تحديث المصادقة باستخدام مفاتيح المرور وبيانات الاعتماد الرقمية وغير ذلك

Eiji Kitamura
Natalia Markoborodova

تاريخ النشر: 21 مايو 2026

في مؤتمر Google I/O 2026، تحدّثنا عن الويب الذي لا يتطلّب تسجيل الدخول عناءً. يجب أن تكون نقطة دخول آمنة ومبسّطة تمنح المستخدمين شعورًا بالأمان. تتضمّن هذه المشاركة ملخّصًا حول كيفية إصلاح مسارات حسابك وتقليل المشاكل وحماية المستخدمين منذ البداية.

وصول سريع

أهمية التحديث

تؤدي المسارات التي تتطلّب جهدًا كبيرًا (مثل نماذج الاشتراك غير المنظَّمة أو حلقة "نسيت كلمة المرور" المزعجة أو جدار أزرار تسجيل الدخول) إلى إفساد تجربة المستخدم. وهي "تقتل التبديل بين السياقات" وتؤدي إلى فقدان المستخدمين. تُعد كلمات المرور القديمة وكلمات المرور الصالحة لمرة واحدة (OTP) من الطرق التي يمكن من خلالها تعرُّض المستخدمين للتصيّد الاحتيالي.

كل ثانية من الاحتكاك هي فرصة لتوقف المستخدم عن التفاعل. ويؤدي تحديث عملية المصادقة إلى حماية أنظمتك ومستخدميك. ومن خلال تسهيل كل نقطة اتصال في رحلة إثبات الهوية، يمكنك زيادة معدّلات الإحالات الناجحة بشكل طبيعي. على سبيل المثال، حقّقت منصة pixiv معدّل نجاح مذهلاً في تسجيل الدخول بلغ% 99 (تحسُّن بنسبة% 29 مقارنةً بكلمات المرور) بعد تنفيذ ميزة مفاتيح المرور. سيؤدي التوقف عن استخدام بيانات الاعتماد الضعيفة إلى تسريع العمليات وجعلها أكثر أمانًا.

تبسيط عملية إنشاء الحساب

يحدّد التفاعل الأول للمستخدم مع تطبيقك الانطباع العام. وتبدأ عملية تبسيط إنشاء الحساب بتحسين معدّل الاستخدام والأمان.

اتحاد الهوية كطريقة أساسية لإنشاء الحساب

يمكنك السماح للمستخدمين بتخطّي نماذج إنشاء الحسابات المملّة باستخدام اتحاد الهوية، ما يتيح لهم الاشتراك باستخدام مقدّم خدمة موثوق به مثل Google. يوفّر ذلك تجربة اشتراك سلسة وفعّالة تتيح للمستخدمين الوصول إلى تطبيقك بدون الحاجة إلى إجراءات التسجيل المعتادة.

يعني الاتحاد أنّ المستخدمين ليسوا مضطرين إلى كتابة أسمائهم أو عناوين بريدهم الإلكتروني يدويًا. بما أنّ مقدّم الخدمة قد أثبت هويته، يمكنك تخطّي الخطوات المكرّرة لإثبات هويته بشكل مستقل، وبالتالي جذب المزيد من المستخدمين.

بالإضافة إلى ذلك، يتيح لك استخدام حلّ هوية موحّدة الاستفادة من مستوى الأمان الذي يوفّره موفِّر هوية مخصّص. بما أنّ موفّري خدمات تحديد الهوية متخصصون في تحديد الهوية والأمان، فإنّ الاعتماد على بنيتهم الأساسية يزيل خطر إنشاء عملية مصادقة من البداية.

استخدام واجهة برمجة التطبيقات Federated Credential Management (FedCM) API

إذا كنت تعمل كموفّر هوية، ننصحك باستخدام واجهة برمجة التطبيقات FedCM. وتتم معالجة التفاعل من خلال واجهة مستخدم المتصفّح، ما يحمي الخصوصية من خلال منع التتبُّع مع منح المستخدمين إمكانية تسجيل الدخول بنقرة واحدة، كما يقلّل من الازدحام في واجهة المستخدم من خلال عرض الحسابات ذات الصلة فقط.

مربّع حوار وضع تسجيل الدخول النشط في FedCM على الكمبيوتر المكتبي يطلب من المستخدم تسجيل الدخول باستخدام حسابه يحتوي مربّع الحوار على رمز علامة تجارية وخيارات لتسجيل الدخول إلى RP باستخدام الحساب الحالي الذي يوفّره IdP، أو اختيار حساب مختلف، أو الإلغاء. ويكون مربّع الحوار في المنتصف وأكبر من مربّع حوار الوضع السلبي.
FedCM: مربّع حوار واجهة المستخدم في الوضع النشط مزيد من المعلومات عن أوضاع واجهة المستخدم المتاحة التي توفّرها FedCM

نمط "التوحيد ثم الترقية"

تجمع ميزة "الربط ثم الترقية" بين سرعة الربط والأمان طويل الأمد الذي توفّره مفاتيح المرور. إذا طلبت مفتاح مرور بعد عملية تسجيل موحّدة مباشرةً، سيكون تسجيل الدخول التالي للمستخدم مقاومًا للتصيّد الاحتيالي منذ اليوم الأول.

تحسين النماذج لاستخدام ميزة "الملء التلقائي"

إذا كانت النماذج اليدوية ضرورية، استخدِم سمتَي name وid الوصفيّتَين وقيم autocomplete الصحيحة للسماح للمتصفّح بملء الحقول للمستخدم. يقلّل ذلك من العبء الإدراكي واحتمالية حدوث أخطاء إملائية أثناء عملية الاشتراك. يمكنك الاطّلاع على أفضل الممارسات المتعلّقة بنموذج الاشتراك للحصول على مزيد من التفاصيل حول تحسين النموذج.

<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">

<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">

التحقّق السلس من صحة السمات

يؤدي اضطرار المستخدمين إلى مغادرة تطبيقك للتحقّق من الرمز في رسالتهم الإلكترونية إلى انخفاض معدّلات الإحالات الناجحة. وهذا التبديل بين التطبيقات هو ما يشتّت انتباه المستخدمين ويجعلهم لا يعودون إلى تطبيقك.

التعرّف على بروتوكول تأكيد عنوان البريد الإلكتروني (EVP)

يتيح بروتوكول التحقّق من عنوان البريد الإلكتروني (EVP)، وهو ميزة جديدة، لتطبيقك الحصول على عنوان بريد إلكتروني تم التحقّق منه مباشرةً من خلال المتصفّح.

للموافقة على استخدام هذه الميزة، أضِف حقل إدخال مخفيًا مع السمة autocomplete="email-verification-token" ومع challenge. يحلّل المتصفّح نطاق البريد الإلكتروني من الإدخال ويطلب من جهة إصدار البريد الإلكتروني التحقّق من أنّ المستخدم يتحكّم في هذا البريد الإلكتروني. بعد إكمال عملية التحقّق بنجاح، يعرض المتصفّح مطالبة بعنوان بريد إلكتروني تم التحقّق منه، ويمكن لخادمك الخلفي التحقّق منها على الفور. بالنسبة إلى المستخدم، يتم هذا المسار بسلاسة، ولا يرى سوى إشعار عند إثبات ملكية عنوان البريد الإلكتروني.

تزيل ميزة EVP الحاجة إلى خطوات إضافية قد تدفع المستخدمين إلى التوقف عن استخدام التطبيق (مثل الروابط السحرية أو كلمات المرور لمرة واحدة التي يتم إرسالها إلى البريد الإلكتروني) عند تسجيل الدخول أو الاشتراك أو إعادة ضبط كلمة المرور.

<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">

يُرجى العلم أنّ توفير ميزة "التحقّق من صحة عنوان البريد الإلكتروني" يعود إلى مزوّدي خدمة البريد الإلكتروني. يُرجى التواصل مع مقدّم الخدمة الذي تتعامل معه لمعرفة ما إذا كان يخطّط لإتاحة ميزة "الشراء الإلكتروني". إذا كان لديك نطاق مخصّص، يمكنك ربطه بمزوّد خدمة بريد إلكتروني متوافق لتفعيل ميزة "التحقّق من صحة عنوان البريد الإلكتروني" أيضًا.

بما أنّ هذه الميزة لا تزال في مرحلة تجريبية، يهمّنا تلقّي ملاحظاتك بشأنها في مستودع GitHub.

مثال على خطوات "بروتوكول إثبات ملكية عنوان البريد الإلكتروني" (EVP)

Digital Credentials API

بالنسبة إلى التفاصيل الحسّاسة، مثل الاسم القانوني أو العمر، يوفّر Digital Credentials API طريقة لطلب بيانات تم التحقّق منها من محفظة المستخدم من خلال وسيط المتصفّح باستخدام الإفصاح الانتقائي. وهذا يعني أنّه يمكنك التأكّد من أنّ المستخدم يتجاوز سنًا معيّنًا، بدون تلقّي تاريخ ميلاده الكامل أو اسمه القانوني، ما يحافظ على خصوصيته.

اطّلِع على واجهة برمجة التطبيقات الخاصة ببيانات الاعتماد الرقمية: هوية آمنة وخاصة على الويب.

تنفيذ مفاتيح المرور لتسجيل الدخول بسلاسة

مفاتيح المرور هي أكثر من مجرد بديل لكلمات المرور. وهي تمثّل تحوّلاً أساسيًا نحو مصادقة سلسة ومقاومة للتصيّد الاحتيالي.

وضع واجهة المستخدم الفورية

بدءًا من الإصدار 149 من Chrome، تتوفّر ميزة وضع واجهة المستخدم الفوري. تسمح هذه السياسة للموقع الإلكتروني بالبحث عن بيانات الاعتماد فور انتقال المستخدم إلى موقعك الإلكتروني. إذا كان مفتاح مرور أو كلمة مرور متاحًا في مدير كلمات المرور، يتوسّط المتصفّح عملية تسجيل الدخول من خلال عرض قائمة بالحسابات المتاحة في مربّع حوار تسجيل الدخول على الفور.

ويؤدي ذلك إلى عدم اضطرار المستخدم إلى اختيار طريقة تسجيل الدخول. من خلال تقديم بيانات الاعتماد للحساب المحدّد بشكل استباقي، يمكنك إنشاء تجربة سلسة بنقرة واحدة تبدو وكأنّها سحر بالنسبة إلى المستخدم.

const credential = await navigator.credentials.get({
  password: true,
  uiMode: 'immediate',
  publicKey: publicKeyObject,
});

يمكنك الاطّلاع على وضع واجهة المستخدم الفورية لعمليات تسجيل الدخول.

الملء التلقائي للنماذج باستخدام مفاتيح المرور: استخدام ميزة "الملء التلقائي للنماذج" أثناء الانتقال إلى مفاتيح المرور

بالنسبة إلى المستخدمين على موقع إلكتروني ينتقل من كلمات المرور إلى مفاتيح المرور، تتيح ميزة الملء التلقائي لنماذج مفاتيح المرور ظهور مفاتيح المرور في اقتراحات الملء التلقائي عند التركيز على حقل الإدخال. وهذا يعني أنّه إذا كان لدى المستخدم مفتاح مرور، سيتم عرض خيار استخدام مفتاح المرور بمجرد أن يركّز على حقل اسم المستخدم في نموذج تسجيل الدخول. وفي حال عدم توفّرها، سيظل بإمكانهم استخدام كلمة المرور المحفوظة.

مثال على اختيار مفتاح مرور من خلال الملء التلقائي للنموذج

لتفعيل ذلك، أضِف تعليقًا توضيحيًا إلى حقل اسم المستخدم باستخدام autocomplete="username webauthn" واضبط قيمة mediation على 'conditional' عند استدعاء navigator.credentials.get().

وهذه الخطوة مهمة جدًا خلال عملية الانتقال إلى مستقبل بدون كلمات مرور، لأنّها تساعد المستخدمين على التعرّف على مفاتيح المرور من خلال واجهة مألوفة.

اطّلِع على قائمة التحقّق من مصادقة مفاتيح المرور.

الاستخدام الاستراتيجي لمفاتيح المرور

غالبًا ما يكون الاعتماد مسألة توقيت. يمكن أن يؤدي تشجيع المستخدم على إعداد مفتاح مرور في الوقت المناسب إلى زيادة احتمالية إعداده بشكل كبير.

إنشاء مفاتيح المرور تلقائيًا

لا يريد أحد البحث في إعدادات الأمان لمجرّد إعداد طريقة جديدة لتسجيل الدخول. بالنسبة إلى المستخدمين الحاليين الذين يستخدمون كلمات المرور، كيف ومتى يجب أن تطلب منهم الترقية إلى مفاتيح المرور؟

وهنا يأتي دور إنشاء مفاتيح المرور تلقائيًا. باستخدام Conditional Create، يمكن للمتصفّح تلقائيًا ترقية حسابات المستخدمين الذين يستخدمون كلمات المرور إلى مفاتيح مرور في اللحظة التي يسجّل فيها المستخدم الدخول باستخدام خدمة إدارة كلمات المرور.

مسار طلب مفتاح المرور مع إنشاء مشروط

من خلال تمرير mediation: 'conditional' إلى واجهة برمجة التطبيقات navigator.credentials.create()، التي يتم تشغيلها عند تسجيل دخول المستخدم بنجاح مؤخرًا باستخدام كلمة المرور المحفوظة في "مدير كلمات المرور"، ينشئ المتصفّح مفتاح مرور جديدًا بشكلٍ تلقائي بدون إجباره على المرور بشاشات إعداد إضافية.

يعني التسجيل بدون أي عوائق أنّ المستخدمين لا يحتاجون إلى اتّخاذ قرار واعٍ لتحسين أمانهم. ويتم ذلك تلقائيًا، ما يوفّر الحماية بدون الحاجة إلى بذل أي جهد إضافي. على سبيل المثال، حقّقت شركة adidas زيادة بنسبة% 8 في عمليات إنشاء مفاتيح المرور باستخدام استراتيجية عدم طلب أي إجراء.

await navigator.credentials.create({
  mediation: 'conditional',
  publicKey: { ... },
});

قائمة التحقّق من تسجيل مفاتيح المرور

إدارة مفاتيح المرور واستردادها بشكل مرن

من المهم أن تكون بيانات الاعتماد متاحة للمستخدمين بسهولة على جميع الأجهزة والمواقع الإلكترونية والخدمات. بالإضافة إلى إدارتها والتأكّد من إمكانية استعادة الحسابات في حال فقدان الجهاز أو سرقته.

الاتّساق على مستوى عدّة منصات

إذا كان لديك عدّة مواقع (على سبيل المثال، تطبيق Android وموقع إلكتروني أو عدّة مواقع إلكترونية) تشترك في نظام تسجيل دخول واحد، يمكنك تحسين تجربة المستخدمين. من خلال ميزة مشاركة بيانات الاعتماد بسلاسة، يمكن لخدمات إدارة كلمات المرور أن تقترح بيانات الاعتماد المناسبة على المستخدم في جميع خدماتك.

تتألف ميزة مشاركة بيانات الاعتماد بسلاسة من تقنيتَين: روابط تنقل إلى مواد عرض رقمية لكلمات المرور وطلبات المصدر ذي الصلة لمفاتيح المرور.

يضمن استخدام روابط التنقل إلى مواد العرض الرقمية توفُّر كلمات المرور التي تم إنشاؤها على الويب في تطبيق Android والعكس. ويتيح أيضًا لخدمات إدارة كلمات المرور اقتراح بيانات اعتماد سبق حفظها على مستوى نطاقات مختلفة تملكها وتستخدم الخلفية نفسها للمصادقة.

استخدِم طلبات المصدر ذي الصلة لإتاحة استخدام مفاتيح المرور على نطاقات وتطبيقات مختلفة من خلال أداة إدارة بيانات الاعتماد الخاصة بالمستخدم.

هذه طريقة أخرى يمكنك من خلالها تسهيل تجربة تسجيل الدخول للمستخدمين.

تزويد المستخدمين بصفحة لإدارة مفاتيح المرور

مثال على صفحة إدارة مفاتيح المرور التي تعرض أفضل الممارسات

لتقديم تجربة متطوّرة باستخدام مفاتيح المرور، نقترح إنشاء صفحة مخصّصة لإدارة مفاتيح المرور تتضمّن دعمًا لأسماء موفّري الخدمة الواضحة وأوقات الاستخدام وعناصر التحكّم. ويساعد ذلك المستخدمين في إدارة إعداداتهم بثقة. الشفافية هي أساس الثقة.

اطّلِع على قائمة التحقّق الخاصة بإدارة مفاتيح المرور.

استرداد الحساب بشكل مرن

يمكن فقدان الأجهزة أو استبدالها بأجهزة أحدث. تتسم مفاتيح المرور بالمرونة بطبيعتها لأنّها تستخدم الحماية على مستوى الأجهزة، كما تتم مزامنتها عادةً على السحابة الإلكترونية، ما يتيح للمستخدمين استعادتها على جهاز جديد. ومع ذلك، يضمن توفّر خيار احتياطي، مثل عنوان بريد إلكتروني تم إثبات ملكيته، ألا يفقد المستخدمون إمكانية الوصول إلى حياتهم الرقمية.

بدلاً من إبقاء المستخدمين على الانتظار أثناء مكالمة مع مركز المساعدة، يمكنك إثبات ملكيتهم باستخدام إشارات موثوقة، مثل اتحاد الهوية أو تأكيد عنوان البريد الإلكتروني.

ومن خلال دمج هذه الإشارات في استراتيجية استرداد الحساب، يمكنك استعادة إمكانية الوصول إلى الحساب على الفور. بعد استعادة الجهاز، سجِّل مفتاح مرور جديدًا على الفور لحماية حسابك من التصيّد الاحتيالي مرة أخرى.

حماية الجلسات باستخدام ميزة "بيانات اعتماد الجلسة المحصورة بالجهاز"

لحماية المستخدمين من اختراق الحسابات، يُعدّ الحفاظ على أمان ملفات تعريف الارتباط الخاصة بالجلسة طبقة دفاع مهمة أخرى. بيانات اعتماد الجلسة المحصورة بالجهاز (DBSC) هي طريقة تتيح لك ربط جلسة بالجهاز. يؤدي ذلك إلى الحدّ من سرقة الجلسات لأنّه حتى في حال سرقة ملف تعريف الارتباط، يمكن للجهاز نفسه فقط طلب إعادة إصداره، ما يضيف طبقة أمان أخرى إلى جلستك.

ميزة "بيانات اعتماد الجلسة المرتبطة بالجهاز" هي ميزة تجريبية تتوفّر الآن على أجهزة Windows. يمكنك الاطّلاع على مزيد من المعلومات حول هذا التعديل في إعلان بيانات اعتماد الجلسة المرتبطة بالجهاز على Windows. نعمل أيضًا على توسيع نطاق توفّر ميزة &quot;النسخ الاحتياطي والاستعادة المباشرة&quot; لتشمل أجهزة macOS.

مهارات الوكيل في ما يخصّ مفاتيح المرور

لقد أدرجنا مهارات متعلقة بمفاتيح المرور تغطي العديد من الجوانب الموضّحة في هذه المشاركة ضمن مشروع "إرشادات الويب الحديث". سننشر قريبًا مشاركة في المدونة تتناول تحديدًا مهارات مفتاح المرور.

هل أنت مستعد للمساهمة في بناء مستقبل المصادقة؟

يمكنك الاطّلاع على أدلةنا التفصيلية والبدء في التحديث اليوم: