بسته شواهد: چگونه «گذرواژههای عبور» (Passkeys) به طور قابل اندازهگیری حملات فیشینگ را ریشهکن میکنند
سه سال پس از عرضه «گذرواژههای عبور» (Passkeys) توسط پلتفرمهای بزرگ فناوری، دادههای جدید نشاندهنده کاهش چشمگیر حملات موفق فیشینگ و «تزریق اعتبار» (Credential Stuffing) است. در اینجا شواهدی ارائه شده است که نشان میدهد چگونه احراز هویت رمزنگاریشده سرانجام در حال حل قدیمیترین نقص امنیتی اینترنت است.
به قلم تیم سردبیری کوهستان
این خبر را به اشتراک بگذارید
- ارائهدهندگان پلتفرم
- غولهای فناوری Passkeyها را راهحل نهایی برای اصطکاک امنیتی مصرفکننده میدانند.
- محققان امنیتی
- دانشگاهیان رمزنگاری را تأیید میکنند اما در مورد نقصهای پیادهسازی و بازیابی حساب هشدار میدهند.
- مدافعان فدرال
- آژانسهای دولتی Passkeyها را برای جلوگیری از نفوذ دولت-ملتها و ایمنسازی زیرساختهای حیاتی در اولویت قرار میدهند.
زوایای پوششدادهنشده
- · مدیران فناوری اطلاعات کسب و کارهای کوچک
- · کاربران مسن یا کمتجربه در فناوری که با بازیابی حساب دست و پنجه نرم میکنند
چرا مهم است
برای دههها، خطای انسانی در مدیریت رمز عبور، ریشه اصلی اکثر جرایم سایبری و سرقت هویت بوده است. موفقیت قابل اندازهگیری Passkeyها به این معنی است که کاربران عادی سرانجام به طور پیشفرض محافظت میشوند و بار امنیت را از حافظه انسان به سختافزار دستگاه منتقل میکند.
نکات کلیدی
- Passkeyها از رمزنگاری کلید عمومی استفاده میکنند تا اطمینان حاصل شود که اعتبارات هرگز دستگاه کاربر را ترک نمیکنند.
- دادههای پلتفرمهای بزرگ نشاندهنده کاهش ۷۵ درصدی در تصاحب موفقیتآمیز حساب کاربری است.
- آژانسهای فدرال به سرعت در حال پذیرش Passkeyها برای خنثی کردن فیشینگ با حمایت دولتی هستند.
- همگامسازی بین پلتفرمی و بازیابی حسابهای قدیمی همچنان نقاط اصطکاک اصلی باقی ماندهاند.
برای اولین بار در تاریخ اینترنت تجاری، رایجترین مسیر حملات سایبری در حال کاهش شدید و قابل اندازهگیری است. رمزهای عبور، که مدتها پاشنه آشیل امنیت دیجیتال بودند، به طور فعال با Passkeyها جایگزین میشوند—توکنهای رمزنگاریشدهای که به دستگاه کاربر گره خورده و از طریق بیومتریک باز میشوند.[6]
هنگامی که شرکتهای Apple، Google و Microsoft به استاندارد Passkey ائتلاف FIDO متعهد شدند، کارشناسان امنیت سایبری با احتیاط خوشبین بودند اما نگران موانع پذیرش توسط مصرفکنندگان بودند. اکنون، در اواسط سال ۲۰۲۶، دادههای تجربی به دست آمده و نتایج خیرهکننده است.[1]
این بسته شواهد، دادههای اصلی ارائهدهندگان پلتفرم، آژانسهای فدرال و محققان دانشگاهی را بررسی میکند تا یک ادعای اصلی را ارزیابی کند: آیا Passkeyها واقعاً فیشینگ را از بین میبرند؟ اجماع به یک بله قاطع اشاره دارد، اگرچه شکافهای حیاتی در قابلیت انتقال بین پلتفرمی و بازیابی حساب همچنان باقی است.[6]
قویترین شواهد برای اثربخشی Passkeyها از خود معماری آن ناشی میشود. برخلاف رمزهای عبور که اسرار مشترکی هستند که به سرور منتقل میشوند، Passkeyها از رمزنگاری کلید عمومی استفاده میکنند تا فیشینگ سنتی را از نظر ریاضی خنثی سازند.[4]
هنگامی که کاربر وارد سیستم میشود، سرور یک چالش منحصر به فرد ارسال میکند. دستگاه این چالش را با استفاده از یک کلید خصوصی که در بخش امن (Secure Enclave) آن ذخیره شده و توسط اثر انگشت یا تشخیص چهره باز میشود، امضا میکند. از آنجایی که کلید خصوصی هرگز دستگاه را ترک نمیکند، یک صفحه ورود جعلی نمیتواند آن را به سرقت ببرد.[4]
جدیدترین دادههای تلهمتری امنیتی Google جامعترین تأیید این سازوکار را ارائه میدهد. طبق گزارش تهدید سال ۲۰۲۶ آنها، حسابهایی که منحصراً به Passkeyها متکی بودند، در مقایسه با حسابهایی که از رمز عبور و احراز هویت دو مرحلهای مبتنی بر پیامک استفاده میکردند، ۷۵ درصد کاهش در تصاحب موفقیتآمیز را تجربه کردند.[2]
Microsoft این روند را در محیطهای سازمانی خود تأیید میکند. تلهمتری آنها نشان میدهد که «تزریق اعتبار» (Credential Stuffing) — حملات خودکاری که رمزهای عبور سرقت شده را در میلیونها حساب آزمایش میکنند — برای سازمانهایی که احراز هویت قدیمی را به طور کامل منسوخ کردهاند، تقریباً به صفر رسیده است.[7]
از لحاظ تاریخی، ارتقاءهای امنیتی در صورتی که اصطکاک کاربری ایجاد کنند، شکست میخورند. Passkeyها طوری طراحی شدهاند که عمل آشنای باز کردن قفل تلفن را تقلید کنند، که از لحاظ نظری اصطکاک را کاهش داده و پذیرش مصرفکننده را از آستانه بحرانی عبور میدهد.[1]
دادههای اکوسیستم Apple موفقیت این رویکرد را نشان میدهد. این شرکت گزارش میدهد که بیش از ۹۰ درصد از حسابهای فعال iCloud اکنون حداقل یک Passkey تولید کردهاند، در حالی که این رقم دو سال پیش تنها ۳۵ درصد بود.[5]
این شرکت گزارش میدهد که بیش از ۹۰ درصد از حسابهای فعال iCloud اکنون حداقل یک Passkey تولید کردهاند، در حالی که این رقم دو سال پیش تنها ۳۵ درصد بود.
مطالعات مستقل قابلیت استفاده ائتلاف FIDO این ادعاهای فروشندگان را تأیید میکند. تجزیه و تحلیل تجربی سال ۲۰۲۶ آنها نشان داد که ورود با Passkey به طور متوسط ۴۰ درصد سریعتر از وارد کردن رمز عبور است و منجر به ۶۰ درصد نرخ موفقیت بالاتر در ورود میشود، زیرا کاربران دیگر با اعتبارات فراموش شده یا الزامات رمز عبور پیچیده دست و پنجه نرم نمیکنند.[1]
این تغییر محدود به پلتفرمهای مصرفکننده نیست. دستورات فدرال استقرار سازمانی را تسریع میکنند، به طوری که آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) به شدت برای احراز هویت چندعاملی (MFA) مقاوم در برابر فیشینگ در سراسر زیرساختهای حیاتی فشار میآورد.[3]
آخرین ممیزی انطباق CISA نشان میدهد که ۸۵ درصد از آژانسهای غیرنظامی فدرال اکنون احراز هویت مبتنی بر Passkey را برای دسترسیهای ممتاز پیادهسازی کردهاند، اقدامی که این آژانس آن را عامل خنثیسازی چندین تلاش نفوذ با حمایت دولتی در اوایل سال جاری میداند.[3]
با وجود موفقیت چشمگیر در جلوگیری از فیشینگ، شواهد مربوط به قابلیت استفاده بین اکوسیستمها همچنان متفاوت است و یک مشکل قابل توجه در قابلیت انتقال را برجسته میکند.[6]
محققان دانشگاهی اشاره میکنند که در حالی که همگامسازی Passkeyها در یک اکوسیستم واحد مانند iCloud Keychain اپل یا Google Password Manager بدون مشکل است، انتقال یک Passkey از iPhone به یک رایانه شخصی Windows همچنان اصطکاک کاربری قابل توجهی ایجاد میکند.[4]
ائتلاف FIDO پروتکل تبادل اعتبار (Credential Exchange Protocol) را برای حل این مشکل معرفی کرد، اما پیادهسازی آن در سیستمعاملهای اصلی همچنان پراکنده است. تا زمانی که این پروتکل به طور جهانی پذیرفته نشود، کاربران اغلب خود را محدود به اکوسیستم سختافزاری اصلی خود مییابند.[1]
دومین آسیبپذیری عمده نه در خود Passkey، بلکه در نحوه بازیابی حسابها در صورت گم شدن یا از بین رفتن دستگاه نهفته است.[4]
اگر کاربری تلفن خود را گم کند و Passkeyهای خود را با ارائهدهنده ابری همگامسازی نکرده باشد، خدمات اغلب به حلقههای تأیید ایمیل یا پیامک بازمیگردند. مهاجمان به طور فزایندهای این روشهای بازیابی قدیمی را هدف قرار میدهند و Passkey را به طور کامل دور میزنند.[2]
برای مقابله با این امر، پلتفرمها در حال آزمایش بازیابی اجتماعی و کلیدهای امنیتی سختافزاری به عنوان پشتیبانهای ثانویه هستند، اما این راهحلها هنوز به پذیرش بدون اصطکاکی که در مورد Passkeyهای اصلی دیده میشود، دست نیافتهاند.[7]
دادهها در مورد هدف اصلی صریح هستند: Passkeyها به طور سیستماتیک در حال برچیدن اقتصاد فیشینگ هستند. با حذف رمز مشترک از فرآیند احراز هویت، صنعت فناوری به طور مؤثری آسیبپذیری انسانی را که هکرها برای دههها از آن سوءاستفاده میکردند، ترمیم کرده است.[6]
اگرچه این انتقال چندین سال دیگر طول میکشد تا به فراگیری مطلق برسد، اما عصر رمز عبور از نظر ریاضی در حال پایان یافتن است و یکی از مهمترین پیروزیهای دفاعی در تاریخ امنیت سایبری را رقم میزند.[3]
روند رویداد
2022
ائتلاف FIDO، Apple، Google و Microsoft پشتیبانی گسترده از Passkeyها را اعلام میکنند.
2023
پلتفرمهای بزرگ مصرفکننده شروع به عرضه Passkeyها به عنوان گزینههای پیشفرض ورود میکنند.
2024
CISA احراز هویت چندعاملی (MFA) مقاوم در برابر فیشینگ را برای آژانسهای فدرال الزامی میکند.
2026
تلهمتری کاهش چشمگیر در تزریق اعتبار و نرخ موفقیت فیشینگ را تأیید میکند.
بررسی عمیق دیدگاهها
ارائهدهندگان پلتفرم
غولهای فناوری Passkeyها را راهحل نهایی برای اصطکاک امنیتی مصرفکننده میدانند.
Apple، Google و Microsoft استدلال میکنند که انتقال بار امنیتی از حافظه انسان به سختافزار دستگاه، تنها راه مقیاسپذیر برای محافظت از میلیاردها کاربر است. تلهمتری آنها نشان میدهد که وقتی کاربران به جای فیلد رمز عبور، با یک اعلان بیومتریک مواجه میشوند، نرخ موفقیت ورود به سیستم افزایش مییابد در حالی که تیکتهای پشتیبانی برای بازیابی حساب به شدت کاهش مییابد.
محققان امنیتی
دانشگاهیان رمزنگاری را تأیید میکنند اما در مورد نقصهای پیادهسازی هشدار میدهند.
در حالی که محققان موافقند که پروتکل اصلی FIDO2 از نظر ریاضی سالم است، اشاره میکنند که این سیستم تنها به اندازه ضعیفترین روش جایگزین خود قوی است. مقالات دانشگاهی برجسته میکنند که تا زمانی که حلقههای بازیابی قدیمی مبتنی بر پیامک و ایمیل به طور کامل منسوخ نشوند، مهاجمان پیچیده به سادگی به بهرهبرداری از آن مسیرهای ثانویه روی خواهند آورد تا حمله به خود Passkey.
مدافعان فدرال
آژانسهای دولتی Passkeyها را برای جلوگیری از نفوذ دولت-ملتها در اولویت قرار میدهند.
برای CISA و سایر نهادهای فدرال، Passkeyها کمتر در مورد راحتی مصرفکننده و بیشتر در مورد امنیت ملی هستند. فشار برای MFA مقاوم در برابر فیشینگ ناشی از این واقعیت است که بازیگران با حمایت دولتی به طور معمول احراز هویت دو مرحلهای سنتی را با استفاده از حملات پروکسی «مهاجم در میانه» (AiTM) دور میزنند، تکنیکی که Passkeyها آن را منسوخ میکنند.
آنچه نمیدانیم
- پروتکل تبادل اعتبار ائتلاف FIDO با چه سرعتی همگامسازی بین پلتفرمی را یکپارچه خواهد کرد.
- آیا مهاجمان با موفقیت به بهرهبرداری از سازوکارهای بازیابی حساب در مقیاس بزرگ روی خواهند آورد یا خیر.
اصطلاحات کلیدی
- Passkey (گذرواژه عبور)
- یک اعتبار دیجیتال گرهخورده به دستگاه کاربر که به جای رمز عبور از رمزنگاری کلید عمومی استفاده میکند.
- Phishing-Resistant MFA (احراز هویت چندعاملی مقاوم در برابر فیشینگ)
- احراز هویت چندعاملی که نمیتواند توسط یک صفحه ورود جعلی رهگیری یا جعل شود.
- Credential Stuffing (تزریق اعتبار)
- یک حمله خودکار که در آن رمزهای عبور سرقت شده در هزاران وبسایت مختلف آزمایش میشوند.
- Public-Key Cryptography (رمزنگاری کلید عمومی)
- یک روش امنیتی که از دو کلید استفاده میکند: یک کلید عمومی برای قفل کردن دادهها، و یک کلید خصوصی روی دستگاه برای باز کردن قفل آن.
پرسشهای متداول
اگر تلفنم را گم کنم چه اتفاقی میافتد؟
اگر Passkeyهای شما با یک حساب ابری (مانند iCloud یا Google Password Manager) همگامسازی شده باشند، به طور خودکار روی دستگاه جدید شما بازیابی میشوند. در غیر این صورت، باید از روش بازیابی جایگزین ارائه شده توسط سرویس استفاده کنید.
آیا یک Passkey میتواند در یک نشت داده به سرقت برود؟
خیر. کلید خصوصی هرگز دستگاه شما را ترک نمیکند، بنابراین نقض امنیتی سرور نمیتواند اعتبارات شما را در معرض دید هکرها قرار دهد.
آیا هنوز به مدیر رمز عبور نیاز دارم؟
بله، فعلاً. مدیران رمز عبور در حال تطبیق خود برای ذخیره و همگامسازی Passkeyها، پر کردن شکاف بین سیستمعاملهای مختلف و مدیریت رمزهای عبور قدیمی هستند.
منابع
[1]FIDO Allianceمحققان امنیتی
2026 State of Passwordless Authentication Report
مطالعه در FIDO Alliance →[2]Google Security Blogارائهدهندگان پلتفرم
Two Years of Passkeys: A 75% Drop in Account Takeovers
مطالعه در Google Security Blog →[3]Cybersecurity and Infrastructure Security Agencyمدافعان فدرال
Shifting the Balance: The Federal Push for Phishing-Resistant MFA
مطالعه در Cybersecurity and Infrastructure Security Agency →[4]IEEE Security & Privacyمحققان امنیتی
Empirical Analysis of FIDO2 Adoption and Usability in Consumer Ecosystems
مطالعه در IEEE Security & Privacy →[5]Apple Newsroomارائهدهندگان پلتفرم
Apple Ecosystem Reaches 90% Passkey Adoption
مطالعه در Apple Newsroom →[6]Factlen Editorial Team
Synthesis by Factlen editorial team
مطالعه در Factlen Editorial Team →[7]Microsoft Security Insiderارائهدهندگان پلتفرم
The End of the Credential Stuffing Era
مطالعه در Microsoft Security Insider →
هر زاویه. هر روز.
دریافت فناوری اخبار همراه با پوشش کامل منابع و تحلیل دیدگاهها، مستقیم در صندوق ورودی شما.










