دليل مطوّري مفاتيح المرور للأطراف المعتمِدة

تعرَّف على كيفية دمج مفاتيح المرور في خدمتك.

بنية نظام مفتاح المرور

يتكوّن نظام مفتاح المرور من بضعة مكوّنات:

• الطرف الموثوق به: في سياق مفتاح المرور، تتولّى الجهة الموثوق بها معالجة إصدار مفتاح المرور والمصادقة عليه. يجب أن يشغّل الجهة المحظورة برنامجًا، أي موقع إلكتروني أو تطبيق ينشئ مفاتيح المرور أو يصادق على مفاتيح المرور، وخادمًا لتسجيل بيانات الاعتماد التي يتم إنشاؤها باستخدام مفاتيح المرور على العميل وتخزينها والتحقق منها. يجب أن يكون تطبيق الأجهزة الجوّالة لمفتاح المرور مرتبطًا بنطاق خادم الجهة المحظورة باستخدام آلية الربط المتوفرة في نظام التشغيل مثل روابط مواد العرض الرقمية.
• Authenticator: هي أجهزة حوسبة، مثل هاتف جوّال أو جهاز لوحي أو كمبيوتر محمول أو كمبيوتر مكتبي يمكنه إنشاء مفاتيح مرور والتحقّق منها باستخدام ميزة قفل الشاشة التي يوفّرها نظام التشغيل.
• مدير كلمات المرور: برنامج مثبّت على أجهزة المستخدم النهائي يوفّر مفاتيح المرور ويخزّنها ويزامنها، مثل مدير كلمات المرور في Google.

مسار التسجيل

استخدِم WebAuthn API على موقع إلكتروني أو في مكتبة "مدير بيانات الاعتماد" على تطبيق Android لإنشاء مفتاح مرور جديد وتسجيله.

لإنشاء مفتاح مرور جديد، عليك توفير بعض المكوّنات الرئيسية:

• رقم تعريف الجهة المحظورة: يمكنك تقديم رقم تعريف الجهة الموثوق بها على شكل نطاق ويب.
• معلومات المستخدم: رقم تعريف المستخدم واسم المستخدم والاسم المعروض.
• بيانات الاعتماد المطلوب استبعادها: معلومات عن مفاتيح المرور التي تم تخزينها سابقًا لمنع تكرار التسجيل.
• أنواع مفاتيح المرور: تحدّد هذه السمة ما إذا كنت تريد استخدام الجهاز نفسه ("برنامج المصادقة للنظام الأساسي") كبرنامج مصادقة أو كمفتاح أمان قابل للفصل ("برنامج مصادقة من عدّة منصات / برنامج مصادقة للتجوال"). بالإضافة إلى ذلك، يمكن للمُتصلين تحديد ما إذا كان سيتم جعل بيانات الاعتماد قابلة للاكتشاف حتى يتمكّن المستخدم من اختيار حساب لتسجيل الدخول من خلاله.

بعد أن يطلب الجهة المحظورة إنشاء مفتاح مرور ويتأكّد المستخدم منه باستخدام فتح قفل الشاشة، يتم إنشاء مفتاح مرور جديد ويتم عرض بيانات اعتماد المفتاح العام. أرسل ذلك إلى الخادم وخزّن معرّف بيانات الاعتماد والمفتاح العام للمصادقة المستقبلية.

تعرَّف على طريقة إنشاء مفتاح مرور وتسجيله بالتفصيل:

• على الويب: إنشاء مفتاح مرور لتسجيل الدخول بدون كلمة مرور
• على أجهزة Android: إجراء مصادقة سلسة لتطبيقاتك باستخدام مفاتيح المرور باستخدام واجهة برمجة تطبيقات "مدير بيانات الاعتماد"

مسار المصادقة

استخدِم WebAuthn API على موقع إلكتروني أو مكتبة "مدير بيانات الاعتماد" على تطبيق Android للمصادقة باستخدام مفتاح مرور مسجَّل.

للمصادقة باستخدام مفتاح مرور، هناك مكوّنان رئيسيان يجب توفيرهما:

• رقم تعريف الجهة المحظورة: يمكنك تقديم رقم تعريف الجهة الموثوق بها على شكل نطاق ويب.
• التحدي: تحدٍّ أنشأه الخادم يمنع هجمات إعادة التشغيل.

بعد أن يطلب الجهة المحظورة المصادقة باستخدام مفتاح المرور ويتأكّد المستخدم من صحتها من خلال فتح قفل الشاشة، يتم عرض بيانات اعتماد المفتاح العام. أرسل ذلك إلى الخادم وتحقق من التوقيع باستخدام المفتاح العام المخزن.

تعرَّف بالتفصيل على طريقة المصادقة باستخدام مفتاح مرور:

• على الويب: سجِّل الدخول باستخدام مفتاح مرور من خلال ميزة الملء التلقائي للنموذج.
• على أجهزة Android: إجراء مصادقة سلسة لتطبيقاتك باستخدام مفاتيح المرور باستخدام واجهة برمجة تطبيقات "مدير بيانات الاعتماد"

عمليات الدمج من جهة الخادم

عند إنشاء مفتاح مرور، يحتاج الخادم إلى تقديم معلَمات رئيسية، مثل التحدي ومعلومات المستخدم ومعرّفات بيانات الاعتماد التي يجب استبعادها وغير ذلك. ثم يتحقق من بيانات اعتماد المفتاح العام التي تم إنشاؤها المرسلة من العميل ويخزن المفتاح العام في قاعدة البيانات. للمصادقة باستخدام مفتاح مرور، يحتاج الخادم إلى التحقّق من صحة بيانات الاعتماد بعناية والتحقّق من التوقيع للسماح للمستخدم بتسجيل الدخول.

مزيد من المعلومات في الأدلة من جهة الخادم:

• مقدمة حول تنفيذ مفتاح المرور من جهة الخادم
• تسجيل مفتاح المرور من جهة الخادم
• مصادقة مفتاح المرور من جهة الخادم

آليات المصادقة الحالية (القديمة)

إذا كانت خدمة استخدام مفاتيح المرور متاحة في خدمتك الحالية، لن يتم الانتقال من طريقة المصادقة القديمة، مثل كلمات المرور إلى مفاتيح المرور، خلال يوم واحد. نعلم أنّك تميل إلى التخلص من طريقة المصادقة الأضعف في أقرب وقت ممكن، ولكن قد يتسبب ذلك في إرباك المستخدم أو إبعاد بعض المستخدمين عنه. ننصحك بإبقاء طريقة المصادقة الحالية في الوقت الحالي.

هناك بضعة أسباب:

• ثمة مستخدمون في بيئة غير متوافقة مع مفاتيح المرور: نحن نعمل على توسيع نطاق إتاحة مفتاح المرور على نطاق واسع في العديد من أنظمة التشغيل والمتصفّحات، ولكن يتعذّر حتى الآن على المستخدمين الذين يستخدمون إصدارات قديمة استخدام مفاتيح المرور.
• المنظومة المتكاملة لمفاتيح المرور لم تنتهِ بعد: إنّ المنظومة المتكاملة لمفاتيح المرور في طور التطوّر. يمكن تحسين تفاصيل تجربة المستخدم والتوافق الفني بين البيئات المختلفة.
• قد لا يكون المستخدمون مستعدين للعيش باستخدام مفتاح مرور حتى الآن: هناك أشخاص يترددون في الانتقال إلى أشياء جديدة. مع نمو منظومة مفاتيح المرور المتكاملة، سيتعرفون على آلية عمل مفاتيح المرور وسبب أهميتها بالنسبة إليهم.

مراجعة آلية المصادقة الحالية

على الرغم من أنّ مفاتيح المرور تجعل عملية المصادقة أكثر بساطة وأمانًا، فإنّ الحفاظ على الآليات القديمة يشبه إجراء حفرة صغيرة. نقترح عليك مراجعة آليات المصادقة الحالية وتحسينها.

كلمات المرور

يُعد إنشاء كلمات مرور قوية وإدارتها لكل موقع ويب مهامًا صعبة للمستخدمين. ننصحك بشدة باستخدام مدير كلمات مرور مضمَّن في النظام أو مدير كلمات مرور مستقل. ومن خلال إجراء تعديل بسيط على نموذج تسجيل الدخول، يمكن للمواقع الإلكترونية والتطبيقات إحداث فارق كبير في أمانها وتجربة تسجيل الدخول. اطّلِع على كيفية إجراء هذه التغييرات:

• أفضل الممارسات لنموذج تسجيل الدخول (على الويب)
• أفضل ممارسات نموذج الاشتراك (على الويب)
• تسجيل دخول المستخدم باستخدام "مدير بيانات الاعتماد" (على Android)

المصادقة الثنائية

إنّ استخدام مدير كلمات المرور يساعد المستخدمين في التعامل مع كلمات المرور، إلا أنّه لا يستخدمها جميع المستخدمين. ويُعد طلب بيانات اعتماد إضافية تُسمى كلمة المرور لمرة واحدة (OTP) من الممارسات الشائعة لحماية هؤلاء المستخدمين. يتم توفير كلمات المرور لمرة واحدة (OTP) عادةً عبر رسالة إلكترونية أو رسالة قصيرة SMS أو تطبيق مصادقة مثل Google Authenticator. نظرًا لأن كلمات المرور OTP تكون عادةً نصًا قصيرًا يتم إنشاؤه ديناميكيًا فقط لفترة زمنية محدودة، فإنها تقلل من احتمالية الاستيلاء على الحساب. وهذه الطرق ليست بنفس قوة مفتاح المرور، ولكنها أفضل بكثير من ترك المستخدمين لكلمة مرور فقط.

إذا اخترت الرسائل القصيرة SMS كطريقة لإرسال كلمة المرور لمرة واحدة (OTP)، ننصحك بالاطّلاع على أفضل الممارسات التالية لتبسيط تجربة المستخدم لإدخال كلمة المرور لمرة واحدة (OTP).

• أفضل الممارسات المتعلّقة بنموذج استخدام كلمة المرور لمرة واحدة (OTP) عبر الرسائل القصيرة (الويب)
• التحقق التلقائي من الرسائل القصيرة SMS باستخدام واجهة برمجة التطبيقات SMS Retriever API (نظام التشغيل Android)

اتحاد الهوية

تتيح ميزة اتحاد الهوية للمستخدمين تسجيل الدخول بأمان وسهولة. باستخدام ميزة "توحيد الهوية"، يمكن للمواقع الإلكترونية والتطبيقات السماح للمستخدمين بتسجيل الدخول باستخدام هوية المستخدم من خلال موفّر هوية تابع لجهة خارجية. على سبيل المثال، تساعد ميزة تسجيل الدخول باستخدام حساب Google على تقديم إحالات ناجحة رائعة للمطوّرين، ويرى المستخدمون أنّها أسهل ويفضّلها إجراء المصادقة المستندة إلى كلمة المرور. تتكامل ميزة "توحيد الهوية" مع مفاتيح المرور. يُعد الاشتراك أمرًا رائعًا حيث يمكن للموقع الإلكتروني أو التطبيق الحصول على معلومات الملف الشخصي الأساسية للمستخدم في خطوة واحدة، بينما تُعد مفاتيح المرور رائعة لتبسيط إعادة المصادقة.

يُرجى العلم أنّه بعد أن يوقف Chrome ملفات تعريف الارتباط التابعة لجهات خارجية في عام 2024، قد تتأثر بعض أنظمة دمج الهوية استنادًا إلى طريقة إنشائها. وللحد من هذا التأثير، يجري تطوير واجهة برمجة تطبيقات جديدة للمتصفح تسمى Federated Credential Management API (المعروفة اختصارًا باسم FedCM). إذا كنت تدير موفِّر هوية، يُرجى الاطّلاع على التفاصيل ومعرفة ما إذا كنت بحاجة إلى استخدام FedCM.

• Federated Credential Management API (Web وFederated Credential Management API)
• نظرة عامة على ميزة "تسجيل الدخول باستخدام حساب Google للويب" (على الإنترنت، ميزة "تسجيل الدخول باستخدام حساب Google")
• نظرة عامة حول تسجيل الدخول بنقرة واحدة على Android (Android، وتسجيل الدخول بنقرة واحدة)

"الروابط السحرية"

تسجيل الدخول باستخدام الرابط السحري هو طريقة مصادقة تقدّم فيها الخدمة رابط تسجيل الدخول عبر رسالة إلكترونية حتى يتمكّن المستخدم من النقر عليه لمصادقة نفسه. يساعد ذلك المستخدمين في تسجيل الدخول بدون الحاجة إلى تذكّر كلمة مرور، إلا أنّ التبديل بين المتصفح/التطبيق وبرنامج البريد الإلكتروني سيمثل صعوبة. ونظرًا لاعتماد آلية المصادقة على البريد الإلكتروني، يمكن أن يعرِّض الأمان الضعيف لمزوِّد خدمة البريد الإلكتروني حسابات المستخدمين للخطر.

مراجع التعلّم

الويب

لدمج مفاتيح المرور في موقعك الإلكتروني، استخدِم Web Authentication API (WebAuthn). لمعرفة المزيد، تحقق من الموارد التالية:

• إنشاء مفتاح مرور لتسجيل الدخول بدون كلمة مرور: مقالة تتناول كيفية السماح للمستخدمين بإنشاء مفاتيح مرور لموقع إلكتروني.
• تسجيل الدخول باستخدام مفتاح مرور من خلال الملء التلقائي للنموذج: مقالة تتناول كيفية تصميم تسجيل الدخول بدون كلمة مرور باستخدام مفاتيح المرور أثناء استيعاب المستخدمين الحاليين لكلمات المرور
• تنفيذ مفاتيح المرور باستخدام ميزة الملء التلقائي للنموذج في تطبيق ويب: درس تطبيقي حول الترميز يتيح لك تعلُّم كيفية استخدام مفاتيح المرور من خلال ميزة الملء التلقائي للنموذج في تطبيق الويب لإنشاء تسجيل دخول بطريقة أبسط وأكثر أمانًا.
• التعرّف على كيفية استخدام مفاتيح المرور باستخدام ميزة الملء التلقائي للنموذج في تطبيق ويب: فيديو في ورشة عمل يتخطى الدرس التطبيقي حول الترميز تنفيذ مفاتيح المرور باستخدام الملء التلقائي للنموذج في تطبيق ويب لتنفيذ مفاتيح المرور من خلال الملء التلقائي للنموذج في تطبيق الويب من أجل إنشاء تسجيل دخول بطريقة أسهل وأكثر أمانًا.
• إنشاء تطبيق WebAuthn الأول: درس تطبيقي حول الترميز يتيح لك تعلُّم كيفية إنشاء وظيفة بسيطة لإعادة المصادقة باستخدام مفتاح مرور على موقعك الإلكتروني

Android

لدمج مفاتيح المرور في تطبيق Android، استخدِم مكتبة "مدير بيانات الاعتماد". لمعرفة المزيد، تحقق من الموارد التالية:

• تسجيل دخول المستخدم باستخدام "مدير بيانات الاعتماد": مقالة تناقش كيفية دمج "مدير بيانات الاعتماد" في نظام Android. Credential Manager هو واجهة برمجة تطبيقات Jetpack تتيح استخدام طرق تسجيل دخول متعدّدة، مثل اسم المستخدم وكلمة المرور ومفاتيح المرور وحلول تسجيل الدخول الموحّد (مثل تسجيل الدخول باستخدام حساب Google) في واجهة برمجة تطبيقات واحدة.
• توفير مصادقة سلسة لتطبيقاتك باستخدام مفاتيح المرور باستخدام واجهة برمجة تطبيقات "مدير بيانات الاعتماد": مقالة تتناول كيفية دمج مفاتيح المرور باستخدام "مدير بيانات الاعتماد" على Android
• التعرّف على طريقة تبسيط عمليات المصادقة باستخدام واجهة برمجة تطبيقات "مدير بيانات الاعتماد" في تطبيق Android: يمكنك التعرّف على طريقة تنفيذ واجهة برمجة تطبيقات "مدير بيانات الاعتماد" لتوفير مصادقة سلسة وآمنة في تطبيقك باستخدام مفاتيح المرور أو كلمة المرور.
• نموذج تطبيق مدير بيانات الاعتماد: نموذج رمز يشغِّل "مدير بيانات الاعتماد" الذي يتضمن مفاتيح المرور.
• دمج "مدير بيانات الاعتماد" مع حل موفِّر بيانات الاعتماد | مطوّري برامج Android

تجربة المُستخدِم

التعرّف على اقتراحات تجربة المستخدم بشأن مفاتيح المرور:

• إرشادات تجربة المستخدم FIDO Alliance بشأن إنشاء مفتاح مرور وتسجيل الدخول
• مصادقة المستخدم باستخدام مفاتيح المرور | الجهاز الجوّال | مطوّري برامج Android