کد خبر: ۴۷۳

Passkey چیست؟ بررسی نسل جدید احراز هویت بدون رمز عبور

گزارش بهراد یوسفی در مورد راهنمای جامع فناوری احراز هویت بدون رمز عبور، معماری امنیتی، مزایا، چالش‌ها و نقش آن در آینده امنیت سایبری سازمان‌ها.

Passkey چیست؟ راهنمای جامع فناوری احراز هویت بدون رمز عبور، معماری امنیتی، مزایا، چالش‌ها و نقش آن در آینده امنیت سایبری سازمان‌ها.

 در سال‌های اخیر، یکی از بزرگ‌ترین تغییرات در چشم‌انداز تهدیدات سایبری، حرکت مهاجمان از هدف قرار دادن زیرساخت‌ها به سمت حمله مستقیم به هویت کاربران بوده است. بسیاری از حملات بزرگ سایبری مانند فیشینگ، سرقت حساب‌های کاربری، نفوذ به سرویس‌های ابری و حملات مهندسی اجتماعی، نه از طریق شکستن دیوارهای امنیتی شبکه، بلکه با سوءاستفاده از اطلاعات احراز هویت کاربران آغاز شده‌اند.

رمزهای عبور (Passwords) برای دهه‌ها ستون اصلی امنیت دیجیتال بوده‌اند؛ اما افزایش پیچیدگی حملات سایبری نشان داده است که این مدل دیگر پاسخگوی نیازهای امنیتی سازمان‌های مدرن نیست. کاربران معمولاً رمزهای عبور ضعیف انتخاب می‌کنند، آن‌ها را در چند سرویس مختلف تکرار می‌کنند و در برابر حملات فیشینگ آسیب‌پذیر هستند.

ظهور رایانش ابری (Cloud Computing)، گسترش کار از راه دور (Remote Work)، افزایش استفاده از نرم‌افزارهای SaaS و رشد حملات مبتنی بر هویت، سازمان‌ها را مجبور کرده است که به سمت مدل‌های جدید احراز هویت حرکت کنند.

فناوری Passkey  یکی از مهم‌ترین پاسخ‌ها به این تحول امنیتی است؛ روشی که با حذف وابستگی به رمز عبور و استفاده از رمزنگاری کلید عمومی (Public Key Cryptography)، مسیر جدیدی برای احراز هویت امن‌تر، ساده‌تر و مقاوم‌تر در برابر حملات سایبری ایجاد کرده است.

 

Passkey  چیست؟

Passkey  یک روش احراز هویت دیجیتال است که به کاربران اجازه می‌دهد بدون وارد کردن رمز عبور، وارد حساب‌های کاربری خود شوند.

در این فناوری، به جای ذخیره یک رمز عبور قابل سرقت در سرور، از یک جفت کلید رمزنگاری استفاده می‌شود:

  • کلید خصوصی (Private Key)
  • کلید عمومی (Public Key)

کلید خصوصی روی دستگاه کاربر مانند تلفن همراه، رایانه یا یک سخت‌افزار امنیتی ذخیره می‌شود و هرگز به سرور ارسال نمی‌شود.

کلید عمومی در سرویس ارائه‌دهنده حساب ذخیره خواهد شد.

هنگام ورود، سرویس یک درخواست رمزنگاری‌شده ایجاد می‌کند و دستگاه کاربر با استفاده از کلید خصوصی پاسخ صحیح را تولید می‌کند.

 

تعریف فنی  Passkey

از دیدگاه امنیت سایبری،Passkey  یک پیاده‌سازی مبتنی بر استاندارد Web Authentication (WebAuthn)  و چارچوب FIDO2  است که از رمزنگاری نامتقارن برای احراز هویت کاربران استفاده می‌کند.

در این مدل:

  • سرور هیچ رمز عبوری ذخیره نمی‌کند.
  • اطلاعات قابل استفاده برای حمله فیشینگ وجود ندارد.
  • احراز هویت وابسته به اثبات مالکیت کلید خصوصی است.

Passkey  معمولاً توسط اتحاد FIDO Alliance  توسعه داده شده و توسط سیستم‌عامل‌ها و مرورگرهای مدرن پشتیبانی می‌شود.

 

تاریخچه شکل‌گیری  Passkey

مشکل رمز عبور از سال‌ها قبل برای متخصصان امنیت مشخص بود.

در دهه‌های گذشته، روش‌های مختلفی برای کاهش خطرات رمز عبور ایجاد شد:

  • سیاست‌های پیچیده رمز عبور
  • تغییر دوره‌ای رمزها
  • احراز هویت چندمرحله‌ای (Multi-Factor Authentication - MFA)
  • توکن‌های سخت‌افزاری
  • نرم‌افزارهای مدیریت رمز عبور

با این حال، مشکل اصلی باقی ماند:

کاربر همچنان باید یک راز قابل سرقت را حفظ می‌کرد.

در سال‌های اخیر، سازمان‌هایی مانند  FIDO Alliance، گوگل، مایکروسافت و اپل توسعه استانداردهایی را دنبال کردند که هدف آن حذف کامل رمز عبور بود.

نتیجه این تلاش‌ها فناوری Passkey شد.

 

چرا Passkey اهمیت پیدا کرده است؟

افزایش حملات مبتنی بر هویت

امروزه بسیاری از مهاجمان دیگر تلاش نمی‌کنند مستقیماً سیستم‌ها را هک کنند؛ بلکه ابتدا هویت یک کارمند یا مدیر را سرقت می‌کنند.

نمونه‌های رایج:

  • صفحات جعلی ورود
  • سرقت کوکی نشست (Session Cookie Theft)
  • حملات Credential Stuffing
  • فروش اطلاعات ورود در بازارهای زیرزمینی

Passkey  بخش بزرگی از این مسیر حمله را حذف می‌کند.

 

نقش Passkey در مقابله با تهدیدات مدرن

۱. مقابله با فیشینگ

یکی از بزرگ‌ترین مزایای Passkey مقاومت در برابر فیشینگ است.

در روش سنتی:

کاربر:

نام کاربری

+

رمز عبور

را وارد سایت جعلی می‌کند.

اما Passkey به دامنه واقعی سرویس وابسته است.

یعنی کلید رمزنگاری برای سایت جعلی قابل استفاده نیست.

 

۲. امنیت در محیط‌های ابری

سازمان‌های مدرن از صدها سرویس ابری استفاده می‌کنند:

  • Microsoft 365
  • Google Workspace
  • سرویس‌های SaaS
  • پلتفرم‌های DevOps

در چنین محیط‌هایی، هویت تبدیل به مرز اصلی امنیت شده است.

Passkey  با مدل‌های مدرن مدیریت هویت مانند:

مدیریت هویت و دسترسی  (Identity and Access Management - IAM) هم‌راستا است.

۳. افزایش امنیت کار از راه دور

کاربران Remote Work معمولاً خارج از شبکه سازمان فعالیت می‌کنند.

مدل‌های قدیمی:

شبکه داخلی = قابل اعتماد

دیگر قابل اتکا نیستند.

Passkey  با معماری اعتماد صفر (Zero Trust Architecture) هماهنگ است؛ زیرا به جای اعتماد به موقعیت شبکه، مالکیت هویت را بررسی می‌کند.

 

محدودیت‌های مدل‌های سنتی احراز هویت

رمز عبور

مشکلات اصلی:

  • قابل سرقت بودن
  • استفاده مجدد
  • حملات فیشینگ
  • حملات حدس رمز
  • ذخیره‌سازی ناامن

 

احراز هویت چندمرحله‌ای سنتی

MFA  امنیت را افزایش داد، اما همه روش‌ها یکسان نیستند.

روش‌های آسیب‌پذیر:

  • پیامک OTP
  • کدهای ایمیلی
  • اپلیکیشن‌های جعلی احراز هویت

مهاجمان امروزی از تکنیک‌هایی مانند:

  • MFA Fatigue Attack
  • Social Engineering

استفاده می‌کنند.

 

اصول امنیتی  Passkey

۱. رمزنگاری کلید عمومی

Passkey  بر پایه رمزنگاری نامتقارن کار می‌کند.

نحوه عملکرد:

یک جفت کلید ایجاد می‌شود:

Private Key و Public Key

کلید خصوصی محرمانه باقی می‌ماند و حتی در صورت نفوذ به سرور، مهاجم نمی‌تواند کلید خصوصی را استخراج کند.

 

۲. حذف راز قابل سرقت

در مدل رمز عبور:

سرور باید اطلاعاتی برای بررسی رمز داشته باشد.

در Passkey:

سرور فقط کلید عمومی را نگهداری می‌کند.

بنابراین:

سرقت دیتابیس = عدم امکان ورود مستقیم مهاجم

 

۳. احراز هویت مبتنی بر دستگاه

Passkey  معمولاً از عوامل داخلی دستگاه استفاده می‌کند:

  • حسگر اثر انگشت
  • تشخیص چهره
  • PIN  امن دستگاه

این عوامل کلید خصوصی را آزاد نمی‌کنند، بلکه فقط اجازه استفاده از آن را می‌دهند.

 

معماری Passkey چگونه کار می‌کند؟

مدل ساده جریان احراز هویت:

کاربر

دستگاه کاربر

احراز هویت محلی

(Biometrics / PIN)

استفاده از Private Key

امضای درخواست ورود

بررسی توسط سرور

اعطای دسترسی

 

فرآیند ثبت  Passkey

مرحله اول:

کاربر درخواست ایجاد Passkey می‌دهد.

مرحله دوم:

دستگاه یک جفت کلید رمزنگاری ایجاد می‌کند.

مرحله سوم:

کلید عمومی به سرویس ارسال می‌شود.

مرحله چهارم:

کلید خصوصی روی دستگاه باقی می‌ماند.

 

فرآیند ورود

۱. سرویس یک Challenge ارسال می‌کند.

۲. دستگاه آن را با کلید خصوصی امضا می‌کند.

۳. سرور امضا را با کلید عمومی بررسی می‌کند.

۴. دسترسی صادر می‌شود.

 

اجزای اصلی معماری Passkey

۱.  Authenticator

Authenticator  مسئول نگهداری کلید خصوصی است.

انواع:

  • تلفن همراه
  • لپ‌تاپ
  • Security Key

 

۲. Credential Manager

مدیریت اطلاعات احراز هویت را انجام می‌دهد.

نمونه:

  • Password Manager های سازگار
  • سیستم‌عامل‌ها

 

۳. سرویس احراز هویت

سمت سرور:

  • نگهداری کلید عمومی
  • اعتبارسنجی درخواست‌ها
  • مدیریت نشست‌ها

 

۴. استاندارد  WebAuthn

استاندارد اصلی ارتباط میان مرورگر، دستگاه و سرویس است.

 

Passkey  در مقابل روش‌های سنتی

ویژگی

رمز عبور سنتی

Passkey

ذخیره راز در سرور

دارد

ندارد

مقاومت در برابر فیشینگ

پایین

بسیار بالا

تجربه کاربر

پیچیده

ساده

وابستگی به حافظه کاربر

زیاد

کم

امنیت سازمانی

متوسط

بالا

مناسب محیط ابری

محدود

مناسب

 

مزایای پیاده‌سازی   Passkey

افزایش امنیت

مهم‌ترین مزیت:

کاهش سطح حمله مرتبط با رمز عبور.

 

کاهش حملات فیشینگ

Passkey اجازه استفاده از اعتبارنامه در سایت جعلی را نمی‌دهد.

 

کاهش هزینه‌های پشتیبانی

بسیاری از درخواست‌های Help Desk مربوط به:

  • فراموشی رمز عبور
  • بازنشانی حساب است.

Passkey  این هزینه‌ها را کاهش می‌دهد.

 

بهبود تجربه کاربر

ورود سریع‌تر:

بدون تایپ رمز عبور

 

چالش‌ها و محدودیت‌های  Passkey

۱. مدیریت دستگاه‌ها

اگر کاربر دستگاه خود را از دست بدهد، سازمان باید فرآیند بازیابی داشته باشد.

۲. سازگاری سیستم‌ها

برخی سیستم‌های قدیمی هنوز از استانداردهای جدید پشتیبانی نمی‌کنند.

۳. آموزش کاربران

تغییر رفتار کاربران همیشه یک چالش سازمانی است.

۴. مدیریت سازمانی

سازمان‌های بزرگ نیازمند:

  • سیاست‌های دسترسی
  • ثبت دستگاه‌ها
  • کنترل چرخه عمر هویت

هستند.

 

نقشه راه پیاده‌سازی Passkey در سازمان

مرحله اول: ارزیابی و کشف

اقدامات:

  • بررسی سیستم‌های احراز هویت فعلی
  • تحلیل ریسک‌های هویتی
  • شناسایی کاربران حساس

 

مرحله دوم: طراحی معماری

شامل:

  • تعریف سیاست‌های امنیتی
  • انتخاب مدل مدیریت کلید
  • هماهنگی با IAM

 

مرحله سوم: اجرای فناوری

فعالیت‌ها:

  • آزمایش محدود
  • اتصال سرویس‌ها
  • بررسی تجربه کاربران

 

مرحله چهارم: اعمال سیاست‌ها

شامل:

  • الزام Passkey برای حساب‌های حساس
  • مانیتورینگ ورودها
  • کنترل دسترسی

 

مرحله پنجم: بهبود مستمر

بررسی:

  • شاخص‌های امنیتی
  • حملات جدید
  • رفتار کاربران

 

اشتباهات رایج در اجرای  Passkey

۱. حذف کامل فرآیند بازیابی

نبود Recovery Plan می‌تواند مشکل‌ساز شود.

راهکار:

ایجاد فرآیند امن بازیابی هویت.

 

۲. اجرای ناگهانی در کل سازمان

راهکار:

اجرای مرحله‌ای با گروه‌های آزمایشی.

 

۳. نادیده گرفتن مدیریت هویت

Passkey  بدون IAM قوی، ارزش کامل خود را ندارد.

 

۴. تمرکز فقط روی فناوری

امنیت فقط ابزار نیست.

فرآیند و سیاست نیز ضروری هستند.

 

۵. عدم آموزش کاربران

کاربران باید بدانند Passkey چگونه کار می‌کند.

 

آینده Passkey در امنیت سایبری

آینده امنیت سازمانی به سمت حذف وابستگی به رمز عبور حرکت می‌کند.

ترکیب Passkey با:

  • هوش مصنوعی (Artificial Intelligence - AI)
  • تحلیل رفتار کاربران
  • معماری اعتماد صفر (Zero Trust)
  • امنیت هویت (Identity Security)

باعث ایجاد نسل جدیدی از دفاع سایبری خواهد شد.

در آینده، هویت دیجیتال مهم‌ترین مرز دفاعی سازمان‌ها خواهد بود.

 

جمع‌بندی

Passkey  یکی از مهم‌ترین تغییرات در حوزه احراز هویت دیجیتال است که تلاش می‌کند مشکل تاریخی رمز عبور را حل کند.

این فناوری با استفاده از رمزنگاری کلید عمومی، مقاومت بالایی در برابر فیشینگ و سرقت اعتبارنامه ایجاد می‌کند و با معماری‌های مدرن مانند Zero Trust و Identity Security هماهنگ است.

سازمان‌هایی که به سمت خدمات ابری، نیروی کار توزیع‌شده و تحول دیجیتال حرکت می‌کنند، باید Passkey را به عنوان بخشی از استراتژی امنیت هویت خود ارزیابی کنند.

 

اتاق تحلیل ۲۴ نیوز

دیدگاه تحلیلی بهراد یوسفی

ظهور Passkey صرفاً معرفی یک روش جدید برای ورود کاربران به حساب‌های دیجیتال نیست؛ بلکه نشانه یک تغییر بنیادین در معماری امنیت سایبری است. برای سال‌ها، صنعت امنیت تلاش کرد مشکل رمز عبور را با افزودن لایه‌های بیشتر مانند پیچیدگی رمز، تغییر دوره‌ای و احراز هویت چندمرحله‌ای مدیریت کند. اما واقعیت این است که مدل امنیتی مبتنی بر یک راز انسانی قابل حفظ، همیشه دارای یک ضعف بنیادی بود: انسان و اطلاعات قابل سرقت.

Passkey  نشان‌دهنده حرکت از مدل «اثبات دانستن یک راز» به مدل «اثبات مالکیت یک هویت رمزنگاری‌شده» است. این تغییر از نظر معماری امنیتی اهمیت زیادی دارد، زیرا سطح حمله را از داده‌های قابل انتقال مانند رمز عبور و کدهای یکبار مصرف، به کلیدهای رمزنگاری‌شده‌ای منتقل می‌کند که خارج از کنترل مهاجم قرار دارند.

برای مدیران ارشد امنیت اطلاعات (CISO)، ارزیابی Passkey نباید صرفاً یک تصمیم فنی برای جایگزینی سیستم ورود کاربران باشد. این فناوری باید در چارچوب گسترده‌تر امنیت هویت، تاب‌آوری سایبری (Cyber Resilience) و معماری Zero Trust بررسی شود.

در محیط‌های سازمانی امروزی، هویت به مرز جدید امنیت تبدیل شده است. دیگر نمی‌توان صرفاً با محافظت از شبکه داخلی، امنیت سازمان را تضمین کرد. مهاجمان با استفاده از تکنیک‌هایی مانند مهندسی اجتماعی، سرقت نشست‌ها، حملات زنجیره تأمین و عملیات نفوذ هدفمند، تلاش می‌کنند هویت کاربران معتبر را به دست آورند.

Passkey  می‌تواند یکی از ابزارهای کلیدی برای کاهش این ریسک باشد، اما نباید به عنوان یک راه‌حل مستقل دیده شود. سازمان‌ها باید آن را همراه با سیاست‌های مدیریت چرخه عمر هویت، کنترل دسترسی، مانیتورینگ رفتار کاربران و فرآیندهای پاسخ به حادثه اجرا کنند.

از منظر جنگ سایبری مدرن، هویت کاربران به یکی از اهداف استراتژیک تبدیل شده است. گروه‌های مهاجم دولتی و مجرمان سایبری می‌دانند که دسترسی به یک حساب مدیریتی می‌تواند مسیر نفوذ به کل سازمان را فراهم کند. بنابراین فناوری‌هایی که بتوانند سرقت اعتبارنامه را کاهش دهند، نقش مهمی در افزایش تاب‌آوری سازمان‌ها خواهند داشت.

همچنین ظهور هوش مصنوعی باعث شده حملات سایبری سریع‌تر، شخصی‌سازی‌شده‌تر و پیچیده‌تر شوند. مهاجمان می‌توانند ایمیل‌های فیشینگ بسیار واقعی تولید کنند و کاربران را با روش‌های متقاعدکننده هدف قرار دهند. در چنین شرایطی، کاهش وابستگی به تعامل انسانی در فرآیند احراز هویت اهمیت بیشتری پیدا می‌کند.

تصمیم استراتژیک سازمان‌ها نباید این باشد که «آیا Passkey جایگزین رمز عبور شود؟» بلکه باید این سؤال مطرح شود:

«چگونه می‌توان یک معماری امنیت هویت ایجاد کرد که در برابر نسل جدید تهدیدات مقاوم باشد؟»

Passkey  بخشی از پاسخ این سؤال است.

آینده امنیت سایبری به سمت محیط‌هایی حرکت می‌کند که در آن اعتماد کمتر، اعتبارسنجی بیشتر و وابستگی به عوامل انسانی کمتر خواهد بود. سازمان‌هایی که امروز برای مدیریت هویت دیجیتال سرمایه‌گذاری می‌کنند، در برابر تهدیدات آینده آمادگی بیشتری خواهند داشت.

 

سازمان

عنوان سند

لینک مستقیم

NIST

Digital Identity Guidelines (SP 800-63)

https://pages.nist.gov/800-63-4/

FIDO Alliance

Passkeys

https://fidoalliance.org/passkeys/

W3C

Web Authentication: An API for accessing Public Key Credentials Level 3

https://www.w3.org/TR/webauthn-3/

Microsoft Learn

Enable passkeys (FIDO2) for Microsoft Entra ID

https://learn.microsoft.com/entra/identity/authentication/how-to-enable-passkey-fido2

Google Developers

Passkeys for Web Developers

https://developers.google.com/identity/passkeys

CISA

Identity and Access Management Resources

https://www.cisa.gov/topics/cybersecurity-best-practices/identity-and-access-management

Cloud Security Alliance

Identity and Access Management

https://cloudsecurityalliance.org/research/working-groups/identity-and-access-management

ENISA

Authentication and Identity Management

https://www.enisa.europa.eu/topics/identity-and-trust

 

 

گزارش خطا
ارسال پیام
captcha
پیشنهاد سردبیر بیشتر
آخرین اخبار
پربازدید
خانه پربازدید پربحث