مفاتيح مرور Revolut: خطوة جريئة مع مجال للتحسين

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

في عالم الخدمات المصرفية الرقمية، أدت الحاجة إلى أمان قوي دون التضحية بتجربة المستخدم إلى حلول مبتكرة. ومن بين هذه الحلول، تبرز مفاتيح المرور كمعيار جديد لمصادقة المستخدم. بدأت Revolut، وهي شركة رائدة في مجال البنوك الرقمية ومقرها لندن، مؤخرًا وبهدوء في طرح مفاتيح المرور لكل من الحسابات الشخصية وحسابات الأعمال. هذه الخطوة الاستراتيجية لا تتماشى فقط مع الطلب المتزايد على تجارب رقمية أكثر أمانًا وسهولة، بل تضع Revolut أيضًا في مكانة رائدة في اعتماد القطاع المصرفي لمفاتيح المرور.

Get a free passkey assessment in 15 minutes.

Book free consultation

مع طرح مفاتيح المرور، تتبع Revolut التوجه السائد بين عمالقة التكنولوجيا، حيث تقود شركات مثل Coinbase وWhatsApp وNintendo وUber موجة اعتماد مفاتيح المرور. وفي القطاع المالي، تعد Revolut من أوائل البنوك، إن لم تكن أكبر بنك حتى الآن، التي تطرح مفاتيح المرور.

إخلاء مسؤولية: نتوقع أنه في الأسابيع المقبلة، سيتم طرح مفاتيح المرور تدريجيًا على نطاق أوسع وسيتم إصلاح الأخطاء. سنقوم بتحديث المقال وفقًا لذلك. الإصدار الحالي بتاريخ 7 فبراير 2024.

تمثل مفاتيح المرور المرحلة التالية في المصادقة بدون كلمة مرور، حيث توفر للمستخدمين طريقة سلسة وآمنة للوصول إلى حساباتهم. على عكس كلمات المرور التقليدية، تلغي مفاتيح المرور الحاجة إلى تذكر كلمات مرور معقدة، وتعتمد بدلاً من ذلك على التشفير غير المتماثل مع مفاتيح فريدة لكل مستخدم وجهاز. هذه الطريقة لا تعزز الأمان فقط عن طريق تقليل مخاطر هجمات التصيد الاحتيالي وخروقات البيانات، بل تبسط أيضًا عملية تسجيل الدخول، حيث يحتاج المستخدمون فقط إلى استخدام Face ID أو Touch ID أو Windows Hello، مما يحسن تجربة المستخدم بشكل عام.

تتبع Revolut طرحًا تدريجيًا لمفاتيح المرور، كما أنها لا تطرح الميزات في وقت واحد لحسابات الأعمال والحسابات الشخصية. الفروقات الرئيسية التي لاحظناها خلال بحثنا موضحة في الجدول التالي:

يجب الإشارة إلى الجوانب الإيجابية التالية في دمج مفاتيح المرور في Revolut:

• ريادة رقمية آمنة في القطاع المصرفي: من خلال ريادتها في اعتماد مفاتيح المرور، لا تؤمن Revolut مكانتها كرائد رقمي في المشهد المصرفي فحسب، بل تشجع أيضًا المؤسسات المالية الأخرى على أن تحذو حذوها.
• تحسين تجربة المستخدم: تعد مفاتيح المرور أبسط أشكال مصادقة المستخدم، حيث لا يحتاج المستخدمون إلى جهاز ثانٍ للمصادقة متعددة العوامل (MFA) ولا يحتاجون أيضًا إلى تذكر كلمات مرور معقدة.
• توفير تكاليف رسائل SMS OTP: أحد الدوافع الرئيسية وراء مبادرات مفاتيح المرور في الشركات الكبرى غالبًا لا يقتصر على تحسين تجربة المستخدم والفوائد الأمنية، بل يشمل أيضًا توفير مبالغ ضخمة من التكاليف لرسائل SMS OTP القديمة وغير الآمنة نسبيًا (والتي لا تزال منتشرة بين البنوك).

بينما تستحق خطوة Revolut الجريئة نحو دمج مفاتيح المرور الثناء، لم يخلُ الطرح من بعض العيوب.

• نقص الموارد المعلوماتية حول مفاتيح المرور: يشير غياب الأسئلة الشائعة أو الأدلة الرسمية للمستخدمين حول مفاتيح المرور (لم نجد أيًا منها) إلى وجود فجوة في التواصل بشأن الطرح، على الرغم من تقديم الميزات للمستخدمين. يمكن أن يساعد توفير وثائق مفصلة في إزالة الغموض عن مفاتيح المرور، مما يعزز انتقالًا أكثر سلاسة لجميع المستخدمين.
• تجربة مستخدم غير متسقة لمفاتيح المرور: تكشف الملاحظات أن توفر ووظائف ميزات مفتاح المرور تختلف عبر الأجهزة والمنصات. إن ضمان تجربة مستخدم متسقة، حيث يتم عرض إعدادات مفتاح المرور بشكل موثوق وتؤدي النوافذ المنبثقة الترويجية لمفتاح المرور إلى عمليات إنشاء مفتاح مرور حقيقية (خلال اختباراتنا، نجحت فقط على Windows 11)، من شأنه أن يحسن ثقة المستخدم.
• غياب واجهة المستخدم الشرطية (Conditional UI): قد يكون إدخال واجهة المستخدم الشرطية بمثابة تغيير جذري. إن تعزيز تجربة المستخدم من خلال تقديم عمليات تسجيل دخول ليست فقط بدون كلمة مرور ولكن أيضًا بدون اسم مستخدم من شأنه أن يبسط عملية تسجيل الدخول ويجعلها أكثر سهولة.
• لا يوجد تكامل مع التطبيقات الأصلية: حاليًا، لا يمتد نهج Revolut الذي يركز على الهاتف المحمول ليشمل دعم مفاتيح المرور داخل تطبيقاتها الأصلية على iOS وAndroid. إن دمج مفاتيح المرور مع التطبيقات الأصلية من شأنه الاستفادة من الجاهزية العالية لأجهزة iOS و Android لمفاتيح المرور.
• لا توجد مصادقة موحدة عبر المنصات: يمثل سد الفجوة بين مصادقة مفتاح المرور على الويب والتطبيقات الأصلية تحديًا معقدًا (اقرأ هذا المقال لمزيد من التفاصيل الفنية حول إعداد نموذجي). ومع ذلك، فإن إنشاء آلية مصادقة موحدة تسمح بمشاركة مفاتيح المرور بين تطبيق الويب وتطبيقات iOS وAndroid يمكن أن يعزز الأمان وراحة المستخدم.

Revolut has introduced passkeys

Join them

فيما يلي، سنتعمق أكثر في حسابات Revolut الشخصية وحسابات الأعمال وكيفية طرح مفاتيح المرور على أجهزة ومنصات محددة.

نبدأ تحليل مفاتيح المرور في Revolut Business بإلقاء نظرة فاحصة على تطبيق الويب قبل تحليل التطبيقات الأصلية.

للحفاظ على الإيجاز فيما يلي، سنسلط الضوء فقط على مجموعات معينة من المنصات والأجهزة والمتصفحات.

لاحظ أنك تتلقى النافذة المنبثقة لمفتاح المرور من Revolut مرة واحدة فقط، بعد تسجيل الدخول بنجاح باستخدام طرق المصادقة الحالية. لتشغيل النافذة المنبثقة مرة أخرى، تحتاج إما إلى حذف ملفات تعريف الارتباط الخاصة بـ Revolut أو الوصول إلى الموقع في وضع التصفح المتخفي / الخاص.

عند الوصول إلى صفحة تسجيل الدخول لـ Revolut Business، ستلاحظ على الفور خيار تسجيل دخول جديدًا وبارزًا يقع أسفل حقل إدخال البريد الإلكتروني وفوق خيارات تسجيل الدخول عبر Google / Apple، بعنوان: المتابعة باستخدام مفتاح المرور.

تبدو النافذة المنبثقة الترويجية لمفاتيح المرور كما يلي:

من المثير للاهتمام، بالنسبة لـ Revolut Business، على الرغم من أن المعرّف الأساسي للمستخدم هو عنوان البريد الإلكتروني، إلا أن مفاتيح المرور مرتبطة برقم الهاتف، ربما لأن حسابات Revolut الشخصية يتم إنشاؤها برقم هاتف أولاً.

الآن بعد أن أنشأت مفتاح مرور بنجاح على Windows 11 و Chrome، يمكنك تسجيل الخروج والنقر على المتابعة باستخدام مفتاح المرور في صفحة تسجيل الدخول. بعد ذلك، ستظهر واجهة المستخدم الخاصة بالمتصفح للتعامل مع مصادقة مفتاح المرور:

على عكس إجراء تسجيل الدخول الحالي لـ Revolut Business، حيث تحتاج إلى تقديم كلمة مرور وتأكيد هويتك عبر إشعار فوري في التطبيق الأصلي أو رابط سحري عبر البريد الإلكتروني كعامل ثانٍ، لا توجد حاجة لطريقة مصادقة إضافية لعمليات تسجيل الدخول بمفتاح المرور، حيث تعمل مفاتيح المرور بطبيعتها كمصادقة ثنائية العوامل (2FA). يمثل هذا تحسنًا كبيرًا في تجربة المستخدم، خاصة على أجهزة سطح المكتب، لأنه يلغي الحاجة إلى تبديل السياقات أو استخدام جهاز ثانٍ.

على Android 14 وفي Chrome 121، يكون زر تسجيل الدخول المتابعة باستخدام مفتاح المرور بارزًا جدًا.

على iOS 17.3 وفي Safari، يكون زر تسجيل الدخول المتابعة باستخدام مفتاح المرور بارزًا جدًا أيضًا.

لا تدعم تطبيقات iOS و Android الأصلية لـ Revolut Business مفاتيح المرور حتى الآن. وبالتالي، لا يوجد خيار لمفتاح المرور في قسم الأمان والخصوصية في تطبيق iOS (انظر لقطة الشاشة) أو تطبيق Android:

أحد الاختلافات الأولية التي يجب ملاحظتها هو أن Revolut Personal يستخدم رقم الهاتف كمعرّف أساسي للمستخدم. بدلاً من كلمة المرور، تتم إدارة المصادقة من خلال رمز مرور مكون من 6 إلى 12 رقمًا، بينما يستخدم Revolut Business رمز مرور مكونًا من 4 أرقام ويستخدم كلمة المرور في عملية تسجيل الدخول الافتراضية.

للحفاظ على الإيجاز فيما يلي، سنسلط الضوء فقط على مجموعات معينة من المنصات والأجهزة والمتصفحات.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

يتم عرض النافذة المنبثقة الترويجية التالية لمفتاح المرور في المرة الأولى التي تسجل فيها الدخول (أو بعد حذف ملفات تعريف الارتباط / التواجد في وضع التصفح الخاص):

لسبب ما، بعد النقر على إضافة مفتاح مرور في الشاشة السابقة، تم توجيهنا مباشرة إلى الصفحة التي تم تسجيل الدخول إليها، دون أن تتاح لنا الفرصة لبدء عملية إنشاء مفتاح المرور باستخدام Touch ID. عند التحقيق في المشكلة، وجدنا استدعاء API المقابل (https://sso.revolut.com/api/challenges /webauthn) في علامة تبويب الشبكة في أدوات مطوري Safari. ومع ذلك، أعاد استدعاء API هذا رمز حالة HTTP 403، مما يشير إلى أن الميزة لم يتم طرحها بالكامل بعد على ما يبدو.

على عكس حساب Revolut Business، تحتوي إعدادات الحساب في Revolut Personal على قسم لمفاتيح المرور:

يتم عرض النافذة المنبثقة الترويجية التالية لمفتاح المرور في المرة الأولى التي تسجل فيها الدخول (أو بعد حذف ملفات تعريف الارتباط / التواجد في وضع التصفح الخاص):

لا تدعم تطبيقات iOS و Android الأصلية لـ Revolut Personal مفاتيح المرور حتى الآن. ومع ذلك، يحتوي تطبيق iOS وكذلك تطبيق Android (انظر لقطات الشاشة أدناه) على قسم إعدادات الأمان لمفاتيح المرور:

أدناه، نتعمق أكثر في بعض الجوانب الفنية.

Become part of our Passkeys Community for updates & support.

Join

لقد فحصنا تفاصيل التنفيذ الفني. بشكل أساسي، في كل مرة يتم فيها تحميل صفحة تسجيل الدخول، يتم إرسال client_id إلى الواجهة الخلفية، والتي تعيد بعد ذلك خيارات مصادقة مختلفة بناءً على نوع الحساب:

• حساب الأعمال: تسجيل الدخول عبر Apple، Google، مفاتيح المرور (WebAuthn)
• الحساب الشخصي: تسجيل الدخول عبر Apple، Google

من المثير للاهتمام أن خيار مفتاح المرور لحسابات Revolut الشخصية قد تم إعداده ولكنه لم يتم تفعيله بعد (انظر لقطة الشاشة أدناه)، مما يشير إلى أن الطرح قد يكون وشيكًا ويمكن تنفيذه بسرعة، مما يتيح زر "المتابعة باستخدام مفتاح المرور" للحسابات الشخصية أيضًا.

يعتمد قرار عرض خيارات تسجيل الدخول على client_id. على سبيل المثال: https://sso.revolut.com/signin?client_id=o3r08ao16zvdlf2y5fde لأغراض تجريبية، قمنا بتغيير client_id إلى قيمة عشوائية، مما كشف عن جميع خيارات تسجيل الدخول (بما في ذلك إمكانية التبديل بين رقم الهاتف والبريد الإلكتروني كمعرّف تسجيل الدخول) على Windows 11 مع Chrome.

أثناء عملية تسجيل الدخول، قمنا بتحليل PublicKeyCredentialRequestOptions. والجدير بالذكر أنه لم يتم تعيين allowCredentials، بينما تم تحديد relying party ID كـ "sso.revolut.com". يعد تعيين userVerification إلى "preferred" خيارًا حكيمًا من وجهة نظر أمنية.

publicKeyCredentialRequestOptions.json
{
    "allowCredentials": [],
    "challenge": "WHAxZnJDaDB1VnNXMmlOQW1hVndqdTYzSzF3emR3b3gtRFRCWHVxRjJYRQ",
    "rpId": "sso.revolut.com",
    "userVerification": "preferred"
}

قمنا أيضًا بتحليل كيف يمكن أن يبدو الطرح على تطبيقات iOS و Android الأصلية، وبالتالي استخدمنا relying party ID الخاص بـ sso.revolut.com وأضفنا المسارات إلى ملف assetlinks.json (Android) وملف apple-app-site-association (iOS) لنرى ما هي المعلومات التي قد تحتويها هذه الملفات بالفعل بخصوص طرح مفاتيح المرور.

محاولة الوصول إلى https://sso.revolut.com/.well-known/assetlinks.json تؤدي إلى خطأ 404 من nginx، مما يشير إلى استخدام وكيل عكسي لإدارة الملفات. باستخدام النطاق https://app.revolut.com، وجدنا ملف assetlinks.json في https://app.revolut.com/.well-known/assetlinks.json، والذي قدم معلومات مفيدة لـ Revolut Personal:

assetlinks.json
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "11:F2:5B:D6:30:60:CE:B4:EF:EC:48:7C:C8:1F:6D:3D:D0:3A:75:C3:E9:D2:C5:32:3D:69:55:9D:C1:7F:6A:23"
            ]
        }
    },
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut.test",
            "sha256_cert_fingerprints": [
                "90:EC:5D:75:11:4E:67:B7:F1:3F:C0:D0:57:85:9B:78:0D:A0:BA:49:E2:22:4C:60:42:7E:D2:EA:00:84:D1:B7"
            ]
        }
    }
]

عبر https://well-known.dev، اكتشفنا أيضًا ملف الربط لـ Revolut Business في https://business.revolut.com/.well-known/assetlinks.json:

assetlinks.json
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.business",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "9F:07:80:54:0F:3A:C9:6F:D7:26:02:8A:37:C5:CD:48:DB:A3:67:EE:2D:93:B3:9D:DE:51:BC:F2:2E:7F:B1:88",
                "F8:F5:95:3A:C3:85:DB:0D:85:C3:56:E9:9B:37:BD:CA:4D:EE:B0:D2:52:C6:2A:36:4F:BA:C8:3B:C6:AF:3A:C2"
            ]
        }
    }
]

نظرًا لأن ملف assetlinks.json لـ Revolut Personal وملف Revolut Business ليسا موجودين في المسار المحدد بواسطة relying party ID لربط تطبيق Android الأصلي بتطبيق الويب، فمن المثير للاهتمام التفكير في التغييرات اللازمة لتمكين عمل مفاتيح المرور عبر كل من تطبيقات الويب وتطبيقات Android الأصلية.

يمكن الوصول إلى ملف apple-app-site-association لـ Revolut Personal على https://revolut.com/.well-known/apple-app-site-association، مع عدم إضافة أي تفاصيل حتى الآن بخصوص بيانات اعتماد الويب:

apple-app-site-association
{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.revolut",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.test",
                "paths": ["/app/*"]
            }
        ]
    }
}

في المقابل، يحتوي ملف apple-app-site-association الخاص بـ Revolut Business على معلومات أكثر شمولاً، لا سيما فيما يتعلق ببيانات اعتماد الويب. يشير هذا إلى أن تطبيق iOS QUZEZSEARC.com.revolut.business مهيأ لمشاركة بيانات الاعتماد مع تطبيق الويب الخاص بـ Revolut Business. يمكن الوصول إليه على https://business.revolut.com/.well-known/apple-app-site-association.

{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.business",
                "paths": [
                    "/",
                    "/accept-payments/in-person",
                    "/accept-payments/online-requests",
                    "/accept-payments/web-integrations",
                    "/accounts",
                    "/accounts/connect-external",
                    "/accounts/connect-external/*",
                    "/accounts/new",
                    "/accounts/transactions",
                    "/account-transactions/*",
                    "/action/confirm",
                    "/add-card-to-wallet",
                    "/advances",
                    "/advances/manual-repayment",
                    "/app/*",
                    "/application",
                    "/approvals/requests",
                    "/article/*",
                    "/articles/*",
                    "/bug-report",
                    "/card-reader/order",
                    "/cards",
                    "/cards/*",
                    "/cards/*/sca-counters-exceed",
                    "/cards/*/sca-counters-warn",
                    "/cards/*/security",
                    "/cards/*/settings",
                    "/cards/*/transactions",
                    "/cashback",
                    "/catalogue/manage",
                    "/challenges/*",
                    "/consumer-tickets/*",
                    "/crypto",
                    "/e-commerce",
                    "/exchange",
                    "/expense-documents/*",
                    "/expenses",
                    "/expenses/*",
                    "/faq",
                    "/faq/*",
                    "/favourites",
                    "/form",
                    "/form/*",
                    "/help-centre",
                    "/help-centre/topic/*",
                    "/hub/integrations",
                    "/insurance",
                    "/invoices",
                    "/invoices/*",
                    "/marketplace",
                    "/merchant",
                    "/merchant/*",
                    "/new-card-acceptance-pricing",
                    "/offboarding",
                    "/open-onboarding-application-next-step",
                    "/orders",
                    "/pay-in-store/order/*",
                    "/payments",
                    "/payments/scheduled",
                    "/payments/transfers",
                    "/plan/subscriptions",
                    "/points",
                    "/pricing-plans",
                    "/qr-code-sign-in/*",
                    "/referrals",
                    "/referrals/invite-contacts",
                    "/referrals/invitee-details/*",
                    "/request-info",
                    "/request-info/merchant",
                    "/requests",
                    "/requests/request",
                    "/reset-password",
                    "/rewards",
                    "/sales/revolut-me",
                    "/statements",
                    "/savings",
                    "/send",
                    "/settings/accounts-and-documents",
                    "/settings/business-profile",
                    "/settings/manage-devices",
                    "/settings/merchant-profile",
                    "/settings/merchant-profile/branding",
                    "/settings/notifications",
                    "/settings/personal-profile",
                    "/settings/trusted-merchants",
                    "/settings/vat-number",
                    "/signup/invite",
                    "/stories/*",
                    "/story/*",
                    "/subscriptions",
                    "/team",
                    "/team/approvals",
                    "/team/member/add",
                    "/team/roles",
                    "/tip/settings",
                    "/topup",
                    "/transactions",
                    "/transactions/*/add-expense-info",
                    "/transactions/*/add-info-flow",
                    "/transactions/*/chargeback-status",
                    "/transfers",
                    "/treasury",
                    "/upgrade",
                    "/vouchers"
                ]
            }
        ]
    },
    "webcredentials": {
        "apps": ["QUZEZSEARC.com.revolut.business"]
    }
}

تمامًا كما هو الحال مع Android، يظل من المثير للاهتمام كيف يمكن تنفيذ مشاركة مفاتيح المرور عبر المنصات بين التطبيقات الأصلية وتطبيقات الويب، نظرًا لأن relying party ID لتطبيق الويب (sso.revolut.com) لا يحتوي على ملفات الربط في المواقع المتوقعة.

في الختام، يعد طرح مفاتيح المرور من Revolut خطوة مهمة نحو إحداث ثورة في مصادقة المستخدم في القطاع المصرفي. من خلال اعتماد مفاتيح المرور، لا تعمل Revolut على تحسين الأمان بالابتعاد عن كلمات المرور التقليدية فحسب، بل تعزز أيضًا بشكل كبير تجربة المستخدم من خلال عملية تسجيل دخول أبسط. على الرغم من مواجهة تحديات في الطرح الأولي، بما في ذلك عدم الاتساق عبر الأجهزة وغياب دعم التطبيقات الأصلية، تؤكد جهود Revolut التزامها بالابتكار الرقمي والتصميم الذي يركز على المستخدم.

يكشف التحليل الفني أنه بينما تم وضع الأساس لدمج سلس لمفاتيح المرور، هناك مجالات جاهزة للتحسين. يعد تعزيز التواصل، وضمان الاتساق عبر المنصات، وتوسيع الدعم ليشمل تطبيقات الهاتف المحمول الأصلية خطوات تالية حاسمة. لن يؤدي تناول هذه المجالات إلى تحسين تنفيذ Revolut فحسب، بل سيضع أيضًا معيارًا للصناعة، مما يشجع المؤسسات المالية الأخرى على اعتماد مفاتيح المرور قريبًا (انظر أيضًا مقالنا حول توافق مفاتيح المرور مع توجيه خدمات الدفع الثاني PSD2).