من حيث الصياغة، لا أحب استخدام مصطلح “Web Authn”؛ فأعتقد أنه قد يُربك المستخدمين النهائيين، لذا يُفضّل استخدام “مفتاح الأمان” أو ما شابه ذلك.
أود بشدة تجنب التفكير في مصطلحات مثل “العامل الأول” أو “المصادقة الخالية من كلمة المرور” في هذه المرحلة؛ فبالنسبة لي، يجب أن نطلق هذه الميزة ونعمل بها لمدة 3-4 أشهر على الأقل قبل حتى النظر في ذلك.
خاصةً أننا ندعم بالفعل تسجيل الدخول عبر البريد الإلكتروني، مما يعني أنه يمكن للمستخدم تقنيًا نسيان كلمة المرور.
أتفق على أن سير العمل يجب أن يكون كالتالي: إذا توفرت لديك واجهات برمجة التطبيقات (APIs) ومفتاح WebAuthn، فحاول استخدام WebAuthn أولاً، لكن امنح المستخدم خيارًا للخروج من هذه العملية. كما يجب مراعاة احتمال امتلاك المستخدم لأكثر من جهاز WebAuthn؛ لذا أنصح باتباع نهج جوجل في التعامل مع هذا الأمر (مثل توفير رابط “اختر خيارًا آخر” أو ما شابه).
أما بالنسبة لشيء أفكر فيه على المدى الطويل كعنصر منفصل، فيمكننا استخدام “تطبيق Discourse” للمصادقة الثنائية (2FA)، وهو ما سيكون رائعًا جدًا @pmusaraj. وهذا قد يجعل استخدام المصادقة الثنائية أكثر شيوعًا وانتشارًا.