Passkeys در بحث فنی پیروز شده‌اند. بخش دشوار، استقرار آنها در مقیاس وسیع است.

رمزهای عبور یک فاجعه امنیتی شناخته شده هستند. استفاده مجدد از آنها فراگیر است — یک مطالعه در سال ۲۰۲۴ نشان داد که ۶۵٪ افراد از رمز عبور یکسان در چندین حساب استفاده می‌کنند. فیشینگ در مقیاس صنعتی اعتبارنامه‌ها را می‌دزدد، به طوری که FBI گزارش داده است در سال ۲۰۲۳ به تنهایی ۴٫۵۷ میلیارد دلار ضرر ناشی از کلاهبرداری مرتبط با فیشینگ ثبت شده است. حملات Credential Stuffing، که در آن رمزهای عبور نشت‌یافته از یک نقض در صدها سرویس دیگر امتحان می‌شوند، روزانه میلیون‌ها تصاحب حساب ایجاد می‌کنند. مشکل این نیست که کاربران بی‌مسئولیت هستند — بلکه این است که از انسان‌ها خواسته شود ده‌ها اعتبارنامه منحصربه‌فرد و قوی را به خاطر بسپارند و مدیریت کنند، اساساً غیرمنطقی است.

Passkeys پاسخ اتحادیه FIDO است. این استاندارد که بر پایه استاندارد WebAuthn (با نام رسمی W3C Web Authentication) ساخته شده است، از رمزنگاری کلید عمومی برای تأیید هویت کاربران بدون ارسال هیچ رازی از طریق شبکه استفاده می‌کند. دستگاه شما هنگام ایجاد یک Passkey یک جفت کلید تولید می‌کند: کلید خصوصی روی دستگاه شما می‌ماند و توسط بیومتریک شما (Face ID، حسگر اثر انگشت) یا PIN محافظت می‌شود. کلید عمومی به وب‌سایت می‌رود. وقتی وارد می‌شوید، وب‌سایت یک چالش ارسال می‌کند؛ دستگاه شما آن را با کلید خصوصی امضا می‌کند بدون اینکه کلید خصوصی هرگز از دستگاه خارج شود. هیچ چیزی برای یک سایت فیشینگ برای دزدیدن وجود ندارد، هیچ چیزی برای نقض داده‌ها برای افشا کردن وجود ندارد، و هیچ چیزی برای یک مهاجم Credential Stuffing برای بازپخش وجود ندارد.

بحث فنی بسته است

مبانی رمزنگاری WebAuthn مستحکم است. این استاندارد توسط W3C در سال ۲۰۱۹ منتشر شد و تحت تحلیل امنیتی گسترده قرار گرفته است. Passkeys ایجاد شده در دستگاه‌های اپل، اندروید یا ویندوز اکنون از طریق همگام‌سازی بین پلتفرمی هستند — Apple Keychain با استفاده از iCloud Passkeys را بین دستگاه‌های اپل همگام می‌کند؛ Google Password Manager Passkeys را بین اندروید و کروم همگام می‌کند؛ 1Password و Bitwarden ذخیره‌سازی Passkeys را اضافه کرده‌اند که امکان استفاده بین پلتفرمی را از طریق مدیران رمز عبور شخص ثالث فراهم می‌کند.

مقاومت در برابر فیشینگ مهمترین مزیت عملی است. یک رمز عبور معمولی می‌تواند توسط یک صفحه ورود جعلی قانع‌کننده گرفته شود. یک Passkey نمی‌تواند — چالش-پاسخ رمزنگاری به دامنه محدود است. یک Passkey برای google.com به معنای واقعی نمی‌تواند برای g00gle.com احراز هویت کند؛ مبدأ در پروتکل تعبیه شده است. حملات Replay — که در آن یک توکن احراز هویت رهگیری شده دوباره استفاده می‌شود — نیز جلوگیری می‌شود. چالشی که در هر احراز هویت امضا می‌شود منحصر‌به‌فرد و محدود به زمان است؛ یک امضای گرفته شده بی‌فایده است.

گوگل در می ۲۰۲۴ گزارش داد که کاربران Passkeys احراز هویت را ۲ برابر سریع‌تر از رمزهای عبور تکمیل می‌کنند، با ۲۵٪ بهبود در نرخ موفقیت ورود. برای وب‌سایت‌ها، این یک معیار مستقیم درآمد است: ورودهای ناموفق جلسات رها شده هستند.

جایی که استقرار پیچیده می‌شود

اگر Passkeys اینقدر خوب کار می‌کنند، چرا بیشتر وب‌سایت‌ها هنوز از رمز عبور استفاده می‌کنند؟ چندین مانع واقعی سرعت پذیرش را کاهش می‌دهد.

بازیابی حساب. رمزهای عبور یک مسیر بازیابی شناخته شده دارند: لینک بازنشانی ایمیل. Passkeys معادلی ندارند. اگر کاربری تمام دستگاه‌های خود را بدون انتقال Passkey خود از دست بدهد، قفل می‌شود. وب‌سایت‌ها باید یک مکانیسم جایگزین حفظ کنند — معمولاً یک کد یک‌بار مصرف که به ایمیل یا SMS ارسال می‌شود — که به ضعیف‌ترین حلقه جدید تبدیل می‌شود. یک مهاجم مصمم می‌تواند فیشینگ یا SIM-swap را روی جایگزین بازیابی انجام دهد که تا حدی مقاومت فیشینگ Passkey را خنثی می‌کند.

حساب‌های مشترک. خانواده‌هایی که اشتراک‌های استریم را به اشتراک می‌گذارند، کسب‌وکارهایی با اعتبارنامه‌های ورود مشترک — این موارد به راحتی با مدل Passkey مطابقت ندارند، که فرض می‌کند برای هر اعتبارنامه یک دستگاه احراز هویت واحد وجود دارد. ارائه‌دهندگان هویت سازمانی روی مدل‌های واگذاری کار می‌کنند، اما حساب‌های مشترک مصرف‌کننده همچنان ناخوشایند باقی می‌مانند.

پیچیدگی استقرار سازمانی. بخش‌های فناوری اطلاعات شرکتی که ناوگان ویندوز را مدیریت می‌کنند باید Passkeys را با Active Directory و ارائه‌دهندگان هویت سازمانی (Azure AD, Okta, Ping Identity) ادغام کنند. Passkeys همگام‌سازی شده — که بین دستگاه‌ها جابه‌جا می‌شوند — توسط بسیاری از سیاست‌های امنیتی سازمانی مسدود می‌شوند زیرا الزامات احراز هویت مقید به دستگاه را نقض می‌کنند.

انگیزه‌های توسعه‌دهنده. پیاده‌سازی صحیح WebAuthn نیازمند تغییرات سمت سرور در جریان‌های احراز هویت، تغییرات سمت کلاینت در UX ورود، و مدیریت دقیق جریان‌های ثبت‌نام و بازیابی است. برای یک تیم توسعه کوچک که یک پشته احراز هویت قدیمی را نگهداری می‌کند، سرمایه‌گذاری مهندسی می‌تواند قابل توجه باشد.

چه کسی پیشتاز است و چه چیزی کار می‌کند

گوگل تهاجمی‌ترین پذیرنده است، زیرا Passkeys را به عنوان روش ورود پیش‌فرض برای حساب‌های گوگل در اواخر ۲۰۲۳ فعال کرده است. iCloud Keychain اپل از iOS 16 به بعد Passkeys را همگام کرده است. مایکروسافت پشتیبانی از Passkeys را در سال ۲۰۲۳ به حساب‌های مصرف‌کننده مایکروسافت اضافه کرد، و ویندوز ۱۱ 23H2 یک رابط کاربری مدیریت اختصاصی Passkeys اضافه کرد.

در میان سرویس‌های مصرف‌کننده، GitHub, PayPal, eBay, Shopify, TikTok, Best Buy, و Hyatt همگی پشتیبانی از Passkeys را ارائه کرده‌اند. وب‌سایت Passkey Central اتحادیه FIDO بیش از ۴۰۰ سرویس با پشتیبانی از Passkeys را تا اواسط ۲۰۲۶ فهرست می‌کند. پذیرش سازمانی ابتدا از طریق کلیدهای امنیتی سخت‌افزاری در حال پیشرفت است — کلیدهای YubiKey FIDO2 سال‌ها در استقرارهای سازمانی بوده‌اند و مزیت مقاومت در برابر فیشینگ را بدون نیاز به زیرساخت همگام‌سازی Passkeys پوشش می‌دهند.

شکاف تجربه کاربری

بزرگترین مانع عملی فنی نیست — UX است. بسیاری از پیاده‌سازی‌های Passkey یک جریان ثبت‌نام پیچیده به کاربران ارائه می‌دهند که کاربران را در مورد اینکه آیا Passkey ذخیره شده است و آیا روی دستگاه دیگری کار خواهد کرد سردرگم می‌کند. طراحی یک جریان Passkey شهودی و ایمن از نظر بازیابی دشوارتر از آن چیزی است که به نظر می‌رسد.

اتحادیه FIDO تحقیقات UX و دستورالعمل‌های طراحی را به طور خاص برای رفع این موضوع منتشر کرده است، اما پیاده‌سازی ناسازگار است. UX Passkey اپل — یک درخواست Face ID واحد که توسط یک پنل با عبارت "Use Face ID to sign in" ایجاد می‌شود — به طور گسترده به عنوان استاندارد طلایی ذکر می‌شود. پیاده‌سازی‌های مبتنی بر وب که بر روی WebAuthn API خام ساخته شده‌اند از نظر کیفیت تفاوت قابل توجهی دارند.

مسیر پذیرش انبوه از طریق تبدیل شدن Passkeys به گزینه پیش‌فرض در ورود به جای یک گزینه اختیاری پنهان در تنظیمات امنیتی، و یک تجربه بین دستگاهی قابل اعتماد که راه‌اندازی اولیه را آشکار و مسیر بازیابی را واضح می‌کند، می‌گذرد. فناوری آماده است. استانداردسازی UX نیست. این شکاف چیزی است که کار استقرار ۲-۳ سال آینده باید آن را پر کند — و زمانی که پر شود، دوران رمز عبور سریع‌تر از آنچه بیشتر مردم انتظار دارند به پایان خواهد رسید.