IRCNF
Security

گذرواژه‌ها از نقطه بحرانی عبور کردند — رمزهای عبور در حال شکست هستند

اشتراک‌گذاری:
گذرواژه‌ها از نقطه بحرانی عبور کردند — رمزهای عبور در حال شکست هستند

برای سال‌ها، آینده‌ی بدون رمزعبور یک اسلاید پاورپوینت بود — امیدوارکننده، مدام «به‌زودی می‌آید» و هرگز واقعاً محقق نمی‌شد. این تغییر کرد. تا اواسط سال 2026، passkeys از یک ویژگی آزمایشی به احراز هویت پیش‌فرض برای صدها میلیون حساب تبدیل شده‌اند. گوگل، اپل، مایکروسافت، آمازون، گیت‌هاب، شاپیفای، پی‌پال و واتس‌اپ همگی یا به passkeys روی آورده‌اند یا آن‌ها را به‌عنوان اعتبارنامه‌ی اصلی توصیه‌شده قرار داده‌اند. این انتقال دیگر نظری نیست. در حال وقوع است و داده‌های امنیتی پشتیبان آن چشمگیر است.

passkeys واقعاً چه هستند

passkeys یک پیاده‌سازی از استاندارد FIDO2/WebAuthn هستند، مشخصاتی که به‌طور مشترک توسط FIDO Alliance و W3C توسعه یافته است. در هسته‌ی خود، passkeys از رمزنگاری کلید عمومی نامتقارن استفاده می‌کنند: هنگامی که یک passkey را در یک سرویس ثبت می‌کنید، دستگاه شما یک جفت‌کلید تولید می‌کند. کلید خصوصی هرگز دستگاه شما (یا keychain همگام‌سازی‌شده‌تان) را ترک نمی‌کند. سرویس فقط کلید عمومی را ذخیره می‌کند. هنگامی که احراز هویت می‌کنید، سرویس یک چالش رمزنگاری ارسال می‌کند؛ دستگاه شما آن را با کلید خصوصی امضا می‌کند؛ سرور امضا را با کلید عمومی ذخیره‌شده تأیید می‌کند.

هیچ رمزعبوری منتقل نمی‌شود. هیچ راز مشترکی روی سرور برای سرقت وجود ندارد. یک نقض پایگاه داده که تمام اعتبارنامه‌های ذخیره‌شده را نشت دهد، فقط کلیدهای عمومی را نشت می‌دهد — برای مهاجمی که کلیدهای خصوصی مربوطه را که روی دستگاه‌های کاربران باقی می‌مانند ندارد، بی‌ارزش است.

passkeys مقید به دستگاه در مقابل همگام‌سازی‌شده

دو مدل استقرار اساساً متفاوت وجود دارد و این تفاوت هم برای امنیت و هم برای قابلیت استفاده مهم است:

  • passkeys مقید به دستگاه (که به‌عنوان اعتبارنامه‌های مقید به سخت‌افزار یا غیرقابل کشف نیز شناخته می‌شوند) در یک ماژول امنیتی سخت‌افزاری ذخیره می‌شوند — یک تراشه TPM در ویندوز، Secure Enclave در silicon اپل، یا یک کلید سخت‌افزاری FIDO2 مانند YubiKey. کلید خصوصی از نظر فیزیکی غیرقابل استخراج است. اگر دستگاه گم شود، passkey از بین رفته است. این بالاترین مدل امنیتی است و برای شرکت‌ها، حساب‌های باارزش بالا و افرادی که از امنیت آگاه هستند و مایل به مدیریت کلیدهای پشتیبان هستند، مناسب است.
  • passkeys همگام‌سازی‌شده در یک keychain مبتنی بر ابر ذخیره می‌شوند — iCloud Keychain اپل، Google Password Manager، یا یک مدیر شخص ثالث مانند 1Password یا Bitwarden. مواد کلید خصوصی رمزگذاری شده، در دستگاه‌های شما همگام‌سازی می‌شود و می‌تواند از گم شدن دستگاه جان سالم به در ببرد. این یک تضمین سخت‌افزاری محدود را در ازای قابلیت استفاده و بازیابی بسیار بهتر قربانی می‌کند. برای اکثریت قریب‌به‌اتفاق موارد استفاده مصرف‌کننده، passkeys همگام‌سازی‌شده یک پیشرفت امنیتی عظیم نسبت به رمزعبورها با اساساً هیچ عیب و نقص معنادار در دنیای واقعی است.

به‌روزرسانی مشخصات 2023 FIDO Alliance به‌طور رسمی passkeys همگام‌سازی‌شده را پس از تشخیص اینکه passkeys فقط سخت‌افزاری مانعی برای پذیرش ایجاد کرد که کاربران را روی رمزعبورها نگه داشت — بدترین نتیجه برای امنیت کلی — استاندارد کرد.

جریان احراز هویت، گام به گام

درک آنچه در پشت صحنه در طول یک احراز هویت WebAuthn اتفاق می‌افتد به روشن شدن اینکه چرا حملات فیشینگ در برابر passkeys شکست می‌خورند کمک می‌کند:

  • ثبت‌نام: مرورگر با یک چالش از سرور، navigator.credentials.create() را فراخوانی می‌کند. احراز هویت‌کننده (دستگاه، پلتفرم، یا کلید سخت‌افزاری) یک جفت‌کلید محدود به شناسه‌ی دقیق طرف متکی (دامنه) تولید می‌کند. کلید عمومی و یک شناسه‌ی اعتبارنامه به سرور ارسال و ذخیره می‌شوند.
  • احراز هویت: سرور یک چالش تصادفی تازه صادر می‌کند. مرورگر navigator.credentials.get() را فراخوانی می‌کند. احراز هویت‌کننده بررسی می‌کند که مبدأ و شناسه‌ی طرف متکی دقیقاً مطابقت داشته باشند — یک passkey ثبت‌شده برای google.com از امضای چالشی از g00gle.com خودداری می‌کند. پس از تأیید بیومتریک یا PIN، کلید خصوصی چالش را امضا می‌کند. سرور امضا را تأیید می‌کند.
  • سد فیشینگ: از آنجایی که passkey در زمان ثبت‌نام به مبدأ دقیق مقید است، یک سایت فیشینگ نمی‌تواند اعتبارنامه‌ها را رهگیری یا بازپخش کند. حتی اگر کاربر فریب بخورد و از یک سایت مشابه بازدید کند، احراز هویت‌کننده از تولید یک امضای معتبر برای یک مبدأ متفاوت خودداری می‌کند. این مکانیسم پشت نرخ تقریباً صفر فیشینگ برای حساب‌های passkey است.

آمار پذیرش: داده‌ها چه چیزی را نشان می‌دهند

گوگل در Google I/O 2024 گزارش داد که بیش از 800 میلیون حساب گوگل passkeys را فعال کرده‌اند، که از 400 میلیون در پایان سال 2023 افزایش یافته است. در اوایل سال 2025، گوگل شروع به درخواست از کاربران برای ایجاد passkeys در طول جریان‌های ورود به سیستم کرد و شروع به پیش‌فرض قرار دادن ثبت‌نام حساب‌های جدید به passkey-first کرد. داده‌های داخلی گوگل که در وبلاگ امنیتی آن‌ها ذکر شده است نشان داد که ورود به سیستم با passkey با نرخی 4 برابر سریع‌تر از جریان‌های رمزعبور + 2FA پیامکی تکمیل می‌شود.

مهم‌تر از آن: معیارهای فیشینگ داخلی گوگل برای حساب‌هایی که به احراز هویت فقط passkey مهاجرت کرده بودند، نرخ‌های به خطر افتادن فیشینگ را نزدیک به صفر نشان می‌داد — در مقایسه با خط پایه حساب‌های رمزعبوری که حتی با 2FA، حملات فیشینگ SIM-swap و AiTM (دشمن در میانه) همچنان موفق بودند.

اپل پشتیبانی از passkey را در iOS 16 و macOS Ventura (2022) ارائه کرد و تا سال 2025 passkeys را به روش پیش‌نهادی پیش‌فرض در مدیر اعتبارنامه‌ی Safari تبدیل کرده بود. مایکروسافت passkeys را برای حساب‌های مصرف‌کننده مایکروسافت در سال 2023 فعال کرد و در سال 2024 به Entra ID (Azure AD) برای سازمانی گسترش داد. گیت‌هاب passkeys را در سال 2023 به‌طور عمومی در دسترس قرار داد و پذیرش به‌ویژه قوی در میان حساب‌های توسعه‌دهنده دیده است — یک بخش هدف باارزش بالا که مقاومت در برابر فیشینگ در آن حیاتی است.

پشتیبانی پلتفرم و اکوسیستم

اپل: passkeys iCloud Keychain

پیاده‌سازی اپل passkeys را از طریق iCloud Keychain به صورت سرتاسری رمزگذاری شده همگام‌سازی می‌کند. passkeys در آیفون، آیپد، مک و — از iOS 17 — می‌توانند با اعضای خانواده به اشتراک گذاشته شوند یا روی دستگاه‌های غیر اپل از طریق احراز هویت مجاورتی QR code استفاده شوند. Secure Enclave تأیید بیومتریک (Face ID یا Touch ID) را قبل از هر عملیات امضا اعمال می‌کند. اپل همچنین از کلیدهای امنیتی سخت‌افزاری به‌عنوان احراز هویت‌کننده‌های passkey از طریق API احراز هویت‌کننده پلتفرم خود پشتیبانی می‌کند.

گوگل: passkeys Password Manager

Google Password Manager اکنون passkeys را در اندروید و کروم در هر پلتفرمی، از جمله ویندوز و مک‌اواس، همگام‌سازی می‌کند. همگام‌سازی با PIN حساب گوگل کاربر به صورت سرتاسری رمزگذاری شده است. یک افزوده‌ی مهم در سال 2024: گوگل شروع به پشتیبانی از صادرات passkey در برخی جریان‌ها کرد و پشتیبانی از passkey را به Advanced Protection Program خود اضافه کرد — که قبلاً حوزه‌ی انحصاری کلیدهای امنیتی فیزیکی بود.

Windows Hello

Windows Hello passkeys مقید به دستگاه و متصل به تراشه TPM را فراهم می‌کند که از طریق تشخیص چهره، اثر انگشت یا PIN باز می‌شوند. پیاده‌سازی مایکروسافت به‌طور نزدیک با فروشگاه اعتبارنامه ویندوز ادغام شده است. در محیط‌های سازمانی، Windows Hello for Business این را به احراز هویت مبتنی بر گواهی با Entra ID گسترش می‌دهد و جریان‌های بدون رمزعبور را در محیط‌های شرکتی مدیریت‌شده فعال می‌کند.

مدیران رمزعبور شخص ثالث

هم 1Password و هم Bitwarden در سال‌های 2023-2024 ذخیره‌سازی passkey را اضافه کردند و passkeys را به‌عنوان یک نوع اعتبارنامه‌ی جدید در کنار رمزعبورها در نظر گرفتند. این مهم است: ذخیره‌سازی passkey را از فروشندگان پلتفرم جدا می‌کند، استفاده از passkey بین پلتفرمی را بدون وابستگی به گوگل یا اپل امکان‌پذیر می‌کند و به شرکت‌ها مسیری برای مدیریت passkeys در زیرساخت vault موجود می‌دهد. پیاده‌سازی منبع‌باز Bitwarden به‌طور مستقل حسابرسی شده است.

مشکلات سختی که باقی می‌مانند

گم شدن دستگاه و بازیابی حساب

گم شدن دستگاه برجسته‌ترین مانع احساسی برای پذیرش passkey است. پاسخ صحیح — و پاسخی که نیاز به آموزش صریح کاربر دارد — ثبت چندین passkey روی دستگاه‌ها یا احراز هویت‌کننده‌های مختلف قبل از نیاز به آن‌ها است. یک passkey روی گوشی، لپ‌تاپ و یک کلید سخت‌افزاری که در جایی امن نگهداری می‌شود ثبت کنید. اکثر خدماتی که passkeys را به خوبی پیاده‌سازی می‌کنند، برای این کار درخواست می‌کنند. اما واقعیت این است که اکثر کاربران یک passkey واحد ثبت می‌کنند و مشکل بازیابی را فقط زمانی کشف می‌کنند که دستگاهشان رفته است.

برای passkeys همگام‌سازی‌شده، iCloud Keychain و Google Password Manager هر دو مکانیسم‌های بازیابی حساب دارند. اگر آیفون خود را گم کنید اما بتوانید حساب iCloud خود را (از طریق یک کلید بازیابی یا دستگاه مورد اعتماد) بازیابی کنید، passkeys خود را بازیابی می‌کنید. این مرز امنیتی را از مالکیت دستگاه به امنیت حساب منتقل می‌کند — که اگر حساب iCloud یا گوگل شما امنیت ضعیفی داشته باشد، می‌تواند یک پسرفت باشد. راه‌حل این است که حساب ابری اصلی خود را به‌عنوان یک ریشه‌ی امنیت بالا در نظر بگیرید: کلید بازیابی قوی، 2FA سخت‌افزاری، هیچ چیز ضعیف‌تر.

استقرار سازمانی: Active Directory و LDAP

محیط‌های سازمانی پیچیدگی واقعی را ارائه می‌دهند. برنامه‌های قدیمی که در برابر Active Directory یا LDAP احراز هویت می‌کنند، WebAuthn را پشتیبانی نمی‌کنند. پل زدن passkeys به این محیط‌ها نیاز به فدراسیون از طریق یک ارائه‌دهنده هویت (Entra ID, Okta, Ping Identity) دارد که می‌تواند احراز هویت WebAuthn را به توکن‌های SAML یا OIDC ترجمه کند، یا انتظار برای نوسازی برنامه. اکثر شرکت‌های بزرگ در یک حالت ترکیبی هستند: passkeys برای برنامه‌های بومی ابری و پورتال‌های SSO، رمزعبورها یا کارت‌های هوشمند برای برنامه‌های قدیمی خط کسب‌وکار. استقرار کامل passkey سازمانی یک برنامه‌ی چندساله است، نه یک کلید پیکربندی.

قابلیت همکاری اندروید/iOS

استفاده از passkey بین پلتفرمی — ورود به سیستم در یک دستگاه iOS با یک passkey ذخیره‌شده در یک گوشی اندروید، یا بالعکس — از طریق transport ترکیبی CTAP2 (جریان QR code مجاورت بلوتوث) کار می‌کند. در عمل این زمانی که هر دو دستگاه مدرن هستند، بلوتوث روشن است و کاربر می‌فهمد چه کار می‌کند، به‌طور قابل اعتمادی کار می‌کند. برای کاربران کمتر فنی بدون نقص نیست و در سناریوهایی مانند قرض گرفتن دستگاه کسی، اصطکاک اضافه می‌کند. این حوزه‌ای است که UX هنوز از قابلیت رمزنگاری زیربنایی عقب است.

دستگاه‌های قدیمی بدون بیومتریک

passkeys به نوعی تأیید کاربر نیاز دارند — بیومتریک (اثر انگشت، چهره) یا PIN دستگاه. دستگاه‌های بدون سنسور بیومتریک می‌

passkeyspasswordlessauthenticationFIDO2WebAuthn
اشتراک‌گذاری:
گذرواژه‌ها از نقطه بحرانی عبور کردند — رمزهای عبور در حال شکست هستند | IRCNF - Intelligent Reliable Custom Next-gen Frameworks