مفاتيح المرور تصل إلى الاعتماد السائد — كيف يبدو فعلاً نهاية كلمات المرور
لم تعد مفاتيح المرور ميزة تجريبية مدفونة في إعدادات المطورين. اعتبارًا من عام 2025، أصبح أكثر من 15 مليار حساب مستخدم على منصات Apple وGoogle وMicrosoft مدعومًا بمفاتيح المرور، وطبقت خدمات استهلاكية كبرى — من PayPal إلى GitHub إلى Amazon — المصادقة المستندة إلى WebAuthn. لقد عبرت الصناعة عتبة التبني المبكر إلى بنية تحتية سائدة.
لماذا فشلت كلمات المرور
الحجة ضد كلمات المرور ليست نظرية. وجد تقرير Verizon لتحقيقات خروقات البيانات لعام 2024 أن المعتمدات المسروقة أو الضعيفة كانت متورطة في 77% من خروقات تطبيقات الويب. يفهرس Have I Been Pwned أكثر من 14 مليار حساب مخترق من خروقات معروفة. تساعد مديري كلمات المرور — لكنها تحمي من كلمات المرور الضعيفة، لا من التصيد. صفحة تسجيل دخول مزيفة مقنعة لا تزال تلتقط كل ما يكتبه المستخدم، بغض النظر عن قوة كلمة المرور.
Credential stuffing — أخذ أزواج اسم مستخدم/كلمة مرور مخترقة وتجربتها عبر خدمات أخرى — يعمل بدقة لأن المستخدمين يعيدون استخدام كلمات المرور. التصيد يعمل لأن المستخدمين لا يستطيعون التمييز بشكل موثوق بين صفحات تسجيل الدخول الحقيقية والمزيفة. هذه مشاكل هيكلية في المصادقة ذات السر المشترك، وليست مشاكل يمكن إصلاحها بتعليم أفضل للمستخدم.
كيف تعمل مفاتيح المرور فعلاً
مفتاح المرور هو زوج مفاتيح تشفير يتم إنشاؤه على جهازك. المفتاح الخاص لا يغادر الجهاز أبدًا — يُخزَّن في منطقة محمية آمنة (Secure Enclave) بالجهاز، أو TPM، أو عنصر أمان مادي. المفتاح العام يُسجَّل مع الخدمة ويُخزَّن على خوادمها. هذا هو الانفصال الأساسي عن كلمات المرور: الخادم لا يحتفظ أبدًا بسر.
التسجيل
عند إنشاء مفتاح مرور لموقع ما، يولد جهازك زوج مفاتيح فريدًا لذلك الموقع. يُرسل المفتاح العام إلى الخادم ويُربط بحسابك. يُحمى المفتاح الخاص بواسطة طريقة مصادقة جهازك — القياسات الحيوية (Face ID، Touch ID، Windows Hello)، أو رقم التعريف الشخصي (PIN)، أو النمط — ويُخزَّن في تخزين آمن مدعوم بالأجهزة.
المصادقة
عند تسجيل الدخول، يرسل الخادم تحديًا تشفيريًا — nonce عشوائي. يوقع المصادق الخاص بك (Secure Enclave أو TPM الجهاز) على ذلك التحدي بالمفتاح الخاص، بعد التحقق من وجودك عبر القياسات الحيوية أو PIN. يتحقق الخادم من التوقيع مقابل المفتاح العام المخزَّن. لا تنتقل كلمة مرور عبر الشبكة. لا يمكن التصيد لسر مشترك. حتى إذا اعترض مهاجم التحدي الموقَّع، لا يمكن إعادة استخدامه — nonce لمرة واحدة ومقيد بنطاق المصدر المحدد ذلك، مما يحبط هجمات إعادة التشغيل والتصيد بانتحال النطاق.
الربط بـ نطاق المصدر الدقيق هو ما يجعل مفاتيح المرور مقاومة للتصيد بطبيعتها. صفحة مزيفة paypa1.com لا يمكنها تلقي مصادقة مفتاح مرور صالحة لـ paypal.com. يفرض المتصفح ذلك على مستوى البروتوكول عبر مواصفة WebAuthn، التي صيغت رسميًا باسم FIDO2 من قبل تحالف FIDO (FIDO Alliance).
أين نُشرت مفاتيح المرور اليوم
الدعم على مستوى المنصة أصبح الآن شاملاً:
- Apple: iCloud Keychain يزامن مفاتيح المرور عبر iPhone وiPad وMac عبر مزامنة iCloud المشفرة من طرف إلى طرف. مدعوم في iOS 16+ وmacOS Ventura+.
- Google: Google Password Manager يزامن مفاتيح المرور عبر أجهزة Android وChrome على Windows/macOS. حسابات Google نفسها تدعم تسجيل الدخول بمفتاح المرور — أكثر من 800 مليون حساب Google استخدمت مفاتيح المرور اعتبارًا من 2024.
- Microsoft: Windows Hello (PIN مدعوم بـ TPM، بصمة الإصبع، أو التعرف على الوجه) يتعامل مع مفاتيح المرور على Windows 11. حسابات Microsoft تدعم مصادقة مفتاح المرور.
- المديرون الخارجيون: 1Password وDashlane وBitwarden جميعهم يدعمون تخزين مفاتيح المرور، مما يتيح قابلية نقل مفتاح المرور عبر المنصات خارج الأنظمة البيئية الأصلية.
على جانب الخدمة، تشمل النشرات الرئيسية:
- Google — تسجيل دخول بمفتاح المرور لجميع حسابات Google Workspace والاستهلاكية
- Apple — دعم مفتاح المرور لـ Apple ID عبر جميع خدمات Apple
- GitHub — مفاتيح المرور كطريقة مصادقة أساسية منذ 2023
- PayPal — طرح مفتاح المرور للمستخدمين في الولايات المتحدة، مع توسع دولي
- Amazon — دعم مفتاح المرور عبر الحسابات الاستهلاكية
- Best Buy, Target, CVS, Shopify — تسارع اعتماد مفتاح المرور في التجزئة الاستهلاكية
- DocuSign, Kayak, Robinhood, Zoho — جهات تبنٍ في SaaS والتكنولوجيا المالية مع نشرات حية
أفاد تحالف FIDO أن أكثر من 12 مليار حساب عبر الإنترنت أصبحت جاهزة لمفتاح المرور حتى أواخر 2024، مع تزايد العدد مع استكمال المزيد من الخدمات للطرح.
نقاط الاحتكاك المتبقية
التبني حقيقي، لكن الانتقال ليس خاليًا من الاحتكاك.
المزامنة عبر المنصات
أكبر قيد عملي هو الإغلاق داخل النظام البيئي. مفتاح المرور الذي تم إنشاؤه في Apple Keychain لا يظهر تلقائيًا في Google Password Manager. المستخدم الذي ينتقل من iPhone إلى Android يواجه إعادة تسجيل مفاتيح المرور في كل خدمة. مواصفة المصادقة عبر الأجهزة (CDA) من تحالف FIDO والعمل الجاري على استيراد/تصدير مفاتيح المرور — الذي تمت الموافقة عليه من حيث المبدأ في 2024 — يجب أن يعالج هذا، لكن التطبيقات لا تزال تُطرح حتى منتصف 2025.
نشر MDM للمؤسسات
في بيئات المؤسسات، تخلق مفاتيح المرور المرتبطة بالأجهزة الشخصية تحديات سياسية. إذا كان iPhone الشخصي للموظف يحمل مفتاح مرور لخدمة مؤسسية، ماذا يحدث عندما يغادر الشركة؟ يتطلب نشر مفتاح المرور على مستوى المؤسسة تكامل MDM، ومفاتيح أمان مادية (YubiKey، Google Titan) لمحطات العمل المشتركة، ودعم موفر الهوية (IdP) — Okta وMicrosoft Entra ID وPing Identity تقدم الآن دعم مفتاح المرور، لكن عمليات النشر المؤسسية معقدة. استبدال تدفقات كلمة مرور LDAP/Active Directory بالكامل يستغرق تخطيطًا لعدة سنوات.
استرداد الحساب
مفاتيح المرور تحول مشكلة الاسترداد بدلاً من القضاء عليها. إذا فقد المستخدم جميع الأجهزة المسجلة وليس لديه مفتاح مرور احتياطي مسجل، يعود استرداد الحساب إلى التحقق عبر البريد الإلكتروني، أو تذاكر الدعم، أو رموز النسخ الاحتياطي — وكلها حلقات أضعف. تنفذ الخدمات تسجيل مفاتيح مرور متعددة (التسجيل على كل من الهاتف والكمبيوتر المحمول) وخيارات النسخ الاحتياطي عبر المنصات، لكن تثقيف المستخدم حول تسجيل عدة أدوات مصادقة متأخر عن النشر.
هجرة الأنظمة القديمة
المؤسسات التي تعمل على أنظمة محلية — شبكات VPN قديمة، أنظمة ERP، مصادقة الحواسيب المركزية — تواجه جداول زمنية للهجرة تمتد لسنوات. المصادقة القائمة على كلمة المرور متجذرة بعمق في تكوينات SSO والأدوات الداخلية. بواقعية، ستكون البيئات المختلطة (مفاتيح المرور للخدمات الجديدة، كلمة المرور + MFA للأنظمة القديمة) هي القاعدة حتى 2027-2028.
ماذا تفعل الآن
للأفراد
- فعّل مفاتيح المرور في كل خدمة تدعمها — ابدأ بحساب Google وApple ID وGitHub. هذه هي أهدافك الأعلى قيمة للمهاجمين.
- سجّل مفتاح مرور على جهازين على الأقل لكل خدمة حرجة (هاتف + كمبيوتر محمول) لتجنب سيناريوهات الإغلاق.
- إذا كان مدير كلمات المرور لديك يدعم مفاتيح المرور (1Password، Bitwarden)، قم بتخزينها هناك من أجل قابلية النقل عبر المنصات.
- للخدمات التي لا تدعم مفاتيح المرور بعد، استخدم المصادقة الثنائية (2FA) مع تطبيق مصادق — وليس SMS.
لفرق المؤسسات وأمن تكنولوجيا المعلومات
- دقّق دعم موفر الهوية (IdP) الخاص بك لمفاتيح المرور الآن. Okta وMicrosoft Entra وDuo وPing جميعها لديها قدرات مفاتيح المرور — تحقق من أن تكوينك الحالي يعرضها للمستخدمين.
- جرب مفاتيح المرور للمصادقة متعددة العوامل المقاومة للتصيد في 2025. ابدأ بالأدوار عالية المخاطر: مسؤولي تكنولوجيا المعلومات، المالية، المديرين التنفيذيين. هذه الحسابات هي الأهداف الأولى في حملات التصيد.
- ضع سياسة مفتاح أمان مادي للأجهزة المشتركة أو غير المُدارة. سلسلة YubiKey 5 ومفاتيح Google Titan تدعم FIDO2 وتوفر وظيفة مفتاح المرور دون الحاجة إلى جهاز شخصي.
- ابنِ خارطة طريق هجرة الأنظمة القديمة لعامي 2026-2027. جرد أي الأنظمة الداخلية تدعم SAML/OIDC — يمكن تحديثها لدعم مفاتيح المرور عبر IdP — وأيها تتطلب ترقيات على مستوى البروتوكول أو استبدال.
- حدّث دليل الاستجابة للحوادث الخاص بك. مفاتيح المرور تقضي على نواقل هجمات Password-Spray والتصيد، لكن اختراق الجهاز يصبح سطح الهجوم الجديد. تأكد من أن MDM يمكنه إبطال الأجهزة القابلة لمفتاح المرور عن بُعد.
كلمة المرور لم تمت بعد — سوف تتعايش مع مفاتيح المرور في عمليات النشر المختلطة لسنوات. لكن البنية التحتية للمصادقة الكامنة وراء خدمات الإنترنت الاستهلاكية قد تحولت حقًا. السؤال لفرق الأمن لم يعد ما إذا كان ينبغي اعتماد مفاتيح المرور، بل مدى السرعة التي يمكن أن تتحرك بها الهجرة دون كسر الأنظمة القديمة أو حصر المستخدمين. الأدوات جاهزة. الجدول الزمني هو الآن.