مفاتيح المرور على أجهزة إنترنت الأشياء والمزيد | مدونة | web.dev
في يونيو 2024، تعاونت Google مع FIDO Alliance لاستضافة هاكاثون مفاتيح المرور في طوكيو. كان الهدف هو منح المشاركين خبرة عملية في تطوير مفاتيح المرور وإنشاء نماذج أولية لمفاتيح المرور لمنتجات العالم الحقيقي، مع تواجد موظفي Google وFIDO Alliance لتقديم التوجيه.
شهد الهاكاثون مشاركة 9 فرق في مفاتيح المرور، وقام الحكام باختيار أربعة مشاريع أكثر ابتكارًا وتأثيرًا.
الفائز الكبير: فريق جامعة Keio SFC-RG pkLock (جامعة Keio)
كان فريق SFC-RG pkLock التابع لجامعة Keio هو الفريق الوحيد في هذه المسابقة الذي واجه التحدي المتمثل في الجمع بين أجهزة إنترنت الأشياء ومفاتيح المرور، كما أنهم أحضروا طابعة ثلاثية الأبعاد.
يهدف pkLock (يُنطق “pic-lock”) إلى حل المشكلة الشائعة المتمثلة في تسليم المفاتيح المرهقة لـ Airbnb وغيرها من أماكن الإقامة الخاصة باستخدام مصادقة مفتاح المرور عبر الأجهزة.
يتكون الجهاز الذي قاموا بإنشائه من جهاز عرض رمز الاستجابة السريعة المثبت على الجزء الخارجي من الباب وجهاز فتح القفل المثبت في الداخل. بالإضافة إلى الجهاز، يوجد تطبيق ويب يستخدمه المستخدمون للحجز وفتح القفل. يمكن للضيوف فتح الباب عن طريق وضع أيديهم أسفل جهاز عرض رمز الاستجابة السريعة الموجود أمام الباب، وقراءة رمز الاستجابة السريعة المعروض باستخدام هواتفهم المحمولة، وإجراء مصادقة مفتاح المرور (المصادقة عبر الأجهزة).
كما أولوا اهتمامًا خاصًا بتصميم جهاز متطور قد يرغب المضيفون في تثبيته في أماكن إقامتهم. وقد لاقى نهجهم الشامل، الذي يأخذ في الاعتبار أيضًا إمكانية اعتماد هذه الأجهزة على نطاق واسع، صدى قويًا لدى القضاة.
أثناء العرض التقديمي، أثاروا الكثير من الإثارة بين الجمهور من خلال فتح باب مصغر صنعوه خلال الهاكاثون. في هذا العرض التوضيحي، عرض الجهاز رمز الاستجابة السريعة الذي يحتوي على عنوان URL مع رمز مميز لمرة واحدة يوجه المستخدمين إلى صفحة المصادقة. وفي المستقبل، يخططون لتنفيذ عمليات نقل هجينة على الجهاز لتمكين إلغاء القفل المباشر. لقد فازوا بالهاكاثون لجهودهم الرائدة في استكشاف إمكانيات استخدام مفاتيح المرور على أجهزة إنترنت الأشياء.
جائزة FIDO 1: SKKN (جامعة واسيدا)
SKKN هي مجموعة بحثية من جامعة واسيدا، متخصصة في دراسات الخصوصية. قدم الفريق حالة استخدام متقدمة للغاية لمفاتيح المرور، ودمجها مع التقنيات الناشئة – بيانات الاعتماد القابلة للتحقق (VC) وإثبات المعرفة الصفرية. نظرًا لأن أوراق الاعتماد القابلة للتحقق وإثبات المعرفة الصفرية تقع في دائرة الضوء على هوية السيادة الذاتية والهوية اللامركزية (SSI/DID)، فقد اجتذب العرض التقديمي اهتمامًا كبيرًا من كل من حكام الهاكاثون والمشاركين الآخرين.
بيانات الاعتماد القابلة للتحقق (VCs) هي شهادات رقمية تثبت معلومات المستخدم مثل الاسم والانتماء والعنوان. إذا كان الحامل (المحفظة) الذي يقوم بتخزين العملات الافتراضية وإدارتها معرضًا للخطر، فمن الممكن أن يسرق الآخرون العملات الافتراضية، ويمكن للآخرين انتحال شخصية المستخدم من خلال تقديم العملات الافتراضية. بالإضافة إلى تمكين المستخدم الذي لديه بيانات اعتماد FIDO فقط من تقديم VC، فقد قاموا بتطوير طريقة تسمح فقط لخدمات المحفظة الموثوقة بالتعامل مع VC.
أظهر تنفيذها العديد من المزايا:
- من خلال ربط وإصدار VCs وبيانات اعتماد FIDO، يمكن لمالك FIDO فقط استخدام VCs.
- يمكن استخدام المحافظ الموثوقة من قبل جهة الإصدار وشركة التحقق فقط.
- باستخدام مفاتيح المرور، يمكن عمل نسخة احتياطية من العملات الافتراضية والمحافظ واستردادها، ويمكن للمستخدمين استردادها حتى لو فقدوا أجهزتهم.
جائزة FIDO 2: معرف طوكيو (طوكيو)
حصل فريق URBAN HACKS، المعروف أيضًا باسم فريق TOKYU ID، من شركة Tokyu، على جائزة FIDO لاعتماده المبتكر لمفتاح المرور لمعرف TOKYU. مجموعة طوكيو هي تكتل ياباني كبير يضم مجموعة واسعة من الشركات التي تتمحور حول النقل والتنمية الحضرية.
تم تصميم TOKYU ID لتبسيط التفاعلات اليومية، مثل ركوب القطار. وإدراكًا للأهمية الحاسمة لتجربة المستخدم، قام الفريق بتنفيذ تسجيل الدخول بمفتاح المرور في فبراير 2024، لمعالجة المشكلات المحتملة مثل فقدان القطار بسبب التأخير في المصادقة الثنائية في خدمات التذاكر الرقمية التي يوفرها تطبيق الويب.
لقد شاركوا في هذا الهاكاثون للتحقق من صحة رؤيتهم لمعرف TOKYU. يتصور السيناريو المثالي الخاص بهم قيام جميع المستخدمين بالتسجيل وتسجيل الدخول باستخدام مفاتيح المرور، إلى جانب الاسترداد السلس للحساب. ولتحقيق ذلك، ركزوا على تطبيقين رئيسيين في الهاكاثون: تمكين تسجيل مفتاح المرور أثناء عملية تسجيل العضوية الأولية وإدخال تسجيل الدخول الاجتماعي لاستعادة الحساب. بشكل فريد، بعد الاسترداد من خلال تسجيل الدخول عبر وسائل التواصل الاجتماعي، يُسمح للمستخدمين فقط بتسجيل مفتاح مرور، مما يؤكد التزام الفريق بالتصميم الذي يتمحور حول مفتاح المرور. كما قاموا أيضًا بدمج FedCM لتحسين تجربة المستخدم في عمليات ربط الحساب.
أظهر النهج المرتكز على مفتاح المرور الذي اتبعه فريق TOKYU ID فهمًا عميقًا لاحتياجات المستخدم ومتطلبات المنتج. وفي الهاكاثون، نجحوا في تنفيذ الحل الخاص بهم وقدموا عرضًا تقديميًا مثيرًا للاهتمام، مما أدى إلى فوزهم بجائزة FIDO. والجدير بالذكر أنهم قاموا بدمج تسجيل الدخول بـ Google دون استخدام GIS SDK مع JavaScript الفانيليا فقط باستخدام FedCM!
جائزة جوجل: فريق نولاب (Nulab)
Nulab هي شركة برمجيات تقدم خدمات مثل Backlog وCacoo وNulab Pass. لديهم العديد من حلول المصادقة الثنائية (مفاتيح الأمان، SMS OTP، البريد الإلكتروني OTP، TOTP) وWebAuthn عبر خدماتهم. كانت Nulab من أوائل مستخدمي WebAuthn وقد دعمت مفاتيح المرور بشكل كامل منذ أكتوبر 2023.
لقد قاموا بتنفيذ ثماني ميزات جديدة:
- بطاقة مفاتيح المرور
- محتوى تمهيدي لمفتاح المرور
- مكافآت متبني مفتاح المرور
- المساعدة في استرداد الحساب بسلاسة
- تسجيل الدخول باستخدام زر مفتاح المرور
- إلزامية 2FA لمتبني مفتاح المرور
- إزالة كلمة المرور وتعزيز مفتاح المرور عند تسرب بيانات الاعتماد
- تعزيز مفاتيح المرور عند إعادة تعيين كلمة المرور
لقد عرضوا المساعدة لاسترداد الحساب بسلاسة في hackathon: كانت الفكرة هي دفع المستخدم لإجراء إضافي عند إضافة مفتاح مرور. إذا كان مفتاح المرور المضاف مرتبطًا بالجهاز، فنوصي المستخدم بإضافة مفتاح مرور آخر من مدير كلمات مرور مختلف. إذا تمت مزامنة مفتاح المرور المُضاف، فنوصي المستخدم بإزالة كلمة المرور.
كما قاموا أيضًا بتطبيق مكافآت للمستخدمين الذين يستخدمون مفاتيح المرور مع تمييز رمز حساب المستخدم. عندما يستخدم المستخدم مفتاح مرور مرتبط بالجهاز، يبدأ الرمز في الدوران. عندما يستخدم المستخدم مفتاح مرور متزامن، يبدأ الرمز في الوميض. نظرًا لأن هذه أداة مؤسسية، فإن هذا يحفز المستخدمين على التميز داخل الشركة من خلال اعتماد مفاتيح المرور.
وقد أعجب الحكام بأفكارهم الإبداعية لتحسين تنفيذ مفتاح المرور الخاص بهم، وعلى وجه الخصوص كيف يمكن للمستخدمين استرداد حساباتهم.
مشاريع أكثر إثارة للاهتمام
كان لدى جميع الفرق المشاركة في الهاكاثون أفكار مثيرة للاهتمام، وإليك لمحة عن مشاريعهم:
- معرف نيكاي (نيكي): تم تنفيذ مفاتيح المرور أعلى OpenID Connect، مما يقلل من احتكاك المستخدم.
- دينتسو سوكن (دنتسو سوكن): مفاتيح مرور مدمجة مع تسجيل الدخول بحساب Google لتأهيل المستخدم بسلاسة.
- SST-Tech (تقنية السماء الآمنة): استكشاف مضاهاة مفتاح المرور لتقييمات الأمان.
- أجيتي نيكومارو (جامعة كيو): تم تقديم مصادقة مفتاح المرور لنظام إدارة التعلم (LMS) مفتوح المصدر.
- ماي ليكسيل (ليكسيل): تم إنجاز تنفيذ مفاتيح المرور كطريقة مصادقة لـ MyLIXIL.
لمزيد من التفاصيل حول كل مشروع، راجع تقرير هاكاثون طوكيو لمفاتيح المرور الكامل.
الوجبات الجاهزة والمستقبل
طوال فترة الهاكاثون، تبادل المشاركون تعليقاتهم وأسئلتهم القيمة، مما سلط الضوء على الحماس لمفاتيح المرور ومجالات التحسين. هذه بعض النقاط الرئيسية من الهاكاثون:
- هناك اهتمام متزايد بدمج مفاتيح المرور مع التقنيات الأخرى، مثل بيانات الاعتماد التي يمكن التحقق منها وإثباتات المعرفة الصفرية.
- تظل تجربة المستخدم أولوية قصوى، حيث تركز الفرق على جعل مفاتيح المرور أسهل في الاستخدام والاعتماد.
- سلط الهاكاثون الضوء على إمكانية توسيع مفاتيح المرور إلى ما هو أبعد من عمليات تسجيل الدخول التقليدية، إلى مجالات مثل إنترنت الأشياء والهوية الرقمية.
وقد حقق الحدث نجاحاً باهراً، وأثار أفكاراً وتعاونات جديدة. ومع تزايد اعتماد مفاتيح المرور على نطاق أوسع، تعد مثل هذه الأحداث أساسية لتحفيز الابتكار ومواجهة التحديات.
إنه وقت مثير لمفاتيح المرور، ويعتبر هاكاثون طوكيو دليلاً على أن المطورين حريصون على تجاوز حدود ما هو ممكن.