مفاتيح مرور آمنة وسلسة: قائمة التحقّق من النشر

Eiji Kitamura

تاريخ النشر: 5 يونيو 2025

تم تصميم مفاتيح المرور لإحداث ثورة في تجربة تسجيل الدخول، إذ إنّها تشكّل بديلاً أسهل وأسرع وأكثر أمانًا لكلمات المرور. ستساعدك قائمة التحقّق هذه في التعرّف على الجوانب الرئيسية لتنفيذ مفاتيح المرور من أجل تحقيق أفضل نتائج لتجربة المستخدم.

كيفية استخدام قائمة التحقّق هذه

قائمة التحقّق هذه مخصّصة للمطوّرين وفِرق المنتجات الذين يطبّقون مفاتيح المرور في مسارات المصادقة. يمكنكم استخدامها من أجل:

• تأكَّد من أنّ عملية التنفيذ تتّبع أفضل ممارسات تجربة المستخدم الحديثة الخاصة بمفاتيح المرور والموضّحة في المقالتَين التاليتَين.
• تحديد العناصر المطلوبة والاختيارية التي تحسّن سهولة الاستخدام والأمان والتوافق
• تحقَّق من عملية التنفيذ أثناء التطوير وقبل النشر.
• الالتزام بأفضل الممارسات التي تساعد في تشجيع المستخدمين على استخدام النظام وتحقيق إمكانية التشغيل التفاعلي.

تساعدك هذه الإعدادات في توفير تجربة سلسة وآمنة للمستخدمين النهائيين.

تسجيل مفاتيح المرور

لضمان الانتقال السلس من كلمات المرور إلى مفاتيح المرور على موقعك الإلكتروني، يجب توفير إمكانية تسجيل مفاتيح مرور متطورة. اتّبِع التعليمات الموضّحة في إنشاء مفتاح مرور لتسجيل الدخول بدون كلمة مرور لإنشاء ميزة تسجيل مفتاح مرور على موقعك الإلكتروني. في ما يلي بعض النقاط التي يجب التأكّد منها بالإضافة إلى ميزات تسجيل مفتاح المرور الأساسية:

✅ حدِّد "platform" كقيمة مرفق المصادقة التي سيتم تمريرها إلى navigator.credentials.create() لإنشاء مفتاح مرور تمت ترقيته.

• توفير عملية إنشاء مفتاح مرور محسّنة وسلسة للمستخدمين الذين ينشئون مفتاح مرور بشكل تفاعلي

✅ تأكَّد من هوية المستخدم باستخدام أقوى طريقة مصادقة متاحة له قبل السماح له بإنشاء مفتاح مرور.

• هذا الإجراء مهم لمنع المهاجم من إنشاء مفتاح مرور على حساب تم الاستيلاء عليه.

✅ منع إنشاء مفاتيح مرور مكرّرة لمقدّم مفاتيح المرور نفسه باستخدام excludeCredentials

• لا يتيح العديد من مقدّمي مفاتيح المرور سوى مفتاح مرور واحد لكل حساب ومعرّف RP. تجنَّب إنشاء نسخ مكرّرة.

✅ استخدام معرّف AAGUID لتحديد موفّر مفتاح المرور وتسمية بيانات الاعتماد للمستخدم

• ربط مفتاح مرور بموفّر مفاتيح المرور هو طريقة سهلة لتقديم بيانات اعتماد حيثما أمكن ذلك.

✅ إرسال إشارة إذا تعذّرت محاولة تسجيل مفتاح مرور باستخدام PublicKeyCredential.signalUnknownCredential()

• يمكن أن تتسبّب مفاتيح المرور غير المرتبطة بحساب في حدوث التباس. إبلاغ موفّر مفتاح المرور في حال تعذُّر تسجيل مفتاح مرور على الخادم

✅ إرسال إشعار إلى المستخدم بعد إنشاء مفتاح مرور وتسجيله في حسابه

• تأكَّد من أنّ المستخدم على علم بإنشاء مفتاح مرور، خاصةً عندما يتم ذلك من قِبل شخص آخر.

المصادقة باستخدام مفاتيح المرور

قد يكون من الصعب استيعاب مستخدمي كلمات المرور ومستخدمي مفاتيح المرور بدون حدوث أي مشاكل. اتّبِع التعليمات الموضّحة في تسجيل الدخول باستخدام مفتاح مرور من خلال ميزة الملء التلقائي للنموذج لإنشاء ميزة الملء التلقائي للنموذج باستخدام مفتاح مرور على موقعك الإلكتروني. في ما يلي بعض النقاط التي يجب التأكّد منها بالإضافة إلى ميزات المصادقة الأساسية باستخدام مفتاح المرور:

✅ السماح للمستخدمين بتسجيل الدخول باستخدام مفتاح مرور من خلال التعبئة التلقائية للنماذج

• إذا كان موقعك الإلكتروني سينتقل من كلمات المرور إلى مفاتيح المرور، فإنّ أفضل طريقة لاستيعاب كلا النوعين من المستخدمين هي استخدام ميزة الملء التلقائي للنماذج في المتصفّح.

✅ إرسال إشارة عندما لا يتم العثور على بيانات اعتماد مطابقة لمفتاح مرور في الخلفية باستخدام PublicKeyCredential.signalUnknownCredential()

• يمكن أن تتسبّب مفاتيح المرور غير المرتبطة بحساب في حدوث التباس. أخبِر مقدّم خدمة مفاتيح المرور بمفتاح المرور الذي لا يمكن استخدامه ليتمكّن من حذفه.

✅ اطلب من المستخدمين إنشاء مفتاح مرور يدويًا إذا لم ينشئوا مفتاحًا بعد تسجيل الدخول.

• إذا لم يكن المستخدم قد أنشأ مفتاح مرور بعد، شجِّعه على إنشاء مفتاح.

✅ إنشاء مفتاح مرور تلقائيًا (إنشاء مشروط) بعد أن يسجّل المستخدم الدخول باستخدام كلمة مرور (وعامل مصادقة ثانٍ)

• تسريع اعتماد مفاتيح المرور من قِبل المستخدمين

✅ عرض طلب إنشاء مفتاح مرور محلي إذا سجّل المستخدم الدخول باستخدام مفتاح مرور يعمل من خلال جهاز آخر.

• يساعد إنشاء مفتاح مرور محلي المستخدم في تسجيل الدخول بدون مسح رمز استجابة سريعة ضوئيًا في المرة القادمة.

✅ إرسال إشارة إلى مقدّم الخدمة تتضمّن قائمة بمفاتيح المرور المتاحة وتفاصيل المستخدم المعدَّلة (اسم المستخدم واسم العرض) بعد تسجيل الدخول

• يؤدي الحفاظ على مزامنة قائمة مفاتيح المرور وتفاصيل المستخدم بين الخادم ومقدّم مفاتيح المرور إلى تحسين تجربة المستخدم.

إدارة مفاتيح المرور

إنّ تقديم شرح جيد لمفاتيح المرور للمستخدمين يساعدهم في فهمها بشكل أفضل والتحكّم فيها. اتّبِع التعليمات الموضّحة في مقالة مساعدة المستخدمين في إدارة مفاتيح المرور بفعالية لإنشاء ميزة إدارة مفاتيح المرور على موقعك الإلكتروني. في ما يلي بعض النقاط التي يجب التحقّق منها:

✅ السماح للمستخدمين بإدارة مفاتيح المرور في صفحة إدارة مفاتيح المرور

• إنشاء مكان مركزي يمكن للمستخدمين من خلاله إدارة مفاتيح المرور

✅ إتاحة تسجيل مفاتيح مرور متعددة

• تساعد إمكانية تسجيل مفاتيح مرور متعددة المستخدمين في تجنُّب حظر حساباتهم بدون اللجوء إلى طريقة مصادقة أقل أمانًا.

✅ السماح للمستخدمين بإضافة أنواع جديدة ومرنة من مفاتيح المرور في صفحة الإدارة

✅ عرض اسم مفتاح المرور

• تسمية مفاتيح المرور استنادًا إلى AAGUID وتقديم تمثيل مرئي ملموس لمفاتيح المرور الخاصة بالمستخدم

✅ حدِّد ما إذا كان مفتاح المرور قابلاً للمزامنة أو غير قابل للمزامنة.

• إعلام المستخدم عندما لا تتم مزامنة مفتاح المرور

✅ السماح للمستخدمين بإزالة مفتاح عام من الخادم

✅ الإشارة إلى قائمة مفاتيح المرور عند إزالة مفتاح عام مرتبط من الخادم

• يؤدي الحفاظ على مزامنة قائمة مفاتيح المرور بين الخادم ومقدّم مفاتيح المرور إلى تحسين تجربة المستخدم.

اعتبارات أخرى

✅ إرسال إشارة بشأن تفاصيل المستخدم المعدَّلة (اسم المستخدم والاسم المعروض) عندما يعدّلها المستخدم

✅ إنشاء مفتاح مرور بدلاً من كلمة مرور جديدة عندما ينقر المستخدم على "نسيت كلمة المرور"

الموارد

• تسجيل الدخول بدون كلمة مرور باستخدام مفاتيح المرور
• إنشاء مفتاح مرور لتسجيل الدخول بدون كلمة مرور
• تسجيل الدخول باستخدام مفتاح مرور من خلال ميزة "الملء التلقائي للنماذج"
• مقدّمة عن تنفيذ مفاتيح المرور من جهة الخادم