خارطة طريق passkey FIDO2 للبنوك الجزائرية (2026)

نُشر في أبريل 19, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

تتخلى البنوك العالمية، من China Bank Philippines إلى First Credit Union، عن كلمات المرور لمرة واحدة عبر SMS لصالح مفاتيح المرور FIDO2، وأعلن المنظم الياباني رسمياً أن المعرف/كلمة المرور ورموز SMS OTP لم تعد كافية. لا تزال البنوك الجزائرية تعتمد على SMS OTP كعامل ثانٍ وحيد. يوفر مسار واقعي من 12 إلى 15 شهراً ترتيباً لتسجيل اختياري لمفاتيح المرور، ومفاتيح مرور متعددة الأجهزة للخدمات المصرفية على الويب، وإخراج تدريجي لـ SMS OTP، ومفاتيح عتادية للموظفين ذوي الصلاحيات.

خلاصة: يجب على البنوك والشركات المالية التقنية الجزائرية أن تبدأ نشر مفاتيح FIDO2 هذا العام. المكونات التقنية والموردون سلع متاحة؛ العوائق المتبقية هي الرعاية التنفيذية وجدول زمني قابل للدفاع عنه لإنهاء SMS OTP.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائرمرتفعة▾

كل بنك جزائري لديه تطبيق هاتفي يعتمد حالياً على SMS OTP. الضغوط التنظيمية والتكلفة والاحتيال التي حرّكت البنوك في الفلبين واليابان والولايات المتحدة مشابهة هيكلياً للجزائر.

أفق العمل6-12 شهراً▾

يمكن إطلاق المرحلة 1 (passkeys اختيارية على الهاتف) واقعياً خلال فصل. انتقال كامل يستغرق 12-15 شهراً لبنك جزائري متوسط الحجم.

الأطراف المعنيةCISO البنوك، رؤساء الخدمات المصرفية الرقمية، موردو النظام المصرفي الأساسي، ARPCE، بنك الجزائر، مشغلو fintech (Baridi Mob، Yassir Pay)، فرق تطوير الهاتف

نوع القراراستراتيجي▾

خيار إنهاء SMS OTP برنامج متعدد الفصول بآثار على تجربة العميل والاحتيال والموردين — ليس تغييراً تكتيكياً بسيطاً.

مستوى الأولويةمرتفع▾

SMS OTP هو الحلقة الموثّقة الأضعف في معظم بنى مصادقة البنوك الجزائرية ومصدر رئيسي لخطر الاستيلاء على الحسابات.

خلاصة سريعة: ينبغي على البنوك الجزائرية إطلاق تسجيل passkey اختياري في تطبيقاتها الهاتفية هذا العام ونشر جدول زمني لإنهاء SMS OTP للمعاملات عالية الخطورة. ينبغي على الموظفين الداخليين ذوي الصلاحيات (الخزينة، النظام المصرفي الأساسي، SWIFT) الانتقال إلى مفاتيح FIDO2 عتادية فوراً. ينبغي على الشركات المالية التقنية التي تطلق منتجات جديدة الانطلاق افتراضياً بـ onboarding passkey-first.

لماذا خسر SMS OTP بالفعل

تشكّل كلمات المرور لمرة واحدة عبر SMS العمود الفقري الحالي للخدمات المصرفية عبر الهاتف في الجزائر: عند تسجيل الدخول إلى CPA Mobile أو BNA Direct أو Baridi Pay، تكون خطوة المصادقة النهائية هي رمز من ستة أرقام يُرسَل إلى رقم الهاتف المسجَّل. إنها تعمل، لكنها تُسحَب عالمياً من الخدمة لثلاثة أسباب موثّقة.

أولاً، عمليات SIM swap وpush bombing رخيصة ومصنّعة. ثانياً، تتوسع تكلفة SMS خطياً مع حجم المعاملات، وتخلق تأخيرات التسليم من شركات الاتصالات عبئاً على دعم العملاء في كل مرة يصل فيها الرمز متأخراً. ثالثاً، بدأ كبار المنظمين يقولون ذلك صراحة. أعلنت هيئة الخدمات المالية اليابانية، وفقاً لـ Corbado، أن «المصادقة بالمعرف/كلمة المرور فقط وحتى OTP عبر البريد الإلكتروني/SMS ليست كافية» بعد زيادة حوادث الوصول غير المصرّح به عبر القطاع المالي الياباني.

البديل الذي يكتسب زخماً هو FIDO2 ومتغيره الاستهلاكي: passkeys. مفتاح المرور هو زوج مفاتيح تشفير عام/خاص مرتبط بجهاز المستخدم ويُفتح ببصمة حيوية (بصمة، Face ID) أو PIN محلي. لا سر مشترك يعبر عبر SMS، لا رمز قابل للتصيد، ولا كلمة مرور معاد استخدامها عبر التطبيقات.

كيف تبدو عمليات النشر التي تعمل بالفعل عالمياً

ثلاث عمليات نشر مصرفية ملموسة ترسم الطريق الواقعي للجزائر.

China Bank (الفلبين)، مارس 2026. وفقاً لـ Philstar، أصبح China Bank أول بنك في الفلبين يطلق مصادقة passkey FIDO2 في تطبيقه «My CBC». النقطة الحاسمة: شغّلوا فترة سماح كانت فيها passkeys اختيارية حتى نهاية مارس 2026، ثم انتقلوا إلى مصادقة passkey إلزامية لجميع المستخدمين. هذا النشر على مرحلتين (اختياري ثم افتراضي) هو النمط الذي تتبعه معظم البنوك الآن.
First Credit Union (الولايات المتحدة). نشرت FIDO Alliance دراسة حالة مفصّلة تصف كيف نشر First Credit Union، بالعمل مع المورّد Authsignal، passkeys معتمدة من FIDO عبر الهاتف والويب. النتائج الموثّقة: انخفاض تذاكر دعم إعادة تعيين كلمة المرور، واحتيال أقل على نواقل الاستيلاء على الحسابات، ومعدلات إتمام تسجيل دخول أفضل بشكل قابل للقياس.
القطاع المصرفي الياباني، 2025. بعد موجة من الوصول غير المصرّح به، تفيد نظرة Corbado على اليابان بأن المنظمين دفعوا البنوك الكبرى نحو passkeys كعامل ثانٍ رئيسي، مع إطلاق عدة مؤسسات لتدفقات تسجيل دخول passkey-only خلال 2025.

ثلاثة سياقات تنظيمية وتقنية مختلفة — الفلبين، الولايات المتحدة، اليابان — تتقارب على المخطط نفسه.

الخطة العملية لبنك جزائري

هذه خطة نشر واقعية لبنك جزائري متوسط الحجم — BNA، CPA، CNEP، Trust Bank، Al Salam — بافتراض أن التطبيق المصرفي عبر الهاتف هو القناة الرئيسية وأن SMS OTP هو العامل الثاني الحالي.

المرحلة 0 — الجرد (شهر واحد). تدقيق كل سطح مصادقة: تسجيل الدخول إلى التطبيق، تأكيد المعاملات عبر التطبيق، تسجيل الدخول إلى الخدمات المصرفية عبر الويب، البوابات الداخلية، التحقق من الهوية في مراكز الاتصال. تصنيف كل واحد حسب الطريقة الحالية (كلمة مرور، SMS OTP، token). هذه الخريطة هي التي يستخدمها CISO لترتيب النشر.

المرحلة 1 — تسجيل passkey في التطبيق، اختياري (3 أشهر). الفوز الأسرع هو إضافة تسجيل passkey في التطبيق المصرفي القائم كبديل لـ SMS OTP. يستخدم المستخدمون الذين يختارون ذلك Face ID أو البصمة لتسجيل الدخول وتأكيد المعاملات. يبقى SMS OTP متاحاً كاحتياط. لا حاجة لموافقة المنظم لأن العامل الثاني أصبح أقوى لا أضعف.

المرحلة 2 — الخدمات المصرفية عبر الويب مع passkeys متعددة الأجهزة (3 أشهر). باستخدام معيار W3C WebAuthn، يمكن للخدمات المصرفية عبر الويب قبول passkeys المخزنة على الهاتف عبر عرض رمز QR يمسحه المستخدم. هكذا تعمل اليوم Google وMicrosoft ومعظم تدفقات passkey الاستهلاكية الحديثة. دعم الموردين لهذا في منصات الهوية التي تستخدمها البنوك الجزائرية بالفعل (Microsoft Entra، Okta، Ping Identity، ForgeRock) ناضج.

المرحلة 3 — خطة خروج SMS OTP (6 أشهر). الإعلان عن تاريخ انتهاء دعم SMS OTP لتسجيل الدخول إلى التطبيق (ليس تأكيد المعاملات بعد — يمكن أن يتأخر ذلك فصلاً آخر). البدء باستبعاد SMS OTP من المعاملات عالية الخطورة أولاً: التحويلات الكبيرة، وتغييرات المستفيدين، وتسجيل الأجهزة. النهج الموثّق لـ China Bank — فترة سماح اختيارية ثم إلزامية — هو النموذج المحافظ.

المرحلة 4 — مفاتيح أمن عتادية للموظفين ذوي الصلاحيات (مستمر). يجب أن ينتقل مشغلو الخزينة ومديرو النظام المصرفي الأساسي وفرق SWIFT ومحققو الاحتيال جميعهم إلى مفاتيح FIDO2 عتادية (YubiKey، Feitian، Token2) كمصادقة وحيدة مسموح بها للوصول ذي الصلاحيات. غير مكلفة، منتشرة على نطاق واسع في البنوك النظيرة في الخارج، وتزيل أخطر مسار هجوم داخلي: بيانات اعتماد مدير تم اصطيادها.

التسلسل الكامل واقعياً 12-15 شهراً لبنك يشغّل بالفعل تطبيقاً هاتفياً ناضجاً. تحتفظ FIDO Alliance بالبنية المرجعية، ويقدم معظم كبار موردي الهوية SDKs passkey مدمجة مسبقاً.

ما الذي يجب أن يستعد له المنظمون المصرفيون الجزائريون

لا يفرض بنك الجزائر وARPCE حتى الآن مصادقة مقاومة للتصيد، لكن ثلاثة ضغوط موازية تستحق الاستباق.

توقعات البنوك المراسلة. مع توسع البنوك الجزائرية في SWIFT وتمويل التجارة والعلاقات المراسلة مع المؤسسات الأوروبية والخليجية، يطلب هؤلاء الشركاء مصادقة قوية على قنوات المديرين. FIDO2 هو الإجابة الافتراضية.
التوافق مع الاستراتيجية الوطنية للأمن السيبراني. تدرج استراتيجية الأمن السيبراني الجزائرية 2025-2029 حماية البنية التحتية الحرجة واللوائح القطاعية ضمن الأولويات. البنوك هي القطاع النموذجي لتفويض مصادقة مقاومة للتصيد.
مسار احتيال المستهلكين. الاستيلاء على الحسابات عن طريق اعتراض SMS-OTP مشكلة قابلة للتعقب والقياس. عندما يُبلَّغ عن أرقام الاحتيال، يستجيب المنظمون. البنوك التي تنتقل إلى passkeys استباقياً تكون في موضع أفضل حين تصدر القاعدة.

ما الذي يمكن أن تفعله الشركات المالية التقنية والمؤسسات الأصغر اليوم

يتمتع Baridi Mob وYassir Pay وطبقة الشركات المالية التقنية الناشئة بميزة هنا: قواعد شفرة أصغر، بنى أحدث، وغالباً Firebase أو AWS Cognito كأساس للهوية — وكلها تدعم passkeys بعمل تكامل متواضع. بالنسبة لهؤلاء اللاعبين، السؤال ليس ما إذا كان ينبغي إضافة passkeys، بل ما إذا كان ينبغي تقديمها في البداية عند onboarding. الشركة المالية التقنية التي تنطلق بموقع passkey-first، مع SMS-OTP-fallback، تشير إلى نضج يميّزها عن المنافسين القدامى.

أين يترك ذلك البنوك الجزائرية

القطع التقنية وقطع الموردين والقطع التنظيمية لـ passkeys FIDO2 جميعها سلعية. العوائق المتبقية في الجزائر هي الرعاية التنفيذية وخطة نشر قابلة للدفاع عنها والاستعداد لإنهاء SMS OTP على جدول زمني منشور. خارطة الطريق أعلاه محافظة عمداً — تحافظ على توفر SMS OTP طوال الانتقال — لكنها تنتج بنكاً، بحلول نهاية 2026، خفّض بشكل قابل للقياس التعرض للتصيد وتكلفة الدعم والاحتيال دون الرهان على قفل موردٍ معين أو تغيير تنظيمي.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

هل passkeys متوافقة مع الهواتف الذكية التي يستخدمها العملاء الجزائريون فعلاً؟

نعم. تدعم Android 9 وما بعده (2018+) وiOS 16+ (2022+) passkeys FIDO2 أصلاً. يغطي ذلك الغالبية العظمى من الأجهزة النشطة في الجزائر، بما في ذلك هواتف Android متوسطة الفئة التي تسيطر على السوق. يمكن للأجهزة الأقدم مواصلة استخدام SMS OTP كاحتياط خلال فترة الانتقال.

هل تعمل passkeys إذا فقد العميل هاتفه؟

نعم، وهذه في الواقع ميزة نشر مقارنة بـ SMS OTP. تتزامن passkeys المخزنة في iCloud Keychain أو Google Password Manager عبر أجهزة العميل، لذا فقدان هاتف واحد لا يحجزه خارج حسابه. للمستخدمين الذين يستخدمون جهازاً واحداً، يكون تدفق استرداد حساب البنك (التحقق من الهوية مع زيارة الفرع أو KYC بالفيديو) هو الاحتياط الموثّق — نفس تدفق الاسترداد الموجود بالفعل للحسابات المغلقة اليوم.

ماذا عن العملاء الذين لا يستخدمون البصمة الحيوية على هواتفهم؟

يمكن فتح passkeys برمز PIN محلي للجهاز، وليس فقط بالبصمة الحيوية. يغطي ذلك العملاء الذين عطّلوا Face ID أو مسح البصمة. للعملاء الذين لا يوجد لديهم شاشة قفل على الإطلاق، ينبغي على البنوك الإبقاء على توفر SMS OTP كاحتياط خلال الانتقال، مع تلميحات لطيفة تشجّع على إعداد passkey في عمليات تسجيل الدخول اللاحقة.