تاريخ النشر: 10 يوليو 2026
"هيئة خدمات الصحة الوطنية" (NHS) هي هيئة الرعاية الصحية في المملكة المتحدة وتتلّقى تمويلها من القطاع العام. باعتبارها مقدّم خدمة الهوية الرقمية الآمنة لهيئة الخدمات الصحية الوطنية في إنجلترا وويلز، توفّر خدمة NHS login طريقة واحدة موثوقة تتيح لعشرات الملايين من المواطنين الوصول إلى خدمات الرعاية الصحية والاجتماعية. مع وجود قاعدة مستخدمين بهذا الحجم، ومع هذه البيانات الحسّاسة، تُعدّ سهولة المصادقة والأمان أمرَين في غاية الأهمية.
تعاون فريق NHS مع شريك الخدمات الرقمية Hippo لتفعيل ميزة مفاتيح المرور. أشرفت شركة Hippo على أبحاث تجربة المستخدم وعملية الدمج الفني لمفاتيح المرور، ما أتاح للمستخدمين إمكانية الوصول بشكل أسرع وأسهل وأكثر أمانًا، بالإضافة إلى خفض كبير في تكاليف الدعم والتشغيل.
النتائج الرئيسية
- تقليل وقت تسجيل الدخول: يمكن للمستخدمين إثبات ملكية الحساب أسرع 8 مرات باستخدام مفاتيح المرور. انخفضت متوسطات أوقات تسجيل الدخول من 43 ثانية (كلمة المرور ورمز التحقّق لمرة واحدة عبر الرسائل القصيرة) إلى 5 ثوانٍ فقط باستخدام واجهة المستخدم الشرطية.
- معدّل استخدام مرتفع ونطاق واسع: أنشأ المستخدمون 6.7 مليون مفتاح مرور منذ إطلاق الميزة قبل عامَين، ما أدّى إلى تسجيل الدخول باستخدام مفتاح المرور 6 ملايين مرة كل شهر.
- انخفاض تكاليف المعاملات: تم توفير ما يصل إلى 1.2 مليون جنيه إسترليني من تكاليف كلمات المرور الصالحة لمرة واحدة منذ الإطلاق.
| المقياس الرئيسي | التأثير |
|---|---|
| 8x | تسجيل الدخول بشكل أسرع باستخدام مفاتيح المرور (5 ثوانٍ مقابل 43 ثانية) |
| 6.7 مليون | مفاتيح المرور التي أنشأها المستخدمون منذ الإطلاق |
| 6 مليون | عمليات تسجيل الدخول باستخدام مفتاح المرور كل شهر |
| 1.2 مليون جنيه إسترليني | المبلغ الذي تم توفيره في تكاليف كلمات المرور لمرة واحدة المستلَمة عبر الرسائل النصية القصيرة منذ الإطلاق |
التعقيد والتكلفة والإرهاق من كلمات المرور
تُعدّ خدمة NHS login بوابة رقمية مركزية للمستخدمين الذين يريدون الوصول إلى خدمات صحية مختلفة. لضمان عدم استبعاد أي مستخدم، تتيح المنصة استخدام طرق المصادقة المتعددة العوامل (MFA) المستندة إلى كلمة المرور والرسائل القصيرة. ومع ذلك، تواجه هذه الطرق تحديات منهجية:
- كلمات المرور المنسية: يتم حظر المستخدمين بشكل متكرر من الخدمات الصحية لأنّهم ينسون كلمات المرور.
- مخاطر الأمان: تظل كلمات المرور ورموز الرسائل القصيرة معرَّضة لهجمات التصيّد الاحتيالي.
- ارتفاع التكاليف: إنّ إرسال الملايين من الرسائل النصية القصيرة لتفعيل المصادقة الثنائية يتطلّب تكاليف مالية كبيرة.
- عوائق الشمولية: يتطلّب استخدام الرسائل القصيرة أن يتوفّر لدى المستخدمين هاتف جوّال بإشارة موثوقة، ما قد يشكّل عائقًا أمام البعض.
كيف نفّذت هيئة الخدمات الصحية الوطنية (NHS) وHippo مفاتيح المرور؟
كان نهج الفريق يركّز على المستخدمين ويتضمّن تكرارًا، حيث تم التركيز على دمج مفاتيح المرور كطريقة مصادقة جديدة اختيارية بدلاً من استبدالها بشكل إلزامي. وقد أتاح ذلك إمكانية اعتماد الميزة تدريجيًا والاستفادة من ملاحظات المستخدمين على أرض الواقع.
ركّز الفريق على مسارين أساسيين للمطوّرين ضمن النظام الأساسي الحالي، وهما: تسجيل مفتاح المرور والمصادقة.
ترقية المستخدمين من خلال تسجيل مفتاح مرور سلس
بدلاً من إجبار جميع المستخدمين على تسجيل مفتاح مرور على الفور، يستهدف الفريق المستخدمين النشطين الذين تمّت مصادقتهم. بعد أن يسجّل المستخدم الدخول بنجاح باستخدام الطريقة العادية (كلمة المرور + الرسالة القصيرة)، سيظهر له طلب واضح يدعوه إلى إنشاء مفتاح مرور لتسجيل الدخول بشكل أسرع وأكثر أمانًا في المستقبل.
كان التحدي الأكبر الذي واجهناه هو تحقيق التوازن الصحيح بين تثقيف المستخدمين وتمكينهم. كلما حاولنا شرح مفاتيح المرور، زاد تردد المستخدمين. انتقلنا إلى تجربة مستندة إلى الجهاز باستخدام عبارات مألوفة، مثل "بصمة الإصبع" و"التعرّف على الوجه". وقد فهم المستخدمون المفهوم بشكل أسرع بكثير من خلال استخدامه.
بيلين ديمير، مصمّمة تجربة المستخدم في Hippo
تعتمد عملية التسجيل على واجهة برمجة التطبيقات WebAuthn API العادية المتوافقة مع المتصفّح. في ما يلي مثال توضيحي على تسلسل التسجيل:
// Simplified example of the registration call
async function createPasskey() {
try {
// 1. Fetch challenge and options from the NHS Login server
const createOptions = await fetch('/api/passkey/register-options', {
method: 'POST'
}).then(r => r.json());
// 2. Trigger the browser/OS to create the passkey
const credential = await navigator.credentials.create({
publicKey: createOptions
});
// 3. Send the public key credential back to the server for verification and storage
await fetch('/api/passkey/register-verify', {
method: 'POST',
body: JSON.stringify(credential)
});
// 4. Show success message to the user
showSuccess('Passkey saved');
} catch (err) {
console.error('Error creating passkey:', err);
showError('Could not create passkey. Please try again.');
}
}
تسهيل مسار تسجيل الدخول باستخدام واجهة المستخدم الشرطية
يتحقّق التحسين الأهم في تجربة المستخدم من خلال واجهة المستخدم الشرطية
(الملء التلقائي في WebAuthn). من خلال إضافة autocomplete="username webauthn" إلى حقل تسجيل الدخول، يطلب المتصفّح بشكل استباقي من المستخدم المصادقة باستخدام المقاييس الحيوية.
<form action="/login" method="post">
<label for="username">Email or NHS number</label>
<input type="text"
id="username"
name="username"
autocomplete="username webauthn"
required>
<button type="submit">Continue</button>
</form>
أدّى تنفيذ واجهة المستخدم الشرطية إلى زيادة استخدام مفاتيح المرور بمقدار 1.7 مرة تقريبًا، ما يوضّح أنّ إزالة الاحتكاك الناتج عن إدخال البيانات يؤدي إلى تسريع عملية الاستخدام بشكل مباشر.
التعامل مع المفاتيح القديمة باستخدام Signal API
من التحديات التشغيلية المعروفة التي تواجه مفاتيح المرور بيانات الاعتماد القديمة، وهي الحالات التي يزيل فيها المستخدم بيانات اعتماد من إعدادات حسابه، ولكن يظل مفتاح المرور مخزّنًا في خدمة إدارة كلمات المرور على جهازه. محاولة استخدام مفتاح قديم تؤدي إلى حدوث خطأ مربك في المصادقة.
ولحلّ هذه المشكلة، أضاف الفريق WebAuthn Signal API. عند إبطال بيانات اعتماد أو تعديلها في الخلفية، يرسل الخادم إشارة إلى مقدّم خدمة مفاتيح المرور لإجراء المزامنة، ما يؤدي إلى إزالة المفاتيح غير الصالحة من اقتراحات الملء التلقائي للمستخدم بسلاسة.
توفير وصول سلس وأمان محسّن
يتزايد إقبال المستخدمين على استخدام مفاتيح المرور كآلية مصادقة.
- تجربة سلسة للمستخدمين: إنّ إزالة المشاكل المتعلقة بالمصادقة يعني أنّه يمكن للمستخدمين الوصول إلى خدمات هيئة الخدمات الصحية الوطنية وإدارة صحتهم بشكل استباقي، بدون الشعور بالإحباط أو مواجهة المشاكل الناتجة عن نسيان بيانات الاعتماد.
- أمان لا يمكن اختراقه: توفّر مفاتيح المرور حماية مدمجة ضد التصيّد الاحتيالي، ما يضمن أمان بيانات الصحة الحسّاسة جدًا ويساهم في التخلّي عن كلمات المرور والرسائل القصيرة في المستقبل.
- الكفاءة التشغيلية: بالإضافة إلى التوفير المباشر في التكاليف المالية المتعلقة بكلمات المرور الصالحة لمرة واحدة عبر الرسائل القصيرة، يؤدي الحد من الاعتماد على كلمات المرور إلى تحسين الكفاءة بشكل أساسي في هيئة الخدمات الصحية الوطنية. يؤدي انخفاض عدد مكالمات الدعم المتعلقة بكلمات المرور إلى توفير وقت الموظفين للتعامل مع الاستفسارات الأكثر تعقيدًا.
الدروس الرئيسية
أثناء دمج مفاتيح المرور في خدمات "هيئة خدمات الصحة الوطنية"، حدّد الفريق الدروس الرئيسية التالية:
- تجربة المستخدم أهم من التعقيد الفني: كان التنفيذ الفني لـ WebAuthn بسيطًا. كان التحدي الأساسي يكمن في تحسين تجربة المستخدم لتناسب مجموعة واسعة من الفئات الديمغرافية.
- التفعيل بدلاً من التثقيف: يتوقّع المستخدمون أن تدير المنصة الأمان بدون إشعارهم. أدّى الإفراط في شرح آليات عمل مفاتيح المرور إلى زيادة العبء المعرفي، بينما تبيّن أنّ الوثوق بطلبات استخدام الأجهزة المألوفة (المقاييس الحيوية) كان أكثر فعالية.
- رحلات المستخدمين على أجهزة متعددة: قد ينشئ المستخدم مفتاح مرور على هاتفه، ولكن قد يحاول لاحقًا تسجيل الدخول على جهاز كمبيوتر في مكتبة. كانت معالجة عملية التنقّل بين الأجهزة (حيث يعرض الكمبيوتر المكتبي رمز استجابة سريعة يمسحه الهاتف ضوئيًا) رحلة مهمة لتصميمها واختبارها. أضافوا أيضًا قسمًا جديدًا في إدارة حساب المستخدم يعرض مفاتيح المرور والهوية للمساعدة في إدارة مفاتيح المرور (راجِع تحديد مقدّم مفتاح المرور باستخدام AAGUID).
- استرداد الحساب: لا تلغي مفاتيح المرور الحاجة إلى توفير عملية قوية لاسترداد الحساب. كان على الفريق التأكّد من أنّ المستخدم الذي فقد جهازه سيتمكّن من استعادة إمكانية الوصول إلى حسابه بأمان، وهو مسار عالي المخاطر بالنسبة إلى الخدمات المتعلّقة بالصحة.
- الموازنة بين الابتكار والشمولية: على الرغم من أنّ مفاتيح المرور تقدّم تجربة أفضل، لا يمكنها أن تحلّ محل الأنظمة القديمة تمامًا بين عشية وضحاها بدون أن يتخلّف بعض المستخدمين المعرّضين للخطر عن الركب. وقد أبقى الفريق عمدًا على مسار موازٍ يتضمّن كلمة المرور ورمز التحقّق لمرة واحدة عبر الرسائل القصيرة، مع قبول التكلفة المستمرة لضمان عدم استبعاد أي مستخدمين بسبب متطلبات الجهاز أو ضعف تغطية الشبكة.
ما هي الخطوات التالية؟
بعد إنشاء أكثر من 6.7 مليون مفتاح مرور، تعمل شركة Hippo الآن على تحسين الطلبات التي تدعو المستخدمين إلى إنشاء مفتاح مرور. وبدلاً من فرض التبديل، يستخدمون الاختبار لتحديد أفضل الأوقات التي يمكن فيها اقتراح مفاتيح المرور، ما يساعد المزيد من المستخدمين على الترقية بسلاسة.