عبارات المرور تجاوزت نقطة التحول — كلمات المرور تخسر
لسنوات، كان مستقبل بلا كلمات مرور مجرد شريحة عرض (PowerPoint slide) — واعدة، دائمة "قادمة قريبًا"، ولا تصل أبدًا. لقد تغير ذلك. بحلول منتصف عام 2026، انتقلت مفاتيح المرور من كونها ميزة تجريبية إلى المصادقة الافتراضية لمئات الملايين من الحسابات. جوجل، آبل، مايكروسوفت، أمازون، جيت هاب، شوبيفاي، باي بال، وواتساب إما جعلوا مفاتيح المرور هي الخيار الافتراضي أو جعلوها بيانات الاعتماد الأساسية الموصى بها. لم يعد التحول نظريًا بعد الآن. إنه يحدث، والبيانات الأمنية الداعمة له مذهلة.
ما هي مفاتيح المرور فعليًا
مفاتيح المرور هي تطبيق لمعيار FIDO2/WebAuthn، وهي مواصفة تم تطويرها بالاشتراك بين تحالف FIDO واتحاد W3C. في جوهرها، تستخدم مفاتيح المرور التشفير غير المتماثل بالمفتاح العام (asymmetric public-key cryptography): عند تسجيل مفتاح مرور مع خدمة ما، يقوم جهازك بتوليد زوج مفاتيح. لا يغادر المفتاح الخاص جهازك أبدًا (أو سلسلة المفاتيح المتزامنة الخاصة بك). تقوم الخدمة بتخزين المفتاح العام فقط. عندما تقوم بالمصادقة، ترسل الخدمة تحديًا تشفيريًا؛ يقوم جهازك بتوقيعه باستخدام المفتاح الخاص؛ يتحقق الخادم من التوقيع باستخدام المفتاح العام المخزن.
لا يتم نقل أي كلمة مرور. لا يوجد سر مشترك موجود على الخادم ليتم سرقته. أي اختراق لقاعدة بيانات يؤدي إلى تسريب جميع بيانات الاعتماد المخزنة سيسرب فقط مفاتيح عامة — وهي عديمة القيمة للمهاجم دون المفاتيح الخاصة المقابلة التي تبقى على أجهزة المستخدمين.
مفاتيح المرور المقيدة بالجهاز مقابل المتزامنة
يوجد نموذجان مختلفان جوهريًا للنشر، والفرق مهم لكل من الأمان وسهولة الاستخدام:
- مفاتيح المرور المقيدة بالجهاز (وتسمى أيضًا المقيدة بالأجهزة أو بيانات الاعتماد غير القابلة للاكتشاف) يتم تخزينها في وحدة أمان أجهزة — شريحة TPM على ويندوز، و enclave الأمان (Secure Enclave) على أجهزة آبل، أو مفتاح أجهزة FIDO2 مثل YubiKey. المفتاح الخاص غير قابل للتصدير فعليًا. إذا فُقد الجهاز، يُفقد مفتاح المرور. هذا هو النموذج الأكثر أمانًا وهو مناسب للمؤسسات والحسابات عالية القيمة والأفراد المهتمين بالأمن والمستعدين لإدارة مفاتيح احتياطية.
- مفاتيح المرور المتزامنة يتم تخزينها في سلسلة مفاتيح مدعومة من السحابة — iCloud Keychain من آبل، مدير كلمات مرور جوجل، أو مدير طرف ثالث مثل 1Password أو Bitwarden. يتم تشفير مادة المفتاح الخاص ومزامنتها عبر أجهزتك، ويمكنها النجاة من فقدان الجهاز. هذا يضحي بضمان ضيق لإثباتات الأجهزة مقابل تحسين كبير جدًا في سهولة الاستخدام والاسترداد. بالنسبة للغالبية العظمى من حالات استخدام المستهلكين، تمثل مفاتيح المرور المتزامنة تحسنًا أمنيًا هائلاً مقارنة بكلمات المرور دون أي عيب حقيقي يُذكر في العالم الواقعي.
قام تحالف FIDO في تحديث مواصفاته لعام 2023 بإضفاء الطابع الرسمي على معايير مفاتيح المرور المتزامنة بعد أن أدرك أن مفاتيح المرور المقيدة بالأجهزة فقط خلقت عائقًا أمام التبني مما أبقى المستخدمين على كلمات المرور — وهو أسوأ نتيجة للأمن العام.
تدفق المصادقة، خطوة بخطوة
يساعد فهم ما يحدث تحت الغطاء أثناء مصادقة WebAuthn في توضيح سبب فشل هجمات التصيد الاحتيالي ضد مفاتيح المرور:
- التسجيل: يقوم المتصفح باستدعاء
navigator.credentials.create()مع تحدي من الخادم. يقوم المصادق (الجهاز، النظام الأساسي، أو مفتاح الأجهزة) بتوليد زوج مفاتيح مقيد بمعرف الطرف المعتمد (rpId) (النطاق). يتم إرسال المفتاح العام ومعرف بيانات الاعتماد إلى الخادم وتخزينهما. - المصادقة: يصدر الخادم تحديًا عشوائيًا جديدًا. يستدعي المتصفح
navigator.credentials.get(). يتحقق المصادق من أن الأصل (origin) ومعرف الطرف المعتمد متطابقان تمامًا — مفتاح مرور مسجل لـgoogle.comسيرفض توقيع تحدي منg00gle.com. بعد التحقق البيومتري أو عبر رقم التعريف الشخصي (PIN)، يقوم المفتاح الخاص بتوقيع التحدي. يتحقق الخادم من التوقيع. - حاجز التصيد الاحتيالي: نظرًا لأن مفتاح المرور مرتبط بالأصل الدقيق في وقت التسجيل، لا يمكن لموقع تصيد اعتراض بيانات الاعتماد أو إعادة تشغيلها. حتى إذا تم خداع المستخدم لزيارة موقع يشبه الموقع الأصلي، يرفض المصادق إنتاج توقيع صالح لأصل مختلف. هذه هي الآلية وراء معدل التصيد الاحتيالي شبه الصفري لحسابات مفاتيح المرور.
أرقام التبني: ما تظهره البيانات
أفادت جوجل في مؤتمر Google I/O 2024 أن أكثر من 800 مليون حساب جوجل مفعلة لمفاتيح المرور، ارتفاعًا من 400 مليون في نهاية عام 2023. بحلول أوائل عام 2025، بدأت جوجل في مطالبة المستخدمين بإنشاء مفاتيح مرور أثناء تدفقات تسجيل الدخول وبدأت في جعل تسجيل الحسابات الجديدة يعتمد على مفتاح المرور أولاً. أظهرت بيانات جوجل الداخلية المذكورة في مدونتها الأمنية أن عمليات تسجيل الدخول باستخدام مفتاح المرور كانت تكتمل بمعدل أسرع 4 مرات من تدفقات المصادقة الثنائية (2FA) التي تستخدم كلمة مرور + رسالة نصية (SMS).
الأهم من ذلك: أظهرت مقاييس التصيد الاحتيالي الداخلية لجوجل للحسابات التي هاجرت إلى مصادقة مفتاح المرور فقط أن معدلات اختراق التصيد الاحتيالي كانت تقترب من الصفر — مقارنة بخط أساس لحسابات كلمات المرور حيث حتى مع المصادقة الثنائية، استمرت هجمات التصيد الاحتيالي مثل تبديل بطاقة SIM و (AiTM) بالنجاح.
أطلقت آبل دعم مفتاح المرور في iOS 16 وmacOS Ventura (2022) وبحلول عام 2025 جعلت مفاتيح المرور هي الطريقة الافتراضية المقترحة في مدير بيانات الاعتماد في Safari. فعّلت مايكروسوفت مفاتيح المرور لحسابات مايكروسوفت الاستهلاكية في عام 2023 ووسعتها إلى Entra ID (Azure AD) للمؤسسات في عام 2024. جعلت جيت هاب مفاتيح المرور متاحة بشكل عام في عام 2023 وشهدت اعتمادًا قويًا بشكل خاص بين حسابات المطورين — وهي شريحة عالية القيمة حيث مقاومة التصيد الاحتيالي أمر بالغ الأهمية.
دعم النظام الأساسي والنظام البيئي
آبل: مفاتيح مرور iCloud Keychain
يقوم تطبيق آبل بمزامنة مفاتيح المرور بتشفير من طرف إلى طرف من خلال iCloud Keychain. تعمل مفاتيح المرور عبر iPhone وiPad وMac و — منذ iOS 17 — يمكن مشاركتها مع أفراد العائلة أو استخدامها على أجهزة غير تابعة لآبل عبر مصادقة القرب عبر رمز QR. يفرض Secure Enclave التحقق البيومتري (Face ID أو Touch ID) قبل أي عملية توقيع. تدعم آبل أيضًا مفاتيح الأمان الأجهزة كمصادقات لمفتاح المرور عبر واجهة برمجة تطبيقات المصادق للنظام الأساسي (platform authenticator API).
جوجل: مفاتيح مرور مدير كلمات مرور جوجل
يقوم مدير كلمات مرور جوجل الآن بمزامنة مفاتيح المرور عبر Android وChrome على أي نظام أساسي، بما في ذلك ويندوز وmacOS. المزامنة مشفرة من طرف إلى طرف باستخدام رقم التعريف الشخصي (PIN) لحساب جوجل الخاص بالمستخدم. إضافة مهمة في عام 2024: بدأت جوجل في دعم تصدير مفاتيح المرور في بعض التدفقات وأضافت دعم مفتاح المرور إلى برنامج الحماية المتقدم (Advanced Protection Program) الخاص بها — والذي كان سابقًا حكرًا على مفاتيح الأمان المادية.
Windows Hello
يوفر Windows Hello مفاتيح مرور مقيدة بالجهاز ومرتبطة بشريحة TPM ويتم فتحها عبر التعرف على الوجه أو بصمة الإصبع أو رقم التعريف الشخصي. يتكامل تطبيق مايكروسوفت بشكل وثيق مع مخزن بيانات اعتماد ويندوز. في بيئات المؤسسات، يوسع Windows Hello for Business هذا ليشمل مصادقة قائمة على الشهادات مع Entra ID، مما يتيح تدفقات بدون كلمة مرور في بيئات الشركات المُدارة.
مديري كلمات المرور من الطرف الثالث
أضاف كل من 1Password وBitwarden تخزين مفتاح المرور في 2023-2024، معاملين مفاتيح المرور كنوع جديد من بيانات الاعتماد إلى جانب كلمات المرور. هذا مهم: إنه يفصل تخزين مفتاح المرور عن بائعي النظام الأساسي، ويمكّن من استخدام مفتاح المرور عبر المنصات دون التقيد بجوجل أو آبل، ويعطي المؤسسات مسارًا لإدارة مفاتيح المرور في البنية التحتية الحالية للخزائن. تم تدقيق تطبيق Bitwarden مفتوح المصدر بشكل مستقل.
المشكلات الصعبة المتبقية
فقدان الجهاز واسترداد الحساب
فقدان الجهاز هو العائق الأكثر تأثيرًا عاطفيًا أمام اعتماد مفتاح المرور. الإجابة الصحيحة — والتي تتطلب تثقيفًا صريحًا للمستخدم — هي تسجيل مفاتيح مرور متعددة على أجهزة أو مصادقات مختلفة قبل أن تحتاجها. سجل مفتاح مرور على هاتفك، وعلى حاسوبك المحمول، وعلى مفتاح أجهزة مخزن في مكان آمن. معظم الخدمات التي تنفذ مفاتيح المرور بشكل جيد تطالب بذلك. لكن الواقع هو أن معظم المستخدمين يسجلون مفتاح مرور واحد ويكتشفون مشكلة الاسترداد فقط عندما يختفي جهازهم.
بالنسبة لمفاتيح المرور المتزامنة، كل من iCloud Keychain ومدير كلمات مرور جوجل لديهما آليات لاسترداد الحساب. إذا فقدت iPhone الخاص بك لكن يمكنك استرداد حساب iCloud الخاص بك (عبر مفتاح استرداد أو جهاز موثوق)، فإنك تستعيد مفاتيح المرور الخاصة بك. هذا ينقل حدود الأمان من امتلاك الجهاز إلى أمان الحساب — والذي يمكن أن يكون تراجعًا إذا كان حساب iCloud أو جوجل الخاص بك يتمتع بأمان ضعيف. الحل هو التعامل مع حسابك السحابي الأساسي كجذر عالي الأمان: مفتاح استرداد قوي، مصادقة ثنائية (2FA) عبر أجهزة، لا شيء أضعف من ذلك.
النشر في المؤسسات: Active Directory وLDAP
تمثل بيئات المؤسسات تعقيدًا حقيقيًا. التطبيقات القديمة التي تصادق مقابل Active Directory أو LDAP لا تتحدث WebAuthn. يتطلب ربط مفاتيح المرور بهذه البيئات إما الاتحاد من خلال موفر هوية (Entra ID، Okta، Ping Identity) يمكنه ترجمة مصادقة WebAuthn إلى رموز SAML أو OIDC، أو انتظار تحديث التطبيقات. معظم المؤسسات الكبيرة في حالة هجينة: مفاتيح مرور للتطبيقات السحابية الأصلية وبوابات الدخول الموحد (SSO)، وكلمات مرور أو بطاقات ذكية لتطبيقات الأعمال القديمة. النشر الكامل لمفتاح المرور في المؤسسات هو برنامج متعدد السنوات، وليس مفتاح تكوين.
قابلية التشغيل البيني بين Android/iOS
استخدام مفتاح المرور عبر المنصات — تسجيل الدخول على جهاز iOS باستخدام مفتاح مرور مخزن على هاتف Android، أو العكس — يعمل عبر نقل هجين CTAP2 (تدفق رمز QR لقرب البلوتوث). من الناحية العملية، يعمل هذا بشكل موثوق عندما يكون كلا الجهازين حديثين، ويكون البلوتوث قيد التشغيل، ويفهم المستخدم ما يفعله. إنه ليس سلسًا للمستخدمين الأقل تقنية ويضيف احتكاكًا في سيناريوهات مثل استعارة جهاز شخص آخر. هذا مجال لا تزال فيه تجربة المستخدم متأخرة عن القدرة التشفيرية الأساسية.
الأجهزة القديمة بدون بيومترية
تتطلب مفاتيح المرور شكلاً من أشكال التحقق من المستخدم — البيومترية (بصمة الإصبع، الوجه) أو رقم التعريف الشخصي للجهاز. يمكن للأجهزة التي لا تحتوي على مستشعرات بيومترية استخدام رقم التعريف الشخصي، لكن رقم التعريف الشخصي القصير على جهاز Android قديم هو تحقق مستخدم أضعف من Face ID. تحل مفاتيح أمان الأجهزة (مفاتيح FIDO2 مع رقم التعريف الشخصي + اللمس) هذه المشكلة للمستخدمين الراغبين في حمل واحد، لكن التبني بين المستخدمين غير التقنيين ضئيل.
منظور المطور: تنفيذ WebAuthn
إذا كنت تبني نظام مصادقة، فإن تنفيذ WebAuthn أصبح الآن مدعومًا بشكل جيد. تشمل المكتبات الناضجة والنشطة والصيانة في عام 2026:
- SimpleWebAuthn (TypeScript/Node.js) — مكتبة JS الأكثر استخدامًا، تتعامل مع كل من التسجيل والمصادقة، توثيق ممتاز، تتعامل مع العملية بشكل صحيح بما في ذلك التحقق من التحدي وأنماط تخزين بيانات الاعتماد.
- py_webauthn (Python) — تطبيق Python المرجعي، يستخدم في مجموعة Duo Security، يدعم كلاً من FIDO2 و U2F الأقدم للتوافق مع الإصدارات السابقة.
- webauthn4j (Java) — مكتبة Java الناضجة المستخدمة من قبل دعم WebAuthn في Spring Security؛ تتعامل مع التحقق من الإثبات (attestation validation)، وتكامل خدمة البيانات الوصفية (metadata service)، وتعمل بشكل جيد في تطبيقات Spring Boot.
- go-webauthn/webauthn (Go) — تنفيذ