فقدان هاتفك يعني فقدان حياتك
تهدف مفاتيح المرور (Passkeys) إلى استبدال كلمات المرور. ترغب معظم الشركات في اعتمادها. وتُظهر البيانات أن 93% من المؤسسات تختبر مفاتيح المرور القائمة على WebAuthn، ومع ذلك، فإن 13% فقط منها تقوم بتوسيع نطاق استخدامها.
يركز المهندسون على عملية تسجيل الدخول المثالية؛ حيث تبني نظاماً يعمل فيه المسح البيومتري في ثوانٍ معدودة. هذا هو "المسار السعيد" (happy path).
لكن الصناعة تصطدم بحائط مسدود عند "المسار غير السعيد" (unhappy path)، وهو استرداد الجهاز.
تنقل مفاتيح المرور الأمان من كلمة مرور مشتركة إلى مفتاح خاص مرتبط بالأجهزة (hardware-bound). يستخدم هاتفك المقاييس البيومترية لفتح هذا المفتاح. تقوم المستشعرات بحساب المسافة الرياضية بين المسح المباشر والقالب المسجل مسبقاً. وإذا استوفى التطابق الحد المطلوب، يقوم الجهاز بتحرير المفتاح.
وهذا يخلق مشكلة كبيرة؛ فإذا كان المفتاح موجوداً على جهاز واحد فقط، فإن فقدان هذا الجهاز يعني فقدان هويتك.
تستخدم شركات مثل Apple وGoogle المزامنة السحابية للمساعدة، مما يضيف تعقيداً للمطورين. إذ يتعين عليك الاختيار بين مفاتيح الأجهزة عالية الأمان أو المفاتيح المتزامنة سهلة الاستخدام.
يحاول العديد من المطورين حل هذه المشكلة عبر استرداد ضعيف عبر البريد الإلكتروني، مما يدمر الأمان. أنت تبني باب خزنة ولكنك تترك النافذة الخلفية مفتوحة؛ فرابط البريد الإلكتروني ليس آمناً مثل مفتاح المرور التشفيري (cryptographic passkey).
في CaraComp، نركز على مقاييس المقارنة. نحن نؤمن بأن عملية المصادقة تحتاج إلى شبكة أمان احترافية؛ فالخوارزميات العظيمة تفشل إذا كانت البنية التحتية المحيطة بها ضعيفة.
ليس الهدف للمطورين هو تحسين مطابقة الوجه، فنحن نمتلك بالفعل عمليات مسح دقيقة للوجه. الهدف هو بروتوكولات استرداد أفضل. نحن بحاجة إلى طرق لاسترداد الحسابات دون العودة إلى مخاطر التصيد الاحتيالي (phishing).
الحالات الاستثنائية (Edge cases) هي ما يحدد سمعتك في مجال الأمان.
كيف تتعامل مع استرداد الحساب في أنظمتك الخالية من كلمات المرور؟ هل تتجنب عمليات إعادة التعيين غير الآمنة عبر البريد الإلكتروني؟
مجتمع تعليمي اختياري: https://t.me/GyaanSetuAi