تعد مفاتيح المرور بديلاً أكثر أمانًا لكلمات المرور وعوامل المصادقة المخادعة الأخرى . حيث لا يمكن إعادة استخدامها ، ولا تتسرب في حال حدوث اختراق للخوادم ، وتحمي المستخدمين من هجمات التصيد الاحتيالي.
تم الإعلان عن الميزة لأول مرة في مايو 2022 كجزء من حملة أوسع لدعم معيار تسجيل الدخول بدون كلمة مرور.
تهدف مفاتيح المرور ، التي أنشأها اتحاد FIDO "وهو اتحاد صناعي مفتوح ذات مهمة مركزة: معايير المصادقة للمساعدة في تقليل اعتماد العالم المفرط على كلمات المرور". ودعمتها أيضًا شركة أبل و شركة ميكروسوفت ، إلى استبدال كلمات المرور القياسية بمفاتيح رقمية فريدة يتم تخزينها محليًا على الجهاز.
تحقيقًا لهذه الغاية ، يتطلب إنشاء مفتاح مرور تأكيدًا من المستخدم النهائي بشأن الحساب الذي سيتم استخدامه لتسجيل الدخول إلى الخدمة عبر الإنترنت ، متبوعًا باستخدام معلومات المقاييس الحيوية الخاصة به أو رمز مرور الجهاز .
يعد تسجيل الدخول إلى موقع ويب على جهاز محمول أيضًا عملية بسيطة من خطوتين تستلزم اختيار الحساب وتقديم بصمة الإصبع أو الوجه أو قفل الشاشة عند المطالبة بذلك.
المبدأ الأساسي الذي يقوم بتشغيل مفاتيح المرور هو آلية تسمى تشفير المفتاح العام ، حيث يتم تخزين المفتاح الخاص "السري" على جهاز المستخدم بينما يتم إخفاء المفتاح العام بواسطة الخدمة عبر الإنترنت.
وبالتالي ، أثناء عملية تسجيل الدخول ، يستخدم النظام الأساسي الذي يدعم مفاتيح المرور المفتاح العام للتحقق من صحة التوقيع من المفتاح الخاص لتأكيد صحة المستخدم.
يتم أيضًا تشفير المفتاح الخاص لمفتاح المرور الذي يتم إنشاؤه لكل حساب مستخدم لخدمة عبر الإنترنت في حالة سكون على أجهزة المستخدم باستخدام مفتاح تشفير محمي للأجهزة.
الميزة الأكثر إقناعًا لمفاتيح المرور هي أنها أيضًا لا تعتمد على المتصفح ونظام التشغيل ، مما يعني أنه يمكن لمستخدم نظام اندرويد تسجيل الدخول إلى موقع ويب تم تمكينه باستخدام مفتاح المرور باستخدام متصفح سافاري على نظام iOS أو macOS ، أو متصفح كروم على نظام وندوز.
لاحظت جوجل أيضًا أن مفاتيح المرور التي تم إنشاؤها يتم تخزينها بشكل آمن ومزامنتها مع السحابة عبر مدير كلمات المرور لمنع عمليات الإغلاق ، ويمكن للمطورين إضافة دعم مفتاح المرور على مواقعهم باستخدام WebAuthn API.
قال أرنار بيرجيسون مهندس برمجيات جوجل: "عندما يتم نسخ مفتاح مرور احتياطيًا ، يتم تحميل مفتاحه الخاص فقط في شكله المشفر باستخدام مفتاح تشفير لا يمكن الوصول إليه إلا من خلال أجهزة المستخدم الخاصة" .
"هذا يحمي مفاتيح المرور من جوجل نفسها ، أو على سبيل المثال ، مهاجم ضار داخل شركة جوجل. بدون الوصول إلى المفتاح الخاص ، لا يمكن لمثل هذا المهاجم استخدام مفتاح المرور لتسجيل الدخول إلى حسابه المقابل عبر الإنترنت."
كما قالت عملاقة الإنترنت إنها تهدف إلى إصدار واجهة برمجة لتطبيقات اندرويد الأصلية في عام 2022 والتي ستمنح المستخدمين طريقة موحدة لتحديد إما مفتاح مرور أو كلمة مرور محفوظة.