کلیدهای عبور (Passkeys): آینده احراز اصالت برخط
کلید عبور (Passkeys) یک روش احراز اصالت بینیاز از گذرواژه است که توسط انجمن فایدو (FIDO Alliance) و کنسرسیوم وب جهانی (W3C) پشتیبانی میشود. کلیدهای عبور برای حذف مشکلات گذرواژهها و ایمنتر کردن و آسان نمودن انجام فرآیند احراز هویت ایجاد شدهاند. به خاطر سپردن گذرواژهها سخت است، مخصوصا اگر پیچیده انتخاب شده باشند. علاوه بر این، افراد میتوانند شما را فریب دهند تا گذرواژههای خودتان را به آنها ارائه دهید، یا حتی میتوانند آنها را سرقت نمایند. از این رو به جای گذرواژه میتوان از کلید عبور (Passkeys) که یک کلید دیجیتال مخصوص است که در دستگاه کاربر ذخیره میشود استفاده نمود. این کلیدها به عاملی که منحصرا نشان دهنده کاربر است (مانند اثر انگشت)، مرتبط میشوند تا به صورت ایمنتر و راحتتر از گذرواژهها استفاده شوند.
گروهی از شرکتها و سازمانها که عضو انجمن FIDO و W3C هستند، ایده کلید عبور را مطرح کردند و برای ایجاد آن با هم مشارکت نمودند. اپل (Apple) یکی از اولین شرکتهایی بود که برای استفاده از کلید عبور تلاش نمود. آنها در ژوئن سال 2022 اعلام کردند که شروع به استفاده از کلیدهای عبور در دستگاههای خود خواهند کرد. با این حال کلیدهای عبور فقط مختص اپل نیست، شرکتهایی مانند مایکروسافت و گوگل نیز شروع به استفاده از آنها کردهاند و به مرور شرکتهای بیشتری نیز مطمئنا به آن میپیوندند.
کلیدهای عبور چگونه کار میکنند؟
کلیدهای عبور وظیفه جایگزین کردن گذرواژهها با روشی بهتر و سادهتر برای ورود به انواع سامانهها و برنامههای کاربردی را برعهده دارند. نحوه کار آنها در حالت معمول بدین صورت است:
1- راهاندازی و تنظیم: برای ایجاد کلید عبور (Passkeys)، روش خاصی را برای ورود به سیستم انتخاب میکنید (مانند اثر انگشت، تشخیص چهره، پین یا کشیدن یک الگو). این کار را زمانی که برای اولین بار در یک سامانه یا برنامه کاربردی ثبتنام میکنید، انجام میدهید.
2- ذخیره: کلید عبور شما در دستگاه شما مانند تلفن همراه یا رایانه ذخیره میشود. این کلید به صورت ایمن و خصوصی نگهداری میشود تا فقط شما بتوانید از آن استفاده کنید.
3- ورود به سیستم: هنگامی که میخواهید وارد برنامه مورد نظرتان شوید، گزینه کلید عبور را انتخاب میکنید. دستگاه شما یک کد خاص ایجاد میکند که توسط کلید خصوصی در دستگاه شما رمز شده است و نشان میدهد شما مالک واقعی کلید عبور هستید.
4- بررسی: سامانه یا برنامه کاربردی مربوطه، کد ارسال شده توسط دستگاه شما را با کلید عمومی مرتبط باز نموده و بررسی میکند. اگر با کلید عبوری که قبلا ذخیره شده، مطابقت داشته باشد، برنامه به شما اجازه ورود میدهد.
5- استفاده در دستگاههای مختلف: میتوانید از کلید عبور خود در دستگاههای مختلف مانند تلفن همراه و رایانه خود استفاده کنید. برخی از کلیدهای عبور نیز علاوهبر دستگاه شما، این قابلیت را دارند که در فضای ابری ذخیره شده و بین تمامی دستگاههای شما همگامسازی شوند.
کلیدهای عبور امنتر از گذرواژهها هستند زیرا در دستگاه شما یا در فضایی خاص همچون HSM یا همان Hardware Security Module ذخیره میشوند. آنها شما را در برابر بسیاری از تهدیدات امنیتی محافظت میکنند، بطوریکه نفوذگرها نمیتوانند از آنها در سامانههای جعلی (در انجام حملات فیشینگ) استفاده کنند. همچنین کلیدهای عبور ورود شما به سامانهها و حسابهای کاربری را آسانتر میکنند زیرا نیازی نیست که گذرواژههای پیچیده را به خاطر بسپارید.
مزایای کلیدهای عبور
کلیدهای عبور در مقایسه با گذرواژههای معمولی مزایای مهم زیادی دارند. در اینجا مزایای اصلی استفاده از کلیدهای عبور ذکر میشود:
1- امنیت قویتر: بر خلاف گذرواژهها که به راحتی قابل حدس زدن یا سرقت هستند، کلیدهای عبور منحصر به فرد بوده و به دستگاه خاص یا دادههای زیستسنجی شما (همچون اثر انگشت) متصل میشوند. این امر دسترسی افراد غیرمجاز به حسابهای شما را سختتر میکند.
2- محافظت در برابر حملات فیشینگ: کلیدهای عبور در متوقف کردن حملات فیشینگ بسیار مناسب هستند. آنها فقط با سامانهها و برنامههای کاربردی قابل اعتماد که پیش از این با آنها کلید رمزنگاری تبادل کردهاید کار میکنند. بنابراین شما نمیتوانید حتی به طور تصادفی کلید عبور (Passkeys) خود را در یک سامانه جعلی استفاده نمایید. برنامه مورد نظر در زمان ورود، بررسی میکند که آیا کلید عبور، مرتبط با همین سامانه است (نگاشت کلید خصوصی و عمومی مورد نظر) که تنها در صورت درست بودن، فرآیند احراز هویت به درستی انجام خواهد شد.
3- استفاده راحت و کاربرپسند: استفاده از کلیدهای عبور آسان بوده و کارها را راحتتر میکند. لازم نیست گذرواژههای پیچیده را به خاطر بسپارید یا هر بار که میخواهید وارد شوید آنها را تایپ کنید. با کلیدهای عبور، میتوانید از معیارهایی مانند اثر انگشت یا چهره خود برای ورود سریع به سیستم استفاده کنید.
4- کار کردن روی دستگاههای مختلف: کلیدهای عبور را میتوان در دستگاههای مختلف استفاده کرد. این بدان معناست که میتوانید بدون تنظیمات اضافی از کلید عبور (Passkeys) خود در تلفن همراه، رایانه و سایر ابزارها استفاده کنید که بدین علت در وقت شما صرفهجویی خواهد شد.
5- تجربه کاربری بهتر: کلیدهای عبور ثبت ورود به سیستم را آسانتر، سریعتر و کارامدتر میکند. بدین ترتیب شما دیگر نگران فراموش کردن گذرواژهها نبوده و نیازی به بازنشانی آنها نخواهید داشت.
6- محافظت در برابر نفوذ به دادهها: کلیدهای عبور حتی در صورت نفوذ به دادهها به محافظت از اطلاعات شما کمک میکند. از آنجا که کلیدهای عبور در سرورها ذخیره نشده و فقط از یک کلید عمومی برای تایید استفاده میشود، در صورت نفوذ به دادهها، اطلاعاتی ارزشمندی (همچون گذرواژهها) به دست نفوذگرها نخواهد افتاد.
آینده کلیدهای عبور
کنسرسیوم وب جهانی(W3C) و انجمن FIDO با هم کار میکنند تا کلیدهای عبور را محبوبتر کرده و به طور گسترده مورد استفاده قرار دهند. آنها از شرکتها و توسعهدهندگان میخواهند که شروع به استفاده از کلیدهای عبور بجای گذرواژههای سنتی کنند. W3C مسئول ایجاد قوانین و دستورالعملهای استفاده از کلیدهای عبور در اینترنت است. آنها میخواهند کلیدهای عبور در پایگاههای وب و دستگاههای مختلف به صورت یکسان کار کنند تا همه بتوانند به راحتی از آنها استفاده کنند. هم W3C و هم انجمن FIDO، درنظر دارند که کلیدهای عبور را به طور کامل جایگزین گذرواژهها کنند، زیرا کلیدهای عبور امنتر و راحتتر هستند. آنها امیدوارند که در آینده نزدیک افراد بیشتری برای محافظت از حسابهای برخط خود از کلیدهای عبور استفاده کنند.
کلیدهای عبور شرکت رهسا (نشانه)
راه حل شرکت ره آورد سامانههای امن (رهسا) در خصوص کلیدهای عبور (Passkeys)، محصول “نشانه” میباشد که منطبق بر استاندارد احراز اصالت FIDO2 تهیه شده است و بطور کامل گذرواژهها را از فرآیند احراز اصالت حذف کرده است. محصولات نشانه (نشانه موبایل، نشانه کارت و نشانه توکن) ساخت شرکت رهآورد سامانههای امن (رهسا) به طور قابل توجهی امنیت احراز اصالت سازمان شما را مستحکمتر کرده و در عین حال بهرهوری و استفاده کاربران را بهبود میبخشد. این محصول با استفاده از رمزنگاری کلید عمومی و رعایت استانداردهای FIDO در همه اجزاء آن، تضمین میکند که هیچ رمز اشتراکگذاری شدهای در هیچ نقطهای از فرآیند احراز اصالت وجود ندارد. برای آشنایی بیشتر با راه حل بینیاز از گذرواژه شرکت رهآورد سامانههای امن و همچنین سایر اطلاعات مرتبط در خصوص استاندارد FIDO، میتوانید به پایگاه وب این محصول به آدرس Https://neshane.co مراجعه نمایید.