من خلال تجربة شخصية
6 أسباب وراء صعوبة التخلي عن الـ Passwords لصالح الـ Passkeys
نشر موقع «How to Geek» المتخصص في التكنولوجيا تقريراً تجريبياً تفصيلياً طوّق المراسل خلاله تجربة شخصية امتدت 30 يوماً كاملة، حيث حاول الانتقال بالكامل إلى نظام «مفاتيح المرور»(Passkeys) كبديل نهائي لكلمات السر (Passwords) التقليدية.
وهذا النظام كان قد طُرح قبل عامين من جانب تحالف «FIDO» الذي يضم شركات كبرى مثل «أبل» و«غوغل» و«مايكروسوفت» و«سامسونغ»، كحل أكثر أماناً ضد هجمات التصيد الاحتيالي والهجمات الوسيطة (MITM).
لكن التجربة كشفت أن النظام لايزال يُعاني من مشاكل تعقيدية وتوافقية ونسخ احتياطي كبيرة تجعله غير جاهز للاستخدام اليومي من جانب المستخدمين العاديين.
ويُعرّف مفتاح المرور (Passkey) بأنه زوج مفاتيح تشفيرية (خاصة وعامة) يتم تخزين المفتاح الخاص تخزيناً آمناً على جهاز المستخدم (مثل هاتف iPhone أو كمبيوتر يعمل بنظام Windows Hello)، ويُستخدم للمصادقة عبر مسح بصمة الوجه (Face ID) أو بصمة الإصبع (Touch ID)، بدلاً من كتابة نص سري يسهل اختراقه أو سرقته. تدعم الخدمات الكبرى مثل «PayPal» و«Amazon» و«Google» و«Microsoft» و«Shopify» هذا النظام تدريجياً، ودعت إليه الهيئات التنظيمية الأوروبية.
لكن وفقاً للتجربة الموثقة، رصد المراسل 6 مشاكل رئيسية حالت دون إكمال التحول بنجاح:
• نقص التوافق عبر الأنظمة الأساسية (cross-platform) بشدة: إذ لا تعمل مفاتيح المرور المخزنة على «iPhone» بشكل صحيح مع متصفح «Windows Edge» أو «Google Chrome» في بعض السيناريوهات، رغم الوعود «بتوافق عالمي» بفضل معيار «FIDO2».
• سهولة فقدان الوصول إلى الحسابات نهائياً عند استبدال الجهاز أو إعادة ضبطه المصنعية (factory reset)، حيث انحصرت مفاتيح المرور داخل الجهاز القديم من دون طريقة آلية موحدة لاستردادها، ما تطلب من المراسل الاتصال بخدمة العملاء لكل موقع على حدة.
• اعتماد كثير من المواقع المصادقة الثنائية (2FA) كطبقة دفاع ثانية حتى مع وجود مفتاح مرور، ما يلغي الفائدة الأساسية والمتمثلة في التخلص من كلمات السر وعناصر الاعتماد الثانوية.
• بعض الخدمات (مثل LinkedIn وبعض المواقع المصرفية) تتيح إنشاء مفتاح مرور واحد فقط مرتبط بجهاز معين، فإذا أردت استخدام جهازين (جهاز منزلي وجهاز عمل) فلن تتمكن من ذلك من دون مزامنة يدوية معقدة.
• ارتباك شديد لدى المستخدمين العاديين (غير التقنيين) مع مصطلحات مثل «مزامنة iCloud Keychain»، و«Google Password Manager»، و«Microsoft Authenticator»، وكيفية نقل المفاتيح بين الهواتف، ما يزيد خطر فقدان الوصول بشكل دائم.
• ضعف خيارات النسخ الاحتياطي واسترداد الحساب: فعندما يضيع الهاتف أو يُسرق، قد يستغرق استرداد الحسابات أياماً من خلال عمليات الهوية اليدوية، على عكس مديرات كلمات السر التقليدية التي تسمح بالاسترداد من سحابة مشفرة بكلمة سيد.
وخلص التقرير إلى أن مفاتيح المرور (Passkeys) فكرة ممتازة من الناحية الأمنية (منيعة تقنياً ضد التصيد بنسبة تزيد على 99.9 في المئة)، لكن التنفيذ الحالي لايزال معقداً ومجزأ ومحتاجاً إلى تنسيق أكبر بين الشركات.
وينصح الخبراء المستخدمين العاديين بالانتظار حتى تتبنى الصناعة معياراً موحداً حقيقياً متكاملاً مع خطط استرداد واضحة (يُتوقع بحلول 2027-2028)، وفي الوقت الراهن الاستمرار باستخدام مديري كلمات سر حسنة السمعة (Bitwarden، 1Password، Apple Keychain مع كلمة مرور رئيسية قوية) مع تفعيل المصادقة الثنائية عبر تطبيق مصادقة (مثل Google Authenticator أو Authy).
