يمكن لجهات الاعتماد (RP) تحديد موفّر مفتاح المرور الذي تم إنشاء مفتاح المرور من خلاله عن طريق فحص AAGUID لبيانات اعتماد المفتاح العام المرتبطة به.
تحديات متعلقة بإدارة مفاتيح المرور
من مزايا استخدام مفاتيح المرور أنّها تتيح للمستخدمين إنشاء مفاتيح مرور متعددة لحساب واحد. بفضل هذه المرونة وقوة مفتاح المرور، حتى إذا تم حظر المستخدم من الحساب بسبب فقدان أحد مفاتيح المرور، سيظل بإمكانه تسجيل الدخول إلى الجهة المعتمِدة باستخدام مفاتيح مرور بديلة.
التحدي الذي يواجهه المستخدمون الذين يديرون مفاتيح مرور متعددة على جهة موثوقة هو تحديد مفتاح المرور المناسب عندما يحتاجون إلى تعديل مفتاح معيّن أو حذفه من بين المفاتيح الأخرى. من الأمثلة الجيدة على ذلك عندما يريد المستخدم إزالة مفتاح مرور غير مستخدَم. يُنصح موفّرو الخدمات بإرفاق معلومات حول مفتاح المرور، مثل تاريخ الإنشاء وتاريخ آخر استخدام في قائمة مفاتيح المرور. يساعد ذلك المستخدمين في العثور على مفتاح مرور معيّن.
يمكن أن تسمح كلمات المرور أيضًا للمستخدمين بتسمية مفتاح المرور فور إنشائه أو في وقت لاحق، ولكن لا يفعل ذلك العديد من المستخدمين. من المفترض أن يتم تسمية مفاتيح المرور تلقائيًا بما يعكس الإشارات المُرسَلة من العميل أو المعلومات المضمّنة في بيانات المفتاح العام.
توفّر المتصفّحات سلسلة وكيل مستخدم يمكن للجهات المعتمِدة استخدامها لتسمية مفاتيح المرور، ولكن تتيح المنصات، مثل Android أو iOS أو متصفّحات سطح المكتب التي تتضمّن إمكانات إضافات، إنشاء مفتاح مرور من خلال مدراء كلمات المرور التابعين لجهات خارجية، ولا تمثّل سلسلة وكيل المستخدم بالضرورة الجهة التي توفّر مفتاح المرور الفعلي.
باستخدام المعرّف الفريد عالميًا لشهادة المصادقة (AAGUID) في Authenticator، والذي يتم تضمينه في بيانات الاعتماد الخاصة بالمفتاح العام التي يتم عرضها عند تسجيل مفتاح مرور، يمكن لمواقع RP تحديد موفّر مفتاح المرور ومساعدة المستخدمين في العثور على مفتاح المرور المناسب.
تحديد مقدّم مفتاح المرور باستخدام AAGUID
AAGUID هو رقم فريد يحدّد طراز أداة المصادقة (وليس النسخة المحدّدة من أداة المصادقة). يمكن العثور على AAGUID كجزء من بيانات المصادقة الخاصة ببيانات اعتماد المفتاح العام.
يمكن لمواقع RP استخدام AAGUID لتحديد موفّر مفتاح المرور. على سبيل المثال، إذا أنشأ مستخدم مفتاح مرور على جهاز Android باستخدام "مدير كلمات المرور في Google"، سيتلقّى الطرف المعتمد AAGUID بقيمة "ea9b8d66-4d01-1d21-3ce4-b6b48cb575d4". يمكن لموفّر الخدمة إضافة تعليق توضيحي إلى مفتاح المرور في قائمة مفاتيح المرور للإشارة إلى أنّه تم إنشاؤه على "مدير كلمات المرور في Google".
لربط AAGUID بمقدّم مفاتيح مرور، يمكن للأطراف الاعتمادية استخدام مستودع AAGUID مستند إلى مساهمات المجتمع. من خلال البحث عن AAGUID في القائمة، يمكن العثور على اسم مقدّم مفتاح المرور ونص بيانات svg للرمز.
يُعدّ استرداد AAGUID ميزة توفّرها معظم مكتبات WebAuthn. يعرض المثال التالي رمز التسجيل من جهة الخادم باستخدام SimpleWebAuthn:
// Import a list of AAGUIDs from a JSON file
import aaguids from './aaguids.json' with { type: 'json' };
...
// Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
response: credential,
expectedChallenge,
expectedOrigin,
expectedRPID,
requireUserVerification: false,
});
...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || 'Unknown';
الخاتمة
AAGUID هو سلسلة فريدة تحدّد موفّر مفتاح المرور الذي أنشأ مفتاح المرور. يمكن لموفّري الخدمات استخدام AAGUID لتسهيل إدارة مفاتيح المرور على المستخدمين. يمكن استخدام مستودع مصدره المجتمع يتضمّن معرّفات AAGUID لربط معرّفات AAGUID بمقدّمي مفاتيح المرور.