رموز QR لمفاتيح المرور والبلوتوث في WebAuthn: النقل الهجين

Our mission is to make the Internet a safer place, and the new login standard passkeys provides a superior solution to achieve that. That's why we want to help you understand passkeys and its characteristics better.

1. مقدمة#

تستبدل مفاتيح المرور (Passkeys) كلمات المرور بشكل متزايد لتصبح المعيار الفعلي في مصادقة المستخدم. على عكس كلمات المرور التقليدية، ترتبط مفاتيح المرور بنظام بيئي (مثل iCloud Keychain، أو مدير كلمات المرور من Google، أو Windows Hello، أو مدير كلمات مرور مثل 1Password أو Dashlane)؛ فهي ليست مصممة ليتم حفظها عن ظهر قلب، بل صُممت لتتكامل بسلاسة مع أجهزتك، مما يوفر تجربة مستخدم رائعة وجاهزة للاستخدام.

تخيل أنك بعيد عن حاسوبك الشخصي، ربما في محطة عامة أو على حاسوب محمول لصديق، وتحتاج إلى تسجيل الدخول إلى حسابك المحمي بمفتاح مرور. هذا السيناريو شائع جدًا ويتطلب طريقة مصادقة آمنة ومريحة في نفس الوقت، ولكن مع مفاتيح المرور، لا يعرف الكثير من الناس ماذا يفعلون، حيث أن مفتاح المرور الخاص بهم غير متاح على الفور في هذا الموقف. إحدى ميزات مفاتيح المرور التي تساعدك في مثل هذا الموقف هي القدرة على استخدام مفاتيح المرور الخاصة بك عبر أجهزة متعددة من خلال تسهيل رموز QR وتقنية البلوتوث. تُعرف هذه العملية رسميًا باسم النقل الهجين (hybrid transport) في مواصفات WebAuthn (في الإصدارات السابقة من المواصفات، كان يشار إليها باسم البلوتوث منخفض الطاقة بمساعدة السحابة caBLE).

Want to find out how many people use passkeys?

View Adoption Data

العملية بسيطة: تحتاج إلى جهاز يحتوي على مفاتيح المرور الخاصة بك ومجهز بالقدرة على التقاط الصور، لذا على الأرجح هاتف ذكي أو جهاز لوحي. يمكن لهذا الجهاز فتح نفق إلى الجهاز الجديد فقط لتلك المصادقة الواحدة. هذا لا يحافظ فقط على سلامة مفتاح المرور الخاص بك، بل يضمن أيضًا إمكانية منح الوصول إلى حسابك على الأجهزة الجديدة، بغض النظر عن مكان وجودك أو الجهاز الذي تريد استخدامه لتسجيل الدخول.

ومع ذلك، فإن ميزة المصادقة عبر المنصات المختلفة لمفاتيح المرور هذه محاطة بمفاهيم خاطئة وارتباك سواء في فائدتها أو في تنفيذها التقني. هذا شيء لاحظته مؤخرًا مرة أخرى، عندما زرت لقاءً محليًا لأمن تكنولوجيا المعلومات. من خلال هذا المقال، نهدف إلى كشف التعقيدات وتقديم توصيات لتنفيذ تدفق المصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين)، مما يضمن لك تقديم أفضل تجربة تسجيل دخول للمستخدمين.

2. مفاتيح المرور: متزامنة أم متاحة على جهاز واحد فقط#

مفاتيح المرور هي شكل من أشكال مصادقة المستخدم التي تستبدل كلمة المرور التقليدية بزوج من المفاتيح المشفرة (عام-خاص) أكثر أمانًا وملاءمة. هذا الزوج من المفاتيح فريد لكل مستخدم ويستخدم للتحقق من الهوية دون عناء تذكر كلمات المرور المعقدة.

مزايا مفاتيح المرور عديدة مقارنة بأسلافها من كلمات المرور. فهي تقلل بشكل كبير من خطر التصيد الاحتيالي (phishing)، حيث لا يمكن خداعها لمشاركتها مع موقع ويب مزيف. علاوة على ذلك، فهي محصنة ضد هجمات القوة الغاشمة وهجمات القاموس، وهي طرق شائعة تستخدم لكسر كلمات المرور. كما أن مفاتيح المرور أكثر سهولة في الاستخدام، مما يلغي الحاجة إلى تذكر أو إدارة قائمة طويلة من كلمات المرور.

تتم مزامنة مفاتيح المرور في الحسابات السحابية، مثل تلك التي يديرها مدير كلمات المرور من Google أو Apple iCloud Keychain (ستتبع Microsoft قريبًا مع Windows Hello)، أو تلك المخزنة في مديري كلمات المرور الحديثين الجاهزين لمفاتيح المرور، مثل 1Password أو Dashlane. ومع ذلك، من الضروري معرفة أن مفاتيح المرور بشكل افتراضي مرتبطة بالنظام البيئي ومزامنة الحساب السحابي المعني. لا توفر أنظمة التشغيل واجهة لتصدير المفاتيح الخاصة، وفي معظم الأجهزة، يوجد مكون مادي يوفر تدابير أمنية إضافية لتجنب أي وصول إلى المفاتيح الخاصة، على سبيل المثال، Secure Enclave على أجهزة iOS أو وحدة النظام الأساسي الموثوقة (TPM) على أجهزة Windows. يمكن لمزود نظام التشغيل فقط مزامنة مفاتيح المرور مع الأجهزة الأخرى بطريقة مشفرة (محمية في النهاية بالقياسات الحيوية للمستخدم أو رمز المرور أو رقم التعريف الشخصي). لا يمكن استعادة المفاتيح الخاصة وفك تشفيرها إلا باستخدام رمز المرور / رقم التعريف الشخصي وسيتم تدميرها في حالة وجود عدد كبير جدًا من محاولات تسجيل الدخول غير الناجحة إلى الحساب السحابي (على سبيل المثال، تقدم Apple حدًا للمعدل لمنع هجمات القوة الغاشمة حتى من موقع متميز على الواجهة الخلفية السحابية؛ وتقوم Google بنفس الشيء).

يعني هذا التصميم المتأصل أنه إذا لم تتم مزامنة مفاتيح المرور كما هو موضح، فإن الوصول إلى مفاتيح المرور الخاصة بك على جهاز جديد يمكن أن يشكل تحديًا. هذا هو السبب الدقيق لوجود طريقة النقل الهجين للمصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين) مع رمز QR وفحص القرب عبر البلوتوث. إنه يوفر جسرًا آمنًا لمفاتيح المرور الخاصة بك بين الأجهزة دون الحاجة إلى مزامنتها من خلال حساب سحابي / مدير كلمات مرور، وبالتالي الحفاظ على مبدأ أن مفاتيح المرور يمكن أن تظل مع المستخدم فقط.

Are your users passkey-ready?

Test Passkey-Readiness

3. الإعداد الفني للمصادقة عبر المنصات المختلفة لمفاتيح المرور#

يساعد استخدام المصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين) في التغلب على مشاكل الأجهزة المختلفة، عندما يتم الوصول إلى حساب ما عبر مفاتيح المرور فقط. نظرًا لعدم مزامنة جميع مفاتيح المرور في الحسابات السحابية أو مديري كلمات المرور، تصبح الحاجة إلى طريقة موثوقة للوصول إلى مفاتيح المرور عبر الأجهزة أمرًا بالغ الأهمية، خاصة عند الانتقال إلى جهاز جديد أو الحاجة إلى الوصول على جهاز مشترك.

3.1 متطلبات الأجهزة#

لتسهيل المصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين)، توجد متطلبات الأجهزة التالية:

دعم WebAuthn: يجب أن تدعم الأجهزة WebAuthn. هذا متاح بالفعل على 99٪ من الأجهزة، وفقًا لأحدث تحليل لبيانات مفاتيح المرور لدينا.
كاميرا لمسح رمز QR: ستحتاج الأجهزة إلى كاميرا قادرة على مسح رموز QR. معظم الهواتف الذكية الحديثة مزودة بكاميرات لديها هذه الوظيفة. علاوة على ذلك، تحتاج الكاميرا إلى إمكانيات مسح QR مدمجة (وهو ما تمتلكه معظم الأجهزة بشكل افتراضي). إذا كانت الكاميرا لا تدعم ذلك، فإن ماسح QR عبر الإنترنت يعد خيارًا جيدًا أيضًا. بخلاف ذلك، يعد تثبيت تطبيق رمز QR أمرًا جيدًا أيضًا.
إمكانية البلوتوث: يستخدم البلوتوث منخفض الطاقة بمساعدة السحابة (caBLE) لإنشاء اتصال آمن قائم على القرب بين الأجهزة. الإصدارات التي يجب البحث عنها هي Bluetooth 4.0 أو أعلى، والتي تتيح امتداد caBLE لـ WebAuthn.
اتصال بالإنترنت: يجب أن يكون هناك اتصال إنترنت مستقر على كلا الجهازين، حيث يتضمن التبادل فتح نفق لإجراء خطوات التحقق التي تتطلب نقل البيانات في الوقت الفعلي.

Ben Gould

Head of Engineering

I’ve built hundreds of integrations in my time, including quite a few with identity providers and I’ve never been so impressed with a developer experience as I have been with Corbado.

يثق أكثر من 10,000 مطور في Corbado ويجعلون الإنترنت أكثر أمانًا باستخدام مفاتيح المرور. هل لديك أسئلة؟ لقد كتبنا أكثر من 150 مقالًا في المدونة حول مفاتيح المرور.

انضم إلى مجتمع مفاتيح المرور

3.2 متطلبات البرامج#

من وجهة نظر البرامج، توجد المتطلبات التالية:

تكوين خادم WebAuthn: من الواضح أنك بحاجة إلى وجود خادم WebAuthn لإدارة المفاتيح العامة. يتضمن هذا أيضًا تمكين ربط حساب المستخدم بأدوات مصادقة متعددة وإعداد الخادم لبدء مراسم المصادقة.
واجهة برمجة تطبيقات الويب للبلوتوث (Web Bluetooth API): لفحص القرب عبر البلوتوث، ستحتاج إلى الوصول إلى واجهة برمجة تطبيقات الويب للبلوتوث التي تطلق إمكانيات البلوتوث في الجهاز من المتصفح.
متطلبات نظام التشغيل: يرجى الاطلاع على الجدول التالي حول دعم المصادقة عبر الأجهزة لأنظمة التشغيل المختلفة اعتبارًا من مارس 2025. تعني أداة المصادقة (Authenticator) أن الجهاز يمكن أن يعمل كجهاز يحمل مفتاح مرور (في سيناريونا الهاتف الذكي). يعني العميل (Client) الجهاز الذي ينشئ رمز QR وحيث يحاول المستخدم تسجيل الدخول (في سيناريونا سطح المكتب):

المصدر: passkeys.dev

4. مفاتيح المرور: رمز QR#

تبدو عملية استخدام المصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين) عبر رمز QR كما يلي:

4.1 بدء المصادقة عبر المنصات المختلفة لمفاتيح المرور#

يتم إنشاء رمز QR للمصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين) عندما يحاول المستخدم الوصول إلى خدمة على جهاز لا يوجد به مفتاح المرور المسجل، ولكن الخدمة تعرف أن المستخدم يجب أن يكون لديه مفتاح مرور. عادةً ما يتم توفير زر "مسح رمز QR" أو دعوة مماثلة لاتخاذ إجراء داخل واجهة المصادقة.

4.2 إنشاء رمز QR#

بناءً على طلب المستخدم، يبدأ الجهاز في إنشاء رمز QR. يقوم رمز QR هذا بتشفير معرف جلسة فريد وحساس للوقت. يرتبط هذا المعرف بجلسة يحتفظ بها خادم المصادقة مؤقتًا، في انتظار إكمال عملية المصادقة.

4.3 مسح رمز QR#

يقوم المستخدم بمسح رمز QR هذا بجهاز يتوفر فيه مفتاح المرور الخاص به. تشمل الإجراءات الأمنية ما يلي:

استخدام لمرة واحدة: معرف الجلسة داخل رمز QR صالح للاستخدام مرة واحدة، مما يمنع هجمات إعادة التشغيل.
التشفير: يتم تشفير جميع البيانات داخل رمز QR، مما يضمن عدم إمكانية فك تشفير أي اتصال معترض من قبل أطراف غير مصرح لها.

يحمل رمز QR الممسوح ضوئيًا URI محددًا بالمخطط FIDO، على سبيل المثال: FIDO:/07824133892604070278923969472008301099476228966286113051476699183587 6383562063181103169246410435938367110394959927031730060360967994421 343201235185697538107096654083332

4.4 بدء تدفق البيانات وعملية المصادقة#

يؤدي مسح رمز QR إلى قيام جهاز المستخدم الثاني (مثل الهاتف الذكي أو الجهاز اللوحي) بتفسير URI الخاص بـ FIDO والتواصل مع خادم المصادقة، وإرسال إشارة بأن المستخدم يحاول المصادقة عبر جهاز جديد (مثل حاسوب الصديق المحمول). يدفع هذا الإجراء الخادم إلى إنشاء تحدٍ مشفر، فريد لمحاولة المصادقة هذه.

4.5 نقل البيانات الفنية#

يتم إرسال التحدي مرة أخرى إلى جهاز المستخدم الثاني (مثل الهاتف الذكي أو الجهاز اللوحي)، حيث يتم تخزين مفتاح المرور الخاص به. يقوم الجهاز بعد ذلك بإنشاء توقيع رقمي باستخدام المفتاح الخاص المرتبط بمفتاح المرور، دون أن يغادر المفتاح الخاص الجهاز أبدًا (مثل الهاتف الذكي أو الجهاز اللوحي). ثم يتم إرسال التحدي الموقع (التوقيع) مرة أخرى إلى الخادم من خلال نفق آمن ومشفّر عبر الإنترنت، للتحقق من سلامة وأصل محاولة المصادقة.

4.6 التحقق من صحة التوقيع#

يتحقق الخادم من صحة التوقيع باستخدام المفتاح العام المقابل المرتبط بالفعل بحساب المستخدم. عند التحقق الناجح، يؤكد الخادم المصادقة، مما يسمح للمستخدم بالوصول إلى الخدمة على الجهاز الجديد.

بعض الجوانب الهامة الأخرى للخصوصية والأمان التي يجب مراعاتها:

لا يوجد تبادل بيانات عبر البلوتوث، إنترنت خالص: من المهم ملاحظة أنه في هذه المصادقة عبر المنصات المختلفة لمفاتيح المرور القائمة على رمز QR (النقل الهجين)، لا يشارك البلوتوث في تبادل البيانات. تعتمد هذه العملية بالكامل على اتصال بالإنترنت لنقل البيانات المشفرة بين الأجهزة والخادم. ومع ذلك، يتم استخدام البلوتوث لفحص القرب بين الجهازين.
المفاتيح الخاصة لا تغادر الجهاز: طوال هذه العملية، تظل المفاتيح الخاصة للمستخدم بأمان على أجهزتهم.
عدم كشف أي بيانات حساسة: لا يتم نقل أو كشف أي معلومات حساسة عن مفتاح المرور أو المفاتيح الخاصة أثناء عملية المصادقة.
التشفير غير المتماثل: تضمن آلية التحدي والاستجابة أن ما يتم إرساله هو مجرد إصدارات موقعة وغير قابلة لإعادة الاستخدام من التحديات التي لا يمكن استغلالها للوصول غير المصرح به.

من خلال الالتزام بهذه البروتوكولات الفنية والأمنية، تحافظ طريقة رمز QR للمصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين) على مستوى عالٍ من الأمان مع توفير طريقة ملائمة للمستخدمين لمصادقة هوياتهم على الأجهزة الجديدة.

5. مفاتيح المرور: البلوتوث (caBLE)#

إلى جانب عملية مسح رمز QR، هناك أيضًا فحص القرب عبر البلوتوث (caBLE). التأكد من أن العميل وأداة المصادقة قريبان ماديًا من بعضهما البعض هو أحد الفوائد الرئيسية لبروتوكول WebAuthn. يتم وصف المزيد من التفاصيل حول الأعمال الداخلية لهذه العملية في ما يلي:

5.1 ما هو البلوتوث منخفض الطاقة (BLE) في المصادقة؟#

البلوتوث منخفض الطاقة (BLE) هو تقنية اتصال لاسلكي مصممة لتبادل البيانات على المدى القصير. يلعب دورًا محوريًا في تأكيد القرب المادي للأجهزة أثناء عملية المصادقة.

5.2 ما هو caBLE (البلوتوث منخفض الطاقة بمساعدة السحابة)؟#

caBLE هو بروتوكول يسهل النقل الآمن لمعلومات المصادقة بين الأجهزة باستخدام BLE. عند استخدام caBLE للمصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين)، يؤكد الجهاز الذي يحمل مفتاح المرور قرب الجهاز الطالب عبر إشارات BLE. بمجرد التحقق من القرب، تستمر عملية المصادقة، مستفيدة من BLE للاتصال المحلي الآمن.

5.3 تجربة المستخدم والأمان مع caBLE#

يتم تحسين تجربة المستخدم حيث تتطلب هذه الطريقة عادةً تفاعلًا أقل مباشرًا من المستخدم؛ تكتشف الأجهزة القريبة من بعضها البعض تلقائيًا. بالنسبة للأمان، يوفر caBLE ميزة كبيرة - فهو يضمن أن عملية المصادقة تتم فقط عندما يكون الجهازان قريبين من بعضهما البعض، مما يمنع المهاجمين عن بعد من بدء عملية المصادقة.

5.4 سيناريو: معضلة رمز QR مقابل BLE#

تخيل تلقي رمز QR يعيد التوجيه إلى موقع ضار. إذا تم إجراء المصادقة من خلال رمز QR هذا، فهناك خطر من إمكانية اختطاف الجلسة أو ملف تعريف الارتباط. يتجاوز BLE هذه المشكلة من خلال عدم الاعتماد على المسح البصري، بل على الوجود المادي للأجهزة. يقلل فحص القرب هذا من خطر هجمات الوسيط (man-in-the-middle)، حيث لا يحدث فحص القرب عبر الإنترنت أو وسيط بصري.

5.5 تبادل البيانات والخصوصية#

على عكس الطرق الأخرى، لا يتبادل caBLE فعليًا بيانات المصادقة مثل مفاتيح المرور. بدلاً من ذلك، يستخدم BLE كقناة تأكيد لإثبات أن الأجهزة قريبة ماديًا. تم تصميم هذا الفحص ليكون جزءًا من عملية مصادقة متعددة العوامل حيث يكون قرب BLE أحد العوامل، مما يضمن أنه حتى لو تم اختراق العوامل الأخرى، فلن يتم منح الوصول بدون القرب المادي.

من خلال دمج بروتوكول caBLE، يمكن للمطورين تقديم طريقة آمنة وسهلة الاستخدام للمصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين) التي تعزز الأمان العام لعملية المصادقة. يضيف فحص القرب طبقة إضافية من الحماية بسيطة للمستخدمين ولكنها تحمي بفعالية ضد أنواع معينة من الهجمات الإلكترونية المتطورة.

6. الفوائد#

توجد الفوائد التالية لطريقة المصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين):

6.1 طريق إلى تجربة مستخدم جيدة#

تعد المصادقة عبر المنصات المختلفة لمفاتيح المرور عبر رمز QR والبلوتوث (النقل الهجين) طريقة لتحسين تجربة المستخدم في سيناريوهات المنصات المختلفة مقارنة بعدم تقديم أي إمكانية على الإطلاق. ومع ذلك، فإن تدفق المستخدم جديد تمامًا لمعظم المستخدمين ولا نتوقع أن يفهم العديد من المستخدمين غير التقنيين ما يحدث عندما يواجهون هذا التدفق لأول مرة. يمكن أن يكون التشابه الوحيد لتقديم تدفق رمز QR مع تدفقات تسجيل الدخول على سبيل المثال لـ WhatsApp Web أو Discord حيث يتم استخدام رموز QR (هنا الوظيفة مختلفة على الرغم من ذلك). لذا، فإن عملية المصادقة عبر المنصات المختلفة لمفاتيح المرور التي تم تحليلها عبر رمز QR / البلوتوث (النقل الهجين) تقلل من جهد المستخدم في سيناريو المنصات المختلفة، حيث لا توجد حاجة لإدخال أي بيانات اعتماد يدويًا، ولكن لا يزال التدفق العام غير معروف لمعظم المستخدمين.

6.2 أمان قوي#

يتم تعزيز أمان المصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين) بتقنيات التشفير المتقدمة. عند مسح رمز QR أو إجراء اتصال بلوتوث للمصادقة، تضمن التحديات والاستجابات المشفرة أن الجهاز المقصود فقط يمكنه إكمال عملية المصادقة بنجاح.

تضيف فحوصات القرب عبر البلوتوث طبقة إضافية من الأمان، مما يؤكد أن محاولة المصادقة تتم من قبل شخص لديه وصول مادي إلى الجهاز الثانوي.

6.3 سلامة مفتاح المرور#

أثناء عملية المصادقة عبر المنصات المختلفة (النقل الهجين)، لا يتم تخزين مفاتيح المرور مؤقتًا على الأجهزة أو الخوادم الوسيطة، مما يمنع خطر اعتراض مفاتيح المرور أو تسريبها أثناء عملية النقل. تحدث المصادقة في الوقت الفعلي، ويظل مفتاح المرور مرتبطًا بجهاز المستخدم الأساسي، مما يحافظ على سلامته.

6.4 منع التصيد الاحتيالي#

توفر طرق المصادقة برمز QR والبلوتوث بطبيعتها حماية ضد التصيد الاحتيالي. من غير المرجح أن يتم خداع المستخدمين لتقديم مفتاح مرور لموقع ضار لأن عملية المصادقة تتطلب إجراءات مادية خاصة بأجهزة المستخدم الموثوقة.

تحدث عملية مسح رمز QR أو الاتصال عبر البلوتوث عادةً في بيئة موثوقة، مما يقلل من فرصة قيام المستخدمين عن غير قصد بتعريض بيانات الاعتماد الخاصة بهم للخطر.

7. العيوب#

توجد العيوب التالية لطريقة المصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين):

7.1 ألفة المستخدم والتبني#

يمكن أن يؤدي إدخال أي تقنية جديدة إلى ارتباك المستخدم، خاصة إذا لم يكن المستخدمون على دراية بالتكنولوجيا. تعد المصادقة عبر المنصات المختلفة لمفاتيح المرور عبر رمز QR والبلوتوث (النقل الهجين) تحولًا كبيرًا عن طرق المصادقة التقليدية، وقد يجد بعض المستخدمين العملية الجديدة صعبة الفهم، مما قد يؤدي إلى تباطؤ معدل التبني. ومع ذلك، نتوقع أن يعتاد المستخدمون عليها في النهاية، لذلك قد يكون التغيير أصعب في البداية وسيصبح أكثر سلاسة وقبولًا بمرور الوقت.

7.2 الاعتماد على إمكانيات الجهاز#

يعتمد نجاح المصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين) بشكل كبير على امتلاك جهاز المستخدم للإمكانيات اللازمة، مثل كاميرا يمكنها مسح رموز QR ووظيفة البلوتوث. لن يتمكن المستخدمون الذين لديهم أجهزة قديمة تفتقر إلى هذه الميزات من الاستفادة من المصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين)، مما يخلق فجوة رقمية قائمة على قيود الأجهزة.

7.3 سلوك المستخدم غير المتسق#

يمكن أن يكون سلوك المستخدم غير متوقع، والاعتماد على المستخدمين لأداء إجراءات محددة مثل مسح رمز QR أو تمكين البلوتوث يمكن أن يؤدي إلى أخطاء من جانب المستخدم. على سبيل المثال، يمكن أحيانًا اعتبار البلوتوث تحديًا لتجربة المستخدم بسبب مشاكل الاقتران ومشاكل الاكتشاف وعدم ثقة المستخدم العامة في التقنيات اللاسلكية للمعاملات الآمنة.

7.4 تكيف المطورين#

يواجه المطورون مهمة التحديث المستمر وصيانة الأنظمة لدعم أحدث طرق المصادقة. يتطلب دمج المصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين) في الأنظمة الحالية من المطورين مواكبة المعايير الجديدة، واعتماد واجهات برمجة تطبيقات جديدة، وضمان التوافق مع الإصدارات السابقة، وهو ما يمكن أن يكون كثيف الموارد ويستغرق وقتًا طويلاً.

7.5 إنشاء مفاتيح مرور جديدة#

لكل جهاز جديد أو طلب تسجيل دخول لاحق، يجب إنشاء مفتاح مرور جديد إذا لم يتم استخدام حساب سحابي متزامن مثل iCloud Keychain أو مدير كلمات المرور. قد يضيف هذا تعقيدًا إلى تجربة المستخدم وقد يسبب إحباطًا إذا لم يكن المستخدمون على دراية بالعملية أو إذا لم تكن بديهية.

7.6 تثقيف المستخدمين#

هناك حاجة متأصلة لتثقيف المستخدم عند تنفيذ طرق أمان جديدة مثل المصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين). يتطلب ضمان فهم المستخدمين لكيفية استخدام رموز QR والبلوتوث بأمان اتصالًا واضحًا وربما دعمًا واسعًا للعملاء.

بينما تقدم المصادقة عبر المنصات المختلفة لمفاتيح المرور عبر رمز QR والبلوتوث (النقل الهجين) تقدمًا كبيرًا في تكنولوجيا المصادقة، تسلط هذه العيوب المحتملة الضوء على الحاجة إلى تصميم سهل الاستخدام، وأنظمة دعم قوية، وانتقال تدريجي ومُبلغ عنه جيدًا من الطرق التقليدية إلى الطرق المبتكرة. كما هو الحال مع أي تحول تكنولوجي، سيكون تحقيق التوازن بين فوائد الابتكار وتحدياته هو مفتاح التنفيذ الناجح وقبول المستخدم على نطاق واسع.

8. اختبار واقعي: سلوك مفتاح المرور في النقل الهجين#

كتنويه: نتجاهل مفاتيح الأمان المادية (مثل YubiKeys) في الاختبار التالي ونستخدم فقط أدوات المصادقة المدمجة في الأجهزة (مثل Face ID، Touch ID، Windows Hello). في حالة مفاتيح الأمان المادية (مثل YubiKey)، ستكون قيم النقل usb أو nfc على سبيل المثال.

نحن نستخدم مجموعات الأجهزة / المتصفحات التالية و Passkeys Debugger لاختبار السلوك. لا يتم اعتبار Android لأن Android لا يمكن أن يعمل كعميل مصادقة عبر المنصات المختلفة (النقل الهجين) (انظر الجدول أعلاه).

لاختبار السلوك، نقوم بإنشاء مفتاح مرور جديد لكل مجموعة بالخصائص التالية:

userName: alex muller (لا تأثير في هذا الاختبار)
authenticatorAttachment: platform (لأننا نريد استبعاد مفاتيح الأمان المادية مثل YubiKeys)
residentKey: preferred (لا تأثير في هذا الاختبار)
userVerification: preferred (لا تأثير في هذا الاختبار)
attestation: none (لا تأثير في هذا الاختبار)
hints: empty (انظر الشرح أدناه)
usePRF: no (لا تأثير في هذا الاختبار)

بعد إنشاء مفتاح المرور بنجاح، نقوم بتعديل خاصية خادم WebAuthn allowCredentials وبدء طلب تسجيل الدخول. نريد محاكاة مفتاح مرور محذوف على الجهاز الذي أنشأنا عليه مفتاح المرور، بحيث يبحث الجهاز / المتصفح عن جهاز آخر يمكنه توفير مفتاح مرور عبر رمز QR / البلوتوث. لذلك، نغير credential ID ونعين القيمة CHANGED-ID، بحيث تفشل المطابقة. علاوة على ذلك، نغير خاصية transports لبيانات اعتماد WebAuthn في allowCredentials ونعين لكل مجموعة جهاز / متصفح القيم التالية:

transports: [internal, hybrid]: يمكن استخدام مفاتيح المرور من أداة المصادقة المدمجة (مثل Face ID، Touch ID، Windows Hello) أو عبر المصادقة عبر المنصات المختلفة.
transports: [internal]: يمكن استخدام مفاتيح المرور من أداة المصادقة المدمجة (مثل Face ID، Touch ID، Windows Hello).
عدم تعيين خاصية transports: السلوك الافتراضي الذي لا يفرض أي قيود.

في موقع اختبار WebAuthn، توجد أيضًا ميزة WebAuthn Level 3 الجديدة لتلميحات وكيل المستخدم. يمكن لهذه الميزة تحسين تجربة المستخدم إذا كان لدى الطرف المعتمد افتراضات معينة حول كيفية إكمال طلب تسجيل الدخول بأكثر الطرق سهولة للمستخدم. في هذا الاختبار، تجاهلنا هذه الميزة لأنها لم يتم طرحها بعد. يرجى إلقاء نظرة على المواصفات لمزيد من التفاصيل.

8.1 Windows 11 23H2 + Chrome 119#

8.1.1 transports: [internal, hybrid]#

كما هو متوقع، لا يوجد مفتاح مرور محلي مطابق، لذلك يُقترح مسح رمز QR واستخدام مفتاح المرور على جهاز آخر (حيث يعرف النظام أنه يوجد مفتاح مرور لهذا المستخدم).

8.1.2 transports: [internal]#

بشكل محير، يتم عرض رمز QR هنا أيضًا، حتى لو سمحنا فقط ببيانات الاعتماد الداخلية. لم نتمكن من العثور على سبب وجيه لهذا السلوك.

8.1.3 عدم تعيين خاصية transports#

لا يوجد مفتاح مرور محلي مطابق، لذلك يُقترح مسح رمز QR أو استخدام مفتاح أمان مادي (مثل YubiKey) / أداة مصادقة عبر المنصات المختلفة / أداة مصادقة متنقلة.

لسبب ما، تظهر أجزاء من النافذة المنبثقة باللغة الألمانية، وهي إحدى اللغات المثبتة.

8.1.4 allowCredentials فارغة#

كما هو متوقع، يُسمح بجميع أشكال مصادقة مفتاح المرور: عبر Windows Hello، وعبر رمز QR، وعبر الأجهزة المعروفة، وعبر مفاتيح الأمان المادية.

8.2 Windows 11 23H2 + Edge 119#

8.2.1 transports: [internal, hybrid]#

8.2.2 transports: [internal]#

8.2.3 عدم تعيين خاصية transports#

لسبب ما، تظهر أجزاء من النافذة المنبثقة باللغة الألمانية، وهي إحدى اللغات المثبتة.

8.2.4 allowCredentials فارغة#

8.3 Windows 11 23H2 + Firefox 119#

عند إنشاء مفتاح المرور، تلقينا الخطأ التالي (ومع ذلك تم إنشاء مفتاح مرور):

error: TypeError: 'toJSON' called on an object that does not implement interface PublicKeyCredential.

8.3.1 transports: [internal, hybrid]#

8.3.2 transports: [internal]#

8.3.3 عدم تعيين خاصية transports#

لسبب ما، تظهر أجزاء من النافذة المنبثقة باللغة الألمانية، وهي إحدى اللغات المثبتة.

8.3.4 allowCredentials فارغة#

8.4 macOS Ventura + Chrome 119#

8.4.1 transports: [internal, hybrid]#

كما هو متوقع، لا يوجد مفتاح مرور محلي مطابق، لذلك يُقترح مسح رمز QR واستخدام مفتاح المرور على جهاز آخر (حيث يعرف النظام أنه يوجد مفتاح مرور لهذا المستخدم). علاوة على ذلك، يمكنك تحديد أحد الأجهزة المعروفة مباشرة لاستخدام مفتاح مرور منها.

النافذة المنبثقة مختلفة تمامًا عن نظيرتها على Windows في Chrome 119.

8.4.2 transports: [internal]#

هذا سلوك متوقع، حيث أننا نسمح فقط باستخدام مفاتيح المرور الداخلية ولكن لا يمكننا العثور على بيانات اعتماد داخلية على الجهاز (لا يُسمح لنا باستخدام مفاتيح المرور الهجينة). تفشل مصادقة مفتاح المرور في هذه الخطوة وفي التطبيقات الواقعية، ستحتاج إلى توفير طريقة مصادقة بديلة.

8.4.3 عدم تعيين خاصية transports#

لا يوجد مفتاح مرور محلي مطابق، لذلك يُقترح مسح رمز QR أو استخدام مفتاح أمان مادي (مثل YubiKey) / أداة مصادقة عبر المنصات المختلفة / أداة مصادقة متنقلة. علاوة على ذلك، يمكنك تحديد أحد الأجهزة المعروفة مباشرة لاستخدام مفتاح مرور منها.

النافذة المنبثقة مختلفة تمامًا عن نظيرتها على Windows في Chrome 119.

8.4.4 allowCredentials فارغة#

كما هو متوقع، يُسمح بجميع أشكال مصادقة مفتاح المرور: عبر Touch ID، وعبر رمز QR، وعبر الأجهزة المعروفة، وعبر مفاتيح الأمان المادية.

8.5 macOS Ventura + Safari 16.6#

8.5.1 transports: [internal, hybrid]#

8.5.2 transports: [internal]#

8.5.3 عدم تعيين خاصية transports#

8.5.4 allowCredentials فارغة#

كما هو متوقع، يُسمح بمعظم أشكال مصادقة مفتاح المرور: عبر Touch ID، وعبر رمز QR، وعبر مفاتيح الأمان المادية. لسبب ما، لا يتم عرض الأجهزة المعروفة.

8.6 iOS 17.1 + Chrome 119#

8.6.1 transports: [internal, hybrid]#

8.6.2 transports: [internal]#

8.6.3 عدم تعيين خاصية transports#

8.6.4 allowCredentials فارغة#

كما هو متوقع، يُسمح بمعظم أشكال مصادقة مفتاح المرور: عبر Face ID، وعبر رمز QR، وعبر مفاتيح الأمان المادية. لسبب ما، لا يتم عرض الأجهزة المعروفة.

8.7 iOS 17.1 + Safari 17.1#

8.7.1 transports: [internal, hybrid]#

8.7.2 transports: [internal]#

8.7.3 عدم تعيين خاصية transports#

8.7.4 allowCredentials فارغة#

فيما يلي، بالنسبة لأجهزة Windows 10، قررنا أن نذهب إلى مستوى أبعد ونحلل كيف يبدو السلوك إذا تم تعطيل البلوتوث أو لم يكن متاحًا على جهاز Windows 10 بشكل عام. على وجه الخصوص بالنسبة لأجهزة سطح المكتب القديمة، لا يزال هذا سيناريو شائعًا جدًا حيث لا تحتوي هذه الأجهزة غالبًا على وحدة بلوتوث، مما يجعل المصادقة عبر المنصات المختلفة عبر رمز QR والبلوتوث مستحيلة.

8.8 Windows 10 21H2 + Chrome 119#

8.8.1 تمكين البلوتوث#

8.8.1.1 transports: [internal, hybrid]

كما هو متوقع، لا يوجد مفتاح مرور محلي مطابق، لذلك يُقترح استخدام مفتاح المرور على جهاز آخر (حيث يعرف النظام أنه يوجد مفتاح مرور لهذا المستخدم - لقطة الشاشة الأولى) أو اختيار مسح رمز QR (لقطة الشاشة الثانية).

8.8.1.2 transports: [internal]

بشكل محير، يُطلب منك إدخال رمز PIN الخاص بـ Windows Hello (أو بصمة الإصبع / مسح الوجه إذا تم إعداده على الجهاز)، على الرغم من أننا غيرنا credential ID (لذلك لا ينبغي أن يجد بيانات الاعتماد لأنها غير محددة في خاصية allowCredentials). ومع ذلك، بعد إرسال رمز PIN الخاص بـ Windows Hello، يتم طرح خطأ: "NotAllowedError: The operation either timed out or was not allowed. See: https://www.w3.org/TR/webauthn-2/#sctn-privacy-considerations- client." من منظور المستخدم، هذا سلوك محير إلى حد ما ولكنه منطقي لأنه يمكن أن يوفر معلومات حول مفاتيح مرور المستخدم دون موافقة المستخدم.

8.8.1.3 عدم تعيين خاصية transports

8.8.1.4 allowCredentials فارغة

8.8.2 تعطيل البلوتوث#

8.8.2.1 transports: [internal, hybrid]

8.8.2.2 transports: [internal]

هذا السلوك هو نفسه للحالة التي يتم فيها تمكين البلوتوث. من المحير جدًا أن يُطلب من المستخدم إدخال رمز PIN الخاص بـ Windows Hello (أو بصمة الإصبع / مسح الوجه إذا تم إعداده على الجهاز)، على الرغم من أننا غيرنا credential ID (لذلك لا ينبغي أن يجد بيانات الاعتماد لأنها غير محددة في خاصية allowCredentials). ومع ذلك، بعد إرسال رمز PIN الخاص بـ Windows Hello، يتم طرح خطأ: "NotAllowedError: The operation either timed out or was not allowed. See: https://www.w3.org/TR/webauthn-2/#sctn-privacy-considerations- client." من منظور المستخدم، هذا سلوك محير إلى حد ما ولكنه منطقي لأنه يمكن أن يوفر معلومات حول مفاتيح مرور المستخدم دون موافقة المستخدم.

8.8.2.3 عدم تعيين خاصية transports

لا يوجد مفتاح مرور محلي مطابق، لذا فإن الخيار الوحيد لديك هو استخدام مفتاح أمان مادي (مثل YubiKey) / أداة مصادقة عبر المنصات المختلفة / أداة مصادقة متنقلة.

8.8.2.4 allowCredentials فارغة

المصادقة بمفتاح المرور ممكنة فقط عبر Windows Hello ومفاتيح الأمان المادية.

8.9 Windows 10 21H2 + Edge 119#

8.9.1 تمكين البلوتوث#

8.9.1.1 transports: [internal, hybrid]

8.9.1.2 transports: [internal]

8.9.1.3 عدم تعيين خاصية transports

8.9.1.4 allowCredentials فارغة

كما هو متوقع، يُسمح بجميع أشكال مصادقة مفتاح المرور: عبر Windows Hello، وعبر رمز QR، وعبر مفاتيح الأمان المادية. لسبب ما، لا يتم عرض الأجهزة المعروفة.

8.9.2 تعطيل البلوتوث#

8.9.2.1 transports: [internal, hybrid]

8.9.2.2 transports: [internal]

8.9.2.3 عدم تعيين خاصية transports

8.9.2.4 allowCredentials فارغة

المصادقة بمفتاح المرور ممكنة فقط عبر Windows Hello ومفاتيح الأمان المادية.

8.10 Windows 10 22H2 + Chrome 119#

8.10.1 تمكين البلوتوث#

8.10.1.1 transports: [internal, hybrid]

8.10.1.2 transports: [internal]

8.10.1.3 عدم تعيين خاصية transports

8.10.1.4 allowCredentials فارغة

8.10.2 تعطيل البلوتوث#

8.10.2.1 transports: [internal, hybrid]

هذه رسالة محيرة حقًا للمستخدمين، حيث لم يتم تحديد ما يجب عليهم فعله وكيف يمكنهم المصادقة بشكل صريح. الخيار الوحيد لديهم هو النقر على "إلغاء"، مما يجعل هذا السيناريو طريقًا مسدودًا. لسبب ما، تظهر أجزاء من نافذة أمان Windows المنبثقة أيضًا باللغة الألمانية (لغة ثانية مثبتة على هذا الجهاز).

8.10.2.2 transports: [internal]

8.10.2.3 عدم تعيين خاصية transports

8.10.2.4 allowCredentials فارغة

المصادقة بمفتاح المرور ممكنة فقط عبر Windows Hello ومفاتيح الأمان المادية.

8.11 Windows 10 22H2 + Edge 119#

8.11.1 تمكين البلوتوث#

8.11.1.1 transports: [internal, hybrid]

8.11.1.2 transports: [internal]

8.11.1.3 عدم تعيين خاصية transports

8.11.1.4 allowCredentials فارغة

8.11.2 تعطيل البلوتوث#

8.11.2.1 transports: [internal, hybrid]

8.11.2.2 transports: [internal]

8.11.2.3 عدم تعيين خاصية transports

8.11.2.4 allowCredentials فارغة

المصادقة بمفتاح المرور ممكنة فقط عبر Windows Hello ومفاتيح الأمان المادية.

9. توصيات للمطورين#

Want to experiment with passkey flows? Try our Passkeys Debugger.

Try for Free

9.1 نصائح للتنفيذ#

استخدم المكتبات والأطر التي تجرد بعض تعقيدات واجهة برمجة تطبيقات WebAuthn الصرفة.
ضع في اعتبارك سيناريوهات المصادقة عبر المنصات المختلفة من البداية لضمان استفادة قاعدة مستخدمين واسعة من تنفيذ مفتاح المرور الخاص بك. اعتمادًا على خيارات التصميم الخاصة بك، يمكنك أيضًا تقديم طرق تسجيل دخول بديلة في هذه السيناريوهات.
طور آليات احتياطية للسيناريوهات التي قد لا تكون فيها المصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين) ممكنة بسبب قيود الجهاز.
أكبر قرار تصميم هو تحديد ما إذا كنت تريد الترويج للمصادقة عبر المنصات المختلفة لمفاتيح المرور عبر رمز QR / البلوتوث (النقل الهجين) وجعلها طريقة بارزة لمصادقة مفتاح المرور أو استخدام تلميحات لعدم الترويج لها بنشاط. في الحالة الأخيرة، يتم دائمًا محاولة استخدام مفاتيح المرور المخزنة داخليًا على الفور وفقط إذا لم يتم العثور على مفتاح مرور داخلي، يتم عرض رمز QR للمصادقة عبر المنصات المختلفة (النقل الهجين). يجب تحديد هذا في خيارات خادم WebAuthn الخاص بك في خصائص excludeCredentials و allowCredentials. في خاصية excludeCredentials لخادم WebAuthn الخاص بك، يمكنك رؤية معلومات النقل حول بيانات الاعتماد التي تم إنشاؤها بالفعل. في خاصية allowCredentials، يمكنك تحديد السلوك في عملية تسجيل الدخول (انظر الاختبارات أعلاه).
علاوة على ذلك، لا يمكنك منع المصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين) تمامًا (انظر الاختبارات أعلاه مع transports: [internal])، لذلك تحتاج إلى أن تكون مستعدًا لأن يجد المستخدمون هذه الطريقة وسيكون لديهم أسئلة. سيحدث حدوث هذه المصادقة عبر المنصات المختلفة (النقل الهجين) بشكل خاص إذا بدأ المستخدمون في حذف مفاتيح المرور محليًا.

9.2 استراتيجيات تعليمية#

أنشئ أدلة ودروسًا شاملة ترشد المستخدمين خلال عملية المصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين).
استخدم تلميحات الأدوات داخل التطبيق وأقسام المساعدة السياقية لتوجيه المستخدمين خلال تجربتهم الأولى للمصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين).
قدم أقسام الأسئلة الشائعة واستكشاف الأخطاء وإصلاحها على موقع الويب الخاص بك أو داخل التطبيق.

9.3 اعتبارات الوصول المؤقت#

نفذ جلسات محدودة زمنيًا لعمليات تسجيل الدخول بمفتاح المرور عبر رمز QR أو البلوتوث لضمان أن الوصول مؤقت وآمن فقط.
تأكد من أن المصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين) لا تقوض أي بروتوكولات أمان موجودة، مع الحفاظ على سلامة بيانات المستخدم.
ضع في اعتبارك الآثار المترتبة على الخصوصية وتأكد من أن أي وصول مؤقت يتم منحه عبر المصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين) يتم تسجيله ومراقبته وفقًا لأفضل ممارسات الأمان.

10. الخلاصة: مفاتيح المرور عبر رمز QR / البلوتوث#

تقدم المصادقة عبر المنصات المختلفة لمفاتيح المرور عبر رمز QR / البلوتوث (النقل الهجين) توازنًا بين الأمان وتجربة المستخدم. ومع ذلك، فهي عملية جديدة تمامًا لمعظم المستخدمين ويمكن أن تسبب العديد من المواقف المربكة، لذلك تحتاج إلى التفكير بعناية إذا كنت ترغب في الترويج لها.

نأمل أن نكون قد ألقينا بعض الضوء على موضوع المصادقة عبر المنصات المختلفة لمفاتيح المرور (النقل الهجين) عبر رمز QR / البلوتوث، وشرحنا كيفية إعداد الأمور وكيف يبدو السلوك على مجموعات مختلفة من الأجهزة / المتصفحات. إذا كان لديك أي أسئلة، فلا تتردد في التواصل معنا عبر مجتمع مفاتيح المرور الخاص بنا أو الاشتراك في Substack الخاص بمفاتيح المرور. لنجعل الإنترنت مكانًا أكثر أمانًا من خلال نشر مفاتيح المرور.