مفاتيح المرور (Passkeys) المتوافقة مع PSD2: مصادقة متعددة العوامل (MFA) مقاومة للتصيد الاحتيالي
هل مفاتيح المرور (Passkeys) هي أفضل شكل من أشكال المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي والتي تتوافق مع متطلبات PSD2 و SCA؟ يجيب هذا المقال على جميع الأسئلة.
تمت ترجمة هذه الصفحة تلقائياً. اقرأ النسخة الأصلية باللغة الإنجليزية هنا.
تقرير Passkeys للقطاع المصرفي. إرشادات عملية وأنماط إطلاق ومؤشرات KPI لبرامج passkeys.
1. مقدمة#
في عالم الخدمات المصرفية الرقمية، لم يعد الأمان وتجربة المستخدم أمرين متعارضين. تدمج مفاتيح المرور (Passkeys) هذين العاملين، مقدمةً مصادقة متعددة العوامل مقاومة للتصيد الاحتيالي تتوافق مع متطلبات توجيه خدمات الدفع الثاني (PSD2) والمصادقة القوية للعملاء (SCA). تعد مفاتيح المرور الشكل الأكثر أمانًا وسهولة في الاستخدام للمصادقة التي يمكن تنفيذها عبر الخدمات المالية. تأتي هذه القفزة النوعية في وقت حاسم، حيث يواجه القطاع المصرفي تحديات في تطبيق توجيه خدمات الدفع الثاني المعدل (PSD2) - وهو إطار تنظيمي مصمم لتعزيز أمان وتنافسية قطاع الخدمات المصرفية الأوروبي.
تبرز مفاتيح المرور (Passkeys) في هذا السياق ليس فقط كحل للامتثال، بل أيضًا كشكل رائع من أشكال الابتكار، حيث تعد بتلبية متطلبات PSD2 الصارمة دون المساس بتجربة المستخدم. في هذا المقال، نحلل الفروق الدقيقة في توجيه PSD2 وتفويضه للمصادقة القوية للعملاء (SCA): يتضح أن مفاتيح المرور تمثل مستقبل المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي في الخدمات المصرفية.
أحدث المقالات
🔑
ما الذي يجعل التعامل الآمن مع المستندات أمراً ضرورياً للمؤسسات الحديثة؟
♟️
مشكلات مفاتيح المرور في اليوم الثاني: 5 مخاطر بعد الإطلاق
♟️
لماذا سيتم اختراق حتى كلمة مرورك الأكثر تعقيداً قريباً
♟️
إعادة استخدام كلمات المرور في اليابان: لا تزال النسبة 84% [2026]
♟️
دور الذكاء الاصطناعي في اكتشاف التهديدات السيبرانية
2. ما هو توجيه خدمات الدفع الثاني (PSD2)؟#
توجيه خدمات الدفع الثاني (PSD2) هو تشريع قدمه الاتحاد الأوروبي لإحداث ثورة في خدمات الدفع والمشهد المصرفي في أوروبا. تتمثل أهدافه الأساسية في زيادة المنافسة، وتعزيز حماية المستهلك، وتشجيع الابتكار في مجال المدفوعات الرقمية. من خلال فرض الوصول المفتوح إلى المعلومات المالية للعملاء لأطراف ثالثة معتمدة (بموافقة العميل)، يمهد PSD2 الطريق لنظام مالي أكثر تكاملاً وكفاءة وسهولة في الاستخدام. ومع ذلك، مع القوة الكبيرة تأتي مسؤولية كبيرة، ويتناول PSD2 هذا الأمر من خلال تركيزه على الأمان، لا سيما من خلال بروتوكولات المصادقة.
PSD2 هو لائحة تهدف إلى تحويل المدفوعات في الاتحاد الأوروبي من خلال تعزيز المنافسة والأمان والابتكار.
3. ما هي المصادقة القوية للعملاء (SCA)؟#
في صميم الإجراءات الأمنية لتوجيه PSD2 يكمن متطلب المصادقة القوية للعملاء (SCA)، وهو بروتوكول مصمم لتقليل الاحتيال بشكل كبير وتعزيز أمان المدفوعات الإلكترونية. تعتمد SCA على مبدأ أن المدفوعات الإلكترونية يجب ألا تكون سلسة فحسب، بل آمنة أيضًا بما يكفي لمقاومة التهديدات المختلفة. هذا الإطار للمصادقة إلزامي لمقدمي خدمات الدفع، والبنوك، وبوابات الدفع الإلكترونية التي تعمل ضمن نطاق PSD2.
SCA هو معيار المصادقة في القطاع المصرفي الأوروبي.
3.1 متطلبات المصادقة القوية للعملاء (SCA)#
يتم تحديد تنفيذ SCA بموجب PSD2 من خلال عدة متطلبات حاسمة:
المصادقة متعددة العوامل (MFA)#
يجب أن تتضمن المصادقة عنصرين على الأقل من الفئات التالية:
- المعرفة: شيء يعرفه المستخدم فقط، مثل كلمة مرور أو رقم تعريف شخصي (PIN).
- الحيازة: شيء يمتلكه المستخدم فقط، مثل جهاز محمول، أو بطاقة ذكية، أو جهاز توكن مادي.
- السمة الشخصية (البيومترية): شيء متأصل في المستخدم، ويشمل المعرفات البيومترية مثل بصمات الأصابع أو التعرف على الوجه أو أنماط الصوت.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case studyالربط الديناميكي#
لكل معاملة، يجب إنشاء رمز مصادقة فريد يربط ديناميكيًا تفاصيل المعاملة المحددة، مثل المبلغ ورقم حساب المستلم.
إعادة المصادقة الدورية#
يُطلب من المستخدمين إعادة المصادقة على فترات زمنية، عادة كل 90 يومًا، للحفاظ على الوصول إلى الخدمات المصرفية عبر الإنترنت. ومع ذلك، تمت مراجعة هذا المطلب لتحسين التوازن بين الأمان والراحة.
المصادقة الخاصة بالمعاملة#
يجب تطبيق SCA على جميع المعاملات الإلكترونية، مما يضمن أن المصادقة خاصة بالمبلغ والمدفوع له، مما يخلق توقيعًا فريدًا لكل معاملة.
التحليل القائم على المخاطر#
يجب على مقدمي خدمات الدفع استخدام نهج قائم على المخاطر لتطبيق SCA، حيث يمكن إعفاء المعاملات منخفضة المخاطر من SCA لتبسيط عملية الدفع دون المساس بالأمان (لاحظ الارتباط بمفاتيح المرور هنا بالفعل؟).
قابلية التدقيق#
يجب أن تكون عملية المصادقة بأكملها قابلة للتتبع والتدقيق، مع الاحتفاظ بالسجلات لإثبات الالتزام بمتطلبات SCA.
من خلال تقديم SCA، رفع PSD2 بشكل كبير مستوى أمان المعاملات في القطاع المصرفي. في ما يلي، سنركز على العوامل المختلفة المشاركة في المصادقة متعددة العوامل (MFA). تؤثر هذه العوامل أيضًا على متطلب المصادقة الخاصة بالمعاملة (اقرأ المزيد أدناه).
3.2 تطور المصادقة في القطاع المصرفي#
فيما يلي، سنقدم مراحل التطور المختلفة للمصادقة في القطاع المصرفي.
3.2.1 أرقام التعريف الشخصية (PINs) وأرقام مصادقة المعاملات (TANs) (منذ التسعينيات)#
بدأت رحلة المصادقة في قطاع البنوك باستخدام أرقام التعريف الشخصية (PINs) وأرقام مصادقة المعاملات (TANs). كان العملاء يتلقون قائمة من أرقام TANs، ليتم استخدام كل منها مرة واحدة للتحقق من المعاملة. هذه الطريقة، على الرغم من كونها ثورية في ذلك الوقت، كانت لها عيوبها، بما في ذلك خطر سرقة قوائم TANs أو إساءة استخدامها.
3.2.2 أرقام TANs الإلكترونية والمتنقلة (منذ الألفينات)#
مع تقدم التكنولوجيا، قدمت البنوك أرقام TANs الإلكترونية (eTANs) وأرقام TANs المتنقلة (mTANs)، حيث يتم إنشاء أرقام TANs وإرسالها إلى الجهاز المحمول للعميل عبر الرسائل القصيرة (SMS). حسنت هذه الطريقة الأمان عن طريق ربط TAN بالجهاز، لكنها أدخلت أيضًا ثغرات جديدة، مثل خطر اعتراض الرسائل القصيرة والإزعاج الناتج عن الاضطرار إلى انتظار وإدارة هذه الرسائل. حتى ظهور مفاتيح المرور، لا تزال الرسائل القصيرة التي تحتوي على كلمة مرور لمرة واحدة (SMS OTP) تعتبر الخيار الأكثر راحة للمصادقة الثنائية (2FA) المتاح للخدمات المصرفية من وجهة نظر تجربة المستخدم.
3.2.3 البطاقات الذكية وأجهزة التوكن (منذ الألفينات)#
لتعزيز الأمان بشكل أكبر، اعتمدت البنوك البطاقات الذكية وأجهزة التوكن التي تولد رموزًا فريدة للمصادقة. قدمت هذه الحلول القائمة على الأجهزة مستوى أعلى من الأمان ولكنها أضافت أيضًا تعقيدًا وإزعاجًا للعملاء، الذين أصبحوا الآن بحاجة إلى حمل جهاز إضافي.
3.2.4 القياسات الحيوية وتطبيقات الخدمات المصرفية عبر الهاتف المحمول (منذ 2010)#
يشمل أحدث تطور في المصادقة المصرفية القياسات الحيوية (بصمة الإصبع أو التعرف على الوجه) وتطبيقات الخدمات المصرفية عبر الهاتف المحمول مع ميزات أمان مدمجة. تهدف هذه الطرق إلى الموازنة بين الأمان والراحة من خلال الاستفادة من السمات البيولوجية الفريدة للمستخدم وانتشار الهواتف الذكية. ومع ذلك، فإنها تتطلب أيضًا من العملاء المرور بعملية تنزيل وإعداد تطبيق لكل بنك يستخدمه العميل على حدة.
| طريقة المصادقة | النوع | الوصف |
|---|---|---|
| كلمات المرور/أرقام التعريف الشخصية | شيء يعرفه المستخدم | معرفة سرية تقليدية يمكن تنفيذها بسهولة وفهمها على نطاق واسع. |
| كلمة مرور لمرة واحدة عبر الرسائل القصيرة (SMS OTP) | شيء يمتلكه المستخدم | رمز مرور مؤقت يتم إرساله إلى هاتف المستخدم، يمثل عامل حيازة. |
| أجهزة التوكن المادية | شيء يمتلكه المستخدم | أجهزة مادية تولد رمز مرور لمرة واحدة للمستخدم. تتطلب تطبيقًا أصليًا لنظام iOS / Android من البنك. |
| كلمة مرور لمرة واحدة عبر تطبيق الهاتف المحمول | شيء يمتلكه المستخدم | رمز مرور يتم إنشاؤه داخل تطبيق مصرفي أو تطبيق مصادقة، وغالبًا ما يكون مؤمنًا بربط الجهاز. يتطلب تطبيقًا أصليًا لنظام iOS / Android من البنك. |
| القياسات الحيوية | شيء متأصل في المستخدم | استخدام بصمة الإصبع أو التعرف على الوجه أو مسح قزحية العين عادةً كـ "اختصار داخل تطبيق البنك" لفتح القفل البيومتري المحلي (مثل Face ID). يتطلب تطبيقًا أصليًا لنظام iOS / Android من البنك. |
| الإشعارات الفورية (Push Notifications) | شيء يمتلكه المستخدم | الموافقة على المعاملات أو محاولات تسجيل الدخول من خلال إشعار تطبيق الهاتف المحمول. يتطلب تطبيقًا أصليًا لنظام iOS / Android من البنك. |
3.3 تحديات المصادقة الحالية ومعاناة العملاء#
على الرغم من هذه التطورات، لا يزال العملاء يواجهون إزعاجًا وإحباطًا كبيرين مع طرق المصادقة المصرفية الحالية وهم معرضون لخطر استهداف المحتالين:
- التعقيد والإزعاج: إن تجميع خطوات مصادقة متعددة، على الرغم من أنه يعزز الأمان، غالبًا ما يترجم إلى عملية مرهقة للمستخدمين. هذا التعقيد ليس مجرد إزعاج بسيط؛ بل يمكن أن يثني العملاء عن التعامل مع الخدمات المصرفية الرقمية، مما يقوض الغرض ذاته من التحول الرقمي.
- الاعتماد على الجهاز والمنصة: يربط التحول نحو المصادقة عبر الهاتف المحمول والقياسات الحيوية المستخدمين بشكل وثيق بأجهزتهم. يخلق هذا الاعتماد حلقة ضعيفة في حالة السرقة. كما أن الأعطال الفنية يمكن أن تجعل الخدمات المصرفية غير متاحة، مما يترك العملاء في مأزق.
- ثغرات التصيد الاحتيالي (Phishing): على الرغم من التطورات، تظل قابلية عوامل المصادقة للتصيد ثغرة لم تعالجها SCA. يمكن اختراق العوامل التقليدية مثل رقم التعريف الشخصي (PIN)، وكلمة المرور، وكلمات المرور لمرة واحدة عبر الرسائل القصيرة (SMS OTPs)، وكلمات المرور لمرة واحدة عبر البريد الإلكتروني (email OTPs) من خلال مخططات التصيد الاحتيالي المتطورة، مما يعرض بيانات العملاء وأموالهم للخطر.
حتى يومنا هذا، تواصل البنوك، وخاصة التقليدية منها، تحذير العملاء من الخطر الكبير للتصيد الاحتيالي.
إن ناقل الهجوم الأكثر احتمالاً ليس سرقة بيانات الاعتماد أو الأجهزة، بل هو قيام العملاء طواعيةً بتسليم كلا عاملي المصادقة أو العامل الأول منهما للمحتالين.
في القسم التالي، سنشرح كيف يعمل هذا باستخدام مثال حقيقي.
4. التصيد الاحتيالي هو أكبر مشكلة أمنية في القطاع المصرفي#
لطالما شكلت هجمات التصيد الاحتيالي تهديدًا كبيرًا لأمن القطاع المصرفي، حيث تستغل علم النفس البشري (الهندسة الاجتماعية) والثغرات التكنولوجية للوصول غير المصرح به إلى المعلومات المالية الحساسة. مع تطور طرق المصادقة في البنوك، تكيف المحتالون، وابتكروا مخططات متطورة لتجاوز الإجراءات الأمنية. إن فهم كيفية عمل التصيد الاحتيالي، خاصة في سياق طرق المصادقة شائعة الاستخدام هذه، أمر بالغ الأهمية لإدراك الحاجة الملحة لحلول مصادقة غير قابلة للتصيد مثل مفاتيح المرور.
4.1 النظرية وراء هجمات التصيد الاحتيالي#
في جوهره، يتضمن التصيد الاحتيالي خداع الأفراد للكشف عن معلومات حساسة، مثل بيانات تسجيل الدخول أو المعلومات المالية، تحت ستار اتصال شرعي من بنكهم. يتم تحقيق ذلك عادة من خلال الخطوات التالية:
- البداية: يرسل المحتالون رسائل (غالبًا عبر البريد الإلكتروني أو الرسائل القصيرة) تحاكي الاتصالات المصرفية الرسمية، كاملة مع الشعارات واللغة التي تبدو جديرة بالثقة. عادة ما تخلق هذه الرسائل شعورًا بالإلحاح، مدعية أن هناك حاجة إلى اتخاذ إجراء فوري لحل مشكلة أو منع إغلاق الحساب.
- الخداع: تحتوي الرسالة على رابط لموقع ويب احتيالي يشبه إلى حد كبير بوابة الخدمات المصرفية عبر الإنترنت الرسمية للبنك. دون علم بالخداع، يتم توجيه الضحية للاعتقاد بأنهم يصلون إلى موقع البنك الشرعي.
- الالتقاط: بمجرد الوصول إلى موقع التصيد، يُطلب من الضحية إدخال تفاصيل المصادقة الخاصة بهم، مثل رقم التعريف الشخصي (PIN) أو تأكيد معاملة بكلمة مرور لمرة واحدة (OTP) مرسلة عبر الرسائل القصيرة. معتقدين أنهم يتفاعلون مع بنكهم، يمتثل الضحية، ويسلمون بيانات اعتمادهم للمهاجمين دون قصد.
- الاستغلال: مسلحين بهذه التفاصيل، يمكن للمحتالين بعد ذلك الوصول إلى الحساب المصرفي للضحية، وإجراء معاملات غير مصرح بها، أو ارتكاب سرقة هوية.
4.2 مثال من العالم الحقيقي: هجوم تصيد احتيالي على دويتشه بنك (Deutsche Bank)#
لنتخيل سيناريو يتلقى فيه عميل لدويتشه بنك رسالة نصية قصيرة تنبهه إلى أنه سيتم إلغاء تنشيط حسابه. تتضمن الرسالة رابطًا لموقع ويب للتحقق من هوية العميل يحتوي على "deutschebank" كجزء من عنوان URL بما في ذلك شهادة SSL مطابقة. هذا الموقع، وهو نسخة طبق الأصل من صفحة تسجيل الدخول الخاصة بدويتشه بنك (كما ترون في لقطات الشاشة أدناه)، يطالب العميل برقم التعريف الشخصي للخدمات المصرفية عبر الإنترنت الخاص به وبعد ذلك يطلب كلمة مرور لمرة واحدة عبر الرسائل القصيرة في الوقت الفعلي (غير مرئية في لقطات الشاشة لأسباب أمنية). دون علم العميل، يسمح إدخال هذه المعلومات على موقع التصيد للمهاجمين بالوصول الكامل إلى حساب دويتشه بنك الخاص بهم وربما تحويل مبالغ ضخمة من المال إلى حسابات أخرى.
هذه هي رسالة التصيد الاحتيالي النصية مع المطالبة باستعادة الوصول إلى الحساب المصرفي (لقطات الشاشة باللغة الألمانية فقط متاحة):
هذا هو موقع التصيد الاحتيالي من قبل المهاجمين (https://deutschebank-hilfe.info):
هذا هو الموقع الأصلي كمرجع (https://meine.deutsche-bank.de) الذي نسخه المهاجمون بشكل شبه مثالي (لقد تركوا فقط تحذير التصيد الاحتيالي في الأسفل):
يمكن للعملاء المعتادين على تسجيل الدخول من خلال واجهة المستخدم المتطابقة هذه واستخدام كلمة المرور لمرة واحدة عبر الرسائل القصيرة كعامل مصادقة أن يقعوا بسهولة ضحية لمثل هذه الهجمات. يوجد نظام بيئي كبير من الحزم مفتوحة المصدر المصممة للتركيز على هجمات التصيد الاحتيالي التي تستهدف أنظمة OAuth أو الأنظمة المصرفية (على سبيل المثال، https://github.com/gophish/gophish) لأغراض البحث الأمني. ومع ذلك، يمكن تكييف هذه الأنظمة بسهولة لأغراض ضارة.
يصبح التصيد الاحتيالي في القطاع المصرفي دقيقًا بشكل متزايد مع كل تسرب للبيانات على الويب المظلم. عادةً ما تكون معلومات الدفع مثل أرقام IBAN جزءًا من هذه التسريبات أيضًا. على الرغم من أنه لا يمكن استخدام هذه المعلومات لسرقة الأموال مباشرة، إلا أنه يمكن استخدامها في أساليب التصيد الموجه (spear-phishing) حيث يعرف المهاجم أن الهدف هو بالفعل عميل للبنك.
4.3 أهمية عوامل المصادقة غير القابلة للتصيد#
يكمن الخلل الحاسم في السيناريو أعلاه في قابلية عوامل المصادقة للتصيد: يمكن بسهولة طلب كل من رقم التعريف الشخصي (PIN) وكلمة المرور لمرة واحدة عبر الرسائل القصيرة (SMS OTP) من العميل تحت ذرائع كاذبة. تؤكد هذه الثغرة على ضرورة وجود طرق مصادقة لا يمكن اختراقها من خلال الهندسة الاجتماعية أو هجمات التصيد الاحتيالي.
توفر عوامل المصادقة غير القابلة للتصيد، مثل تلك التي تتيحها مفاتيح المرور، دفاعًا قويًا ضد مثل هذه المخططات. نظرًا لأن مفاتيح المرور لا تعتمد على أسرار مشتركة يمكن الكشف عنها أو خداع المستخدم للحصول عليها أو اعتراضها، فإنها تغير المشهد الأمني بشكل أساسي. مع مفاتيح المرور، تتضمن عملية المصادقة إثباتًا مشفرًا للهوية لا يمكن للمحتالين تكراره، مما يزيل ناقل الهجوم الأكثر شيوعًا في التصيد الاحتيالي.
يقتصر استخدام مفاتيح المرور على النطاق المحدد الذي تم تسجيلها فيه (relying party ID). من المستحيل تقنيًا استخدامها على نطاق تصيد احتيالي أو إرسال مفاتيح المرور إلى مهاجم.
4.4 كيف نكافح التصيد الاحتيالي؟#
لمواجهة تهديدات التصيد الاحتيالي بفعالية، يجب على القطاع المصرفي اعتماد نهج متعدد الأوجه يشمل:
- تثقيف العملاء: يجب على البنوك إعلام عملائها باستمرار بمخاطر التصيد الاحتيالي وكيفية التعرف على الاتصالات الاحتيالية.
- تنفيذ مصادقة غير قابلة للتصيد: الانتقال إلى طرق مصادقة لا تعتمد على معلومات يمكن طلبها أو اعتراضها، وبالتالي إغلاق الباب أمام العديد من محاولات التصيد الاحتيالي.
- تعزيز أنظمة كشف الاحتيال: استخدام التحليلات المتقدمة والتعلم الآلي لاكتشاف ومنع المعاملات غير المصرح بها، حتى لو حصل المتصيدون على شكل من أشكال بيانات المصادقة.
بينما يظل التصيد الاحتيالي تهديدًا كبيرًا للقطاع المصرفي، يمثل اعتماد طرق مصادقة غير قابلة للتصيد مثل مفاتيح المرور خطوة حاسمة إلى الأمام في تأمين الخدمات المصرفية عبر الإنترنت ضد المحتالين. من خلال إزالة الحلقة الأضعف - قابلية عوامل المصادقة للتصيد - يمكن للبنوك تعزيز أمان أصول عملائها ومعلوماتهم الشخصية بشكل كبير.
حتى يومنا هذا، لم يتخذ البنك المركزي الأوروبي والسلطات الإشرافية المصرفية المحلية (مثل BaFin) موقفًا بشأن ما إذا كان سيتم تصنيف مفاتيح المرور، ككل، على أنها مصادقة ثنائية (2FA) أو كيف يجب على البنوك استخدامها.
في القسم التالي، نهدف إلى شرح سبب اعتقادنا بأن مفاتيح المرور متوافقة مع PSD2.
5. هل مفاتيح المرور متوافقة مع PSD2؟#
في المناقشات مع أصحاب المصلحة من قطاعات الدفع والتكنولوجيا المالية (fintech) والخدمات المصرفية، يظهر سؤال متكرر: هل مفاتيح المرور متوافقة مع PSD2، وهل يمكن أن تكون الشكل الوحيد للمصادقة في السيناريوهات المصرفية؟ العلاقة بين مفاتيح المرور وتوجيه خدمات الدفع الثاني المعدل (PSD2) في الاتحاد الأوروبي دقيقة وتتطلب استكشافًا مفصلاً. للتوضيح، عادة ما يتم تصنيف مفاتيح المرور إلى نوعين: مفاتيح المرور المتزامنة (لأجهزة متعددة) ومفاتيح المرور غير المتزامنة (لجهاز واحد)، ولكل منهما خصائص مميزة فيما يتعلق بالامتثال لـ PSD2:
| مفاتيح المرور المتزامنة | مفاتيح المرور غير المتزامنة | |
|---|---|---|
| توفر الجهاز | أجهزة متعددة | جهاز واحد |
| تدار بواسطة | نظام التشغيل | يتطلب برنامجًا إضافيًا |
| المفتاح الخاص | يتم تحميله إلى حساب سحابة نظام التشغيل (مثل iCloud Keychain، Google Password Manager) أو مدير كلمات مرور طرف ثالث (مثل 1Password، Dashlane) | يبقى على جهاز المستخدم |
| ربط الجهاز | لا | نعم |
| نسخ احتياطي | نعم | لا |
| الرأي التقليدي حول التوافق مع PSD2 | لا (؟) | نعم |
يعد الالتزام بالامتثال أمرًا مهمًا جدًا للكيانات الخاضعة للتنظيم مثل البنوك وشركات التأمين. ومع ذلك، يمكن أن تستغرق سياسات الامتثال وقتًا طويلاً للتغيير. في حالة مفاتيح المرور، تكمن الميزة الأمنية الرئيسية في كونها غير قابلة للتصيد، حيث لا يمكن للعملاء الكشف عن هذه المعلومات للمهاجمين عن غير قصد.
6. لماذا لا تشكل مفاتيح المرور المتزامنة خطرًا؟#
بينما تعزز مفاتيح المرور الأمان بشكل كبير من خلال كونها غير قابلة للتصيد، فإنها تنقل بعض المخاطر إلى حساب العميل السحابي، مثل Apple iCloud Keychain. هذا يجعل الحساب السحابي هدفًا أكثر جاذبية للمهاجمين. ومع ذلك، تتمتع خدمات مثل Apple iCloud بإجراءات أمنية قوية، لا سيما للميزات التي تدعم مفاتيح المرور.
أولاً، تعتمد مفاتيح مرور iCloud على تمكين المصادقة الثنائية (2FA) على الحساب، مما يضيف طبقة إضافية من الأمان. هذا يعني أنه حتى لو كان المهاجم يعرف كلمة مرور iCloud الخاصة بالعميل، فإنه سيظل بحاجة إلى الوصول إلى جهاز موثوق به أو رقم هاتف لتلقي رمز 2FA.
تستثمر Apple، وبالمثل Google لحساباتها، موارد كبيرة في تأمين هذه الخدمات السحابية. إن بروتوكولات الأمان للحسابات التي تدعم مفاتيح المرور في السحابة صارمة، مما يجعل من شبه المستحيل على المستخدمين غير المصرح لهم اختراقها. يتم الحفاظ على هذا المستوى العالي من الأمان من خلال التحديثات المستمرة والتصحيحات الأمنية (وقد أدخلوا أيضًا مفاتيح المرور لحساباتهم، انظر هذا المقال).
علاوة على ذلك، فإن سرقة الأجهزة أو الحسابات السحابية، على الرغم من كونها خطرًا محتملاً، ليست ناقل الهجوم الأكثر شيوعًا للتطبيقات المصرفية. في حالة وجود احتياجات أمنية مشددة، مثل المعاملات المشبوهة، يمكن للبنوك الاستمرار في استخدام كلمات المرور لمرة واحدة عبر الرسائل القصيرة كعامل إضافي. من خلال استبدال رقم التعريف الشخصي / كلمة المرور بمفاتيح المرور، يصبح عامل المصادقة الأول غير قابل للتصيد، مما يقلل بشكل كبير من خطر نجاح هجمات التصيد الاحتيالي. يمكن إدخال عامل ثالث للمعاملات التي يتم الإبلاغ عنها على أنها مشبوهة، مما يضمن موقفًا أمنيًا قويًا.
على الرغم من أن سطح الهجوم قد يتغير، إلا أن الوضع الأمني العام يتعزز، مما يجعل مفاتيح المرور خيارًا مقنعًا للكيانات الخاضعة للتنظيم مثل البنوك وشركات التأمين التي تسعى إلى تعزيز أمان العملاء دون التضحية بقابلية الاستخدام.
7. كيف تجبر البنوك الجديدة المنظمين على التحرك؟#
على عكس الآراء التقليدية (التي تتجنب المخاطر) بشأن الامتثال لـ PSD2، قررت Finom وRevolut أن حماية بيانات العملاء أكثر أهمية، وبالتالي تستخدمان مفاتيح المرور، على الرغم من عدم وجود قرار أوروبي عام حول كيفية تعامل الإشراف المصرفي مع مفاتيح المرور فيما يتعلق بالامتثال لـ PSD2. تتحدى البنوك الجديدة وشركات التكنولوجيا المالية مثل Finom وRevolut الوضع الراهن، وبذلك، تؤثر على المشهد التنظيمي فيما يتعلق بتدابير المصادقة التي يفرضها PSD2.
من خلال إعطاء الأولوية لأمن وسلامة بيانات العملاء، يتبنى رواد التكنولوجيا المالية هؤلاء مفاتيح المرور حتى في غياب توجيه تنظيمي صريح من السلطات الأوروبية. يضع هذا الموقف الاستباقي العبء على المنظمين لإعادة تقييم أطر الامتثال الخاصة بهم في ضوء التطورات التكنولوجية التي تقدم حلولًا أمنية متفوقة.
تسلط خطوة Finom وRevolut الجريئة لتنفيذ مفاتيح المرور الضوء على جانب حاسم من الامتثال التنظيمي - لا ينبغي أن يكون الأمر متعلقًا بالالتزام بالمعايير بشكل صارم، بل بتحقيق الأهداف الأساسية لتلك المعايير، والتي هي في هذه الحالة، الأمان المطلق لبيانات العملاء ومعاملاتهم. من خلال اختيار إعطاء الأولوية لحماية البيانات على الالتزام الصارم بنماذج الامتثال التقليدية، تضع هذه البنوك الجديدة معايير جديدة للصناعة.
من خلال دفع المنظمين لاتخاذ إجراء، تدعو هذه البنوك الجديدة إلى تحول نموذجي يجب أن يتطور فيه الامتثال جنبًا إلى جنب مع التقنيات الناشئة التي تحمي مصالح المستهلكين بشكل أكثر فعالية.
8. ما هي التغييرات التنظيمية المطلوبة؟#
من منظور تنظيمي، هناك حاجة ملحة للوضوح والتكيف لاستيعاب التطورات مثل مفاتيح المرور ضمن إطار الامتثال لـ PSD2. نحث الاتحاد الأوروبي على اتخاذ موقف حاسم بشأن مفاتيح المرور، معترفًا بها كشكل متفوق من المصادقة متعددة العوامل (MFA) يتماشى مع الأهداف الأساسية لـ PSD2 لتعزيز الأمان وتقليل الاحتيال في النظام البيئي للمدفوعات الرقمية.
توفر مفاتيح المرور، بحكم تصميمها، عامل مصادقة قويًا ومقاومًا للتصيد الاحتيالي يتجاوز القدرات الأمنية لمعظم طرق MFA التقليدية. هذا لا يعزز الأمان فحسب، بل يبسط أيضًا تجربة المستخدم، ويعالج جانبين حاسمين من الامتثال لـ PSD2.
يجب أن يتطور موقف الاتحاد الأوروبي ليعكس التطورات التكنولوجية التي تعيد تعريف ما يشكل مصادقة فعالة وآمنة. من خلال تبني الابتكارات مثل مفاتيح المرور ودمجها في النسيج التنظيمي، يمكن للاتحاد الأوروبي إظهار التزامه بحماية المستهلكين وتعزيز بيئة مالية رقمية تطلعية.
مع استمرار ابتكار الصناعة المالية، يقع على عاتق المنظمين توفير توجيهات واضحة وتقدمية لا تواكب التغيير التكنولوجي فحسب، بل تتوقع أيضًا التطورات المستقبلية. تقود البنوك الجديدة حاليًا هذا التوجه، ولكن في النهاية، تقع على عاتق الهيئات التنظيمية مسؤولية ضمان أن يتمكن القطاع المالي ككل من المضي قدمًا بأمان وثقة نحو مستقبل الخدمات المصرفية الرقمية.
اشترك في Passkeys Substack للحصول على آخر الأخبار.
9. توصية للبنوك وشركات التكنولوجيا المالية#
يبرز اعتماد مفاتيح المرور في مجال الخدمات المصرفية والتكنولوجيا المالية كمثال رئيسي على الابتكار الذي يعزز بشكل كبير كلاً من الأمان وتجربة المستخدم. خلال مقالنا، أثبتنا إمكانات مفاتيح المرور كحل مصادقة تطلعي يتماشى مع المتطلبات الأمنية الصارمة لـ PSD2 مع التخفيف من التهديدات السائدة مثل التصيد الاحتيالي. لقد أرست البنوك الجديدة / شركات التكنولوجيا المالية مثل Finom وRevolut سابقة من خلال دمج مفاتيح المرور في أطرها الأمنية، مما يثبت فعاليتها ونهجها المتمحور حول العملاء.
يمكن أن تبدو خطة عمل من ثلاث خطوات للبنوك التقليدية كما يلي:
- التواصل مع المنظمين المحليين: يجب على البنوك التقليدية التواصل بشكل استباقي مع هيئاتها التنظيمية المحلية وسلطات الإشراف المصرفي لمناقشة تنفيذ مفاتيح المرور. يجب أن يهدف هذا الحوار إلى توضيح المواقف التنظيمية وتمهيد الطريق لدمج مفاتيح المرور ضمن هيكل الامتثال الحالي. من خلال أخذ زمام المبادرة، يمكن للبنوك المساهمة في تشكيل بيئة تنظيمية تدعم طرق المصادقة المبتكرة.
- التعلم من أفضل ممارسات البنوك الجديدة: من الضروري للبنوك التقليدية مراقبة والتعلم من البنوك الجديدة التي نفذت مفاتيح المرور بنجاح. ستوفر دراسة أفضل الممارسات هذه رؤى قيمة في الجوانب التشغيلية والتقنية وخدمة العملاء لنشر مفاتيح المرور. يمكن أن يساعد نقل المعرفة هذا البنوك التقليدية في صياغة استراتيجياتها لتبني مفاتيح المرور.
- الانتقال الاستراتيجي إلى مفاتيح المرور: مع الوضوح التنظيمي وفهم أفضل الممارسات، يمكن للبنوك التقليدية تطوير خطة شاملة لنقل العملاء إلى المصادقة القائمة على مفاتيح المرور. يجب أن تتضمن هذه الخطة حملات لتثقيف العملاء لشرح فوائد واستخدام مفاتيح المرور، وعمليات طرح مرحلية لضمان انتقال سلس، وتقييم مستمر لمعالجة أي تحديات على الفور. تعتبر مسارات إنشاء مفاتيح المرور المحسّنة مع التنبيهات بعد تسجيل الدخول ومسارات تسجيل الدخول الذكي باستخدام مفاتيح المرور بالغة الأهمية لتحقيق عتبة اعتماد تزيد عن 50%+ حيث يمكن التخلص التدريجي من كلمات المرور.
10. كيف تساعد Corbado البنوك في تنفيذ مفاتيح المرور المتوافقة مع PSD2#
بالانتقال من النظرية إلى التطبيق العملي، تحتاج البنوك إلى أدوات تسد الفجوة بين المتطلبات التنظيمية لـ PSD2/SCA والنشر الفعلي لمفاتيح المرور. توفر Corbado طبقة ذكاء مفاتيح المرور (passkey intelligence) تستقر فوق بنية الهوية الحالية لديك — ولا تتطلب أي ترحيل للمستخدمين.
ثقة الجهاز وتغطية عوامل SCA#
يتمثل أحد التحديات الرئيسية للبنوك في إثبات أن تنفيذ مفاتيح المرور الخاص بها يلبي فعليًا متطلبات المصادقة الثنائية لـ SCA عبر قاعدة مستخدميها بالكامل. توفر لوحة معلومات "ثقة الجهاز (Device Trust)" من Corbado رؤية في الوقت الفعلي لكيفية تعيين كل طريقة مصادقة لعوامل SCA، ومعدلات النجاح، ومعدلات تجنب المصادقة المصعّدة (step-up avoidance rates).
على سبيل المثال، تحقق مفاتيح المرور المرتبطة بالجهاز (device-bound passkeys) معدلات نجاح تبلغ 99.1% مع متطلبات تصعيد بنسبة 0% (نهج "مفاتيح المرور كما هي")، في حين تصل مفاتيح المرور المتزامنة المقترنة بربط ملفات تعريف الارتباط/الجلسة (cookie/session binding) إلى 98.4% مع معدلات تصعيد تبلغ 3.2% فقط. يتيح هذا النهج القائم على البيانات للبنوك إثبات الامتثال لـ SCA للمنظمين بمقاييس ملموسة بدلاً من الحجج النظرية.
سياسات الثقة للامتثال لـ PSD2#
يمكن للبنوك تكوين سياسات ثقة دقيقة تتحكم في متى يمكن إنشاء مفاتيح المرور ومتى تكون المصادقة المصعّدة (step-up authentication) مطلوبة — مما يعالج بشكل مباشر نقاش عامل الحيازة الخاص بـ PSD2. على سبيل المثال، تؤدي مفاتيح المرور المتزامنة على الأجهزة الجديدة أو غير المصنفة تلقائيًا إلى مصادقة مصعّدة، بينما يتم الوثوق بـ مفاتيح المرور المرتبطة بالجهاز على الأجهزة المعروفة دون احتكاك إضافي.
يعني هذا النهج القائم على السياسات أن البنوك لا تضطر إلى اختيار تفسير واحد لـ SCA. يمكنها تطبيق ضوابط أكثر صرامة (ربط ملفات تعريف الارتباط/الجلسة أو التصعيد) حيث يتطلب مستوى المخاطر ذلك، مع الحفاظ على التجربة سلسة للسيناريوهات الموثوقة المرتبطة بالجهاز. النتيجة: امتثال لـ PSD2 يتكيف مع رغبة مؤسستك في المخاطرة بدلاً من نهج واحد يناسب الجميع.
لماذا تعتبر مفاتيح المرور مهمة؟
مفاتيح المرور للشركات
كلمات المرور والتصيد الاحتيالي يعرضان الشركات للخطر. تقدم مفاتيح المرور الحل الوحيد للمصادقة متعددة العوامل الذي يوازن بين الأمان وتجربة المستخدم. يغطي دليلنا التقني التنفيذ والتأثير على الأعمال.
تنزيل الورقة البيضاء مجاناً
موقف Corbado من PSD2/SCA ومفاتيح المرور: يمكن أن تكون مفاتيح المرور (سواء المرتبطة بالجهاز أو المتزامنة) متوافقة مع SCA. يجب على كل مؤسسة أن تمتلك تقييم مخاطر SCA الخاص بها، ولكن الأدلة واضحة: توفر مفاتيح المرور بطبيعتها عاملين من عوامل SCA - الحيازة (المفتاح الخاص في وحدة أمان الأجهزة أو سلسلة المفاتيح السحابية) + السمة الشخصية (البيومترية) أو المعرفة (PIN). نقاش "الحيازة" دقيق ولكنه قابل للحل - تستقر الصناعة في ثلاثة مناهج: (1) مفاتيح المرور كما هي (مثل Revolut وFinom) - السمة الشخصية + الحيازة عبر جهاز مزود بمفتاح خاص، (2) مفاتيح المرور + ربط ملفات تعريف الارتباط/الجلسة (مثل PayPal وComdirect) - إشارة حيازة إضافية للتفسير المحافظ، (3) الربط التشفيري (DBSC/DPoP) - إثبات حيازة مرتبط بالأجهزة، وهو أقوى ضمان. لا يوجد تفسير "صحيح" واحد حتى الآن. هناك حاجة إلى نهج قائم على النتائج لـ SCA - يركز على مقاومة التصيد الاحتيالي القابلة للإثبات بدلاً من التصنيف الصارم للعوامل. يظل الربط الديناميكي (Dynamic linking) مطلبًا منفصلاً للمدفوعات حتى مع استخدام مفاتيح المرور.
حول Corbado
Corbado هي Passkey Intelligence Platform لفِرَق CIAM التي تُدير المصادقة الاستهلاكية على نطاق واسع. نُمكّنك من رؤية ما لا تستطيع سجلات IDP وأدوات التحليل العامة إظهاره: أي الأجهزة وإصدارات أنظمة التشغيل والمتصفحات ومديري بيانات الاعتماد تدعم passkeys، ولماذا لا تتحوّل عمليات التسجيل إلى عمليات دخول، وأين يفشل تدفق WebAuthn، ومتى يُعطّل تحديث نظام التشغيل أو المتصفح تسجيل الدخول بصمت — كل ذلك دون استبدال Okta أو Auth0 أو Ping أو Cognito أو IDP الداخلي لديك. منتجان: Corbado Observe يُضيف observability للـ passkeys وأي طريقة دخول أخرى. Corbado Connect يُقدّم managed passkeys مع تحليلات مدمجة (إلى جانب IDP الخاص بك). تُشغّل VicRoads passkeys لأكثر من 5 ملايين مستخدم مع Corbado (تفعيل passkey بنسبة +80%). تحدث مع خبير Passkey →
الخطوة التالية: هل أنت مستعد لتطبيق passkeys في بنكك؟ تقريرنا المصرفي عن Passkeys، المؤلف من أكثر من 90 صفحة، متاح الآن.
احصل على التقرير
شارك هذا المقال
مقالات ذات صلة
جدول المحتويات