ما هو مفتاح المرور (Passkey)؟
مفتاح المرور هو طريقة جديدة لتسجيل الدخول إلى المواقع والتطبيقات دون استخدام كلمة مرور تقليدية. بدلاً من إنشاء سلسلة من الأحرف وتذكّرها، يقوم جهازك — سواء أكان هاتفاً ذكياً أم حاسوباً محمولاً أم جهازاً لوحياً — بتوليد زوج فريد من المفاتيح التشفيرية يُثبت هويتك. تتم عملية المصادقة باستخدام ميزة مدمجة في جهازك مسبقاً، كبصمة الإصبع أو التعرف على الوجه أو رمز PIN. ولا يطّلع الموقع على سرّك الفعلي أبداً؛ بل يتلقى فقط دليلاً تشفيرياً يُثبت أنك الشخص الصحيح.
تستند مفاتيح المرور إلى المعياريين المفتوحين FIDO2 وWebAuthn، مما يعني توافقها مع المنصات الرئيسية، بما فيها أنظمة Apple وGoogle وMicrosoft. وتدعم خدمات كبرى مثل Google وApple وGitHub وPayPal مفاتيح المرور بالفعل، وتتسارع وتيرة اعتمادها باستمرار.
كيف تعمل مفاتيح المرور؟
يتكوّن كل مفتاح مرور من زوج من المفاتيح المرتبطة رياضياً: مفتاح عام ومفتاح خاص.
- يُخزَّن المفتاح العام على خادم الموقع أو التطبيق الذي تسجّل الدخول إليه.
- لا يغادر المفتاح الخاص جهازك أبداً، إذ يظل محمياً ببياناتك البيومترية أو رمز PIN الخاص بجهازك.
عند تسجيل الدخول، يرسل الخادم إلى جهازك تحدياً — وهو في جوهره بيانات عشوائية. يستخدم جهازك المفتاح الخاص لتوقيع هذا التحدي ثم يُعيد إرسال التوقيع. يتحقق الخادم من التوقيع مقارنةً بمفتاحك العام، فإن تطابقا أُتيح لك الدخول.
لا تُرسَل أي كلمة مرور أو تُخزَّن على خادم أو تنكشف في أي وقت. وحتى في حال اختراق قاعدة بيانات موقع ما، لن يجد المهاجمون سوى مفاتيح عامة لا قيمة لها بمعزل عن غيرها.
لماذا تهم مفاتيح المرور مستخدمي VPN؟
يميل مستخدمو VPN إلى الاهتمام بالأمان أكثر من المستخدم العادي، وتتصدى مفاتيح المرور مباشرةً لبعض أكثر التهديدات شيوعاً التي يسعى مستخدمو VPN إلى الحماية منها.
المقاومة ضد التصيد الاحتيالي: يمكن سرقة كلمات المرور التقليدية عبر صفحات تسجيل دخول مزيّفة. أما مفاتيح المرور فهي مرتبطة تشفيرياً بنطاقات محددة، لذا لا يستطيع حتى موقع مقنع يُحاكي الموقع الأصلي خداع جهازك لتسليم بيانات اعتماد. وهذا من أبرز المكاسب الأمنية العملية التي توفرها مفاتيح المرور.
لا خطر من هجمات حشو بيانات الاعتماد: نظراً لعدم وجود كلمة مرور قابلة لإعادة الاستخدام يمكن سرقتها، فإن هجمات حشو بيانات الاعتماد — التي يجرّب فيها المهاجمون مجموعات من أسماء المستخدمين وكلمات المرور المسرّبة عبر خدمات متعددة — لا تجدي نفعاً ضد الحسابات المحمية بمفاتيح المرور.
حماية حساب VPN نفسه: بدأ كثير من مزودي VPN بدعم مفاتيح المرور لتسجيل الدخول إلى الحسابات. فإذا كان حساب VPN الخاص بك مؤمَّناً بمفتاح مرور، فلن يتمكن المهاجم الذي حصل على بريدك الإلكتروني وكلمة مرورك من اختراق آخر من تسجيل الدخول أو تغيير اشتراكك أو الوصول إلى إعدادات حسابك.
التوافق مع أمان انعدام الثقة (Zero-Trust): بالنسبة لمستخدمي VPN في بيئات الأعمال والعاملين عن بُعد، تُكمّل مفاتيح المرور نماذج الوصول إلى الشبكة القائمة على مبدأ انعدام الثقة، من خلال توفير تحقق قوي ومقاوم للتصيد الاحتيالي من الهوية قبل منح الوصول إلى الموارد.
أمثلة عملية وحالات استخدام
- أمان الحسابات الشخصية: تزور Google وتنقر على "تسجيل الدخول بمفتاح المرور"، فيطلب منك هاتفك بصمة إصبعك. تنتهي العملية — دون الحاجة إلى أي كلمة مرور.
- الوصول عن بُعد للشركات: يستخدم موظف مفتاح مرور على حاسوبه المحمول للعمل للمصادقة على VPN للوصول عن بُعد، مما يُلغي خطر منح كلمة مرور VPN المسروقة وصولاً غير مصرح به.
- الأمان أثناء السفر: إذا كنت تسافر عبر مناطق ذات مراقبة مرتفعة أو تنطوي على مخاطر Wi-Fi العامة، فإن مفاتيح المرور تعني حرفياً عدم وجود كلمة مرور يمكن لبرنامج تسجيل المفاتيح أو أداة استنشاق الشبكة التقاطها.
- وصول المطورين والخوادم: تدعم منصات مثل GitHub مفاتيح المرور، مما يُؤمّن الوصول إلى المستودعات والبنية التحتية دون الكشف عن كلمات المرور.
خلاصة القول
تمثّل مفاتيح المرور تحسيناً حقيقياً مقارنةً بكلمات المرور — فهي أكثر أماناً وأيسر استخداماً ومقاومة لأشيع أساليب الهجوم. ولكل من يهتم بالخصوصية والأمان على الإنترنت، يُعدّ تفعيل مفاتيح المرور في كل مكان ممكن أحد أكثر الخطوات فعالية التي يمكنك اتخاذها الآن.