AIO APEX
Software & Apps

مفاتيح المرور تحلّ محل كلمات المرور — إليك الوضع الفعلي

مشاركة:
مفاتيح المرور تحلّ محل كلمات المرور — إليك الوضع الفعلي

كيف تعمل الـ passkey

الـ passkey هي بيانات اعتماد تشفيرية مبنية على معياري WebAuthn / FIDO2. عند التسجيل، يُنشئ جهازك زوجاً من المفاتيح: عام وخاص. المفتاح الخاص لا يغادر جهازك أبداً؛ لا يُخزّن على الخادم سوى المفتاح العام. عند المصادقة، يوقّع الجهاز على تحدٍّ باستخدام المفتاح الخاص، ويتحقق الخادم من التوقيع بالمفتاح العام.

لأن بيانات الاعتماد مرتبطة بالنطاق الأصلي — مقيّدة تشفيرياً بنطاق محدد — لا يمكن لأي موقع phishing أن يستخرج passkey. حتى لو خدعك مهاجم وزرت paypa1.com، فإن الـ passkey الخاصة بـ paypal.com لن تعمل هناك ببساطة. هذه الحصانة ضد الـ phishing هي أبرز قفزة أمنية توفرها الـ passkey مقارنةً بكلمات المرور أو SMS OTP.

أرقام الانتشار

أعلنت Google تجاوز 800 مليون عملية مصادقة بـ passkey شهرياً في أواخر 2025، عبر أكثر من 400 مليون حساب. تجاوزت قائمة الخدمات المتوافقة لدى FIDO Alliance 300 منصة رئيسية. تُفيد Microsoft بأن أكثر من 99% من عمليات تسجيل دخول المستهلكين باتت بلا كلمة مرور (فئة أوسع تشمل الـ passkey وWindows Hello).

الخدمات التي تدعم الـ passkey

  • Google — الـ passkey هي وسيلة تسجيل الدخول الافتراضية للحسابات الشخصية
  • Apple — مدعومة في جميع عمليات تسجيل الدخول بـ Apple ID؛ تُزامَن عبر iCloud Keychain على كل الأجهزة
  • Microsoft — Windows Hello وتطبيق Authenticator للحسابات الشخصية والمُدارة بـ Entra
  • GitHub — الـ passkey متاحة لجميع أنواع الحسابات منذ 2023
  • PayPal — الـ passkey في الولايات المتحدة مع توسّع عالمي مستمر
  • eBay — دعم الـ passkey طُرح عام 2024
  • Shopify — تدفقات passkey للتجار والمشترين متاحة الآن
  • WhatsApp — الـ passkey على Android وiOS

المزامنة عبر الأجهزة

تكون الـ passkey أكثر ملاءمةً عند مزامنتها عبر أجهزتك. ثلاثة أنظمة بيئية رئيسية تتولى ذلك اليوم:

  • Apple Keychain — تتزامن الـ passkey بتشفير كامل بين iPhone وiPad وMac عبر iCloud
  • Google Password Manager — تتزامن الـ passkey عبر Android وChrome على أي نظام تشغيل
  • 1Password و Dashlane — مديرو طرف ثالث يعملان على جميع المنصات ويتيحان لفِرق العمل مشاركة الـ passkey

الاحتكاك عبر المنصات

أكثر النقاط إشكالاً في 2026 هو المصادقة عبر أنظمة بيئية مختلفة. إذا كانت الـ passkey الخاصة بك في Apple Keychain وتحتاج إلى تسجيل الدخول على حاسوب يعمل بـ Windows، فعليك استخدام تدفق QR code + Bluetooth الهجين: يعرض الحاسوب QR code، تمسحه بـ iPhone، ويؤكد القرب عبر Bluetooth حضورك الجسدي. الأمر ينجح، لكنه مربك بما يكفي لدفع كثير من المستخدمين إلى التخلي عنه والعودة إلى كلمة المرور.

التقدم قادم. بروتوكول تبادل بيانات الاعتماد Credential Exchange Protocol (CXP) الصادر عن FIDO Alliance والمُنجز في 2025، يتيح للمستخدمين تصدير الـ passkey من مدير وإيرادها في آخر — مما يُنهي قيد الارتباط بمورّد واحد فور أن تُشحن هذه الميزة في المديرين.

المؤسسات: Okta وMicrosoft Entra

تتبنّى المؤسسات الـ passkey عبر مزودي الهوية. تدعم Okta الـ passkey بمعيار FIDO2 في منصة Workforce Identity Cloud، وأصبح المصادقة متعددة العوامل المقاوِمة للـ phishing متطلباً للامتثال لدى المقاولين الاتحاديين الأمريكيين. تدعم Microsoft Entra (المعروفة سابقاً بـ Azure AD) مفاتيح الأمان المادية والـ passkey المرتبطة بالجهاز عبر Windows Hello for Business، مع وجود الـ passkey المُزامَنة على خارطة الطريق.

فقدان الجهاز والاسترداد

أكبر سؤال يتعلق بقابلية الاستخدام: ماذا يحدث إذا فقدت هاتفك؟ لأن الـ passkey المُزامَنة موجودة في السحابة (مشفّرة)، يرتبط استردادها بتدفق استرداد حساب السحابة — جهات الاتصال المخصصة لاسترداد Apple ID، وبريد/هاتف استرداد حساب Google. بالنسبة للـ passkey المرتبطة بالجهاز (كمفتاح FIDO2 المادي)، يُنصح بتسجيل مفتاحين على الأقل وتخزين أحدهما خارج الموقع. معظم الخدمات تحتفظ أيضاً برمز استرداد احتياطي أو تدفق عبر البريد الإلكتروني، وإن كانت هذه تُعيد ثغرة الـ phishing إلى الواجهة.

لماذا يستمر SMS OTP

على الرغم من مزايا الـ passkey، يظل SMS OTP منتشراً على نطاق واسع لأنه لا يتطلب أي إعداد من جانب العميل، ويعمل على أي هاتف، وهو مألوف لمليارات المستخدمين. هجمات SIM-swapping حقيقية لكنها نادرة قياساً بهجمات حشو بيانات الاعتماد. تواجه القطاعات المنظَّمة (البنوك، الرعاية الصحية) أيضاً متطلبات امتثال مصاغة حول OTP. توقّع أن يتلاشى SMS OTP تدريجياً على مدى السنوات الخمس القادمة مع نضج تجربة استخدام الـ passkey، لا أن يختفي بين ليلة وضحاها.

نظرة عامة على WebAuthn API للمطورين

يتطلب إضافة دعم الـ passkey تدفقَين: التسجيل والمصادقة.

التسجيل:

const credential = await navigator.credentials.create({
  publicKey: {
    challenge: serverChallenge,
    rp: { name: "My App", id: "myapp.com" },
    user: { id: userId, name: userEmail, displayName: userName },
    pubKeyCredParams: [{ type: "public-key", alg: -7 }],
    authenticatorSelection: { residentKey: "required" }
  }
});

المصادقة:

const assertion = await navigator.credentials.get({
  publicKey: { challenge: serverChallenge, rpId: "myapp.com" }
});

على جانب الخادم، تتولى مكتبات مثل SimpleWebAuthn (Node.js) وpy_webauthn (Python) وwebauthn4j (Java) التحقق التشفيري. الـ passkey التي تستخدم residentKey: required تُخزَّن على جهاز المصادقة وتُتيح تسجيل دخول كامل بلا كلمة مرور ولا اسم مستخدم.

خلاصة قابلة للتنفيذ

  • المستخدمون: فعّل الـ passkey على Google وApple ID وGitHub الآن. استخدم 1Password أو Dashlane إن أردت مرونة عبر المنصات.
  • المطورون: أضف تسجيل WebAuthn بجانب طريقة تسجيل الدخول الحالية. واجهة برمجة التطبيقات (API) في المتصفح مستقرة؛ استخدم مكتبة خادم. ادعم بيانات الاعتماد المُزامَنة والمرتبطة بالجهاز على حدٍّ سواء.
  • المؤسسات: اشترط المصادقة متعددة العوامل المقاوِمة للـ phishing (passkey أو مفتاح مادي) للوصول المميّز. كل من Okta وEntra يدعمان ذلك الآن.
  • الجميع: احتفظ بوسيلة استرداد احتياطية. الـ passkey ليست مبرراً لتجاهل إعداد استرداد الحساب.

عصر كلمة المرور لم ينتهِ — 300 منصة من ملايين تعني أن معظم خانات تسجيل الدخول ما زالت تتوقع سلسلة من الأحرف. لكن البنية التحتية موجودة، وتجربة الاستخدام تتحسن، والحجة الأمنية ساحقة. لم يعد السؤال هل ستحلّ الـ passkey محل كلمات المرور، بل بأي سرعة.

passkeysauthenticationsecurityFIDO2WebAuthnpasswords
مشاركة:
مفاتيح المرور تحلّ محل كلمات المرور — إليك الوضع الفعلي | AIO APEX