ما هو مفتاح المرور؟
- مصطلحات إدارة الهوية والوصول
- ما هو مفتاح المرور؟
مفتاح المرور هو تقنية مصادقة حديثة من دون كلمات مرور تمكن المستخدمين من تسجيل الدخول إلى الحسابات والتطبيقات باستخدام مفتاح تشفير عوضاً عن كلمة المرور. ويستفيد مفتاح الوصول من المقاييس الحيوية (بصمة الإصبع، التعرف على الوجه، وما إلى ذلك) لتأكيد هوية المستخدم.
ما هو الفرق بين مفتاح المرور وكلمة المرور؟
على الرغم من وجود تشابه بالأسماء إلا أن مفاتيح المرور تختلف تماماً عن كلمات المرور.
ما هي كلمة المرور؟
كلمة المرور هي سلسلة من الأحرف التي يجب أن يقدمها المستخدم عند تسجيل الدخول في موقع ويب أو تطبيق، وعادة ما يكون ذلك بالاقتران مع اسم المستخدم. لمنع عمليات اختراق البيانات والاستيلاء على الحسابات يوصي المعهد الوطني للمعايير والتقنية (NIST) بأن تتضمن كلمات المرور ما يلي:
- حد أدنى 8 أحرف
- القدرة على استخدام أحرف مميزة ولكن من دون متطلبات خاصة لاستخدامها
- حظر الأحرف المتتالية والمتكررة (على سبيل المثال 12345 أو aaaaaa)
- حظر كلمات المرور الخاصة بسياق محدد (على سبيل المثال اسم الموقع)
- حظر كلمات المرور المستخدمة بشكل شائع (على سبيل المثال qwerty، password123) وكلمات القاموس
ما هو مفتاح المرور؟
مفتاح المرور هو تقنية مصادقة حديثة تستخدم مفتاح تشفير عام لتمكين المستخدمين من تسجيل الدخول إلى مواقع الويب والتطبيقات من دون الحاجة إلى إدخال كلمة مرور. عوضاً عن ذلك يقوم المستخدمون بالمصادقة بنفس طريقة فك قفل هواتفهم وأجهزتهم اللوحية: باستخدام بصمة الإصبع، أو الوجه، أو أي مقاييس حيوية أخرى؛ عبر استخدام نمط السحب، أو عبر إدخال رمز PIN. ولأغراض الراحة سيختار معظم الأشخاص المصادقة بالمقاييس الحيوية.
عوضاً عن إنشاء كلمات مرور لتسجيل الدخول لحساب ما، يقوم المستخدمون بتوليد مفتاح مرور، وهو في حقيقة الأمر زوج يتكون من مفتاح خاص ومفتاح عام، باستخدام " مصدق". ويمكن أن يكون "المصدق" هذا جهازاً مثل هاتف ذكي أو جهاز لوحي أو متصفح ويب، أو مدير كلمات مرور يدعم تقنية مفتاح المرور.
قبل توليد مفتاح مرور سيطلب المصدق أن يعرف المستخدم عن نفسه باستخدام رمز PIN، أو نمط السحب، أو المقاييس الحيوية. ثم يقوم المصدق بإرسال مفتاح عام (يعادل اسم المستخدم تقريباً) لخادم الويب الخاص بالحساب للتخزين، ويقوم المصدق بتخزين المفتاح الخاص محلياً بشكل آمن. وإذا كان المصدق عبارة عن هاتف ذكي أو جهاز آخر، فسيتم تخزين المفتاح الخاص في سلسلة مفاتيح الجهاز. وإذا كان المصدق مديراً لكلمات المرور، فسيتم تخزين المفتاح الخاص في الخزينة المشفرة لمدير كلمات المرور.
كيف يعمل مفتاح المرور؟
لإنشاء مفتاح مرور جديد، يسجل المستخدم الدخول إلى حسابه بشكل طبيعي ثم يمكن خيار مفتاح المرور من شاشة إعدادات الأمن لموقع الويب أو التطبيق. وعندها يطالب موقع الويب أو التطبيق المستخدم بحفظ مفتاح مرور مرتبط بجهازه. وعندئذ سيطالب موقع الويب أو نظام التشغيل مصادقة بالمقاييس الحيوية للموافقة على الطلب، ويتم تخزين مفتاح المرور محلياً.
ثم ستطالب عمليات تسجيل الدخول اللاحقة المستخدم بأن يقوم باستخدام مفتاح المرور من أجهزته لتسجيل الدخول عوضاً عن كلمة المرور. إذا كان متصفح الويب يدعم مزامنة مفاتيح المرور بين الأجهزة فسيكون مفتاح المرور متاحاً عبر هذه الأجهزة.
إذا كان المستخدم يقوم باستخدام جهاز لا يتضمن مفتاح مرور لموقع الويب أو التطبيق، فقد يتاح له فرصة لاستخدام جهاز آخر. وإذا كان المتصفح يدعم المصادقة عبر الأجهزة، فقد يُطالب المتصفح المستخدم بأن يستخدم رمز QR الذي يمكن مسحه باستخدام جهاز محمول لإكمال عملية تسجيل الدخول. كما تتضمن المصادقة متعددة الأجهزة استخدام خاصية Bluetooth للتأكد من القرب.
هذا ما يراه المستخدم النهائي. لنلق نظرة على ما يتم في الكواليس، على مستوى الخادم. عندما يحاول المستخدم النهائي تسجيل الدخول إلى حسابه باستخدام مفتاح مرور، يُرسل خادم الحساب "تحدياً" إلى المصدق، يتكون من سلسلة بيانات. ويستخدم المصدق المفتاح الخاص لحل هذا التحدي ويُرسل الرد، وهي عملية تعرف باسم "تسجيل" البيانات والتحقق من هوية المستخدم.
لاحظ أنه خلال أي وقت خلال هذه العملية يحتاج خادم الحساب إلى الوصول إلى مفتاح المستخدم الخاص، وهو ما يعني أيضاً أنه لن يتم نقل أي بيانات حساسة. ويمكن القيام بذلك بسبب المفتاح العام، الذي يخزنه الخادم، والمرتبط حسابياً بالمفتاح الخاص. حيث يحتاج الخادم إلى المفتاح العام فقط والبيانات المسجلة ليتحقق من أن المفتاح الخاص يعود إلى المستخدم.
هل مفاتيح المرور أكثر أمناً؟
مفاتيح المرور أكثر أمناً من كلمات المرور لأسباب عديدة:
- لكي تعمل كلمات المرور، يجب أن تقوم خوادم الحساب بتخزينها أو على أقل تقدير تجزئتها، لتتمكن من مقارنتها مع البيانات المخزنة مع كلمة المرور التي يقوم المستخدم بإدخالها. وكما سبق الذكر في القسم السابق لا تحتاج تقنية مفاتيح المرور أن تقوم خوادم الحساب بتخزين مفاتيح المستخدم الشخصية، وتحتاج فقط إلى مفاتيحهم العامة. وإذا تم اختراق خادم الحساب، فستصل جهات التهديد إلى المفاتيح العامة فقط وهي عديمة الفائدة من دون المفاتيح الخاصة المصاحبة لها.
- يوجد لدى معظم الأشخاص عادات كلمات مرور سيئة. حيث يستخدمون كلمات مرور قصيرة للغاية أو تتضمن كلمات من القاموس أو معلومات من سيرتهم الذاتية يسهل تخمينها. ويقومون بإعادة استخدام كلمات مرورهم عبر عدة مواقع. وعوضاً عن استخدام مدير لكلمات المرور يقومون بتخزين كلمات مرورهم في ملاحظات لاصقة أو في ملفات نصية غير مشفرة. وعلى الجانب الآخر يتم توليد مفاتيح المرور من قبل مصدق المستخدم، لذا فهي دائماً معقدة للغاية وفريدة لكل مستخدم وكل حساب في كل مرة.
- كما لا يقوم العديد من الأشخاص بتأمين حساباتهم باستخدام مصادقة ثنائية (2FA). وتستند مفاتيح المرور إلى المصادقة الثنائية وفقاً لتصميمها، ولاستخدام مفتاح مرور يجب أن يكون المستخدم النهائي بالقرب من المصدق الخاص به حيث يستوفي معيار لشيء بك (المقياس الحيوي) وشيء لديك (المصدق).
- على خلاف كلمات المرور، لا يمكن اختراق مفاتيح المرور في مخططات التصيد الاحتيالي، حيث إنه من المستحيل خداع مستخدم لإدخال مفتاح مرور على موقع زائف يشبه الموقع الأصلي.
هل ستقوم مفاتيح المرور باستبدال كلمات المرور ومديري كلمات المرور؟
وبينما قد تحل مفاتيح المرور محل كلمات المرور، فهي لن تحل محل مديري كلمات المرور. عوضاً عن ذلك، سيصبح مديرو كلمات المرور أكثر أهمية. وهذا لأن مفاتيح كلمات المرور مربوطة بمصدق. ويكون لدى المستخدمين خيار استخدام جهاز، عادة ما يكون هاتفاً ذكياً ولكن يمكن استخدام جهاز لوحي أو جهاز كمبيوتر محمول أو جهاز كمبيوتر مكتبي، أو مدير كلمات مرور يدعم مفاتيح المرور.
في البداية، قد يبدو استخدام الهاتف الذكي كمصدق خياراً منطقياً، حيث إن معظم الأشخاص يحملون هواتفهم معهم طوال الوقت. ولكن، حيث إن معظم الأشخاص يستخدمون أجهزة متعددة فسرعان ما يصبح هذا الأمر غير مريح. فإذا أراد المستخدم الوصول إلى حساب أو تطبيق على جهاز مختلف، مثل جهاز الكمبيوتر المحمول أو الجهاز اللوحي الخاص به، فيتوجب عليه توليد رمز QR على هذا الجهاز، ثم يمسحه بواسطة المصدق الخاص به، ثم في النهاية استخدام مقياسه الحيوي لتسجيل الدخول.
يقوم مدير كلمات مرور مثل Keeper، والذي سيطرح دعم مفاتيح المرور في بداية عام 2023، بتبسيط هذه العملية بصورة كبيرة عبر ربط مفتاح الوصول بتطبيق عوضاً عن الجهاز المادي.
ما هي الشركات التي تدعم مفاتيح المرور؟
حتى وقت كتابة هذا التقرير، لا يزال عدد مواقع الويب والتطبيقات الداعمة لهذه التقنية صغيراً. ومن بين الأسماء الكبيرة الداعمة لمفاتيح المرور في الوقت الحالي Apple، وMicrosoft، وBest Buy، وGoDaddy، وPayPal، وKayak، وeBay.
وعلى الرغم من ذلك، بسبب وملاءمتها وأمنها، تزداد شهرة مفاتيح المرور بشكل سريع. حيث طرحت Google مفاتيح مرور لدعم Chrome stable M108لأنظمة تشغيل Windows، وAndroid، وmacOS في شهر ديسمبر 2022، وجار العمل على تقديم دعم لأنظمة تشغيل iOS، وChrome OS، فضلاً عن مجموعة واجهة برمجة تطبيقات جديدة والتي ستدعم مفاتيح المرور للتطبيقات التي تعمل بنظام تشغيل Android.