تحديث المصادقة باستخدام مفاتيح المرور وبيانات الاعتماد الرقمية وغير ذلك

Eiji Kitamura
Natalia Markoborodova

Published: May 21, 2026

في مؤتمر Google I/O لعام 2026، تحدّثنا عن تجربة تسجيل دخول سلسة على الويب. يجب أن تكون نقطة دخول آمنة ومبسّطة تمنح المستخدمين شعورًا بالأمان. يلخّص هذا المنشور كيفية إصلاح مسارات الحساب وتقليل المشاكل وحماية المستخدمين منذ البداية.

وصول سريع

أهمية التحديث

تؤدي المسارات التي تتضمّن مشاكل كثيرة (مثل نماذج الاشتراك غير المنظّمة أو حلقة "نسيت كلمة المرور" المزعجة أو مجموعة أزرار تسجيل الدخول) إلى إحباط المستخدمين. فهي "تُعيق التبديل بين السياقات" وتؤدي إلى فقدان المستخدمين. كما أنّ كلمات المرور القديمة وكلمات المرور لمرة واحدة (OTP) تجعل المستخدمين عرضة للتصيّد الاحتيالي.

كل ثانية من الاحتكاك هي فرصة للمستخدمين للانسحاب. ويحمي تحديث عملية المصادقة أنظمتك ومستخدميك. من خلال تسهيل كل نقطة اتصال في رحلة الهوية، يمكنك زيادة معدّلات الإحالات الناجحة بشكل طبيعي. على سبيل المثال، حقّق موقع pixiv معدّل نجاح مذهلاً لتسجيل الدخول بلغ% 99 (تحسّن بنسبة% 29 مقارنةً بـ كلمات المرور) بعد تنفيذ مفاتيح المرور. ويؤدي الابتعاد عن بيانات الاعتماد الضعيفة إلى تسريع العملية وزيادة الأمان.

تبسيط عملية إنشاء الحساب

يحدّد التفاعل الأول للمستخدم مع تطبيقك الانطباع الأولي. ويُعد تبسيط عملية إنشاء الحساب الخطوة الأولى نحو تحسين معدّل التبنّي والأمان.

اتحاد الهوية كطريقة أساسية لإنشاء الحساب

يمكنك السماح للمستخدمين بتخطّي نماذج إنشاء الحساب المملة باستخدام اتحاد الهوية، ما يتيح لهم الاشتراك لدى موفّر موثوق به، مثل Google. يوفّر ذلك تجربة اشتراك قوية وسلسة تتيح للمستخدمين الوصول إلى تطبيقك بدون "المشقة" المعتادة للتسجيل.

يعني الاتحاد أنّه ليس على المستخدمين كتابة أسمائهم أو عناوين بريدهم الإلكتروني يدويًا. بما أنّ الموفّر قد أثبت هويتهم، يمكنك تخطّي الخطوات الزائدة لإثبات هويتهم بشكل مستقل وجذب المزيد من المستخدمين.

بالإضافة إلى ذلك، يتيح لك استخدام حلّ الهوية المتّحدة الاستفادة من مستوى الأمان الخاص بموفّر الهوية (IdP) المخصّص. بما أنّ موفّري الهوية متخصصون في الهوية والأمان، فإنّ الاعتماد على بنيتهم الأساسية يزيل خطر إنشاء عملية المصادقة من البداية.

استخدام واجهة برمجة التطبيقات Federated Credential Management (FedCM) API

إذا كنت تعمل كموفّر هوية، ننصحك باستخدام واجهة برمجة التطبيقات FedCM API. تتعامل هذه الواجهة مع التفاعل من خلال واجهة مستخدم المتصفّح، ما يحمي الخصوصية من خلال منع التتبُّع مع منح المستخدمين إمكانية تسجيل الدخول بنقرة واحدة، كما أنّها تنظّم واجهة المستخدم من خلال عرض الحسابات ذات الصلة فقط.

مربّع حوار وضع تسجيل الدخول النشط في FedCM على الكمبيوتر المكتبي يطلب من المستخدم تسجيل الدخول باستخدام حسابه يحتوي مربّع الحوار على رمز علامة تجارية وخيارات لتسجيل الدخول إلى RP باستخدام الحساب الحالي الذي يوفّره موفّر خدمة تحديد الهوية، أو اختيار حساب مختلف، أو الإلغاء. ويكون مربّع الحوار في المنتصف وأكبر من مربّع حوار الوضع السلبي.
FedCM: مربّع حوار واجهة المستخدم في الوضع النشط مزيد من المعلومات حول أوضاع واجهة المستخدم المتاحة التي توفّرها FedCM

نمط "الاتحاد ثم الترقية"

يجمع نمط "الاتحاد ثم الترقية" بين سرعة الاتحاد والأمان الطويل الأمد لمفاتيح المرور. إذا طلبت مفتاح مرور مباشرةً بعد تسجيل الدخول المتّحد ، سيكون تسجيل الدخول التالي للمستخدم محميًا من التصيّد الاحتيالي منذ اليوم الأول.

تحسين النماذج لاستخدام ميزة "الملء التلقائي"

إذا كانت النماذج اليدوية ضرورية، استخدِم سمات name وid وصفية وقيم autocomplete صحيحة للسماح للمتصفّح بملء الحقول للمستخدم. يقلّل ذلك من العبء الإدراكي واحتمال حدوث أخطاء إملائية أثناء عملية الاشتراك. راجِع أفضل الممارسات المتعلّقة بنموذج الاشتراك لمزيد من التفاصيل حول تحسين النماذج.

<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">

<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">

التحقّق السلس من السمات

يؤدي إجبار المستخدمين على مغادرة تطبيقك للتحقّق من رمز في بريدهم الإلكتروني إلى تقليل معدّلات الإحالات الناجحة. في هذه الحالة، يتشتّت انتباه المستخدمين ولا يعودون مجددًا.

التعرّف على بروتوكول التحقّق من البريد الإلكتروني (EVP)

يتيح بروتوكول التحقّق من البريد الإلكتروني (EVP)، وهو ميزة جديدة، لتطبيقك الحصول على عنوان بريد إلكتروني تم التحقّق منه مباشرةً من خلال المتصفّح.

للموافقة على استخدام هذه الميزة، ألحِق حقل إدخال مخفيًا بالسمة autocomplete="email-verification-token" وchallenge. يحلّل المتصفّح نطاق البريد الإلكتروني من الإدخال ويطلب من جهة إصدار البريد الإلكتروني التحقّق من أنّ المستخدم يتحكّم في هذا البريد الإلكتروني. بعد إكمال عملية التحقّق بنجاح، يعرض المتصفّح مطالبة بالبريد الإلكتروني الذي تم التحقّق منه، ويمكن لخادمك الخلفي التحقّق منها على الفور. بالنسبة إلى المستخدم، يحدث هذا المسار بسلاسة، ولا يرى سوى إشعار عند التحقّق من البريد الإلكتروني.

يزيل بروتوكول التحقّق من البريد الإلكتروني الحاجة إلى المشاكل التي تؤدي إلى فقدان المستخدمين (مثل الروابط السحرية أو كلمات المرور لمرة واحدة عبر البريد الإلكتروني) لتسجيل الدخول والاشتراك وإعادة ضبط كلمة المرور.

<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">

يُرجى العِلم أنّ الأمر متروك لمزوّدي خدمات البريد الإلكتروني الفرديين لدعم بروتوكول التحقّق من البريد الإلكتروني. تواصل مع المزوّد الذي تتعامل معه لمعرفة ما إذا كان يخطط لدعم بروتوكول التحقّق من البريد الإلكتروني. إذا كنت تملك نطاقًا مخصّصًا، يمكنك ربطه بمزوّد بريد إلكتروني متوافق لدعم بروتوكول التحقّق من البريد الإلكتروني أيضًا.

بما أنّ هذه الميزة لا تزال في مرحلة تجريبية، نقدّر ملاحظاتك عنها في مستودع GitHub repository.

مثال على مسار بروتوكول التحقّق من البريد الإلكتروني (EVP)

واجهة برمجة التطبيقات Digital Credentials API

بالنسبة إلى التفاصيل الحسّاسة، مثل الاسم القانوني أو العمر، توفّر واجهة برمجة التطبيقات Digital Credentials API طريقة لطلب بيانات تم التحقّق منها من محفظة المستخدم من خلال وسيط المتصفّح باستخدام الكشف الانتقائي. يعني ذلك أنّه يمكنك التحقّق من أنّ المستخدم أكبر من عمر معيّن، بدون الحصول فعليًا على تاريخ ميلاده الكامل أو اسمه القانوني، ما يحافظ على خصوصيته.

راجِع Digital Credentials API: هوية آمنة وخاصة على الويب.

تنفيذ مفاتيح المرور لتسجيل الدخول بسلاسة

مفاتيح المرور هي أكثر من مجرد بديل لكلمات المرور. فهي تمثّل تحوّلاً أساسيًا نحو مصادقة سلسة ومحمية من التصيّد الاحتيالي.

وضع واجهة المستخدم الفوري

يتوفّر وضع واجهة المستخدم الفوري بدءًا من Chrome 149. يسمح هذا الوضع للموقع الإلكتروني بالتحقّق من بيانات الاعتماد في اللحظة التي ينتقل فيها المستخدم إلى موقعك الإلكتروني. إذا كان مفتاح مرور أو كلمة مرور متوفّرًا في مدير كلمات المرور، يوسّط المتصفّح المسار باستخدام قائمة بالحسابات المتاحة في مربّع حوار تسجيل الدخول على الفور.

يزيل ذلك حاجة المستخدم إلى اختيار طريقة تسجيل الدخول. من خلال تقديم بيانات الاعتماد بشكل استباقي للحساب المحدّد، يمكنك إنشاء تجربة سلسة "بنقرة واحدة" تبدو سحرية للمستخدم.

const credential = await navigator.credentials.get({
  password: true,
  uiMode: 'immediate',
  publicKey: publicKeyObject,
});

راجِع وضع واجهة المستخدم الفوري لعمليات تسجيل الدخول.

الملء التلقائي لنموذج مفتاح المرور: استخدام ميزة "الملء التلقائي" للنماذج أثناء الانتقال إلى مفاتيح المرور

بالنسبة إلى المستخدمين على موقع إلكتروني ينتقل من كلمات المرور إلى مفاتيح المرور، يسمح الملء التلقائي لنموذج مفتاح المرور بظهور مفاتيح المرور في اقتراحات ميزة "الملء التلقائي" عند التركيز على حقل الإدخال. يعني ذلك أنّه إذا كان لدى المستخدم مفتاح مرور، فسيظهر له على الفور عند التركيز على حقل اسم المستخدم في نموذج تسجيل الدخول. وإذا لم يكن لديه مفتاح مرور، سيظل بإمكانه استخدام كلمة المرور المحفوظة.

مثال على اختيار مفتاح مرور من خلال ميزة "الملء التلقائي" للنماذج

لتفعيل هذه الميزة، أضِف التعليق التوضيحي إلى حقل اسم المستخدم بـ autocomplete="username webauthn" واضبط قيمة mediation على 'conditional' عند استدعاء navigator.credentials.get().

يمثّل ذلك جسرًا مهمًا أثناء الانتقال إلى مستقبل بدون كلمات مرور، لأنّه يعرّف المستخدمين على مفاتيح المرور في واجهة مألوفة.

راجِع قائمة التحقّق من مصادقة مفاتيح المرور.

التبنّي الاستراتيجي لمفاتيح المرور

غالبًا ما يكون التبنّي مسألة توقيت. يمكن أن يؤدي مطالبة المستخدم في الوقت المناسب إلى زيادة احتمالية تسجيله لمفتاح مرور بشكل كبير.

إنشاء مفاتيح المرور تلقائيًا

لا يريد أحد البحث في إعدادات الأمان لمجرّد إعداد طريقة تسجيل دخول جديدة. بالنسبة إلى مستخدمي كلمات المرور الحاليين، كيف ومتى يجب أن تطلب من المستخدمين الترقية إلى مفاتيح المرور؟

هنا يأتي دور ميزة "إنشاء مفاتيح المرور تلقائيًا". باستخدام ميزة "الإنشاء المشروط"، يمكن للمتصفّح ترقية مستخدمي كلمات المرور تلقائيًا إلى مفاتيح المرور في اللحظة التي يسجّل فيها المستخدم الدخول باستخدام مدير كلمات المرور.

مسار طلب مفتاح المرور باستخدام ميزة "الإنشاء المشروط"

من خلال تمرير mediation: 'conditional' إلى navigator.credentials.create() واجهة برمجة التطبيقات، التي يتم تفعيلها من خلال تسجيل الدخول الأخير الناجح للمستخدم باستخدام كلمة المرور المحفوظة في مدير كلمات المرور، ينشئ المتصفّح مفتاح مرور جديدًا بشكل أصلي بدون إجباره على الانتقال إلى شاشات إعداد إضافية.

يعني التسجيل بدون مشاكل أنّه ليس على المستخدمين اتّخاذ قرار واعي لتحسين أمانهم. يحدث ذلك تلقائيًا، ما يحميهم بدون الحاجة إلى بذل أي جهد إضافي. على سبيل المثال، شهدت adidas زيادة بنسبة% 8 في عمليات إنشاء مفاتيح المرور باستخدام هذه الاستراتيجية بدون طلب .

await navigator.credentials.create({
  mediation: 'conditional',
  publicKey: { ... },
});

راجِع قائمة التحقّق من تسجيل مفاتيح المرور

إدارة مفاتيح المرور واسترداد الحساب بشكل مرن

من المهم أن يتمكّن المستخدمون من الوصول بسهولة إلى بيانات اعتمادهم على جميع الأجهزة والمواقع الإلكترونية والخدمات. بالإضافة إلى إدارتها والتأكّد من إمكانية استرداد حساباتهم في حال فقدان الجهاز أو سرقته.

الاتّساق على جميع المنصات

إذا كان لديك عدة مواقع (على سبيل المثال، تطبيق Android وموقع إلكتروني أو مواقع إلكترونية متعددة) تشارك نظام تسجيل الدخول نفسه، يمكنك تحسين التجربة لمستخدميك. باستخدام ميزة مشاركة بيانات الاعتماد بسلاسة، يمكن لمديري كلمات المرور اقتراح بيانات الاعتماد المناسبة للمستخدم على جميع مواقعك.

تتألف ميزة "مشاركة بيانات الاعتماد بسلاسة" من تقنيتَين: روابط التنقل إلى مواد العرض الرقمية لكلمات المرور وطلبات المصادر ذات الصلة لمفاتيح المرور.

يضمن استخدام روابط التنقل إلى مواد العرض الرقمية توفّر كلمات المرور التي تم إنشاؤها على الويب في تطبيق Android، والعكس صحيح. كما يتيح لمديري كلمات المرور اقتراح بيانات اعتماد محفوظة مسبقًا على نطاقات مختلفة تملكها وتشارك الخادم الخلفي للمصادقة نفسه.

استخدِم طلبات المصادر ذات الصلة لإتاحة مفاتيح المرور على نطاقات وتطبيقات مختلفة من خلال مدير بيانات اعتماد المستخدم.

هذه طريقة أخرى يمكنك من خلالها تسهيل تجربة تسجيل الدخول لمستخدميك.

تمكين المستخدمين من خلال صفحة إدارة مفاتيح المرور

مثال على صفحة إدارة مفاتيح المرور التي تعرض أفضل الممارسات

للحصول على تجربة متطورة لمفاتيح المرور، ننصحك بإنشاء صفحة مخصّصة لإدارة مفاتيح المرور تتضمّن أسماء واضحة للمزوّدين وأوقات الاستخدام وعناصر التحكّم. يساعد ذلك المستخدمين في إدارة إعداداتهم بثقة. الشفافية تعزّز الثقة.

راجِع قائمة التحقّق من إدارة مفاتيح المرور .

استرداد الحساب بشكل مرن

يمكن فقدان الأجهزة أو ترقيتها. تتسم مفاتيح المرور بالمرونة بطبيعتها لأنّها تستخدم الحماية على مستوى الأجهزة، كما تتم مزامنتها عادةً في السحابة الإلكترونية، ما يتيح للمستخدمين استعادتها على جهاز جديد. ومع ذلك، يضمن توفّر حلّ احتياطي، مثل عنوان بريد إلكتروني تم التحقّق منه، عدم فقدان المستخدمين إمكانية الوصول إلى حياتهم الرقمية.

بدلاً من إبقاء المستخدمين على الانتظار للرد على مكالمة مكتب المساعدة، يمكنك إثبات أنّهم المالكون باستخدام الإشارات التي تثق بها حاليًا، مثل اتحاد الهوية أو التحقّق من البريد الإلكتروني.

يسمح لك الجمع بين هذه الإشارات في استراتيجية استرداد الحساب باستعادة إمكانية الوصول على الفور. بعد استعادة إمكانية الوصول، سجِّل مفتاح مرور جديدًا على الفور لحماية المستخدمين من التصيّد الاحتيالي مرة أخرى.

حماية الجلسات باستخدام ميزة "بيانات اعتماد الجلسة المرتبطة بالجهاز"

لحماية المستخدمين من عمليات اختطاف الحسابات، يُعد الحفاظ على أمان ملفات تعريف ارتباط الجلسة طبقة دفاع مهمة أخرى. بيانات اعتماد الجلسة المرتبطة بالجهاز (DBSC) هي طريقة تتيح لك ربط جلسة بالجهاز. يقلّل ذلك من عمليات اختطاف الجلسات لأنّه حتى إذا تم سرقة ملف تعريف ارتباط، يمكن للجهاز نفسه فقط طلب إعادة إصدار ملف تعريف الارتباط، ما يضيف فعليًا طبقة أمان أخرى إلى جلستك.

ميزة "بيانات اعتماد الجلسة المرتبطة بالجهاز" هي ميزة تجريبية متاحة الآن على أجهزة Windows. يمكنك الاطّلاع على مزيد من المعلومات حول هذا التعديل في الإعلان عن ميزة "بيانات اعتماد الجلسة المرتبطة بالجهاز" على أجهزة Windows الذي تم نشره. نعمل أيضًا على توسيع نطاق دعم ميزة "بيانات اعتماد الجلسة المرتبطة بالجهاز" ليشمل أجهزة macOS.

مهارات وكيل مفاتيح المرور

لقد أدرجنا مهارات مفاتيح المرور التي تغطي العديد من الجوانب الموضّحة في هذا المنشور في مشروع إرشادات الويب الحديث. سننشر قريبًا منشورًا على المدونة يتناول مهارات مفاتيح المرور تحديدًا.

هل أنت مستعد لإنشاء مستقبل المصادقة؟

اطّلِع على أدلةنا المفصّلة وابدأ التحديث اليوم: