العربية
  • webauthn
  • passkey
  • mfa

الأشياء التي يجب أن تعرفها قبل دمج WebAuthn

تعريف بعض المفاهيم الأساسية لWebAuthn، بهدف مساعدتك في اتخاذ قرارات أفضل عند دمج WebAuthn.

Sijie
Sijie
Developer

يوفر WebAuthn بديلاً أكثر أمانًا وسهل الاستخدام مقارنةً بكلمات المرور التقليدية. يزداد شعبيته مع تبني عدد متزايد من المواقع لهذه التقنية. إذا كنت متحمسًا لدمج WebAuthn في موقعك الخاص، فأنت لست وحدك. ومع ذلك، كونها تقنية جديدة نسبيًا، فمن المحتمل أن يكون لديك العديد من الأسئلة حولها.

عند النظر في دمج WebAuthn في موقعك أو تطبيقك، فإن فهم هذه المفاهيم والاعتبارات الأساسية سيساعدك على اتخاذ قرارات مستنيرة حول ما إذا كان يجب تنفيذها الآن.

ما هو WebAuthn و Passkeys؟

لنوضح التعريفات:

  • واجهة برمجة التطبيقات للمصادقة على الويب (WebAuthn) هي امتداد لواجهة برمجة إدارة الاعتمادات. تعزز المصادقة القوية مع تشفير المفتاح العام، مما يتيح المصادقة المتعددة العوامل (MFA) بدون الحاجة إلى رسائل SMS.
  • مفاتيح المرور (Passkeys) تمثل بديلاً مثيرًا للاهتمام يعتمد على WebAuthn مقارنة لاستخدام "كلمة مرور + عامل ثاني" التي عانى منها الكثير منا. في هذا السياق، تعتبر مفاتيح المرور حالة استخدام محددة ضمن معيار WebAuthn.

هل يمكنني استخدام مفتاح المرور عبر الأجهزة

نعم، يمكنك استخدام مفتاح المرور على أجهزة متعددة بطرقتين:

  1. المزامنة من خلال مدير كلمات المرور: تسمح مديري كلمات المرور الشهيرة مثل iCloud Keychain و Google Password Manager و 1Password بالمزامنة. يمكن استخدام المفاتيح المشار إليها بـ"عبر الأنظمة" في رد التسجيل، مثل شارة "المزامنة" في GitHub، على مختلف الأجهزة.
  2. رمز QR والبلوتوث: طريقة أخرى هي استخدام رموز QR والبلوتوث للدخول من جهاز آخر. توفر هذه الطريقة مرونة للمستخدمين للوصول إلى حساباتهم على منصات مختلفة.

هل يمكن أن يكون طريقة المصادقة الوحيدة

بالتأكيد، يعد WebAuthn عاملاً عالي الأمان للمصادقة. يحتوي مفتاح المرور على "معرف المستخدم"، وخلال المصادقة يتلقى الخادم "معرف المستخدم" المؤكد كمُعرف. يمكن أن يكون "معرف المستخدم" معرفًا فريدًا عالميًا (UUID) أو معرفات فريدة أخرى مثل البريد الإلكتروني أو رقم الهاتف أو اسم المستخدم. يمكن للمستخدمين اختيار إدخال "معرف المستخدم" أولاً ثم البحث عن مفتاح مرور صالح أو اختيار مفتاح مرور من قائمة مرتبطة بالنطاق الحالي.

كيف هي التوافق اليوم

يمكن استخدام WebAuthn في سياقات آمنة (HTTPS) ويدعمه أحدث الإصدارات من معظم المتصفحات. لمزيد من المعلومات التفصيلية حول التوافق، يرجى الرجوع إلى وثائق MDN.

المجال هو المُعرف الرئيسي لمفتاح المرور

في عمليات WebAuthn، سواء للتسجيل أو المصادقة، يكون "المعرّف المسؤول" (rp ID) مجالًا إلزاميًا. يمثل اسم المضيف للمجال الحالي للصفحة الويب. إذا لم يتطابق مع النطاق الحالي، سيرفض المتصفح الطلب. هذا يعني أن مفاتيح المرور مرتبطة بنطاق معين، ولا يوجد حاليًا طريقة لنقل المفاتيح الموجودة إلى نطاق آخر. بالإضافة إلى ذلك، لا يمكن استخدام مفاتيح المرور عبر المجالات المختلفة. لمزيد من التفاصيل، يرجى مشاهدة هذه المسألة.

المقارنة مع تطبيق المصادقة (TOTP)

يكشف مقارنة WebAuthn بطرق المصادقة الثنائية التقليدية، مثل كلمات المرور المتغيرة بتوقيت (TOTP) وتطبيقات المصادقة، عن عدة مزايا. يقدم WebAuthn تجربة مصادقة أكثر سهولة وأمانًا. على عكس TOTP، الذي يتطلب إدخالًا يدويًا لرمز يتغير باستمرار، أو تطبيقات المصادقة التي قد يتم اختراقها إذا سرق الجهاز، يعتمد WebAuthn على الأجهزة الآمنة والقياسات الحيوية لعملية مصادقة سلسة ومتينة.

ومع ذلك، من المهم ملاحظة أن TOTP لا تزال له مميزاته، مثل النسخ الاحتياطي السهل واستخدامه عبر الأجهزة، مما يجعله متوافقًا مع جميع الأجهزة تقريبًا.

الخلاصة

WebAuthn بلا شك مشوق، ولكن مثل أي تقنية جديدة مثيرة، من الضروري الحصول على فهم شامل قبل احتضانه. تهدف هذه المقالة إلى تزويدك بالمعرفة اللازمة لاتخاذ قرارات مطلعة بشأن دمج WebAuthn. بينما تفكر في فوائده المحتملة، تذكر أن البقاء على اطلاع هو مفتاح نجاحك. بالمناسبة، ترقبوا لأن الخاصية الرئيسية التالية لـ Logto ستدعم WebAuthn، مما يوفر المزيد من الإمكانيات للمصادقة السلسة والآمنة.

جرب Logto اليوم