ما هي مفاتيح المرور Passkeys؟
مفاتيح المرور (Passkeys) هي وسيلة مصادقة حديثة مبنية على تشفير المفتاح العام (public-key cryptography)، وهو الأساس الرياضي نفسه الذي يشغّل بروتوكول HTTPS والعملات المشفّرة. وعلى عكس كلمات المرور التي تكتبها بالطريقة ذاتها في كل مرة، فإن مفاتيح المرور عبارة عن أزواج مفاتيح تشفيرية تُخزَّن بأمان على جهازك. وعند تسجيل الدخول، يثبت جهازك أنه يملك المفتاح الخاص دون أن يرسل المفتاح نفسه عبر الإنترنت إطلاقاً.
إليك آلية العمل الأساسية: تسجّل مفتاح مرور لدى أحد المواقع، فيحفظ الموقع مفتاحك العام. وعند تسجيل الدخول لاحقاً، يرسل لك الموقع تحدياً (challenge)، فيوقّعه جهازك بمفتاحك الخاص، ثم يتحقق الموقع من صحة التوقيع. فإن تطابق، دخلت إلى حسابك. مفتاحك الخاص لا يغادر جهازك أبداً، والموقع لا يخزّن كلمة مرور خاصة بك على الإطلاق.
والجزء المرتبط بالجهاز (device-bound) جوهري هنا. فمفتاح المرور الموجود على هاتفك لا قيمة له لمن يسرق حاسوبك المحمول. وهذا تحسّن أمني جذري مقارنة بكلمات المرور التي تكون قابلة للنقل بطبيعتها، إذ يكفي اللص أن يحصل على نص كلمة المرور وحده.
لماذا تتفوّق مفاتيح المرور على التصيّد الاحتيالي
تفشل كلمات المرور فشلاً ذريعاً في أمر واحد: إنها تعمل على المواقع المزيّفة. اكتب كلمة مرورك في موقع تصيّد احتيالي يشبه Gmail تماماً وحتى آخر تفصيلة، ومبروك، أصبح المهاجم الآن مالك حسابك. ولا توجد قوة في كلمة المرور مهما بلغت تستطيع إيقاف هذا.
أما مفاتيح المرور فهي محصّنة ضد هذا النوع من الهجمات لأنها مرتبطة بـالنطاق الحقيقي (real domain). فعندما تسجّل الدخول إلى موقع تصيّد يتظاهر بأنه Gmail، لن ينشئ جهازك توقيعاً صالحاً لنطاق المهاجم. يتلقى الموقع المزيّف رداً غير صالح، فيفشل تسجيل الدخول، وعندها إما أن تنتبه إلى أن شيئاً ما ليس على ما يرام، أو تمضي في طريقك.
هذا لا يوقف كل أنواع الهجمات (فالهندسة الاجتماعية والبرمجيات الخبيثة على جهازك وعمليات انتحال شريحة الاتصال SIM swaps لا تزال تشكّل مخاطر)، لكنه يقضي على أكبر فئة منفردة من سرقة بيانات الاعتماد: التصيّد الاحتيالي. وبالنسبة للمستخدمين الذين تنطلي عليهم المواقع المزيّفة المقنعة — وهذا يشمل أشخاصاً يهتمون بالأمن في لحظات ضعفهم — تمثّل مفاتيح المرور نقلة نوعية.
نقاط الاحتكاك الحقيقية
مفاتيح المرور ليست خالية من الاحتكاك، والتظاهر بعكس ذلك يسيء إليها. وهناك ثلاثة تحديات تبرز بوضوح.
الاستعادة وقفل الحساب. إن فقدت هاتفك، فقدت معه مفاتيح المرور الخاصة بك. وإن سُرق هاتفك ولم يكن لديك نسخة احتياطية، فقد حبست نفسك خارج كل حساباتك. استعادة كلمة المرور وسيلة بدائية لكنها مجرّبة: أجب عن سؤال أمان، أو احصل على رمز عبر البريد الإلكتروني، ثم أعد التعيين. أما استعادة مفاتيح المرور فلا تزال قيد التشكّل. بعض الخدمات تتيح لك تسجيل عدة مفاتيح مرور (هاتف + مفتاح أمان + جهاز لوحي)، وأخرى تستخدم رموز النسخ الاحتياطي، وبعضها لا يزال يصمّم آلية الاحتياط الخاصة به. وتجربة المستخدم هنا لا تزال غير ناضجة.
احتكاك تعدّد الأجهزة. تتم مزامنة مفاتيح المرور تلقائياً على أجهزة Apple (بفضل iCloud Keychain)، وتعمل Google على بناء المزامنة عبر Android. لكن الاستخدام عبر المنصات المختلفة لا يزال يتطلب جهداً. فإن كنت تستخدم هاتف iPhone وهاتف Android وحاسوباً محمولاً بنظام Windows، فإن تسجيل مفتاح مرور على الثلاثة جميعاً ليس سلساً بعد. قد تتم المزامنة عبر السحابة، أو تستخدم مفتاح أمان محمولاً (USB)، أو تسجّل مفاتيح مرور منفصلة لكل جهاز. الوضع يتحسّن، لكنه ليوم اليوم ليس من نوع "اضبطه وانسَه".
تأخّر التبنّي. على الأرجح لا يزال مصرفك يطالبك بكلمة مرور. وقد لا يدعم مزوّد بريدك الإلكتروني القديم مفاتيح المرور. وكثير من أدوات SaaS تقدّم مفاتيح المرور كـخيار إلى جانب كلمات المرور، لا كبديل عنها. ستعيش في عالم هجين لسنوات، تتنقّل بين وسيلتي المصادقة معاً. وهذا ليس عائقاً قاتلاً، لكنه أبطأ من تحوّل نظيف ومباشر.
نصائح عملية للمستخدمين
ابدأ بخطوات صغيرة. اختر حساباً يهمّك لكنه ليس بالغ الأهمية — خدمة هواية، أو شبكة اجتماعية ثانوية، أو أداة لمشروع ما. سجّل مفتاح مرور هناك، واعتد على آلية العمل، وراقب كيف تتعامل واجهة جهازك معها. لقد حسّن كل من iOS وAndroid واجهة مفاتيح المرور بشكل ملحوظ خلال العام الماضي، وأصبحت أقل إرباكاً مما كانت عليه.
أما بالنسبة لحساباتك الحرجة فعلاً (البريد الإلكتروني، والخدمات المصرفية، وخدمات الهوية)، فانتظر فترة أطول قليلاً ما لم تكن قد جعلت عملية الاستعادة محكمة لا تخترق. اقرأ وثائق الاستعادة. وإن كانت عملية استعادة حسابك تتطلب زيارة شخصية إلى أحد الفروع أو الاتصال يدوياً بالدعم الفني، فربما لم تكن مفاتيح المرور جاهزة بعد لهذا الحساب.
احتفظ بمفتاح أمان (رمز USB مادي مثل YubiKey) إن كنت ترغب في حماية مزدوجة لا تترك مجالاً للمصادفة ولا تمانع التكلفة (٣٠–٦٠ دولاراً). فمفتاح الأمان محصّن ضد مشكلات المزامنة السحابية وفقدان الجهاز. سجّله إلى جانب مفتاح مرور متزامن مع السحابة لتحقيق التكرار الاحتياطي.
نصائح عملية للفرق الصغيرة
إن كنت تدير شركة صغيرة أو تشرف على مشروع مفتوح المصدر، فإن تفعيل مفاتيح المرور مبكراً يمنحك ميزة أمنية ويُظهر لمستخدميك أنك تأخذ المصادقة على محمل الجد.
ابدأ بدعم مفاتيح المرور كـبديل لكلمات المرور، لا كاستبدال لها. هذا يتيح للمستخدمين المهتمين بالأمن اختيارها طوعاً، بينما يبقى الآخرون على كلمات المرور. أما مكتبة المصادقة لديك — سواء كانت Auth0 أو Okta أو Supabase أو خياراً أبسط مثل Passage by 1Password — فتتولى العبء التشفيري الثقيل، وكل ما عليك هو ربط الواجهة.
خطّط لآلية استعادة الحساب قبل الإطلاق. هل يستطيع المستخدمون تسجيل عدة مفاتيح مرور (وهذا جيد)؟ هل يمكنهم استخدام رمز استعادة أو بريد احتياطي (وهذا أفضل)؟ وإن فقد مستخدم كل مفاتيح مروره، فما حجم عبء الدعم الفني (وهذا أمر بالغ الأهمية أن تقدّره مسبقاً)؟ آلية استعادة بسيطة تجنّبك رسائل البريد الغاضبة وتذاكر الدعم.
اختبر على الأجهزة الحديثة والأقدم قليلاً معاً. فالمستخدم الذي يملك هاتف Android قديماً لا يدعم مزامنة مفاتيح المرور بشكل كامل ينبغي ألّا يعلق دون حلّ — وفّر له بديلاً يعتمد على عامل ثانٍ أو كلمة مرور تقليدية. التدهور السلس (graceful degradation) ميزة لا تُقدّر قدرها حقّ قدرها.
الجدول الزمني الواقعي
لن تحلّ مفاتيح المرور محلّ كلمات المرور في العام المقبل. صحيح أن مزوّدي الخدمات السحابية الكبار وقائمة متنامية من أدوات SaaS باتوا يدعمونها، لكن التبنّي لا يزال متركّزاً بين المستخدمين السبّاقين تقنياً والمؤسسات المهتمة بالأمن. وعلى الأرجح سيستغرق التبنّي الواسع من ٣ إلى ٥ سنوات، وستظل آليات استعادة كلمات المرور مصدر حرج عالق طوال هذه الفترة.
ولا بأس بذلك. فالمكسب الأمني — مقاومة التصيّد الاحتيالي — كبير بما يكفي لتبرير الاحتكاك. ومع تحسّن آليات الاستعادة وصيرورة المزامنة عبر الأجهزة شفّافة، يتقلّص هذا الاحتكاك. فنهاية كلمة المرور البطيئة ليست خروجاً مفاجئاً، بل تلاشٍ تدريجي مع إثبات البدائل لجدارتها.
إن كنت قد سئمت إعادة تعيين كلمات المرور، أو تنطلي عليك رسائل التصيّد الاحتيالي أحياناً، أو ترغب في تقليل خطر الاستيلاء على حسابك، فإن مفاتيح المرور جاهزة لتجربتها اليوم. وإن كنت تدير خدمة، فإن دعمها بات على نحو متزايد شرطاً أساسياً للوضع الأمني السليم. التحوّل جارٍ بالفعل، وعلى عكس كثير من التحوّلات الأمنية، فإن هذا التحوّل يحسّن تجربة المستخدم فعلاً — حالما تُصقل حوافه الخشنة.
