مزوّدو Passkey: الأنواع وAAGUID والتبنّي

Looking for a developer-focused passkey reference? Download our Passkeys Cheat Sheet (incl. WebAuthn ceremonies, objects & Conditional UI). Trusted by dev teams at Ally, Stanford CS & more.

Get Cheat Sheet

عند استخدام Passkeys أو العمل في مجال تطبيق تقنياتها، يبرز مكون واحد كعنصر بالغ الأهمية: مزوّد الـ Passkey (Passkey Provider). ومع ذلك، ورغم كونه جزءاً محورياً في منظومة Passkeys، فإن الكثيرين لديهم فهم تقريبي فقط لمزودي Passkey أو لا يعرفون الفرق بين مزوّد Passkey من الطرف الأول (First-party)، ومزوّد Passkey من الطرف الثالث (Third-party)، ومزوّد مصادقة Passkey (Passkey Authentication Provider).

Get a free passkey assessment in 15 minutes.

Book free consultation

يهدف هذا المقال إلى تسليط الضوء على هذه المفاهيم. سواء كنت مطور برمجيات، أو مدير منتج (Product Manager)، أو مجرد شخص لديه فضول حول أحدث تقنيات أمان الويب، فإن فهم دور وأنواع مزودي Passkeys أمر ضروري. من خلال تبسيط هذا الموضوع، نسعى لتمكين الجميع بالمعرفة اللازمة لفهم تقنية Passkeys بثقة.

يلعب مزوّد Passkey دوراً أساسياً في منظومة المصادقة، حيث يعمل كجسر بين أجهزة المستخدمين والوصول الآمن والسلس إلى الجهات المعتمدة (Relying Parties) (الخدمات عبر الإنترنت). ولكن ما هو مزوّد Passkey بالضبط، خاصة وأنه لا يوجد تعريف رسمي وقد تجد تفسيرات مختلفة عبر الإنترنت؟

التعريف التالي يعكس فهمنا ولا ندعي أنه التعريف الدقيق الوحيد.

مزوّد Passkey هو في الأساس أي كيان يتيح إنشاء مفاتيح Passkeys وإدارتها واستخدامها. من خلال بحثنا، حددنا فئتين رئيسيتين يمكن تصنيف مزودي Passkey تحتهما: مزوّدو Passkey من الطرف الأول/الثالث ومزوّدو مصادقة Passkey.

Become part of our Passkeys Community for updates & support.

Join

تشمل هذه الفئة الكيانات القادرة على إنشاء مفتاح Passkey من جانب العميل (Client-side) أي على جهاز المستخدم. عند إنشاء Passkey من خلال هذه المنصات، تتم إدارته وتخزينه بشكل آمن، غالباً في سحابة الشركة المصنعة لنظام التشغيل (مثل iCloud Keychain، أو Google Password Manager) أو في مدير كلمات مرور خارجي (مثل KeePassXC، 1Password، Dashlane والمزيد أدناه).

أنظمة التشغيل التي تتيح إنشاء Passkey وإدارتها بشكل أصلي (Native) تُعتبر مزوّدي Passkey من الطرف الأول. في المقابل، يُشار إلى مديري كلمات المرور الخارجيين الذين يتكاملون مع النظام الأساسي من خلال واجهات برمجة التطبيقات (APIs) باسم مزوّدي Passkey من الطرف الثالث.

يمتلك كل مزوّد (سواء طرف أول أو ثالث) معرفات AAGUID (Authenticator Attestation Globally Unique Identifiers) خاصة به، مما يساعد في تحسين تجربة المستخدم (على سبيل المثال، في إعدادات الحساب للتمييز بين المفاتيح بسهولة). أحياناً قد يكون لديهم عدة AAGUIDs، والتي تنتمي جميعها لنفس المزوّد.

مزوّدو Passkey على جهاز يعمل بنظام iOS 17.4

مزوّدو Passkey على جهاز يعمل بنظام Android 14

واجهة Credential Manager API في نظام Android

تشمل الفئة الثانية مزوّدي المصادقة الذين يمكن للمطورين دمجهم في تطبيقاتهم للتعامل مع جميع جوانب إدارة Passkeys. هؤلاء المزوّدون يعملون بشكل أكبر على جانب الخادم (Server-side) مقارنة بجانب العميل المذكور أعلاه. يشمل هذا التعريف حلولاً مثل Corbado، التي تقدم حلول مصادقة تتمحور حول Passkeys للمواقع والتطبيقات. وبالتالي، يجب وصف هؤلاء المزوّدين بدقة أكبر على أنهم مزوّدو مصادقة Passkey، لتمييزهم عن مزوّدي Passkey من الطرف الأول والثالث المذكورين سابقاً.

في الأقسام التالية من هذا المقال، سنستخدم مصطلح "مزوّدي Passkey" للإشارة إلى مزوّدي الطرف الأول و الطرف الثالث، وفقاً لتعريفنا.

مع بدء المستخدمين في تبني Passkeys لمختلف الجهات المعتمدة (Relying Parties)، تبرز إدارتها بفعالية كتحدٍ كبير. ينطبق هذا أيضاً على المستخدمين الذين يستخدمون مفاتيح متعددة لحساب واحد، حيث يمكن أن يكون التمييز بين هذه المفاتيح لأغراض التحرير أو الحذف أمراً معقداً بالنسبة للجهة المعتمدة. على الرغم من الراحة والأمان اللذين توفرهما تقنية Passkeys، هناك مشكلة محتملة إذا فقد المستخدم أحد مفاتيحه. لحسن الحظ، لا يزال بإمكانهم الوصول إلى حسابهم لدى الجهة المعتمدة باستخدام مفاتيح بديلة. لمساعدة المستخدمين في تحديد مفاتيح معينة، تقترح بعض المصادر إضافة بيانات وصفية، مثل تواريخ الإنشاء وآخر استخدام للمفتاح في إعدادات الحساب. بالإضافة إلى ذلك، يُنصح باستخدام وكلاء المستخدم (User Agents) أو تلميحات العميل (Client Hints) لتسمية وتصنيف المفاتيح تلقائياً عند الإنشاء. ومع ذلك، قد لا تستخدم تطبيقات Android أو iOS الأصلية وكذلك مزوّدو الطرف الثالث وكلاء المستخدم، أو لا يضيفون معلومات تشير إلى أن المفتاح تم إنشاؤه بواسطة مزوّد طرف ثالث. يسلط هذا القصور الضوء على الحاجة إلى طرق محسنة لمساعدة المستخدمين على إدارة مفاتيحهم بكفاءة، بغض النظر عن النظام الأساسي أو المزوّد.

مأخوذة من مواصفات WebAuthn الخاصة بـ W3C

لتسهيل إدارة Passkeys، يمكن للمطورين الاستفادة من المعرف الفريد العالمي لإثبات المصادق (AAGUID). يُعد AAGUID معرفاً فريداً يتم تعيينه لطراز المصادق (Authenticator)، وليس لنسخته المحددة. يتم تضمينه داخل بيانات المصادق الخاصة ببيانات اعتماد المفتاح العام، مما يوفر طريقة للجهات المعتمدة لتحديد هوية مزوّد Passkey. هذه القدرة ضرورية لمساعدة المستخدمين والجهات المعتمدة على التنقل في مشهد Passkeys، مما يضمن إمكانية ربط كل مفتاح بمصدر إنشائه بدقة.

على سبيل المثال، إذا تم إنشاء Passkey باستخدام Google Password Manager على جهاز Android، يمكن للجهة المعتمدة استلام AAGUID خاص بمدير كلمات المرور من Google. بالرجوع إلى هذا AAGUID، يمكن للجهة المعتمدة بعد ذلك تمييز المفتاح وفقاً لذلك، مما يبسط الإدارة والتعريف للمستخدم. علاوة على ذلك، يمكن للجهات المعتمدة منع إنشاء مفاتيح متعددة لنفس المزوّد باستخدام خيار خادم WebAuthn المسمى excludeCredentials. هذا يحسن تجربة المستخدم بشكل أكبر حيث سيكون لكل مزوّد مفتاح واحد فقط، مما يمنع ارتباك المستخدم.

{
    "attestation": "none",
    "authenticatorSelection": {
        "residentKey": "preferred",
        "userVerification": "preferred"
    },
    "challenge": "6V61d0VM5bNTPxWSsrv7YKz0o4awe0ryoDh1V44RPRn6-mBQwv98BTRws6nMrBhEggGn7-tk1bl3YNSwc0oZpA",
    "excludeCredentials": [
        {
            "id": "1kBn2dmhv5JhuFxqeco1khCBCUBLlWYqZmFtdDujH5pM",
            "transports": ["internal"],
            "type": "public-key"
        }
    ],
    "extensions": {
        "credProps": true
    },
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "Passkey Demo",
        "name": "passkeys.eu"
    },
    "user": {
        "displayName": "Test Name",
        "id": "ZG1sdVkyVnxe3SFJsYzNR",
        "name": "Test Name"
    }
}

لتحديد مزوّد Passkey باستخدام AAGUID، يمكن للجهات المعتمدة الرجوع إلى مستودع مجتمعي لرموز AAGUID. يوفر هذا المستودع التعيينات (Mappings) اللازمة لتحديد مزوّد Passkey بالاسم، وربما بالرمز (الأيقونة)، مما يساعد في توفير واجهة مستخدم أكثر سهولة لإدارة المفاتيح. ومع ذلك، من المهم ملاحظة أن بعض المزودين قد يستخدمون AAGUID عام ("00000000-0000-0000-0000-0000000000000") عن قصد، لتمثيل مزوّد غير معروف أو عام.

استرجاع الـ AAGUID عملية مباشرة مع معظم مكتبات WebAuthn. على سبيل المثال، عند استخدام SimpleWebAuthn على جانب الخادم، يمكن للمطورين استخراج AAGUID من معلومات التسجيل لمطابقته مع مزوّد معروف، مما يعزز قدرة المستخدم على إدارة مفاتيحه بسهولة أكبر (مأخوذ من مقال Google "تحديد مزود Passkey باستخدام AAGUID").

// Import a list of AAGUIDs from a JSON file
// استيراد قائمة AAGUIDs من ملف JSON
import aaguids from "./aaguids.json" with { type: "json" };
// ...
// Use SimpleWebAuthn handy function to verify the registration request.
// استخدام وظيفة SimpleWebAuthn للتحقق من طلب التسجيل
const { verified, registrationInfo } = await verifyRegistrationResponse({
    response: credential,
    expectedChallenge,
    expectedOrigin,
    expectedRPID,
    requireUserVerification: false,
});
// ...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || "Unknown";

بينما تقدم AAGUIDs أداة قوية لإدارة Passkeys، يجب استخدامها بحذر. تعتمد نزاهة AAGUID على عملية الإثبات (Attestation)، التي تتحقق من صحة مزوّد Passkey. بدون توقيع إثبات صالح، يمكن التلاعب بـ AAGUIDs. اعتباراً من مارس 2024، تجدر الإشارة إلى أن Passkeys على بعض المنصات لا تدعم الإثبات، مما يبرز الحاجة إلى دراسة متأنية عند استخدامها.

فيما يلي، تجد قائمة غير حصرية لمزوّدي Passkey من الطرف الأول والثالث لتطبيقات Android، وتطبيقات iOS، وتطبيقات الويب باستخدام إصدارات شائعة جداً من أنظمة التشغيل والمتصفحات:

فيما يلي بعض النوافذ المنبثقة لـ مزوّدي Passkey من الطرف الثالث لإنشاء/حفظ Passkey:

شاهد التحليل الكامل لـ 1Password هنا.

شاهد التحليل الكامل لـ Dashlane هنا.

شاهد التحليل الكامل لـ KeePassXC هنا.

يُعد دور مزوّدي Passkey محورياً في نشر وإدارة مفاتيح المرور، فهم لا يسهلون إنشاء وإدارة المفاتيح فحسب، بل يضمنون أيضاً تكاملها السلس عبر مختلف المنصات والأجهزة.

كان هدف هذا المقال هو فهم ماهية مزوّد Passkey، بما في ذلك التمييز بين مزوّدي الطرف الأول والطرف الثالث، بالإضافة إلى الدور الحاسم للمعرف الفريد العالمي لإثبات المصادق (AAGUID). يوفر استخدام AAGUID، كما ناقشنا، حلاً واعداً يتيح تحديد وإدارة Passkeys بشكل أكثر وضوحاً.

إلى جانب ذلك، قمنا بتحليل مزوّدي Passkey الحاليين من الطرف الأول والثالث لأنظمة Android وiOS وWindows لمساعدة المستخدمين أيضاً في العثور على مزوّد طرف ثالث مناسب أو جهازهم المفضل.

بالنسبة للمطورين ومديري المنتجات، فإن الرؤى حول مزوّدي Passkey وكيفية إدارتها لا توجه التنفيذ التقني لمصادقة Passkey فحسب، بل تتماشى أيضاً مع الهدف الأوسع المتمثل في تحسين تجربة المستخدم والأمان.