مفاتيح مرور Finom: ثورة في أمان الخدمات المصرفية

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

تحتاج الخدمات المصرفية الحديثة إلى أفضل مستويات الأمان، مع تسهيل حياة العملاء في الوقت نفسه. لهذا السبب، اتخذت Finom، وهي شركة تكنولوجيا مالية رائدة مقرها أمستردام، خطوة كبيرة إلى الأمام من خلال تقديم مفاتيح المرور (passkeys) كطريقة مصادقة أساسية جديدة لتطبيق الويب الخاص بها. في شهادة على الابتكار، لا يتحدى تطبيق Finom لمفاتيح المرور نموذج كلمة المرور التقليدي (+ المصادقة متعددة العوامل التقليدية عبر رسائل SMS OTP) فحسب، بل يتماشى أيضًا مع الطلب المتزايد على تجارب مستخدم أكثر أمانًا وملاءمة وتركيزًا على الخصوصية. تتعمق هذه المقالة في الإعدادات التقنية والفوائد التي تعود على المستخدم النهائي من تطبيق مفاتيح المرور في Finom، وتقدم رؤى حول سبب كون هذا النهج قد يبشر بعصر جديد لمفاتيح المرور في الخدمات المصرفية والمالية.

تمثل مفاتيح المرور نقلة نوعية في المصادقة، حيث تبتعد عن الأنظمة القائمة على كلمات المرور الضعيفة إلى مصادقة أكثر أمانًا ومقاومة للتصيد الاحتيالي (phishing). يتبنى تطبيق الويب الخاص بـ Finom هذه التقنية، مما يسمح للمستخدمين بالمصادقة عبر أجهزة مختلفة - أجهزة الكمبيوتر أو الهواتف الذكية أو مفاتيح الأمان المادية (hardware security keys) (مثل YubiKeys)، وبالتالي يدعم أيضًا أدوات المصادقة (authenticators) عبر المنصات المختلفة والمتنقلة.

Finom has introduced passkeys

Join them

تضمن Finom إمكانية وصول واسعة من خلال التوافق مع معايير الصناعة لتوافق المتصفحات وأنظمة التشغيل. تدعم إصدارات المتصفح التالية مفاتيح المرور (وفقًا للأسئلة الشائعة الرسمية حول مفاتيح مرور Finom):

• Chrome (v105+)
• Safari (v16+)
• Edge (v105+)

على عكس الأسئلة الشائعة الرسمية حول مفاتيح مرور Finom، نجحت المصادقة باستخدام مفاتيح المرور أيضًا أثناء اختبارنا على أحدث إصدار من Firefox (v122) على Windows 11 23H2 و macOS Sonoma 14.2.1.

فيما يتعلق بدعم أنظمة التشغيل بشكل عام، بالنسبة لأجهزة سطح المكتب، اختبرنا المصادقة باستخدام مفاتيح المرور بنجاح على Windows 11 و macOS Sonoma (لا يوجد حد أدنى رسمي لإصدار نظام التشغيل مذكور في الأسئلة الشائعة).

يجب على مستخدمي الأجهزة المحمولة التأكد من تحديث أنظمتهم إلى iOS 16+ أو Android 9+ للحصول على دعم كامل لمفاتيح المرور. والخبر السار هو أن غالبية الأجهزة المحمولة (أكثر من 94%) تدعم بالفعل مفاتيح المرور.

تدعم عملية إنشاء مفاتيح المرور في Finom النطاق الكامل لمفاتيح المرور، باستخدام مجموعة متنوعة من أوضاع النقل بما في ذلك USB و NFC و BLE والوضع الهجين (hybrid) والخيارات الداخلية. تضمن هذه المرونة أن يكون لدى المستخدمين خيارات متعددة للمصادقة، تناسب تفضيلاتهم الشخصية أو احتياجاتهم الظرفية.

بعض الجوانب التي يجب تسليط الضوء عليها من إعدادات خادم WebAuthn والتحليل الأعمق لـ PublicKeyCredentialCreationOptions:

{
    "attestation": "direct",
    "authenticatorSelection": {
        "residentKey": "discouraged",
        "userVerification": "required"
    },
    "challenge": "JWi0v7X1X-O1UvXB_I5q2A",
    "excludeCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        },
        {
            "alg": -37,
            "type": "public-key"
        },
        {
            "alg": -35,
            "type": "public-key"
        },
        {
            "alg": -258,
            "type": "public-key"
        },
        {
            "alg": -38,
            "type": "public-key"
        },
        {
            "alg": -36,
            "type": "public-key"
        },
        {
            "alg": -259,
            "type": "public-key"
        },
        {
            "alg": -39,
            "type": "public-key"
        },
        {
            "alg": -8,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "app.finom.co",
        "name": "app.finom.co"
    },
    "user": {
        "displayName": "Vincent Delitz",
        "id": "dmluY2RlbGl0aaBhb2wuY29t",
        "name": "vincent@corbado.com"
    }
}

• استخدام معامل excludeCredentials لتجنب إنشاء مفتاح مرور جديد على جهاز يحتوي بالفعل على مفاتيح مرور.
• تم تعيين Relying Party ID إلى app.finom.co لضمان مصادقة آمنة خاصة بالنطاق.
• يتطلب attestation المباشر من الأجهزة تقديم بيانات attestation، مما يثبت صحة بيانات اعتماد المصادقة.
• userVerification مطلوب، مما يضمن أن المستخدم الشرعي فقط يمكنه بدء عملية المصادقة.
• عدم تشجيع استخدام residentKeys حيث لم يتم طرح واجهة المستخدم الشرطية (Conditional UI) بعد. ومع ذلك، يعتمد سلوك إنشاء مفتاح المرور كثيرًا على أدوات المصادقة (authenticators) وما إذا كانت تأخذ قيمة residentKeys في الاعتبار. علاوة على ذلك، ستستفيد Finom بالفعل من إنشاء مفاتيح مقيمة لدعم واجهة المستخدم الشرطية (Conditional UI) في المستقبل. من ناحية أخرى، يوفر هذا القرار مساحة تخزين على مفاتيح الأمان المادية (security keys) (مثل YubiKeys)، حيث غالبًا ما تكون سعتها محدودة للمفاتيح المقيمة.

تعتبر PublicKeyCredentialRequestOptions بنفس القدر من الأهمية، حيث تسهل عملية المصادقة بتكوينات تضمن المرونة والأمان:

PublicKeyCredentialRequestOptions.json
{
    "allowCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "challenge": "s4R8Fsy7iSxxWIgUr7iTLA",
    "rpId": "app.finom.co",
    "userVerification": "discouraged"
}

• تم تعيين allowCredentials (يتم تعيين جميع بيانات الاعتماد بشكل مستقل عن الجهاز الذي يستخدمه المستخدم كعميل) للتأكد من أنه لا يمكن استخدام سوى مفاتيح المرور المسجلة.
• userVerification غير مشجع، وهو أمر مثير للاهتمام في عملية تسجيل الدخول، حيث أنه مطلوب في عملية إنشاء مفتاح المرور.

أحد الجوانب المستقبلية في تطبيق مفاتيح المرور من Finom هو إمكانية مشاركة مفاتيح المرور عبر الأجهزة. من خلال تحليل ملفات الربط المتوفرة على https://app.finom.co/.well-known/assetlinks.json لنظام Android و https://app.finom.co/.well-known/apple-app-site-association لنظام iOS، يتضح أن Finom تضع الأساس لتكامل سلس لمفاتيح المرور عبر تطبيقات الويب وتطبيقات الهاتف المحمول الأصلية. يمكن إضافة دعم المشاركة عبر الأجهزة بسرعة، على سبيل المثال، استخدام مفتاح مرور macOS من تطبيق الويب أيضًا في تطبيق iOS الأصلي عبر مزامنة iCloud Keychain. تعد هذه المبادرة بتعزيز تجربة المستخدم بشكل أكبر من خلال تمكين المصادقة السهلة عبر مختلف المنصات والأجهزة.

في صميم تطبيق مفاتيح المرور من Finom يكمن الالتزام بإعطاء الأولوية لثلاثة جوانب أساسية: أمان لا مثيل له، وبساطة لا تضاهى، وخصوصية بيانات لا تقبل المساومة.

• الأمان: تم تصميم نظام مفاتيح المرور في Finom لإنشاء حاجز ضد التهديدات السيبرانية. على عكس كلمات المرور التقليدية، ترتبط مفاتيح المرور بشكل آمن بجهاز المستخدم ونطاق Finom المعتمد، مما يقضي فعليًا على خطر التصيد الاحتيالي (phishing) والوصول الاحتيالي.
• البساطة: تتجلى البساطة في مصادقة مفاتيح المرور من Finom من خلال عملية تسجيل الدخول الفورية. باستخدام Face ID أو Touch ID أو Windows Hello، يمكن للمستخدمين الوصول إلى حساباتهم في ثوانٍ معدودة، دون عناء كتابة كلمات مرور معقدة. لا تعزز عملية المصادقة المبسطة هذه راحة المستخدم فحسب، بل تقلل أيضًا بشكل كبير من أوقات تسجيل الدخول، مما يضع معيارًا جديدًا لسهولة الوصول في قطاع الخدمات المصرفية.
• خصوصية البيانات: تولي Finom أولوية قصوى لخصوصية وأمان بيانات المستخدم. من خلال استخدام نظام تبقى فيه مفاتيح المرور مرتبطة بجهاز المستخدم، تضمن Finom أن المعلومات الشخصية، بما في ذلك البيانات البيومترية، تظل تحت سيطرة المستخدم ولا تتم مشاركتها أبدًا مع الخادم. لا يحمي هذا النهج خصوصية المستخدمين فحسب، بل يمنحهم أيضًا الثقة في أن معلوماتهم الشخصية والمالية محمية ضد الوصول غير المصرح به والانتهاكات.

على الأجهزة الجديدة، يحتاج المستخدم إلى تأكيد إنشاء مفتاح المرور إما في تطبيق Finom الأصلي على iOS / Android عبر إشعار فوري أو باستخدام رابط سحري عبر البريد الإلكتروني. حتى يتم تقديم التأكيد، لا يمكن للمستخدم إنشاء مفتاح مرور.

تأكيد طلب إنشاء مفتاح المرور عبر البريد الإلكتروني:

بدلاً من ذلك، يمكنك تأكيد طلب إنشاء مفتاح المرور عبر إشعار فوري (هنا تطبيق Android الأصلي):

بعد إنشاء مفتاح المرور بنجاح، سترى هذه النافذة المنبثقة:

تبسط Finom تجربة تسجيل الدخول بجعل مفاتيح المرور طريقة المصادقة الافتراضية (passkey-first) بمجرد إدخال عنوان البريد الإلكتروني للمستخدم والنقر على "متابعة" (لا يتم عرض حقل كلمة المرور افتراضيًا). يعزز هذا النهج المباشر تجربة المستخدم عن طريق إزالة الخيارات غير الضرورية وتقليل أولوية كلمات المرور. ومع ذلك، فإن غياب واجهة المستخدم الشرطية (Conditional UI) يمثل مجالًا محتملاً للتحسين في المستقبل.

عند إلغاء تدفق تسجيل الدخول بمفتاح المرور في النافذة المنبثقة لمفتاح المرور، يتلقى المستخدم التحذير التالي:

إذا قرر المستخدم النقر على "إعادة المحاولة"، يبدأ تدفق تسجيل الدخول بمفتاح المرور مرة أخرى وتظهر النافذة المنبثقة لمفاتيح المرور (مثل Face ID، Touch ID، Windows Hello) مما يسمح للمستخدم بمسح البيانات البيومترية مرة أخرى.

إذا قرر المستخدم النقر على "جرب طريقة أخرى"، يتم توجيهه إلى تسجيل الدخول القديم باستخدام حقول إدخال عنوان البريد الإلكتروني وكلمة المرور:

تنصح Finom بشدة بعدم استخدام الأجهزة غير الخاصة أو المتاحة للجمهور للمصادقة باستخدام مفاتيح المرور (على سبيل المثال في المكتبات العامة). يكمن الخطر الكامن في هذه الأجهزة في إمكانية الوصول إليها؛ أي شخص يمكنه فتح الجهاز (سواء من خلال كلمة مرور أو قفل شاشة أو بيانات بيومترية مثل بصمات الأصابع أو التعرف على الوجه المسجلة على الجهاز) لديه القدرة على المصادقة باسمك والوصول إلى حسابك.

احتضانًا لواقع تعدد الأجهزة لمستخدمي اليوم، تدعم Finom المصادقة عبر الأجهزة (النقل الهجين) باستخدام مسح رمز الاستجابة السريعة وفحوصات القرب عبر البلوتوث. تتيح هذه الميزة تجربة مصادقة سلسة عبر أجهزة مختلفة، مما يسهل تسجيل الدخول السلس من مفتاح مرور مخزن على جهاز محمول أثناء محاولة الوصول إلى Finom من بيئة سطح المكتب.

قدمت Finom ميزات إدارة مفاتيح مرور بديهية تمكن المستخدمين من تخصيص طرق المصادقة الخاصة بهم والتحكم فيها. تعكس هذه الميزات، بما في ذلك القدرة على إعادة تسمية وإزالة مفاتيح المرور، فهمًا عميقًا لضرورة المرونة والأمان في إدارة الوصول الرقمي.

• مفاتيح مرور متعددة لأجهزة مختلفة: توصي Finom بإنشاء مفاتيح مرور متعددة عبر أجهزة المستخدمين. يضمن هذا النهج الوصول غير المنقطع إلى خدمات Finom عبر مفاتيح المرور، مما يلبي تجربة سلسة متعددة الأجهزة.
• منع التكرار الذكي: بالاستفادة من معامل excludeCredentials في PublicKeyCredentialCreationOptions، تمنع Finom إنشاء مفاتيح مرور مكررة على نفس الجهاز. لا يعزز هذا الإجراء الأمان فحسب، بل يبسط أيضًا تجربة المستخدم من خلال ضمان أن يكون لكل جهاز مفتاح مرور فريد.
• تأكيد حذف مفتاح المرور يتطلب المصادقة بمفتاح المرور: قبل إزالة مفتاح المرور، يُطلب من المستخدمين مصادقة الإجراء باستخدام مفتاح مرور. تؤكد هذه الطبقة الإضافية من الأمان على الأهمية التي توليها Finom لحماية وصول المستخدم وتضمن أن المالك الشرعي فقط هو الذي يمكنه إجراء مثل هذه التغييرات الهامة.

لاحظ أن منطق اكتشاف الأيقونات ليس ذكيًا كما قد يبدو في البداية. لقد قمت بتخزين مفاتيح المرور لـ Google Password Manager على جهاز Android الخاص بي، ومع ذلك يتم عرضه كـ Windows. ينطبق الشيء نفسه على أدوات المصادقة (authenticators) عبر المنصات والمتنقلة مثل YubiKeys التي لا ترتبط بطبيعتها بنظام تشغيل معين.

بعد الإنشاء الناجح لمفتاح المرور، سيتلقى المستخدم إشعارًا عبر البريد الإلكتروني:

في حالة اضطرار المستخدم إلى إعادة تعيين كلمة المرور الخاصة به، لا يتم حذف ربط الجهاز بتطبيق iOS / Android الأصلي فحسب، بل يتم أيضًا حذف جميع مفاتيح المرور الخاصة بك. لنكون أكثر دقة، يتم حذف المفاتيح العامة لمفاتيح المرور من جانب الخادم مما يجعل تسجيل الدخول باستخدام مفاتيح المرور مستحيلاً (حتى بعد استعادة ربط الجهاز). تظل المفاتيح الخاصة لمفتاح المرور على الجهاز ولكنها غير مجدية لمحاولات تسجيل الدخول اللاحقة.

إن تطبيق مفاتيح المرور من Finom ليس مجرد تعزيز للأمان وتجربة المستخدم؛ بل هو خطوة استراتيجية نحو توفير التكاليف من أنظمة SMS OTP التقليدية ووضع نفسها كشركة تكنولوجيا مالية حديثة ورقمية واثقة من قدرتها على منافسة البنوك والمؤسسات المالية القائمة. يُظهر التصميم الحالي للنظام وعدًا، مع وجود مجال للتوسع في دعم التطبيقات الأصلية، وطرح واجهة المستخدم الشرطية (Conditional UI)، وتأكيد المعاملات عبر مفاتيح المرور.

من خلال الابتعاد عن SMS OTP - وهي طريقة شابتها تاريخيًا ثغرات أمنية - تضع Finom الأساس لفوائد كبيرة في استراتيجية المصادقة والمصادقة متعددة العوامل (MFA) الخاصة بها. لا يخفف هذا الانتقال من المخاطر المرتبطة بـ SMS OTP فحسب، بل يتماشى أيضًا مع مهمة Finom لتسخير أحدث التقنيات لحماية بيانات المستخدم، وتعزيز تجربة المستخدم المصرفية، وتوفير تكاليف كبيرة للمصادقة متعددة العوامل عبر SMS OTP.

خلال اختبارنا، حددنا بعض المجالات الرئيسية للتحسين:

• توسيع دعم مفاتيح المرور إلى التطبيقات الأصلية: إدراكًا لانتشار الخدمات المصرفية عبر الهاتف المحمول، نأمل أن تطرح Finom قريبًا دعم مفاتيح المرور لتطبيقاتها الأصلية على iOS و Android، وهو ما سيلتزم أيضًا باستراتيجيتها التي تركز على الهاتف المحمول أولاً. كمستخدم، خاصة القادم من جهاز سطح مكتب macOS، يمكن تبسيط تسجيل الدخول على تطبيق iOS لجهاز iPhone باستخدام نفس iCloud Keychain المتصل بشكل كبير مقارنة بتجربة تسجيل الدخول الحالية.
• المصادقة بمفتاح المرور فقط: بمرور الوقت، نتوقع أيضًا أن تروج Finom لمفاتيح المرور كعامل أول ووحيد على الأجهزة الجاهزة لمفاتيح المرور. يشمل هذا أيضًا إنشاء حسابات جديدة باستخدام مفاتيح المرور كشكل وحيد للمصادقة (مع بعض الحلول البديلة كنسخ احتياطي).
• تطبيق واجهة المستخدم الشرطية (Conditional UI): سيكون إدخال واجهة المستخدم الشرطية (Conditional UI) تحسينًا رئيسيًا آخر لتجربة المستخدم أثبت نجاحه الكبير في تبني مفاتيح المرور لدى لاعبين آخرين.
• استخدام مفاتيح المرور لتأكيد الدفع: خلال اختبارنا، قمنا أيضًا بإجراء دفعة اختبارية للتحقق مما إذا كان تأكيد الدفع يعمل مع مفاتيح المرور أيضًا. ومع ذلك، لا تزال Finom تستخدم إشعارات الدفع الفوري للتطبيقات الأصلية و SMS OTP للتأكيد (وهذا الأخير يمثل محركًا كبيرًا للتكلفة). قد يكون هذا لأغراض تنظيمية ولكننا نأمل أن يتم استخدام مفاتيح المرور هنا في المستقبل أيضًا.

Become part of our Passkeys Community for updates & support.

Join

لا يزال هناك سؤال واحد دون إجابة في استراتيجية مفاتيح المرور الخاصة بـ Finom: ما هو موقف Finom من الامتثال لـ PSD2 و SCA مع مفاتيح المرور؟ لم يتم تناول هذه المسألة بشكل كامل بشكل عام، ولكن كان من المثير للاهتمام معرفة المزيد عن وجهة نظر Finom في هذا الشأن. لمزيد من الأفكار والأفكار حول امتثال مفاتيح المرور لـ PSD2، راجع هذه المقالة.

يعد طرح مفاتيح المرور من Finom مثالًا رئيسيًا لقطاع الخدمات المصرفية والمالية، حيث يوضح كيف يمكن لشركات التكنولوجيا المالية أن تقود في تبني تدابير أمنية متقدمة تلبي احتياجات المستخدمين المعاصرين. من خلال تقديم تحليل مفصل لنظام مفاتيح المرور في Finom، تهدف هذه المقالة إلى مساعدة مطوري البرامج الآخرين ومديري المنتجات والمتخصصين في الأمن على التعرف على تطبيق مفاتيح المرور في القطاع المالي والمصرفي.