إعادة تشكيل مصادقة المستخدم وإثبات هويته

Ashima Arora

Chirag Desai

Eiji Kitamura

في مؤتمر Google I/O هذا العام، شاركنا كيف يعمل Chrome على إعادة تشكيل مصادقة المستخدمين وإثبات هويتهم على الويب باستخدام واجهة برمجة التطبيقات للمتصفّح. سواءً كنت تستخدم كلمات المرور أو مفاتيح المرور أو عملية الدمج، سيقدّم Chrome تجربة تسجيل دخول واشتراك موحّدة وأبسط وأكثر أمانًا وسهولة في الاستخدام.

استكشِف أحدث الأدوات وأفضل الممارسات لتحسين عملية الاشتراك وتسجيل الدخول على موقعك الإلكتروني.

يمكنك الاطّلاع على صفحة الجلسة أو قراءة المزيد من المعلومات للتعرّف على أهم التفاصيل.

المتصفّح كأداة مساعدة في تسجيل الدخول

إنّ مصادقة المستخدمين على الويب في تطوّر مستمر. مع تزايد توقّعات المستخدمين واللوائح التنظيمية الجديدة والمنظومة المتكاملة المتنامية لأدوات الهوية الرقمية، على المطوّرين أن يوفّروا عمليات تسجيل دخول واشتراك آمنة وسلسة تحافظ على الخصوصية. يمكنك استخدام Chrome لمساعدتك.

هناك ثلاث مجالات رئيسية تركّز عليها:

• مصادقة المستخدم: تساعدك في توفير عمليات تسجيل دخول قوية من خلال إدارة كلمات المرور بشكل أفضل واستخدام مفاتيح المرور بسهولة أكبر ودعم مدمج لاتحاد الهوية من خلال إدارة بيانات الاعتماد الموحّدة (FedCM).
• إثبات الهوية: يتيح لك طلب تفاصيل المستخدم التي تم إثبات صحتها، مثل العمر أو ملكية مستند التعريف، باستخدام بيانات الاعتماد الرقمية من المَحافظ الجوّالة.
• إدارة الجلسات: تساعدك هذه الميزة في حماية المستخدمين بعد تسجيل الدخول من خلال ربط الجلسات بأجهزة المستخدمين باستخدام بيانات اعتماد الجلسة المرتبطة بالجهاز.

استكشِف الأدوات وواجهات برمجة التطبيقات التي تتيح لك تنفيذ كل ذلك.

مدير بيانات الاعتماد على الويب: واجهة مستخدم واحدة لتسجيل الدخول إلى جميع بيانات الاعتماد

يجب أن يكون تسجيل الدخول سهلًا. ولكن مع توفّر كلمات المرور ومفاتيح المرور وخيارات الربط المتعدّد، غالبًا ما يواجه المستخدمون مجموعة مربكة من الخيارات.

يعمل Chrome على توسيع نطاق واجهة برمجة التطبيقات Credential Manager API، ما يتيح لك طلب بيانات الاعتماد من المتصفّح، بغض النظر عن نوعها، باستخدام واجهة واحدة متّسقة. إذا كانت بيانات الاعتماد متاحة من مدير كلمات المرور، سيعرضها Chrome للمستخدم في مربّع حوار واحد، ما يحدّ من تعقيد العملية على المستخدم.

إذا لم يعثر Chrome على بيانات الاعتماد، سنُعلمك بذلك ويمكنك الرجوع إلى عملية تسجيل الدخول الخاصة بك.

تقلّل هذه التجربة الجديدة من الصعوبات وتجعل عملية تسجيل الدخول أكثر سلاسة.

هذه الميزة متوفّرة في إصدارات المطوّرين التجريبية. يمكنك بدء استخدامه على الجهاز من خلال تفعيل علامة chrome://flags#enable-experimental-web-platform-features، بما في ذلك بيانات اعتماد password وpublicKey، واستخدام mediation: "immediate" لتشغيل التوسّط الفوري.

يوضّح لك مقتطف الرمز البرمجي التالي الشكل الذي يجب أن يظهر به الرمز:

const cred = await navigator.credentials.get({
  password: true,
  publicKey: {
    challenge,
    rpId: 'example.com'
  },
  mediation: 'immediate',
});

يمكنك الاطّلاع على مزيد من المعلومات في مستندنا حول اختبار التوسّط الفوري على Chrome.

كلمات المرور: أكثر ذكاءً وأمانًا

لا تزال كلمات المرور هي طريقة المصادقة الأكثر شيوعًا في العالم. توفّر المتصفّحات ومديرو كلمات المرور أدوات لتحسين تجربة تسجيل الدخول باستخدام كلمات المرور، ولكن لا تتّبع المواقع الإلكترونية هذه الأدوات دائمًا.

يتيح Chrome ممارسات أكثر أمانًا من خلال ميزات في "مدير كلمات المرور في Google"، مثل إنشاء كلمة مرور في نماذج الاشتراك أو عمليات التحقّق من عمليات اختراق كلمة المرور بهدف تحذير المستخدمين من بيانات الاعتماد المخترَقة.

في ما يلي بعض الأدوات لتحسين تجربة استخدام كلمات المرور على موقعك الإلكتروني.

تغيير كلمة المرور تلقائيًا: حلّ مشكلة كلمات المرور التي تم اختراقها بنقرة واحدة

ستتوفّر ميزة تغيير كلمة المرور تلقائيًا في وقت لاحق من هذا العام لبعض المواقع الإلكترونية، ما يسهِّل على المستخدمين الردّ عندما تكون بيانات اعتمادهم في خطر.

عندما يرصد Chrome كلمة مرور تعرّضت للاختراق أثناء تسجيل الدخول، يعرض "مدير كلمات المرور في Google" على المستخدم خيارًا لحلّ المشكلة تلقائيًا.

على المواقع الإلكترونية المتوافقة، يمكن لمتصفّح Chrome إنشاء كلمة مرور قوية بديلة وتعديل كلمة المرور للمستخدم تلقائيًا.

ويساعد ذلك في تقليل الصعوبات ويحافظ على أمان الحسابات بدون الحاجة إلى البحث عن إعدادات الحساب أو التخلي عن العملية في منتصفها.

هناك إجراءات يمكنك اتّخاذها لتحسين موقعك الإلكتروني كي يعمل بشكلٍ متوافق مع المتصفّحات وخدمات إدارة كلمات المرور.

• تحسين ميزة "الإكمال التلقائي": استخدِم autocomplete="current-password" وautocomplete="new-password" لتفعيل ميزة "الملء التلقائي" وميزة التخزين. اطّلِع على دليلَي تسجيل الدخول و الاشتراك.
• عناوين URL لتغيير كلمة المرور: يمكنك إجراء إعادة توجيه من <your-website-domain>/.well-known/change-password إلى نموذج تغيير كلمة المرور على موقعك الإلكتروني (عنوان URL المعروف لتغيير كلمة المرور). عند رصد كلمة مرور معرّضة للاختراق، يمكن لتطبيقات إدارة كلمات المرور توجيه العميل إلى صفحة تغيير كلمة المرور.

مشاركة بيانات الاعتماد بسلاسة: تسجيل دخول واحد على التطبيق والويب

تؤدي تطبيقات إدارة كلمات المرور أكثر من مجرد تخزين كلمات المرور. وتساعد هذه الميزة في منع التصيّد الاحتيالي من خلال عدم عرض بيانات الاعتماد إلا عند تطابق النطاق. ومع ذلك، قد يواجه المستخدمون مشاكل عندما تمتد خدمتك إلى نطاقات ومنصّات متعددة.

على سبيل المثال:

• يشترك مستخدم في تطبيقك على Android، ثم يزور موقعك الإلكتروني على كمبيوتر محمول.
• أو إذا كنت توفّر نطاقات أو تطبيقات متعددة تقبل بيانات تسجيل الدخول نفسها

بدون بيانات اعتماد مشترَكة، لن نقدّم كلمة مرور محفوظة، لذا قد يواجه المستخدمون صعوبة في تسجيل الدخول.

تساعد ميزة "مشاركة بيانات الاعتماد بسلاسة" في حلّ هذه المشكلة. من خلال ربط تطبيقاتك ومواقعك الإلكترونية، يمكن لخدمة "مدير كلمات المرور في Google" مشاركة كلمة المرور بسلاسة على جميع هذه العناصر، ما يؤدي إلى توفير تجربة تسجيل دخول سلسة ومبسّطة.

زادت eBay معدّل تسجيل الدخول الناجح بنسبة %10. يمكنك الاطّلاع على مزيد من المعلومات من خلال دراسة حالة: كيف حسّنت eBay معدّلات نجاح تسجيل الدخول بنسبة% 10 من خلال مشاركة بيانات الاعتماد بسلاسة.

مفاتيح المرور: طريقة تسجيل دخول أبسط وأكثر أمانًا

مفاتيح المرور هي بديل أقوى لكلمات المرور تساعد المستخدمين في تسجيل الدخول بأمان إلى المواقع الإلكترونية والتطبيقات باستخدام آلية فتح قفل الجهاز، مثل المقاييس الحيوية (مثل بصمات الأصابع أو الوجه) أو رقم التعريف الشخصي أو النقش. وهي مقاومة للتصيّد الاحتيالي، وسهلة الاستخدام، وهي معيار معتمد على نطاق واسع في المتصفحات وأنظمة التشغيل.

مزامنة مفاتيح المرور على جميع المنصات

يخزّن المستخدمون مفاتيح المرور في خدمة إدارة كلمات المرور، ولكن لا تُزامن بعض خدمات الإدارة هذه المفاتيح. ويمكن أن يتسبب ذلك في حدوث مشاكل إذا حاول المستخدم تسجيل الدخول من جهاز لا يتوفّر فيه مفتاح المرور. في هذه الحالة، يعرض Chrome رمز استجابة سريعة ليتمكّن المستخدم من إكمال عملية تسجيل الدخول من جهاز آخر يتضمّن بيانات الاعتماد.

للحدّ من هذه المشكلة، أضاف Chrome ميزة مزامنة مفاتيح المرور في "مدير كلمات المرور في Google".

بعد أن أصبح تطبيق "مدير كلمات المرور في Google" متوافقًا مع نظام التشغيل iOS، يمكن مزامنة مفاتيح المرور على التطبيق على جميع الأنظمة الأساسية الرئيسية، بما في ذلك Android وWindows وmacOS وChromeOS وLinux. يمكنك الاطّلاع على مزيد من المعلومات في مقالة البيئات المتوافقة.

التوسّط الفوري: طلب بيانات الاعتماد المتاحة فقط

لا تتوفّر مفاتيح المرور التي تمت مزامنتها على كل الأجهزة لبعض المستخدمين. إذا لم يتم العثور على مفتاح مرور على الجهاز، قد يعرض Chrome رمز استجابة سريعة ليتمكّن المستخدم من استخدام جهاز آخر يحتوي على بيانات الاعتماد. وهذا الإجراء ناجح، ولكنّه قد يتسبب في بعض الصعوبات.

لتقليل هذا الإزعاج، يتيح Chrome خيارًا جديدًا: mediation: 'immediate'. يتيح ذلك لموقعك الإلكتروني طلب بيانات الاعتماد المتوفّرة على الجهاز الحالي فقط. وفي حال عدم العثور على أيّ منها، لن يظهر للمستخدم أيّ شيء. لا حاجة إلى رسائل تطلب منك اتّخاذ إجراء أو استخدام رموز استجابة سريعة أو المقاطعة. يُعلمك Chrome بذلك حتى تتمكّن من عرض واجهة مستخدم تسجيل الدخول المعتادة بدلاً من ذلك.

ويؤدي ذلك إلى تحسين التجربة من خلال تجنُّب عمليات استخدام الرموز الشريطية للمستخدمين الذين ليس لديهم بيانات اعتماد.

استخدِم هذا الأسلوب عندما يتّخذ المستخدِم أي إجراء ذي مغزى، مثل النقر على زرّ تسجيل الدخول أو الدفع. عند استخدام navigator.credentials.get() مع mediation: 'immediate'، إذا كان مفتاح مرور متاحًا على الجهاز الحالي، يطلب Chrome من المستخدم إدخاله على الفور. وإذا لم يكن الأمر كذلك، يواصل المستخدم الإجراء بدون انقطاع، ويمكنك عرض حقل كلمة مرور أو رمز صالح للاستخدام مرة واحدة أو طريقة أخرى.

يمكنك أيضًا زيادة فرصك في مساعدة المستخدم على تسجيل الدخول من خلال ضبط password: true. يتيح ذلك لمتصفِّح Chrome عرض كلمات المرور المحفوظة إلى جانب مفاتيح المرور، إذا كانت متاحة.

يوضّح المثال التالي كيفية طلب مفتاح مرور من خلال التوسّط الفوري:

navigator.credentials.get({
  publicKey: {
    challenge: new Uint8Array([/* your challenge here */]),
    rpId: 'example.com'
  },
  mediation: 'immediate',
  //< password: true == enable this to request passwords alongside passkeys
}).t>hen(credential = {
  // Use the credential for sign in
>}).catch(error = {
  if (error.name === 'NotAllowedError') {
    // No credential found on this device, fall back to another method
  } else {
    console.error('Error during sign-in', error);
  }
});

تتوفّر هذه الميزة في إصدارات المطوّرين التجريبية، ويمكنك الاطّلاع على مزيد من المعلومات عنها في مقالة شرح التوسّط الفوري في WebAuthn.

إنشاء مفاتيح المرور تلقائيًا

لا يزال العديد من المستخدمين يسجّلون الدخول باستخدام كلمات المرور. لمساعدتهم في استخدام مفاتيح المرور، يوفّر Chrome واجهة برمجة تطبيقات تساعدك في إنشاء مفتاح مرور للمستخدمين تلقائيًا بعد تسجيل الدخول باستخدام كلمة المرور بنجاح.

ما عليك سوى طلب إنشاء مفتاح مرور. إذا كان لدى المستخدم كلمة مرور محفوظة تم استخدامها مؤخرًا، ينشئ "مدير كلمات المرور" مفتاح مرور ويُعلمك إذا كان ذلك ناجحًا. قد يتلقّى المستخدم إشعارًا عند توفُّر مفتاح المرور. لا يؤدي ذلك إلى حذف كلمة مرور المستخدم.

في حال عدم إنشاء مفتاح المرور، لن يقاطع المتصفّح المستخدم أو يعرض أي واجهة مستخدم.

يتيح ذلك للمستخدمين استخدام مفاتيح المرور تدريجيًا، بدون مقاطعة تدفق تسجيلهم للدخول.

تتوفّر هذه الميزة في الإصدار 136 من Chrome، ويمكنك الاطّلاع على مزيد من المعلومات عنها في مقالة مساعدة المستخدمين على استخدام مفاتيح المرور بسلاسة أكبر.

إزالة مفاتيح المرور باستخدام Signal API

إذا حذف مستخدم مفتاح مرور من موقعك الإلكتروني أو تطبيقك، قد يستمر "مدير كلمات المرور" في عرضه أثناء تسجيل الدخول، ما قد يؤدي إلى حدوث أخطاء وارتباك. تتيح Signal API لتطبيقك إرسال إشعار إلى خدمة إدارة كلمات المرور عند إزالة مفتاح مرور، ما يحافظ على نظافة قوائم بيانات الاعتماد ودقتها.

يمكنك أيضًا المساعدة في إبقاء مفاتيح المرور محدّثة من خلال إرسال قائمة بمفاتيح المرور المعروفة إلى خدمة إدارة كلمات المرور. يتيح ذلك للتطبيق إزالة أي مفاتيح مرور غير مستخدَمة للمستخدم.

تتوفّر واجهة برمجة التطبيقات Signal API اعتبارًا من الإصدار 132 من Chrome. اطّلِع على مزيد من المعلومات في مقالة الحفاظ على تطابق مفاتيح المرور مع بيانات الاعتماد على خادمك باستخدام Signal API.

الاستيراد والتصدير: نقل بيانات الاعتماد معك

غالبًا ما يواجه المستخدمون الذين يبدّلون بين خدمات إدارة كلمات المرور صعوبة في نقل بيانات الاعتماد الخاصة بهم. يضيف Chrome ميزة استيراد مفاتيح المرور وكلمات المرور وتصديرها، استنادًا إلى معايير FIDO. ولا يحتاج المستخدم إلى معالجة الملفات.

تحسينات على ميزة "الملء التلقائي"

لعرض بيانات الاعتماد المخزّنة بطريقة سهلة الاستخدام، يمكن أن يُظهر Chrome تلقائيًا القائمة المنسدلة للملء التلقائي عندما يكون نموذج تسجيل الدخول جاهزًا. ما عليك سوى السماح باستخدام كلاً من كلمات المرور ومفاتيح المرور في النموذج وتطبيق ميزة "التركيز التلقائي" على حقل الإدخال.

ويُعدّ ذلك مفيدًا لأنّه يتم عرض بيانات الاعتماد بدون أن يُطلب من المستخدم النقر على حقل. بدلاً من ذلك، يمكن للمستخدم النقر على بيانات الاعتماد التي يريد استخدامها، مما يقلل من الصعوبات.

اطّلِع على مزيد من المعلومات في مقالة تسجيل الدخول باستخدام مفتاح مرور من خلال الملء التلقائي للنماذج.

مصادر التعلُّم المعدَّلة

لقد أجرينا مراجعة شاملة لموارد التعلّم المتعلّقة بمفاتيح المرور للتأكّد من أنّه بإمكانك منح مستخدميك أفضل تجربة ممكنة لمفاتيح المرور.

• إنشاء مفتاح مرور لعمليات تسجيل الدخول بدون كلمة مرور
• تسجيل الدخول باستخدام مفتاح مرور من خلال ميزة الملء التلقائي للنماذج
• مساعدة المستخدمين في إدارة مفاتيح المرور بفعالية

FedCM: تحسين الهوية الموحّدة

تتيح واجهة برمجة التطبيقات Federated Credential Management API ‏ (FedCM) للمستخدمين تسجيل الدخول باستخدام موفّري هوية موثوق بهم باستخدام عملية تتم بوساطة المتصفّح وتعطي الأولوية للخصوصية وتجربة المستخدِم. تساعد واجهة برمجة التطبيقات FedCM API في تبسيط تجارب الاشتراك وتسجيل الدخول على الويب، ما يتيح للمطوّرين توفير مصادقة سلسة بأقل جهد.

واجهة مستخدِم أكثر ذكاءً

يمنحك FedCM الآن مزيدًا من التحكّم في كيفية ظهور طلب تسجيل الدخول ووقته. تتوفّر وضعان:

• الوضع التلقائي: يعرض المتصفّح تلقائيًا طلب تسجيل الدخول ل مزوّدي الهوية المعروفين عندما يعود المستخدمون إلى موقعك الإلكتروني. يعمل ذلك بشكل جيد للمستخدمين المألوفين، ولكن قد يشعرون بالانزعاج إذا تم عرضهم في وقت مبكر جدًا.
• الوضع النشط: لا يظهر الطلب إلا بعد أن ينقر المستخدم على زر تسجيل الدخول، ما يضمن تجربة مدروسة أكثر.

وهذا مهمّ لأنّه يقلل من الالتباس ويتجنّب مفاجأة المستخدمين. باستخدام الوضع النشط، يمكن للمستخدمين البقاء على موقعك الإلكتروني ولن تظهر لهم إعادة توجيه أو مربّعات حوار أخرى.

يعمل فريق Chrome أيضًا على تحسين وضع "التصفّح المُسجّل". ستتضمّن التحديثات المستقبلية تجارب مع تقنيات تعلُّم الآلة التي تدمج إشارات الموقع الإلكتروني والمستخدم لتحديد وقت عرض واجهة المستخدم وكيفية عرضها من أجل توفير تجربة مستخدم مثالية.

واجهات برمجة تطبيقات أكثر مرونة

تمنحك واجهة برمجة التطبيقات FedCM مزيدًا من المرونة والتحكّم في كيفية تسجيل دخول المستخدمين باستخدام هوية فدرال.

على سبيل المثال، تتيح لك ميزة إتاحة استخدام عدة مقدّمي هوية عرض قائمة بالمقدّمين للمستخدمين بدلاً من جهة واحدة فقط. وهذا يعني أنّه يمكن للمستخدمين اختيار الحساب الذي يناسبهم ويزيد من معدّلات تسجيل الدخول مع الحفاظ على خصوصية المستخدمين بشكل كبير.

وسيظلّ المتصفّح وسيطًا في كل خطوة. لا يمكن لمزوّدي الهوية الاطّلاع إلا على ما يسمح به المستخدمون بوضوح، وتبقى الخصوصية محمية طوال العملية.

بيانات الاعتماد الرقمية: إثبات الهوية بسرعة وبشكل خاص على الإنترنت

أصبحت بيانات الاعتماد الرقمية أكثر شيوعًا في جميع أنحاء العالم. وتسمح هذه التطبيقات للمستخدمين بإثبات سمات مثل العمر أو حالة الطالب أو الهوية من خلال محفظة رقمية. تتيح واجهة برمجة التطبيقات Digital Credentials API للمستخدمين مشاركة المطالبات التي تم إثبات صحتها، مثل السن أو حالة الترخيص، من محفظتهم الجوّالة مباشرةً مع المواقع الإلكترونية.

نحن نعمل مع W3C وكبار خبراء المجال لجعل هذا الإجراء معيارًا. هدفنا هو تقديم تجربة سهلة الاستخدام وآمنة وخصوصية ومتسقة على جميع المنصات.

في ما يلي بعض الميزات المثيرة للاهتمام:

• التوافق مع جميع الأجهزة: يمكن للمستخدمين تقديم بيانات الاعتماد بأمان من أي جهاز.
• الإفصاح الانتقائي: يمكن للمستخدمين تأكيد تفاصيل مثل "أبلغ من 18 عامًا" بدون الكشف عن معلومات غير ضرورية.
• المعلومات التي يمكن التحقّق منها: ويوقّع المُصدِر البيانات رقميًا، ما يتيح إجراء عملية إثبات الهوية بشكل مباشر.
• الإصدار: نحن نعمل على توسيع نطاق Digital Credentials API لالسماح للمستخدمين بتوفير بيانات الاعتماد هذه في تطبيق المحفظة.

بيانات اعتماد الجلسة المرتبطة بالجهاز: البقاء مسجِّلاً الدخول والحفاظ على الحماية

يتم تحديد جلسات المستخدمين غالبًا من خلال ملفات تعريف الارتباط الخاصة بهم، والتي يمكن أن تسرِقها البرامج الضارة من جهاز المستخدم.

بيانات اعتماد الجلسة المرتبطة بالجهاز: تربط جلسة بجهاز معيّن. ويحدّ ذلك من خطر الاستيلاء على الجلسة ويعزّز الحماية عندما تكون مسجِّلاً الدخول إلى حساباتك على البريد الإلكتروني أو وسائل التواصل الاجتماعي أو عند الوصول إلى الخدمات الحكومية.

تساعد ميزة "بيانات اعتماد جلسة مرتبطة بالجهاز" المطوّرين في إنشاء جلسات أكثر أمانًا وثباتًا من خلال ربط مصادقة العميل بالجهاز المستخدَم أثناء تسجيل الدخول.

الملاحظات

يسرّنا تلقّي ملاحظاتك بشأن كل ما شاركناه. ننصحك بتجربة الميزات واستكشاف الروابط الواردة في هذا المستند وإعلامنا برأيك.

تقديم ملاحظات