مزودو مفاتيح المرور: الأنواع المختلفة، AAGUID والاعتماد

ملخص Passkeys. إرشادات عملية وأنماط إطلاق ومؤشرات KPI لبرامج passkeys.

احصل على الملخص

عند استخدام مفاتيح المرور أو العمل في مجال تطبيق مفاتيح المرور، يصبح هناك مكون مهم للغاية: مزود مفتاح المرور. ومع ذلك، على الرغم من أنه جزء حاسم في نظام مفاتيح المرور البيئي، إلا أن العديد من الأشخاص لديهم فهم تقريبي فقط لمزودي مفاتيح المرور أو لا يعرفون الفرق بين مزود مفتاح المرور من الطرف الأول، ومزود مفتاح المرور من الطرف الثالث، ومزود المصادقة باستخدام مفتاح المرور.

احصل على تقييم مجاني لـ passkey خلال 15 دقيقة.

احجز استشارة مجانية

يهدف هذا المقال إلى تسليط الضوء على هذا الموضوع. سواء كنت مطور برامج، أو مدير منتج، أو ببساطة فضوليًا حول أحدث تطورات أمان الويب، فإن فهم دور وأنواع مزودي مفاتيح المرور يعد أمرًا ضروريًا. من خلال توضيح هذا الموضوع، نسعى إلى تمكين الأشخاص بالمعرفة اللازمة لفهم مفاتيح المرور بثقة.

يلعب مزود مفتاح المرور دورًا أساسيًا في النظام البيئي للمصادقة القائمة على مفتاح المرور، حيث يعمل كجسر بين أجهزة المستخدمين والوصول الآمن والسلس إلى الأطراف المعتمدة (الخدمات عبر الإنترنت). ولكن ما هو بالضبط مزود مفتاح المرور، خاصة وأنه لا يوجد تعريف رسمي وستجد تفسيرات مختلفة عبر الإنترنت؟

يعكس التعريف التالي فهمنا ولا يُزعم أنه التعريف الدقيق الوحيد.

مزود مفتاح المرور هو في الأساس أي كيان يتيح إنشاء مفاتيح المرور وإدارتها واستخدامها. من خلال بحثنا، حددنا فئتين رئيسيتين يمكن تصنيف مزودي مفاتيح المرور تحتهما: مزودو مفاتيح المرور من الطرف الأول / الثالث ومزودو المصادقة باستخدام مفتاح المرور.

تتضمن هذه الفئة الكيانات القادرة على إنشاء مفتاح مرور من جهة العميل (على جهاز المستخدم). عندما يتم إنشاء مفتاح مرور من خلال هذه المنصات، تتم إدارته وتخزينه بأمان، غالبًا في السحابة الخاصة بالشركة المصنعة لنظام التشغيل (مثل iCloud Keychain، وGoogle Password Manager) أو في مدير كلمات مرور من طرف ثالث (مثل KeePassXC، و1Password، وDashlane - انظر المزيد أدناه).

تُعتبر أنظمة التشغيل التي تتيح إنشاء وإدارة مفتاح المرور بشكل أصلي مزودي مفاتيح مرور من الطرف الأول. في المقابل، يُشار إلى مديري كلمات المرور من الطرف الثالث الذين يندمجون مع المنصة من خلال واجهات برمجة التطبيقات (APIs) باسم مزودي مفاتيح مرور من الطرف الثالث.

يمتلك مزود مفتاح المرور من الطرف الأول أو الثالث نفس المعرفات الفريدة عالميًا لشهادة المصادق (AAGUIDs)، والتي تساعد على تحسين تجربة المستخدم (على سبيل المثال، في إعدادات الحساب للتمييز بين مفاتيح المرور بسهولة أكبر). في بعض الأحيان، قد يكون لديهم معرفات AAGUID متعددة، تنتمي جميعها إلى نفس مزود مفتاح المرور من الطرف الأول أو الثالث.

مزودو مفاتيح المرور على جهاز بنظام iOS 17.4

مزودو مفاتيح المرور على جهاز بنظام Android 14

واجهة برمجة تطبيقات Credential Manager في Android

تشمل الفئة الثانية مزودي المصادقة الذين يمكن للمطورين دمجهم في تطبيقاتهم للتعامل مع جميع جوانب إدارة مفاتيح المرور. إذن، هؤلاء هم المزودون الذين يعملون أكثر من جهة الخادم (مقارنة بجهة العميل المذكورة أعلاه). سيتضمن هذا التعريف أيضًا حلولًا مثل Corbado، التي تقدم حلول مصادقة تتمحور حول مفاتيح المرور لمواقع الويب والتطبيقات. وبالتالي، يجب وصف مزودي مفاتيح المرور هؤلاء بدقة أكبر على أنهم مزودو المصادقة باستخدام مفتاح المرور، لتمييزهم عن مزودي مفاتيح المرور من الطرف الأول والثالث المذكورين أعلاه.

في الأقسام التالية من هذا المقال، سنستخدم مصطلح "مزودو مفاتيح المرور" للإشارة إلى مزودي مفاتيح المرور من الطرف الأول والثالث، وفقًا لتعريفنا.

مع بدء المستخدمين في اعتماد مفاتيح المرور لمختلف الأطراف المعتمدة، يبرز التعامل معها وإدارتها بفعالية كتحدٍ كبير. ينطبق هذا أيضًا على المستخدمين الذين يستخدمون مفاتيح مرور متعددة لحساب واحد، حيث يمكن أن يكون التمييز بين مفاتيح المرور هذه لأغراض التعديل أو الحذف معقدًا بالنسبة للطرف المعتمد. على الرغم من الراحة والأمان اللذين توفرهما مفاتيح المرور، هناك مشكلة محتملة إذا فقد المستخدم أحد مفاتيح المرور الخاصة به. لحسن الحظ، لا يزال بإمكانهم الوصول إلى حسابهم لدى الطرف المعتمد باستخدام مفاتيح مرور بديلة. لمساعدة المستخدمين في التعرف على مفاتيح مرور محددة، تقترح بعض الموارد إضافة بيانات وصفية، مثل تواريخ الإنشاء وآخر استخدام لمفتاح المرور في إعدادات الحساب. بالإضافة إلى ذلك، يوصى باستخدام وكلاء المستخدم أو تلميحات العميل لتسمية مفاتيح المرور وتصنيفها تلقائيًا عند الإنشاء. ومع ذلك، قد لا تستخدم تطبيقات Android أو iOS الأصلية وكذلك مزودو مفاتيح المرور من الطرف الثالث وكلاء المستخدم، أو لا يقومون بإضافة معلومات تشير إلى أن مفتاح المرور تم إنشاؤه بواسطة مزود مفتاح مرور من طرف ثالث. يبرز هذا القيد الحاجة إلى طرق محسنة لمساعدة المستخدمين على إدارة مفاتيح المرور الخاصة بهم بكفاءة، بغض النظر عن المنصة أو المزود.

مأخوذة من مواصفات WebAuthn الخاصة بـ W3C

لتسهيل إدارة مفاتيح المرور هذه، يمكن للمطورين الاستفادة من المعرف الفريد عالميًا لشهادة المصادق (AAGUID). AAGUID هو معرف فريد مخصص لنموذج المصادق، وليس لنسخته المحددة. يتم تضمينه داخل بيانات المصادق الخاصة ببيانات اعتماد المفتاح العام، مما يوفر طريقة للأطراف المعتمدة للتعرف على مزود مفتاح المرور. هذه الإمكانية حاسمة في مساعدة المستخدمين والأطراف المعتمدة على التنقل في مشهد مفاتيح المرور، مما يضمن إمكانية ربط كل مفتاح مرور بمصدر إنشائه بدقة.

على سبيل المثال، إذا تم إنشاء مفتاح مرور باستخدام Google Password Manager على جهاز Android، فيمكن للطرف المعتمد تلقي AAGUID خاص بـ Google Password Manager. بالرجوع إلى هذا الـ AAGUID، يمكن للطرف المعتمد بعد ذلك وضع علامة على مفتاح المرور وفقًا لذلك، مما يبسط الإدارة وتحديد الهوية للمستخدم. علاوة على ذلك، يمكن للأطراف المعتمدة منع إنشاء مفاتيح مرور متعددة لنفس مزود مفتاح المرور باستخدام خيار الخادم excludeCredentials في WebAuthn. هذا يحسن بشكل أكبر تجربة مستخدم مفاتيح المرور حيث سيكون لكل مزود مفتاح مرور مفتاح مرور واحد فقط، مما يجنب ارتباك المستخدم.

{
    "attestation": "none",
    "authenticatorSelection": {
        "residentKey": "preferred",
        "userVerification": "preferred"
    },
    "challenge": "6V61d0VM5bNTPxWSsrv7YKz0o4awe0ryoDh1V44RPRn6-mBQwv98BTRws6nMrBhEggGn7-tk1bl3YNSwc0oZpA",
    "excludeCredentials": [
        {
            "id": "1kBn2dmhv5JhuFxqeco1khCBCUBLlWYqZmFtdDujH5pM",
            "transports": ["internal"],
            "type": "public-key"
        }
    ],
    "extensions": {
        "credProps": true
    },
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "Passkey Demo",
        "name": "passkeys.eu"
    },
    "user": {
        "displayName": "Test Name",
        "id": "ZG1sdVkyVnxe3SFJsYzNR",
        "name": "Test Name"
    }
}

لتحديد مزود مفتاح المرور باستخدام AAGUID، يمكن للأطراف المعتمدة الرجوع إلى مستودع AAGUIDs الذي يدعمه المجتمع. يوفر هذا المستودع التعيينات اللازمة لتحديد مزود مفتاح المرور بالاسم، وربما بالرمز، مما يساعد على توفير واجهة مستخدم أكثر سهولة لإدارة مفاتيح المرور. ومع ذلك، من المهم ملاحظة أن بعض مزودي مفاتيح المرور قد يستخدمون AAGUID عامًا ("00000000-0000-0000-0000-0000000000000") عن قصد، لتمثيل مزود غير معروف أو عام.

استرداد AAGUID هو أمر مباشر مع معظم مكتبات WebAuthn. على سبيل المثال، عند استخدام SimpleWebAuthn من جهة الخادم، يمكن للمطورين استخراج AAGUID من معلومات التسجيل لمطابقته مع مزود معروف، مما يعزز قدرة المستخدم على إدارة مفاتيح المرور الخاصة به بسهولة أكبر (مأخوذة من مقال Google "تحديد مزود مفتاح المرور باستخدام AAGUID").

// Import a list of AAGUIDs from a JSON file
import aaguids from "./aaguids.json" with { type: "json" };
// ...
// Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
    response: credential,
    expectedChallenge,
    expectedOrigin,
    expectedRPID,
    requireUserVerification: false,
});
// ...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || "Unknown";

في حين أن معرفات AAGUIDs توفر أداة قوية لإدارة مفاتيح المرور، يجب استخدامها بحذر. تعتمد سلامة AAGUID على عملية الشهادة (attestation)، التي تتحقق من أصالة مزود مفتاح المرور. بدون توقيع شهادة صالح، يمكن التلاعب بمعرفات AAGUIDs. اعتبارًا من مارس 2024، من الجدير بالذكر أن مفاتيح المرور على بعض المنصات لا تدعم الشهادة، مما يسلط الضوء على الحاجة إلى دراسة متأنية في استخدامها.

فيما يلي، تجد قائمة غير شاملة لمزودي مفاتيح المرور من الطرف الأول والثالث لتطبيقات Android، وتطبيقات iOS، وتطبيقات الويب باستخدام إصدارات شائعة جدًا من أنظمة التشغيل والمتصفحات التي تدعم مفتاح المرور:

فيما يلي، تجد بعض النوافذ المنبثقة لمزودي مفاتيح المرور من الطرف الثالث لإنشاء / حفظ مفتاح مرور:

انظر تحليل 1Password الكامل هنا.

انظر تحليل Dashlane الكامل هنا.

انظر تحليل KeePassXC الكامل هنا.

يُعد دور مزودي مفاتيح المرور أساسيًا في نشر وإدارة مفاتيح المرور، فهم الكيانات التي لا تسهل فقط إنشاء وإدارة مفاتيح المرور ولكنها تضمن أيضًا اندماجها السلس عبر مختلف المنصات والأجهزة.

كان الهدف من هذا المقال هو فهم ما هو مزود مفتاح المرور، بما في ذلك التمييز بين مزودي الطرف الأول ومزودي الطرف الثالث، بالإضافة إلى الدور الحاسم للمعرف الفريد عالميًا لشهادة المصادق (AAGUID). يقدم استخدام AAGUIDs، كما نوقش، حلاً واعدًا، مما يتيح تحديدًا وإدارة أكثر وضوحًا لمفاتيح المرور.

إلى جانب ذلك، قمنا بتحليل أي مزودي مفاتيح المرور من الطرف الأول والثالث المتواجدين حاليًا لأنظمة Android وiOS وWindows، مما يساعد المستخدمين أيضًا في العثور على مزود مفتاح مرور من طرف ثالث مناسب أو جهازهم المفضل.

بالنسبة للمطورين ومديري المنتجات، فإن الرؤى حول مزودي مفاتيح المرور وإدارتهم لا توجه فقط التنفيذ التقني للمصادقة باستخدام مفتاح المرور بل تتوافق أيضًا مع الهدف الأوسع المتمثل في تعزيز تجربة المستخدم والأمان.

حول Corbado

Corbado هي Passkey Intelligence Platform لفِرَق CIAM التي تُدير المصادقة الاستهلاكية على نطاق واسع. نُمكّنك من رؤية ما لا تستطيع سجلات IDP وأدوات التحليل العامة إظهاره: أي الأجهزة وإصدارات أنظمة التشغيل والمتصفحات ومديري بيانات الاعتماد تدعم passkeys، ولماذا لا تتحوّل عمليات التسجيل إلى عمليات دخول، وأين يفشل تدفق WebAuthn، ومتى يُعطّل تحديث نظام التشغيل أو المتصفح تسجيل الدخول بصمت — كل ذلك دون استبدال Okta أو Auth0 أو Ping أو Cognito أو IDP الداخلي لديك. منتجان: Corbado Observe يُضيف observability للـ passkeys وأي طريقة دخول أخرى. Corbado Connect يُقدّم managed passkeys مع تحليلات مدمجة (إلى جانب IDP الخاص بك). تُشغّل VicRoads passkeys لأكثر من 5 ملايين مستخدم مع Corbado (تفعيل passkey بنسبة +80%). تحدث مع خبير Passkey →