Passkey چیست؟ بررسی نسل جدید احراز هویت بدون رمز عبور
Passkey چیست؟ راهنمای جامع فناوری احراز هویت بدون رمز عبور، معماری امنیتی، مزایا، چالشها و نقش آن در آینده امنیت سایبری سازمانها.
در سالهای اخیر، یکی از بزرگترین تغییرات در چشمانداز تهدیدات سایبری، حرکت مهاجمان از هدف قرار دادن زیرساختها به سمت حمله مستقیم به هویت کاربران بوده است. بسیاری از حملات بزرگ سایبری مانند فیشینگ، سرقت حسابهای کاربری، نفوذ به سرویسهای ابری و حملات مهندسی اجتماعی، نه از طریق شکستن دیوارهای امنیتی شبکه، بلکه با سوءاستفاده از اطلاعات احراز هویت کاربران آغاز شدهاند.
رمزهای عبور (Passwords) برای دههها ستون اصلی امنیت دیجیتال بودهاند؛ اما افزایش پیچیدگی حملات سایبری نشان داده است که این مدل دیگر پاسخگوی نیازهای امنیتی سازمانهای مدرن نیست. کاربران معمولاً رمزهای عبور ضعیف انتخاب میکنند، آنها را در چند سرویس مختلف تکرار میکنند و در برابر حملات فیشینگ آسیبپذیر هستند.
ظهور رایانش ابری (Cloud Computing)، گسترش کار از راه دور (Remote Work)، افزایش استفاده از نرمافزارهای SaaS و رشد حملات مبتنی بر هویت، سازمانها را مجبور کرده است که به سمت مدلهای جدید احراز هویت حرکت کنند.
فناوری Passkey یکی از مهمترین پاسخها به این تحول امنیتی است؛ روشی که با حذف وابستگی به رمز عبور و استفاده از رمزنگاری کلید عمومی (Public Key Cryptography)، مسیر جدیدی برای احراز هویت امنتر، سادهتر و مقاومتر در برابر حملات سایبری ایجاد کرده است.
Passkey چیست؟
Passkey یک روش احراز هویت دیجیتال است که به کاربران اجازه میدهد بدون وارد کردن رمز عبور، وارد حسابهای کاربری خود شوند.
در این فناوری، به جای ذخیره یک رمز عبور قابل سرقت در سرور، از یک جفت کلید رمزنگاری استفاده میشود:
- کلید خصوصی (Private Key)
- کلید عمومی (Public Key)
کلید خصوصی روی دستگاه کاربر مانند تلفن همراه، رایانه یا یک سختافزار امنیتی ذخیره میشود و هرگز به سرور ارسال نمیشود.
کلید عمومی در سرویس ارائهدهنده حساب ذخیره خواهد شد.
هنگام ورود، سرویس یک درخواست رمزنگاریشده ایجاد میکند و دستگاه کاربر با استفاده از کلید خصوصی پاسخ صحیح را تولید میکند.
تعریف فنی Passkey
از دیدگاه امنیت سایبری،Passkey یک پیادهسازی مبتنی بر استاندارد Web Authentication (WebAuthn) و چارچوب FIDO2 است که از رمزنگاری نامتقارن برای احراز هویت کاربران استفاده میکند.
در این مدل:
- سرور هیچ رمز عبوری ذخیره نمیکند.
- اطلاعات قابل استفاده برای حمله فیشینگ وجود ندارد.
- احراز هویت وابسته به اثبات مالکیت کلید خصوصی است.
Passkey معمولاً توسط اتحاد FIDO Alliance توسعه داده شده و توسط سیستمعاملها و مرورگرهای مدرن پشتیبانی میشود.
تاریخچه شکلگیری Passkey
مشکل رمز عبور از سالها قبل برای متخصصان امنیت مشخص بود.
در دهههای گذشته، روشهای مختلفی برای کاهش خطرات رمز عبور ایجاد شد:
- سیاستهای پیچیده رمز عبور
- تغییر دورهای رمزها
- احراز هویت چندمرحلهای (Multi-Factor Authentication - MFA)
- توکنهای سختافزاری
- نرمافزارهای مدیریت رمز عبور
با این حال، مشکل اصلی باقی ماند:
کاربر همچنان باید یک راز قابل سرقت را حفظ میکرد.
در سالهای اخیر، سازمانهایی مانند FIDO Alliance، گوگل، مایکروسافت و اپل توسعه استانداردهایی را دنبال کردند که هدف آن حذف کامل رمز عبور بود.
نتیجه این تلاشها فناوری Passkey شد.
چرا Passkey اهمیت پیدا کرده است؟
افزایش حملات مبتنی بر هویت
امروزه بسیاری از مهاجمان دیگر تلاش نمیکنند مستقیماً سیستمها را هک کنند؛ بلکه ابتدا هویت یک کارمند یا مدیر را سرقت میکنند.
نمونههای رایج:
- صفحات جعلی ورود
- سرقت کوکی نشست (Session Cookie Theft)
- حملات Credential Stuffing
- فروش اطلاعات ورود در بازارهای زیرزمینی
Passkey بخش بزرگی از این مسیر حمله را حذف میکند.
نقش Passkey در مقابله با تهدیدات مدرن
۱. مقابله با فیشینگ
یکی از بزرگترین مزایای Passkey مقاومت در برابر فیشینگ است.
در روش سنتی:
کاربر:
نام کاربری
+
رمز عبور
را وارد سایت جعلی میکند.
اما Passkey به دامنه واقعی سرویس وابسته است.
یعنی کلید رمزنگاری برای سایت جعلی قابل استفاده نیست.
۲. امنیت در محیطهای ابری
سازمانهای مدرن از صدها سرویس ابری استفاده میکنند:
- Microsoft 365
- Google Workspace
- سرویسهای SaaS
- پلتفرمهای DevOps
در چنین محیطهایی، هویت تبدیل به مرز اصلی امنیت شده است.
Passkey با مدلهای مدرن مدیریت هویت مانند:
مدیریت هویت و دسترسی (Identity and Access Management - IAM) همراستا است.
۳. افزایش امنیت کار از راه دور
کاربران Remote Work معمولاً خارج از شبکه سازمان فعالیت میکنند.
مدلهای قدیمی:
شبکه داخلی = قابل اعتماد
دیگر قابل اتکا نیستند.
Passkey با معماری اعتماد صفر (Zero Trust Architecture) هماهنگ است؛ زیرا به جای اعتماد به موقعیت شبکه، مالکیت هویت را بررسی میکند.
محدودیتهای مدلهای سنتی احراز هویت
رمز عبور
مشکلات اصلی:
- قابل سرقت بودن
- استفاده مجدد
- حملات فیشینگ
- حملات حدس رمز
- ذخیرهسازی ناامن
احراز هویت چندمرحلهای سنتی
MFA امنیت را افزایش داد، اما همه روشها یکسان نیستند.
روشهای آسیبپذیر:
- پیامک OTP
- کدهای ایمیلی
- اپلیکیشنهای جعلی احراز هویت
مهاجمان امروزی از تکنیکهایی مانند:
- MFA Fatigue Attack
- Social Engineering
استفاده میکنند.
اصول امنیتی Passkey
۱. رمزنگاری کلید عمومی
Passkey بر پایه رمزنگاری نامتقارن کار میکند.
نحوه عملکرد:
یک جفت کلید ایجاد میشود:
Private Key و Public Key
کلید خصوصی محرمانه باقی میماند و حتی در صورت نفوذ به سرور، مهاجم نمیتواند کلید خصوصی را استخراج کند.
۲. حذف راز قابل سرقت
در مدل رمز عبور:
سرور باید اطلاعاتی برای بررسی رمز داشته باشد.
در Passkey:
سرور فقط کلید عمومی را نگهداری میکند.
بنابراین:
سرقت دیتابیس = عدم امکان ورود مستقیم مهاجم
۳. احراز هویت مبتنی بر دستگاه
Passkey معمولاً از عوامل داخلی دستگاه استفاده میکند:
- حسگر اثر انگشت
- تشخیص چهره
- PIN امن دستگاه
این عوامل کلید خصوصی را آزاد نمیکنند، بلکه فقط اجازه استفاده از آن را میدهند.
معماری Passkey چگونه کار میکند؟
مدل ساده جریان احراز هویت:
کاربر
↓
دستگاه کاربر
↓
احراز هویت محلی
(Biometrics / PIN)
↓
استفاده از Private Key
↓
امضای درخواست ورود
↓
بررسی توسط سرور
↓
اعطای دسترسی
فرآیند ثبت Passkey
مرحله اول:
کاربر درخواست ایجاد Passkey میدهد.
مرحله دوم:
دستگاه یک جفت کلید رمزنگاری ایجاد میکند.
مرحله سوم:
کلید عمومی به سرویس ارسال میشود.
مرحله چهارم:
کلید خصوصی روی دستگاه باقی میماند.
فرآیند ورود
۱. سرویس یک Challenge ارسال میکند.
۲. دستگاه آن را با کلید خصوصی امضا میکند.
۳. سرور امضا را با کلید عمومی بررسی میکند.
۴. دسترسی صادر میشود.
اجزای اصلی معماری Passkey
۱. Authenticator
Authenticator مسئول نگهداری کلید خصوصی است.
انواع:
- تلفن همراه
- لپتاپ
- Security Key
۲. Credential Manager
مدیریت اطلاعات احراز هویت را انجام میدهد.
نمونه:
- Password Manager های سازگار
- سیستمعاملها
۳. سرویس احراز هویت
سمت سرور:
- نگهداری کلید عمومی
- اعتبارسنجی درخواستها
- مدیریت نشستها
۴. استاندارد WebAuthn
استاندارد اصلی ارتباط میان مرورگر، دستگاه و سرویس است.
Passkey در مقابل روشهای سنتی
|
ویژگی |
رمز عبور سنتی |
Passkey |
|
ذخیره راز در سرور |
دارد |
ندارد |
|
مقاومت در برابر فیشینگ |
پایین |
بسیار بالا |
|
تجربه کاربر |
پیچیده |
ساده |
|
وابستگی به حافظه کاربر |
زیاد |
کم |
|
امنیت سازمانی |
متوسط |
بالا |
|
مناسب محیط ابری |
محدود |
مناسب |
مزایای پیادهسازی Passkey
افزایش امنیت
مهمترین مزیت:
کاهش سطح حمله مرتبط با رمز عبور.
کاهش حملات فیشینگ
Passkey اجازه استفاده از اعتبارنامه در سایت جعلی را نمیدهد.
کاهش هزینههای پشتیبانی
بسیاری از درخواستهای Help Desk مربوط به:
- فراموشی رمز عبور
- بازنشانی حساب است.
Passkey این هزینهها را کاهش میدهد.
بهبود تجربه کاربر
ورود سریعتر:
بدون تایپ رمز عبور
چالشها و محدودیتهای Passkey
۱. مدیریت دستگاهها
اگر کاربر دستگاه خود را از دست بدهد، سازمان باید فرآیند بازیابی داشته باشد.
۲. سازگاری سیستمها
برخی سیستمهای قدیمی هنوز از استانداردهای جدید پشتیبانی نمیکنند.
۳. آموزش کاربران
تغییر رفتار کاربران همیشه یک چالش سازمانی است.
۴. مدیریت سازمانی
سازمانهای بزرگ نیازمند:
- سیاستهای دسترسی
- ثبت دستگاهها
- کنترل چرخه عمر هویت
هستند.
نقشه راه پیادهسازی Passkey در سازمان
مرحله اول: ارزیابی و کشف
اقدامات:
- بررسی سیستمهای احراز هویت فعلی
- تحلیل ریسکهای هویتی
- شناسایی کاربران حساس
مرحله دوم: طراحی معماری
شامل:
- تعریف سیاستهای امنیتی
- انتخاب مدل مدیریت کلید
- هماهنگی با IAM
مرحله سوم: اجرای فناوری
فعالیتها:
- آزمایش محدود
- اتصال سرویسها
- بررسی تجربه کاربران
مرحله چهارم: اعمال سیاستها
شامل:
- الزام Passkey برای حسابهای حساس
- مانیتورینگ ورودها
- کنترل دسترسی
مرحله پنجم: بهبود مستمر
بررسی:
- شاخصهای امنیتی
- حملات جدید
- رفتار کاربران
اشتباهات رایج در اجرای Passkey
۱. حذف کامل فرآیند بازیابی
نبود Recovery Plan میتواند مشکلساز شود.
راهکار:
ایجاد فرآیند امن بازیابی هویت.
۲. اجرای ناگهانی در کل سازمان
راهکار:
اجرای مرحلهای با گروههای آزمایشی.
۳. نادیده گرفتن مدیریت هویت
Passkey بدون IAM قوی، ارزش کامل خود را ندارد.
۴. تمرکز فقط روی فناوری
امنیت فقط ابزار نیست.
فرآیند و سیاست نیز ضروری هستند.
۵. عدم آموزش کاربران
کاربران باید بدانند Passkey چگونه کار میکند.
آینده Passkey در امنیت سایبری
آینده امنیت سازمانی به سمت حذف وابستگی به رمز عبور حرکت میکند.
ترکیب Passkey با:
- هوش مصنوعی (Artificial Intelligence - AI)
- تحلیل رفتار کاربران
- معماری اعتماد صفر (Zero Trust)
- امنیت هویت (Identity Security)
باعث ایجاد نسل جدیدی از دفاع سایبری خواهد شد.
در آینده، هویت دیجیتال مهمترین مرز دفاعی سازمانها خواهد بود.
جمعبندی
Passkey یکی از مهمترین تغییرات در حوزه احراز هویت دیجیتال است که تلاش میکند مشکل تاریخی رمز عبور را حل کند.
این فناوری با استفاده از رمزنگاری کلید عمومی، مقاومت بالایی در برابر فیشینگ و سرقت اعتبارنامه ایجاد میکند و با معماریهای مدرن مانند Zero Trust و Identity Security هماهنگ است.
سازمانهایی که به سمت خدمات ابری، نیروی کار توزیعشده و تحول دیجیتال حرکت میکنند، باید Passkey را به عنوان بخشی از استراتژی امنیت هویت خود ارزیابی کنند.
اتاق تحلیل ۲۴ نیوز
دیدگاه تحلیلی بهراد یوسفی
ظهور Passkey صرفاً معرفی یک روش جدید برای ورود کاربران به حسابهای دیجیتال نیست؛ بلکه نشانه یک تغییر بنیادین در معماری امنیت سایبری است. برای سالها، صنعت امنیت تلاش کرد مشکل رمز عبور را با افزودن لایههای بیشتر مانند پیچیدگی رمز، تغییر دورهای و احراز هویت چندمرحلهای مدیریت کند. اما واقعیت این است که مدل امنیتی مبتنی بر یک راز انسانی قابل حفظ، همیشه دارای یک ضعف بنیادی بود: انسان و اطلاعات قابل سرقت.
Passkey نشاندهنده حرکت از مدل «اثبات دانستن یک راز» به مدل «اثبات مالکیت یک هویت رمزنگاریشده» است. این تغییر از نظر معماری امنیتی اهمیت زیادی دارد، زیرا سطح حمله را از دادههای قابل انتقال مانند رمز عبور و کدهای یکبار مصرف، به کلیدهای رمزنگاریشدهای منتقل میکند که خارج از کنترل مهاجم قرار دارند.
برای مدیران ارشد امنیت اطلاعات (CISO)، ارزیابی Passkey نباید صرفاً یک تصمیم فنی برای جایگزینی سیستم ورود کاربران باشد. این فناوری باید در چارچوب گستردهتر امنیت هویت، تابآوری سایبری (Cyber Resilience) و معماری Zero Trust بررسی شود.
در محیطهای سازمانی امروزی، هویت به مرز جدید امنیت تبدیل شده است. دیگر نمیتوان صرفاً با محافظت از شبکه داخلی، امنیت سازمان را تضمین کرد. مهاجمان با استفاده از تکنیکهایی مانند مهندسی اجتماعی، سرقت نشستها، حملات زنجیره تأمین و عملیات نفوذ هدفمند، تلاش میکنند هویت کاربران معتبر را به دست آورند.
Passkey میتواند یکی از ابزارهای کلیدی برای کاهش این ریسک باشد، اما نباید به عنوان یک راهحل مستقل دیده شود. سازمانها باید آن را همراه با سیاستهای مدیریت چرخه عمر هویت، کنترل دسترسی، مانیتورینگ رفتار کاربران و فرآیندهای پاسخ به حادثه اجرا کنند.
از منظر جنگ سایبری مدرن، هویت کاربران به یکی از اهداف استراتژیک تبدیل شده است. گروههای مهاجم دولتی و مجرمان سایبری میدانند که دسترسی به یک حساب مدیریتی میتواند مسیر نفوذ به کل سازمان را فراهم کند. بنابراین فناوریهایی که بتوانند سرقت اعتبارنامه را کاهش دهند، نقش مهمی در افزایش تابآوری سازمانها خواهند داشت.
همچنین ظهور هوش مصنوعی باعث شده حملات سایبری سریعتر، شخصیسازیشدهتر و پیچیدهتر شوند. مهاجمان میتوانند ایمیلهای فیشینگ بسیار واقعی تولید کنند و کاربران را با روشهای متقاعدکننده هدف قرار دهند. در چنین شرایطی، کاهش وابستگی به تعامل انسانی در فرآیند احراز هویت اهمیت بیشتری پیدا میکند.
تصمیم استراتژیک سازمانها نباید این باشد که «آیا Passkey جایگزین رمز عبور شود؟» بلکه باید این سؤال مطرح شود:
«چگونه میتوان یک معماری امنیت هویت ایجاد کرد که در برابر نسل جدید تهدیدات مقاوم باشد؟»
Passkey بخشی از پاسخ این سؤال است.
آینده امنیت سایبری به سمت محیطهایی حرکت میکند که در آن اعتماد کمتر، اعتبارسنجی بیشتر و وابستگی به عوامل انسانی کمتر خواهد بود. سازمانهایی که امروز برای مدیریت هویت دیجیتال سرمایهگذاری میکنند، در برابر تهدیدات آینده آمادگی بیشتری خواهند داشت.
|
سازمان |
عنوان سند |
لینک مستقیم |
|
NIST |
Digital Identity Guidelines (SP 800-63) |
|
|
FIDO Alliance |
Passkeys |
|
|
W3C |
Web Authentication: An API for accessing Public Key Credentials Level 3 |
|
|
Microsoft Learn |
Enable passkeys (FIDO2) for Microsoft Entra ID |
https://learn.microsoft.com/entra/identity/authentication/how-to-enable-passkey-fido2 |
|
Google Developers |
Passkeys for Web Developers |
|
|
CISA |
Identity and Access Management Resources |
https://www.cisa.gov/topics/cybersecurity-best-practices/identity-and-access-management |
|
Cloud Security Alliance |
Identity and Access Management |
https://cloudsecurityalliance.org/research/working-groups/identity-and-access-management |
|
ENISA |
Authentication and Identity Management |