مدونة نافذة التقنية مدونة نافذة التقنية – موقع يقدّم شروحات تقنية حديثة حول Windows، Android، الذكاء الاصطناعي، وأدوات المطورين بطريقة سهلة وواضحة للمستخدم العربي.
ما هي مفاتيح المرور passkeys وما الفرق بينها وبين كلمات المرور Passwords دعونا نلقي نظرة.
كانت الطريقة الشائعة لتسجيل الدخول في المواقع والتطبيقات هي اسم مستخدم أو بريد إلكتروني يحدد هويتك, وكلمة مرور تقوم بكتابتها مسبقًا ويتم تخزينها لدى خادم الموقع الذي تتعامل معه, وعند كتابتها, يتم إجراء مقارنة وإذا كانت كلمة المرور مطابقة يتم تسجيل الدخول.
ظهرت طرق أخرى للتحقق بخطوتين بحيث لا يتم الاعتماد على كلمات المرور فقط, وأضافت المزيد من الأمان والتعقيد في نفس الوقت.
وتعتمد طرق التحقق بخطوتين على إرسال رمز إلى هاتفك, او الإجابة على أسئلة أمان قمت باختيارها مسبقًا, او استخدام تطبيق مصادقة ينشئ رموز احتياطية على هاتفك, أو رموز مرور احتياطية لمرة واحدة, أو إرسال إشعار للموافقة على الهاتف, وكلها طرق تعمل بشكل رائع إلىة أن يتمكن شخص من الوصول إلى هاتفك أو أن تفقد الطرق البديلة ومعها حسابك.
لكن لماذا نلجئ إلى الخطوة الثانية, لماذا لا تكفي كلمة المرور.
هنا تظهر عيوب كلمات المرور الكبيرة والمتعددة, فحفظ كلمات المرور المختلفة أمر ليس سهل, لذلك, يعتمد الكثير على كلمات مرور سهلة لسهولة تذكرها, وسهولة تخمينها أيضًا من قبل المخترقين.
أو يستخدم البعض كلمة مرور واحدة قوية ومعقدة, ثم يعيد استخدامها في مختلف المواقع ليؤدي كشفها في موقع واحد إلى الوصول إلى جميع الحسابات على مختلف المواقع والخدمات.
تقوم برامج إدارة كلمات المرور التي نشجعكم على استخدامها بإنشاء كلمات مرور قوية وتحفظها مع تشفيرها, لكن هل هذا يكفي.
دعونا ننظر إلى الأمر بطريقة أخرى, الخادم الذي يحتفظ بكلمة المرور.
قد يخدعك أحدهم لتسجيل الدخول إلى موقع أنت تعرفه, لكن في الواقع يتم توجيهك إلى صفحة مزيفة تدخل كلمة مرورك هناك وتصل إلى المخترق.
إذا كنت ذكي بما فيه الكفاية لتجنب هذه الحيل, فلدى المهاجمين طرق بديلة, بحيث يتم من وقت لآخر تسريب قواعد بيانات من خدمات شهيرة, وتتضمن البيانات عناوين بريد وكلمات مرور من ضمنها قد تكون كلمة مرور حسابك.
فإذا لم يتم اختراق بياناتك أنت, قد يتم اختراق بيانات الخادم الذي تتعامل معه.
ولن نناقش كلمات المرور السهلة مثل من 1 إلى 3 أو 6, أو تاريخ الميلاد أو رقم الهاتف, أو طرق أخرى من ما لا يتطلب عناء للوصول إليه.
تأتي مفاتيح المرور لحل كل هذه الإشكاليات بطريقة جديدة, بحيث تعمل الشركات على دعمها في خدماتها, تمهيدًا لمستقبل بلا كلمات مرور.
كيف تعمل مفاتيح المرور؟
عند بدء إنشاء مفتاح مرور, يتم حفظ بياناتك مثل الموقع والحساب الذي تستخدمه, وتشفيرهم باستخدام 2 من مفاتيح التشفير.
الأول مفتاح عام يتم تخزينه لدى الخدمة التي تتعامل معها, ودعونا نأخذ أمثلة عملية لتسهيل الفكرة.
لنفترض إنك قمت بإنشاء مفتاح مرور لحساب Google.
يتم حفظ حسابك وعنوان الموقع وتشفيرهم, يرسل المفتاح العام إلى Google ليتم تخزينه لدى الشركة.
المفتاح الخاص يتم تخزينه على جهازك, وهنا تظهر عبقرية الميزة الجديدة.
فالمفتاح قد يتم تخزينه في عدة أماكن وفقًا لاختيارك, إذا كنت تستخدم Android يتم تخزينه في مدير كلمات المرور من Google Password Manager وذلك لمزامنته بين الأجهزة, مع Apple يتم تخزينه في iCloud Keychain وينطبق الأمر على MacOS و iOS, أما Windows, فتمتلك Microsoft مدير مفاتيح المرور المدمج في Windows 11, والذي تم دعمه من قبل 1Password في الشهر الماضي, كما ذكرنا على نافذة التقنية.
ومع خدمات كلمات المرور مثل 1Password او Bitwarden وغيرهم, يمكنك تخزين مفتاح المرور من Android ومزامنته مع Windows على سبيل المثال.
هناك طرق بديلة وهي مفاتيح الأمان Security keys, وهي مفاتيح فيزيائية فعلية تشبه الفلاشات يمكنك شرائها وتوصيلها بالجهاز عن طريق usb وتخزين مفتاح المرور هناك, وباستخدام نفس القطعة, يمكنك فتح الموقع من أي جهاز, أي يمكنك اعتبار تلك القطعة عبارة عن مفتاح للمواقع.
عند اختيار الخدمة أو الطريقة المناسبة لتخزين مفتاح المرور, سيتم عمل مصادقة باستخدام بصمة الوجه أو رمز قفل الشاشة أو بصمة الإصبع او أي طريقة مصادقة تستخدمها, ثم يتم حفظ مفتاح التشفير الخاص على جهازك.
الآن إذا تم تسريب بيانات الموقع, يتم تسريب المفتاح العام فقط, والمفتاح الخاص يبقى محميًا على جهازك, ولا يمكن استخدام المفتاح العام وحده للاختراق. والعكس صحيح, فالمفتاح المشفر لديك غير مكتمل وبالتالي لا يمكن الوصول إلى الجزء العام من المفتاح.
عند خداعك من قبل المخترقين لتدخل صفحة تسجيل دخول مزيفة, لن يرسل جهازك المفتاح الخاص, لأن الموقع الذي تسجل الدخول إليه ليس هو الموقع الذي استخدمته لإنشاء المفتاح.
أما عند تسجيل دخولك للموقع الصحيح, عند طلب مفتاح المرور, قم بعمل المصادقة باستخدام البصمة أو الطريقة المفضلة لديك, ثم يرسل جهازك توقيع رقمي مبني على المفتاح إلى الخدمة ليتم مقارنته وفك تشفير البيانات وتسجيل الدخول إلى الحساب المرتبط.
أي أن المفتاح الخاص لن يخرج من جهازك في جميع الحالات, فيمكنك تسجيل الدخول بأمان وسهولة.
وقد تلاحظ آلية عمل هذه الميزة بستخدام مفاتيح ssh keys على خوادم Linux على سبيل المثال, حيث تنشئ مفتاح تخزنه على جهازك وآخر يتم تخزينه على الخادم, ومن ثم يمكنك تسجيل الدخول دون كلمة مرور.
مع الفارق العملي في التنفيذ بالنسبة للمستخدم العادي.
وتدعم خدمة 1Password تخزين مختلف أنواع المفاتيح وكلمات المرور ورموز المصادقة, وذلك لتمكينك من تخزين بياناتك بأمان.
وقد تفكر بما سيحدث في حال فقدت جهازك, تلجأ الشركات لطرق احتياطية مثل خدمات التحقق بخطوتين كخيار بديل وليس أساسي, ولا يعني وجود مفتاح مرور أنه الخيار الوحيد, او أننا وصلنا إلى مرحلة يقوم المفتاح باستبدال كل شيء.
ويتم دعم معايير جديدة لتطوير الميزة بالشراكة بين عدة جهات, من ضمنهم Apple, Google, Microsoft, Mozilla وغيرهم.
وتدعم العديد من الخدمات والمواقع الشهيرة مفاتيح المرور في الوقت الحالي.
مع تقدم التقنية, سنصل إلى مرحلة حيث لا يمكنك إنشاء كلمة مرور أصلًا.
وهي فكرة بدأت Microsoft بتطبيقها بالفعل.
