𝗣𝗮𝘀𝘀𝗸𝗲𝘆𝘀 𝗶𝗻 𝟮𝟬𝟮𝟲: 𝗔 𝗣𝗿𝗮𝗰𝘁𝗶𝗰𝗮𝗹 𝗘𝗻𝗴𝗶𝗻𝗲𝗲𝗿𝗶𝗻𝗴 𝗚𝘂𝗶𝗱𝗲

پس‌کی‌ها در سال ۲۰۲۶: یک راهنمای مهندسی کاربردی

رمزهای عبور از کار افتاده‌اند. آن‌ها بر اسرار مشترک متکی هستند. اگر یک سرور رمز عبور را ذخیره کند، سطح حمله شما دو برابر می‌شود.

داده‌ها نشان می‌دهند که این ریسک بسیار بزرگ است. سرقت اطلاعات کاربری عامل اصلی اکثر نفوذهاست. بدافزارهای Infostealer هر ساله میلیون‌ها رمز عبور را جمع‌آوری می‌کنند. حتی 2FA نیز دارای نقاط ضعفی است. کدهای SMS با خطر SIM swapping مواجه هستند و توکن‌های TOTP با فیشینگ در لحظه (real-time phishing) دست و پنجه نرم می‌کنند.

پس‌کی‌ها (Passkeys) این وضعیت را تغییر می‌دهند. آن‌ها از رمزنگاری کلید عمومی از طریق WebAuthn و FIDO2 استفاده می‌کنند.

نحوه عملکرد آن‌ها: • دستگاه شما یک جفت کلید عمومی-خصوصی ایجاد می‌کند. • کلید خصوصی در سخت‌افزار شما باقی می‌ماند. • سرور فقط کلید عمومی را دریافت می‌کند. • هنگام ورود، دستگاه شما یک چالش (challenge) تصادفی را امضا می‌کند. • هیچ اطلاعات محرمانه‌ای در شبکه جابه‌جا نمی‌شود.

این کار مانع از فیشینگ می‌شود زیرا پس‌کی‌ها به دامنه خاص شما متصل هستند. یک پس‌کی برای سایت شما، در یک سایت جعلی کار نخواهد کرد.

نحوه پیاده‌سازی آن‌ها: کدهای خام WebAuthn را ننویسید؛ چون به راحتی دچار خطا می‌شوند. از SimpleWebAuthn برای TypeScript و Node.js استفاده کنید. این کتابخانه محاسبات پیچیده ریاضی را برای شما انجام می‌دهد.

نصب: npm install @simplewebauthn/server @simplewebauthn/browser

اشتباهات رایجی که باید از آن‌ها دوری کرد: • استفاده مجدد از چالش‌ها. چالش‌ها باید یک‌بار مصرف و توسط سرور تولید شوند. • نادیده گرفتن شمارنده‌ها. همیشه شمارنده اعتبارنامه (credential counter) را به‌روزرسانی کنید تا کلیدهای کپی‌شده را شناسایی کنید. • فراموش کردن بازیابی. اگر کاربر دستگاه خود را گم کند، حساب خود را نیز از دست می‌دهد. ابتدا یک مسیر بازیابی بسازید. • تجربه کاربری (UX) ضعیف. جریان‌های بین‌دستگاهی (cross-device flows) اغلب نرخ تکمیل پایین‌تری دارند. در طول مهاجرت، یک روش جایگزین (fallback) در نظر بگیرید.

استراتژی مهاجرت:

• مرحله ۱: پس‌کی‌ها را به عنوان یک گزینه اختیاری (opt-in) پس از ورود با رمز عبور پیشنهاد دهید.
• مرحله ۲: زمانی که اکثر کاربران آن‌ها را پذیرفتند، پس‌کی‌ها را به روش اصلی تبدیل کنید.
• مرحله ۳: برای تمام ثبت‌نام‌های جدید، استفاده از پس‌کی را الزامی کنید.

صنعت از قبل حرکت کرده است. گوگل گزارش می‌دهد که با استفاده از پس‌کی‌ها، نرخ هک شدن حساب‌ها بسیار کمتر شده است. پلتفرم‌های بزرگی مانند Amazon و TikTok از آن‌ها استفاده می‌کنند. اگر از آن‌ها پشتیبانی نکنید، عقب خواهید ماند.

منبع: https://dev.to/moksh/passkeys-in-2026-a-practical-engineering-guide-to-passwordless-auth-15pj