مختلفًا بشكل أساسي عن منتجات الاستخدام اليومي. لديك فرص أقل للحث والتثقيف والتعافي من تجربة أولى سيئة. لهذا السبب يجب على شركات التأمين قياس التسجيل حسب الرحلة، وليس فقط بشكل إجمالي. قد يتم تحويل المطالبة المعروضة بعد التحقق الناجح من [الدفع](https://www.corbado.com/passkeys-for-payment) أو حالة المطالبة بشكل أفضل بكثير من المطالبة الباردة على شاشة تسجيل الدخول الأولى بعد أشهر من الجلسة الأخيرة. في التأمين، عادة ما ترتبط أفضل لحظات الاعتماد بالثقة وإكمال المهام، وليس بتكرار تسجيل الدخول. ## 6. ما هو نموذج نضج مصادقة التأمين؟ يمنح إطار العمل هذا المكون من أربعة مستويات شركات التأمين طريقة لقياس مكانتها اليوم في المصادقة، وتحديد المعالم المستهدفة، والإبلاغ عن التقدم المحرز إلى مجالس الإدارة والمنظمين والمراجعين. كل مستوى يبني على سابقه. | المستوى | الاسم | طريقة المصادقة | مقاومة التصيد الاحتيالي | موقف الامتثال | عبء الدعم | ملف تعريف التكلفة | الرؤية | | ----- | -------------------------------------- | -------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------ | | **1** | **الرسائل القصيرة فقط** | كلمة المرور + SMS OTP كعامل ثانٍ وحيد | لا يوجد: رسائل SMS قابلة للاعتراض عبر مبادلة بطاقة SIM و SS7 وترحيل التصيد الاحتيالي | يفشل في إرشادات NYDFS المقاومة للتصيد الاحتيالي؛ الحد الأدنى من امتثال FTC؛ فجوة NAIC القائمة على المخاطر | مرتفع: يؤدي فشل تسليم OTP والرموز منتهية الصلاحية وعمليات إعادة تعيين كلمة المرور إلى 20-40٪ من حجم مركز الاتصال | مرتفع: 0.01 إلى 0.05 دولار أمريكي لكل OTP على نطاق واسع بالإضافة إلى تكاليف الدعم | الحد الأدنى: سجلات HTTP من جانب الخادم فقط؛ لا توجد بيانات احتفال من جانب العميل | | **2** | **تمكين MFA** | كلمة المرور + الرسائل القصيرة/TOTP/الدفع كعامل ثانٍ | منخفض: TOTP والدفع قابلان للتصيد عبر الترحيل في الوقت الفعلي؛ الدفع عرضة لهجمات التعب | يفي بمربع اختيار MFA الأساسي لـ FTC و NAIC؛ لا يفي بتوصية NYDFS المقاومة للتصيد الاحتيالي | متوسط: مشاكل تسليم رسائل قصيرة أقل ولكن أخطاء إعداد TOTP وتعب الدفع تضيف فئات تذاكر جديدة | متوسط: يقضي TOTP على تكلفة كل رسالة لكن العبء الإداري لدعم التطبيق مستمر | محدود: قد يتتبع اختيار طريقة MFA ولكنه يفتقر إلى القياس عن بُعد على مستوى الاحتفال | | **3** | **مقاوم للتصيد الاحتيالي** | تم نشر مفاتيح المرور كطريقة أساسية؛ كلمة المرور/OTP كخيار احتياطي للأجهزة غير المتوافقة | مرتفع: بيانات اعتماد FIDO2/WebAuthn مرتبطة بالنطاق ومشفرة؛ محصنة ضد التصيد الاحتيالي وحشو البيانات ومبادلة بطاقة SIM | يفي أو يتجاوز متطلبات NYDFS و FTC و NAIC؛ يتوافق مع NIST SP 800-63B AAL2 | منخفض: شهدت Branch Insurance انخفاضًا بنسبة ~50٪ في التذاكر؛ حققت Aflac نجاحًا في تسجيل الدخول بنسبة 96٪ | منخفض: تكلفة صفرية لكل مصادقة؛ عائد الاستثمار (ROI) من التخلص من الرسائل القصيرة وتقليل الاحتيال | معتدل: تم تجهيز مسارات التسجيل والمصادقة؛ تم وضع تصنيف الأخطاء الأساسي | | **4** | **مقاوم للتصيد الاحتيالي + المراقبة** | مفاتيح المرور كطريقة افتراضية؛ تسجيل ثقة الجهاز؛ تصعيد قائم على المخاطر للشذوذ؛ خيارات احتياطية ذكية | الأعلى: مصادقة تشفير + تقييم مستمر لثقة الجهاز + إشارات سلوكية | جاهز للتدقيق: يدعم القياس عن بُعد الكامل شهادة الرئيس التنفيذي/رئيس أمن المعلومات (CISO)، وفحص NYDFS وإعداد التقارير التنظيمية | الأدنى: يمنع اكتشاف الشذوذ الاستباقي المشاكل قبل أن تصل إلى مركز الاتصال | الأدنى: يقلل التوجيه الاحتياطي المحسن من إنفاق الرسائل القصيرة المتبقي؛ تقليل خسائر الاحتيال | كامل: لوحات معلومات في الوقت الفعلي تغطي منحنيات الاعتماد، ومعدلات الأخطاء حسب الجهاز/نظام التشغيل، وتدهور الثقة وتغطية عوامل SCA | يوضح الرسم البياني التالي مستويات النضج الأربعة كتسلسل من الرسائل القصيرة فقط إلى المراقبة الكاملة. **كيفية استخدام هذا النموذج:** 1. **التقييم:** حدد مستواك الحالي من خلال مراجعة طرق المصادقة، وتغطية القياس عن بُعد، وفجوات الامتثال عبر جميع البوابات المواجهة للعملاء. 2. **الهدف:** قم بتعيين خريطة طريق مدتها 12-18 شهرًا للوصول إلى المستوى 3 على الأقل. يجب على شركات التأمين الخاضعة لإشراف NYDFS استهداف المستوى 4 لدعم متطلبات الشهادة المزدوجة للرئيس التنفيذي/رئيس أمن المعلومات (CISO). 3. **التواصل:** استخدم النموذج في العروض التقديمية لمجلس الإدارة والتقارير التنظيمية لإظهار تقدم منظم بدلاً من تحسينات مخصصة. ## 7. كيف تدفع مفاتيح المرور الاعتماد الرقمي والهجرة إلى الخدمة الذاتية يتعامل معظم المسؤولين التنفيذيين في قطاع التأمين مع المصادقة كمسألة تخص تكنولوجيا المعلومات. وهذا خطأ. بالنسبة للقادة من المستوى C ومستوى نواب الرئيس الذين تشمل أجندتهم الاستراتيجية تحويل حاملي الوثائق من مراكز الاتصال والفروع إلى الخدمة الذاتية الرقمية، فإن المصادقة هي أكبر نقطة احتكاك تقف في طريقهم. ### 7.1 المصادقة هي الباب الأمامي لكل مبادرة رقمية كل مبادرة تأمين رقمية - مطالبات الخدمة الذاتية، وتغييرات البوليصة عبر الإنترنت، [والمدفوعات](https://www.corbado.com/passkeys-for-payment) الرقمية، وسير عمل التوقيع الإلكتروني - تبدأ بتسجيل الدخول. إذا لم يتمكن حاملو الوثائق من تجاوز هذا الباب الأمامي بشكل موثوق، فإن أي استثمار لاحق لن يحقق عائدًا على الاستثمار. البيانات واضحة: - **43٪ من المستهلكين** يقولون إن إدارة عمليات تسجيل الدخول [تؤثر على رغبتهم في استخدام الخدمات عبر الإنترنت](https://beyondencryption.com/research/customer-portals-logins-preferences) على الإطلاق. - **تخلى 64٪ عن عملية شراء** لأنهم اضطروا إلى [إنشاء حساب أو لم يتمكنوا من تسجيل الدخول](https://beyondencryption.com/research/customer-portals-logins-preferences). - **يجد 60٪ من المستهلكين** صعوبة في التنقل في [بوابات التأمين والمعاشات التقاعدية والرهن العقاري](https://beyondencryption.com/research/customer-portals-logins-preferences)، حيث يمثل تسجيل الدخول نقطة الفشل الأولى والأكثر شيوعًا. - **20٪ فقط من عملاء التأمين** يقولون إن القنوات الرقمية هي طريقتهم المفضلة للتفاعل مع شركة التأمين الخاصة بهم، ويرجع ذلك إلى حد كبير إلى أن التجربة - بدءًا من المصادقة - [أسوأ مما يحصلون عليه من التطبيقات المصرفية والتجزئة](https://insurancenewsnet.com/innarticle/why-insurers-are-losing-customers-at-the-login-screen). يوضح الرسم البياني التالي كيف تتحد نقاط البيانات الأربع هذه في نمط واحد يعيق الاعتماد. بالنسبة لشركات التأمين التي تنفق الملايين على إعادة تصميم البوابات وروبوتات الدردشة وسير عمل المطالبات الرقمية، فإن تجربة تسجيل الدخول باستخدام كلمة مرور وSMS OTP تقوض الاستثمار بأكمله. حاملو الوثائق الذين يفشلون في تسجيل الدخول أو يستسلمون بسبب الإحباط يلجأون إلى الاتصال بمركز الاتصال أو زيارة فرع - وهي بالضبط القنوات عالية التكلفة التي كان من المفترض أن تحل الاستراتيجية الرقمية محلها. ### 7.2 تحديد التحول نحو الخدمة الذاتية يعد نقل حاملي الوثائق من القنوات التي يساعدها الإنسان إلى الخدمة الذاتية الرقمية إحدى استراتيجيات خفض التكلفة الأكثر تأثيرًا في التأمين: - **تكلف التفاعلات الهاتفية [8-15 دولارًا أمريكيًا لكل جهة اتصال](https://hyperleap.ai/blog/insurance-customer-service-automation-statistics-2026)** مقارنة بأقل من 1 دولار أمريكي للخدمة الذاتية. على نطاق شركة التأمين، حتى تغيير بنسبة 10٪ في القناة من الهاتف إلى الرقمي يوفر الملايين سنويًا. - **مستخدمو البوابة أقل احتمالًا بنسبة 12٪ لإلغاء** وثائقهم مقارنة بمستخدمي غير البوابة. يُظهر مستخدمو القنوات المتعددة [معدل احتفاظ أعلى بنسبة 25٪](https://content.insured.io/resources/insured.io-study-of-250000-insurance-consumers-reveals-that-omnichannel-carrier-portals-can-increase-retained-premium-by-25-percent). - **تبلغ شركات التأمين التي تنشر الخدمة الذاتية الرقمية** عن [تخفيضات في تكلفة الخدمة بنسبة 15-25٪ وانخفاض في تكاليف معالجة المطالبات بنسبة 30٪](https://www.cxpilots.com/epiphanies/the-state-of-digital-cx-in-insurance-2026-benchmark-report). - **82٪ من عملاء التأمين يرغبون في حل المشكلات دون الاتصال**، ولكن [56٪ فقط يبلغون عن أدوات خدمة ذاتية مناسبة](https://www.rediansoftware.com/top-10-insurance-digital-transformation-2026/) - وهي فجوة يوسعها احتكاك المصادقة. يوضح الرسم البياني أدناه كيف تقارن هذه الاقتصاديات عبر القنوات. تعالج مفاتيح المرور الفجوة بين نية العميل والاستخدام الفعلي للبوابة. عندما يستغرق تسجيل الدخول أقل من ثانيتين بتأكيد بيومتري بدلاً من كلمة مرور بالإضافة إلى تدفق OTP يفشل في 5-15٪ من الوقت، فإن عددًا أكبر من حاملي الوثائق يكملون الرحلة الرقمية بدلاً من التقاط الهاتف. ### 7.3 ما تكشفه المراقبة الخاصة بـ Corbado بشكل فريد حول الاعتماد الرقمي تعرف معظم شركات التأمين أن معدل الاعتماد الرقمي الخاص بها أقل مما تريد. ما لا يمكنهم الإجابة عليه هو **لماذا**. هل هو عدم توافق الجهاز؟ احتكاك تدفق التسجيل؟ نظام تشغيل أو متصفح معين تفشل فيه مفاتيح المرور بصمت؟ شريحة ديموغرافية لا تتلقى أي مطالبة؟ هذا هو المكان الذي توفر فيه مراقبة المصادقة من Corbado شيئًا لا تقدمه أي أداة أخرى في السوق: القدرة على ربط بيانات المصادقة عن بُعد مباشرة بمقاييس الأعمال مثل معدل الاعتماد الرقمي، ومعدل إكمال الخدمة الذاتية، وهجرة القنوات. تكشف Corbado عن: - **أين ينسحب حاملو الوثائق من مسار المصادقة** - ليس فقط "فشل تسجيل الدخول" ولكن أي مرحلة من مراحل الاحتفال، وعلى أي جهاز، ولأي شريحة مستخدمين. - **أي المجموعات عالقة في الأساليب القديمة** - على سبيل المثال، حاملو الوثائق الذين تزيد أعمارهم عن 60 عامًا والذين يستخدمون Android والذين لا يرون أبدًا مطالبة بمفتاح المرور لأن أجهزتهم غير متوافقة، مما يوجههم بصمت إلى الرسائل القصيرة ثم إلى مركز الاتصال. - **الرابط المباشر بين نجاح المصادقة والارتباط الرقمي** - إذا زاد معدل نجاح تسجيل الدخول بمقدار 10 نقاط مئوية، فما مقدار زيادة استخدام الخدمة الذاتية للبوابة؟ كم عدد المكالمات الأقل التي تصل إلى مركز الاتصال؟ بالنسبة إلى رئيس قسم المعلومات (CIO) أو نائب الرئيس الأول للقطاع الرقمي الذي يقدم عرضًا لمجلس الإدارة، فإن هذا يحول "لقد أطلقنا مفاتيح المرور" إلى "زادت مفاتيح المرور من اعتماد الخدمة الذاتية الرقمية بنسبة X٪، وقللت من حجم مركز الاتصال بنسبة Y٪ ووفرت Z دولار أمريكي كل ربع سنة." هذه هي الرواية الاستراتيجية التي تبرر الاستثمار وتسرع خارطة طريق التحول الرقمي الأوسع. ## 8. كيف تساعد Corbado شركات التأمين على نشر مفاتيح المرور تمتلك معظم شركات التأمين بالفعل منصة CIAM (مثل Ping، ForgeRock، Okta) يمكنها التعامل مع احتفال WebAuthn. ما يفتقرون إليه هو طبقة الاعتماد التي تحول "نحن ندعم مفاتيح المرور" إلى "50٪ من حاملي الوثائق لدينا يستخدمون مفاتيح المرور." توفر Corbado تلك الطبقة. ### 8.1 محرك الاعتماد تتعامل مكونات واجهة المستخدم المُصممة مسبقًا من Corbado ومنطق القرار مع رحلة التسجيل التي تتركها منصات CIAM للتطوير المخصص: - **مطالبات التسجيل السياقية** تظهر في لحظات عالية الثقة (مباشرة بعد فحص MFA ناجح) بدلاً من أن تكون مدفونة في إعدادات الحساب. - **الإلحاح التدريجي** ينتقل من التنبيهات "الاختيارية" إلى "الموصى بها" إلى "الإلزامية" على مدى جدول زمني قابل للتكوين، مما يتطابق مع منحنى الاعتماد لمدة 12-18 شهرًا الذي تحتاجه معظم شركات التأمين. - **اختبار A/B** لرسائل التسجيل والتوقيت والموضع لتحسين معدلات التحويل عبر شرائح حاملي الوثائق المختلفة وخطوط الإنتاج. ### 8.2 ذكاء الجهاز تحتفظ Corbado بمصفوفة محدثة باستمرار لتوافق مفتاح المرور على مستوى الجهاز: - إذا كان طراز Samsung معين لديه تنفيذ مكسور لمفتاح المرور، فإن Corbado تمنع المطالبة تلقائيًا، وتوجه المستخدم إلى بديل دون إحباط. - [ذكاء مفتاح المرور (Passkey Intelligence)](https://docs.corbado.com/corbado-connect/features/passkey-intelligence) يكتشف قدرات الجهاز قبل المطالبة، مما يمنع أخطاء "توقف العملية" التي تسبب ارتفاعات في الدعم. - يتم التعامل مع تنوع الأجهزة الخاصة بالتأمين (الأجهزة اللوحية القديمة التي يستخدمها المتقاعدون، ومحطات عمل الوكالات المشتركة، وأجهزة الكمبيوتر المحمولة التي تديرها الشركات) من خلال سياسات الثقة القابلة للتكوين. ### 8.3 البدائل الذكية تمنع Corbado الإغلاق الدائم عن طريق توجيه المستخدمين بذكاء إلى بدائل عندما لا يكون أجهزتهم أو بيئتهم جاهزة لمفتاح المرور: - يرى حاملو الوثائق على الأجهزة غير المتوافقة انتقالًا سلسًا إلى أفضل طريقة تالية بدلاً من شاشة خطأ. - تدفقات الاسترداد التي تستخدم إثبات الهوية (eKYC، فحص المعرف + حيوية) تسمح بإعادة التسجيل دون تدخل مركز الاتصال. - تستوعب سياسات التراجع الخاصة بالوكيل محطات العمل المشتركة وبيئات الوكيل بالشركات التي تحظر التدفقات الهجينة (رمز الاستجابة السريعة). ### 8.4 القياس عن بُعد الجنائي توفر Corbado "رؤية الأشعة السينية" التي لا تستطيع سجلات CIAM من جانب الخادم توفيرها: - **لوحة معلومات ثقة الجهاز** تكشف عن معدلات النجاح حسب نوع مفتاح المرور وتصنيف الجهاز وتغطية عامل SCA. - **اكتشاف الشذوذ في الوقت الفعلي** يشير إلى أنماط غير عادية (ارتفاعات في الأجهزة المشتركة، التسجيل من بيئات مشبوهة) قبل أن تصبح حوادث أمنية. - **إعداد تقارير جاهزة للتدقيق** يمنح مديري أمن المعلومات (CISOs) البيانات اللازمة لشهادة NYDFS السنوية وامتحانات NAIC وتقارير مجلس الإدارة الداخلية. لا تحل Corbado محل مكدس CIAM الحالي لديك. إنها تجلس أمامه، للتعامل مع التعقيد الواقعي لتجزئة الأجهزة، وتعليم المستخدم والرؤية التشغيلية التي تحدد ما إذا كان استثمارك في مفتاح المرور يوفر عائدًا على الاستثمار أو يتوقف عند أقل من 1٪ من الاعتماد. ## 9. الخلاصة تتعرض بوابات عملاء التأمين لضغوط من اتجاهات متعددة في وقت واحد: تزايد هجمات ATO، والبنية التحتية المكلفة لـ SMS OTP، وعبء مركز الاتصال بسبب عمليات إعادة تعيين كلمة المرور، وتشديد التوقعات التنظيمية عبر الولايات المتحدة والاتحاد الأوروبي وأستراليا وكندا - وتفويض استراتيجي لتحويل حاملي الوثائق من القنوات البشرية عالية التكلفة إلى الخدمة الذاتية الرقمية. تعالج مفاتيح المرور جميع المشكلات الخمس من خلال التخلص من بيانات الاعتماد القابلة للتصيد، وإزالة التكاليف لكل مصادقة، وتقليل عبء الدعم، والمواءمة مع التحول نحو MFA أقوى وإزالة احتكاك تسجيل الدخول الذي يعيق الاعتماد الرقمي. أثبتت Aflac (500000 تسجيل، معدل نجاح 96٪)، و Branch Insurance (تخفيض بنسبة 50٪ في التذاكر) و HealthEquity (طرح إلزامي بدون خيار انسحاب) بالفعل أن الاعتماد على نطاق واسع ينجح. المفتاح هو التعامل مع مفاتيح المرور كرحلة منتج بدلاً من مربع اختيار بنية تحتية: الاستثمار في تدفقات التسجيل، وتجهيز العميل، وتخطيط البدائل وبناء القياس عن بُعد الذي يربط أداء المصادقة بمقاييس الأعمال التي يهتم بها مجلس الإدارة بالفعل - معدل الاعتماد الرقمي، وتحويل مركز الاتصال، وإكمال الخدمة الذاتية. استخدم [نموذج نضج مصادقة التأمين](#6-what-is-the-insurance-authentication-maturity-model) لقياس موقفك الحالي، وحدد هدفًا لمدة 12-18 شهرًا وقم بالإبلاغ عن التقدم المنظم لمجلس إدارتك والمنظمين. ## الأسئلة الشائعة ### كيف تقلل مفاتيح المرور من مخاطر الاستيلاء على الحسابات في بوابات عملاء التأمين؟ تستخدم مفاتيح المرور تشفير المفتاح العام والخاص المرتبط بنطاق شركة التأمين، مما يجعلها محصنة ضد هجمات التصيد الاحتيالي وحشو بيانات الاعتماد ومبادلة بطاقة SIM التي تعاني منها كلمات المرور وكلمات المرور لمرة واحدة عبر الرسائل القصيرة. أبلغت Aflac عن معدل نجاح في تسجيل الدخول بنسبة 96٪ بعد نشر مفاتيح المرور، وشهدت Branch Insurance انخفاضًا في تذاكر الدعم بنسبة 50٪ تقريبًا. ولأنه لا يتم نقل أي سر مشترك أثناء المصادقة، فلا يمكن للمهاجمين جمع بيانات اعتماد قابلة لإعادة الاستخدام حتى لو كانوا يسيطرون على الشبكة. ### ما هي أطر الامتثال التي تشكل متطلبات المصادقة لبوابات عملاء التأمين وكيف تساعد مفاتيح المرور؟ في الولايات المتحدة، تدفع قاعدة NYDFS Part 500 وقاعدة ضمانات FTC وقانون نموذج أمن بيانات التأمين التابع لـ NAIC جميع شركات التأمين نحو مصادقة متعددة العوامل (MFA) أقوى. خارج الولايات المتحدة، تخضع شركات التأمين في الاتحاد الأوروبي لقانون DORA، وشركات التأمين الأسترالية لـ APRA CPS 234 وشركات التأمين الكندية لـ OSFI Guideline B-13، والتي ترفع جميعها التوقعات حول ضوابط المصادقة للأنظمة المواجهة للعملاء. تساعد مفاتيح المرور لأنها توفر مصادقة MFA مقاومة للتصيد الاحتيالي باستخدام بيانات اعتماد التشفير FIDO2/WebAuthn مع تقليل الاعتماد على تدفقات كلمات المرور لمرة واحدة عبر الرسائل القصيرة الأضعف. ### كيف تقارن مفاتيح المرور مع كلمات المرور لمرة واحدة عبر الرسائل القصيرة، وTOTP، وثقة الجهاز للمصادقة على بوابات التأمين؟ تبلغ تكلفة رسائل SMS OTP من 0.01 دولار أمريكي إلى 0.05 دولار أمريكي لكل رسالة على نطاق واسع، وهي عرضة لمبادلة بطاقة SIM والتصيد الاحتيالي وتولد عبئًا كبيرًا على مراكز الاتصال بسبب فشل التسليم. تقضي تطبيقات TOTP على تكلفة كل رسالة ولكنها تظل عرضة للتصيد الاحتيالي وتتطلب إدخال رمز يدوي. تقلل ثقة الجهاز من الاحتكاك على الأجهزة المعروفة ولكنها لا توفر أي مقاومة للتصيد الاحتيالي. تجمع مفاتيح المرور بين الأمان المقاوم للتصيد الاحتيالي مع تكلفة مصادقة صفرية وأوقات تسجيل دخول أقل من ثانيتين، مما يجعلها الطريقة الوحيدة التي تسجل أعلى الدرجات عبر أبعاد الأمان وتجربة المستخدم والتكلفة والامتثال. ### ما الذي يجعل طرح مفاتيح المرور مختلفًا لشركات التأمين مقارنة بالبنوك أو شركات SaaS؟ تواجه شركات التأمين تعقيد البوابات متعددة العلامات التجارية حيث قد تعمل منتجات السيارات والمنازل والحياة على نطاقات فرعية منفصلة تتطلب استراتيجية rpID موحدة. تتعامل منصات CIAM القديمة مثل Ping أو ForgeRock أو Okta مع WebAuthn في الخلفية ولكنها توفر أدوات اعتماد محدودة. تتطلب تدفقات الوكلاء مقابل حاملي الوثائق مستويات ثقة وملفات تعريف أجهزة مختلفة. يمتد الضغط التنظيمي أيضًا إلى ولايات قضائية متعددة: تواجه شركات التأمين الأمريكية NYDFS Part 500 وقانون نموذج NAIC وقاعدة ضمانات FTC، وتخضع شركات التأمين في الاتحاد الأوروبي لـ DORA، وتجيب شركات التأمين الأسترالية على APRA CPS 234 وشركات التأمين الكندية على OSFI Guideline B-13. يتطلب ذلك خطة طرح تفي بأشد المعايير المعمول بها. ### ما هو نموذج نضج مصادقة التأمين وكيف يمكن لشركات التأمين استخدامه لقياس تقدمها؟ يحدد نموذج نضج مصادقة التأمين أربعة مستويات: المستوى 1 (الرسائل القصيرة فقط) مع كلمة مرور لمرة واحدة أحادية العامل وبدون مقاومة للتصيد الاحتيالي؛ المستوى 2 (تمكين MFA) بكلمة مرور زائد رسائل قصيرة أو TOTP تفي بالامتثال الأساسي؛ المستوى 3 (مقاوم للتصيد الاحتيالي) مع نشر مفاتيح المرور وتأمين التسجيل والبدائل الذكية؛ المستوى 4 (مقاوم للتصيد الاحتيالي + المراقبة) مع القياس الكامل عن بُعد وثقة الجهاز والمراقبة المستمرة. يمكن لشركات التأمين استخدام النموذج لتحديد مستواها الحالي وتحديد المعالم المستهدفة والإبلاغ عن التقدم المحرز إلى مجالس الإدارة والجهات التنظيمية.