📌 خلاصه مطلب (TL;DR)
- Passkey چیست؟ کلید دیجیتال برای ورود بدون رمز عبور با اثر انگشت، Face ID یا پین
- چرا امنتر است؟ مقاوم در برابر فیشینگ، غیرقابل سرقت، غیرقابل استفاده مجدد
- پشتیبانی: اندروید ۹+، iOS ۱۳+، کروم ۶۷+، سافاری، Edge
- استاندارد: مبتنی بر FIDO2/WebAuthn تایید شده توسط NIST
- وضعیت ۲۰۲۵: گوگل، اپل، مایکروسافت و بیشتر سرویسها پشتیبانی میکنند
Passkey یا «کلید عبور» فناوری جدیدی است که قرار است رمزهای عبور سنتی را منسوخ کند. در سال ۲۰۲۵، این فناوری به استاندارد اصلی احراز هویت تبدیل شده و سازمانهای بزرگی مثل گوگل، اپل و مایکروسافت از آن پشتیبانی میکنند.
به جای تایپ رمز عبور، با Passkey فقط با اثر انگشت، Face ID یا پین گوشی وارد حسابهای کاربری میشوید - همان کاری که برای باز کردن قفل گوشی انجام میدهید.
Passkey چیست و چگونه کار میکند؟
Passkey یک کلید رمزنگاری دیجیتال است که بر اساس استاندارد FIDO2 (تایید شده توسط اتحادیه FIDO و NIST) ساخته شده. برخلاف رمز عبور:
- در دستگاه شما (گوشی، لپتاپ) ذخیره میشود
- با بیومتریک (اثر انگشت/چهره) یا پین باز میشود
- هیچوقت به سرور ارسال نمیشود
- برای هر سایت منحصر به فرد است
🔐 نحوه کار Passkey:
- ثبتنام: سایت یک جفت کلید عمومی/خصوصی میسازد. کلید خصوصی در دستگاه شما میماند.
- ورود: سایت یک چالش میفرستد. دستگاه با کلید خصوصی پاسخ میدهد.
- تایید: شما با اثر انگشت/Face ID تایید میکنید که صاحب دستگاه هستید.
- دسترسی: سایت پاسخ را با کلید عمومی تایید میکند - شما وارد شدید!
چرا Passkey از رمز عبور امنتر است؟
| معیار امنیتی | رمز عبور | Passkey |
|---|---|---|
| حمله فیشینگ | ❌ آسیبپذیر | ✅ مقاوم (به دامنه وابسته) |
| نشت داده سرور | ❌ رمز لو میرود | ✅ فقط کلید عمومی |
| استفاده مجدد | ❌ اغلب تکراری | ✅ منحصر به هر سایت |
| حدس زدن | ❌ ممکن | ✅ غیرممکن (رمزنگاری) |
| نیاز به حافظه | ❌ باید یادآوری | ✅ بدون یادآوری |
✅ چرا فیشینگ روی Passkey کار نمیکند؟
Passkey به دامنه سایت وابسته است. اگر روی لینک فیشینگ کلیک کنید و به سایت جعلی بروید، Passkey کار نمیکند چون دامنه متفاوت است. هیچ کلیدی برای سایت جعلی وجود ندارد.
چه سرویسهایی از Passkey پشتیبانی میکنند؟
در سال ۲۰۲۵، اکثر سرویسهای بزرگ از Passkey پشتیبانی میکنند:
- گوگل: Gmail، YouTube، Google Account
- مایکروسافت: Microsoft 365، Outlook، Xbox
- اپل: iCloud، App Store
- آمازون: فروشگاه و AWS
- PayPal، eBay، GitHub، LinkedIn، X (توییتر)
- بانکها و سرویسهای مالی (در حال گسترش)
نحوه فعالسازی Passkey در گوگل
در اندروید:
- به تنظیمات ← Google ← مدیریت حساب گوگل بروید
- تب امنیت را انتخاب کنید
- روی Passkeys کلیک کنید
- دکمه Create Passkey را بزنید
- با اثر انگشت یا پین تایید کنید
در کروم (کامپیوتر):
- به myaccount.google.com/signinoptions/passkeys بروید
- روی Create a passkey کلیک کنید
- از Windows Hello، Touch ID یا Security Key استفاده کنید
پشتیبانی پلتفرمها از Passkey
| پلتفرم | نسخه موردنیاز | همگامسازی |
|---|---|---|
| Android | 9.0+ (بهینه: 14+) | Google Password Manager |
| iOS / macOS | iOS 16+, macOS Ventura+ | iCloud Keychain |
| Windows | Windows 10+ | Windows Hello |
| Chrome | 67+ | Google Password Manager |
| Safari / Edge / Firefox | نسخههای اخیر | با سیستمعامل |
استاندارد FIDO2 و WebAuthn
Passkey بر اساس استانداردهای زیر ساخته شده:
- FIDO2: استاندارد اتحادیه FIDO برای احراز هویت بدون رمز عبور
- WebAuthn: استاندارد W3C برای API احراز هویت در مرورگرها
- CTAP2: پروتکل ارتباط بین دستگاه و Authenticator
NIST در سال ۲۰۲۵ استفاده از MFA مقاوم در برابر فیشینگ (مانند WebAuthn/FIDO2) را برای سازمانهای دولتی آمریکا الزامی کرده است.
سوالات متداول درباره Passkey
Passkey چیست و چه فرقی با رمز عبور دارد؟
Passkey یک کلید رمزنگاری دیجیتال است که در دستگاه شما ذخیره میشود و با بیومتریک (اثر انگشت/چهره) یا پین باز میشود. برخلاف رمز عبور، نیاز به حفظ کردن ندارد، غیرقابل فیشینگ است، و حتی اگر سرور هک شود، کلید شما امن میماند.
اگر گوشیام را گم کنم چه میشود؟
Passkey با سرویسهای ابری مثل Google Password Manager یا iCloud Keychain همگامسازی میشود. وقتی گوشی جدید میگیرید و با همان حساب گوگل/اپل وارد شوید، Passkeyها خودکار بازیابی میشوند. همچنین میتوانید از دستگاه دیگر (لپتاپ) به حساب دسترسی داشته باشید.
آیا Passkey روی همه سایتها کار میکند؟
خیر. سایت باید از استاندارد WebAuthn پشتیبانی کند. در سال ۲۰۲۵، سرویسهای بزرگ مثل گوگل، مایکروسافت، اپل، آمازون، GitHub و PayPal از Passkey پشتیبانی میکنند. سایتهای کوچکتر ممکن است هنوز فقط رمز عبور داشته باشند.
آیا میتوانم از Passkey روی چند دستگاه استفاده کنم؟
بله. Passkey بین دستگاههایی که با یک حساب (مثلاً Google یا Apple ID) وارد شدهاند همگامسازی میشود. در اندروید ۱۴+، میتوانید از Password Managerهای شخص ثالث مثل 1Password هم استفاده کنید که Passkey را بین پلتفرمهای مختلف همگام میکنند.
فرق Passkey با تایید دومرحلهای (2FA) چیست؟
2FA یک لایه اضافی روی رمز عبور است - همچنان باید رمز وارد کنید و سپس کد تایید. Passkey جایگزین کامل رمز عبور است - فقط با بیومتریک وارد میشوید. از نظر امنیتی، Passkey قویتر است چون اصلاً رمزی وجود ندارد که فیشینگ یا لو برود.
جمعبندی
Passkey آینده احراز هویت است. با حذف نیاز به رمز عبور، ریسکهای فیشینگ، نشت داده و استفاده مجدد رمز از بین میرود. در سال ۲۰۲۵، اکثر سرویسهای بزرگ از این فناوری پشتیبانی میکنند. اگر دستگاه شما از بیومتریک پشتیبانی میکند، همین امروز Passkey را برای حسابهای گوگل و مایکروسافت فعال کنید.
منابع: FIDO Alliance، Google Developers، Google Support
