پژوهش کوهستاناحراز هویتبسته شواهدJul 2, 2026, 8:28 PM· 5 دقیقه مطالعه· #3 از 3 در فناوری

بسته شواهد: چگونه «گذرواژه‌های عبور» (Passkeys) به طور قابل اندازه‌گیری حملات فیشینگ را ریشه‌کن می‌کنند

سه سال پس از عرضه «گذرواژه‌های عبور» (Passkeys) توسط پلتفرم‌های بزرگ فناوری، داده‌های جدید نشان‌دهنده کاهش چشمگیر حملات موفق فیشینگ و «تزریق اعتبار» (Credential Stuffing) است. در اینجا شواهدی ارائه شده است که نشان می‌دهد چگونه احراز هویت رمزنگاری‌شده سرانجام در حال حل قدیمی‌ترین نقص امنیتی اینترنت است.

به قلم تیم سردبیری کوهستان

ارائه‌دهندگان پلتفرم 40%محققان امنیتی 30%مدافعان فدرال 30%
ارائه‌دهندگان پلتفرم
غول‌های فناوری Passkeyها را راه‌حل نهایی برای اصطکاک امنیتی مصرف‌کننده می‌دانند.
محققان امنیتی
دانشگاهیان رمزنگاری را تأیید می‌کنند اما در مورد نقص‌های پیاده‌سازی و بازیابی حساب هشدار می‌دهند.
مدافعان فدرال
آژانس‌های دولتی Passkeyها را برای جلوگیری از نفوذ دولت-ملت‌ها و ایمن‌سازی زیرساخت‌های حیاتی در اولویت قرار می‌دهند.

زوایای پوشش‌داده‌نشده

  • · مدیران فناوری اطلاعات کسب و کارهای کوچک
  • · کاربران مسن یا کم‌تجربه در فناوری که با بازیابی حساب دست و پنجه نرم می‌کنند

چرا مهم است

برای دهه‌ها، خطای انسانی در مدیریت رمز عبور، ریشه اصلی اکثر جرایم سایبری و سرقت هویت بوده است. موفقیت قابل اندازه‌گیری Passkeyها به این معنی است که کاربران عادی سرانجام به طور پیش‌فرض محافظت می‌شوند و بار امنیت را از حافظه انسان به سخت‌افزار دستگاه منتقل می‌کند.

نکات کلیدی

  • Passkeyها از رمزنگاری کلید عمومی استفاده می‌کنند تا اطمینان حاصل شود که اعتبارات هرگز دستگاه کاربر را ترک نمی‌کنند.
  • داده‌های پلتفرم‌های بزرگ نشان‌دهنده کاهش ۷۵ درصدی در تصاحب موفقیت‌آمیز حساب کاربری است.
  • آژانس‌های فدرال به سرعت در حال پذیرش Passkeyها برای خنثی کردن فیشینگ با حمایت دولتی هستند.
  • همگام‌سازی بین پلتفرمی و بازیابی حساب‌های قدیمی همچنان نقاط اصطکاک اصلی باقی مانده‌اند.
75%
کاهش تصاحب حساب کاربری (گوگل)
90%
پذیرش Passkey در iCloud (اپل)
40%
زمان ورود سریع‌تر نسبت به رمزهای عبور

برای اولین بار در تاریخ اینترنت تجاری، رایج‌ترین مسیر حملات سایبری در حال کاهش شدید و قابل اندازه‌گیری است. رمزهای عبور، که مدت‌ها پاشنه آشیل امنیت دیجیتال بودند، به طور فعال با Passkeyها جایگزین می‌شوند—توکن‌های رمزنگاری‌شده‌ای که به دستگاه کاربر گره خورده و از طریق بیومتریک باز می‌شوند.[6]

هنگامی که شرکت‌های Apple، Google و Microsoft به استاندارد Passkey ائتلاف FIDO متعهد شدند، کارشناسان امنیت سایبری با احتیاط خوش‌بین بودند اما نگران موانع پذیرش توسط مصرف‌کنندگان بودند. اکنون، در اواسط سال ۲۰۲۶، داده‌های تجربی به دست آمده و نتایج خیره‌کننده است.[1]

این بسته شواهد، داده‌های اصلی ارائه‌دهندگان پلتفرم، آژانس‌های فدرال و محققان دانشگاهی را بررسی می‌کند تا یک ادعای اصلی را ارزیابی کند: آیا Passkeyها واقعاً فیشینگ را از بین می‌برند؟ اجماع به یک بله قاطع اشاره دارد، اگرچه شکاف‌های حیاتی در قابلیت انتقال بین پلتفرمی و بازیابی حساب همچنان باقی است.[6]

قوی‌ترین شواهد برای اثربخشی Passkeyها از خود معماری آن ناشی می‌شود. برخلاف رمزهای عبور که اسرار مشترکی هستند که به سرور منتقل می‌شوند، Passkeyها از رمزنگاری کلید عمومی استفاده می‌کنند تا فیشینگ سنتی را از نظر ریاضی خنثی سازند.[4]

هنگامی که کاربر وارد سیستم می‌شود، سرور یک چالش منحصر به فرد ارسال می‌کند. دستگاه این چالش را با استفاده از یک کلید خصوصی که در بخش امن (Secure Enclave) آن ذخیره شده و توسط اثر انگشت یا تشخیص چهره باز می‌شود، امضا می‌کند. از آنجایی که کلید خصوصی هرگز دستگاه را ترک نمی‌کند، یک صفحه ورود جعلی نمی‌تواند آن را به سرقت ببرد.[4]

جدیدترین داده‌های تله‌متری امنیتی Google جامع‌ترین تأیید این سازوکار را ارائه می‌دهد. طبق گزارش تهدید سال ۲۰۲۶ آن‌ها، حساب‌هایی که منحصراً به Passkeyها متکی بودند، در مقایسه با حساب‌هایی که از رمز عبور و احراز هویت دو مرحله‌ای مبتنی بر پیامک استفاده می‌کردند، ۷۵ درصد کاهش در تصاحب موفقیت‌آمیز را تجربه کردند.[2]

Microsoft این روند را در محیط‌های سازمانی خود تأیید می‌کند. تله‌متری آن‌ها نشان می‌دهد که «تزریق اعتبار» (Credential Stuffing) — حملات خودکاری که رمزهای عبور سرقت شده را در میلیون‌ها حساب آزمایش می‌کنند — برای سازمان‌هایی که احراز هویت قدیمی را به طور کامل منسوخ کرده‌اند، تقریباً به صفر رسیده است.[7]

از لحاظ تاریخی، ارتقاءهای امنیتی در صورتی که اصطکاک کاربری ایجاد کنند، شکست می‌خورند. Passkeyها طوری طراحی شده‌اند که عمل آشنای باز کردن قفل تلفن را تقلید کنند، که از لحاظ نظری اصطکاک را کاهش داده و پذیرش مصرف‌کننده را از آستانه بحرانی عبور می‌دهد.[1]

داده‌های اکوسیستم Apple موفقیت این رویکرد را نشان می‌دهد. این شرکت گزارش می‌دهد که بیش از ۹۰ درصد از حساب‌های فعال iCloud اکنون حداقل یک Passkey تولید کرده‌اند، در حالی که این رقم دو سال پیش تنها ۳۵ درصد بود.[5]

این شرکت گزارش می‌دهد که بیش از ۹۰ درصد از حساب‌های فعال iCloud اکنون حداقل یک Passkey تولید کرده‌اند، در حالی که این رقم دو سال پیش تنها ۳۵ درصد بود.

مطالعات مستقل قابلیت استفاده ائتلاف FIDO این ادعاهای فروشندگان را تأیید می‌کند. تجزیه و تحلیل تجربی سال ۲۰۲۶ آن‌ها نشان داد که ورود با Passkey به طور متوسط ۴۰ درصد سریع‌تر از وارد کردن رمز عبور است و منجر به ۶۰ درصد نرخ موفقیت بالاتر در ورود می‌شود، زیرا کاربران دیگر با اعتبارات فراموش شده یا الزامات رمز عبور پیچیده دست و پنجه نرم نمی‌کنند.[1]

این تغییر محدود به پلتفرم‌های مصرف‌کننده نیست. دستورات فدرال استقرار سازمانی را تسریع می‌کنند، به طوری که آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) به شدت برای احراز هویت چندعاملی (MFA) مقاوم در برابر فیشینگ در سراسر زیرساخت‌های حیاتی فشار می‌آورد.[3]

آخرین ممیزی انطباق CISA نشان می‌دهد که ۸۵ درصد از آژانس‌های غیرنظامی فدرال اکنون احراز هویت مبتنی بر Passkey را برای دسترسی‌های ممتاز پیاده‌سازی کرده‌اند، اقدامی که این آژانس آن را عامل خنثی‌سازی چندین تلاش نفوذ با حمایت دولتی در اوایل سال جاری می‌داند.[3]

با وجود موفقیت چشمگیر در جلوگیری از فیشینگ، شواهد مربوط به قابلیت استفاده بین اکوسیستم‌ها همچنان متفاوت است و یک مشکل قابل توجه در قابلیت انتقال را برجسته می‌کند.[6]

محققان دانشگاهی اشاره می‌کنند که در حالی که همگام‌سازی Passkeyها در یک اکوسیستم واحد مانند iCloud Keychain اپل یا Google Password Manager بدون مشکل است، انتقال یک Passkey از iPhone به یک رایانه شخصی Windows همچنان اصطکاک کاربری قابل توجهی ایجاد می‌کند.[4]

ائتلاف FIDO پروتکل تبادل اعتبار (Credential Exchange Protocol) را برای حل این مشکل معرفی کرد، اما پیاده‌سازی آن در سیستم‌عامل‌های اصلی همچنان پراکنده است. تا زمانی که این پروتکل به طور جهانی پذیرفته نشود، کاربران اغلب خود را محدود به اکوسیستم سخت‌افزاری اصلی خود می‌یابند.[1]

دومین آسیب‌پذیری عمده نه در خود Passkey، بلکه در نحوه بازیابی حساب‌ها در صورت گم شدن یا از بین رفتن دستگاه نهفته است.[4]

اگر کاربری تلفن خود را گم کند و Passkeyهای خود را با ارائه‌دهنده ابری همگام‌سازی نکرده باشد، خدمات اغلب به حلقه‌های تأیید ایمیل یا پیامک بازمی‌گردند. مهاجمان به طور فزاینده‌ای این روش‌های بازیابی قدیمی را هدف قرار می‌دهند و Passkey را به طور کامل دور می‌زنند.[2]

برای مقابله با این امر، پلتفرم‌ها در حال آزمایش بازیابی اجتماعی و کلیدهای امنیتی سخت‌افزاری به عنوان پشتیبان‌های ثانویه هستند، اما این راه‌حل‌ها هنوز به پذیرش بدون اصطکاکی که در مورد Passkeyهای اصلی دیده می‌شود، دست نیافته‌اند.[7]

داده‌ها در مورد هدف اصلی صریح هستند: Passkeyها به طور سیستماتیک در حال برچیدن اقتصاد فیشینگ هستند. با حذف رمز مشترک از فرآیند احراز هویت، صنعت فناوری به طور مؤثری آسیب‌پذیری انسانی را که هکرها برای دهه‌ها از آن سوءاستفاده می‌کردند، ترمیم کرده است.[6]

اگرچه این انتقال چندین سال دیگر طول می‌کشد تا به فراگیری مطلق برسد، اما عصر رمز عبور از نظر ریاضی در حال پایان یافتن است و یکی از مهم‌ترین پیروزی‌های دفاعی در تاریخ امنیت سایبری را رقم می‌زند.[3]

روند رویداد

  1. 2022

    ائتلاف FIDO، Apple، Google و Microsoft پشتیبانی گسترده از Passkeyها را اعلام می‌کنند.

  2. 2023

    پلتفرم‌های بزرگ مصرف‌کننده شروع به عرضه Passkeyها به عنوان گزینه‌های پیش‌فرض ورود می‌کنند.

  3. 2024

    CISA احراز هویت چندعاملی (MFA) مقاوم در برابر فیشینگ را برای آژانس‌های فدرال الزامی می‌کند.

  4. 2026

    تله‌متری کاهش چشمگیر در تزریق اعتبار و نرخ موفقیت فیشینگ را تأیید می‌کند.

بررسی عمیق دیدگاه‌ها

ارائه‌دهندگان پلتفرم

غول‌های فناوری Passkeyها را راه‌حل نهایی برای اصطکاک امنیتی مصرف‌کننده می‌دانند.

Apple، Google و Microsoft استدلال می‌کنند که انتقال بار امنیتی از حافظه انسان به سخت‌افزار دستگاه، تنها راه مقیاس‌پذیر برای محافظت از میلیاردها کاربر است. تله‌متری آن‌ها نشان می‌دهد که وقتی کاربران به جای فیلد رمز عبور، با یک اعلان بیومتریک مواجه می‌شوند، نرخ موفقیت ورود به سیستم افزایش می‌یابد در حالی که تیکت‌های پشتیبانی برای بازیابی حساب به شدت کاهش می‌یابد.

محققان امنیتی

دانشگاهیان رمزنگاری را تأیید می‌کنند اما در مورد نقص‌های پیاده‌سازی هشدار می‌دهند.

در حالی که محققان موافقند که پروتکل اصلی FIDO2 از نظر ریاضی سالم است، اشاره می‌کنند که این سیستم تنها به اندازه ضعیف‌ترین روش جایگزین خود قوی است. مقالات دانشگاهی برجسته می‌کنند که تا زمانی که حلقه‌های بازیابی قدیمی مبتنی بر پیامک و ایمیل به طور کامل منسوخ نشوند، مهاجمان پیچیده به سادگی به بهره‌برداری از آن مسیرهای ثانویه روی خواهند آورد تا حمله به خود Passkey.

مدافعان فدرال

آژانس‌های دولتی Passkeyها را برای جلوگیری از نفوذ دولت-ملت‌ها در اولویت قرار می‌دهند.

برای CISA و سایر نهادهای فدرال، Passkeyها کمتر در مورد راحتی مصرف‌کننده و بیشتر در مورد امنیت ملی هستند. فشار برای MFA مقاوم در برابر فیشینگ ناشی از این واقعیت است که بازیگران با حمایت دولتی به طور معمول احراز هویت دو مرحله‌ای سنتی را با استفاده از حملات پروکسی «مهاجم در میانه» (AiTM) دور می‌زنند، تکنیکی که Passkeyها آن را منسوخ می‌کنند.

آنچه نمی‌دانیم

  • پروتکل تبادل اعتبار ائتلاف FIDO با چه سرعتی همگام‌سازی بین پلتفرمی را یکپارچه خواهد کرد.
  • آیا مهاجمان با موفقیت به بهره‌برداری از سازوکارهای بازیابی حساب در مقیاس بزرگ روی خواهند آورد یا خیر.

اصطلاحات کلیدی

Passkey (گذرواژه عبور)
یک اعتبار دیجیتال گره‌خورده به دستگاه کاربر که به جای رمز عبور از رمزنگاری کلید عمومی استفاده می‌کند.
Phishing-Resistant MFA (احراز هویت چندعاملی مقاوم در برابر فیشینگ)
احراز هویت چندعاملی که نمی‌تواند توسط یک صفحه ورود جعلی رهگیری یا جعل شود.
Credential Stuffing (تزریق اعتبار)
یک حمله خودکار که در آن رمزهای عبور سرقت شده در هزاران وب‌سایت مختلف آزمایش می‌شوند.
Public-Key Cryptography (رمزنگاری کلید عمومی)
یک روش امنیتی که از دو کلید استفاده می‌کند: یک کلید عمومی برای قفل کردن داده‌ها، و یک کلید خصوصی روی دستگاه برای باز کردن قفل آن.

پرسش‌های متداول

اگر تلفنم را گم کنم چه اتفاقی می‌افتد؟

اگر Passkeyهای شما با یک حساب ابری (مانند iCloud یا Google Password Manager) همگام‌سازی شده باشند، به طور خودکار روی دستگاه جدید شما بازیابی می‌شوند. در غیر این صورت، باید از روش بازیابی جایگزین ارائه شده توسط سرویس استفاده کنید.

آیا یک Passkey می‌تواند در یک نشت داده به سرقت برود؟

خیر. کلید خصوصی هرگز دستگاه شما را ترک نمی‌کند، بنابراین نقض امنیتی سرور نمی‌تواند اعتبارات شما را در معرض دید هکرها قرار دهد.

آیا هنوز به مدیر رمز عبور نیاز دارم؟

بله، فعلاً. مدیران رمز عبور در حال تطبیق خود برای ذخیره و همگام‌سازی Passkeyها، پر کردن شکاف بین سیستم‌عامل‌های مختلف و مدیریت رمزهای عبور قدیمی هستند.

منابع

پوشش منابع

7 منبع

3 دیدگاه شناسایی‌شده

ارائه‌دهندگان پلتفرم 40%محققان امنیتی 30%مدافعان فدرال 30%
  1. [1]FIDO Allianceمحققان امنیتی

    2026 State of Passwordless Authentication Report

    مطالعه در FIDO Alliance
  2. [2]Google Security Blogارائه‌دهندگان پلتفرم

    Two Years of Passkeys: A 75% Drop in Account Takeovers

    مطالعه در Google Security Blog
  3. [3]Cybersecurity and Infrastructure Security Agencyمدافعان فدرال

    Shifting the Balance: The Federal Push for Phishing-Resistant MFA

    مطالعه در Cybersecurity and Infrastructure Security Agency
  4. [4]IEEE Security & Privacyمحققان امنیتی

    Empirical Analysis of FIDO2 Adoption and Usability in Consumer Ecosystems

    مطالعه در IEEE Security & Privacy
  5. [5]Apple Newsroomارائه‌دهندگان پلتفرم

    Apple Ecosystem Reaches 90% Passkey Adoption

    مطالعه در Apple Newsroom
  6. [6]Factlen Editorial Team

    Synthesis by Factlen editorial team

    مطالعه در Factlen Editorial Team
  7. [7]Microsoft Security Insiderارائه‌دهندگان پلتفرم

    The End of the Credential Stuffing Era

    مطالعه در Microsoft Security Insider
همیشه در جریان باشید

هر زاویه. هر روز.

دریافت فناوری اخبار همراه با پوشش کامل منابع و تحلیل دیدگاه‌ها، مستقیم در صندوق ورودی شما.