مفتاح المرور هو طريقة مصادقة مستخدم بديلة تلغي الحاجة إلى أسماء المستخدمين وكلمات المرور. بدلاً من الاعتماد على طرق تسجيل الدخول القديمة عرضة التصيد أو هجمات القرصنة ، Keyloggers، يمكن لخرقات البيانات وغيرها من عيوب الأمان ، ومواقع الويب والتطبيقات استخدام مفاتيح الممرات للتحقق من بيانات اعتماد تسجيل الدخول الخاصة بالمستخدم. يتم تخزين مفاتيح الممرات فقط على جهاز المستخدم ، لذلك لا توجد كلمة مرور يمكن اعتراضها بواسطة المحتالين المحتملين.
محترفي الأمن السيبراني لقد أكدت منذ فترة طويلة أهمية كلمات المرور القوية لمنع نقاط الضعف الأمنية. ومع ذلك ، نظرًا لأن مستخدمي الويب غالبًا ما يقومون بإنشاء كلمات مرور ضعيفة أو إعادة استخدام كلمات مرور ، مصادقة ثنائية العوامل (2FAتم تطويره. يضيف هذا نقطة تفتيش أمان عن طريق تأكيد تسجيل الدخول إلى المستخدم بمكالمة هاتفية أو رسالة نصية أو بريد إلكتروني يحتوي على رمز يتم إرساله إلى المستخدم. يقوم المستخدم بعد ذلك بإدخال هذا الرمز لإكمال عملية تسجيل الدخول. لسوء الحظ ، وجدت الجهات الفاعلة السيئة طريقها حول 2FA وعملية تسجيل الدخول القياسية. لأن تكنولوجيا كلمة المرور عرضة بطبيعتها للتصيد والهجمات الأخرى المصممة سرقة أو تجاوز أوراق الاعتماد، 2FA جعلت الأمور أكثر صعوبة بشكل هامشي على المحتالين.
كيف يعمل مفتاح المرور؟
عندما يحاول المستخدم تسجيل الدخول إلى موقع يستخدم تقنية Passkey ، يرسل الموقع ملف إشعار دفع إلى الهاتف الذكي الذي استخدموه عند تسجيل حسابهم. عندما يستخدمون وجههم أو بصمات الأصابع أو رقم التعريف الشخصي (PIN) لإلغاء قفل أجهزتهم ، فإنه ينشئ مفتاح مرور فريد ويقوم بتوصيله إلى موقع الويب الذي يحاولون الوصول إليه. عند هذه النقطة ، يتم تسجيل الدخول إلى المستخدم ، كل ذلك بدون معلومات تسجيل الدخول أو البيانات البيومترية التي يتم إرسالها باستخدام اتصال Wi-Fi غير الآمن أو الحاجة إلى الكتابة.
على عكس 2FA ، الذي يستخدم Wi-Fi أو طرق أخرى للتحقق من المستخدم ، فإن استخدام مفاتيح الممرات بلوتوث. يتحقق Bluetooth للتأكد من أن تسجيل الجهاز في مكان قريب ، مما يحد من فرص المخادع أو المتسلل الذي يصل إلى حساب المستخدم.
مفاهيم المارة ، التي تستند إلى API مصادقة الويب، فقط العمل لموقع الويب الذي تم إنشاؤه عليه. ثم يتم تخزينها على جهاز المستخدم بدلاً من الخادم الفعلي أو السحابة.
حتى الآن ، تقدم Apple التفسير الأكثر شمولاً لكيفية عمل مفاتيح الممرات ضمن نظامها الإيكولوجي للتكنولوجيا. تخزن خدمة icloud keychain مفاتيحها التشفير بطريقة محدودة للمعدل للوقاية هجمات القوة الغاشمة. تكون المفاتيح قابلة للاسترداد حتى إذا فقدت أجهزة المستخدم أو تعرضها للخطر. يجب على أولئك الجدد في Apple World وإعداد أول جهاز iOS الخاص بهم إعداد 2FA أولاً. لإضافة جهاز جديد ، يحتاج المستخدم إلى كلمة مرور معرف Apple والرمز المكون من ستة أرقام يتم إرساله إلى جهاز آخر موثوق به أو رقم هاتف باستخدام إشعار الدفع.
على سبيل المثال ، يقوم مستخدم iPhone بإعداد 2FA في المرة الأولى التي يستخدمونها وإنشاء معرف Apple الخاص بهم. عندما يرغبون في إجراء عملية شراء أو إكمال بعض المعاملات الآمنة الأخرى ، يجب عليهم إدخال كلمة مرور Apple ID الخاصة بهم والتحقق من جهاز iPhone الخاص بهم-أو أي جهاز استخدموه لإعداد مصادقة 2FA في البداية-للرمز المكون من ست أرقام المرسلة إليهم. عندما يدخلون الرمز ، تتم إضافة الجهاز الجديد إلى ما تسميه Apple دائرة الثقة شكلت من قبل سلسلة المفاتيح ICLOUD. تعمل هذه الدائرة مثل السلسلة ، وتمثل الأجهزة روابط مضافة إلى السلسلة أثناء إعدادها.
عندما يحتاج المستخدم إلى تسجيل الدخول إلى موقع ويب على جهاز كمبيوتر ، لا يستخدمون عادةً – بغض النظر عما إذا كان منتج Apple أو Google أو Microsoft – مع تمكين تقنية Basskey ، توفر شاشة تسجيل الدخول على الموقع رمز الاستجابة السريعة لهم للمسح بهاتفهم. مع تمكين Bluetooth على هواتفهم والهاتف داخل نطاق تردد Bluetooth للجهاز الذي يحاولون تسجيل الدخول ، سيتلقون إشعار الدفع لاستخدام التعريف الحيوي أو دبوس على هواتفهم. بمجرد قيامهم بذلك ، سيعطي هواتفهم موقع الويب بالكامل ويسمح للمستخدم بتسجيل الدخول.
أصل مفاتيح
تم الاستيلاء على فكرة Passkey لأول مرة في عام 2009 ، عندما طورت أجهزة استشعار الصلاحية – التي تم الحصول عليها من قبل Synaptics في عام 2013 – وتطوير PayPal بشكل مشترك مفهوم استخدام القياسات الحيوية بدلاً من كلمات المرور لتحديد الهوية عبر الإنترنت.
جنبا إلى جنب مع العديد من قادة التكنولوجيا الآخرين ، أسسوا تحالف فيدو (هوية سريعة عبر الإنترنت)، مجموعة أمان على شبكة الإنترنت ، في يوليو 2012. أعلنت فيدو علنا مبادراتها في فبراير 2013. انضمت Google في أبريل 2013. في فبراير 2014 ، أطلقت PayPal و Samsung أول عملية نشر عامة لمصادقة FIDO مع هاتف Galaxy S5 من Samsung. يمكن لمستخدمي الجهاز ، لأول مرة ، المصادقة على PayPal مع انتقاد الإصبع والتسوق عبر الإنترنت دون الحاجة إلى إدخال كلمة مرور لإكمال دفعة المعاملة.
هل مفتاح المرور أكثر أمانًا من كلمة المرور؟
نظرًا لأن كل مفتاح مرور فريد من نوعه ، فإنه يميل إلى أن يكونوا أكثر أمانًا من كلمات المرور لأنه لا يمكن إعادة استخدامه عبر مواقع ومنصات متعددة. ونظرًا لإنشاء مفاتيح الممرات تلقائيًا ، لا يحتاج المستخدمون إلى الاعتماد على كلمات المرور التي يسهل تذكرها – وللأسف ، من السهل على الآخرين تخمينها – أو معقدة للغاية بحيث يتم نسيانها بسهولة.
لأن مفاهيم المارة تستخدم من طرف إلى طرف التشفير، ولا حتى الشركات التي تنشئها يمكنها رؤيتها أو تغييرها. تقول Apple إن مفاتيحها تستخدم تشفير المفتاح العام وإنشاء مفتاحين. مفتاح واحد عام ومخزن على خادم الموقع ؛ والآخر خاص ومخزن على جهاز المستخدم ، لذلك لا يمكن الوصول إليه إلا لهذا المستخدم.
هذا يعني أن المفاتيح الخاصة التي تم إنشاؤها في كل زوج من المفاتيح يتم تخزينها فقط على جهاز المستخدم ، وليس على خادم أي موقع ويب ، مما يجعل من المستحيل اكتشاف معلومات تسجيل الدخول الخاصة بالمستخدم من خلال خرق البيانات أو محاولة القرصنة. لا يمكن للمتسلل الوصول إلى المفتاح العام فقط ، والذي سيكون عديم الفائدة لهم لأنه لن يمنح الوصول إلى معلومات حساب المستخدم. حتى لو كان هناك شخص ما كان يسقط فريسة على رابط تصيد في رسالة بريد إلكتروني أو رسالة نصية ، فإن الجهد قد يفشل لأن مفتاح المرور على جهاز المستخدم سيعمل فقط مع موقع الويب الذي أنشأه.
الشركات التي تستخدم مفاتيح
وقد تسارع الوعي بتكنولوجيا المارة. في مؤتمر FIDO Alliance May 2022 ، أعلنت شركة Apple و Google و Microsoft علنًا عن مبادرة رئيسية لتعزيز مفهوم الممرات ك مصادقة بدون كلمة مرور تابعت شركة Standard و Apple في يونيو 2022 عن طريق الإعلان عن ميزة Basskey جديدة. ظهرت هذه الميزة لأول مرة في iOS 16 و MacOS Ventura ، تم دمجها في iPhone 14 ، وهي جزء من الإصدارات اللاحقة.
تستخدم ميزة Apple Passkey تقنية iOS الحالية التي تعمل على تشغيل معرف اللمس ومعرف الوجه. تمكن المواقع الإلكترونية التي تدعم مفاتيح المستخدمين من إنشاء حسابات وتسجيل الدخول باستخدام بصمات الأصابع أو صورة الوجه بدلاً من كلمة مرور لمصادقة بيانات الاعتماد الخاصة بهم. تستخدم Apple Passkeys نظام إدارة كلمة مرور Icloud Keychain لدعم مفاتيح الممرات ومزامنتها عبر جميع أجهزة Apple الخاصة بالمستخدم. هذا يعني أنه يمكن للمستخدمين إنشاء مفتاح مرور لموقع ويب أثناء وجودهم على هواتفهم ثم استخدام مفتاح المرور نفسه لتسجيل الدخول إلى هذا الموقع لاحقًا أثناء استخدام جهاز iPad ، على سبيل المثال.
تستخدم مفاتيح Google Passkeys مفاتيح مرور بصمات الأصابع ووجهات الوجه على متصفحات Chrome وأجهزة Android وحسابات Google ، بما في ذلك Gmail و Drive.
تتضمن Microsoft مفاتيح على أنظمة التشغيل Windows 10 و 11 من خلال برنامج Windows Hell. يمكّن هذا البرنامج المستخدمين من تسجيل الدخول باستخدام دبوس و المصادقة البيومترية، مثل بصمة أو صورة الوجه. تتوفر مفاتيح الممرات أيضًا على حسابات Microsoft 365 و Copilot و Xbox. تدعم هذه الخدمات النسخ الاحتياطية للمفتاح ومزامنة الجهاز.
بالإضافة إلى Apple و Google و Microsoft ، تستخدم مئات الشركات الأخرى – بما في ذلك Github و Facebook و Instacart و Kayak و Verizon و Zoho – أن تنمو القائمة.
الدعوة للحصول على معيار مفتاح المرور
للمضي قدمًا ، يدافع أخصائيو الأمن إلى تنفيذ المعايير التي من شأنها أن تمنع أو يثبط على الأقل قفل البائع. يدور القلق بشأن ما يحدث مع مفاتيح الممرات الحالية إذا تحول المستخدم من منتج بائع إلى آخر.
تناول بعض البائعين هذه المشكلة مع الحلول. على سبيل المثال ، تتيح Apple استخدام مفتاح Passke لاستخدام iPhone على جهاز آخر مع تشغيل Google Chrome على iOS 16 أو لاحقًا أو على جهاز Windows.
يبقى أن نرى ما إذا كانت جهود التقييس ناجحة ، ولكن إنشاء مفاتيح جديدة سهلة للغاية وآلية تقريبًا بحيث يجب أن يكون المستخدمون قادرين على إنشاء بيانات اعتماد بسهولة على جهاز جديد من بائع مختلف.
ال نظام تصميم التحالف فيدو ومنهجيات أخرى نشرها التحالف يجب أن تساعد في تشجيع التقييس.
استخدام مفتاح المرور ينمو
لقد تم بالفعل دمج الكثير من التكنولوجيا الأساسية لمفتاح Passkey في الحياة التقنية اليومية ، مثل 2FA والمصادقة البيومترية التي تعتمد على وجه المستخدم أو بصمة المستخدم لإلغاء تأمين الجهاز أو توفير المصادقة بطريقة أخرى.
تزايد نقاط الضعف الأمنية وقضايا إدارة كلمة المرور مما يدفع العديد من المؤسسات إلى التخلي عن استخدام كلمة المرور لصالح مفاتيح الممرات. أصبح المستخدمون محبطين بشكل متزايد من إدارة العديد من كلمات المرور المختلفة ، مما يفرض التحول نحو بدائل أكثر أمانًا مثل مفاتيح الممرات.
في سبتمبر 2024 وأبريل 2025 ، كلفت مجموعة عمل Fido Alliance دراسة استقصائية بشأن عمليات نشر Keykey في جميع أنحاء العالم. وجدت ذلك 87 ٪ من بين صانعي القرار الذين شملهم الاستطلاع ، قاموا بنشر مفاتيح الممرات في منظماتهم حيث قام 47 ٪ بطرح مزيج من مفاتيح الأمن المادية والبطاقات ومرورات المزامنة.
يتعلم كيف تقارن إدارة الهوية والمصادقة كجزء من إطار إدارة الهوية والوصول.
