اختبار تطبيقات مفاتيح المرور (دليل مفاتيح المرور للمؤسسات 5)

نظرة عامة: دليل المؤسسات#

• مقدمة
• الجزء 1: التقييم الأولي والتخطيط
• الجزء 2: مشاركة أصحاب المصلحة
• الجزء 3: تطوير المنتج والتصميم والاستراتيجية
• الجزء 4: دمج مفاتيح المرور في حزمة المؤسسة

1. مقدمة#

بعد دمج مفاتيح المرور في حزمة تكنولوجيا المؤسسة الخاصة بك وإكمال التنفيذ، المرحلة الحاسمة التالية هي التأكد من أن النظام يعمل بشكل لا تشوبه شائبة ويلبي جميع المعايير الداخلية. يتضمن ذلك اختباراً شاملاً واستراتيجية إصدار مخططة بعناية. في سياق المؤسسات، حيث تكون الأنظمة معقدة وقواعد المستخدمين كبيرة، يعتبر الاختبار والمراقبة الصارمة أمراً ضرورياً للتخفيف من المخاطر وضمان طرح سلس.

في هذا المقال، سنركز على:

• الاختبار الوظيفي: ما هي الاختبارات الوظيفية الأساسية المطلوبة للتحقق من تنفيذ مفتاح المرور؟

• الاختبار غير الوظيفي: كيف يمكننا التأكد من أن النظام يلبي معايير الأداء والأمان والموثوقية؟

من خلال معالجة هذه الأسئلة الحاسمة، نهدف إلى تقديم دليل شامل حول اختبار تنفيذ مفاتيح المرور. سيساعد ذلك في ضمان أن يكون النشر الخاص بك قوياً وآمناً ويقدم تجربة سلسة لمستخدميك. دعونا نتعمق في تفاصيل الاختبار في سياق المؤسسات ونحدد الخطوات اللازمة لنجاح نشر مفاتيح المرور.

2. كيفية اختبار تطبيقات مفاتيح المرور#

يعد الاختبار وضمان الجودة من المكونات الأساسية في النشر الناجح لمفاتيح المرور داخل بيئة المؤسسة. نظراً لتعقيد أنظمة المؤسسات الكبيرة والعدد الكبير من المستخدمين الذين تخدمهم، فمن المهم التأكد من أن كل جانب من جوانب تنفيذ مفتاح المرور يعمل بشكل صحيح ويلبي المعايير الداخلية قبل الطرح الشامل. يتضمن ذلك نهجاً شاملاً للاختبار يعالج كلاً من الجوانب الوظيفية وغير الوظيفية للنظام. نظراً لأن الاختبار وضمان الجودة يتم التعامل معهما بشكل مختلف تماماً بين المؤسسات، نود تلخيص ما نعتقد أنه النقاط الرئيسية باختصار:

1. اختبار قبول المستخدم/الاختبار اليدوي: يسمح للمختبرين بتجربة النظام كما يفعل المستخدمون الحقيقيون، واكتشاف مشكلات قابلية الاستخدام والتأكد من منطقية مسارات العمل.

   • تسجيل ومصادقة مفتاح المرور: تأكد من قدرة المستخدمين على إنشاء مفاتيح مرور ومصادقتها بنجاح عبر مختلف الأجهزة والمنصات.

   • واجهة المستخدم وتجربة المستخدم: تحقق من أن واجهة المستخدم بديهية وسريعة الاستجابة وتوفر تجربة سلسة.

   • معالجة الأخطاء: اختبر كيفية تعامل النظام مع المدخلات غير الصحيحة، والمصادقات الفاشلة، والحالات الاستثنائية، مع ضمان توفير خيارات الملاحظات والاسترداد المناسبة للمستخدم.

   • تقييم قابلية الاستخدام: قم بتقييم سهولة استخدام وبديهية تنفيذ مفتاح المرور من وجهة نظر المستخدم النهائي.

   • الامتثال لإمكانية الوصول: تحقق من أن النظام يلبي معايير إمكانية الوصول لاستيعاب جميع المستخدمين.

   • سيناريوهات عبر الأجهزة: قم بالاختبار اليدوي على مجموعة متنوعة من الأجهزة لتحديد أي تناقضات أو مشكلات خاصة بجهاز معين.

2. الاختبار الآلي: يكمل اختبار قبول المستخدم اليدوي من خلال تمكين تنفيذ المهام المتكررة واختبارات التراجع بكفاءة.

   • اختبار الانحدار (Regression Testing): إعادة اختبار الوظائف الحالية تلقائياً للتأكد من أن تغييرات التعليمات البرمجية الجديدة لا تؤدي إلى حدوث عيوب.

   • البرامج النصية للأداء: استخدم أدوات آلية لمحاكاة إجراءات المستخدم في ظل ظروف وأحمال مختلفة.

   • التكامل المستمر: دمج الاختبارات الآلية في خط أنابيب التطوير لاكتشاف المشكلات مبكراً.

3. اختبار ذكاء مفتاح المرور (Passkey Intelligence): أمر بالغ الأهمية نظراً لتنوع الأجهزة وأنظمة التشغيل والمتصفحات التي يستخدمها مستخدمو المؤسسة.

   • اختبار التوافق: تأكد من أن نظام مفتاح المرور يعمل بسلاسة عبر جميع المنصات والمتصفحات المدعومة.

   • مصفوفة الأجهزة: قم بتطوير مصفوفة اختبار تغطي مجموعات مختلفة من الأجهزة وإصدارات أنظمة التشغيل والمتصفحات.

   • المحاكيات والأجهزة الحقيقية: استخدم كلاً من المحاكيات للتغطية الواسعة والأجهزة الحقيقية للحصول على نتائج دقيقة.

4. الاختبار غير الوظيفي: يعالج جوانب الأداء والأمان والموثوقية لنظام مفتاح المرور.

   • اختبار الأداء والحمل: تحقق من أن النظام يمكنه التعامل مع أحجام المصادقة المتوقعة دون تدهور.

   • اختبار الأمان: قم بإجراء اختبارات الاختراق وتقييمات الضعف لتحديد وتخفيف المخاطر الأمنية المحتملة.

من خلال دمج هذه الاعتبارات في عملية الاختبار وضمان الجودة، فإنه يقلل من المخاطر المرتبطة بنشر طريقة مصادقة جديدة مثل مفاتيح المرور. في الأقسام التالية سنستعرض كل خطوة ونوضح أيضاً كيف يمكن لـ Corbado ونظام Corbado Connect المساعدة في تلك المواقف.

3. الاختبار الوظيفي لمفاتيح المرور#

يعد الاختبار الوظيفي مرحلة حاسمة في نشر مفاتيح المرور داخل بيئة المؤسسة. يركز على التحقق من أن جميع ميزات ووظائف تنفيذ مفتاح المرور تعمل على النحو المنشود. يضمن هذا النوع من الاختبار أن النظام يلبي المتطلبات المحددة ويوفر تجربة مستخدم سلسة. يعمل الاختبار الوظيفي كأساس لضمان الجودة، حيث يتحقق من العمليات الأساسية لنظام المصادقة قبل الانتقال إلى الجوانب غير الوظيفية مثل الأداء والأمان.

الأهداف الرئيسية للاختبار الوظيفي:

• التحقق من الميزات: تأكد من أن جميع الميزات المتعلقة بمفتاح المرور، مثل التسجيل والمصادقة والإدارة، تعمل بشكل صحيح.

• التحقق من تجربة المستخدم: قم بتقييم سهولة الاستخدام والبديهية لتنفيذ مفتاح المرور من وجهة نظر المستخدم النهائي.

• معالجة الأخطاء: تأكد من أن النظام يتعامل مع الأخطاء بسلاسة ويقدم ملاحظات غنية بالمعلومات للمستخدمين.

• التوافق: اختبر عبر مختلف الأجهزة وأنظمة التشغيل والمتصفحات لضمان تجربة متسقة لجميع المستخدمين.

في سياق مفاتيح المرور، يتضمن الاختبار الوظيفي فحصاً شاملاً لجميع تفاعلات المستخدم وتدفقات المصادقة واستجابات النظام. من الضروري اختبار كل من سيناريوهات المستخدم النموذجية والحالات الاستثنائية للتأكد من أن النظام يتصرف بشكل صحيح في جميع الظروف. من خلال التحقق الشامل من كل وظيفة، يمكن للمؤسسات تحديد وتصحيح المشكلات مبكراً في عملية النشر، مما يقلل من خطر حدوث مشاكل أثناء الطرح المباشر.

3.1 اختبار قبول المستخدم (UAT): كيف تختبر تنفيذ مفتاح المرور؟#

يتضمن اختبار قبول المستخدم (UAT) مختبرين بشريين يتفاعلون يدوياً مع نظام مفتاح المرور للتحقق من وظائفه وتجربة المستخدم. يعتبر هذا النهج العملي حيوياً لاكتشاف المشكلات التي قد تفوتها الاختبارات الآلية، مثل مشكلات قابلية الاستخدام، وتناقضات الواجهة، والسلوكيات الخاصة بالأجهزة. في سياق تنفيذ مفتاح المرور، يتيح الاختبار اليدوي للمختبرين تجربة تدفقات المصادقة كما يفعل المستخدمون الحقيقيون، مما يوفر رؤى قيمة حول فعالية النظام وبديهيته.

الاعتبارات الرئيسية لاختبار قبول المستخدم لمفاتيح المرور:

• حسابات مستخدمين متنوعة: قم بإنشاء حسابات اختبار تمثل أدوار مستخدم مختلفة أو أنواع حالات أو أنواع حسابات داخل تطبيقك. يضمن ذلك أن تنفيذ مفتاح المرور يعمل بشكل صحيح عبر جميع شرائح المستخدمين.

• تعيين الجهاز والحساب: احتفظ بتعيين صارم بين حسابات الاختبار والأجهزة. قم بتعيين حسابات محددة لأجهزة محددة لدعم اختبار المصادقة عبر الأجهزة. يساعد هذا النهج في اختبار السيناريوهات بدقة حيث قد يقوم المستخدم بالمصادقة على جهاز واحد باستخدام مفتاح مرور تم إنشاؤه على جهاز آخر (استخدم نمط + في البريد الإلكتروني للتعرف عليهم).

• الأجهزة الممكّنة والغير ممكّنة لمفاتيح المرور: قم بتضمين كل من الأجهزة الممكّنة لمفاتيح المرور (تلك التي تدعم مفاتيح المرور) والأجهزة غير الممكّنة (تلك التي لا تدعمها) في مصفوفة الاختبار الخاصة بك. يتيح لك ذلك التحقق من أن النظام يوفر طرق مصادقة احتياطية مناسبة على الأجهزة التي لا تدعم مفاتيح المرور.

• اختبار المصادقة عبر الأجهزة: اختبر سيناريوهات المصادقة عبر الأجهزة حيث يتم استخدام مفتاح مرور تم إنشاؤه على جهاز واحد للمصادقة على جهاز آخر. يتضمن ذلك اختبار مسح رموز QR التي تتيح المصادقة بمفتاح المرور عبر الأجهزة.

• التناسق عبر المنصات: تأكد من أن تجربة المستخدم والوظائف متسقة عبر المنصات وأنظمة التشغيل والمتصفحات المختلفة. انتبه بشكل خاص للسلوكيات الخاصة بالأجهزة والاختلافات في الواجهة.

ما هي الوظائف التي يجب اختبارها؟

1. تسجيل ومصادقة مفتاح المرور:

   • إنشاء مفتاح مرور: اختبر عملية تسجيل مفتاح مرور جديد، مع التأكد من قدرة المستخدمين على إعداد مفاتيح مرور بنجاح على أجهزة مختلفة.

   • تسجيل الدخول باستخدام مفاتيح المرور: تحقق من قدرة المستخدمين على المصادقة باستخدام مفاتيح المرور المسجلة الخاصة بهم عبر منصات مختلفة، وأن عملية تسجيل الدخول سلسة وخالية من الأخطاء.

   • تسجيل الدخول باستخدام مفاتيح المرور عبر Conditional UI: تحقق من قدرة المستخدمين على المصادقة باستخدام Conditional UI على المنصات التي تدعمها وأن واجهة المستخدم تستجيب بشكل كافٍ.

   • تسجيل الدخول باستخدام مفتاح مرور محذوف: اختبر معالجة مفاتيح المرور المحذوفة بشكل صحيح. تدعم المتصفحات الحديثة (Chrome 132+ و Safari 26+) الآن واجهة برمجة تطبيقات WebAuthn Signal التي تسمح للخوادم بإرسال إشارة لحذف بيانات الاعتماد إلى العميل. اختبر كلا من تدفقات Signal API (عند دعمها) ورسائل الخطأ الاحتياطية (للمتصفحات التي لا تدعم Signal API). تحقق من أن عمليات الحذف المرسلة تزيل مفاتيح المرور من منتقي بيانات الاعتماد وتظهر رسائل الخطأ المناسبة عندما تكون Signal API غير متاحة.

   • المصادقة عبر الأجهزة: تحقق من أن مفاتيح المرور التي تم إنشاؤها على جهاز يمكن استخدامها على أجهزة أخرى إذا كانت مدعومة، وأن النظام يتعامل مع مثل هذه السيناريوهات بشكل مناسب.

2. إدارة مفاتيح المرور:

   • إضافة مفاتيح مرور: تأكد من قدرة المستخدمين على إضافة مفاتيح مرور متعددة إلى حساباتهم، واستيعاب السيناريوهات التي يمتلك فيها المستخدمون أجهزة متعددة.

   • حذف مفاتيح المرور: اختبر القدرة على إزالة مفاتيح المرور، وتأكد من أن النظام يقوم بتحديث حالة حساب المستخدم بشكل صحيح.

   • سرد مفاتيح المرور: تحقق من قدرة المستخدمين على عرض جميع مفاتيح المرور المسجلة المرتبطة بحسابهم، مع معلومات واضحة وخيارات إدارة.

   • إشعارات البريد الإلكتروني: تأكد من تشغيل إشعارات البريد الإلكتروني (على سبيل المثال، عند إضافة أو حذف مفتاح مرور) بشكل صحيح وإرسالها إلى عناوين البريد الإلكتروني الصحيحة للعملاء. يجب أن تكون هذه الإشعارات مترجمة بشكل صحيح، وتحتوي على تعليمات واضحة، وأوصاف لمفاتيح المرور، وتتبع إرشادات العلامة التجارية.

3. التفاعل مع منطق MFA الحالي:

   • تغييرات حالة المصادقة متعددة العوامل (MFA): اختبر كيف يؤثر تمكين أو تعطيل مفاتيح المرور على حالة المصادقة متعددة العوامل (MFA) للمستخدم. بما في ذلك إزالة جميع مفاتيح المرور من الحساب.

   • الآليات الاحتياطية: تأكد من أنه عندما تكون المصادقة بمفتاح المرور غير متاحة (على سبيل المثال، على الأجهزة غير المدعومة)، يتم تقديم طرق مصادقة بديلة للمستخدمين مثل كلمات المرور أو كلمات المرور لمرة واحدة (OTPs).

   • تحويل MFA: تحقق من عملية الانتقال من طرق MFA التقليدية إلى مفاتيح المرور، لضمان بقاء التدابير الأمنية الحالية سليمة.

4. واجهة المستخدم وتجربة المستخدم:

   • تقييم قابلية الاستخدام: قم بتقييم ما إذا كانت مسارات عمل مفتاح المرور بديهية وسهلة الاستخدام، مما يقلل من الارتباك والأخطاء.

   • الامتثال لإمكانية الوصول: تأكد من أن الواجهة تفي بمعايير إمكانية الوصول (مثل إرشادات WCAG) لدعم المستخدمين ذوي الإعاقة إذا لزم الأمر.

   • الأقلمة ودعم اللغات: تحقق من ترجمة ميزات مفاتيح المرور بشكل صحيح لمناطق ولغات مختلفة، إن أمكن.

5. معالجة الأخطاء والحالات الاستثنائية:

   • الأجهزة بدون مصادق منصة (platform-authenticator): اختبر السلوك عندما لا يدعم الجهاز مفاتيح المرور (أي عندما يعرض isUserVerifyingPlatformAuthenticatorAvailable() القيمة false أو غير محدد). تأكد من أن النظام يخفي خيارات مفتاح المرور، أو يوفر طرق مصادقة بديلة مناسبة أو يتراجع بسلاسة.

   • عمليات مفاتيح المرور المجهضة: اختبر كيفية تعامل النظام مع المواقف التي يقوم فيها المستخدمون بإلغاء عملية المصادقة بمفتاح المرور، مثل الإلغاء أو الخروج أثناء العملية. تأكد من أنه عند الإلغاء الأول، يعامله النظام كحدث طبيعي، ويوفر رسائل واضحة ومطمئنة، ويشجع المستخدم على إعادة المحاولة. إذا قام المستخدم بالإلغاء للمرة الثانية، فتحقق من أن النظام يقدم طرق مصادقة بديلة ويوجه المستخدم بشكل مناسب. هذا يضمن تجربة مستخدم سلسة حتى عند انقطاع المصادقة بمفتاح المرور.

   • المدخلات غير الصحيحة: اختبر كيفية استجابة النظام للبيانات أو الإجراءات غير الصالحة، مثل المدخلات الحيوية غير الصحيحة، أو محاولات المصادقة الملغاة، أو كلمات المرور لمرة واحدة (OTPs) غير الصالحة. تأكد من أن رسائل الخطأ واضحة وتوجه المستخدم حول كيفية المضي قدماً.

   • مشكلات خاصة بالجهاز: حدد ووثق أي تناقضات أو مشاكل تحدث على أجهزة أو أنظمة تشغيل أو متصفحات معينة. يتضمن ذلك مشكلات عرض واجهة المستخدم أو التناقضات الوظيفية أو مشكلات الأداء.

   • ظروف الشبكة: قم بمحاكاة ظروف الشبكة المختلفة (مثل عدم الاتصال بالإنترنت، والاتصالات البطيئة، والاتصال المتقطع، وحظر اتصالات الشبكة عبر امتداد المطور) لمعرفة كيفية تعامل النظام مع مشكلات الاتصال أثناء المصادقة. تأكد من أن النظام يوفر ملاحظات وخيارات استرداد مناسبة.

6. سيناريوهات دورة حياة الحساب:

   • إنشاء الحساب والتأهيل: اختبر مسار التأهيل الكامل للمستخدمين الجدد، بما في ذلك إعداد مفتاح المرور أثناء إنشاء الحساب أو بعد أول اشتراك (اعتماداً على حالة الاستخدام). تحقق من قدرة المستخدمين على إعداد مفاتيح المرور كجزء من الإعداد الأولي لـ MFA.

   • استرداد الحساب: اختبر السيناريوهات التي يحتاج فيها المستخدمون إلى استرداد الوصول إلى حساباتهم، مثل عندما يفقدون الوصول إلى أجهزتهم الممكّنة لمفتاح المرور. تأكد من أن عملية الاسترداد آمنة وسهلة الاستخدام.

   • تغييرات رقم الهاتف المحمول: اختبر عملية تحديث أرقام الهواتف المحمولة، خاصة عندما يتم استخدام أرقام الهواتف المحمولة للمصادقة متعددة العوامل (MFA) أو استرداد الحساب. تحقق من انعكاس التغييرات بشكل صحيح في النظام وتحديث طرق المصادقة وفقاً لذلك.

7. وظائف إضافية بناءً على التنفيذ الخاص بك: إدارة إشعارات دعم العملاء، والمزيد.

   • اختبار حزمة المؤسسة كاملة: في هذا المقال، نركز بشكل أساسي على التغييرات التي طرأت على الموقع الإلكتروني ونظام المصادقة، حيث تمثل هذه الوظائف الأكثر أهمية. ومع ذلك، كما ناقشنا في مقالنا السابق، هناك مكونات إضافية متضمنة في التنفيذ الكلي. تذكر اختبار جميع عناصر حزمة المؤسسة بشكل شامل أيضاً.

• دعم العملاء: في حين أن التركيز الأساسي ينصب على الميزات المواجهة للمستهلك، اختبر دمج وظائف دعم العملاء بشكل صحيح. تحقق من قدرة وكلاء الدعم على عرض البيانات المتعلقة بمفتاح المرور وحذف مفاتيح مرور فردية أو متعددة نيابة عن المستخدم. تأكد من أن واجهة المستخدم توفر معلومات كافية لوكيل الدعم لتحديد وإدارة مفاتيح المرور بدقة.

• الأمان والتسجيل والتدقيق: تحقق من أن جميع إجراءات مفتاح المرور التي يقوم بها وكلاء الدعم تنعكس بشكل صحيح في سجلات حساب المستخدم والواجهات المواجهة للعميل. تحقق من تناسق وسلامة البيانات المعروضة عبر الواجهات المختلفة، مما يضمن تجربة مستخدم موحدة وموثوقة.

ما هو الجهاز الذي يجب استخدامه للاختبار؟

يعد الاختبار عبر مجموعة متنوعة من الأجهزة أمراً ضرورياً للتأكد من أن تنفيذ مفتاح المرور يعمل بشكل متسق لجميع المستخدمين. يشمل ذلك الأجهزة الحديثة التي تدعم مفاتيح المرور والأجهزة القديمة التي لا تدعمها. فيما يلي نموذج لمصفوفة الأجهزة يمكنك إثراؤه بمتصفحات إضافية بناءً على قاعدة المستخدمين الخاصة بك:

الأجهزة الممكّنة لمفاتيح المرور:

الأجهزة غير الممكّنة لمفاتيح المرور:

من خلال دمج استراتيجيات الاختبار المركزة هذه مع مصفوفة اختبار أجهزة شاملة، فإنك تضع أساساً جيداً لضمان جودة تنفيذ مفتاح المرور الخاص بك. يسمح لك الاختبار الشامل عبر الأجهزة المتنوعة — سواء الممكّنة لمفاتيح المرور أو غير الممكّنة — بتحديد ومعالجة المشكلات المحتملة، مما يضمن تجربة مستخدم متسقة وسلسة لجميع المستخدمين. تساهم هذه الجهود معاً في تقديم نظام مصادقة آمن وسهل الاستخدام يعتمد على مفاتيح المرور ويلبي المعايير العالية المطلوبة في بيئة المؤسسة. في حالة عدم توفر وصول كافٍ إلى الأجهزة القديمة، يمكنك استخدام خدمات مثل Browserstack لاختبار الأجهزة غير الممكّنة لمفاتيح المرور. وفي حالة عملك على جهاز Mac، يمكنك أيضاً استخدام Parallels من أجل Windows Virtual Desktop.

3.2 الاختبارات الآلية: كيف تنفذ اختبار مفتاح المرور الآلي؟#

تُكمل الاختبارات الآلية الاختبار اليدوي من خلال تمكين المهام المتكررة واختبارات التراجع من الإجراء بكفاءة. ومع ذلك، فإن اختبار وظائف مفتاح المرور يمثل تحديات فريدة، في المقام الأول لأن التراخيص الأصلية لمفتاح المرور باستخدام مصادقات المنصة (platform authenticators) لا يمكن اختبارها بشكل مباشر في بيئة آلية. ويرجع ذلك إلى الاعتماد على المدخلات الحيوية (البيومترية) أو تفاعلات الأجهزة، والتي لا يمكن محاكاتها في أطر الاختبار القياسية.

للتغلب على هذا القيد، تعتمد الاختبارات الآلية لمفاتيح المرور على استخدام مصادق افتراضي (virtual authenticator). يتوفر المصادق الافتراضي كتمثيل برمجي للمصادق، كجزء من Chromium ويمكن الوصول إليه عبر أطر العمل الآلية. يتيح للمطورين محاكاة عمليات تسجيل ومصادقة مفتاح المرور دون الحاجة إلى أجهزة مادية أو مدخلات بيومترية.

3.2.1 تفعيل المصادق الافتراضي#

قبل استخدام المصادق الافتراضي في اختباراتك الآلية، يجب تفعيله داخل بيئة الاختبار الخاصة بك. يتضمن هذا عادةً بدء جلسة باستخدام بروتوكول تصحيح أخطاء المتصفح (مثل Chrome DevTools Protocol) وتمكين نطاق WebAuthn. من المهم ملاحظة أنه يمكن إعادة تعيين حالة المصادق الافتراضي في ظل ظروف معينة، مثل إعادة تشغيل المتصفح أو تغييرات السياق. لذلك، يجب تطوير الاختبارات بعناية لضمان تهيئة المصادق الافتراضي بشكل مستمر والحفاظ عليه طوال عملية الاختبار. يدعم المصادق CTAP2 ويحتاج إلى تكوينه لدعم التحقق من المستخدم (user verification) ودعم المفتاح المقيم (resident key support) للعمل مع مفاتيح المرور.

3.2.2 هل يدعم Selenium 3 اختبارات أتمتة مفتاح المرور؟#

تم تحقيق تطبيقات ناجحة لاختبارات مفاتيح المرور الآلية باستخدام أطر عمل مثل Selenium و Playwright، وغيرها من التي توفر الوصول إلى بروتوكولات أتمتة المتصفح اللازمة. بالنسبة إلى Selenium 4 و Playwright، يتوفر دعم أصلي للمصادق الافتراضي، حيث يقدم واجهات برمجة التطبيقات (APIs) لإدارة دورة حياة المصادق الافتراضي ومحاكاة تفاعلات المستخدم. اختبار مفتاح المرور باستخدام Selenium 3 أمر ممكن، ولكنك تحتاج إلى تنفيذ الوظيفة مباشرة (اتصل بنا إذا كنت بحاجة إلى مساعدة).

3.2.3 نطاق الاختبار#

يجب أن تغطي الاختبارات الآلية الوظائف الأكثر أهمية لتنفيذ مفتاح المرور الخاص بك، بما في ذلك:

• إنشاء مفاتيح المرور: محاكاة عملية قيام مستخدم بتسجيل مفتاح مرور جديد، للتأكد من أن تدفق التسجيل يعمل بشكل صحيح.

• تسجيل الدخول باستخدام مفتاح مرور: التحقق من قدرة المستخدمين على المصادقة باستخدام مفاتيح المرور المسجلة الخاصة بهم، وأن عملية تسجيل الدخول سلسة وخالية من الأخطاء.

• وظيفة إدارة الحساب: اختبار إضافة وسرد وحذف مفاتيح المرور المرتبطة بحساب مستخدم للتأكد من أن ميزات إدارة مفتاح المرور تعمل على النحو المنشود.

• حالات الخطأ وفشل الشبكة: محاكاة فشل استجابة الواجهة الخلفية، وهو أمر بالغ الأهمية بشكل خاص لعمليات الهاتف المحمول حيث لا تكون الشبكات موثوقة دائماً.

من خلال دمج هذه الاختبارات في مجموعة الاختبارات الآلية الخاصة بك، يمكنك التحقق بشكل مستمر من وظائف مفتاح المرور الحاسمة، وتقليل مخاطر الانحدار (regressions)، وتحسين الجودة الشاملة لنظام المصادقة الخاص بك.

3.2.4 اعتبارات إضافية#

• محاكاة التحقق من المستخدم: نظراً لأن المصادق الافتراضي لا يتضمن مدخلات بيومترية حقيقية، يمكنك تكوينه لمحاكاة نجاح أو فشل التحقق من المستخدم. يتيح لك هذا اختبار كيفية تعامل نظامك مع كل من المصادقات الناجحة والسيناريوهات التي يفشل فيها التحقق من المستخدم أو يتم إلغاؤه.

• التعامل مع حالة المصادق الافتراضي: ضع في اعتبارك أن حالة المصادق الافتراضي قد تتم إعادة تعيينها في مواقف معينة (خاصة في Selenium 3). تأكد من أن اختباراتك تقوم بإعادة تهيئة المصادق الافتراضي حسب الحاجة وفكر في تغليف إعداد المصادق الافتراضي في وظائف قابلة لإعادة الاستخدام أو خطافات اختبار للحفاظ على التناسق.

3.2.5 نصائح التنفيذ#

• اختيار إطار العمل: على الرغم من أن Selenium و Playwright يستخدمان بشكل شائع، يمكن أيضاً استخدام أطر أتمتة أخرى توفر الوصول إلى بروتوكولات تصحيح أخطاء المتصفح لاختبار مفتاح المرور. اختر إطار عمل يناسب احتياجات مشروعك ولديه دعم كافٍ لاختبار WebAuthn.

• موثوقية الاختبار: نظراً لأن المصادقة بمفتاح المرور تتضمن عمليات غير متزامنة وتفاعلات مع واجهات برمجة تطبيقات المتصفح، تأكد من أن اختباراتك تتضمن آليات انتظار مناسبة للتعامل مع هذه الأحداث غير المتزامنة. هذا يمكن أن يمنع الاختبارات المتقلبة ويحسن الموثوقية.

• الوثائق والأمثلة: راجع الأدلة والأمثلة التفصيلية لإعداد المصادق الافتراضي في إطار العمل الذي اخترته. على سبيل المثال، يوفر Playwright وثائق شاملة حول كيفية استخدام المصادق الافتراضي، بما في ذلك مقتطفات التعليمات البرمجية وأفضل الممارسات.

يتطلب الاختبار الآلي لوظائف مفتاح المرور إعداداً دقيقاً بسبب التحديات الفريدة التي ينطوي عليها. من خلال الاستفادة من المصادق الافتراضي واستخدام أطر العمل التي تدعمه، يمكنك أتمتة الجوانب الرئيسية لتسجيل ومصادقة وإدارة مفاتيح المرور بشكل فعال. هذا يعزز استراتيجية الاختبار الخاصة بك، مما يضمن أن تنفيذ مفتاح المرور الخاص بك قوي وموثوق وجاهز للنشر في بيئة المؤسسة.

3.3 اختبار ذكاء مفتاح المرور (Passkey Intelligence)#

يُعد ذكاء مفتاح المرور (Passkey Intelligence) مكوناً أساسياً في تقديم تجربة مصادقة سلسة وسهلة الاستخدام، لا سيما عند تنفيذ مفاتيح المرور باستخدام نهج المعرف أولاً مع تسجيل الدخول التلقائي (Identifier-First approach with automatic login). يعتمد هذا النهج على اتخاذ قرارات ذكية لتحديد متى يتم مطالبة المستخدمين بالمصادقة بمفتاح المرور بناءً على توفر مفاتيح المرور واحتمالية نجاح المصادقة. يضمن اختبار Passkey Intelligence أن يكتشف نظامك بدقة توفر مفتاح المرور ويوفر طريقة المصادقة المثلى لكل سيناريو للمستخدم.

3.3.1 فهم ذكاء مفتاح المرور#

يشير ذكاء مفتاح المرور (Passkey Intelligence) إلى قدرة النظام على تحليل الإشارات والبيانات الوصفية المختلفة لتحديد متى يعرض المصادقة بمفتاح المرور ومتى يتراجع إلى طرق بديلة مثل كلمات المرور أو كلمات المرور لمرة واحدة (OTP). فهو يعزز تجربة المستخدم من خلال:

• تعظيم عمليات تسجيل الدخول الناجحة: تقديم المصادقة بمفتاح المرور عندما يكون من المرجح أن تنجح.

• تقليل المحاولات الفاشلة: تجنب مطالبات مفتاح المرور غير الضرورية عندما يكون الفشل محتملاً، مما يقلل من إحباط المستخدم.

• تحسين مسار المستخدم: توفير عملية مصادقة سلسة ومصممة خصيصاً لبيئة وسجل كل مستخدم.

هذا الذكاء مهم بشكل خاص في نهج المعرف أولاً (Identifier-First)، حيث يمكن، بعد إدخال اسم المستخدم أو البريد الإلكتروني، أن يُطلب من المستخدمين تلقائياً المصادقة بمفتاح المرور دون إدخال إضافي. يعد الاكتشاف الدقيق لتوفر مفتاح المرور أمراً بالغ الأهمية لتجنب المطالبات غير الضرورية وتوفير خيارات احتياطية مناسبة.

في المقابل، يتضمن نهج زر مفتاح المرور (Passkey Button Approach) اختيار المستخدمين بشكل صريح للمصادقة بمفتاح مرور عن طريق النقر فوق زر. في حين أن Passkey Intelligence لا يزال يعزز التجربة من خلال تحديد رؤية الزر وتوفره، إلا أنه أقل أهمية من نهج المعرف أولاً، حيث يتخذ المستخدمون خياراً نشطاً.

3.3.2 الاعتبارات الرئيسية لاختبار ذكاء مفتاح المرور#

يتضمن اختبار Passkey Intelligence التحقق من أن نظامك يفسر الإشارات المختلفة بشكل صحيح ويوفر طريقة المصادقة المناسبة. فيما يلي المجالات الرئيسية للتركيز عليها:

3.3.2.1 اكتشاف توفر مفتاح المرور#

للتأكد من أن تسجيل الدخول التلقائي يعمل بشكل صحيح، يجب أن يكتشف نظامك بدقة ما إذا كانت مفاتيح المرور متاحة للمستخدم. يجب أن يغطي الاختبار سيناريوهات مختلفة للتحقق من هذا الاكتشاف:

• المستخدمون الذين ليس لديهم مفاتيح مرور مسجلة: تحقق من أن النظام لا يطالب بالمصادقة بمفتاح المرور ويوفر طرقاً بديلة.

• المستخدمون الذين لديهم مفاتيح مرور مسجلة: تأكد من أن النظام يتعرف على الوقت الذي يكون فيه لدى المستخدم مفتاح مرور مسجل ويطالب بالمصادقة بمفتاح المرور.

• مستخدم لديه مفاتيح مرور مسجلة غير قابلة للوصول: تأكد من أن النظام يتعرف على الوقت الذي يمتلك فيه المستخدم مفتاح مرور مسجل (على سبيل المثال، على نظام Windows) ولكنه يحاول تسجيل الدخول على جهاز iPhone الخاص به، وبالتالي لا يشرع في تقديم تسجيل الدخول بمفتاح المرور.

• إمكانيات الجهاز: اختبر على الأجهزة التي تدعم مفاتيح المرور وتلك التي لا تدعمها للتأكد من أن النظام يتكيف بشكل مناسب مع الجهاز بشكل مستقل عن الحساب.

• مزامنة مفتاح المرور: تحقق مما إذا كانت مفاتيح المرور المخزنة في السحابة (على سبيل المثال، iCloud Keychain، Google Password Manager) يتم اكتشافها عبر الأجهزة على الأجهزة الصحيحة.

3.3.2.2 الاختبار مع مزودي مفاتيح مرور مختلفين#

يجب أن يعمل Passkey Intelligence بفعالية مع مختلف مزودي مفاتيح المرور، سواء من الأطراف الأولى أو الأطراف الثالثة. قد يكون لكل مزود سلوكيات وقدرات مختلفة، مما يؤثر على كيفية اكتشاف مفاتيح المرور واستخدامها.

مزودو الطرف الأول:

• Windows Hello: نظام المصادقة البيومترية من Microsoft المدمج في أجهزة Windows. ضع في اعتبارك أن مفاتيح Windows Hello غير متزامنة، لكن Microsoft أعلنت أن هذا سيتغير قريباً.

• Google Password Manager: حل Google لتخزين ومزامنة مفاتيح المرور عبر الأجهزة والمتصفحات. ضع في اعتبارك أن GPM غير متوفر أيضاً على Chrome بل على منصات أخرى.

• iCloud Keychain: خدمة Apple لتخزين مفاتيح المرور ومزامنتها عبر أجهزة Apple.

مزودو الطرف الثالث:

• 1Password: مدير كلمات مرور شائع يدعم مفاتيح المرور ويمكنه مزامنتها عبر الأنظمة الأساسية.

• Dashlane: مدير كلمات مرور آخر يستخدم على نطاق واسع مع دعم لمفاتيح المرور.

• أخرى: اعتماداً على قاعدة المستخدمين والتركيز على البلد، قد يكون موفرو الجهات الخارجية الأخرى أكثر أهمية.

خطوات الاختبار:

• التسجيل والمصادقة: تأكد من قدرة المستخدمين على التسجيل والمصادقة باستخدام مفاتيح المرور من كل مزود.

• السلوك عبر المنصات: تحقق من مزامنة مفاتيح المرور بشكل صحيح عبر الأجهزة والمتصفحات عند استخدام مزودين قائمين على السحابة.

• معالجة الأخطاء: اختبر كيفية تعامل النظام مع الإخفاقات أو عدم توفر مفاتيح المرور من مزودين محددين.

3.3.2.3 سيناريوهات المصادقة عبر الأجهزة#

تتيح المصادقة عبر الأجهزة للمستخدمين المصادقة على جهاز واحد باستخدام مفتاح مرور مخزن على جهاز آخر. يعد اختبار هذه السيناريوهات ضرورياً لضمان تجربة سلسة.

السيناريوهات الرئيسية للاختبار:

• iPhone إلى جهاز كمبيوتر Windows: يحاول المستخدمون تسجيل الدخول على جهاز كمبيوتر يعمل بنظام Windows باستخدام مفتاح مرور مخزن على جهاز iPhone الخاص بهم.

• هاتف Android إلى Mac Safari: يقوم المستخدمون بالمصادقة على جهاز Mac باستخدام Safari من خلال الاستفادة من مفتاح مرور مخزن على جهاز Android الخاص بهم.

• Android إلى كمبيوتر Windows: اختبار المصادقة من جهاز Android إلى جهاز كمبيوتر يعمل بنظام Windows. ضع في اعتبارك أنه بدءاً من الإصدار 130 من Chrome، قد لا يحتاج المستخدمون إلى إجراء مصادقة عبر الأجهزة بعد الآن.

خطوات الاختبار:

• فحوصات التوافق: تأكد من أن المصادقة عبر الأجهزة تعمل عبر أنظمة التشغيل والمتصفحات المختلفة.

• مطالبات وتعليمات المستخدم: تحقق من تلقي المستخدمين لتعليمات واضحة أثناء عملية المصادقة.

• التحقق من الأمان: تأكد من أن عملية المصادقة آمنة ومقاومة لهجمات الرجل في المنتصف (man-in-the-middle).

3.3.2.4 التعامل مع الحالات الاستثنائية والأعطال#

يجب أن يغطي الاختبار أيضاً السيناريوهات التي قد يواجه فيها Passkey Intelligence تحديات:

• مفاتيح المرور غير المتوفرة: المواقف التي تكون فيها مفاتيح المرور متوقعة ولكنها غير متوفرة بسبب تأخيرات المزامنة أو مشكلات الشبكة.

• إلغاءات المستخدم: يقوم المستخدمون بإلغاء مطالبة مفتاح المرور؛ يجب أن يتراجع النظام بمرونة إلى طرق بديلة. أثناء التحقق من الصحة، تأكد من تتبع مسارات الإجهاض المتوقعة هذه بشكل منفصل عن العيوب الفعلية (راجع أخطاء WebAuthn).

• إضافات الجهات الخارجية: التفاعلات مع إضافات المتصفح أو المكونات الإضافية التي قد تتداخل مع اكتشاف مفتاح المرور أو Conditional UI.

3.3.2.5 تقييم منطق ذكاء مفتاح المرور#

قم بتقييم عملية صنع القرار لنظام ذكاء مفتاح المرور الخاص بك:

• دقة البيانات: تأكد من أن البيانات الوصفية والإشارات المستخدمة في اتخاذ القرار دقيقة ومحدثة ومخزنة بشكل صحيح في قاعدة البيانات (BS Flags).

• الاستجابات التكيفية: تحقق من أن النظام يتكيف مع المعلومات الجديدة، مثل مفاتيح المرور المسجلة حديثاً أو التغييرات في قدرات الجهاز.

• تأثير الأداء: تحقق من أن منطق الذكاء لا يُدخل تأخيرات كبيرة في مسار المصادقة.

3.3.2.6 منهجية الاختبار#

لاختبار ذكاء مفتاح المرور بدقة، فكر في المنهجية التالية:

1. إنشاء حسابات اختبار بتكوينات مختلفة: قم بإعداد حسابات مستخدمين تمثل حالات مختلفة، مثل الحسابات التي تحتوي على مفاتيح مرور مسجلة أو بدونها، وبمزودي مفاتيح مرور مختلفين.

2. استخدام مصفوفة أجهزة شاملة: قم بتضمين مجموعة متنوعة من الأجهزة وأنظمة التشغيل والمتصفحات في اختباراتك لتغطية أكبر عدد ممكن من سيناريوهات المستخدم.

3. محاكاة ظروف الشبكة المختلفة: اختبر في ظل ظروف شبكة مختلفة لتقييم كيفية تأثير تأخيرات المزامنة أو مشكلات الاتصال على اكتشاف مفتاح المرور.

4. اختبار السيناريوهات المعقدة: بالنسبة للمصادقة عبر الأجهزة والحالات الاستثنائية، سيكون الاختبار اليدوي ضرورياً لالتقاط الفروق الدقيقة في تجربة المستخدم بالكامل.

5. تحليل السجلات والمقاييس: قم بجمع السجلات وتحليلها لفهم كيفية اتخاذ قرارات Passkey Intelligence وتحديد أي تناقضات أو إخفاقات.

3.3.2.7 أفضل الممارسات#

• وضع تجربة المستخدم في المقدمة: تأكد من أن مسار المصادقة يظل سلساً وبديهياً، حتى عندما يقرر Passkey Intelligence التراجع إلى طرق بديلة.

• مواكبة تغييرات المزود: قد يقوم مزودو مفاتيح المرور بتحديث خدماتهم، مما يؤثر على كيفية تخزين مفاتيح المرور أو مزامنتها. قم بتحديث سيناريوهات الاختبار بانتظام لتعكس هذه التغييرات. اشترك في Substack الخاص بنا وانضم إلى مجتمع Slack الخاص بنا.

• توثيق النتائج: احتفظ بسجلات مفصلة لحالات الاختبار والنتائج وأي مشكلات تمت مواجهتها للمساعدة في استكشاف الأخطاء وإصلاحها ودورات الاختبار المستقبلية.

يعد اختبار ذكاء مفتاح المرور أمراً حيوياً لضمان أن نظام المصادقة الخاص بك يوفر أفضل تجربة ممكنة للمستخدمين، لا سيما عند استخدام نهج المعرف أولاً مع تسجيل الدخول التلقائي. من خلال الاختبار الشامل لاكتشاف توفر مفتاح المرور، والتفاعلات مع مختلف مزودي مفاتيح المرور، وسيناريوهات المصادقة عبر الأجهزة، ومنطق الذكاء نفسه، يمكنك تحسين نظامك لتقديم مصادقة سلسة وآمنة عبر جميع سيناريوهات المستخدمين.

3.4 كيف يمكن لـ Corbado المساعدة في اختبار المؤسسات#

يمكن أن يكون تنفيذ واختبار وظائف مفتاح المرور، بما في ذلك Passkey Intelligence، أمراً معقداً ومكلفاً للموارد. تقدم Corbado حلولاً شاملة تعمل على تبسيط هذه العملية، مما يضمن تجربة مصادقة قوية وسهلة الاستخدام لمؤسستك.

3.4.1 مكونات مُختبرة جيداً عبر المتصفحات والأجهزة#

توفر Corbado مكونات واجهة مستخدم (UI) مبنية مسبقاً وحزم تطوير برمجيات (SDKs) يتم اختبارها بدقة عبر مجموعة واسعة من الأجهزة وأنظمة التشغيل والمتصفحات — بما في ذلك الإصدارات الحديثة والقديمة التي تدعم JavaScript. يضمن هذا الاختبار الشامل أن تنفيذ مفتاح المرور الخاص بك يعمل بشكل متسق لجميع المستخدمين، مما يقلل من مخاطر المشكلات الخاصة بالأجهزة ويعزز رضا المستخدم.

• التوافق عبر المتصفحات: تعمل مكوناتنا بسلاسة على المتصفحات الرئيسية مثل Chrome و Safari و Firefox و Edge، مما يوفر تجربة متسقة بغض النظر عن اختيار المستخدم للمتصفح.

• تنوع الأجهزة: ندعم كلاً من الأجهزة الممكّنة لمفاتيح المرور والأجهزة غير الممكّنة لها، مما يسمح بآليات تراجع سلسة عند الضرورة.

• تصميم سريع الاستجابة: تم تصميم المكونات للتكيف مع أحجام ودقات الشاشة المختلفة، مما يضمن الاستخدام الأمثل على أجهزة الكمبيوتر المكتبية والأجهزة اللوحية والأجهزة المحمولة.

• حالات الخطأ: تم اختبار جميع المكونات على نطاق واسع للعمل في ظل جميع ظروف الشبكة ولديها رسائل خطأ دقيقة ومقابض احتياطية للتعامل مع المستخدمين الذين يجهضون العمليات.

3.4.2 تكامل الاختبار الآلي#

إدراكاً للتحديات التي تواجه أتمتة اختبارات مفتاح المرور، قامت Corbado بتطوير حلول اختبار آلية مدمجة في مسارات تطوير مكوناتنا وتكاملها المستمر / نشرها المستمر (CI/CD). لم يتم اختبار مكوناتنا داخلياً بدقة فحسب، بل تأتي أيضاً مع مجموعات اختبار آلية يمكننا تطبيقها على تركيبات المؤسسات.

• مجموعات الاختبار الآلي: لدينا اختبارات آلية شاملة تغطي الوظائف الرئيسية مثل تسجيل مفتاح المرور والمصادقة والإدارة. تم تصميم هذه الاختبارات لاختبار مكوناتنا بشكل كامل.

• خدمات الاختبار الآلي المُدارة: بالنسبة لعملاء المؤسسات، تقدم Corbado اختباراً آلياً مُداراً كجزء من حزمة المؤسسة الخاصة بنا. نتعامل مع تعقيدات إعداد وصيانة الاختبارات الآلية لمفاتيح المرور، بما في ذلك استخدام المصادقات الافتراضية، مما يضمن بقاء نظام المصادقة الخاص بك قوياً بمرور الوقت.

يمكن العثور على نظرة عامة شاملة حول كيفية اختبارنا لمكوناتنا في منشور مدونة منفصل هنا.

3.4.3 ذكاء مفتاح المرور الشامل#

يُعد محرك Passkey Intelligence من Corbado حلاً مُختبراً على نطاق واسع يعمل على تحسين تجربة المصادقة. من خلال الاستفادة من الخوارزميات المتقدمة والبيانات في الوقت الفعلي، يكتشف Passkey Intelligence بدقة توافر مفتاح المرور ويحدد طريقة المصادقة المثلى لكل سيناريو مستخدم.

• لا يلزم إجراء اختبارات إضافية: نظراً لأن Passkey Intelligence مغطى بالكامل ومُختبر ومُوسع بواسطة Corbado، يمكنك الاعتماد على فعاليته دون الحاجة إلى اختبارات داخلية واسعة النطاق.

• صنع القرار التكيفي: يتكيف محركنا مع التغيرات في قدرات الأجهزة وسلوك المستخدم وتحديثات مزودي مفتاح المرور، مما يضمن أن مطالبات المصادقة في الوقت المناسب وذات صلة.

• زيادة معدلات النجاح القصوى: من خلال تحديد متى يتم تقديم المصادقة بمفتاح المرور بذكاء، فإننا نساعد في تحقيق أقصى قدر من محاولات تسجيل الدخول الناجحة وتقليل إحباط المستخدم من المحاولات الفاشلة.

• التخصيص: إذا كنت ترغب في تخصيص Passkey Intelligence ليكون أكثر دفاعية أو استباقية، فيمكنك تكوين وتخصيص مجموعات القواعد في أي وقت.

3.4.4 دعم وخدمات على مستوى المؤسسات#

بالنسبة لعملاء المؤسسات، تقدم Corbado دعماً إضافياً لتبسيط تنفيذ مفتاح المرور وعملية الاختبار.

• الاختبار الآلي المُدار: نقدم خدمات اختبار شاملة تشمل إعداد الاختبارات الآلية ومراقبة أدائها وتحديثها حسب الحاجة. تُعفي هذه الخدمة فريقك من عبء الحفاظ على بيئات اختبار معقدة.

• استشارات الخبراء في الموقع: يتوفر فريق خبرائنا للمساعدة في أي تحديات قد تواجهها أثناء التنفيذ أو الاختبار، وتقديم الإرشادات والحلول المصممة خصيصاً لتلبية احتياجاتك المحددة. تأتي عمليات النشر الكبيرة مع استشارات في الموقع بما في ذلك المساعدة في الاختبار من جانبك.

• حلول مخصصة: يمكننا ضبط وتعديل مكوناتنا وخدماتنا لتتماشى مع المتطلبات المحددة لمؤسستك، وهوية الشركة (CI) والمعايير الأخرى.

• تقليل جهد التطوير: من خلال استخدام مكوناتنا المبنية مسبقاً والمختبرة جيداً، يمكنك توفير وقت تطوير وموارد كبيرة.

• موثوقية محسّنة: تضمن ممارسات الاختبار الصارمة لدينا أن تنفيذ مفتاح المرور الخاص بك موثوق ويعمل بشكل جيد في ظل ظروف مختلفة.

• تجربة مستخدم محسّنة: بفضل Passkey Intelligence، يتمتع المستخدمون بعملية مصادقة سلسة، مما يزيد من معدلات الرضا والتبني.

• مواكبة المستقبل: نقوم باستمرار بتحديث مكوناتنا لتتماشى مع أحدث التطورات في تكنولوجيا مفتاح المرور ومعاييرها، مما يضمن التوافق والامتثال على المدى الطويل.

من خلال الشراكة مع Corbado، يمكنك الوصول إلى مجموعة من المكونات والأدوات والخدمات التي تبسط اختبار وتنفيذ مفاتيح المرور. تضمن مكوناتنا المُختبرة جيداً و Passkey Intelligence الشامل والدعم على مستوى المؤسسة أن نظام المصادقة الخاص بك قوي وموثوق وجاهز للنشر في بيئة المؤسسات. يتيح هذا التعاون لفريقك التركيز على تقديم قيمة لمستخدميك بينما نتعامل نحن مع تعقيدات تقنية مفتاح المرور.

4. الاختبار غير الوظيفي لتطبيقات مفاتيح المرور#

في حين أن الاختبار الوظيفي يضمن أن تنفيذ مفتاح المرور يلبي جميع الميزات المطلوبة ويوفر تجربة مستخدم متسقة، فإنه لا يعالج مدى جودة أداء النظام في ظل ظروف العالم الحقيقي أو مدى مرونته ضد أشكال مختلفة من الضغط. يركز الاختبار غير الوظيفي على هذه الجوانب. فهو يقيم كيفية تصرف النظام عند التعامل مع الأحمال العالية، ومدى سرعة استجابته لطلبات المستخدمين، ومدى استقراره في ظل ذروة الاستخدام، ومدى أمانه ضد الهجمات المحتملة. بالنسبة لعمليات نشر مفاتيح المرور في المؤسسات، يعتبر الاختبار غير الوظيفي ضرورياً للأسباب التالية:

• أحجام المستخدمين العالية: تعني قواعد المستخدمين الكبيرة وتدفقات المصادقة التي يتم الوصول إليها بشكل متكرر أن المشكلات البسيطة في الأداء يمكن أن يكون لها تأثير كبير على رضا المستخدم ونتائج الأعمال.

• الموثوقية تحت الضغط: يجب أن تظل أنظمة المؤسسات مستقرة وفعالة خلال أوقات ذروة تسجيل الدخول، وحملات تسجيل الأجهزة، وموجات التبني واسعة النطاق.

• ضمان الأمان: إلى جانب الوظائف، فإن التأكد من عدم وجود نقاط ضعف في سير عمل WebAuthn ومفتاح المرور أمر بالغ الأهمية للحفاظ على الثقة والامتثال.

• اختبارات غير وظيفية أخرى: تعتبر أنواع الاختبارات غير الوظيفية الأخرى مهمة أيضاً اعتماداً على المؤسسة، ولكن من أجل التركيز، سنركز على الاختبارات الأكثر أهمية للمؤسسات الكبيرة - لا سيما في المجالات الحساسة للأمن مثل الصناعات الحكومية أو الخاضعة للتنظيم أو الرعاية الصحية.

من خلال إجراء اختبارات صارمة غير وظيفية، يمكن للمؤسسات طرح حلول مفاتيح المرور بثقة والتي تتسم بالقوة والأمان، مما يضمن تجربة سلسة لجميع المستخدمين في جميع الظروف.

4.1 كيفية اختبار أداء تطبيقات مفاتيح المرور#

تهدف اختبارات الأداء والحمل إلى التحقق من قدرة تطبيق مفتاح المرور على التعامل مع أحجام المصادقة المتوقعة (وغير المتوقعة أحياناً) دون تدهور. على الرغم من أن عمليات مفتاح المرور - مثل إنشاء تحديات WebAuthn والتحقق منها - ليست كثيفة الاستهلاك للموارد بشكل عام، فإن اختبار الأداء الشامل لا يزال حاسماً لعمليات النشر على مستوى المؤسسات.

الاعتبارات الرئيسية لاختبار الأداء والحمل:

1. وضع خط أساس واقعي: ابدأ بتحليل بيانات المصادقة التاريخية لتحديد أنماط ذروة الاستخدام. على سبيل المثال، راجع إحصائيات تسجيل الدخول لآخر 12 شهراً وحدد الساعة التي يكون فيها عبء المصادقة أعلى. استخدم ساعة الذروة هذه كخط أساس لحساب عمليات المصادقة المكتملة بنجاح في الثانية، واضرب هذا الحجم في معامل ثلاثة (3x). هذا النهج:

   • يضع في الاعتبار النمو والارتفاعات المفاجئة: من خلال مضاعفة أقوى حمل تاريخي لك ثلاث مرات، فإنك تبني هامش أداء صحي يستوعب الارتفاعات غير المتوقعة (مثل الانضمام واسع النطاق، أو عمليات تسجيل الدخول المتزامنة أثناء إطلاق المنتجات، أو إعادة تعيين الأمان).

   • يحدد أهدافاً واضحة: يضمن خط الأساس الواقعي والمحافظ هذا أن نظامك يمكنه تلبية الطلب الحالي بشكل مريح مع الحفاظ على استقراره في ظل ظروف أعلى من المتوقع.

2. فهم مدى تعقيد تدفق المصادقة: مع مفاتيح المرور، قد يتضمن تدفق المصادقة إنشاء تحديات عند الطلب، والتعامل مع مطالبات Conditional UI، والتفاعل مع الخدمات الخلفية (backend) للتحقق من بيانات الاعتماد أو إدارة حالات MFA. يمكن أن تؤدي هذه الخطوات إلى أنماط تحميل فريدة، خاصة إذا تم إنشاء مطالبات تسجيل الدخول أو التحديات بشكل متكرر.

3. موازنة التحميل وقابلية التوسع: بينما تنتقل من كلمات المرور إلى مفاتيح المرور، قد يزداد عدد العمليات. استخدم استراتيجيات موازنة التحميل (load balancing) والتخزين المؤقت (caching) وتحسين قاعدة البيانات للتعامل مع معدلات الطلبات المرتفعة المحتملة والحفاظ على أوقات استجابة متسقة.

4. تأثير واجهة المستخدم المشروطة (Conditional UI): قد تؤدي واجهة المستخدم المشروطة (Conditional UI) إلى إنشاء تحديات مستمرة إذا كانت حقول تسجيل الدخول مرئية أو تم عرضها في الجزء العلوي من الصفحة، مما قد يؤدي إلى عبء غير متوقع. اختبر هذه الأنماط للتأكد من أنه يمكن تقديم التحديات بسرعة وموثوقية دون التسبب في تأخيرات أو انقضاء المهل.

5. التفويضات المتزامنة وإنشاء مفاتيح المرور: ضع في اعتبارك السيناريوهات التي يقوم فيها العديد من المستخدمين في وقت واحد بإنشاء مفاتيح مرور أو محاولة المصادقة. يمكن أن يحدث هذا أثناء جلسات التأهيل (onboarding) أو بعد حملات الاتصال الواسعة. يجب أن تحاكي اختباراتك طفرات التزامن هذه للتأكد من أن النظام يظل قوياً.

6. أدوات ومناهج الاختبار: قد لا تكرر أدوات اختبار الحمل القياسية تعقيد تدفقات WebAuthn بشكل كامل وتكون قادرة على إكمال مراسم WebAuthn. ابحث عن الإضافات (plugins) لأطر قياس الأداء الشائعة مثل Jmeter أو K6 (المستخدمة في Corbado).

7. المراقبة والمقاييس: تتبع المقاييس الرئيسية مثل أوقات الاستجابة والإنتاجية واستدعاءات API في الثانية والمعاملات / المصادقات المكتملة في الثانية ومعدلات الخطأ واستخدام الموارد. استخدم هذه الرؤى لتحديد الاختناقات وتوجيه جهود التحسين.

8. الاختبار التكراري والضبط: اختبار الأداء هو عملية تكرارية. حدد المشكلات وقم بتنفيذ التحسينات وأعد الاختبار للتحقق من أن التغييرات تزيد من السعة والموثوقية. قم بدمج هذه الاختبارات في مسار CI/CD الخاص بك للتأكد من بقاء الأداء مستقراً بمرور الوقت.

من خلال إنشاء خط أساس واقعي من البيانات التاريخية، ومضاعفة هذه السعة ثلاث مرات من أجل الأمان، والاختبار الشامل عبر سيناريوهات مختلفة، يمكن للمؤسسات التأكد من أن تنفيذ مفتاح المرور الخاص بها يظل فعالاً ومستقراً وسريع الاستجابة — حتى في ظل الظروف الصعبة.

4.2 كيفية اختبار اختراق تطبيقات مفاتيح المرور (Pentest)#

يعد اختبار الأمان مكوناً أساسياً لضمان أن تنفيذ مفتاح المرور لا يعمل بشكل صحيح فحسب، بل يحافظ أيضاً على أعلى مستويات الثقة والنزاهة. بينما تعمل مفاتيح المرور على تبسيط تجربة المصادقة وتقويتها، من المهم التحقق من أن مسارات عمل WebAuthn ومفتاح المرور محمية ضد نواقل الهجوم الشائعة وعيوب التكوين ونقاط الضعف الخاصة بالمصادقة القائمة على الأجهزة.

الأهداف الرئيسية:

• التحقق من أن جميع عمليات WebAuthn (إنشاء التحدي، وإثبات الهوية (attestation)، والتأكيد (assertion)) يتم تنفيذها بشكل صحيح وآمن.

• تأكد من عدم إمكانية استخدام مفاتيح المرور المخترقة أو التي تم التلاعب بها أو المحذوفة للمصادقة.

• تأكد من أن التحقق من المستخدم، إذا لزم الأمر، يتم فرضه والتحقق منه بصرامة في كل مرة يتم فيها تسجيل الدخول.

• التحقق من التكامل مع منطق MFA الحالي، والتأكد من أن مفاتيح المرور تدعم أو تحسن الوضع الأمني العام بدلاً من إضعافه.

مجالات ومقاربات الاختبار المقترحة:

1. استهلاك تحدي WebAuthn:

   • تفرد التحدي وحداثته: تأكد من أن كل تحدٍ فريد وصالح لمحاولة مصادقة واحدة فقط. هذا يضمن أن التحديات المُعاد تشغيلها (replayed) لا يمكن أن تؤدي إلى مصادقة ناجحة.

   • حماية الاستهلاك المزدوج: حاول إعادة استخدام التحديات أو استجابات الإثبات (attestation) من مراسم الإلحاق السابقة (التسجيل) أو تسجيل الدخول (التأكيد). تأكد من أن النظام يرفض هذه المحاولات مع معالجة الأخطاء المناسبة.

2. مفاتيح المرور المحذوفة أو غير المعروفة أو التي تم التلاعب بها:

   • مفاتيح المرور المحذوفة: حاول تسجيل الدخول باستخدام بيانات اعتماد مرتبطة بمفاتيح مرور تمت إزالتها. يجب أن يرفض النظام هذه المحاولات ويعيد خطأً.

   • بيانات اعتماد غير معروفة: قدم بيانات اعتماد غير مسجلة أبداً في النظام (على سبيل المثال، مفتاح خاص مختلف أو معرف بيانات اعتماد غير معروف). تأكد من أنه لا يمكن خداع النظام للتحقق من صحة بيانات الاعتماد هذه.

   • التوقيعات التي تم التلاعب بها: قم بتعديل التوقيع المشفر أو بيانات المصادق في تأكيد WebAuthn (assertion). يجب أن يفشل النظام في خطوة التحقق ويرد بخطأ، مما يمنع الوصول غير المصرح به.

3. فرض التحقق من المستخدم (UV):

   • التحقق الإلزامي من المستخدم: إذا تم تعيين التحقق من المستخدم على مطلوب (مما يشير إلى سيناريو مكافئ لـ 2FA)، فتأكد من أن جميع محاولات المصادقة بدون علامة UV تؤدي إلى الرفض. يجب ألا يكون التحقق البيومتري أو المستند إلى رمز PIN قابلاً للتجاوز (حضور المستخدم فقط).

   • العبث بعلامات UV: حاول فرض سيناريو يدعي فيه المصادق أنه تم التحقق من المستخدم، ولكن لم يتم إجراء أي تحقق فعلي. تأكد من أن النظام يرفض مثل هذه المحاولات.

4. التكامل مع أدوات التحكم في الأمان أو المصادقة متعددة العوامل (MFA) الحالية:

   • محاذاة حالة MFA: تحقق من أن إضافة أو إزالة مفاتيح المرور لا تتحايل على سياسات MFA الحالية. على سبيل المثال، إذا كانت مفاتيح المرور تهدف إلى استبدال كلمات المرور أو العمل كعامل ثانٍ، فلا ينبغي للنظام أن يسمح للمستخدم الذي لديه مفتاح مرور مخترق بتجاوز ضوابط MFA ذات المستوى الأعلى.

   • الآليات الاحتياطية: تحقق من أن الطرق الاحتياطية (مثل كلمات المرور وكلمات المرور لمرة واحدة) لا يتم استدعاؤها إلا عندما تكون مفاتيح المرور غير متوفرة أو غير مدعومة بشكل شرعي. يجب ألا يتمكن المهاجمون من تخفيض تدفق آمن إلى تدفق أضعف.

5. ضمان تطبيقات محدثة ومتوافقة مع المعايير:

   • أحدث مواصفات WebAuthn: تأكد من تحديث خادم ومكونات WebAuthn إلى أحدث المعايير، وتصحيح أي ثغرات أمنية معروفة. راجع بانتظام إرشادات المورد وقم بتطبيق التحديثات الأمنية.

   • OWASP Top 10: قم بمواءمة اختبارك مع معايير الأمان المعترف بها. تشمل المجالات النموذجية التحقق من صحة الإدخال وإدارة الجلسة وقنوات الاتصال الآمنة (TLS). تحقق من أن جميع نقاط النهاية التي تتعامل مع بيانات WebAuthn محمية، ولا تسرب معلومات حساسة، وتفرض رؤوس أمان مناسبة.

6. اختبار الاختراق ضد نواقل الهجوم الشائعة:

   • هجمات إعادة التشغيل (Replay Attacks): حاول إعادة استخدام توقيعات صالحة معروفة أو تحديات قديمة. تأكد من أن الخادم يرفضها.

   • هجمات الرجل في المنتصف (MitM): اختبر ما إذا كان بإمكان المهاجم الذي يعترض طلبات WebAuthn تغيير التحدي أو التوقيعات. تأكد من أن عملية المصادقة تعتمد على عمليات التحقق المشفرة المرتبطة بالمفتاح الخاص للعميل، مما يجعل هجمات MitM غير مجدية.

   • الاختبار السلبي والتشويش (Fuzzing): قدم بيانات تالفة أو مفقودة أو عشوائية لطلبات الإثبات والتأكيد (attestation and assertion). يجب أن يتعامل الخادم بسلاسة مع هذه المدخلات غير الصالحة دون أن يتعطل أو يسرب بيانات حساسة.

7. اعتبارات إضافية للتهديدات الخاصة بمفاتيح المرور:

   • المصادقة عبر الأجهزة: اختبر سيناريوهات المصادقة عبر الأجهزة للتأكد من عدم إمكانية إساءة استخدام مفتاح مرور مخزن على جهاز آخر. يجب على الخادم التحقق من صحة الطلبات عبر الأجهزة، مما يضمن عدم حدوث انتحال شخصية.

   • الإلغاء والاسترداد: تأكد من أنه إذا قام مستخدم أو وكيل دعم عملاء باسترداد حسابه أو إلغاء مفتاح مرور، فسيتم إبطاله على الفور ولا يمكن استخدامه في محاولات تسجيل الدخول اللاحقة.

أمثلة واختبارات عملية:

• اختبار التحقق من المستخدم الذي تم التلاعب به: حاول المصادقة بمفتاح مرور عندما يكون التحقق من المستخدم = مطلوب (user verification=required) ولكن أجبر المصادق على تقديم uv=false. تأكد من أن الخادم يرفض الطلب.

• اختبار إعادة تشغيل التحدي: أعد استخدام تحدٍ تم استخدامه سابقاً لتسجيل الدخول. يجب على الخادم رفض المحاولة، ومنع هجمات إعادة التشغيل.

• اختبار التوقيع غير الصالح: استبدل التوقيع الصالح بتوقيع عشوائي أو غير صحيح. تأكد من أن الخادم يُرجع خطأ.

الحفاظ على ضمان الأمان المستمر:

• قم بإجراء اختبارات اختراق من طرف ثالث بشكل دوري لتحديد نقاط الضعف الجديدة أو المفقودة.

• ابق على اطلاع دائم بالتهديدات الناشئة، وتحديثات مواصفات WebAuthn، وتصحيحات المورد لمصادقات الأجهزة وبرامج العميل (client-side).

من خلال دمج تقنيات الاختبار المذكورة أعلاه والتركيز على الجوانب الفريدة للمصادقة القائمة على مفتاح المرور، يمكنك التأكد من أن تنفيذ مفتاح المرور الخاص بالمؤسسة يظل آمناً وقوياً وجديراً بالثقة. ستساعد المراجعات والتحديثات واختبارات الاختراق المنتظمة في الحفاظ على وضع أمني محصن وامتثال مستمر لمعايير الصناعة.

4.3 كيف يمكن لـ Corbado المساعدة في أداء واختبار اختراق تطبيقات مفاتيح المرور#

لا تقدم عروض مؤسسة Corbado حلولاً قوية لمفاتيح المرور فحسب، بل تتضمن أيضاً خدمات اختبار غير وظيفية شاملة - تشمل كلاً من اختبار الأداء والتقييمات الأمنية أو التكامل النهائي - لضمان قدرة نشر مفتاح المرور على تلبية متطلبات المؤسسة الأكثر صرامة.

4.3.1 اختبار الأداء مع سيناريوهات مفتاح المرور الواقعية#

تتجاوز Corbado أدوات اختبار الحمل العامة التقليدية من خلال الاستفادة من اختبارات الأداء الشاملة والمتقدمة (end-to-end) باستخدام K6 وبيئة مصادقة افتراضية. يحاكي هذا النهج تدفقات المصادقة بمفتاح المرور الفعلية عبر مكوناتنا (CorbadoConnectLogin)، بما في ذلك إنشاء وإدارة المئات أو حتى الآلاف من مفاتيح المرور بالتوازي (CorbadoConnectAppend) ووظيفة إدارة مفتاح المرور (CorbadoConnectPasskeyList). بخلاف اختبارات الحمل القياسية التي قد تقيس فقط نقاط نهاية واجهة برمجة التطبيقات (API endpoints)، تحاكي منهجيتنا مراسم WebAuthn الكاملة من البداية إلى النهاية، مما يجعل الاختبارات أكثر تمثيلاً لظروف العالم الحقيقي. نجري أيضاً اختبارات تزامن متطورة لضمان قدرة نظامك على التعامل مع أحمال الذروة - مثل حملات التأهيل واسعة النطاق أو الزيادات المفاجئة في المصادقة - دون تدهور في الاستجابة أو تجربة المستخدم.

4.3.2 اختبار الأمان واختبارات الاختراق المتخصصة#

تلتزم Corbado بتقديم بيئة مصادقة آمنة. نخضع لاختبارات اختراق منتظمة من قبل متخصصين موثوقين من أطراف ثالثة يفهمون التعقيدات الفريدة لتكنولوجيا مفتاح المرور. بالإضافة إلى ذلك، يحتفظ فريقنا باختبارات وحدة متخصصة تركز على الأمان مصممة لمنع سيناريوهات مثل إعادة إدخال مفاتيح المرور التي تم التلاعب بها أو حذفها في النظام. تحمي هذه الاختبارات واختبارات الاختراق الدورية من التهديدات المتطورة وتضمن الحفاظ على سلامة نظام مفتاح المرور الخاص بك في جميع الأوقات.

4.3.3 ضمان على مستوى المؤسسة#

يعتبر كل من اختبار الأداء المتقدم وأنظمة الاختبار الأمني الصارمة جزءاً من حزمة المؤسسة الخاصة بنا. بالشراكة مع Corbado، يمكنك الوصول إلى المنهجيات المُختبرة والمثبتة التي تضمن صمود تنفيذ مفتاح المرور الخاص بك في وجه متطلبات بيئات المؤسسات عالية النطاق والحرجة - مما يوفر ليس فقط تجربة مستخدم سلسة ولكن أيضاً حماية قوية ضد نقاط الضعف المحتملة.

5. الخلاصة#

في عمليات نشر مفاتيح المرور في المؤسسات على نطاق واسع، لا يعتمد التنفيذ الناجح لمفاتيح المرور على دمج التكنولوجيا فحسب، بل يعتمد أيضاً على اختبارها بدقة لضمان الأداء والأمان والموثوقية. كما رأينا، فإن اتباع نهج شامل للاختبار - من التحقق الوظيفي إلى الأداء غير الوظيفي والتقييمات الأمنية - أمر بالغ الأهمية لتقديم تجربة مصادقة قوية وسهلة الاستخدام. في هذه المقالة أجبنا على الأسئلة المطروحة في البداية:

• كيفية الاختبار الوظيفي لمفاتيح المرور؟ حددنا الاختبارات الوظيفية الأساسية التي تركز على التحقق من تسجيل مفتاح المرور والمصادقة وتناسق واجهة المستخدم ومعالجة الأخطاء المناسبة. من خلال كل من اختبار قبول المستخدم اليدوي والأساليب الآلية، تؤكد هذه الاختبارات أن سير عمل مفتاح المرور بديهي وموثوق ويتوافق مع توقعات المستخدمين.

• كيفية اختبار الاختراق واختبار الأداء لمفاتيح المرور؟ استكشفنا استراتيجيات لضمان تلبية تنفيذ مفتاح المرور لمعايير الأداء والأمان الصارمة. يتضمن ذلك اختبار الحمل للتعامل مع أحجام المصادقة في أوقات الذروة، واختبار المرونة تحت الضغط، وعمليات التحقق الأمنية الصارمة - مثل التحقق من عدم إمكانية إعادة تشغيل التحديات، ورفض مفاتيح المرور التي تم التلاعب بها، وفرض التحقق من المستخدم بصرامة.

من خلال دمج ممارسات الاختبار الوظيفية وغير الوظيفية، يمكنك طرح مفاتيح المرور بثقة، مع الحفاظ على أعلى معايير الجودة والأمان. في الجزء التالي الخاص بنا، سنغطي الخطوة التالية: الإطلاق التدريجي والمرحلي لمفاتيح المرور عبر شرائح مستخدمين مختلفة وكيف يمكن لـ Corbado مساعدتك هناك.

حول Corbado

Corbado هي Passkey Intelligence Platform لفِرَق CIAM التي تُدير المصادقة الاستهلاكية على نطاق واسع. نُمكّنك من رؤية ما لا تستطيع سجلات IDP وأدوات التحليل العامة إظهاره: أي الأجهزة وإصدارات أنظمة التشغيل والمتصفحات ومديري بيانات الاعتماد تدعم passkeys، ولماذا لا تتحوّل عمليات التسجيل إلى عمليات دخول، وأين يفشل تدفق WebAuthn، ومتى يُعطّل تحديث نظام التشغيل أو المتصفح تسجيل الدخول بصمت — كل ذلك دون استبدال Okta أو Auth0 أو Ping أو Cognito أو IDP الداخلي لديك. منتجان: Corbado Observe يُضيف observability للـ passkeys وأي طريقة دخول أخرى. Corbado Connect يُقدّم managed passkeys مع تحليلات مدمجة (إلى جانب IDP الخاص بك). تُشغّل VicRoads passkeys لأكثر من 5 ملايين مستخدم مع Corbado (تفعيل passkey بنسبة +80%). تحدث مع خبير Passkey →