مفاتيح المرور تحل محل كلمات المرور في Apple وGoogle وMicrosoft — إليك ما يتغير بالفعل بالنسبة لك
في مايو 2022، أعلنت Apple وGoogle وMicrosoft بشكل مشترك عن دعم موسع لمعيار مصادقة بدون كلمة مرور مبني على WebAuthn وFIDO2. بحلول عام 2024، كانت Apple قد نقلت حسابات iCloud إلى مفاتيح المرور افتراضيًا، وقامت Google بتسجيل أكثر من 800 مليون حساب Google، وبدأت Microsoft في إزالة كلمات المرور بالكامل من حسابات المستهلكين الجديدة. على الرغم من هذا النطاق، لا يزال معظم المستخدمين يعتقدون أن مفاتيح المرور هي مجرد شكل آخر من أشكال المصادقة الثنائية — لكنها ليست كذلك. مفاتيح المرور هي نموذج مصادقة مختلف جوهريًا، وفهم الآلية يشرح لماذا تقضي على فئات كاملة من الهجمات التي لا تستطيع كلمات المرور التصدي لها.
الأطروحة الأساسية: تستبدل مفاتيح المرور نموذج السر المشترك لكلمات المرور بالتشفير غير المتماثل. عند إنشاء مفتاح مرور، يولد جهازك زوجًا من المفاتيح — مفتاح خاص مخزّن في حاوية آمنة على جهازك، ومفتاح عام مسجّل لدى الخدمة. عند تسجيل الدخول، ترسل الخدمة تحديًا تشفيريًا؛ يوقّعه جهازك بالمفتاح الخاص ويعيد التوقيع. يتحقق الخادم من التوقيع مقابل مفتاحك العام. لا يتم نقل أي سر في أي نقطة، والمفتاح الخاص لا يغادر عتادك أبدًا. قارن هذا بمصادقة كلمة المرور، حيث يجب نقل سرك — أو مشتق منه — إلى الخادم في كل مرة تسجل الدخول.
WebAuthn تحت الغطاء
WebAuthn (واجهة برمجة تطبيقات مصادقة الويب) هو معيار W3C الذي تنفذه المتصفحات لعرض وظيفة مفتاح المرور لمواقع الويب. تم الانتهاء من API كتوصية W3C في مارس 2019 (المستوى 1) وتم تحديثها في أبريل 2021 (المستوى 2). عندما يستدعي موقع navigator.credentials.create()، يفوض المتصفح إلى مصادق — إما مصادق منصة (حاوية جهازك الآمنة، مثل Apple Secure Enclave أو Android StrongBox أو شريحة TPM Windows Hello) أو مصادق متجول (مفتاح عتاد مثل YubiKey).
يولد المصادق زوج مفاتيح ES256 (ECDSA مع منحنى P-256) أو RS256 لذلك الطرف المعتمد المحدد — الذي يتم تحديده بواسطة نطاقه المسجل (RP ID). يتم إغلاق المفتاح الخاص داخل العنصر الآمن، حيث لا يمكن استخدامه إلا بعد التحقق المحلي من المستخدم (بيومتري أو PIN). يتم إرسال المفتاح العام ومعرف بيانات الاعتماد إلى الخادم وتخزينه في قاعدة بياناته. لا تجزئة كلمة مرور، ولا جولات PBKDF2، ولا عامل تكلفة bcrypt — مجرد مفتاح عام غير مفيد رياضيًا للمهاجم بدون المفتاح الخاص المقابل.
خطوة التصديق
أثناء التسجيل، يمكن للمصادقات إنتاج بيان تصديق اختياريًا — إعلان موقّع تشفيريًا عن الشركة المصنعة للجهاز وطرازه ومستوى الأمان، موقع بواسطة سلسلة شهادات متجذرة في خدمة البيانات الوصفية لتحالف FIDO (MDS). هذا يسمح للخدمات عالية الأمان (البنوك، الحكومات) بالتحقق من أنها تقبل بيانات اعتماد من عنصر آمن حقيقي، وليس محاكاة برمجية. خدمات المستهلك تتخطى التصديق عادة وتقبل أي مصادق متوافق.
مقاومة التصيد هي هيكلية، وليست سلوكية
يعمل تصيد كلمات المرور لأن المستخدمين لا يستطيعون تمييز accounts.google.com من accounts.g00gle.com بشكل موثوق تحت ضغط الوقت. حتى مفاتيح المصادقة الثنائية التي تنفذ TOTP (كلمات المرور لمرة واحدة المعتمدة على الوقت) قابلة للتصيد — يقوم المهاجم بترحيل OTP في الوقت الفعلي إلى الموقع الحقيقي. تسد مفاتيح المرور هذا السطح الهجومي على مستوى البروتوكول.
المفتاح الخاص مرتبط بـ RP ID — النطاق المسجل. عندما تبدأ مراسم التأكيد WebAuthn، يضمن المتصفح RP ID في البيانات الموقّعة. إذا كنت على موقع تصيد في نطاق مختلف، فإن RP ID في التأكيد لن يتطابق مع ربط بيانات الاعتماد، وتفشل المصادقة. لا يمكن للمهاجم إعادة توجيه التأكيد إلى الموقع الحقيقي لأن التوقيع غير قابل للنقل — تم حسابه مع أصل موقع التصيد مضمنًا. هذه ليست مشكلة تعليم مستخدم مع نظام مفتاح المرور؛ إنها مستحيلة بالبناء.
وثّق تقرير FIDO Alliance Passkey Central لعام 2023 أن بيانات الاعتماد المتوافقة مع CTAP2.1 (بروتوكول المصادق إلى العميل الإصدار 2.1) مقاومة للتصيد في الوقت الفعلي، وهجمات الخصم في الوسط (AiTM)، وحشو بيانات الاعتماد. هجمات وكيل AiTM — التي تتجاوز بنجاح SMS OTP وTOTP — ليس لها ناقل هجوم مكافئ ضد توقيعات تأكيد WebAuthn.
مفاتيح المرور المتزامنة: الراحة مقابل الأمان المرتبط بالجهاز
كان نموذج FIDO2 الأصلي مرتبطًا بالجهاز: مصادق عتاد يحمل نسخة واحدة من المفتاح الخاص. فقدان الجهاز يعني فقدان بيانات الاعتماد. كان هذا آمنًا لكنه خلق مشاكل في قابلية الاستخدام — كان غير قابل للتنفيذ للتبني الجماعي. قدم امتداد FIDO Alliance لعام 2022 بيانات اعتماد متعددة الأجهزة، تسمى عامةً مفاتيح المرور المتزامنة.
مع مفاتيح المرور المتزامنة، يتم تشفير مادة المفتاح الخاص ومزامنتها عبر أجهزتك من خلال سحابة بائع المنصة. تقوم Apple بالمزامنة عبر iCloud Keychain باستخدام تشفير من طرف إلى طرف مع مفاتيح مشتقة من رمز مرور جهازك. تقوم Google بالمزامنة عبر Google Password Manager، أيضًا مشفر من طرف إلى طرف. تقوم Microsoft بالمزامنة عبر Windows Hello، واعتبارًا من 2024، تدعم المزامنة عبر الأجهزة من خلال تطبيق Microsoft Authenticator.
هذا يخلق مقايضة تناقشها فرق الأمان بنشاط. مفاتيح المرور المتزامنة أكثر أمانًا بشكل كبير من كلمات المرور — لا يزال لا يمكن التصيد بها، ولا اختراق الخادم يكشفها — لكن نموذج التهديد ينتقل من اختراق الجهاز إلى اختراق حساب السحابة بالإضافة إلى PIN/البيومتري للجهاز. بالنسبة لمعظم المستخدمين، هذه مقايضة مقبولة؛ حساب Google أو Apple الخاص بهم يحمي بالفعل بيانات أكثر حساسية. بالنسبة للأهداف عالية القيمة (الصحفيون، المديرون التنفيذيون، النشطاء)، تظل مفاتيح المرور المرتبطة بالجهاز على مفتاح FIDO2 عتاد مخصص (سلسلة YubiKey 5، بسعر يبدأ من 50 دولارًا أمريكيًا، أو مفتاح Google Titan بسعر 30 دولارًا) الخيار الأقوى.
المصادقة عبر الأجهزة
عندما تحاول تسجيل الدخول إلى موقع على متصفح سطح المكتب ولكن مفتاح المرور الخاص بك مخزّن على هاتفك، يدعم WebAuthn تدفق مصادقة عبر الأجهزة باستخدام النقل الهجين CTAP2. يعرض متصفح سطح المكتب رمز QR؛ يمسحه هاتفك وينشئ قناة BLE (بلوتوث منخفض الطاقة) مشفرة. يوقّع الهاتف التأكيد محليًا (بعد التحقق البيومتري) وينقل التوقيع مرة أخرى عبر القناة المشفرة. مفتاحك الخاص لا يعبر رابط BLE أبدًا — فقط استجابة التحدي الموقعة تعبر. هذا يتطلب تمكين Bluetooth على كلا الجهازين، وهو نقطة احتكاك بسيطة.
ماذا يحدث لاختراقات الخادم
تسرب RockYou2024 لعام 2024 جمع 9.9 مليار كلمة مرور نصية واضحة من تسريبات سابقة. قواعد بيانات كلمات المرور قيمة للمهاجمين تحديدًا لأن كلمات المرور يعاد استخدامها — 65% من المستخدمين يعيدون استخدام نفس كلمة المرور عبر مواقع متعددة وفقًا لتقرير Google Password Manager لعام 2023. مع مفاتيح المرور، لا توجد كلمة مرور في قاعدة البيانات لسرقتها. يخزن الخادم فقط مفتاحك العام. حتى إذا قام مهاجم بتسريب قاعدة بيانات مفاتيح المرور بأكملها، فلديه مجموعة من المفاتيح العامة — مكافئة رياضيًا لقائمة أقفال بدون مفاتيح. لا يمكنهم المصادقة كأنك، ولا يمكنهم كسر المفاتيح دون اتصال، ولا يمكنهم استخدامها لمهاجمة خدمات أخرى.
خدمات لا تزال عالقة بكلمات المرور
اعتبارًا من منتصف 2025، دعم مفتاح المرور واسع لكن غير متساو. أضاف GitHub دعم مفتاح المرور في يوليو 2023. فعّله Shopify في أوائل 2024. المتخلفون البارزون يشملون العديد من بوابات البنوك (خاصة الاتحادات الائتمانية والبنوك الإقليمية)، والخدمات الحكومية، وVPNs المؤسسية، وأي خدمة لم تحدث مكدس المصادقة الخاص بها منذ 2020. تطبيقات Java EE وPHP القديمة غالبًا ما تستخدم مكتبات مصادقة لم تدمج مكونات FIDO2 من جانب الخادم (مثل java-webauthn-server من Yubico أو php-webauthn من lbuchs).
بالنسبة للخدمات التي لا تزال تتطلب كلمات مرور، النهج العملي هو مدير كلمات مرور مع بيانات اعتماد عشوائية قوية — Bitwarden (مفتوح المصدر، طبقة مجانية)، 1Password (2.99 دولار شهريًا)، أو سلسلة المفاتيح الخاصة بالمنصة. هذا ليس مكافئًا لأمان مفتاح المرور — خزينة مدير كلمات المرور الخاصة بك مشفرة بكلمة مرور رئيسية يمكن التصيد لها — لكنه يزيل إعادة استخدام بيانات الاعتماد، وهو ناقل الهجوم الأكثر شيوعًا.
خطوات قابلة للتنفيذ
- دقق دعم مفتاح المرور الآن: تحقق من passkeys.directory (سجل يُدار من المجتمع) لترى أي الخدمات التي تستخدمها تدعم بالفعل مفاتيح المرور. فعّلها على Google وApple ID وMicrosoft وGitHub وأي خدمة أخرى مدرجة.
- افهم نموذج المزامنة الخاص بك: إذا كنت تستخدم أجهزة Apple، تتم مزامنة مفاتيح المرور الخاصة بك عبر iCloud Keychain افتراضيًا. إذا كنت تستخدم Android، تتم مزامنتها عبر Google Password Manager. يمكنك أيضًا حفظ مفاتيح المرور في 1Password أو Bitwarden إذا كنت تفضل تخزينًا محايدًا للبائع — كلاهما أضاف دعم مفتاح المرور في 2023.
- الحسابات عالية الأمان تحصل على مفاتيح عتاد: لبريدك الإلكتروني الأساسي، ومسجل النطاق، وحساباتك المالية، ادمج إعداد مفتاح المرور مع مفتاح FIDO2 عتاد احتياطي. سجّل مفتاحين بحيث يكون لديك مفتاح احتياطي. يغطي YubiKey 5C NFC (55 دولارًا) USB-C وNFC، ويتعامل مع كل جهاز تقريبًا.
- لا تحذف TOTP القديم الخاص بك بعد: عندما تضيف مفتاح مرور، احتفظ بمصادق TOTP الحالي أو النسخ الاحتياطي SMS لاسترداد الخدمة. أزل كلمة المرور (حيث تسمح الخدمة بذلك) بمجرد تأكيد أن مفتاح المرور يعمل عبر جميع أجهزتك.
- الخدمات القديمة تحصل على كلمات مرور فريدة: لأي خدمة لا تدعم مفتاح مرور، أنشئ كلمة مرور عشوائية فريدة في مدير كلمات المرور الخاص بك. لا تنتظر حتى تلحق الخدمة بالركب قبل تحسين وضعك الأمني اليوم.
مفاتيح المرور ليست تقنية مستقبلية — إنها منشورة على نطاق واسع الآن. الفجوة بين الخدمات التي تدعمها والمستخدمين الذين تبنوها هي مشكلة وعي مستخدم، وليست تقنية. كل مفتاح مرور تنشئه يزيل بيانات اعتماد يمكن التصيد لها أو اختراقها أو تخمينها. ابدأ بالحسابات الأكثر أهمية.