استرداد مفاتيح المرور والبدائل: نهج المعرف أولاً

1. المقدمة#

نمت مفاتيح المرور (Passkeys) لتصبح بديلاً حقيقياً لطرق المصادقة التقليدية، حيث تقترب الأجهزة الجاهزة لمفاتيح المرور من 95٪. ومع ذلك، حتى الأنظمة الأكثر تقدماً تتطلب استراتيجيات فعالة للبدائل والاسترداد لمعالجة السيناريوهات التي لا يمكن فيها الوصول إلى مفاتيح المرور (البديل - Fallback) أو حتى عند فقدانها (الاسترداد - Recovery). يهدف هذا الدليل إلى استكشاف السيناريوهات المختلفة التي تكون فيها البدائل والاسترداد ضرورية ومناقشة كيف تبدو الحلول الممكنة.

عند التفكير في طرق البدائل والاسترداد، من المهم أن تتطابق قوتها مع قوة طريقة المصادقة الأساسية. سيميز هذا الدليل بين الاستخدامات المختلفة لمفاتيح المرور، مع التركيز بشكل خاص على السياقات التي تُستخدم فيها مفاتيح المرور كمصادقة متعددة العوامل (MFA) مستقلة بذاتها، لتكييف طرق البدائل والاسترداد بشكل مناسب.

الأسئلة الرئيسية:

• ما هي سيناريوهات البدائل الموجودة؟ ما هي سيناريوهات البدائل المحتملة التي قد تحدث مع أنظمة مفاتيح المرور، وكيف ينبغي التعامل معها للحفاظ على الأمان؟
• كيف ينبغي التعامل مع الاسترداد؟ اعتماداً على أنماط استخدام مفاتيح المرور، وخاصة في البيئات التي تستخدم المصادقة متعددة العوامل (MFA)، كيف ينبغي تصميم عمليات الاسترداد لضمان أمانها؟

من خلال استكشاف هذه الأسئلة، سيوفر هذا الدليل لمديري المنتجات والمطورين الرؤى اللازمة لتصميم أنظمة مفاتيح المرور وتنفيذها وإدارتها بفعالية، لضمان عدم تحقيق الأمان على حساب تجربة المستخدم.

2. التعريفات: المعرف، مستوى الأمان والبديل والاسترداد#

قبل التعمق في استراتيجيات البدائل والاسترداد، من المهم وضع فهم واضح لبعض المصطلحات الأساسية التي سنستخدمها.

2.1 المعرف: البريد الإلكتروني، رقم الهاتف واسم المستخدم#

في معظم أنظمة الأعمال والمستهلكين، تعتمد المصادقة على ثلاثة معرفات رئيسية: البريد الإلكتروني، ورقم الهاتف، واسم المستخدم.

تستخدم الغالبية العظمى من الأنظمة البريد الإلكتروني كمعرف رئيسي، لا سيما في التطبيقات المستندة إلى الويب. ومع ذلك، غالباً ما تفضل المنصات التي تركز على الأجهزة المحمولة أو التطبيقات أولاً استخدام رقم الهاتف كمعرف نظراً لسهولة التعبئة المسبقة لرمز المرور لمرة واحدة (OTP) المستند إلى رسائل SMS، والذي يمكن إدراجه تلقائياً. في بعض الحالات، قد يُطلب من المستخدمين أيضاً إعداد اسم مستخدم بالإضافة إلى هذه المعرفات، وذلك أساساً للمنصات التي تتطلب اسم عرض فريد. هناك أيضاً اتجاه متزايد، خاصة على المنصات الكبيرة، للسماح باستخدام كل من البريد الإلكتروني ورقم الهاتف لمزيد من المرونة.

أثناء التسجيل الأولي، يتم التحقق من هذه المعرفات عادةً إما عن طريق رابط تأكيد / OTP (بالنسبة للبريد الإلكتروني) أو OTP (بالنسبة لرقم الهاتف)، مما يضمن أن المعرف ينتمي إلى الشخص الصحيح. في حالة فقدان الوصول، عادة ما يكون إثبات السيطرة على البريد الإلكتروني أو رقم الهاتف الذي تم التحقق منه مسبقاً كافياً لاستعادة الوصول إلى الحساب. نظراً لأن هذه المعرفات هي أشكال التواصل الأكثر موثوقية مع المستخدمين، غالباً ما يتم جمع أرقام الهواتف لأغراض المصادقة متعددة العوامل (MFA)، حيث تعد رسائل SMS عاملاً ثانياً شائع الاستخدام.

غالباً ما يتم استخدام أسماء المستخدمين لتوفير طبقة إضافية لهوية المستخدم في الأنظمة التي تتطلب معرفات مرئية للجمهور، مثل وسائل التواصل الاجتماعي أو المنتديات أو منصات مهنية معينة. بينما لا تخدم أسماء المستخدمين نفس الدور الوظيفي في المصادقة مثل البريد الإلكتروني أو أرقام الهواتف، إلا أنها توفر للمستخدمين هوية مميزة في السياقات العامة أو الند للند (peer-to-peer). ومع ذلك، فهي تقدم تعقيداً إضافياً حيث يمكن للمستخدمين نسيانها غالباً، وفي معظم الحالات، يلزم وجود معرف آخر إلى جانب اسم المستخدم. لذلك، في هذا المقال، لن نركز على أسماء المستخدمين.

لا تعتمد خيارات المصادقة الثنائية (2FA) الأخرى، مثل تطبيقات المصادقة (authenticator apps) (التي تنشئ رموز TOTP)، على معرف ولكن غالباً ما تكون أكثر تعقيداً في إعدادها بالنسبة للمستخدم العادي. كما قدمت مفاتيح المرور إمكانية العمل بدون معرف (مصادقة بدون اسم مستخدم - usernameless authentication)، وهي ميزة أصبحت شائعة بشكل متزايد في مجال العملات المشفرة. ومع ذلك، بالنسبة لحلول المستهلكين والأعمال، فإن الحاجة إلى التواصل مع المستخدمين (غالباً عبر البريد الإلكتروني) لأغراض البديل أو الاسترداد تجعل الأنظمة بدون اسم مستخدم أقل عملية.

2.2 مستوى الأمان: المصادقة أحادية العامل (SFA) والمصادقة متعددة العوامل (MFA)#

تعتمد أنظمة المصادقة أحادية العامل (SFA) على شكل واحد من المصادقة للتحقق من هوية المستخدم. عادةً ما يكون هذا العامل الوحيد هو كلمة المرور، ولكنه يمكن أن يكون أيضاً تسجيلاً اجتماعياً (social login)، أو رمز OTP عبر البريد الإلكتروني، أو أي طريقة تتطلب نوعاً واحداً فقط من الإثبات. معظم الأنظمة على الويب اليوم هي أنظمة SFA. ومع ذلك، هناك مقايضة معروفة مع الأمان. عند دمج مفاتيح المرور، تعمل هذه عادةً إما كإضافة أو كبديل لكلمات المرور التقليدية، مما يعزز من راحة النظام. من الشائع أن تظل مثل هذه الأنظمة تسمح بخيارات بديلة مثل رموز OTP عبر البريد الإلكتروني أو تسجيل الدخول الاجتماعي، مما يحسن تجربة المستخدم عن طريق تقليل الاعتماد على كلمات المرور ولكنه لا يرفع من مستوى أمان النظام إلى ما بعد SFA.

تتضمن المصادقة متعددة العوامل (MFA) عاملين مستقلين أو أكثر للتحقق من هوية المستخدم؛ هذا ما يجعلها أكثر أماناً من SFA. يمكن أن تشمل هذه العوامل شيئاً يعرفه المستخدم (مثل كلمة المرور أو رقم التعريف الشخصي PIN)، وشيئاً يمتلكه المستخدم (مثل رمز الأمان أو تطبيق على الهاتف المحمول)، وشيئاً يمثل جزءاً من كيان المستخدم (مثل التحقق البيومتري كبصمات الأصابع أو التعرف على الوجه). تم تصميم أنظمة MFA للحماية من نقاط ضعف معينة لا تستطيع أنظمة SFA الدفاع عنها، مثل هجمات التصيد الاحتيالي أو اختراقات كلمات المرور. عند استخدام مفاتيح المرور ضمن نظام MFA، يتم استخدامها عموماً كخيار MFA مستقل بذاته. في هذه الحالات، من الأهمية بمكان أن تحافظ أي طرق بديلة أو استرداد على نفس مستوى الأمان الذي توفره مفاتيح المرور.

2.3 البديل والاسترداد#

تُستخدم البدائل (Fallbacks) في جميع الأنظمة التي تتعايش فيها طرق مصادقة متعددة. يتم استخدامها عندما تكون الطرق الأساسية غير متوفرة – غالباً ما يكون لدى المستخدم خيار في البداية لكيفية التسجيل (على سبيل المثال، تسجيل الدخول الاجتماعي مقابل كلمة المرور). يمكن أن يشمل البديل استراتيجيات مصادقة بديلة مثل رموز OTP عبر البريد الإلكتروني، أو كلمات المرور، أو تسجيل الدخول الاجتماعي الذي يطابق البريد الإلكتروني، أو إشعارات التطبيقات الأصلية (native app pushes)، أو رموز QR، أو مفاتيح الأمان (security keys). تتفاوت كل من طرق البدائل هذه في جودة الأمان، واختيار خيار البديل المناسب أمر بالغ الأهمية في الموازنة بين راحة المستخدم والمتطلبات الأمنية.

في البيئات التي تستخدم مفاتيح المرور كجزء من نظام مصادقة متعدد العوامل (MFA)، يجب النظر بعناية في طرق البدائل هذه لضمان توفيرها لأمان متعدد العوامل يضاهي مفاتيح المرور. وتصبح عمليات الاسترداد (Recovery) مهمة عندما يفقد المستخدمون الوصول إلى جميع تدابير المصادقة المحددة التي تفي بمعايير الأمان المطلوبة (SFA أو MFA). يُعد هذا الأمر أقل حرجاً في أنظمة العامل الواحد (SFA)، حيث قد تتوفر خيارات استرداد متعددة، مثل إعادة تعيين كلمة المرور عبر رمز OTP عبر البريد الإلكتروني، وهو ما يثبت فعلياً سيطرة المستخدم على المعرف المرتبط. ومع ذلك، يعتبر الاسترداد تحدياً خاصاً في أنظمة 2FA/MFA لأن هذه الأنظمة تعتمد بطبيعتها على عوامل متعددة للتحقق. في السيناريوهات التي يغير فيها المستخدم نظام تشغيل الهاتف المحمول – على سبيل المثال، من هاتف iPhone إلى هاتف Android – ويفقد مفاتيح المرور المرتبطة بالإضافة إلى رقم الهاتف، فإن العوامل المتبقية (مثل كلمة المرور فقط) لا يمكنها تلبية متطلبات المصادقة الثنائية (2FA). قد يتطلب الاسترداد في هذه الحالات إنشاء إثباتات هوية جديدة، والتي يمكن أن تتضمن طلبات دعم يدوية أو حلول أكثر ابتكاراً سنغطيها لاحقاً.

3. البديل لتسجيل الدخول باستخدام مفتاح المرور: تسجيل الدخول اليدوي مقابل تسجيل الدخول التلقائي#

عند تطبيق حل مفتاح المرور، فإن أحد القرارات الأولى التي يجب اتخاذها هو النهج المتبع لتسجيل الدخول باستخدام مفتاح المرور. اعتماداً على حالة الاستخدام، قد يكون تسجيل الدخول اليدوي كافياً للمنصات الأصغر، ولكن بالنسبة للشركات الأكبر التي تركز على تجربة المستخدم (UX)، يوصى باستخدام نهج المعرف أولاً (Identifier-First Approach)، الذي يقدم خيار تسجيل الدخول باستخدام مفتاح المرور بعد إدخال المعرف الأساسي (على الأرجح البريد الإلكتروني).

3.1 تسجيل الدخول اليدوي بمفتاح المرور: النهج القائم على مبادرة المستخدم#

3.1.1 ما هو النهج القائم على مبادرة المستخدم؟#

على المنصات الأصغر أو المنصات التي لا تركز على تحقيق معدل عالٍ لتسجيل الدخول بمفاتيح المرور، يتضمن النهج القائم على مبادرة المستخدم زراً منفصلاً "تسجيل الدخول باستخدام مفتاح المرور". في هذا النهج، تقع المسؤولية الكاملة لاستخدام مفاتيح المرور على عاتق المستخدم. بعد إضافة مفتاح المرور إلى حسابه، يجب أن يتذكر المستخدم النقر على "تسجيل الدخول باستخدام مفتاح المرور" لتسجيل الدخول باستخدامه.

تُظهر لقطة الشاشة تنفيذ مفاتيح المرور لموقع https://my.gov.au، والذي يستخدم نهج تسجيل الدخول اليدوي بمفتاح المرور. في حين أن هذا النهج أسهل في التنفيذ لأن الواجهة الخلفية (backend) لا تحتاج إلى تحديد ما إذا كان تسجيل الدخول بمفتاح المرور ممكناً، فإنه يؤدي عادةً إلى معدلات تسجيل دخول منخفضة للغاية بمفاتيح المرور. يرجع ذلك إلى اعتماده بشدة على مبادرة المستخدم، وقد لا يتذكر المستهلكون أو لا يكونوا متأكدين من النظام الأساسي أو التخزين السحابي الذي توجد عليه مفاتيح المرور الخاصة بهم. هذا النهج يجعل المستخدم يفكر. دعونا نلقي نظرة على فرص البدائل الممكنة مع هذا النهج في القسم التالي.

3.1.2 البدائل#

تعتبر البدائل (Fallbacks) ضرورية في أي نظام توجد فيه احتمالات لفشل الوصول إلى مفتاح المرور. في نهج تسجيل الدخول اليدوي بمفتاح المرور، لا يمكن إدارة الحوارات والبدائل بشكل فردي لأن جميع خيارات تسجيل الدخول تُعرض في نفس الوقت ويتم اختيار مفاتيح المرور وفقاً لتقدير المستخدم. يؤدي هذا إلى عدة تحديات:

• أخطاء غير بديهية: غالباً ما تكون رسائل الخطأ التي يواجهها المستخدمون عندما تكون مفاتيح المرور غير متوفرة أو يتم إعدادها بشكل غير صحيح غير واضحة ويمكن أن تسبب ارتباكاً. قد لا يفهم المستخدمون سبب عدم تمكنهم من استخدام مفتاح المرور أو ما الخطأ الذي حدث، مما يؤدي إلى الإحباط.
• طرق مسدودة: قد يجد المستخدمون أنفسهم في طرق مسدودة حيث لا يمكنهم المتابعة. في حالة فقدان مفاتيح المرور أو تعذر الوصول إليها، قد لا يُعطى المستخدمون أي توجيه واضح حول كيفية المتابعة أو استعادة الوصول، مما يدفعهم إلى التخلي عن عملية تسجيل الدخول.
• غياب التوجيه: في هذه المواقف، لا يستطيع النظام تقديم تعليمات مفيدة لتوجيه المستخدمين نحو طريقة مصادقة بديلة. يُترك المستخدمون لاكتشاف كيفية حل المشكلة بأنفسهم، مما يقلل من جودة تجربة المستخدم.

يوضح المثال أعلاه مدى إرباك رسائل خطأ نظام التشغيل Windows 11، عندما لا يتم العثور على مفاتيح المرور في مصادق المنصة (platform authenticator). قد يفترض النظام أن مفتاح المرور موجود على مفتاح أمان أو جهاز آخر. يمكن أن تكون هذه العملية مربكة للمستخدمين الذين ليسوا على دراية بتدفقات المصادقة هذه، خاصة إذا لم يستخدموا مفتاح أمان من قبل أو لم يقوموا بإنشاء مفتاح مرور قط.

إذا لم يتم العثور على مفاتيح مرور في مصادق المنصة، يفترض نظام التشغيل والمتصفح أنه يجب أن تكون موجودة في مكان آخر، مما يؤدي إلى مزيد من الارتباك إذا لم يكن المستخدم قد أنشأ مفتاح مرور بعد. يمكن أن تساعد واجهة المستخدم الشرطية (Conditional UI) من خلال عرض مفاتيح المرور الموجودة، لكن هذا يساعد فقط إذا كانت مفاتيح المرور موجودة فعلاً. للحصول على أفضل تجربة لمفتاح المرور، يجب أن تقرر الواجهة الخلفية ما إذا كان يجب بدء تسجيل الدخول بمفتاح المرور بعد تقديم المستخدم لمعرفه الأساسي.

3.2 تسجيل الدخول التلقائي بمفتاح المرور: نهج المعرف أولاً#

3.2.1 ما هو نهج المعرف أولاً؟#

في نهج المعرف أولاً، يُطلب من المستخدمين تقديم معرفهم الأساسي، مثل البريد الإلكتروني أو رقم الهاتف، قبل أن يقرر النظام ما إذا كان تسجيل الدخول بمفتاح المرور ممكناً. بعد التحقق من المعرف، يقترح النظام تلقائياً أنسب طريقة لتسجيل الدخول، بما في ذلك مفاتيح المرور إذا كانت متاحة ويمكن الوصول إليها. يُعد هذا النهج أكثر سهولة للمستخدم لأنه يقضي على حاجة المستخدمين لتذكر تحديد خيار "تسجيل الدخول باستخدام مفتاح المرور" ويعزز معدل التبني من خلال تبسيط العملية.

تسجيل دخول Google بنهج المعرف أولاً

تسجيل الدخول بمفتاح المرور في Google

تُظهر لقطات الشاشة أعلاه سلوك تسجيل الدخول لحساب Google حيث يرتبط به مفتاح مرور على جهاز macOS. تتبع Google أيضاً نهج المعرف أولاً وحددت أن تسجيل الدخول بمفتاح المرور سيكون متاحاً بشكل كبير:

1. دعم المنصة لمفتاح المرور: تدعم المنصة الأساسية مصادق منصة (platform authenticator) وبالتالي يمكن أن يكون تسجيل الدخول ممكناً.
2. إمكانية الوصول إلى مفتاح المرور: من المحتمل جداً أن يكون مفتاح المرور قابلاً للوصول إليه على هذا العميل (macOS) لأنه تم إنشاؤه على نظام macOS.

ونتيجة لذلك، يتم بدء تسجيل الدخول بمفتاح المرور تلقائياً، لتوجيه المستخدم إلى أفضل تجربة ممكنة. وهذا يتبع استراتيجية "لا تجعلني أفكر".

3.2.2 غياب دعم المنصة لمفتاح المرور أو عدم إمكانية الوصول إليه#

يحدد النظام ما إذا كان تسجيل الدخول بمفتاح المرور ممكناً. في حال:

• عدم وجود مفتاح مرور: لم يقم المستخدم بإنشاء مفتاح مرور لحسابه بعد.
• عدم إمكانية الوصول إلى مفاتيح المرور: من المحتمل جداً ألا تكون مفاتيح المرور التي أنشأها المستخدم متوفرة على هذا العميل (على سبيل المثال، يمتلك المستخدم مفتاح مرور فقط على MacOS ويقوم الآن بتسجيل الدخول من نظام Windows).
• عدم دعم المصادقة بمفتاح المرور: لا يدعم العميل الحالي مصادقات المنصة ومن المستبعد جداً أيضاً أن يدعم المصادقة عبر الأجهزة (Cross-Device-Authentication) عبر رمز QR.

سيكون القرار هو أن تسجيل الدخول الناجح بمفتاح المرور غير مرجح ولذلك سيتم توفير خيارات البديل تلقائياً دون تشغيل تسجيل الدخول بمفتاح المرور. هذا النهج أكثر ملاءمة للمستخدم بكثير لأنه يزيل الحاجة إلى أن يتذكر المستخدمون تحديد خيار "تسجيل الدخول باستخدام مفتاح المرور"، ويعزز معدل التبني من خلال تبسيط العملية، ويتجنب السيناريو الأسوأ حيث يظهر طريق مسدود ومربك للمستخدم.

في المثال أعلاه، يتحول تسجيل الدخول إلى كلمة مرور كبديل وسيستمر بعد ذلك في طلب عوامل مصادقة إضافية بناءً على حالة وأمان الحساب، نظراً لأن العميل هو جهاز Windows 11، والذي من غير المرجح أن يكون لديه وصول إلى مفاتيح مرور نظام macOS. اعتماداً على المتطلبات الأمنية لنظام المصادقة الخاص بك، لديك تحكم كامل في طريقة المصادقة التي يجب تشغيلها في مثل هذه الحالة (على سبيل المثال، آخر خيار مصادقة ناجح غير مفتاح المرور).

3.2.3 إحباط مراسم مفتاح المرور#

عندما يواجه المستخدم شاشة مصادقة أثناء تسجيل الدخول إلى الويب، قد يتفاجأ أو يشعر بالارتباك، خاصة إذا كانت إحدى المرات الأولى له لاستخدام المصادقة القائمة على مفتاح المرور. هذا قد يؤدي إلى إحباط المستخدم لعملية المصادقة، ليس بسبب فشل ما، ولكن ببساطة لأنه غير متأكد مما يحدث. من الأهمية بمكان التخطيط لهذا السلوك ومعاملة الإحباط الأول كحدث طبيعي وليس كخطأ:

يجب أن توضح شاشة الإحباط الأولى بوضوح ما يحدث بطريقة هادئة ومطمئنة، مع التوصية بأن يحاول المستخدم العملية مرة أخرى (انظر مثال Google أعلاه). يجب تصميم هذه الشاشة لتقليل القلق، واعتبار الإحباط كجزء طبيعي ومتوقع من تجربة المستخدم. قد يقوم العديد من المستخدمين بالإلغاء ببساطة لأنهم لم يتعرفوا على شاشة المصادقة أو لم يكونوا على دراية بالعملية. لذلك، يجب أن تكون المحاولة مرة أخرى هي الاقتراح الافتراضي.

ومع ذلك، إذا حدث إحباط ثانٍ، فيجب معالجة الموقف بطريقة مختلفة. يمكن أن يشير الإحباط الثاني إلى حدوث خطأ فعلي - سواء كان ذلك بسبب مشكلة في مصادق المنصة، أو عدم قدرة المستخدم على العثور على مفتاح المرور المناسب، أو حدوث عطل فني في مراسم WebAuthn. في هذه المرحلة، يجب على النظام عرض شاشة مختلفة توضح حدوث مشكلة واقتراح خيارات بديلة بشكل أكبر:

يجب أن تشجع شاشة الإحباط الثانية المستخدم على التحول إلى طريقة مصادقة بديلة. يجب أن تضمن أن المستخدم لا يزال قادراً على تسجيل الدخول بنجاح دون التسبب في مزيد من الإحباط. كما نرى على الشاشة أعلاه، لا يزال Google يقترح "المحاولة مرة أخرى" ولكنه في نفس الوقت يوضح للمستخدم أنه من المحتمل أن يكون هناك خطأ ما قد حدث.

3.3 مقارنة نهج تطبيق مفتاح المرور#

يساعد الجدول التالي على مقارنة النهج المختلفة من خلال تلخيص أهم الخصائص:

تتبع الأساليب المعتمدة على "افعلها بنفسك" (Do-it-yourself) عادةً نهج تسجيل الدخول اليدوي بمفتاح المرور وتعتمد على واجهة المستخدم الشرطية (Conditional UI) واختيار المستخدم لاستخدام مفاتيح المرور، مما ينتج عنه معدلات منخفضة للغاية لتسجيل الدخول بمفتاح المرور ويؤدي إلى استياء المستخدمين. يتطلب نهج المعرف أولاً (Identifier-First) إنشاء منطق جهاز مدروس بعناية فوق واجهة المستخدم الشرطية، وهذا هو المجال الذي يمكن لـ Corbado مساعدتك فيه. إن بناء منطق الجهاز الخاص بك وذكاء مفتاح المرور (passkey intelligence) لا يُنصح به، حيث تتطلب مجموعة القواعد هذه تعديلات وضبطاً مستمرين للأجهزة الجديدة ووظائف WebAuthn والمزامنة السحابية الجديدة (مثل مفاتيح مرور GPM).

4. استرداد مفتاح المرور#

يعد استرداد مفتاح المرور جانباً حاسماً للحفاظ على الأمان وتجربة المستخدم عندما يفقد المستخدمون وصولهم إلى مفاتيح المرور الخاصة بهم. هذا مهم بشكل خاص في الأنظمة التي تعتمد على المصادقة متعددة العوامل (MFA). في حالات MFA، يجب أن تضمن عمليات الاسترداد الحفاظ على الأمان مع السماح للمستخدمين باستعادة الوصول إلى حساباتهم. يجب أن يكون نهج الاسترداد مصمماً بناءً على مستوى المصادقة المستخدم في النظام.

4.1 الاسترداد أحادي العامل والاسترداد متعدد العوامل#

للحفاظ على الأمان في أنظمة SFA، يتضمن الاسترداد عموماً إثبات التحكم في معرف مثل عنوان بريد إلكتروني أو رقم هاتف محمول.

• OTP عبر البريد الإلكتروني: يتم إرسال رمز OTP إلى عنوان البريد الإلكتروني المسجل للمستخدم. بمجرد التحقق منه، يتيح هذا للمستخدم استعادة الوصول وإنشاء مفتاح مرور جديد.
• OTP عبر رسائل SMS: على غرار استرداد البريد الإلكتروني، يتم إرسال رمز OTP إلى رقم الهاتف المحمول المسجل. يمكن للمستخدم استخدام رمز OTP هذا لاستعادة الوصول إلى حسابه.

في حين أن هذه الأساليب واضحة ومباشرة، إلا أنها تعتمد على الحفاظ على معلومات الاتصال الخاصة بالمستخدم محدثة. لذلك، من الضروري مطالبة المستخدمين بانتظام بالتحقق من بريدهم الإلكتروني ورقم هاتفهم أثناء عمليات تسجيل الدخول الروتينية.

في أنظمة المصادقة متعددة العوامل (MFA)، يصبح الاسترداد أكثر تعقيداً. نظراً لأن المصادقة متعددة العوامل تعتمد على عوامل مستقلة متعددة (مثل مفاتيح المرور، وتسجيل الدخول الاجتماعي، ورموز OTP)، يجب ألا يفقد المستخدمون الوصول لمجرد أن عاملاً واحداً (مثل مفتاح المرور) غير متوفر.

• استخدام عوامل بديلة: في حالة فقدان مفتاح المرور، يمكن للمستخدم المصادقة باستخدام عاملين آخرين، مثل كلمة المرور بالإضافة إلى SMS OTP أو تطبيق المصادقة (authenticator app). بمجرد المصادقة بنجاح، يمكنهم إنشاء مفتاح مرور جديد.
• استخدام مفاتيح مرور أخرى: في حال كان لدى المستخدم أجهزة أخرى بها مفاتيح مرور، يمكنه استخدامها لاستعادة الوصول بتوجيهات مناسبة (مثل طلب استخدام مفتاح مرور من جهاز iPhone).
• إنشاء مفاتيح مرور جديدة: بعد المصادقة باستخدام طريقة الاسترداد، يجب توجيه المستخدم لإنشاء مفتاح مرور جديد للتأكد من بقاء إعداد MFA سليماً.

بالنسبة لكل من أنظمة SFA و MFA، يكمن المفتاح في ضمان أن عمليات الاسترداد قوية وآمنة مع تقليل الاحتكاك بالنسبة للمستخدم.

4.2 الاسترداد الذكي للمصادقة متعددة العوامل (Smart MFA Recovery): رقمنة تكاليف استرداد MFA#

في الأنظمة التي تتعامل مع بيانات شخصية حساسة، أو في الصناعات الخاضعة للوائح التنظيمية، أو الخدمات الحكومية، قد لا تكون رموز OTP القياسية عبر البريد الإلكتروني والهاتف المحمول كافية أو متوفرة دائماً للاسترداد. في مثل هذه الحالات، تقدم آليات الاسترداد الذكي لـ MFA طرقاً متقدمة لاسترداد الحساب تحافظ على معايير أمان عالية مع تقديم تجربة سلسة للمستخدمين.

واحدة من أكثر الأساليب فعالية هي التعرف على الهوية من خلال صورة سيلفي مع فحص الحيوية (liveness check). تتضمن هذه العملية قيام المستخدم بالتقاط صور لبطاقة هويته. بالإضافة إلى ذلك، يضمن فحص الحيوية لصورة السيلفي التقاط الصورة في الوقت الفعلي، مما يؤكد أن المستخدم حاضر فعلياً ويطابق الهوية المصورة، وبالتالي منع الاحتيال باستخدام صور ثابتة أو هويات مسروقة. اعتماداً على التكنولوجيا المستخدمة، يتم فحص الحيوية إما عن طريق تسجيل مقطع فيديو قصير يتغير فيه بُعد المسافة عن الكاميرا أو يتم تدوير الرأس بمقدار 180 درجة (مثل بصمة الوجه Face ID من Apple).

يمكن أن تكون هذه الطريقة مفيدة بشكل خاص عندما تكون طرق الاسترداد التقليدية مثل البريد الإلكتروني أو رسائل SMS OTP غير متوفرة أو قديمة أيضاً. على سبيل المثال، إليك مثال على التقاط صورة سيلفي يتبعها فحص حيوية من شركة onfido:

مثال: هوية سيلفي مع فحص حيوية من onfido

• يتوفر لدى الأنظمة الحكومية أو الصناعات الخاضعة للتنظيم أو الخدمات التجارية الكبرى بيانات شخصية يمكن استخدامها للتحقق من المعلومات المتوفرة على بطاقة الهوية. في حال عدم توفر تاريخ الميلاد على سبيل المثال، يمكن استخدام المعلومات المجمعة عبر الهوية كعامل في عملية الاسترداد اليدوية.

بالإضافة إلى ذلك، يمكن أن تشمل طرق الاسترداد الذكي الأخرى:

• الاسترداد عبر الأجهزة (Cross-device recovery): إذا كان لدى المستخدم جهاز ثانوي موثوق، فيمكنه استرداد حسابه عن طريق مسح رمز QR.
• البيئات المعروفة (Known environments): يمكن للمستخدمين الذين لا يزال بإمكانهم الوصول إلى نفس الجهاز الذي استخدموه بنجاح في الماضي، تقديم عوامل تأكيد إضافية باستخدام هذا الجهاز، وبالتالي تقديم دليل على أنهم يتصرفون من نفس الجهاز والمزود والموقع للمساعدة في عملية الاسترداد اليدوية. وهو النهج الذي تستخدمه Google في استرداد حساب Gmail.
• واجهة برمجة تطبيقات بيانات الاعتماد الرقمية (Digital Credentials API): مع التبني المتزايد لمحافظ الهوية (ID wallets)، من المتوقع أن يلعب التحقق المباشر من خلال واجهة برمجة التطبيقات هذه دوراً متزايداً في الاسترداد الآمن والسهل للحسابات.

تهدف طرق الاسترداد الذكي لـ MFA إلى تزويد المستخدمين بطرق آمنة وبديهية لاستعادة الوصول إلى حساباتهم، وخاصة عند التعامل مع معلومات بالغة الحساسية أو خاضعة للوائح التنظيمية. تضمن هذه الأساليب أنه حتى في الحالات التي لا تتوفر فيها الطرق التقليدية مثل استرداد البريد الإلكتروني أو الهاتف، يظل بإمكان المستخدمين استعادة وصولهم بشكل آمن وفعال. كما يساعد الاسترداد الذكي على خفض تكاليف استرداد MFA.

4.3 معدل تكرار استرداد MFA: رقم الهاتف مقابل مفتاح المرور#

من المهم أن نضع في اعتبارنا أنه نظراً لمزامنة مفاتيح المرور عبر السحابة، فإن تكاليف استرداد MFA تكون أقل بكثير على مدار 36 شهراً، حيث إن تغيير رقم الهاتف المحمول أكثر تكراراً بكثير من التبديل من Apple إلى Android أو العكس. في حالة تغيير الهاتف أو تغيير عقد الهاتف، سيتم استرداد مفاتيح المرور.

لذلك، فإن فقدان الوصول إلى مفاتيح المرور المتزامنة سيحدث بشكل أقل تواتراً من فقدان الوصول إلى رقم الهاتف المحمول، والذي يسبب معظم آلام الاسترداد في أنظمة MFA التقليدية الموجهة للمستهلكين.

ومع ذلك، ومع نمو قاعدة المستخدمين، لا تزال هذه الحالات تتسبب في تكاليف دعم يدوية كبيرة ويجب التعامل معها من خلال حل رقمي، وهو ما سنلقي نظرة عليه في القسم التالي.

5. توصيات لمديري المنتجات والمطورين#

عند دمج مفاتيح المرور في نظام المصادقة الخاص بك، من الأهمية بمكان التخطيط بعناية لكل من الخيارات البديلة واستراتيجيات الاسترداد للحفاظ على مستوى عالٍ من الأمان مع ضمان تجربة مستخدم سلسة. لزيادة معدل تسجيل الدخول باستخدام مفتاح المرور، ضع التوصيات التالية في الاعتبار:

• اختر نهج المعرف أولاً: هذا النهج أسهل في الاستخدام ويقلل الاحتكاك في عملية تسجيل الدخول. من خلال مطالبة المستخدمين بإدخال معرفهم الأساسي أولاً (مثل البريد الإلكتروني أو رقم الهاتف)، يمكن للنظام أن يقرر تلقائياً ما إذا كان تسجيل الدخول بمفتاح المرور ممكناً. يضمن هذا تجربة تسجيل دخول سلسة وبديهية دون الاعتماد على المستخدم لاختيار خيار مفتاح المرور يدوياً.
• استخدم شاشات الإحباط التوضيحية لتجربة مستخدم أفضل: بينما ينبغي أن يكون الأمان هو الأولوية القصوى، فمن الضروري تصميم عملية تساعد المستخدم على تبني مفاتيح المرور. تأكد من أن حالات الإحباط في المرة الأولى تُعامل كأمر طبيعي، وقدم توجيهات واضحة لإعادة المحاولة.
• حافظ على أمان خيارات البديل والاسترداد: تأكد من أن طرق البدائل (مثل OTP عبر البريد الإلكتروني و/أو OTP عبر SMS) تتطابق مع مستوى أمان طريقة المصادقة الأساسية. على سبيل المثال، في نظام MFA يستخدم مفاتيح المرور، يجب أن يتطلب البديل أيضاً عوامل متعددة للحفاظ على نفس المعيار الأمني.
• أتمتة المطالبات الدورية بالاسترداد: اطلب بانتظام من المستخدمين التحقق من معلومات الاتصال الخاصة بهم (عنوان البريد الإلكتروني أو رقم الهاتف) أثناء تسجيل الدخول للتأكد من أن خيارات الاسترداد تظل محدثة عندما يستخدمون مفاتيح المرور. يقلل هذا من فرص منع المستخدمين من الوصول إلى حساباتهم بسبب طرق الاسترداد القديمة.
• ضع في اعتبارك طرق الاسترداد الذكية لتعزيز الأمان وتقليل تكاليف دعم الاسترداد: بالنسبة للصناعات الخاضعة للوائح التنظيمية أو الأنظمة التي يمكنها الوصول إلى بيانات شخصية للتحقق منها مقابل تحديد الهوية عبر الإنترنت، ضع في اعتبارك طرق استرداد متقدمة مثل التعرف على الهوية بصورة شخصية مع فحص الحيوية. يمكن أن توفر هذه الطريقة طبقات إضافية من الأمان مع الحفاظ على عملية الاسترداد بديهية وسهلة الاستخدام اعتماداً على متطلبات الأمان الخاصة بك.

يعتمد تعظيم معدل تسجيل الدخول بمفتاح المرور على مدى جودة تطبيقك لهذه العناصر. سيمنح ضمان البدائل واسترداد الخيارات السلسة المستخدمين الثقة في استخدام مفاتيح المرور كطريقة مصادقة أساسية لهم.

6. ما يمكن أن يقدمه Corbado لك: مكونات واجهة المستخدم وذكاء مفتاح المرور#

يوفر Corbado كل ما يلزم لتطبيق نهج المعرف أولاً للمشاريع الجديدة تماماً التي تحتاج إلى نظام مصادقة جديد بالكامل والمشاريع الحالية التي تحتاج إلى إضافة مفاتيح المرور لنظام مصادقة موجود.

6.1 مكونات واجهة المستخدم لحالات الاستخدام المختلفة#

يقدم كلا المنتجين مكونات واجهة مستخدم يمكن تكييفها وفقاً لاحتياجاتك:

1. Corbado Complete: ابدأ مشروعك بمصادقة تعتمد على مفتاح المرور أولاً
   هذا هو نظام المصادقة الشامل لدينا، والذي يتضمن نهجاً سلساً يعتمد على المعرف أولاً لتبسيط عملية تسجيل الدخول. يتيح Corbado Complete تجربة آمنة وسهلة الاستخدام من خلال التحديد التلقائي لما إذا كان تسجيل الدخول بمفتاح المرور ممكناً بعد أن يقدم المستخدم معرفه. هذا يقلل الاحتكاك ويضمن تجربة تسجيل دخول سلسة، وهو أمر بالغ الأهمية لزيادة اعتماد مفتاح المرور.
2. Corbado Connect: أضف مفاتيح المرور بدون الترحيل لأي تطبيق
   بالنسبة للشركات التي لديها بالفعل عمليات مصادقة قوية وترغب في إضافة مفاتيح المرور كتحسين، يقدم Corbado Connect حلاً إضافياً لاستراتيجيات العامل الواحد والمتعدد العوامل. يكمل هذا النهج بنيتك التحتية الحالية عن طريق دمج مفاتيح المرور بسلاسة كخيار آمن ومريح، مما يتيح للمستخدمين المصادقة عبر مفاتيح المرور دون إجراء تغييرات جذرية على نظامك الحالي. على سبيل المثال، يمكن تضمين Corbado Connect بسلاسة في Amazon Cognito.

نحن نعمل بشكل صارم على مواءمة طرقنا مع قادة الصناعة مثل Google وغيرهم من اللاعبين البارزين في قطاع التكنولوجيا الضخمة، والمصممة خصيصاً للشركات الموجهة للمستهلكين.

6.2 ذكاء مفتاح المرور (Passkey Intelligence) يُمكّن نهج المعرف أولاً#

هدفنا ليس فقط زيادة اعتماد مفتاح المرور (أي إنشاء مفاتيح المرور) ولكن أيضاً ضمان استخدام مفاتيح المرور هذه بشكل نشط لتحقيق معدلات تسجيل دخول عالية (وبالتالي زيادة الأمان وتقليل تكاليف SMS OTP). تم تصميم مكونات واجهة المستخدم الخاصة بنا مع وضع نهج المعرف أولاً في الاعتبار وهي متصلة بشكل مباشر بـ ذكاء مفتاح المرور (Passkey Intelligence) الخاص بنا، والذي يقرر بشأن توفر مفتاح المرور وإمكانية الوصول إليه بناءً على بيئة العميل ومفاتيح المرور الحالية. وهي تدعم جميع وظائف البدائل والاسترداد التي تمت مناقشتها. توضح الشاشات التالية منطق الإحباط وإعادة المحاولة لدينا:

الإحباط الأول لمفتاح المرور

الإحباط الثاني لمفتاح المرور

من خلال التركيز على كل من تبني مفتاح المرور واستخدام مفتاح المرور، نساعدك على تحقيق توازن بين الأمان وتجربة المستخدم، لضمان استمرار تفاعل المستخدمين مع مفاتيح المرور بطريقة خالية من الاحتكاك.

7. الخاتمة#

في هذا الدليل، اكتشفنا استراتيجيات البدائل والاسترداد المختلفة بعد دمج مفاتيح المرور في نظام المصادقة. تمت معالجة الأسئلة الرئيسية المطروحة في المقدمة عبر المقال:

• ما هي سيناريوهات البديل الموجودة؟ يمكن أن تحدث عدة سيناريوهات بديلة، مثل عدم توفر دعم لمفتاح المرور أو عدم إمكانية الوصول إلى مفاتيح المرور على جهاز معين. للحفاظ على الأمان وتقديم تجربة مستخدم سلسة (UX)، يجب أن تتوفر خيارات بديلة مثل البريد الإلكتروني أو SMS OTP عندما لا يكون تسجيل الدخول بمفتاح المرور ممكناً.
• كيف ينبغي التعامل مع الاسترداد؟ يجب تصميم عمليات الاسترداد لتتناسب مع المستوى الأمني لنظام المصادقة. في أنظمة SFA، قد يكفي البريد الإلكتروني أو SMS OTP، بينما في أنظمة MFA، يجب استخدام عوامل بديلة لاستعادة الوصول وإنشاء مفتاح مرور جديد. في البيئات شديدة التنظيم أو الحساسة، توفر طرق الاسترداد الذكية مثل التعرف على الهوية بصورة شخصية مع فحوصات الحيوية أماناً إضافياً.

من خلال اتباع أفضل الممارسات الموضحة في هذا الدليل، يمكن لمديري المنتجات والمطورين تصميم أنظمة مصادقة قوية تستند إلى مفاتيح المرور والتي تزود المستخدمين بتجربة تسجيل دخول آمنة وسلسة في نفس الوقت. لا ينبغي أن يأتي الأمان على حساب تجربة المستخدم - فكلاهما يمكن تحقيقه من خلال التصميم والتخطيط المدروسين.

حول Corbado

Corbado هي Passkey Intelligence Platform لفِرَق CIAM التي تُدير المصادقة الاستهلاكية على نطاق واسع. نُمكّنك من رؤية ما لا تستطيع سجلات IDP وأدوات التحليل العامة إظهاره: أي الأجهزة وإصدارات أنظمة التشغيل والمتصفحات ومديري بيانات الاعتماد تدعم passkeys، ولماذا لا تتحوّل عمليات التسجيل إلى عمليات دخول، وأين يفشل تدفق WebAuthn، ومتى يُعطّل تحديث نظام التشغيل أو المتصفح تسجيل الدخول بصمت — كل ذلك دون استبدال Okta أو Auth0 أو Ping أو Cognito أو IDP الداخلي لديك. منتجان: Corbado Observe يُضيف observability للـ passkeys وأي طريقة دخول أخرى. Corbado Connect يُقدّم managed passkeys مع تحليلات مدمجة (إلى جانب IDP الخاص بك). تُشغّل VicRoads passkeys لأكثر من 5 ملايين مستخدم مع Corbado (تفعيل passkey بنسبة +80%). تحدث مع خبير Passkey →

الأسئلة الشائعة#

كيف يتعامل نهج المعرف أولاً مع تسجيل الدخول بمفتاح المرور عندما لا يكون مفتاح المرور قابلاً للوصول على الجهاز الحالي؟#

عندما يكون من المحتمل ألا يكون مفتاح المرور قابلاً للوصول (على سبيل المثال، الوصول لمفتاح مرور نظام macOS من جهاز يعمل بنظام Windows)، يتخطى النظام تلقائياً المطالبة بمفتاح المرور ويعرض خيارات بديلة مثل كلمة المرور أو OTP بدلاً من ذلك. يتجنب هذا الطرق المسدودة المربكة عن طريق بدء تسجيل الدخول بمفتاح المرور فقط عندما يكون النجاح مرجحاً، باتباع استراتيجية "لا تجعلني أفكر".

ماذا يجب أن يحدث عندما يجهض مستخدم مراسم المصادقة بمفتاح المرور في منتصف العملية؟#

يجب التعامل مع الإحباط الأول كحدث طبيعي، من خلال شاشة هادئة تشجع المستخدم على إعادة المحاولة، لأن العديد من المستخدمين يقومون بالإلغاء لمجرد أنهم غير معتادين على شاشة المصادقة. إذا حدث إحباط ثانٍ، فيجب على النظام إظهار خيارات المصادقة البديلة، حيث قد يشير هذا إلى وجود مشكلة حقيقية في مصادق المنصة أو توفر مفتاح المرور.

ما هي خيارات الاسترداد المتوفرة لأنظمة المصادقة متعددة العوامل (MFA) عندما يفقد المستخدم وصوله إلى مفتاح المرور الخاص به؟#

في أنظمة MFA، يمكن للمستخدمين استرداد حساباتهم عن طريق المصادقة بعاملين بديلين مثل كلمة المرور بالإضافة إلى SMS OTP أو باستخدام مفتاح مرور من جهاز آخر موثوق به، ثم إنشاء مفتاح مرور جديد. بالنسبة للصناعات الخاضعة للتنظيم حيث لا تتوفر طرق الاسترداد التقليدية، توفر الطرق الذكية مثل التعرف على صورة السيلفي مع فحص الحيوية مساراً إضافياً آمناً للاسترداد.

لماذا يؤدي نهج زر "تسجيل الدخول باستخدام مفتاح المرور" اليدوي إلى معدل اعتماد أقل مقارنةً بنهج المعرف أولاً؟#

يضع النهج اليدوي المسؤولية الكاملة على المستخدمين في تذكر وتحديد خيار مفتاح المرور بأنفسهم، مما يؤدي عادةً إلى معدلات تسجيل دخول بمفتاح المرور أقل بكثير. قد يواجه المستخدمون أيضاً رسائل خطأ غير واضحة عندما لا يتم العثور على مفاتيح المرور في مصادق المنصة، مما يؤدي إلى الإحباط والتخلي عن محاولات تسجيل الدخول.