مبانی امنیت امنیت در تلفن هوشمند

تکنولوژی Passkey چیست و چرا باید فوراً آن را جایگزین رمزهای عبور خود کنید؟

یک راهکار خوبِ جایگزین رمز عبور
شایان ضیایی
زمان مطالعه ۱۰ دقیقه

فهرست:

به‌خاطر سپردن رمز‌های عبور کار سختی است! به همین خاطر اغلب افراد برای حساب کاربری‌شان در سایت‌ها و اپلیکیشن‌های مختلف از یک «رمز عبور تکراری» استفاده می‌کنند که اصلا کار خوبی نیست.

حالا یک فناوری نسبتا جدید، مشکل را از بیخ حل کرده، اما هنوز بسیاری افراد با آن آشنا نیستند: نامش به انگلیسی Passkey است که در فارسی به آن «کلید عبور» گفته می‌شود. توجه کنید که «کلید عبور» با «رمز عبور» متفاوت است.

در این مطلب گاهی آن را به شکل Passkey و گاهی به شکل فارسی «پَس‌کی» می‌نویسیم که البته قبول داریم کمی عجیب است و با عبارت «پَس کِی!» اشتباه گرفته می‌شود.

Passkey یعنی چی؟

هر کدام از ما یک تلفن همراه یا کامپیوتر داریم که تقریبا همیشه همراه‌مان است و به نوعی به ما چسبیده! بنابراین می‌توان از آن به عنوان روشی برای احراز هویت استفاده کنیم. به ویژه که اکثر تلفن‌های هوشمند و لپ‌تاپ‌های امروزی مجهز به روش‌های احراز هویت بیومتریک (مثلا تشخیص اثر انگشت یا اسکن چهره) هستند.

«پس‌کی» شبیه یک رمز است که روی موبایل شما ذخیره می‌شود و البته با رمزهای عادی‌تان تفاوت دارد، چون بسیار طولانی و پیچیده‌تر است و ضمنا از دو بخش تشکیل شده که قسمت دومش اصلا روی موبایل شما نگهداری نمی‌شود.

خوشبختانه نیازی به حفظ کردن این رمز طولانی ندارید. پس‌کی داخل یک بخش خاص از سیستم عامل اندروید یا آی او اس (آیفون) یا لپ‌تاپ شما ذخیره می‌شود و برای دسترسی به آن از سیستم تشخیص چهره یا اثر انگشت استفاده می‌شود.

در چه دستگاه‌هایی می‌توان از پس‌کی استفاده کرد؟

Passkey از سال ۲۰۲۲ در دسترس عموم قرار گرفته و شاید نیاز به گذشت نزدیک به یک دهه داشته باشد تا واقعا فراگیر و استاندارد شود. اکثر شرکت‌های سازنده سیستم عامل و مرورگر، پشتیبانی از پس‌کی را شروع کرده‌اند و تلاش دارند کاربران را به سمت این نوع از احراز هویت سوق دهند.

شرکت‌هایی مثل اپل، گوگل و مایکروسافت اولین بازیگران بودند و همین حالا پس‌کی را به اکوسیستم‌های خود آورده‌اند. باقی شرکت‌هایی که خدمات گوناگون ارائه می‌کنند هم به شکلی آهسته اما پیوسته به سراغ پس‌کی رفته‌اند.

دستگاه‌ها و سیستم‌ عامل‌های سازگار با پس‌کی

  • اپل: آیفون‌ها و آیپدهای مجهز به سیستم عامل iOS 16 و بالاتر، با Passkey-ها سازگاری دارند. مک‌ها و مک‌بوک‌هایی که macOS Ventura 13 یا ورژن‌‌های جدیدتر را اجرا می‌کنند هم همین حالا به پس‌کی مجهز شده‌اند.
  • اندروید: موبایل‌ها و تبلت‌های مجهز به اندروید ۹ (یا اندروید Pie) یا نسخه‌های جدیدتر، از طریق ابزار مدیریت رمز Google Password Manager، از پس‌کی پشتیبانی می‌کنند. 
  • ویندوز: کاربران ویندوز ۱۰ و ویندوز ۱۱ مایکروسافت هم می‌توانند به کمک قابلیت Windows Hello از پس‌کی‌ها استفاده کنند. 

مرورگرهای سازگار با پس‌کی

  • گوگل کروم | Google Chrome (ورژن ۱۰۹ یا جدیدتر)
  • اپل سافاری | Apple Safari (ورژن ۱۶ یا جدیدتر)
  • مایکروسافت اج | Microsoft Edge (ورژن ۱۰۹ یا جدیدتر)
  • موزیلا فایرفاکس | Mozilla Firefox (پشتیبانی محدود در هنگام نگارش متن)

مهم‌ترین وب‌سایت‌ها، اپلیکیشن‌ها و سرویس‌های سازگار با Passkey

ممکن است شما یک تلفن اندرویدی داشته باشید که از قابلیت پس کی پشتیبانی کند. اما اصل داستان این است که سایت و اپلیکیشنی که از آن استفاده می‌کنید، هم از این قابلیت پشتیبانی کند! خوشبختانه قابلیت ورود با پس‌کی در بسیاری از سایت‌ها و اپلیکیشن‌های معتبر اضافه شده و این قابلیت روز به روز به سایت‌های بیشتری هم اضافه خواهد شد. 

اجازه دهید چند مورد از موارد مشهور را ذکر کنیم:

  • شبکه‌های اجتماعی مانند ایکس (X)، لینکدین (Linkedin) و تیک‌تاک (TikTok)
  • اپلیکیشن‌های پیام‌رسان و گفتگو مانند واتس‌اپ (WhatsApp) و دیسکورد (Discord)
  • پلتفرم‌های توسعه نرم‌افزار مانند گیت‌هاب (GitHub) و بیت‌باکت (BitBucket)
  • سرویس‌های گیمینگ مثل پلی‌استیشن (Playstation)، نینتندو (Nintendo) و روبلاکس (Roblox)
  • پلتفرم‌های مالی و صرافی‌ها مانند کوین‌بیس (Coinbase)، پی‌پل (PayPal) و رابین‌هود (Robinhood)

جزئیات بیشتر برای کسانی که می‌خواهند بیشتر بدانند: پس‌کی چگونه کار می‌کند؟

پس‌کی برای احراز هویت کاربر، از دو کلید «عمومی» و «خصوصی» کمک می‌گیرد که هر دو رمزنگاری شده‌اند.

 کلید عمومی روی سرور سایت یا اپلیکیشن میزبان ذخیره می‌شود. کلید خصوصی هم فقط روی تلفن موبایل یا کامپیوتر کاربر باقی می‌ماند و هیچ‌کسی جز او به آن دسترسی ندارد. این روش نگهداری و سنجش اطلاعات که «رمزنگاری نامتقارن» نام گرفته، یکی از امن‌ترین تکنیک‌ها در نوع خود است. بنابراین وقتی تصمیم به استفاده از Passkey برای ورود به حساب‌ها می‌گیرید، دقیقا چنین اتفاقی می‌افتد:

  • یک کلید عمومی در سرور سایت، اپلیکیشن یا سرویس مورد نظرتان (مثلا سایت ایکس) ذخیره می‌شود و حتی اگر لو برود هم به تنهایی تهدیدی امنیتی به حساب نمی‌آید. 
  • یک کلید خصوصی هم روی دستگاهی که پس‌کی روی آن ساخته شده – مثل موبایل یا لپ‌تاپ شما – ذخیره خواهد شد. این کلید هیچوقت در هیچ سروری آپلود نمی‌شود و از هیچ دستگاه دیگری سر در نمی‌آورد، مگر اینکه خودتان تصمیم به انتقال آن به دستگاهی متفاوت بگیرید. 

کلیدهای خصوصی درون قطعه سخت‌افزاری خاصی در تلفن یا لپ‌تاپ ذخیره می‌شوند که کارش محافظت از اطلاعات بسیار حساس است. برای مثال شاید نام Secure Enclave در موبایل‌های آیفون، Trusted Platform Module در ویندوز و یا Samsung Knox در گلکسی‌های سامسونگ به گوش‌تان آشنا باشد. این قطعات که می‌توان به «مخزنی برای مدیریت کلیدها» تشبیه‌شان کرد، کارکردی ایزوله از پردازنده اصلی دستگاه دارند. این یعنی حتی اگر تلفن همراه یا کامپیوتر به بدافزار آلوده شود، همچنان اطلاعات داخل مخزن ایمن می‌مانند. 

پس‌کی ضمنا با مجموعه‌ای از دستگاه‌های مختلف سازگار است. بنابراین می‌توانید روی تمام لوازم هوشمند و سازگار خود، از این کلیدها استفاده کنید. برای همگام‌سازی Passkey میان دستگاه‌های مختلف، فقط نیاز به استفاده از فضاهای ابری مختلف مثل iCloud و Google دارید. 

تجربه کار با Passkey

از توضیحات اندک فنی بالا وحشت‌زده نشوید که پس‌کی علاوه‌ بر امنیت بالاتر، زندگی را هم برایتان آسان‌تر می‌کند. با فعال کردن پس‌کی، دیگر نیازی به حفظ کردن و تایپ کردن رمز عبور ندارید. در عوض به همان روشی وارد حساب‌ها می‌شوید که قفل موبایل یا کامپیوتر را باز می‌کنید.

هر بار که درخواست ورود به حساب‌ها را ثبت می‌کنید، تلفن یا لپ‌تاپ شما، درخواست را با کلید خصوصی امضا می‌کند و برای سرور می‌فرستد. اگر کلید دریافتی با کلید عمومی تطبیق داشته باشد، وارد حساب می‌شوید. این فرایند بسیار سریع است و معمولا در تنها یک ثانیه جواز ورود را دریافت می‌کنید.

هر بار که این درخواست ثبت می‌شود، دستگاه امضایی با محدودیت زمانی می‌سازد که خیلی زود منقضی می‌شود. انقضای سریع امضا به این معنی است که هیچکس نمی‌تواند از Passkey شما استفاده دوباره یا سوء استفاده کند. 

آشنایی با دو نوع پس‌کی

به صورت کلی دو نوع Passkey داریم که هر یک برای نیازها و موقعیت‌های گوناگون طراحی شده‌اند. Passkey در دو دسته‌بندی «پس‌کی چند دستگاهی» (Multi-Device Passkeys) و «پس‌کی منحصر به دستگاه» (Device-Bound Passkeys) قرار می‌گیرد. اما تفاوت در چیست؟

پس‌کی چند دستگاهی

«پس‌کی چند دستگاهی» که با نام‌های «Multi-Device Passkey» و «Synced Passkey» هم شناخته می‌شود، بهترین انتخاب برای استفاده شخصی است. این نوع پس‌کی میان دستگاه‌های مختلف – مثل موبایل، تبلت یا لپ‌تاپ – همگام‌سازی می‌شود، اما به این شرط که کلیدها را به حساب‌هایی مثل حساب اپل، گوگل یا مایکروسافت متصل کرده باشید. 

این سیستم کاملا انعطاف‌پذیر است و اجازه می‌دهد روی مجموعه‌ای از دستگاه‌های مورد اعتماد خود، دسترسی سریع به حساب‌ها داشته باشید. 

پس‌کی منحصر به دستگاه

در تضاد کامل با دسته‌بندی قبلی، «پس‌کی منحصر به دستگاه» یا «Device-Bound Passkey»، تنها روی یک دستگاه کار می‌کنند و انتخابی بهتر برای کاربران سازمانی است. این نوع پس‌کی تنها روی دستگاهی که روی آن ساخته شده کار می‌کند و قابلیت انتقال به دستگاهی دیگر ندارد. در نتیجه، کارمندان یک لایه امنیتی اضافه دارند و ریسک‌های کسب‌وکار هم کمتر می‌شود.

مهم‌ترین مزایا Passkey

Passkey سطحی کمتر دیده‌شده از سهولت و امنیت را به همراه خواهد داشت، هم برای کاربران عادی و هم برنامه‌نویسان و توسعه‌دهندگان. در ادامه برخی از این مزایا را به تفکیک می‌خوانیم:

  • امنیت در برابر حملات فیشینگ: «فیشینگ» به هر تلاشی برای به دست آوردن رمزهای عبور شما گفته می‌شود و سایت‌های جعلی، از موثرترین ابزارهای کار سارقان است. پس‌کی روی سایت‌های جعلی کار نمی‌کند و در نتیجه اطلاعات خصوصی شما لو نمی‌روند. 
  • دردسر کمتر: حفظ کردن و مدیریت رمزهای مختلف، کاری واقعا دشوار است. Passkey اجازه می‌دهد فرایند ورود را از طریق حسگر اثر انگشت یا تشخیص چهره (و یا هر مکانیزم دیگری برای باز کردن قفل تلفن و کامپیوتر) انجام دهید و تجربه‌ای سرراست‌تر داشته باشید.
  • سازگاری با دستگاه‌های گوناگون: انتقال پس‌کی میان دستگاه‌های مختلف اما متعلق به یک اکوسیستم (مثلا آیفون، آیپد و مک اپل) بدون کوچک‌ترین دردسری امکان‌پذیر می‌شود.
  • امنیت اطلاعات بیومتریک: اطلاعات بیومتریک (به معنی اطلاعات مربوط به اثر انگشت، چهره یا هر ویژگی دیگری در بدن شما) هیچوقت در اختیار سرویس‌دهندگان قرار نمی‌گیرد. این یعنی بیش از پیش از حریم خصوصی خود محافظت خواهید کرد.
  • پشتیبانی از احراز هویت چند عاملی (Multi-Factor Authentication): به لطف Passkey، «آنچه در اختیار دارید» (مثل هر دستگاه هوشمندی) و «آنچه هستید» (مثل اطلاعات بیومتریک) در تنها یک مرحله مورد بررسی قرار می‌گیرد و نیازی به وارد کردن دستی هیچ اطلاعاتی نیست.

معایب پس‌کی

مثل هر تکنولوژی دیگری، Passkey معایبی هم دارد. برای مثال به علت فراگیری کمتر نسبت به رمزهای سنتی، هنوز در تمام سایت‌ها، اپلیکیشن‌ها و سرویس‌ها از آن پشتیبانی نمی‌شود. 

ضمنا اگر پس‌کی به درستی پیاده‌سازی نشود، با از دست دادن تمام دستگاه‌های متصل به پس‌کی، بازگردانی اطلاعات از دست رفته واقعا دشوار خواهد بود. البته در حال حاضر اغلب سایت‌هایی که از پس‌کی استفاده می‌کنند، همچنان راهکار ورود با نام کاربری و رمز عبور را هم در اختیارتان قرار می‌دهند. بنابراین حتی اگر موبایل‌تان را هم گم کنید، همچنان می‌توانید با پسورد وارد ایمیل‌تان بشوید. اتکا بر اکوسیستم‌هایی مثل iCloud اپل و Password Manager گوگل هم باعث شده این فناوری حداقل در ابتدای راه در انحصار افرادی باشد که از این ابزارها استفاده می‌کنند. 

در نهایت نوبت به چالش آموزش به کاربرانی می‌رسد که هنوز با این روش جدید و سرراست‌تر احراز هویت آشنا نشده‌اند. اما تمام این معایب موقتی هستند و هرچه تعداد کاربران Passkey بیشتر شود، شکلی دسترس‌پذیرتر و فراگیرتر به خود می‌گیرد. 

در آینده چه می‌شود؟

آینده برای پس‌کی روشن و نوآورانه است. گذشته از تشخیص اثر انگشت و چهره که رایج‌ترین روش‌های احراز هویت فعلی هستند، ممکن است در آینده شاهد استفاده از امواج مغزی، ضربان قلب و حتی دی‌ان‌ای نیز در فرایند احراز هویت باشیم.

علاوه بر این، به لطف تکنولوژی بلاک چین می‌توانیم منتظر روزی باشیم که کاربران کنترل کامل بر داده و اطلاعات خصوصی خود دارند و Passkey هم به روشی جهانی و فراگیر برای احراز هویت تبدیل شده است. در مجموع تردیدی نیست که پس‌کی می‌تواند معنای امنیت و هویت دیجیتال را برای کاربران تغییر دهد. 

جمع‌بندی

اگر احساس می‌کنید متن این پست از حوصله‌تان خارج است یا همچنان سوالاتی بی‌پاسخ در ذهن دارید، در ادامه مهم‌ترین دانستنی‌ها را به صورت خلاصه مرور می‌کنیم.

  • Passkey یا «کلید عبور» جایگزینی برای رمزهای سنتی است. پس‌کی نوعی رمز بسیار خصوصی است که نیازی به حفظ کردن آن ندارید و فقط روی حافظه دستگاه متعلق به شما ذخیره می‌شود.
  • هنگام کار با پس‌کی، به جای وارد کردن نام کاربری و رمز در سایت‌ها و اپلیکیشن‌ها، از قابلیت باز کردن قفل موبایل یا کامپیوتر استفاده می‌کنید. برای مثال می‌توان با حسگر اثر انگشت یا تشخیص چهره، وارد حساب‌های آنلاین شد.
  • تکنولوژی Passkey امنیت بالا دارد و تغییری در فرایند پردازش و نگهداری اطلاعات بیومتریک شما به وجود نمی‌آورد. 
  • پس‌کی در برابر حملات فیشینگ مقاوم است و می‌تواند به کل جایگزین سیستم‌های «احراز هویت چند عاملی» (MFA) یا «رمز یک‌بار مصرف» (OTP) شود.
  • اکثر مرورگرها و سیستم عامل‌های مطرح پشتیبانی از Passkey را شروع کرده‌اند. 
  • پس‌کی تقریبا غیر قابل هک است. کلیدها با رمزنگاری نامتقارن ساخته می‌شوند و از شما در برابر لو رفتن اطلاعات بسیار خصوصی محافظت می‌کنند.
  • از بزرگ‌ترین معایب پس‌کی می‌توان به فراگیری کمتر آن نسبت به دیگر روش‌های احراز هویت، وابستگی آن به دستگاه‌های هوشمند (موبایل یا لپ‌تاپ شما) و دشواری در بازگردانی اطلاعات (زمانی که موبایل‌تان را گم کرده‌اید) اشاره کرد. اما تمام این معایب در گذر زمان برطرف خواهند شد. 
  • حتی بعد از ساخت پس‌کی، همچنان می‌توانید با نام کاربری و رمز خود وارد سرویس‌های مختلف شوید، هرچند که آنقدرها منطقی یا ایمن نیست. 

پست‌های مرتبط

مطالب پرنگاه

نوشدارو NooshDaroo
نوشدارو NooshDaroo
ابزارها و افزونه‌ها

معرفی Brave: مرورگری برای کاهش ردپای دیجیتال

اکثر افراد بعد از خرید لپ‌تاپ و موبایل، سراغ همان مرورگری می‌روند که به‌صورت پیش‌فرض روی دستگاه نصب شده و به‌دنبال پیدا کردن بهترین مرورگر

زمان مطالعه ۳ دقیقه
نوشدارو NooshDaroo
نوشدارو NooshDaroo
نوشدارو NooshDaroo

ویدیوهای نوشدارو

ویدیو های بیشتر

حکایت‌های کوتاه، حقیقت‌های بزرگ

در این بخش، به بررسی دقیق و جامع نشانه‌ها و رفتارهایی می‌پردازیم که ممکن است به کلاهبرداری آنلاین مرتبط باشند. شناخت این موارد می‌تواند به شما کمک کند.

ویدیو های بیشتر
ویدیو های بیشتر
×

منابع

  1. FIDO Alliance
    https://fidoalliance.org/passkeys/
  2. DashLane
    https://www.dashlane.com/blog/what-is-a-passkey-and-how-does-it-work
  3. Google Support
    https://support.google.com/android/answer/14124480?hl=en
  4. TechTarget
    https://www.techtarget.com/whatis/feature/Passkey-vs-password-What-is-the-difference