مشكلات مفاتيح المرور في اليوم الثاني: 5 مخاطر بعد الإطلاق

تمت ترجمة هذه الصفحة تلقائياً. اقرأ النسخة الأصلية باللغة الإنجليزية هنا.

حقائق أساسية

انخفاض الاعتمادية هو الفشل الأكثر شيوعاً: المؤسسات التي تتخطى استراتيجية النشر تشهد استخداماً لمفاتيح المرور يقل عن 5% على الرغم من التنفيذ السليم من الناحية الفنية، مما يلغي الاستثمار الهندسي بأكمله.
تصميم الاسترداد الاحتياطي يحدد ما إذا كنت ستعيد إدخال مخاطر التصيد الاحتيالي أو ستقوم بحظر المستخدمين على نطاق واسع. عمليات إعادة التعيين المستندة إلى البريد الإلكتروني تتجاوز مفاتيح المرور المقاومة للتصيد الاحتيالي بالكامل إذا كان المهاجم يتحكم في صندوق الوارد.
تغييرات المنصات تؤدي إلى تعطيل مفاتيح المرور بصمت، كما اتضح من خطأ في نظام iOS 26.2 حيث تُرجع الدالة isUserVerifyingPlatformAuthenticatorAvailable() قيمة خاطئة (false) على جميع المتصفحات غير Safari، مما يتطلب تحديثات في منطق الاكتشاف.
تعقيد التطبيقات الأصلية يضاعف مساحة ضمان الجودة (QA) ثلاث مرات عبر الويب وiOS وAndroid، مع رموز خطأ خاصة بكل منصة ودورات مراجعة في متجر التطبيقات تعيق الإصلاحات العاجلة لتراجعات مفاتيح المرور.

1. المقدمة: مخاطر مفاتيح المرور بعد الإطلاق#

لا تقم بتنفيذ مفاتيح المرور.

على الأقل ليس بأي ثمن، وليس إذا لم يكن لديك الموارد اللازمة للقيام بذلك بشكل صحيح.

الورقة البيضاء للمؤسسات حول Passkeys. إرشادات عملية وأنماط إطلاق ومؤشرات KPI لبرامج passkeys.

احصل على الورقة البيضاء

نعم، مفاتيح المرور هي أفضل ما حدث لمصادقة المستهلكين خلال عقد من الزمن. نعم، إنها تقضي على التصيد الاحتيالي. ونعم، يمكنها تحسين تجربة المستخدم (UX) بشكل هائل. ولكن التنفيذ الخاطئ لمفاتيح المرور يمكن أن يسبب الكثير من الضرر أيضاً.

تنفيذ خادم WebAuthn ليس بالأمر المعقد للغاية. التحدي الفعلي هو كل ما يحيط به. تشغيل مفاتيح المرور بكفاءة على نطاق واسع يحتاج إلى تخطيط مسبق. تحتاج إلى التفكير في جميع مشكلات "اليوم الثاني" - الحقائق التشغيلية التي تظهر فقط بعد بدء نشر مفاتيح المرور.

يغطي هذا المقال خمس مشكلات في اليوم الثاني تقضي باستمرار على مشاريع مفاتيح المرور. إذا لم تتمكن من حلها جميعاً، فأنت لست مستعداً لإطلاق مفاتيح المرور. إذا استطعت، فسوف تبني نظام مصادقة أكثر أماناً وأكثر سهولة في الاستخدام من أي شيء يمكن أن تقدمه كلمات المرور على الإطلاق.

أحدث المقالات

2. ما هي مشكلات مفاتيح المرور في اليوم الثاني؟#

في الهندسة، "اليوم الأول" هو عندما تقوم بالبناء والإطلاق. "اليوم الثاني" هو عندما تقوم بتشغيل وصيانة وتوسيع نطاق ما أطلقته. بالنسبة لمفاتيح المرور، يمكن أن يكون اليوم الأول مباشراً:

دمج خادم WebAuthn في حزمة التكنولوجيا الخاصة بمؤسستك
إضافة تدفقات الواجهة الأمامية والبدء.

يمكن لمعظم الفرق تشغيل تطبيق أساسي لمفتاح المرور في غضون أيام أو أسابيع قليلة.

اليوم الثاني هو حيث تفشل المشاريع. إنها اللحظة التي يتفاعل فيها المستخدمون الحقيقيون على أجهزة حقيقية مع حالات استثنائية حقيقية مع نظام مفاتيح المرور الخاص بك. إنها اللحظة التي تكتشف فيها أن العرض التوضيحي اللامع الذي عمل بشكل مثالي على جهاز MacBook الخاص بك يتعطل على كمبيوتر محمول يعمل بنظام Windows باستخدام متصفح Chrome خلف وكيل شبكة الشركة (proxy). إنها اللحظة التي يغرق فيها فريق الدعم الخاص بك بتذاكر "لم يعد بإمكاني تسجيل الدخول".

الفجوة بين عرض توضيحي لمفتاح مرور يعمل بشكل جيد ونشر مفتاح مرور على مستوى الإنتاج هائلة. لقد غطينا المزالق الفنية للتنفيذ والأسباب الاستراتيجية لفشل مشاريع مفاتيح المرور من قبل. يركز هذا المقال تحديداً على ما يحدث بعد البث المباشر من منظور العمليات.

3. المشكلة 1: صعوبة تأمين الاسترداد والآليات الاحتياطية#

إذا لم تقم بتصميم الاسترداد والآليات الاحتياطية (fallback) بشكل صحيح، فإما أنك ستحظر المستخدمين على نطاق واسع أو أنك ستعيد بصمت إدخال نفس التدفقات المعرضة للتصيد الاحتيالي التي أردت التخلص منها.

3.1 خطر حظر الحسابات على نطاق واسع#

تخيل مستخدماً يقوم بتسجيل مفتاح مرور على جهاز iPhone الخاص به، ثم يفقد ذلك الـ iPhone. عادةً، يتم التعامل مع جزء كبير من حالات الاسترداد هذه الآن بواسطة مدير بيانات الاعتماد (غالباً iCloud Keychain على أجهزة iPhone). طالما أن المستخدم لديه حق الوصول إلى حساب Apple الخاص به، فلديه مفاتيح مرور متزامنة متاحة لتسجيل الدخول على جهاز جديد. ولكن ماذا لو لم يعد لديهم إمكانية الوصول إلى ذلك الحساب السحابي؟ هنا يأتي دور مسار الاسترداد العادي الخاص بك.

لنفترض أنك تفترض أن المفتاح الخاص لا يزال متاحاً على الجهاز الذي يحاول المستخدم تسجيل الدخول منه، لذلك تبدأ مراسم تسجيل الدخول في WebAuthn. سيؤدي هذا إلى ظهور نافذة منبثقة من نظام التشغيل / المتصفح تطلب من المستخدم "تسجيل الدخول باستخدام مفتاح المرور الخاص بك على جهاز آخر". ببساطة، تم حظر المستخدم الآن من حسابه. لا يوجد جهاز آخر يتم تخزين مفتاح المرور عليه. يشعر المستخدم بالارتباك الشديد. اضرب هذا في آلاف المستخدمين وسيكون لديك أزمة دعم فني.

رد الفعل الشائع هو إضافة عمليات إعادة تعيين الحساب المستندة إلى البريد الإلكتروني كآلية احتياطية. لكن هذا يتعارض مع الغرض من مفاتيح المرور: لقد أعدت للتو إدخال قناة استرداد قابلة للتصيد. المهاجم الذي يمكنه اختراق البريد الإلكتروني للمستخدم يمكنه الآن تجاوز تنفيذ مفتاح المرور المقاوم للتصيد الاحتيالي تماماً.

3.2 تصميم الآلية الاحتياطية دون إعادة إدخال التصيد الاحتيالي#

في رأينا، النهج الصحيح هو الاسترداد متعدد الطبقات:

مفاتيح المرور المتزامنة كاستراتيجية أساسية: تأكد من قيام المستخدمين بإنشاء مفاتيح مرور متزامنة (عبر iCloud Keychain أو Google Password Manager أو مزود مفاتيح مرور خارجي) حتى لا يعني فقدان الجهاز فقدان بيانات الاعتماد
المصادقة عبر أجهزة متعددة كطبقة ثانية: اسمح للمستخدمين بالمصادقة من جهاز آخر حيث يتوفر مفتاح مرور آخر عن طريق مسح رمز الاستجابة السريعة (QR)
التحقق من الهوية (IDV) كطبقة ثالثة: قدم تحققاً آلياً من الهوية مع فحوصات الحيوية (liveness checks) بدلاً من اللجوء إلى كلمات المرور/رموز المرور لمرة واحدة (OTP).
بيانات الاعتماد الرقمية القابلة للتحقق كطبقة رابعة: هي النسخة الأكثر أماناً وحفاظاً على الخصوصية وسهولة في تجربة المستخدم لاسترداد الحساب. يتيح ذلك للمستخدم استخدام بيانات اعتماده الرقمية القابلة للتحقق (مثل الهوية الوطنية الرقمية أو mDL) للتحقق من هويته باستخدام واجهات برمجة التطبيقات القياسية (مثل واجهة برمجة تطبيقات بيانات الاعتماد الرقمية). هذه التكنولوجيا جديدة نسبياً واعتمادها ليس مرتفعاً لكنها ستلعب دوراً رئيسياً في الأشهر والسنوات القادمة.

بشكل عام، تحتاج إلى تحديد طبقات استرداد الحساب التي يمكن تبريرها من منظور التكلفة / الاحتكاك. على سبيل المثال، في قطاع التجزئة / التجارة الإلكترونية، قد تعرض الطبقتين الأولى والثانية فقط وتقبل مخاطر التصيد الاحتيالي لأسباب مالية. في الصناعات الأخرى، حيث يكون الأمان أكثر أهمية، تنتقل إلى الطبقتين 3 و 4.

تضيف كل طبقة تعقيداً. تحتاج إلى تحديد الطبقات التي تتطلبها حالة الاستخدام الخاصة بك، وبنائها، واختبارها عبر جميع مجموعات الأجهزة، ومراقبة استخدامها. هذا يتطلب جهداً أكبر بكثير من دمج WebAuthn الأولي.

3.3 ما تخطئ فيه معظم الفرق#

إما أن تقوم معظم الفرق بتبسيط عملية الاسترداد بشكل مفرط (الرجوع إلى كلمات المرور أو رسائل SMS OTP) أو تعقيدها بشكل مفرط (على سبيل المثال، طلب مفاتيح أمان الأجهزة لكل استرداد). يعتمد التوازن الصحيح على نموذج التهديد وقاعدة المستخدمين والمتطلبات التنظيمية. الفشل في تحقيق ذلك يعني إما إضعاف موقفك الأمني أو خلق الكثير من الاحتكاك لدرجة أن المستخدمين يتخلون عن العملية.

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.

See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.

Read the case study

4. المشكلة 2: الحالات الاستثنائية للأجهزة والأنظمة البيئية المتعددة تعطل تدفقات مفاتيح المرور#

مستخدموك لا يعيشون في عالم نقي مقتصر على أجهزة Apple. إنهم يبدلون الأجهزة، ويخلطون بين نظام Windows و iOS، ويستخدمون متصفحات مختلفة ويعملون على إعدادات تديرها الشركات. هذا هو المكان الذي تتعطل فيه تدفقات مفاتيح المرور إذا لم تكن قد خططت لذلك.

4.1 تشرذم النظام البيئي هو أمر واقع#

يمتد نظام مفاتيح المرور البيئي عبر ثلاث منصات رئيسية (Apple و Google و Microsoft)، ومتصفحات متعددة (Chrome و Safari و Firefox و Edge)، وعشرات مزودي مفاتيح المرور / مديري بيانات الاعتماد (مثل 1Password و Bitwarden و Dashlane وغيرها) ومجموعات لا حصر لها من أنظمة التشغيل/المتصفحات/الأجهزة. يمكن أن تتصرف كل مجموعة بشكل مختلف قليلاً، على سبيل المثال:

تقوم Apple بمزامنة مفاتيح المرور افتراضياً عبر iCloud Keychain على أنظمة iOS و iPadOS و macOS ولكن ليس على نظامي Windows أو Android
تقوم Google بالمزامنة عبر Google Password Manager عبر نظامي Android و Chrome ولكن التجربة على نظام iOS مختلفة (تحتاج إلى إعداده يدوياً)
يمتلك نظام Windows سلوك مفتاح مرور خاص به يختلف بشكل كبير عن المنصات الأخرى
يتعامل كل مدير كلمات مرور مع إنشاء واختيار مفتاح المرور بشكل مختلف، ويتعارض أحياناً مع المطالبات الأصلية للمنصة

4.2 تدفقات المصادقة عبر أجهزة متعددة#

عندما يقوم مستخدم بإنشاء مفتاح مرور على جهاز iPhone الخاص به ولكنه يريد تسجيل الدخول على كمبيوتر محمول يعمل بنظام Windows، فيمكنه استخدام المصادقة عبر أجهزة متعددة (عادةً عبر رمز QR و Bluetooth). هذا التدفق يعمل ولكنه هش:

يتطلب تمكين Bluetooth على كلا الجهازين
يمكن أن تتداخل جدران الحماية للشركات وسياسات إدارة الأجهزة المحمولة (MDM) نظراً لوجود نفق يتم إعداده في الخلفية
تختلف تجربة المستخدم بشكل كبير بين المتصفحات
غالباً لا يفهم المستخدمون ما يحدث أو لماذا يقومون بمسح رمز QR

لقد رأينا هذه الحالات الاستثنائية بشكل مباشر عبر آلاف من مجموعات الأجهزة. إذا كنت تقوم ببناء مفاتيح مرور داخلياً، فأنت بحاجة إلى اختبار والتعامل مع كل منها. إذا لم تستطع، فسيواجه مستخدموك أخطاء لا يستطيع فريق الدعم الخاص بك شرحها.

4.3 التناقضات بين المتصفح ونظام التشغيل#

حتى على نفس الجهاز، تتصرف المتصفحات المختلفة بشكل مختلف. يعرض متصفح Chrome على نظام macOS نوافذ مفاتيح مرور مختلفة عن متصفح Safari على نظام macOS. ولمتصفح Firefox سلوكه الخاص. تصبح تلميحات العميل (Client hints) واكتشاف وكيل المستخدم (user agent) أمرين حاسمين لتقديم التدفقات الصحيحة للمستخدم المناسب، ولكن تحليلها بشكل صحيح عبر جميع التركيبات يمثل عبء صيانة لا ينتهي أبداً.

5. المشكلة 3: التطبيقات الأصلية تضاعف تعقيد مفتاح المرور#

يمثل اختبار مفتاح المرور وضمان الجودة تحدياً كبيراً بالفعل لتطبيقات الويب (نغطي ذلك بالتفصيل في المشكلة 5: تغييرات المنصات). ولكن إذا كان منتجك يحتوي أيضاً على تطبيقات أصلية (Native) لنظامي iOS و Android، فإن التعقيد يتضاعف بسبب القرارات المعمارية والسلوك الخاص بالمنصة الذي لا تواجهه فرق الويب فقط.

5.1 قرارات التطبيقات الأصلية مقابل WebView#

القرار الأول هو ما إذا كان سيتم تنفيذ مفاتيح المرور بشكل أصلي أو عبر WebView. كل نهج له مقايضات:

الجانب	التنفيذ الأصلي (Native)	تنفيذ WebView
جودة تجربة المستخدم	الأفضل في فئتها، شعور أصلي بالمنصة	تعتمد على نوع WebView
الصيانة	قواعد أكواد منفصلة لنظامي iOS و Android	منطق ويب مشترك
متطلبات المنصة	يجب اتباع تغييرات حزم SDK التابعة لـ Apple/Google	يجب التعامل مع مشكلات دعم مفاتيح المرور في WebView
التعقيد	مرتفع (واجهات برمجة تطبيقات خاصة بالمنصة)	متوسط (لكن نوع WebView يهم)

في نظام iOS وحده، يمكنك الاختيار بين WKWebView و SFSafariViewController و SFAuthenticationSession و ASWebAuthenticationSession - لكل منها خصائص دعم مختلفة لمفاتيح المرور. وفي نظام Android، تتصرف علامات التبويب المخصصة لـ Chrome بشكل مختلف عن WebViews القياسية. هذه قرارات لا تضطر فرق الويب فقط لاتخاذها أبداً ويخلق كل خيار سطح صيانة خاص به.

5.2 السلوك الخاص بالمنصة في التطبيقات الأصلية#

بصرف النظر عن القرار المعماري، يتعامل iOS و Android مع مفاتيح المرور بشكل مختلف على مستوى نظام التشغيل:

يدمج نظام iOS مفاتيح المرور بعمق في مدير بيانات الاعتماد الخاص بالنظام، مع سلوكيات الملء التلقائي المحددة التي يمكن أن تتغير مع كل إصدار من إصدارات iOS
يوجه نظام Android طلبات مفاتيح المرور من خلال واجهة برمجة تطبيقات Credential Manager، والتي تتفاعل مع عدة مزودي مفاتيح مرور في وقت واحد
تختلف حالات الخطأ وسلوكيات انتهاء المهلة ومطالبات المستخدم بين المنصات. يظهر إلغاء نفس المستخدم كـ NotAllowedError على الويب ولكن كـ SimpleAuthenticationServices.AuthorizationError على نظام iOS و User cancelled the operation على Credential Manager الخاص بنظام Android.
تضيف دورات مراجعة متجر التطبيقات تأخيرات عندما تحتاج إلى شحن إصلاحات عاجلة لتراجعات مفاتيح المرور

5.3 تضاعف مساحة ضمان الجودة ثلاث مرات#

إذا كنت تقوم بتشغيل كل من تطبيق الويب والتطبيقات الأصلية، فأنت لا تضاعف جهد ضمان الجودة فحسب، بل تضاعفه ثلاث مرات. تعمل كل من الويب و iOS و Android كبيئات منفصلة لمفاتيح المرور التي تحتاج إلى اختبار ومراقبة مستقلين من البداية إلى النهاية. وعلى عكس الويب، حيث يمكنك نشر إصلاح على الفور، يتم تقييد إصلاحات التطبيق الأصلي بواسطة دورات مراجعة متجر التطبيقات.

6. المشكلة 4: الاعتمادية هي مشكلة تتعلق بالمنتج وليست مشكلة تقنية#

عبارة "ندعم مفاتيح المرور" لا تعني "يتم استخدام مفاتيح المرور". إذا لم تكن لديك استراتيجية نشر وقياس، فسوف يخيب أمل الاعتمادية وسيتم تصنيف المشروع على أنه فشل داخلياً.

6.1 لماذا تقضي الاعتمادية المنخفضة على مشروعك#

لقد غطينا هذا بشكل مكثف في مقالنا حول سبب فشل عمليات تنفيذ مفاتيح المرور: إذا لم يتحول المستخدمون إلى مفاتيح المرور، فقد فشل المشروع بالفعل. تظل كلمات المرور مهيمنة، وتظل تكاليف الرسائل القصيرة OTP مرتفعة، وتستمر مخاطر التصيد الاحتيالي ولا ترى مؤسستك أي عائد على الاستثمار الهندسي الكبير.

حالة العمل لاعتماد مفتاح المرور قوية ولكن فقط إذا حدث الاعتماد بالفعل. لقد رأينا شركات تطلق مفاتيح مرور مع تطبيقات تقنية رائعة حققت نسبة اعتماد أقل من 5% لأن أحداً لم يفكر في استراتيجية النشر والاعتماد.

6.2 تتطلب الاعتمادية عملاً متعمداً على المنتج#

يعد دفع اعتماد مفتاح المرور تحدياً يتعلق بالمنتج يتطلب:

التسجيل التدريجي: دفع المستخدمين بلطف لإنشاء مفاتيح مرور في اللحظات المناسبة (على سبيل المثال، بعد تسجيل الدخول بنجاح، أثناء مراجعات أمان الحساب)
تواصل واضح مع المستخدم: شرح ماهية مفاتيح المرور ولماذا هي أفضل، بلغة يفهمها المستخدمون غير التقنيين
المطالبة المدركة للجهاز: عدم عرض إنشاء مفتاح مرور إلا عندما يدعمه جهاز المستخدم بشكل جيد فعلياً، وتجنب التجارب المحبطة في التكوينات غير المدعومة
البنية التحتية للقياس: تتبع معدلات إنشاء مفاتيح المرور ومعدلات نجاح تسجيل الدخول ومعدلات اللجوء للآليات الاحتياطية ومعدلات التخلي لتحديد الاختناقات وإصلاحها

6.3 كيف يبدو الاعتماد "الجيد"#

بناءً على خبرتنا مع عمليات نشر مفاتيح المرور على نطاق واسع، إليك ما يجب أن تهدف إليه المؤسسات:

المقياس	ضعيف	مقبول	قوي
معدل إنشاء مفاتيح المرور (من المستخدمين المؤهلين)	<10%	10-60%	>60%
معدل تسجيل الدخول بمفتاح المرور (من جميع عمليات تسجيل الدخول)	<5%	5-40%	>40%

إذا كانت أرقام الاعتماد الخاصة بك تبدو مثل العمود "ضعيف" بعد ثلاثة أشهر، فالمشروع في مأزق. بدون التحليلات لقياس ذلك، لن تعرف حتى.

7. المشكلة 5: تغييرات المنصات تعطل مفاتيح المرور بصمت#

تغير تحديثات نظام التشغيل والمتصفح المطالبات وسلوك الملء التلقائي وتدفقات العمل الاحتياطية. إذا لم يكن لديك مراقبة مستمرة، فسوف تحصل على تراجعات وتذاكر دعم دون سابق إنذار.

لقد نشرنا للتو نظرة عامة شاملة على أخطاء WebAuthn التي حدثت في الإنتاج.

7.1 لماذا تتأثر مفاتيح المرور بشكل فريد بتغييرات المنصة#

على عكس كلمات المرور (والتي هي مجرد سلاسل نصية يتحقق منها خادمك)، تعتمد مفاتيح المرور على تكامل عميق مع نظام التشغيل والمتصفح ومدير بيانات الاعتماد. عندما تقوم Apple بشحن إصدار iOS جديد، قد تبدو مطالبات إنشاء مفتاح المرور مختلفة. عندما يحدّث Chrome منطق الملء التلقائي الخاص به، قد يتعطل تدفق تسجيل الدخول الخاص بك. عندما يصدر مدير كلمات المرور إصداراً جديداً، فقد يبدأ في اعتراض طلبات مفاتيح المرور بطرق لم تتوقعها.

أحد الأمثلة الحديثة هو خطأ في iOS 26.2 حيث تُرجع isUserVerifyingPlatformAuthenticatorAvailable() القيمة false على جميع المتصفحات غير Safari (مثل Chrome و Edge و Firefox)، مما يتطلب منطق اكتشاف مدرك للمنصة باستخدام getClientCapabilities() كحل بديل.

7.2 المراقبة ليست اختيارية#

للتأكد من أنك على دراية بجميع الأخطاء المحتملة وتتبع الاعتماد، تحتاج إلى إعداد حزمة مراقبة المصادقة الخاصة بك (observability stack). نوصي بأن يتوفر لديك على الأقل ما يلي:

تحليلات المصادقة في الوقت الفعلي: تتبع معدلات النجاح والفشل حسب نظام التشغيل والمتصفح ومجموعة مزود مفتاح المرور
مراقبة واعية بالإصدار: اكتشف عندما يتسبب إصدار جديد من نظام التشغيل أو المتصفح في ارتفاع كبير في الأخطاء أو استخدام الآليات الاحتياطية. ميّز بين الأخطاء المتوقعة (إجهاض المستخدم الذي يظهر كـ NotAllowedError) والأخطاء غير المتوقعة (ارتفاع AbortError بسبب أخطاء التزامن أو أخطاء مفتاح مرور Credential Manager الجديدة بعد تحديث Android)
التنبيه: احصل على إشعارات قبل أن يبدأ المستخدمون في رفع تذاكر الدعم
قدرة الاستجابة السريعة: القدرة على دفع الإصلاحات أو تعطيل مفاتيح المرور لمجموعات الأجهزة المتأثرة بسرعة

هذا هو نوع البنية التحتية لتحليلات المصادقة التي لا تبنيها معظم الفرق حتى تقع في حادثة بالفعل. بحلول ذلك الوقت، يكون الضرر الذي لحق بثقة المستخدم ومصداقية المشروع الداخلي قد وقع.

7.3 تكلفة الصيانة المستمرة#

التكلفة الحقيقية لتنفيذ مفتاح المرور ليست البناء الأولي. إنها الصيانة المستمرة:

مراقبة تغييرات المنصة عبر أنظمة iOS و Android و Windows و macOS وجميع المتصفحات الرئيسية
اختبار كل تحديث بحثاً عن التراجعات (regressions)
تحديث واجهة برمجة تطبيقات (SDK) الخاصة بالواجهة الأمامية عندما تتغير واجهات برمجة تطبيقات المتصفح
الحفاظ على التوافق مع نظام بيئي متنامٍ لمزودي مفاتيح المرور
توثيق وإيصال التغييرات إلى فريق الدعم الخاص بك

اشترك في Passkeys Substack للحصول على آخر الأخبار.

8. متى يجب (ألا) تطلق مفاتيح المرور#

نظراً لهذه المشكلات في اليوم الثاني، إليك تقييم صادق لمتى يجب ولا يجب عليك إطلاق مفاتيح المرور.

8.1 لا تقم بإطلاق مفاتيح المرور إذا:#

لم تكن لديك استراتيجية واضحة للآليات الاحتياطية والاسترداد
لم تختبر جميع مجموعات الأجهزة التي يستخدمها المستخدمون بالفعل
كان لديك تطبيقات أصلية ولكن ليس لديك خطة لضمان الجودة المستمر الخاص بالمنصة
لم تكن لديك بنية تحتية للتحليلات لقياس الاعتماد
لم تتمكن من الالتزام بالموارد الهندسية للصيانة المستمرة
كنت تقوم بتنفيذ مفاتيح المرور فقط من أجل الامتثال لمربع اختيار تنظيمي دون تخطيط مناسب

الاندفاع الكامل لأسباب تنظيمية دون تخطيط مناسب يمكن أن يؤدي إلى ارتفاع التكاليف بشكل كبير. نظام مفتاح المرور الذي يتم تنفيذه بشكل سيئ أسوأ من عدم وجود نظام مفتاح مرور على الإطلاق: فهو يقوض ثقة المستخدم، ويولد نفقات دعم إضافية، ويمنح أصحاب المصلحة الداخليين سبباً لقتل المشروع.

8.2 قم بإطلاق مفاتيح المرور إذا:#

خططت لجميع المشكلات الخمس في اليوم الثاني الموضحة أعلاه
كانت لديك قدرات المنتج والهندسة والأمن والتحليلات لدعم النشر المستمر
خصصت ميزانية للصيانة المستمرة، وليس فقط البناء الأولي
كان لديك استراتيجية نشر مرحلية ذات أهداف اعتماد واضحة
كنت تعمل مع شريك مثل Corbado الذي يتعامل مع التعقيد التشغيلي نيابة عنك

8.3 قرار البناء مقابل الشراء#

المشكلات في اليوم الثاني الموضحة في هذا المقال هي بالضبط سبب اختيار العديد من الشركات شراء بنيتها التحتية لمفاتيح المرور بدلاً من بنائها. بناء خادم WebAuthn هو الجزء السهل. تشغيل نظام مفاتيح مرور على مستوى الإنتاج عبر آلاف من مجموعات الأجهزة، مع استرداد ومراقبة وتحليلات اعتماد مناسبة، هو ما يفصل بين العرض التوضيحي والتطبيق الحقيقي.

9. كيف يحل Corbado مشكلات مفتاح المرور في اليوم الثاني#

وُجد Corbado خصيصاً لأن المشكلات في اليوم الثاني صعبة. تتعامل منصتنا مع التعقيد التشغيلي حتى لا تضطر إلى بنائه وصيانته بنفسك.

9.1 الاسترداد والآليات الاحتياطية#

يوفر Corbado تدفقات استرداد جاهزة للاستخدام مع مستويات أمان تكيفية. بدءاً من استراتيجيات مفتاح المرور المتزامن إلى المصادقة عبر الأجهزة المتعددة إلى التحقق الآلي من الهوية. منطق الاسترداد مدمج ومحدث باستمرار.

9.2 التوافق عبر الأجهزة#

تم اختبار واجهات برمجة التطبيقات (SDKs) للواجهة الأمامية الخاصة بنا مسبقاً عبر آلاف من مجموعات أنظمة التشغيل والمتصفحات ومزودي مفاتيح المرور. يحدث اكتشاف الجهاز والتعامل مع واجهة المستخدم المشروطة (conditional UI) وتوجيه الآليات الاحتياطية تلقائياً. عندما يكسر إصدار متصفح جديد شيئاً ما، نقوم بإصلاحه في واجهة برمجة التطبيقات الخاصة بنا قبل أن يلاحظه مستخدموك.

9.3 دعم التطبيقات الأصلية#

يدعم Corbado كلاً من التطبيقات الأصلية و WebView بحزم SDK تلخص وتستوعب اختلافات المنصة. أنت تركز على تجربة المستخدم (UX) لتطبيقك بينما نتعامل نحن مع الجوانب الأساسية لمفاتيح المرور عبر iOS و Android.

9.4 تحليلات الاعتماد#

تتتبع لوحة تحكم التحليلات الخاصة بنا كل مقياس يهمك: معدلات إنشاء مفاتيح المرور، ومعدلات نجاح تسجيل الدخول، ومعدلات اللجوء للآليات الاحتياطية، والأعطال على مستوى الجهاز. تحصل على رؤى قابلة للتنفيذ لدفع الاعتماد، وليس مجرد بيانات خام.

9.5 مراقبة تغييرات المنصة#

يقوم Corbado بمراقبة تغييرات نظام التشغيل والمتصفح التي تؤثر على مفاتيح المرور بشكل مستمر. يتم تحديث واجهات برمجة التطبيقات الخاصة بنا بشكل استباقي. يظل نشر مفتاح المرور الخاص بك مستقراً حتى مع تغير مشهد المنصة.

10. الخلاصة#

مفاتيح المرور هي المعيار الذهبي للمصادقة. هذا ليس موضع تساؤل. لكن المسار من "دعم مفاتيح المرور" إلى "عمل مفاتيح المرور بموثوقية على نطاق واسع" ممهد بمشكلات اليوم الثاني التي تقلل معظم الفرق من شأنها.

المشكلات الخمس التي قمنا بتغطيتها (الاسترداد، والحالات الاستثنائية للأجهزة المتعددة، وتعقيد التطبيقات الأصلية، والاعتماد، وتغييرات المنصة) ليست نادرة. إنها التحديات التشغيلية الأساسية لأي نشر إنتاجي لمفاتيح المرور. تجاهلها لا يجعلها تختفي. بل يعني ببساطة أن مستخدميك سيكتشفونها أولاً.

توصيتي الصادقة: إذا لم يكن لديك المعرفة والموارد اللازمة لتنفيذ مفاتيح المرور بشكل صحيح، فلا تقم بإطلاقها. إما أن تستثمر في القدرة (المنتج، الهندسة، الأمان والتحليلات) أو أن تعمل مع شريك حل هذه المشكلات بالفعل. أسوأ نتيجة هي نشر غير مكتمل لمفاتيح المرور يتم التراجع عنه لأن أحداً لم يخطط لليوم الثاني.

حول Corbado

Corbado هي Passkey Intelligence Platform لفِرَق CIAM التي تُدير المصادقة الاستهلاكية على نطاق واسع. نُمكّنك من رؤية ما لا تستطيع سجلات IDP وأدوات التحليل العامة إظهاره: أي الأجهزة وإصدارات أنظمة التشغيل والمتصفحات ومديري بيانات الاعتماد تدعم passkeys، ولماذا لا تتحوّل عمليات التسجيل إلى عمليات دخول، وأين يفشل تدفق WebAuthn، ومتى يُعطّل تحديث نظام التشغيل أو المتصفح تسجيل الدخول بصمت — كل ذلك دون استبدال Okta أو Auth0 أو Ping أو Cognito أو IDP الداخلي لديك. منتجان: Corbado Observe يُضيف observability للـ passkeys وأي طريقة دخول أخرى. Corbado Connect يُقدّم managed passkeys مع تحليلات مدمجة (إلى جانب IDP الخاص بك). تُشغّل VicRoads passkeys لأكثر من 5 ملايين مستخدم مع Corbado (تفعيل passkey بنسبة +80%). تحدث مع خبير Passkey →

الأسئلة الشائعة#

ما هي المشكلات الخمس في اليوم الثاني التي تتسبب في فشل مشاريع مفاتيح المرور بعد الإطلاق؟#

المشكلات التشغيلية الخمس هي تدفقات الاسترداد والآليات الاحتياطية غير الآمنة، والحالات الاستثنائية للأنظمة البيئية عبر الأجهزة، وتعقيد التطبيقات الأصلية، وانخفاض اعتماد المستخدمين، والتراجعات الصامتة الناتجة عن تحديثات نظام التشغيل والمتصفح. تركز معظم الفرق على دمج WebAuthn الأولي وتقلل من شأن تحديات ما بعد الإطلاق، وهو السبب في أن العديد من مشاريع مفاتيح المرور يتم التراجع عنها أو التخلي عنها بصمت داخلياً.

كيف أتعامل مع المصادقة عبر مفتاح مرور متعدد الأجهزة للمستخدمين في المؤسسات على نظام Windows الذين سجلوا عبر جهاز iPhone؟#

يمكن للمستخدمين المصادقة عبر تدفق متعدد الأجهزة باستخدام رمز الاستجابة السريعة (QR) وتقنية Bluetooth، لكن هذا يتطلب تمكين Bluetooth على كلا الجهازين ويمكن أن تحجبه سياسات إدارة الأجهزة المحمولة (MDM) للشركات وجدران الحماية. تختلف تجربة المستخدم بشكل كبير بين المتصفحات وكثيراً ما لا يفهم المستخدمون سبب قيامهم بمسح رمز الاستجابة السريعة، مما يجعل توجيه الآلية الاحتياطية المدرك للجهاز والتواصل الواضح أمرين بالغين الأهمية لعمليات نشر المؤسسات.

ما هي مقاييس اعتماد مفتاح المرور التي يجب أن أستهدفها وأتتبعها بعد الإطلاق؟#

يعني الاعتماد القوي معدل إنشاء لمفتاح المرور يتجاوز 60% من المستخدمين المؤهلين ومعدل تسجيل دخول بمفتاح المرور يتجاوز 40% من جميع عمليات تسجيل الدخول. بينما تشير المعدلات التي تقل عن 10% للإنشاء و 5% لتسجيل الدخول بعد ثلاثة أشهر إلى إطلاق فاشل. يتطلب قياس ذلك بنية تحتية مخصصة لتتبع معدلات الإنشاء ومعدلات نجاح تسجيل الدخول ومعدلات الآليات الاحتياطية والتخلي مفصلة حسب مجموعة الجهاز ونظام التشغيل.

هل يجب أن أبني مفاتيح المرور بشكل أصلي (natively) في تطبيق الهاتف المحمول الخاص بي أم أستخدم WebView؟#

يوفر التنفيذ الأصلي أفضل تجربة مستخدم في فئتها ولكنه يتطلب قواعد بيانات برمجية (codebases) منفصلة لنظامي iOS و Android مع التعامل مع واجهات برمجة التطبيقات الخاصة بالمنصة ومسارات ضمان جودة (QA) مستقلة. تشترك أساليب WebView في منطق الويب ولكنها تُدخل تناقضات في دعم مفتاح المرور اعتماداً على نوع WebView. في نظام iOS وحده، فإن الاختيار بين WKWebView و SFSafariViewController و ASWebAuthenticationSession يحمل كل منها خصائص مختلفة لدعم مفاتيح المرور والتي يجب تقييمها قبل الالتزام بهندسة معينة.

لماذا يعتبر استرداد حساب مفتاح المرور أصعب مما يبدو وما هو النهج الصحيح؟#

يعيد الاسترداد المبسط مثل عمليات إعادة التعيين عبر البريد الإلكتروني قنوات قابلة للتصيد، في حين أن الاسترداد الصارم جداً مثل مفاتيح أمان الأجهزة الإلزامية يؤدي إلى تخلي المستخدمين. النهج الموصى به هو النهج متعدد الطبقات: مفاتيح المرور المتزامنة كاستراتيجية أساسية، والمصادقة عبر أجهزة متعددة باستخدام رمز الاستجابة السريعة كطبقة ثانية، والتحقق الآلي من الهوية مع فحوصات الحيوية كطبقة ثالثة، وبيانات الاعتماد الرقمية القابلة للتحقق كطبقة رابعة. تعتمد الطبقات التي يجب تنفيذها على نموذج التهديد وقاعدة المستخدمين والمتطلبات التنظيمية الخاصة بك.