تم تصميم مفاتيح المرور لتغيير تجربة تسجيل الدخول جذريًا، وتقديم بديلاً أسهل وأسرع وأكثر أمانًا لكلمات المرور. سترشدك قائمة التحقّق هذه إلى الجوانب الرئيسية لتنفيذ مفاتيح المرور لتحقيق أفضل نتائج لتجربة المستخدم.
كيفية استخدام قائمة التحقّق هذه
هذه القائمة مخصّصة للمطوّرين وفِرق المنتجات التي تستخدم مفاتيح المرور في عمليات المصادقة. يُستخدم من أجل:
- تأكَّد من أنّ عملية التنفيذ تتّبع أفضل ممارسات تجربة المستخدم الحديثة للمفتاح المميّز الموضّحة في المقالتَين التاليتَين.
- حدِّد العناصر المطلوبة والاختيارية التي تُحسِّن من سهولة الاستخدام والأمان والتوافق.
- تحقَّق من عملية التنفيذ أثناء التطوير وقبل النشر.
- التوافق مع أفضل الممارسات التي تدعم استخدام المستخدمين للنظام وإمكانية التشغيل التفاعلي
تساعدك هذه الخطوات في تقديم تجربة سلسة وآمنة للمستخدمين النهائيين.
تسجيل مفاتيح المرور
لإجراء عملية انتقال سلسة من كلمات المرور إلى مفاتيح المرور على موقعك الإلكتروني، من المهم أن تتوفّر لديك إمكانية تسجيل مفاتيح مرور متقدّمة. اتّبِع تعليمات إنشاء مفتاح مرور لعمليات تسجيل الدخول بدون كلمة مرور لإنشاء ميزة تسجيل مفتاح مرور على موقعك الإلكتروني. في ما يلي النقاط التي يجب التحقّق منها بالإضافة إلى ميزات تسجيل مفاتيح المرور الأساسية:
✅ حدِّد "platform" كقيمة مرفق مع مصادقة لعرضها على
navigator.credentials.create() لإنشاء مفتاح مرور ترويجي.
- توفير عملية إنشاء مفتاح مرور محسّنة وسلسة لأولئك الذين يريدون إنشاء مفتاح مرور بشكل استباقي
✅ عليك إثبات هوية المستخدم باستخدام أقوى طريقة مصادقة متاحة يمكنه استخدامها قبل السماح له بإنشاء مفتاح مرور.
- من المهم منع المهاجم من إنشاء مفتاح مرور على حساب مسروق.
✅ يمكنك منع إنشاء مفاتيح مرور مكرّرة لموفّر مفاتيح المرور نفسه باستخدام
excludeCredentials.
- لا يقدّم العديد من موفّري مفاتيح المرور سوى مفتاح مرور واحد لكل حساب ورقم تعريف RP. تجنَّب إنشاء نُسخ مكرّرة.
✅ استخدِم AAGUID لتحديد موفِّر مفتاح المرور ولتسمية بيانات الاعتماد للمستخدم.
- إنّ ربط مفتاح مرور بموفّر مفتاح المرور هو طريقة سهلة لمحاولة تقديم بيانات اعتماد حيثما أمكن ذلك.
✅ أرسِل إشارة إذا تعذّرت محاولة تسجيل مفتاح مرور باستخدام
PublicKeyCredential.signalUnknownCredential().
- يمكن أن تؤدي مفاتيح المرور غير المقصودة إلى حدوث التباس. يُرجى إبلاغ مقدّم مفتاح المرور إذا تعذّر على الخادم تسجيل مفتاح مرور.
✅ أرسِل إشعارًا إلى العميل بعد إنشاء مفتاح مرور وتسجيله لحسابه.
- تأكَّد من أنّ المستخدم على دراية بأنّه يتم إنشاء مفتاح مرور، خاصةً إذا كان شخصًا آخر هو من يُنشئه.
مصادقة مفاتيح المرور
يمكن أن يمثّل تلبية احتياجات مستخدمي كلمة المرور ومستخدمي مفتاح المرور بدون أي صعوبة تحدّيًا. اتّبِع التعليمات الموضّحة في مقالة تسجيل الدخول باستخدام مفتاح مرور من خلال ميزة الملء التلقائي للنموذج لإنشاء ميزة الملء التلقائي لنموذج مفتاح المرور على موقعك الإلكتروني. في ما يلي النقاط التي يجب التحقّق منها بالإضافة إلى ميزات المصادقة الأساسية باستخدام مفاتيح المرور:
✅ اسمح للمستخدمين بتسجيل الدخول باستخدام مفتاح مرور من خلال ميزة preenchimento automático (الملء التلقائي) للنموذج.
- إذا كان موقعك الإلكتروني ينتقل من كلمات المرور إلى مفاتيح المرور، فإنّ أفضل طريقة لاستيعاب كلا المستخدِمين هي استخدام ميزة preenchimento automático (الملء التلقائي) للنماذج في المتصفّح.
✅ أرسِل إشارة عند عدم العثور على بيانات اعتماد مطابقة لمفتاح المرور في الخلفية باستخدام الرمز
PublicKeyCredential.signalUnknownCredential().
- يمكن أن تؤدي مفاتيح المرور غير المقصودة إلى حدوث التباس. أطلِع مقدّم مفتاح المرور على مفتاح المرور الذي لا يمكن استخدامه حتى يتمكّن من حذفه.
✅ اطلب من المستخدمين إنشاء مفتاح مرور يدويًا إذا لم ينشئ المستخدم مفتاحًا بعد تسجيل الدخول.
- إذا لم ينشئ المستخدم مفتاح مرور حتى الآن، شجّعه على إنشاء مفتاح.
✅ إنشاء مفتاح مرور تلقائيًا (إنشاء مشروط) بعد تسجيل دخول المستخدم باستخدام كلمة مرور (وعامل ثانٍ).
- تسريع عملية استخدام المستخدمين لمفتاح المرور
✅ طلب إنشاء مفتاح مرور على الجهاز إذا سجّل المستخدم الدخول باستخدام مفتاح مرور على جميع الأجهزة
- يساعد إنشاء مفتاح مرور على الجهاز في تسجيل دخول المستخدم بدون مسح رمز استجابة سريعة ضوئيًا من المرة التالية.
✅ إرسال قائمة مفاتيح المرور المتاحة وتفاصيل المستخدم المعدَّلة (اسم المستخدم، اسم الشاشة ) إلى مقدّم الخدمة بعد تسجيل الدخول
- يؤدي التزامن بين قائمتَي مفاتيح المرور وتفاصيل المستخدمين على الصعيد بين الخادم وموفّر مفاتيح المرور إلى تحسين تجربة المستخدم.
إدارة مفاتيح المرور
من خلال تزويد المستخدمين بفهم جيد لمفاتيح المرور، يساعدهم ذلك في اكتساب معرفة أفضل بالمشهد والتحكّم في مفاتيح المرور. اتّبِع التعليمات الموضّحة في مقالة مساعدة المستخدمين في إدارة مفاتيح المرور بفعالية لإنشاء ميزة إدارة مفاتيح المرور على موقعك الإلكتروني. في ما يلي النقاط التي يجب التحقّق منها:
✅ السماح للمستخدمين بإدارة مفاتيح المرور في صفحة إدارة مفاتيح المرور
- أنشئ مكانًا مركزيًا يمكن للمستخدمين من خلاله إدارة مفاتيح المرور.
✅ أن تتيح تسجيل مفاتيح مرور متعدّدة
- تساعد إمكانية تسجيل مفاتيح مرور متعددة المستخدمين في منع أنفسهم من قفل الجهاز بدون الرجوع إلى طريقة مصادقة ضعيفة.
✅ السماح للمستخدمين بإضافة أنواع جديدة ومرنة من مفاتيح المرور في صفحة الإدارة
✅ عرض اسم مفتاح المرور
- يجب تسمية مفاتيح المرور استنادًا إلى AAGUID وتقديم صورة مرئية ملموسة لمفاتيح المرور الخاصة بالمستخدم.
✅ حدِّد ما إذا كان مفتاح المرور قابلاً للمزامنة أو غير قابل للمزامنة.
- إبلاغ المستخدم عندما لا تتم مزامنة مفتاح المرور
✅ السماح للمستخدمين بإزالة مفتاح عمومي من الخادم
✅ الإشارة إلى قائمة مفاتيح المرور عند إزالة مفتاح عام مرتبط من الخادم
- إنّ مزامنة قائمة مفاتيح المرور بين الخادم وموفّر مفاتيح المرور تُحسِّن تجربة المستخدم.
اعتبارات أخرى
✅ أرسِل إشعارًا عند تعديل المستخدم لتفاصيله (اسم المستخدم والاسم المعروض).
✅ إنشاء مفتاح مرور بدلاً من كلمة مرور جديدة عندما "ينسى المستخدم كلمة المرور"