هل يمكن اختراق مفاتيح المرور؟
Vincent
Created: June 17, 2025
Updated: July 11, 2025
See the original faq version in English here.
هل يمكن اختراق مفاتيح المرور؟#
مفاتيح المرور، بحكم تصميمها، أكثر أمانًا بشكل كبير من كلمات المرور التقليدية وأصعب بكثير في الاختراق نظرًا لطبيعتها التشفيرية. ومع ذلك، مثل أي تقنية أخرى، فهي ليست محصنة تمامًا ضد بعض الثغرات الأمنية.
- مفاتيح المرور أكثر أمانًا من كلمات المرور بفضل أساسها التشفيري.
- مفاتيح المرور تقضي على المخاطر المرتبطة بهجمات التصيد الاحتيالي (phishing)، وهجمات الوسيط (man-in-the-middle)، وهجمات القوة الغاشمة (brute-force)، وهجمات إعادة التشغيل (replay)، وهجمات حشو بيانات الاعتماد (credential stuffing).
فهم أمان مفاتيح المرور#
تُبنى مفاتيح المرور على معيار WebAuthn وتستخدم تشفير المفتاح العام لمصادقة المستخدمين دون الاعتماد على كلمات المرور التقليدية. هذا يجعلها بطبيعتها أكثر أمانًا ضد التهديدات الشائعة مثل التصيد الاحتيالي، وحشو بيانات الاعتماد، وهجمات القوة الغاشمة. إليك لماذا تعتبر مفاتيح المرور آمنة:
-
بنية المفتاح العام: تستخدم مفاتيح المرور زوجًا من المفاتيح (عام وخاص)، حيث لا يغادر المفتاح الخاص جهاز المستخدم أبدًا، مما يجعل من شبه المستحيل على المهاجمين اعتراضه.
-
الاستغناء عن كلمات المرور: بما أن مفاتيح المرور لا تعتمد على أسرار مشتركة (مثل كلمات المرور)، فإنها تقضي على خطر إعادة استخدام بيانات الاعتماد، وهي ثغرة أمنية شائعة في الأنظمة القائمة على كلمات المرور.
-
الحماية من التصيد الاحتيالي: هجمات التصيد الاحتيالي غير فعالة ضد مفاتيح المرور لأن مفتاح المرور يكون دائمًا مرتبطًا بالمصدر (معرّف الطرف المعتمد) الذي تم إنشاؤه من أجله.
-
لا يوجد حشو لبيانات الاعتماد: مفاتيح المرور فريدة لكل خدمة ويتم تخزين المفتاح العام فقط على الخادم. هذا يعني أنه في حالة اختراق طرف معتمد واحد، لا يكون لذلك أي تأثير على الأطراف المعتمدة الأخرى.
-
لا توجد هجمات القوة الغاشمة: تعتمد مفاتيح المرور على التشفير غير المتماثل ولا يمكن تخمينها، مما يجعلها محصنة ضد هجمات القوة الغاشمة.
-
لا توجد هجمات الوسيط: هجمات الوسيط غير ممكنة مع مفاتيح المرور لأن المفتاح الخاص المستخدم للمصادقة لا يغادر جهاز المستخدم أبدًا، مما يضمن عدم نقل أي معلومات حساسة يمكن اعتراضها أو تغييرها.
-
لا توجد هجمات إعادة التشغيل: هجمات إعادة التشغيل غير ممكنة مع مفاتيح المرور لأن كل جلسة مصادقة تولد تحديًا تشفيريًا فريدًا لمرة واحدة لا يمكن إعادة استخدامه أو تكراره من قبل المهاجم.
ومع ذلك، في حين أن مفاتيح المرور توفر أمانًا فائقًا، إلا أنها ليست محصنة تمامًا ضد الاختراق:
-
هجمات سلسلة التوريد: يمكن لجهاز تم اختراقه على مستوى الشركة المصنعة أن يتم التلاعب به لتسريب المفاتيح التشفيرية.
-
الهندسة الاجتماعية: على الرغم من أن التصيد الاحتيالي أقل فعالية، قد يستخدم المهاجمون تقنيات الهندسة الاجتماعية لخداع المستخدمين لإنشاء مفاتيح مرور لمواقع ويب خبيثة.
-
سرقة الجلسة: تجعل مفاتيح المرور جزء المصادقة آمنًا وبسيطًا للمستخدمين. ومع ذلك، اعتمادًا على كيفية تطبيق الطرف المعتمد، لا يزال من الممكن سرقة الجلسة واستخدامها لأغراض خبيثة.
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.
Share this article
