تُعدّ مفاتيح المرور بديلاً أكثر أمانًا وسهولة وسرعة لكلمات المرور، ما يوفر أمانًا مُحسَّنًا وملاءمة أكبر للمستخدمين. للاستفادة بشكل كامل من إمكانات مفاتيح المرور، يجب مراعاة تجربة المستخدم المتعلّقة بإدارتها. يوضّح هذا المستند الإرشادات والميزات الاختيارية لتصميم نظام إدارة مفاتيح المرور السهل الاستخدام والآمن والموثوق.
إدارة مفاتيح مرور متعددة
اسمح للمستخدمين بإضافة مفاتيح مرور متعددة واستخدام أكثر من مقدّم خدمة واحد. ولكن لا تسمح له بإضافة أكثر من مفتاح مرور واحد للحساب نفسه لدى موفّر الخدمة نفسه. إذا فقد المستخدم إمكانية الوصول إلى مقدّم خدمة معيّن، مثلاً عندما لا يتوافق الموفّر مع النظام الأساسي، أو إذا فقد المستخدم إمكانية الوصول إليه، سيظل بإمكانه تسجيل الدخول باستخدام مفتاح مرور آخر من موفّر خدمة مختلف. يقلل هذا الإعداد من خطر قفل الحساب. تأكَّد من أنّ قاعدة بياناتك تتيح تخزين مفاتيح مرور متعددة لكل مستخدم.
عرض قائمة بالمفاتيح المُسجَّلة
يجب أن يعرض موقعك الإلكتروني أو تطبيقك مفاتيح المرور المسجّلة في قائمة تتضمّن تفاصيل مهمة لمساعدة المستخدمين في إدارتها بفعالية. توضّح لقطة الشاشة هذه شكل صفحة إدارة مفاتيح المرور المخصّصة هذه. ويوضّح كيفية إنشاء مفاتيح المرور على منصات متعددة، كما يوفّر مكانًا مركزيًا لإدارة هذه المفاتيح.
في ما يلي بعض التفاصيل والميزات الشائعة التي يمكن للمواقع الإلكترونية والتطبيقات عرضها حول مفتاح المرور:
- اسم مفتاح المرور: عرض اسم مفتاح المرور الذي تم منحه في وقت تسجيل الجهاز من المفترض أن يتطابق هذا الاسم مع موفِّر مفتاح المرور الذي تم إنشاؤه استنادًا إلى AAGUID. في حال عدم العثور على مقدّم مفتاح مرور مطابق، من المفترض أن يكون من المناسب تسميته باسم معلومات الجهاز استنادًا إلى سلسلة وكيل المستخدم.
- شعار مقدّم مفتاح المرور: لعرض شعار مقدّم مفتاح المرور. يساعد ذلك المستخدم في تحديد مفتاح المرور الذي يريد إدارته.
- الطابع الزمني لإنشاء مفتاح المرور وآخر مرة تم استخدامه فيها: يمكن أن يساعد أيضًا تسجيل الطابع الزمني لإنشاء مفتاح المرور والطابع الزمني لآخر مرة تم استخدامه فيها وعرضهما المستخدم في تحديد مفتاح المرور الذي يريد إدارته.
- مؤشر عدم المزامنة: تتم مزامنة مفاتيح المرور تلقائيًا، ولكن لا تزال ميزة مزامنة موفّري مفاتيح المرور في مرحلة التطوير. من الشائع أن يشعر المستخدم بالارتباك عندما لا تتم مزامنة مفتاح المرور على الرغم من توقّعه ذلك. يمكن أن يساعد عرض عدم إمكانية مزامنة مفتاح المرور في توضيح هذا الالتباس للمستخدمين.
- زر الحذف: يمكنك السماح للمستخدمين بحذف مفتاح المرور. اطّلِع على السماح بحذف مفتاح مرور للحصول على المزيد من التفاصيل.
- زر التعديل: يقدّر العديد من المستخدمين إمكانية إعادة تسمية مفتاح المرور. على سبيل المثال، عندما تكون هناك مفاتيح مرور متعددة من مقدّم مفاتيح المرور نفسه ولكن مع حسابات مقدّم خدمة مختلفة. تخيل حفظ عدة مفاتيح مرور في حسابات Google مختلفة. من خلال السماح للمستخدم بإعادة تسمية مفتاح المرور، يمكنه تغييره إلى اسم يفضّله.
- متصفّح أو نظام التشغيل أو عنوان IP لآخر عملية تسجيل دخول: يساعد تقديم تفاصيل عن عملية تسجيل الدخول الأخيرة، إن أمكن، المستخدم في تحديد عمليات تسجيل الدخول المريبة. يمكن أن يقدّم browser أو نظام التشغيل أو عنوان IP (أو الموقع الجغرافي) المستخدَم لتسجيل الدخول معلومات مفيدة.
السماح بحذف مفتاح مرور
السماح للمستخدمين بحذف مفتاح مرور يساعد ذلك في ترتيب القائمة، على سبيل المثال، عند تبديل المستخدم إلى جهاز جديد ولكن مفتاح المرور المرتبط به مرتبط بالجهاز القديم. ويُعدّ ذلك مفيدًا أيضًا عندما يستولي مهاجم على حساب مستخدم ويُنشئ مفتاح مرور لاستخدامه في المستقبل.
الإشارة إلى قائمة مفاتيح المرور المعدَّلة
يؤدي حذف مفتاح مرور إلى إزالة إدخال بيانات الاعتماد والمفتاح العام من قاعدة بيانات الخادم. بهذه الطريقة، سيختفي مفتاح المرور من قائمة مفاتيح المرور المسجّلة وسيبدو للمستخدم أنّه تم حذف مفتاح المرور. في الواقع، تتم إزالته فقط من الخادم، ويظل مفتاح المرور المخزَّن في موفِّر مفتاح المرور محفوظًا، ما قد يسبب بعض الالتباس. في المرة التالية التي يحاول فيها المستخدم تسجيل الدخول، سيظل مفتاح المرور الذي تمّت إزالته يظهر كخيار لتسجيل الدخول. ولكن، لن تتم المصادقة باستخدامه، لأنّه سبق أن تم حذف المفتاح العام المطابق من الخادم.
لتجنّب حدوث أي التباس، من المهم الحفاظ على اتساق مفتاح المرور في موفِّر مفتاح المرور والمفتاح العام في الخادم. يمكنك إجراء ذلك من خلال إرسال قائمة مفاتيح المرور المعدّلة إلى مقدّم مفاتيح المرور. إذا كان المتصفّح وموفّر مفاتيح المرور يتيحان استخدام واجهة برمجة التطبيقات Signal API، يمكنهما تعديل قائمة مفاتيح المرور وحذف مفاتيح المرور غير الضرورية. إذا لم تكن واجهة برمجة التطبيقات متوافقة، شجِّع المستخدم على حذف مفتاح المرور يدويًا.
حذف مفتاح المرور الأخير
إذا حاول مستخدم حذف مفتاح المرور الأخير المتبقّي لحساب معيّن، تأكَّد من أنّه يدرك أنّه سيضطر إلى تسجيل الدخول باستخدام خيار آخر يتطلّب مزيدًا من الجهد وقد يكون أقل أمانًا. إذا كانت هذه هي الطريقة الوحيدة لتسجيل الدخول إلى موقعك الإلكتروني، لن يتمكّن العميل من تسجيل الدخول مرة أخرى. أطلِع المستخدمين على كيفية تسجيل الدخول في المرة القادمة، مثل استخدام طريقة احتياطية إذا كانت متاحة أو مطالبتهم بتسجيل مفاتيح مرور أخرى قبل المتابعة. هذه فرصة جيدة لجمع الملاحظات حول سبب عدم استخدام مفتاح المرور.
السماح بإنشاء مفاتيح مرور جديدة
على الرغم من توفّر فرص لإنشاء مفاتيح مرور على مدار رحلة المستخدم، (مثلاً بعد تسجيل الدخول مباشرةً)، من المهم أن يتوفّر مركز موحّد يمكن للمستخدمين الانتقال إليه في أي وقت لإنشاء مفاتيح مرور جديدة وحذف مفاتيح المرور وإدارتها. وشاشة إدارة مفتاح المرور هي أفضل مكان لإجراء ذلك.
لإنشاء مسار مستخدم لمفتاح المرور، اتّبِع الخطوات الواردة في إنشاء مفتاح مرور لعمليات تسجيل الدخول بدون كلمة مرور في دليل المطوّر. للحصول على مستوى أمان متقدّم، ننصحك بالسماح للمستخدمين بإنشاء مفتاح مرور على رمز أمان جهازي. من المتوقّع أن يكون المستخدمون الذين يريدون إدارة مفاتيح المرور أكثر دراية أو خبرة، لذا فإنّ السماح لهم بإنشاء مفتاح مرور على مفتاح الأمان يمنحهم مرونة أكبر.
للسماح بحفظ مفاتيح المرور في رمز أمان خارجي، اترك القيمة
authenticatorSelection.authenticatorAttachment غير محدّدة بدلاً من ضبطها على
"platform" في طلب إنشاء مفتاح مرور. بهذه الطريقة، يقبل المتصفّح مصادقة
النظام الأساسي (الجهاز) ومصادقة التجوال (مفتاح أمان) بدون أن تختلف
تجربة المستخدم بشكل كبير عن السماح فقط بمصادقة
النظام الأساسي. يظهر خيار إنشاء مفتاح مرور على مفتاح أمان كأحد
الخيارات الثانوية.
قائمة التحقق
- السماح للمستخدمين بإدارة مفاتيح المرور في صفحة إدارة مفاتيح المرور
- إتاحة تسجيل مفاتيح مرور متعددة
- السماح للمستخدمين بإضافة أنواع جديدة ومرنة من مفاتيح المرور في صفحة الإدارة
- عرض اسم مفتاح المرور
- حدِّد ما إذا كان مفتاح المرور قابلاً للمزامنة أم لا.
- السماح للمستخدمين بإزالة مفتاح عام من الخادم
- الإشارة إلى قائمة مفاتيح المرور عند إزالة مفتاح عام مرتبط من الخادم
أدلة تجربة المستخدم الأخرى
- أدلة تجربة المستخدم العامة لمفاتيح المرور
- أدلة Android