گذرواژهها در حال جایگزینی رمزهای عبور هستند — وضعیت واقعی فعلی
نحوه کار passkey
یک passkey یک اعتبار رمزنگاری است که بر اساس استانداردهای WebAuthn / FIDO2 ساخته شده است. هنگامی که ثبتنام میکنید، دستگاه شما یک جفت کلید عمومی-خصوصی تولید میکند. کلید خصوصی هرگز دستگاه شما را ترک نمیکند؛ سرور فقط کلید عمومی را ذخیره میکند. هنگامی که احراز هویت میکنید، دستگاه یک چالش را با کلید خصوصی امضا میکند و سرور امضا را با کلید عمومی تأیید میکند.
از آنجا که اعتبار مقید به مبدأ است — یعنی از نظر رمزنگاری به یک دامنه خاص متصل است — یک سایت فیشینگ هرگز نمیتواند یک passkey را استخراج کند. حتی اگر مهاجمی شما را فریب دهد تا از paypa1.com بازدید کنید، passkey مربوط به paypal.com به سادگی در آنجا کار نخواهد کرد. این مصونیت در برابر فیشینگ بزرگترین جهش امنیتی است که passkey نسبت به رمزهای عبور یا SMS OTP ارائه میدهد.
آمار پذیرش
Google گزارش داده است که در اواخر سال 2025، تعداد 800 میلیون احراز هویت با passkey در ماه را پشت سر گذاشته است، در بیش از 400 میلیون حساب کاربری. فهرست سرویسهای سازگار FIDO Alliance از 300 پلتفرم اصلی عبور کرده است. Microsoft گزارش میدهد که بیش از 99٪ از ورودهای مصرفکننده آن اکنون بدون رمز عبور است (یک دسته گستردهتر که شامل passkey و Windows Hello میشود).
کدام سرویسها از passkey پشتیبانی میکنند
- Google — passkey به عنوان روش پیشفرض ورود برای حسابهای شخصی
- Apple — پشتیبانی در تمام ورودهای Apple ID؛ iCloud Keychain بین دستگاهها همگامسازی میکند
- Microsoft — Windows Hello و برنامه Authenticator در حسابهای شخصی و مدیریتشده توسط Entra
- GitHub — passkey از سال 2023 برای همه انواع حساب در دسترس است
- PayPal — passkey در ایالات متحده و در حال گسترش جهانی
- eBay — پشتیبانی از passkey در سال 2024 راهاندازی شد
- Shopify — جریانهای passkey برای فروشندگان و خریداران فعال است
- WhatsApp — passkey در Android و iOS
همگامسازی بین دستگاهها
passkey زمانی که بین دستگاههای شما همگامسازی شوند، بسیار راحتتر هستند. سه اکوسیستم اصلی امروزه این کار را انجام میدهند:
- Apple Keychain — passkey به صورت رمزگذاری شده سرتاسر بین iPhone، iPad و Mac از طریق iCloud همگامسازی میشوند
- Google Password Manager — passkey بین Android و Chrome در هر سیستم عاملی همگامسازی میشوند
- 1Password & Dashlane — مدیران شخص ثالث که بین پلتفرمها کار میکنند و به تیمهای تجاری اجازه اشتراکگذاری passkey را میدهند
اصطکاک بین پلتفرمی
لبه ناهموار در سال 2026، احراز هویت بین اکوسیستمی است. اگر passkey شما در Apple Keychain باشد و نیاز به ورود به یک رایانه Windows داشته باشید، باید از جریان ترکیبی QR code + Bluetooth استفاده کنید: رایانه یک QR code نشان میدهد، شما آن را با iPhone خود اسکن میکنید و نزدیکی Bluetooth تأیید میکند که شما از نظر فیزیکی حضور دارید. این کار انجام میشود، اما به اندازهای ناخوشایند است که بسیاری از کاربران منصرف شده و به رمز عبور بازمیگردند.
پیشرفت در راه است. پروتکل تبادل اعتبار (CXP) FIDO Alliance که در سال 2025 نهایی شد، به کاربران اجازه میدهد passkey را از یک مدیر صادر کرده و به مدیر دیگر وارد کنند — و بدین ترتیب قفل فروشنده را پس از پیادهسازی این ویژگی توسط مدیران پایان میدهد.
سازمانی: Okta و Microsoft Entra
سازمانها از طریق ارائهدهندگان هویت از passkey استفاده میکنند. Okta از passkey FIDO2 در Workforce Identity Cloud خود پشتیبانی میکند و MFA مقاوم در برابر فیشینگ اکنون یک چکباکس انطباق برای پیمانکاران فدرال ایالات متحده است. Microsoft Entra (که قبلاً Azure AD نام داشت) از کلیدهای امنیتی سختافزاری و passkey مقید به دستگاه از طریق Windows Hello for Business پشتیبانی میکند و passkey همگامسازیشده در نقشه راه قرار دارد.
گم شدن دستگاه و بازیابی
بزرگترین سؤال قابلیت استفاده: اگر گوشی خود را گم کنید چه اتفاقی میافتد؟ از آنجا که passkey همگامسازیشده در ابر (رمزگذاری شده) وجود دارند، بازیابی آنها به جریان بازیابی حساب ابری شما وابسته است — مخاطبین بازیابی Apple ID، ایمیل/تلفن بازیابی Google Account. برای passkey مقید به دستگاه (مانند یک کلید سختافزاری FIDO2)، باید حداقل دو کلید ثبت کنید و یکی را در محل دیگری ذخیره کنید. اکثر سرویسها همچنین یک کد بازیابی پشتیبان یا جریان ایمیل نگه میدارند، اگرچه اینها سطح فیشینگ را دوباره معرفی میکنند.
چرا SMS OTP باقی میماند
با وجود مزایای passkey، SMS OTP همچنان گسترده است زیرا نیاز به راهاندازی سمت مشتری ندارد، روی هر تلفنی کار میکند و برای میلیاردها کاربر آشنا است. حملات SIM-swapping واقعی اما در مقایسه با credential stuffing نادر هستند. صنایع تحت نظارت (بانکداری، بهداشت و درمان) همچنین با الزامات انطباقی مواجه هستند که حول OTP نوشته شدهاند. انتظار میرود SMS OTP در پنج سال آینده به آرامی کاهش یابد زیرا تجربه کاربری passkey بهبود مییابد، نه اینکه یک شبه ناپدید شود.
مرور کلی WebAuthn API برای توسعهدهندگان
افزودن پشتیبانی از passkey به دو جریان نیاز دارد: ثبتنام و احراز هویت.
ثبتنام:
const credential = await navigator.credentials.create({
publicKey: {
challenge: serverChallenge,
rp: { name: "My App", id: "myapp.com" },
user: { id: userId, name: userEmail, displayName: userName },
pubKeyCredParams: [{ type: "public-key", alg: -7 }],
authenticatorSelection: { residentKey: "required" }
}
});احراز هویت:
const assertion = await navigator.credentials.get({
publicKey: { challenge: serverChallenge, rpId: "myapp.com" }
});در سمت سرور، کتابخانههایی مانند SimpleWebAuthn (Node.js)، py_webauthn (Python) و webauthn4j (Java) تأیید رمزنگاری را انجام میدهند. passkeyهایی که از residentKey: required استفاده میکنند، روی احراز هویتکننده ذخیره میشوند و ورود کاملاً بدون رمز عبور و بدون نام کاربری را امکانپذیر میکنند.
نکات عملی
- کاربران: امروز passkey را در Google، Apple ID و GitHub فعال کنید. اگر انعطافپذیری بین پلتفرمی میخواهید از 1Password یا Dashlane استفاده کنید.
- توسعهدهندگان: ثبتنام WebAuthn را در کنار ورود موجود خود اضافه کنید. API مرورگر پایدار است؛ از یک کتابخانه سرور استفاده کنید. از هر دو اعتبار همگامسازیشده و مقید به دستگاه پشتیبانی کنید.
- سازمانها: برای دسترسی ممتاز، MFA مقاوم در برابر فیشینگ (passkey یا کلید سختافزاری) را الزامی کنید. Okta و Entra هر دو اکنون از این پشتیبانی میکنند.
- همه: یک روش بازیابی پشتیبان نگه دارید. passkey دلیلی برای رد کردن تنظیمات بازیابی حساب نیست.
دوران رمز عبور به پایان نرسیده است — 300 پلتفرم از میان میلیونها به این معنی است که بیشتر کادرهای ورود همچنان یک رشته کاراکتر را انتظار دارند. اما زیرساخت فراهم است، تجربه کاربری در حال بهبود است و مورد امنیتی قاطعانه است. سؤال دیگر این نیست که آیا passkey جایگزین رمزهای عبور خواهد شد، بلکه این است که با چه سرعتی.