Passkeys فازت بالحجة التقنية. نشرها على نطاق واسع هو الجزء الصعب.

كلمات المرور كارثة أمنية معروفة. إعادة استخدامها منتشرة — وجدت دراسة في 2024 أن 65% من الأشخاص يعيدون استخدام كلمات المرور عبر حسابات متعددة. يسرق التصيد الاحتيالي بيانات الاعتماد على نطاق صناعي، حيث أبلغ FBI عن 4.57 مليار دولار خسائر بسبب الاحتيال المرتبط بالتصيد في 2023 وحده. هجمات Credential Stuffing، حيث تُجرب كلمات المرور المسربة من خرق واحد ضد مئات الخدمات الأخرى، تولد ملايين عمليات الاستيلاء على الحسابات يومياً. المشكلة ليست أن المستخدمين غير مسؤولين — بل أن مطالبة البشر بحفظ وإدارة عشرات بيانات الاعتماد الفريدة والقوية أمر غير معقول أساساً.

Passkeys هي إجابة تحالف FIDO. مبنية على معيار WebAuthn (رسمياً W3C Web Authentication)، تستخدم تشفير المفتاح العام لمصادقة المستخدمين دون إرسال أي سر عبر الشبكة. يولد جهازك زوج مفاتيح عند إنشاء Passkey: المفتاح الخاص يبقى على جهازك، مؤمناً بواسطة بياناتك البيومترية (Face ID، مستشعر بصمة الإصبع) أو PIN. المفتاح العام يذهب إلى الموقع. عند تسجيل الدخول، يرسل الموقع تحدياً؛ يوقعه جهازك بالمفتاح الخاص دون أن يغادر المفتاح الخاص الجهاز أبداً. لا شيء لموقع تصيد لسرقته، ولا شيء لخرق بيانات لفضحه، ولا شيء لمهاجم Credential Stuffing لإعادة تشغيله.

القضية التقنية مغلقة

أسس التشفير لـ WebAuthn قوية. نُشر المعيار من قبل W3C في 2019 وخضع لتحليل أمني واسع. أصبحت Passkeys المنشأة على أجهزة أبل وأندرويد أو ويندوز الآن عبر المنصات عبر المزامنة — Apple Keychain تزامن Passkeys عبر أجهزة أبل عبر iCloud؛ Google Password Manager تزامن Passkeys عبر أندرويد وكروم؛ أضافت 1Password وBitwarden تخزين Passkeys، مما يتيح الاستخدام عبر المنصات عبر مديري كلمات المرور من الطرف الثالث.

مقاومة التصيد هي الفائدة العملية الأكثر أهمية. يمكن التقاط كلمة مرور عادية بواسطة صفحة تسجيل دخول مزيفة مقنعة. لا يمكن لـ Passkey ذلك — استجابة التحدي المشفرة مقيدة بالنطاق. Passkey لـ google.com لا يمكنه حرفياً المصادقة على g00gle.com؛ الأصل مضمن في البروتوكول. هجمات Replay — حيث يُستخدم رمز مصادقة معترض مرة أخرى — تمنع أيضاً. التحدي الموقع خلال كل مصادقة فريد ومحدد زمنياً؛ التوقيع الملتقط عديم الفائدة.

ذكرت جوجل في مايو 2024 أن مستخدمي Passkeys يكملون المصادقة أسرع مرتين من كلمات المرور، مع تحسن بنسبة 25% في معدلات نجاح تسجيل الدخول. بالنسبة للمواقع، هذا مقياس إيرادات مباشر: حالات تسجيل الدخول الفاشلة هي جلسات مهجورة.

حيث يصبح النشر معقداً

إذا كانت Passkeys تعمل بشكل جيد، لماذا لا تزال معظم المواقع تستخدم كلمات المرور افتراضياً؟ عدة عقبات حقيقية تبطئ التبني.

استرداد الحساب. كلمات المرور لها مسار استرداد معروف: رابط إعادة تعيين البريد الإلكتروني. ليس لدى Passkeys ما يعادله. إذا فقد المستخدم جميع أجهزته دون ترحيل Passkey الخاص به، فسيتم حظره. يجب على المواقع الحفاظ على آلية احتياطية — عادة رمز لمرة واحدة يُرسل إلى البريد الإلكتروني أو SMS — والتي تصبح الحلقة الأضعف الجديدة. يمكن للمهاجم المصمم التصيد أو تبديل SIM للآلية الاحتياطية، مما يلغي جزئياً مقاومة التصيد الخاصة بـ Passkey.

الحسابات المشتركة. العائلات التي تشارك اشتراكات البث، الشركات التي لديها بيانات اعتماد تسجيل دخول مشتركة — هذه لا تتوافق بشكل نظيف مع نموذج Passkey، الذي يفترض جهاز مصادقة واحد لكل بيانات اعتماد. يعمل موفرو الهوية المؤسسية على نماذج التفويض، لكن الحسابات المشتركة الموجهة للمستهلك تظل غير مريحة.

تعقيد النشر المؤسسي. يجب على أقسام تكنولوجيا المعلومات في الشركات التي تدير أسطول ويندوز دمج Passkeys مع Active Directory وموفري الهوية المؤسسية (Azure AD, Okta, Ping Identity). Passkeys المتزامنة — التي تنتقل عبر الأجهزة — محظورة من قبل العديد من سياسات الأمن المؤسسي لأنها تنتهك متطلبات المصادقة المقيدة بالجهاز.

حوافز المطورين. يتطلب تنفيذ WebAuthn بشكل صحيح تغييرات من جانب الخادم في تدفقات المصادقة، وتغييرات من جانب العميل في UX تسجيل الدخول، ومعالجة دقيقة لتدفقات التسجيل والاسترداد. لفريق تطوير صغير يحافظ على حزمة مصادقة قديمة، يمكن أن يكون الاستثمار الهندسي كبيراً.

من يقود وما الذي يعمل

جوجل هي الأكثر جرأة في التبني، حيث مكنت Passkeys كطريقة تسجيل دخول افتراضية لحسابات جوجل في أواخر 2023. iCloud Keychain من أبل يزامن Passkeys منذ iOS 16. أدمجت مايكروسوفت دعم Passkeys في حسابات مايكروسوفت الاستهلاكية في 2023، مع إضافة ويندوز 11 23H2 واجهة إدارة مخصصة لـ Passkeys.

بين الخدمات الاستهلاكية، قامت GitHub, PayPal, eBay, Shopify, TikTok, Best Buy, وHyatt جميعها بشحن دعم Passkeys. موقع Passkey Central التابع لتحالف FIDO يسرد أكثر من 400 خدمة مع دعم Passkeys حتى منتصف 2026. التبني المؤسسي يتحرك عبر مفاتيح الأمان المادية أولاً — مفاتيح YubiKey FIDO2 كانت في عمليات النشر المؤسسي لسنوات وتغطي فائدة مقاومة التصيد دون الحاجة إلى بنية تحتية لمزامنة Passkeys.

فجوة تجربة المستخدم

أكبر عقبة عملية ليست تقنية — بل UX. تقدم العديد من تنفيذات Passkey للمستخدمين تدفق تسجيل معقد يربك المستخدمين حول ما إذا كان Passkey محفوظاً، وما إذا كان سيعمل على جهاز آخر. تصميم تدفق Passkey بديهي وآمن للاسترداد أصعب مما يبدو.

أصدر تحالف FIDO أبحاث UX وإرشادات التصميم خصيصاً لمعالجة هذا، لكن التنفيذ غير متناسق. يُستشهد على نطاق واسع بـ UX Passkey من أبل — موجه Face ID واحد تطلقه لوحة تقول "Use Face ID to sign in" — كمعيار ذهبي. تختلف جودة التنفيذات المستندة إلى الويب المبنية على WebAuthn API الخام بشكل كبير.

يمر طريق التبني الجماعي عبر أن تصبح Passkeys الخيار الافتراضي عند تسجيل الدخول بدلاً من خيار اختياري مخفي في إعدادات الأمان، وتجربة موثوقة عبر الأجهزة تجعل الإعداد الأولي واضحاً ومسار الاسترداد مرئياً. التكنولوجيا جاهزة. توحيد UX ليس جاهزاً. تلك الفجوة هي ما تحتاج سنوات 2-3 القادمة من عمل النشر إلى سدها — وبمجرد أن تفعل ذلك، سينتهي عصر كلمة المرور أسرع مما يتوقع معظم الناس.