.svg)
Key Takeways
- أنواع عوامل 2FA: قمة الرسائل القصيرة (الإعداد الافتراضي العام)، واتساب OTP (الهاتف المحمول أولاً)، OTP الصوتي (إمكانية الوصول)، تطبيق مصادقة TOTP (ضمان عالي)، مفاتيح المرور (الأقوى).
- تحافظ المصادقة الثنائية القائمة على المخاطر (التحدي فقط عندما تتطلب إشارات الجهاز/IP/الوقت/المحاولات الفاشلة) تحويل تسجيل الدخول مقابل المصادقة الثنائية العامة.
- SMS OTP عبر واجهة برمجة تطبيقات التحقق المتوافقة مع TCPA يفي بمتطلبات PCI DSS و HIPAA و NIST 800-171 ومعظم متطلبات MFA الخاصة بقانون الولاية.
- النمط القياسي: الرسائل القصيرة/WhatsApp OTP عند التسجيل، قم بتشجيع TOTP أو تسجيل مفتاح المرور بشكل تدريجي على مدار 30-90 يومًا.
- قائمة مرجعية للإنتاج مكونة من 12 عنصرًا: رقم هاتف libphone، والإرسال متعدد القنوات، ودعم TOTP، ورموز الاسترداد، والمشغل القائم على المخاطر، والثقة في هذا الجهاز، وتحديد المعدل، وسجلات التدقيق، وتدفق الاسترداد، واختبار A/B، ودفتر تشغيل الدعم، والمراقبة.
المصادقة الثنائية (2FA) لم يعد اختياريًا لأي تطبيق أمريكي موجه للمستهلكين يتعامل مع حسابات المستخدمين أو الأموال أو البيانات الحساسة. الخبر السار للمهندسين: دمج 2FA عبر واجهة برمجة تطبيقات 2FA الحديثة يستغرق ساعات وليس أسابيع. السؤال الأصعب هو ما هي أنواع العوامل التي يجب دعمها، وبأي ترتيب، وبأي سلوك احتياطي. يستعرض هذا الدليل خطوة بخطوة تكامل 2FA API للشركات الأمريكية في عام 2026 - المصطلحات وأنواع العوامل والتدفق القياسي وعينات كود العمل وقائمة مراجعة الإنتاج لبدء البث المباشر.
مصطلحات 2FA في 90 ثانية
- مصادقة ثنائية يتطلب من المستخدم تقديم عاملين مستقلين عند المصادقة: عادةً شيء يعرفه (كلمة المرور) بالإضافة إلى شيء يمتلكه (الهاتف، رمز الجهاز، تطبيق المصادقة). عامل «have» هو ما يعالجه تكامل 2FA API.
- فئات العوامل المقبولة وفقًا لـ NIST SP 800-63B هي: المعرفة (كلمة المرور ورقم التعريف الشخصي) والحيازة (الهاتف ورمز الجهاز وتطبيق المصادقة) والوراثة (القياسات الحيوية مثل بصمة الإصبع أو الوجه). يعني العامل المزدوج الجمع بين أي فئتين من فئات مختلفة - كلمة المرور+رقم OTP للهاتف وكلمة المرور+TOTP وكلمة المرور+مفتاح الجهاز وما إلى ذلك.
- المصادقة متعددة العوامل (MFA) هو المصطلح الأوسع - نفس الفكرة، ثلاثة عوامل أو أكثر بدلاً من اثنين. يتم استخدام المصطلحات بالتبادل في معظم نسخ المنتج.
- عوامل 2FA القوية مقابل الضعيفة لكل نيست سبا 800-63B: SMS OTP «مقيد» (مقبول ولكنه غير مفضل للضمان العالي)، و TOTP من تطبيقات المصادقة «مسموح به»، ومفاتيح أجهزة FIDO2/WebAuthn «مفضلة».
أنواع عوامل 2FA التي ستنفذها
قوة العامل تكلفة احتكاك المستخدم لكل استخدام الأفضل للرسائل القصيرة OTP متوسط 0.01-0.04 دولار افتراضي عالمي منخفض المخاطر WhatsApp OTP متوسط - قوي منخفض 0.005-0.02 الجمهور الأول للهاتف المحمول صوت OTP متوسط 0.02 دولار - 0.05 إمكانية الوصول، تطبيق Fallback Authenticator إلى TP Strong Medium (الإعداد) 0 دولار (بعد الإعداد) ضمان عالي الجودة، مصادقة المستخدمين العائدين StrongLow $0 - 0.02 تطبيق - امتلاك مستخدمين FIDO2/مفاتيح المرور StrongestLow (بعد الإعداد) $0 إجراءات إدارية عالية المخاطر رموز الأجهزة (YubiKey) أقوى تكلفة عالية (شراء) الأجهزة مشرف المؤسسة والصناعات المنظمة
بالنسبة لمعظم تطبيقات المستهلك في الولايات المتحدة في عام 2026، فإن الخيار الافتراضي الصحيح هو شحن الرسائل القصيرة أو WhatsApp OTP عند التسجيل (التوافق العالمي)، ثم تشجيع المستخدمين تدريجيًا على إضافة TOTP أو مفاتيح المرور للمصادقة المستمرة. تحالف فيدو تنشر كتيبات تفصيلية للترحيل لنقل قواعد المستهلكين نحو مفاتيح المرور.
تدفق 2FA القياسي
التدفق المرجعي لـ 2FA القائم على المخاطر عند تسجيل الدخول:
- يقدم المستخدم اسم المستخدم + كلمة المرور.
- يقوم التطبيق بمصادقة كلمة المرور.
- يتحقق التطبيق من إشارات الخطر: مطابقة بصمة الجهاز، تحديد الموقع الجغرافي لـ IP، الوقت من اليوم، سجل تسجيل الدخول الأخير.
- إذا كانت درجة المخاطرة أقل من الحد الأدنى، أكمل تسجيل الدخول (تخطي 2FA).
- إذا كانت درجة المخاطر أعلى من الحد الأدنى، فاطلب العامل الثاني - عادةً الطريقة المسجلة للمستخدم.
- يقوم المستخدم بإدخال OTP أو النقر على الإشعار الفوري أو تقديم مفتاح المرور.
- يتحقق التطبيق من صحة العامل الثاني عبر واجهة برمجة تطبيقات التحقق.
- عند النجاح، أكمل تسجيل الدخول وقم بتحديث متجر إشارات المخاطر.
لا تتطلب المصادقة الثنائية (2FA) عند كل تسجيل دخول: فهذا يدمر التحويل. استخدم إشارات المخاطر للتصعيد فقط عندما تستدعي المخاطر ذلك، واعرض «الوثوق بهذا الجهاز» حتى لا يرى المستخدمون المصادقة الثنائية في كل جلسة من جهاز معروف.
نموذج التعليمات البرمجية: SMS OTP للعامل الثاني (Node.js)
//الخطوة 1: بعد مصادقة كلمة المرور، أرسل تحدي 2FA
تتطلب الوظيفة غير المتزامنة 2FA (المستخدم) {
معرف التحقق الثابت = انتظر axios.post (`$ {API_BASE} /إرسال`، {
رمز البلد: المستخدم. رمز البلد،
رقم الهاتف المحمول: المستخدم. رقم الهاتف،
نوع التدفق: ['واتساب'، 'SMS']،
المهلة الاحتياطية بالثواني: 30,
الطول: 6،
}، {
العناوين: {'AuthToken': API_KEY}
})؛
//معرف التحقق من المتجر في الجلسة
الجلسة. في انتظار التحقق = معرف التحقق .data.data.data. معرف التحقق؛
إرجاع {التحدي: 'OTP_REQUIRED'}؛
}
//الخطوة 2: يقوم المستخدم بإدخال الرمز من الرسائل القصيرة/WhatsApp
وظيفة غير متزامنة Complete2FA (الجلسة، الرمز الذي أدخله المستخدم) {
نتيجة ثابتة = انتظر axios.post (`$ {API_BASE} /validate`، {
معرف التحقق: الجلسة. في انتظار التحقق،
الكود: كود المستخدم الذي أدخله،
}، {
العناوين: {'AuthToken': API_KEY}
})؛
إذا (حالة التحقق من النتائج .data.data.data.=== 'تم التحقق منها') {
تمت المصادقة على الجلسة = صحيح؛
الجلسة. في انتظار التحقق = فارغ؛
إرجاع {النجاح: صحيح}؛
} وإلا {
إرجاع {النجاح: خطأ، الخطأ: 'INVALID_CODE'}؛
}
}
يعمل النمط نفسه مع WhatsApp والصوت والبريد الإلكتروني OTP؛ الاختلاف الوحيد هو نوع التدفق عند إرسال المكالمة.
نموذج التعليمات البرمجية: تسجيل TOTP في تطبيق المصادقة (Python)
# المكتبة: الصورة (رمز تثبيت الصورة pip)
صورة الاستيراد
استيراد رمز qrcode
def enroll_totp (مستخدم):
# إنشاء سر فريد لكل مستخدم
السر = الصورة.random_base32 ()
# قم بتخزين السر في سجل المستخدم الخاص بك (مشفرًا أثناء الراحة)
user.totp_secret = سر
user.save ()
# إنشاء عنوان URI otpauth لتطبيق المصادقة
uri = pyotp.totp.totp (سري) .provisioning_uri (
الاسم = المستخدم. البريد الإلكتروني،
اسم المُصدر = «تطبيقك»
)
# قم بإنشاء رمز QR يقوم المستخدم بمسحه باستخدام تطبيق المصادقة الخاص به
qr = qrcode.make (عنوان uri)
إرجاع qr.get_image ()
def verify_totp (المستخدم، رمز المستخدم الذي أدخله):
totp = الصورة.totp (user.totp_secret)
ارجع إلى tp.verify (الكود الذي أدخله المستخدم، نافذة صالحة = 1)
لا يتطلب التحقق من TOTP استدعاء API؛ يتم إنشاء الكود من جانب العميل من سر مشترك قمت بتخزينه عند التسجيل، ويمكنك التحقق من ذلك عن طريق حساب الكود المتوقع والمقارنة. هذا جزء من سبب حرية تشغيل TOTP ولماذا هو العامل الثاني المناسب للمستخدمين العائدين ذوي الحجم الكبير.
المصادقة الثنائية القائمة على المخاطر: متى يتم البدء
الإشارات الأربع التي يستخدمها كل نظام 2FA حديث لتحديد ما إذا كان سيتم التحدي:
عدم تطابق بصمة الجهاز
قام المستخدم بتسجيل الدخول من جهاز مختلف عن آخر 30 يومًا من الجلسات. إشارة أعلى ثقة - قم دائمًا تقريبًا بالتصعيد.
قفزة في تحديد الموقع الجغرافي لـ IP
تسجيل الدخول من بلد أو منطقة لم يقم المستخدم بتسجيل الدخول منها من قبل. ثقة عالية - تقدم.
شذوذ الوقت من اليوم
قم بتسجيل الدخول في ساعة غير عادية لهذا المستخدم (على سبيل المثال، 4 صباحًا عندما يقوم المستخدم عادةً بتسجيل الدخول من 9 صباحًا إلى 5 مساءً). انخفاض الثقة: تقدم إذا تم دمجها مع إشارة أخرى.
حد المحاولات الفاشلة
عدة محاولات فاشلة لكلمة المرور في آخر 30 دقيقة. تقدم بغض النظر عن الإشارات الأخرى.
معظم منصات الهوية (المصادقة 0، Okta، AWS Cognito) شحن هذا المنطق القائم على المخاطر خارج الصندوق. إذا كنت تقوم بتدوير الإشارات الخاصة بك، فإن الإشارات الأربع أعلاه تغطي حوالي 90٪ من القيمة.
تجربة المستخدم الخاصة بالتسجيل التي تعمل بالفعل
هناك ثلاثة أنماط تفصل التسجيل الجيد في 2FA عن السيئ:
لا تتطلب تسجيل 2FA عند التسجيل
إنه بفضل تحويل الاشتراك. تحقق من الهاتف عند التسجيل (1FA)، ثم شجع تسجيل 2FA تدريجيًا خلال أول 30-90 يومًا باستخدام المطالبات والحوافز اللطيفة. المستخدمون الذين يحصلون على قيمة من منتجك أولاً هم أكثر استعدادًا للاستثمار في إعداد الأمان.
الانتقال الافتراضي إلى العامل الأسهل أولاً
قمة الرسائل القصيرة هو الإعداد الافتراضي العام؛ كل مستخدم لديه رسالة نصية قصيرة، دون الحاجة إلى إعداد إضافي. بمجرد التسجيل، اطلب من المستخدمين إضافة عامل أقوى (TOTP، مفتاح المرور) كـ «رفع المستوى» مع رسائل الأمان.
قم دائمًا بتقديم رموز الاسترداد
عندما يقوم المستخدم بالتسجيل في TOTP أو 2FA بمفتاح الجهاز، قم بإنشاء 8-10 رموز استرداد أحادية الاستخدام يمكنه حفظها. بدون رموز الاسترداد، يتم حظر المستخدمين الذين يفقدون هواتفهم إلى الأبد؛ ويتحمل فريق الدعم الخاص بك التكلفة.
الامتثال لـ 2FA للشركات الأمريكية
تفرض العديد من الأطر التنظيمية الأمريكية الآن المصادقة الثنائية أو توصي بها بشدة:
- بي سي دي إس إس يتطلب MFA لجميع عمليات الوصول إلى بيئات بيانات حامل البطاقة. الرسائل القصيرة OTP مؤهلة.
- قاعدة أمان HIPAA يتطلب «مصادقة الشخص أو الكيان» - يتم تفسيره على نطاق واسع ليشمل MFA للأنظمة ذات PHI.
- الفتحة 800-171 سم مكعب/سم مكعب يتطلب MFA لأنظمة المقاول الفيدرالي التي تتعامل مع المعلومات غير المصنفة الخاضعة للرقابة.
- قوانين خصوصية البيانات على مستوى الدولة (CCPA/CPRA، NY SHIELD، إلخ) تشمل بشكل متزايد MFA باعتباره «إجراءً أمنيًا معقولًا».
- شركات التأمين الإلكتروني تتطلب بشكل متزايد التسجيل في MFA كشرط أساسي للتغطية وكمؤهل للخصم.
بالنسبة لمعظم تطبيقات المستهلكين في الولايات المتحدة، SMS OTP عبر واجهة برمجة تطبيقات التحقق المتوافقة مع TCPA يلتقي البار. دليل TCPA الخاص بنا يغطي تفاصيل الامتثال الخاصة بالرسائل القصيرة.
قائمة مراجعة الإنتاج لطرح 2FA
اثنا عشر عنصرًا قبل قلب علامة الميزة:
- تطبيع رقم الهاتف مع رقم هاتف libphone عند الإدخال
- إرسال OTP متعدد القنوات (WhatsApp+SMS + صوت احتياطي) للتحقق من العامل الأول
- دعم TOTP عبر المكتبة القياسية (الصورة، otplib)
- رموز الاسترداد التي تم إنشاؤها عند التسجيل وتخزينها مجزأة
- منطق الزناد المستند إلى المخاطر (إشارات الجهاز وعنوان IP والوقت والمحاولات الفاشلة)
- مفتاح «الوثوق بهذا الجهاز» لتخطي المصادقة الثنائية (2FA) على الأجهزة المعروفة
- تحديد المعدل لمحاولات 2FA (بحد أقصى 5 لكل جلسة)
- سجل تدقيق لكل تحدي ونتائج 2FA (الاحتفاظ لمدة 4 سنوات للدفاع عن TCPA)
- تدفق استرداد الحساب عندما يفقد المستخدم الوصول إلى جميع العوامل
- اختبار A/B للتسجيل: هل يؤثر طلب المصادقة الثنائية عند التسجيل على التحويل؟
- دليل دعم العملاء: كيفية التحقق من الهوية وإعادة تمكين مستخدم مقفل
- مراقبة معدل تحدي 2FA ومعدل النجاح واستخدام القناة الاحتياطية
الأسئلة الشائعة
هل يجب أن أطلب 2FA عند التسجيل أم بشكل تدريجي؟
بالنسبة لمعظم تطبيقات المستهلك، بشكل تدريجي. تحقق من الهاتف عند التسجيل (1FA) بحثًا عن الاحتيال وإمكانية الوصول، ثم اطلب من المستخدمين تمكين 2FA خلال أول 30-90 يومًا باستخدام رسائل الأمان. عادةً ما يؤدي فرض تسجيل 2FA عند التسجيل إلى خفض التحويل بنسبة 5-15٪ مع مكاسب أمنية قليلة - يمكن للمحتالين الذين يقومون بمسح التحقق عبر الهاتف عادةً ما يتم مسحها المصادقة الثنائية المستندة إلى الرسائل القصيرة عبر بروتوكول الإنترنت أيضا.
ما تأثير التحويل لإضافة 2FA عند تسجيل الدخول؟
عادةً ما يكون لـ 2FA المستند إلى المخاطر (يتم الطعن فيه فقط عندما تتطلب إشارات المخاطرة) تأثير تحويل قريب من الصفر للمستخدمين الشرعيين (أقل من 5٪ من عمليات تسجيل الدخول تؤدي إلى التحدي، والاحتكاك هو 10-30 ثانية). تؤدي المصادقة الثنائية الشاملة عند كل تسجيل دخول إلى تدمير التحويل (انخفاض بنسبة 5-15٪ في الجلسات النشطة). قم دائمًا بالتنفيذ على أساس المخاطر وليس عالميًا.
كيف أقوم بترحيل قاعدة المستخدمين الخاصة بي من SMS 2FA إلى مفاتيح المرور؟
قوس متعدد السنوات، تطوعي في البداية. أضف دعم مفتاح المرور إلى جانب الرسائل القصيرة، واطلب من المستخدمين إضافة مفتاح مرور أثناء لحظات المشاركة العالية، وتقديم مفتاح المرور فقط باعتباره المستوى الأقوى. بمجرد وصول نسبة اعتماد مفتاح المرور إلى 30٪ تقريبًا، ضع في اعتبارك جعله الخيار الافتراضي للاشتراكات الجديدة. يؤدي فرض مفتاح المرور فقط على المستخدمين الحاليين إلى نجاح تسجيل الدخول بينما يكتشف المستخدمون التدفق الجديد. إرشادات التبني الخاصة بتحالف FIDO يغطي دليل اللعبة.
اشحن 2FA في سباق واحد
اعتاد 2FA أن يكون مشروعًا مدته ربع عام. مع واجهة برمجة تطبيقات التحقق الحديثة، إنه تكامل أحادي السرعة. تحقق الآن للولايات المتحدة الأمريكية يشحن SMS + WhatsApp OTP للعامل الافتراضي العالمي، بالإضافة إلى دعم TOTP لزيادة الضمان؛ كل ذلك من نقطة نهاية REST واحدة مع الإعدادات الافتراضية المتوافقة مع TCPA و 10DLC التي يتم التعامل معها داخليًا. ائتمانات اختبار مجانية، لا حاجة لبطاقة ائتمان.
.png){kind=small}
