Passkey چیست؟ - آینده‌ای بدون رمز عبور

بسیاری افراد که سالهای زیادی را برای به یاد سپردن رمز عبور، از نام حیوانات خانگی، تاریخ تولد و تیم‌های ورزشی گرفته تا عبارات منطقی و غیر منطقی در ورود به سیستم استفاده کرده‌اند، مشتاق دوران بدون رمز هستند. واقعا دیگر پر کردن حافظه با اعداد تصادفی و کاراکترهای خاص غیر ضروری است. یک دهه افشای داده‌ها، هک‌ و فیشینگ، رمزهای عبور را از خط مقدم دفاعی افراد به آسیب پذیری امنیتی اولیه تبدیل کرده است.

گوگل، اپل و مایکروسافت، سال گذشته اعلام کردند که از استاندارد ورود جدید ایجاد شده توسط FIDO (Fast Dentity Online) پشتیبانی می‌کنند که به مردم در سراسر جهان اجازه می‌دهد آینده بدون رمز عبور را تجربه کنند. این تلاش مشترک برای ایجاد جایگزین ایمن‌تر برای رمزعبور، ریشه در passkey دارد و از امروز، می‌توانید با استفاده از اعلان skip password when possible در حساب Google خود، برای passkey ثبت‌نام کنید.

Passkey یک ویژگی جدید در کامپیوتر و تلفن‌های هوشمند است که با استفاده از بیومتریک‌هایی مانند اثر انگشت یا اسکن چهره یا پین قفل صفحه، شما را به صورت ایمن وارد حساب‌های خود در سراسر وب می‌کند. دیگر نیازی به به خاطر سپردن گذرواژه‌ها برای هر یک از حساب‌های خود در برنامه‌ها و وب‌سایت‌ها نیست در ضمن passkey از تکمیل ایمن احراز هویت با یک سرویس از طرف شما مراقبت می‌کنند.

ورود بدون رمز عبور با passkey

Passkey جایگزین ایمن‌تر و آسان‌تری برای رمز عبور است. با passkey، کاربران می‌توانند با یک سنسور بیومتریک (مانند اثر انگشت یا تشخیص چهره)، پین یا پترن وارد برنامه‌ها و وب سایت‌ها شوند که آنها را از به خاطر سپردن و مدیریت رمزعبور خلاص می‌کند.

توسعه دهندگان و کاربران هر دو از پسوردها متنفرند چون تجربه کاربری ضعیفی را ارائه می‌دهند، اصطکاک تبدیل را افزایش می‌دهند و برای کاربران و هم برای توسعه دهندگان مسئولیت امنیتی ایجاد می‌کنند. Google Password Manager در اندروید و کروم اصطکاک را از طریق تکمیل خودکار کاهش می‌دهد. برای توسعه دهندگانی که به دنبال بهبودهای بیشتر در تبدیل و امنیت هستند، Passkey و identity federation رویکردهای مدرن این صنعت هستند.

Passkey می‌تواند الزامات احراز هویت چندعاملی را در یک مرحله برآورده کند، هم رمز عبور و هم OTP (به عنوان مثال کد پیامک ۶ رقمی) را جایگزین می‌کند تا محافظت قوی در برابر حملات فیشینگ ارائه دهد و از دردسر UX پیامک یا رمزهای یکبار مصرف مبتنی بر برنامه جلوگیری کند. از آنجایی که Passkey استاندارد هستند، یک پیاده سازی واحد تجربه بدون رمز عبور را در همه دستگاه‌های کاربران، در مرورگرها و سیستم عامل‌های مختلف امکان پذیر می‌کند.

Passkey‌ها ساده‌تر هستند زیرا:

• کاربران می‌توانند حسابی را برای ورود به سیستم انتخاب کنند. تایپ نام کاربری الزامی نیست.
• کاربران می توانند با استفاده از قفل صفحه دستگاه مانند حسگر اثر انگشت، تشخیص چهره یا پین،  احراز هویت کنند.
• هنگامی که یک Passkey ایجاد و ثبت می‌شود، کاربر می‌تواند به طور یکپارچه به یک دستگاه جدید سوئیچ کرده  و بلافاصله بدون نیاز به ثبت نام مجدد از آن استفاده کند (برخلاف احراز هویت بیومتریک سنتی، که نیاز به راه اندازی در هر دستگاه دارد).

Passkey‌ها امن‌تر هستند زیرا:

• توسعه دهندگان فقط یک کلید عمومی (public key) را به جای رمز عبور در سرور ذخیره می‌کنند، به این معنی که برای بازیگران بد ارزش بسیار کمتری برای هک کردن سرورها وجود دارد و پاکسازی بسیار کمتری در صورت رخنه انجام می شود.
• Passkey از کاربران در برابر حملات فیشینگ محافظت می‌کنند. Passkey‌ها فقط در وب سایت‌ها و برنامه‌های ثبت شده آنها کار می‌کنند. کاربر را نمی‌توان فریب داد تا در یک سایت فریبنده احراز هویت کند زیرا مرورگر یا سیستم عامل تایید را انجام می‌دهد.
• Passkey‌ها هزینه ارسال پیامک را کاهش می‌دهند و آنها را به وسیله‌ای امن‌تر و مقرون به صرفه‌تر برای احراز هویت دو مرحله‌ای تبدیل می‌کنند.

Passkey‌ چیست؟

Passkey‌ یک اعتبار دیجیتال است که به یک حساب کاربری و یک وب سایت یا برنامه مرتبط است. Passkey‌‌ها به کاربران این امکان را می‌دهند که بدون نیاز به وارد کردن نام کاربری یا رمز عبور، یا ارائه هر گونه فاکتور احراز هویت اضافی، احراز هویت کنند. هدف این فناوری جایگزینی مکانیسم‌های احراز هویت قدیمی مانند رمزهای عبور است.
هنگامی که کاربری می‌خواهد به سرویسی وارد شود که از Passkey‌ استفاده می‌کند، مرورگر یا سیستم عامل به او کمک می‌کند تا Passkey‌ مناسب را انتخاب و استفاده کند. این تجربه شبیه به نحوه عملکرد رمزهای عبور ذخیره شده امروزی است. برای اطمینان از اینکه فقط مالک قانونی می‌تواند از Passkey‌ استفاده کند، سیستم از آنها می‌خواهد که قفل دستگاه خود را باز کنند که ممکن است با یک حسگر بیومتریک (مانند اثر انگشت یا تشخیص چهره)، پین یا پترن انجام شود.

برای ایجاد Passkey‌ برای یک وب سایت یا اپلیکیشن، کاربر ابتدا باید در آن ثبت نام کند.

1. به اپلیکیشن بروید و با استفاده از روش ورود به سیستم وارد شوید.
2. روی دکمه Create a passkey کلیک کنید.
3. اطلاعات ذخیره شده با passkey جدید را بررسی کنید.
4. از باز کردن قفل صفحه دستگاه برای ایجاد passkey استفاده کنید.

وقتی برای ورود به این وب‌سایت یا برنامه بازمی‌گردند، می‌توانند مراحل زیر را انجام دهند:

1. به اپلیکیشن بروید.
2. روی فیلد نام حساب ضربه بزنید تا لیستی از passkey‌ها در دیالوگ autofill نمایش داده شود.
3.  passkey آنها را انتخاب کنید.
4. از باز کردن قفل صفحه دستگاه برای تکمیل ورود استفاده کنید.

دستگاه کاربر یک امضا بر اساس passkey تولید می‌کند. این امضا برای تایید اعتبار ورود بین origin و passkey استفاده می شود.

کاربر می‌تواند بدون در نظر گرفتن جایی که passkey در کجا ذخیره شده است، با استفاده از آن وارد سرویس‌ها در هر دستگاهی شود. به عنوان مثال، passkey ایجاد شده در تلفن همراه می‌تواند برای ورود به یک وب سایت در یک لپ تاپ جداگانه هم استفاده شود.

passkey چگونه کار می کند؟

passkey برای استفاده از طریق زیرساخت سیستم عامل در نظر گرفته شده است که به مدیران passkey اجازه می‌دهد تا آنها را ایجاد، بکاپ‌گیری کرده و در دسترس برنامه‌های در حال اجرا در آن سیستم عامل قرار دهند. در اندروید، passkey را می‌توان در Google Password Manager ذخیره کرد، که passkey‌ها را بین دستگاه‌های Android کاربر که به همان حساب Google وارد شده‌اند، سینک می‌کند. Passkey‌ها قبل از همگام سازی به طور ایمن روی دستگاه رمزگذاری می‌شوند و نیاز به رمزگشایی آنها در دستگاه های جدید وجود دارد. کاربران دارای سیستم عامل Android 14 یا جدیدتر می توانند passkey خود را در یک password manager شخص ثالث سازگار ذخیره کنند.

کاربران محدود به استفاده از passkey  فقط در دستگاهی نیستند که  از آن استفاده می‌کنندو  passkey موجود در تلفن‌ها را می‌توان هنگام ورود به لپ تاپ استفاده کرد، حتی اگر passkey با لپ تاپ همگام نشده باشد، تا زمانی که تلفن در دسترس و نزدیک لپ تاپ باشدتا کاربر ورود به گوشی را تایید کند. از آنجایی که passkey بر اساس استانداردهای FIDO ساخته شده است، همه مرورگرها می‌توانند آنها را به کار گیرند.

برای مثال، یک کاربر از example.com در مرورگر Chrome در دستگاه ویندوز خود بازدید می‌کند. این کاربر قبلا در دستگاه Android خود به example.com وارد شده و یک passkey ایجاد کرده است. در دستگاه ویندوز، کاربر انتخاب می‌کند که با یک passkey از دستگاه دیگری وارد سیستم شود. این دو دستگاه به هم متصل می‌شوند و از کاربر خواسته می‌شود تا استفاده از passkey خود را در دستگاه اندرویدی، به عنوان مثال، با حسگر اثر انگشت تأیید کند. پس از انجام این کار، آنها در دستگاه ویندوز وارد سیستم می‌شوند. توجه داشته باشید که passkey خود به دستگاه ویندوز منتقل نمی‌شود، بنابراین به طور معمول example.com پیشنهاد می‌کند یک passkey جدید در آنجا ایجاد کنید. به این ترتیب، دفعه بعد که کاربر بخواهد وارد سیستم شود، نیازی به تلفن نیست. 

در حالی که بیشتر ما از آینده‌ای امن‌تر استقبال می‌کنیم، مانند هر فناوری جدید، چند سوال و ابهام وجود دارد که برای دریافت پاسخ،در ادامه مصاحبه‌ای با کریستیان برند، کارشناس امنیت گوگل را مطالعه خواهید کرد

به زبان ساده، passkey چیست؟

passkey یک اعتبار FIDO است که در کامپیوتر یا تلفن شما ذخیره شده و برای باز کردن قفل حساب‌های آنلاین استفاده می‌شود. passkey ورود به سیستم را ایمن‌تر نموده که با استفاده از رمزنگاری کلید عمومی (public key) کار می‌کند و برای اثبات اینکه شما صاحب اعتبار هستید فقط زمانی که قفل تلفن خود را باز می‌کنید به حساب آنلاین شما نشان داده می‌شود.
برای ورود به وب‌سایت یا اپلیکیشن در تلفن خود، کافیست قفل تلفن خود را باز کنید و حساب شما دیگر به رمز عبور نیاز نخواهد داشت.
یا اگر می‌خواهید در کامپیوترتان وارد وب‌سایتی شوید، فقط به تلفن خود در نزدیکی آن نیاز دارید و از شما خواسته می‌شود قفل تلفن را باز کنید و بعد به شما امکان دسترسی در کامپیوتر را می‌دهد.

شما در مورد «آینده بدون رمز عبور» صحبت می‌کنید - آیا passkey واقعا جایگزین رمز عبور می‌شود؟

بله، passkey جایگزین رمز عبور خواهد شد و حتی گسترده‌تر از آن؛ می‌توانم بگویم که چشم‌انداز ما برای passkeyها این است که نه تنها از شر رمز عبور خلاص شویم، بلکه تمام راهکارهای موقت و غیر موثری را که صنعت برای جبران آسیب‌پذیر بودن رمز عبور طراحی نموده، حذف کنیم.

منظور از راهکارهای موقت و غیر موثری،  سوالات چالشی مانند «اسم اولین مدرسه‌ات چه بود» یا «پدر و مادرت در کدام شهر آشنا شدند» است؟
بله، اما حتی رفع‌های پیچیده‌تر مانند احراز هویت چند عاملی، پیام‌های SMS یا برنامه‌های احراز هویت. به عنوان مثال، ما برنامه Google Authenticator را ساختیم تا به افراد یک لایه امنیتی اضافی در وب بدهیم. passkeyها جایگزین همه اینها خواهند شد.

به ندرت کلمه «عمومی» و «رمز نگاری» را در یک عبارت می شنویم؛ چگونه کار می کند؟

رمزنگاری کلید عمومی از دهه 1970 وجود داشته است و وب بر روی آن ساخته شده است. در دهه 1990، Netscape رمزگذاری را بر اساس کلیدهای عمومی به نام لایه سوکت‌های امن  یا SSL  به عنوان ابزاری برای احراز هویت وب‌سایت‌ و تضمین حریم خصوصی کاربران توسعه داد. وب‌سایت‌های امن همه آن‌ها را دارند و به این طریق می‌توانید تشخیص دهید که آیا یک وب‌سایت معتبر است یا خیر
پس وب سایت را احراز هویت می کند اما چگونه افراد را احراز هویت می‌کند؟

passkeyها مشابه SSL هستند که اخیرا TLS نامیده می‌شود. اما به جای اینکه سیستم‌ها یکدیگر را احراز هویت کنند، یک فرد کلید خصوصی مربوطه را در دستگاه خود دارد. بخش رمزنگاری این است که وب‌سایت می‌تواند تایید کند دستگاه تایید بیومتریک کاربر در مالکیت او و دارای passkey است. به دلیل رمزنگاری، سرور هرگز نمی‌فهمد که passkey کاربر واقعا چیست و این جادوی رمزنگاری کلید عمومی است، می‌تواند بدون اینکه چیزی در مورد شما بداند، اعتبار شما را تایید کند. در واقع فقط تایید می‌کند که شما همان هستید که می‌گویید.

اگر این رمزنگاری از دهه 1970 وجود داشته، چرا ما از دهه 1990 رمزهای عبور را حفظ کرده‌ایم؟

رمزنگاری کلید عمومی به قدرت محاسباتی نیاز دارد. تا حدود سال 2010، بیشتر مردم با کامپیوتر در جیب خود راه نمی‌رفتند.
گوشی‌های هوشمند، کامپیوترهای جیبی هستند و در حالی که آنها به عنوان آسیب پذیری تلقی می‌شوند، passkeyها می‌توانند آنها را به بزرگترین تغییر برای امنیت آنلاین در دهه‌های اخیر تبدیل کنند.

اگر تلفن خود را گم کنید، شخصی که آن را پیدا می‌کند می‌تواند از رمز عبور شما استفاده کند؟

نه، زیرا تلفن تنها بخشی از آن است. در گذشته، ورود به یک وب سایت ایمن به دو چیز نیاز داشت: یک ماشین برای دسترسی به اینترنت و چیزی مانند رمز عبور. این بدان معناست که اگر شخصی رمز عبور شما را دریافت کند، تنها چیزی که نیاز دارد دسترسی به اینترنت است.
passkeyها یک تحویل هستند؛ آنها تایید می‌کنند که دستگاه در اختیار شماست و اینکه شما کسی هستید که به حساب خود دسترسی دارید. این zero-trust است و چیزی در مورد شما باید درست باشد و برای مردم امن‌تر و ساده‌تر است.

اثر انگشت، چهره شما، توانایی باز کردن قفل دستگاه و دستگاه شما باید در اختیار شما باشد. اگر شخصی دستگاه شما را داشته باشد، نمی‌تواند با passkey شما کاری انجام دهد. و اگر دستگاه قدیمی حاوی passkey خود را گم کنید، به راحتی می توانید یک passkey جدید در دستگاه جدید خود ایجاد کنید.

آیا می‌توان بیش از یک passkey در چندین دستگاه داشت؟

بله، شما می‌توانید passkey‌های زیادی داشته باشید و حتی در دستگاه‌هایی که با خانواده خود به اشتراک گذاشته شده است، passkey داشته باشید. این یکی از جهش‌های بزرگ است. رمزنگاری به این معنی است که passkey - هر تعداد که دارید و هر کجا که ذخیره می‌شوند - فقط برای کاربر مفید هستند.

به نظر می‌رسد این یکی از اولین پیشرفت‌های امنیتی است که افراد را مجبور به انجام کارهای کمتری می‌کند.

درست است  و این بخشی از نوآوری zero-trust است. از آنجایی که همه ما چیزهای زیادی در ذهن خود داریم، می‌توانیم روی چیزهای دیگر تمرکز کنیم و در عین حال امنیت بیشتری هم داشته باشیم.

در بهترین حالت، نوآوری به معنای مشکلاتی است که ما را نگران می‌کند. passkey چه مشکلات امنیتی روزمره را حل می‌کند که کمتر به آن توجه می‌شود؟

سه چیز در این دسته قرار می گیرد:

• رمزهای عبور به سرقت رفته؛ هر هفته در مورد هک شدن برخی از شرکت‌ها و سرقت رمزهای عبور می‌شنویم. از آنجایی که مردم اغلب رمزهای عبور را در سرتاسر وب تکرار می‌کنند، این امر می‌تواند به بازیگران بد دسترسی به حساب‌های مختلف مانند ایمیل، بانک، رسانه‌های اجتماعی و... را بدهد. passkey این مشکل را متوقف می‌کند.
• احراز هویت ناقص و زمان‌بر است. احراز هویت به این معنی است که حتی اگر شخصی رمز عبور شما را به دست آورد، همچنان به اطلاعات دیگری نیاز داشته باشد. به همین دلیل است که ما برنامه Google Authenticator را ساختیم. این برنامه به کاهش افشای اطلاعات کمک کرد. اما هنوز به این معنی است که کاربر باید کاری انجام دهد و بار را بر دوش او می‌اندازد. کاربر نباید در امنیت و احراز هویت آنقدر تنها باشد که البته برای چند دهه تا حد زیادی چنین بوده است.
• فیشینگ زمانی است که شخصی برای شما ایمیلی ارسال می‌کند، به نظر رسمی می‌رسد و شما روی لینک کلیک و شروع به تایپ اطلاعات خود می‌کنید. البته تلاش‌های فیشینگ پیچیده‌تر شده‌اند و گاهی اوقات افراد نه تنها فریب داده می‌شوند تا نام کاربری و رمز عبور خود را بدهند، بلکه اطلاعات احراز هویت و سایر جزئیات شخصی را نیز ارائه می‌کنند. به علاوه، فیشینگ همچنین باری را بر دوش کاربران می‌گذارد تا تعیین کنند یک ایمیل یا وب سایت چقدر معتبر به نظر می‌رسد. passkey‌ها می‌توانند مشکل فیشینگ را حل کنند.

یک سوال برای بسیاری از مردم وجود دارد و آن مربوط به بیومتریک مانند اثر انگشت و تشخیص چهره است. آیا فکر می‌کنید مردم باید نگران بیومتریک باشند که با دستگاه خود کار می‌کنند تا کلیدهای عبور را تقویت کنند؟

هیچ یک از دستگاه‌های مدرن، لپ‌تاپ، تلفن‌های هوشمند حتی آن‌هایی که از بیومتریک استفاده می‌کنند، نمی‌توانند اطلاعات بیومتریک را بسته‌بندی کرده و به فضای ابری ارسال کنند. تلفن های هوشمند مدرن برای به اشتراک گذاشتن بیومتریک ساخته نشده‌اند. همیشه لوکال و در دستگاه شما است. حتی اگر دستگاه شما دزدیده شود، دزد مشخصات بیومتریک شما را برای فعال کردن passkey نخواهد داشت.

ما می دانیم که فناوری جدید برای جلب اعتماد و دستیابی به پذیرش گسترده به زمان نیاز دارد. همچنین در عصری زندگی می‌کنیم که بسیاری از نوآوری‌های دیجیتال جدید به نوعی به عنوان نوآوری خیره‌کننده ظاهر می‌شوند. چگونه مردم می توانند مطمئن شوند که passkey ارزش وقتشان را دارند؟

آنها می‌توانند دفعه بعد که توسط یک سرویس از آنها خواسته شد، passkey را تنظیم کنند. کمی زمان بگذرانید، و در زمان و انرژی ذهنی زیادی صرفه جویی کنید و بسیار امن‌تر باشید.

سخن پایانی

گذرواژه‌ها همیشه یک آسیب بالقوه بوده‌اند و معمولا کاربران دنبال این هستند که از یکی استفاده کنندکه بسیار ساده است (تا به راحتی آن را به خاطر بسپارند) یا گاهی برای امنیت بیشتر یک رمز عبور به اندازه‌ای مبهم و پیچیده برای نگهداری آن نیاز به password manager است.

تا به حال، بهترین راه برای ایمن نگه داشتن اکانت‌ها، استفاده از ورود دو مرحله‌ای (2FA) بود. اما اکنون، Google انتخاب دیگری را ارائه می‌کند، استفاده از passkey یک اعتبارنامه ایمن مرتبط با پین یا احراز هویت بیومتریک که دستگاه شما قبلا از آن استفاده می‌کند. passkey فقط در دستگاه شما وجود دارد، نه در فضای ابری که آن را ایمن‌تر می‌کند.

در این مطلب به معرفی passkey‌ها پرداختیم و نحوه کار با آنها را توضیح دادیم، گوگل هم از 10 اکتبر 2023 (18 مهر 1402) به‌صورت پیش‌فرض از کاربران می‌خواهد برای اکانت خود Passkey بسازند و مدعی است که استفاده از passkey در مقایسه با رمزهای عبور قدیمی، سرعت شما را 40 درصد افزایش خواهد داد.