مفاتيح المرور (Passkeys) في 2026: دليل هندسي عملي
كلمات المرور لم تعد صالحة. فهي تعتمد على أسرار مشتركة. وإذا قام خادم بتخزين كلمة مرور، فإنك تضاعف مساحة سطح الهجوم لديك.
تُظهر البيانات أن المخاطر هائلة. فسرقة بيانات الاعتماد هي السبب وراء معظم الاختراقات. وتقوم برمجيات Infostealer الخبيثة بجمع ملايين كلمات المرور كل عام. وحتى المصادقة الثنائية (2FA) بها عيوب؛ حيث تواجه رموز SMS هجمات تبديل شريحة SIM، وتواجه رموز TOTP هجمات التصيد الاحتيالي في الوقت الفعلي.
تغير مفاتيح المرور (Passkeys) هذا الواقع، حيث تستخدم التشفير بالمفتاح العام عبر WebAuthn و FIDO2.
آلية عملها: • يقوم جهازك بإنشاء زوج من المفاتيح (عام وخاص). • يبقى المفتاح الخاص في جهازك (Hardware). • يحصل الخادم على المفتاح العام فقط. • أثناء تسجيل الدخول، يقوم جهازك بتوقيع تحدٍ (challenge) عشوائي. • لا يتم نقل أي سر عبر الشبكة.
هذا يمنع التصيد الاحتيالي لأن مفاتيح المرور ترتبط بنطاقك (domain) المحدد. فمفتاح المرور الخاص بموقعك لن يعمل على موقع مزيف.
كيفية تنفيذها: لا تكتب كود WebAuthn خام، فمن السهل كسر أمانه. استخدم SimpleWebAuthn لـ TypeScript و Node.js، حيث يتولى التعامل مع العمليات الحسابية المعقدة نيابة عنك.
التثبيت:
npm install @simplewebauthn/server @simplewebauthn/browser
أخطاء شائعة يجب تجنبها: • إعادة استخدام التحديات (challenges). يجب أن تكون التحديات صالحة للاستخدام مرة واحدة فقط ويتم إنشاؤها بواسطة الخادم. • تجاهل العدادات (counters). قم دائمًا بتحديث عداد بيانات الاعتماد للكشف عن المفاتيح المستنسخة. • نسيان عملية الاسترداد. إذا فقد المستخدم جهازه، فسيفقد حسابه. لذا، قم ببناء مسار استرداد أولاً. • تجربة مستخدم (UX) سيئة. غالبًا ما تشهد عمليات الانتقال بين الأجهزة معدلات إكمال منخفضة. احتفظ بخيار بديل (fallback) أثناء عملية الانتقال.
استراتيجية الانتقال:
- المرحلة 1: تقديم مفاتيح المرور كخيار اختياري (opt-in) بعد تسجيل الدخول بكلمة المرور.
- المرحلة 2: جعل مفاتيح المرور هي الطريقة الأساسية بمجرد اعتماد معظم المستخدمين لها.
- المرحلة 3: اشتراط استخدام مفاتيح المرور لجميع عمليات التسجيل الجديدة.
لقد تحركت الصناعة بالفعل؛ حيث تشير تقارير Google إلى انخفاض كبير في معدلات اختراق الحسابات عند استخدام مفاتيح المرور. وتستخدم المنصات الكبرى مثل Amazon و TikTok هذه التقنية. إذا لم تكن تدعمها، فأنت متأخر عن الركب.
Source: https://dev.to/moksh/passkeys-in-2026-a-practical-engineering-guide-to-passwordless-auth-15pj