لماذا يوفر لك مزود مصادقة مفاتيح المرور أكثر من 100 ألف دولار

في هذا المقال، سنكشف عن 5 من أكثر المغالطات شيوعًا التي نواجهها باستمرار عندما يتعلق الأمر بتطبيق مفاتيح المرور في عملية المصادقة (الحالية)، وسنستخدم عملية حسابية نموذجية لنوضح لماذا من المنطقي البحث عن مزود متخصص يفهم حقًا كيفية التعامل مع مفاتيح المرور.

مفاتيح المرور رائعة. فلأول مرة في تاريخ المصادقة، لم يتم تحسين الأمان للمستخدمين فحسب، بل تحسنت الراحة بشكل كبير أيضًا. اليوم، اعتاد معظم الناس على فتح هواتفهم باستخدام وجوههم أو بصمات أصابعهم. وجلب هذا المستقبل سهل الاستخدام إلى الويب هو مجرد خطوة منطقية تالية. بالاقتران مع البنية التحتية للمفتاح العام الأساسية التي تستفيد من التشفير غير المتماثل، تبدو مفاتيح المرور الحل الأمثل. هذا صحيح من منظور المستخدم النهائي، ولكن بالنسبة للمؤسسات، فإن تطبيق معيار المصادقة الجديد هذا داخليًا يمثل جهدًا ضخمًا ينطوي على مخاطر وتكاليف عالية. يشرح هذا المقال المغالطات الأكثر شيوعًا حول مفاتيح المرور وكيفية التخفيف منها.

أولاً وقبل كل شيء، تعتمد مفاتيح المرور على معايير مفتوحة يحددها تحالف FIDO (Fast Identity Online)، الذي تنتمي إليه جميع الشركات التقنية الكبرى، مثل Microsoft وApple وGoogle وغيرها مثل PayPal وeBay أو Visa.

ومع ذلك، فإن هذه المعايير المفتوحة موثقة بشكل سيئ، مما يجعل التنفيذ في الأنظمة الحالية والتكامل مع تدفقات المستخدمين تحديًا في الممارسة العملية. يتطلب الأمر ابتكار تعريفات لتدفقات المستخدمين بالإضافة إلى التكاملات التقنية من الصفر. لإضافة مفاتيح المرور إلى نظامك الحالي، فإن التوثيق والتنفيذ الأساسي ليس كافيًا عمليًا إذا كان لديك بالفعل مصادقة لمستخدميك الحاليين.

علاوة على ذلك، تبدأ الصعوبة الحقيقية إذا كان لديك مستخدمون من منصات مختلفة (iOS، Android، Windows) يستخدمون أجهزة متعددة لأن مفاتيح المرور مرتبطة (جزئيًا) بالجهاز. يختلف التنفيذ وتجربة المستخدم باختلاف المنصة، مما يجعله مسعى معقدًا لتقديم مفاتيح المرور كطريقة تسجيل الدخول المفضلة لجميع المستخدمين. خاصة في الوقت الحاضر، حيث يمتلك العديد من المستخدمين أكثر من جهاز واحد، من الضروري دعم جميع الأجهزة وأنظمة التشغيل بشكل صحيح.

نظريًا، هذا صحيح ولكن هناك تكاليف متأصلة، خاصة للتكامل والصيانة. في البداية، تحتاج إلى العمل على مفهوم لتدفقات العمليات وتجربة المستخدم، والذي ينفذه عادةً مدير أو مديران للمنتجات. قد يستغرق هذا ما يصل إلى شهرين، واعتمادًا على خبرة مديري المنتجات، يمكن أن يكلف ما يصل إلى 30,000 دولار وحده. بمجرد الانتهاء من ذلك، يلزم وجود مهندسي أنظمة ومديري منتجات ومطورين لدمج هذا الحل. بعد ذلك، لديك جهود صيانة، على سبيل المثال لتشغيل خادم FIDO2. علاوة على ذلك، تحتاج إلى الاهتمام بانتقال سلس للمستخدمين حتى لا تربكهم، وهو أمر معقد جدًا في التصميم والتنفيذ داخليًا، وبالتالي مكلف.

بالإضافة إلى ذلك، تحتاج إلى تشغيل البنية التحتية: الخوادم وقواعد البيانات ليست مجانية اليوم. خاصة إذا كنت بحاجة إليها لتعمل بشكل آمن وموثوق مع توفر عالٍ في نقطة حرجة كهذه في تطبيقك. كل هذا يكلف الكثير من المال الذي من الأفضل أن تنفقه على ميزاتك الأساسية.

علاوة على ذلك، يجب اختيار وإدارة ومراقبة جهات خارجية أخرى لتوفير الأنظمة المحيطة (الاحتياطية) مثل خدمات البريد الإلكتروني أو الرسائل القصيرة. بالطبع، يمكنك القيام بذلك بنفسك، لكن المستخدمين يتوقعون تسليمًا فائق السرعة للرسائل الإلكترونية الانتقالية وتوفرًا عاليًا. ثق بنا، لا تريد تحسين تسليم البريد الإلكتروني بنفسك. هذه الخدمات ليست مجانية وتضيف إلى التكاليف.

عند التحدث إلى العملاء، ربما يكون هذا هو المفهوم الخاطئ الأكثر شيوعًا والصراع الحقيقي في المصادقة. يمكن تقديم مفاتيح المرور لتطبيق جديد تمامًا بشكل مباشر جدًا. الجزء الصعب هو نقل المستخدمين الحاليين إلى مفاتيح المرور. في معظم الأوقات، تكون قاعدة المستخدمين غير متجانسة تمامًا حيث يوجد متبنون أوائل يرغبون في التخلي عن كلمات المرور الخاصة بهم في أسرع وقت ممكن والتوجه إلى مفاتيح المرور. من ناحية أخرى، لديك أشخاص يحبون التمسك بكلمات المرور الخاصة بهم. التحدي الحقيقي الآن هو ابتكار تدفقات فردية مختلفة مع توجيه جميع المستخدمين بسلاسة وذكاء نحو مفاتيح المرور.

بعد التكامل الأولي، يعتقد الكثير من الناس أن مفاتيح المرور تعمل من تلقاء نفسها وأن التبني سيأتي من تلقاء نفسه. هذا مفهوم خاطئ شائع آخر لأن مفاتيح المرور هي ميزة حرجة من الناحية الأمنية وتحمل العديد من المخاطر. هذا يعني أنها بحاجة إلى المراقبة وأن الفريق الذي يراقبها يجب أن يكون خبيرًا في الأمن ولديه الكثير من الخبرة.

علاوة على ذلك، يجب مراقبة تبني مفاتيح المرور باستمرار لاكتشاف المشكلات المحتملة في مرحلة الانتقال التي تتطلب تغييرات في التنفيذ.

قبل حتى التفكير في التنفيذ التقني لمفاتيح المرور والبدء في البرمجة، يجب القيام بالكثير من العمل المفاهيمي أولاً. خاصة عندما يتعلق الأمر بدمج تقنية جديدة مثل مفاتيح المرور، حيث تكون جودة وكمية أفضل الممارسات والتوثيق الحالية منخفضة، يجب مراعاة العديد من العمليات المفاهيمية. من بين أهمها:

1. رسم عملية التسجيل وتسجيل الدخول بأكملها: عند تصميم التدفق من بداية التسجيل أو تسجيل الدخول إلى المصادقة الناجحة، تعمل خطوات عملية لا حصر لها في الخلفية. يجب نمذجة هذه الخطوات وهيكلتها في أشجار منطقية معقدة. تصميم الحالات القياسية وحده مهمة معقدة، وهي لا تقارن على الإطلاق بالجهد الأكبر المطلوب لتغطية جميع الحالات الهامشية الممكنة. في النهاية، يجب أن تكون هناك عملية مصادقة تعمل في كل سيناريو محتمل وتصادق على المستخدم.
2. الاهتمام بالاستخدام عبر المنصات: من الأهمية بمكان التأكد من أن المستخدمين يمكنهم استخدام مفاتيح المرور عبر الأجهزة وعبر المنصات مع توجيههم بسلاسة خلال عمليات المصادقة حتى عندما لا تكون مفاتيح المرور متاحة بعد.
3. ضمان التوافق مع الأنظمة القديمة: لتعزيز استخدام مفاتيح المرور، من الضروري تطوير آلية لا تكتشف تلقائيًا جاهزية جميع الأجهزة التي يرغب المستخدم في المصادقة بها لمفاتيح المرور فحسب، بل تلاحظ أيضًا ما إذا كان المستخدمون يرغبون في تسجيل الدخول باستخدام مفاتيح المرور في المقام الأول. إذا فضل المستخدمون، بدلاً من ذلك، الاستمرار في خيارات تسجيل الدخول الحالية مثل كلمات المرور أو تسجيلات الدخول الاجتماعية أو SSO، فيجب تشغيل المصادقة الهجينة بالتوازي.
4. توفير خدمات الاسترداد: قد يبدو الأمر واضحًا، ولكن ابتكار تدفق لإعادة تعيين كلمة المرور ذاتيًا وخيارات احتياطية محتملة في حالة حدوث أخطاء هو أحد أصعب المهام حيث تحتاج إلى ضمان أن يتمكن المستخدمون من المصادقة في حالة نسيانهم لكلمة المرور أو عدم تعيين واحدة مطلقًا.
5. تصميم تجربة مستخدم رائعة: تجربة المستخدم هي أكثر بكثير من مجرد إنشاء واجهة سهلة الاستخدام. بالنسبة للبرامج بشكل عام، تلعب إدارة الأجهزة وتفضيلات المستخدم، والتواصل مع المستخدم، والتصميم القابل للتخصيص لهويتك المؤسسية دورًا رئيسيًا. نظرًا لأن مفاتيح المرور مرتبطة بالجهاز، تحتاج الشركات إلى التركيز بشكل أساسي على إدارة الأجهزة لضمان أن استخدام مفاتيح المرور يعمل بشكل لا تشوبه شائبة لجميع أجهزة المستخدمين. عندما يتعلق الأمر بالتواصل مع المستخدم، من الضروري تثقيف المستخدمين برسائل محددة مسبقًا ومختبرة.

كل هذه الخطوات تتطلب من مديري المنتجات والمطورين ساعات طويلة وغالبًا ما يتم تجاهلها في تطوير البرامج.

نقاش بناء البرامج مقابل شرائها ليس جديدًا على الإطلاق. عند اتخاذ قرار بشأن هذا الأمر، يجب أن تأخذ العديد من العوامل في الاعتبار. العامل الرئيسي لأي شركة هو كتلة التكلفة التي تأتي من تطوير أو شراء البرنامج. عند شراء حلول برمجية، على سبيل المثال لمصادقة مفاتيح المرور، غالبًا ما يُقال إن التكاليف الأولية مرتفعة جدًا. ومع ذلك، تنسى الشركات عادةً أن التطوير الداخلي مكلف على الأقل بنفس القدر، حيث تعتمد تكاليفه، على سبيل المثال، على مدى تعقيد البرنامج نفسه، وإدارة المنتج، وتصميم تجربة المستخدم/واجهة المستخدم، وفريق التطوير، وغالبًا العديد من التكاليف الخفية (خاصة الصيانة والتحديثات).

لإلقاء بعض الضوء على تكلفة تطوير برامج المصادقة، إليك عملية حسابية أساسية لشركة لديها فريق مصادقة داخلي يقدم خدماته لمستخدمي سطح المكتب والجوال والتطبيقات الأصلية. إلى جانب مصادقة البريد الإلكتروني/رقم الهاتف وكلمة المرور، لديهم أيضًا تسجيلات دخول اجتماعية:

• 2 backend developers: $126,000
• 1 frontend developer: $60,000
• 1 iOS developer: $60,000
• 1 Android developer: $68,000
• 2 product managers: $170,000
• 1 project manager: $85,000

يرجى ملاحظة أن هذه هي إجمالي الرواتب السنوية وتستند إلى متوسط الرواتب وفقًا لمعايير الصناعة حسب Glassdoor، باستثناء تكاليف العمالة غير المباشرة.

• المدة: 1.5 شهر
• أصحاب المصلحة في فريق تطوير البرامج: 2 مديري منتجات، 1 مدير مشروع
• إجمالي التكاليف (الرواتب): 31,875 دولارًا

• المدة: 3.0 أشهر
• أصحاب المصلحة في فريق تطوير البرامج: 2 مديري منتجات، 1 مدير مشروع، 2 مطوري الواجهة الخلفية، 1 مطور الواجهة الأمامية، 1 مطور iOS، 1 مطور Android
• إجمالي التكاليف (الرواتب): 143,750 دولارًا

إجمالي تكاليف تطوير البرامج: 175,625 دولارًا

بالطبع، هذا تبسيط لا يأخذ في الاعتبار العديد من التكاليف، مثل تكاليف الانتقال أو التدريب. في حال احتجت إلى بنية تحتية إضافية مثل الخوادم وقواعد البيانات أو الخدمات السحابية، ستواجه تكاليف إضافية. خاصة بالنسبة لبرامج المصادقة التي تحتاج إلى حماية البيانات الشخصية إلى أقصى حد، من المحتمل أن تكون التكاليف أعلى بكثير، لذا من المفيد استخدام مزودي مفاتيح مرور مخصصين مثل Corbado.

خلاصة القول: مفاتيح المرور هي معيار مفتوح يمكن لأي شخص دمجه مجانًا. ولكن هذا تفكير قصير النظر. عند إلقاء نظرة فاحصة على الآثار المترتبة على استخدام مفاتيح المرور، يصبح من الواضح أن استخدام مزود مفاتيح مرور مثل Corbado هو الطريقة الأكثر ذكاءً وتوفيرًا للتكاليف. خاصة وأن المصادقة نادرًا ما تكون ميزة أساسية بل هي سلعة يجب القيام بها في منتج حديث، فإن الاستفادة من خبرات وقدرات خبير خارجي هو ببساطة أمر ذكي.

ما زلت غير مقتنع؟ جرب حل Corbado مجانًا وبدون أي مخاطر اليوم.