RaazNet

رازنتبتا

دانشنامه
در این صفحه

کلیدهای عبور و امنیت بیومتریک

راهنمای درک کلیدهای عبور و بیومتریک در بافت ایران، با تمرکز بر مقاومت در برابر فیشینگ، خطرات باز کردن اجباری بیومتریک، و راهبردهای پیاده‌سازی امن.

Time8 minutes

کلیدهای عبور (Passkeys) و امنیت بیومتریک

همزمان که فناوری‌های نظارتی در ایران پیچیده‌تر می‌شوند—و از حملات ساده‌ی بروت‌فورس (Brute-force) به سمت کنترل الگوریتمی و فیشینگ دولتی تغییر جهت می‌دهند—روش‌های احراز هویت ما نیز باید تکامل یابند. کلیدهای عبور (Passkeys) و بیومتریک نمایانگر استاندارد مدرن برای امن‌سازی حساب‌ها هستند که ما را از "چیزی که می‌دانید" (رمزهای عبور) به سمت "چیزی که دارید" (یک دستگاه/کلید) و "چیزی که هستید" (بیومتریک) سوق می‌دهند.

با این حال، در بستر جمهوری اسلامی، این فناوری‌ها حکم شمشیر دو لبه را دارند. در حالی که آن‌ها محافظتی عالی در برابر هکرهای راه دور و فیشینگ ارائه می‌دهند، خطرات فیزیکی خاصی را در هنگام بازداشت یا بازجویی ایجاد می‌کنند. این راهنما نحوه استفاده ایمن از آن‌ها را توضیح می‌دهد.

وضعیت ایران: بیومتریک و اجبار

قبل از فعال‌سازی قابلیت‌های بیومتریک، هر کاربر ایرانی باید تفاوت بین احراز هویت محلی و نظارت متمرکز را درک کند.

۱. پایگاه‌های داده بیومتریک متمرکز

دولت ایران، از طریق سازمان ثبت احوال و فرماندهی انتظامی (فراجا)، پایگاه‌های داده بیومتریک گسترده‌ای (اسکن عنبیه، اثر انگشت، تصاویر چهره) را که به کارت‌های ملی هوشمند متصل هستند، نگهداری می‌کند. این داده‌ها برای نظارت جمعی، از جمله اعمال قوانین حجاب از طریق دوربین‌های ترافیکی و شهری، استفاده می‌شوند.

  • ریسک: اگر در فضای عمومی تحت پوشش این دوربین‌ها باشید، نمی‌توانید هویت خود را از دولت پنهان کنید.

۲. بیومتریک دستگاه (تهدید "بازگشایی اجباری")

تلفن‌های مدرن امکان بازگشایی قفل از طریق چهره (FaceID) یا اثر انگشت را فراهم می‌کنند. اگرچه این کار راحت است، اما برای فعالان، روزنامه‌نگاران یا هر کسی که توسط نیروهای امنیتی بازداشت شود، یک خطر جدی محسوب می‌شود.

  • تهدید: از نظر قانونی و فیزیکی، برای بازجو بسیار ساده‌تر است که انگشت شما را به زور روی حسگر قرار دهد یا گوشی را مقابل چهره‌تان بگیرد تا اینکه بخواهد یک رمز عبور پیچیده الفبایی-عددی را از ذهن شما بیرون بکشد.
  • توصیه رازنت: اگر در اعتراضات شرکت می‌کنید، از مرزها عبور می‌کنید یا وارد مناطق پرخطر می‌شوید، بازگشایی بیومتریک صفحه نمایش را در دستگاه اصلی خود غیرفعال کنید. به جای آن بر یک پین کد ۶+ رقمی یا یک عبارت عبور (Passphrase) قوی تکیه کنید.

کلیدهای عبور (Passkeys): پایان فیشینگ

کلیدهای عبور (مبتنی بر استانداردهای FIDO2/WebAuthn) مهم‌ترین ارتقای امنیت حساب‌های کاربری در دهه اخیر هستند. آن‌ها به‌طور موثری حملات فیشینگ و تزریق اعتبارنامه (Credential Stuffing)—دو تاکتیک رایج مورد استفاده عوامل دولتی برای ربودن حساب‌های تلگرام، اینستاگرام و ایمیل—را خنثی می‌کنند.

کلیدهای عبور چگونه کار می‌کنند

برخلاف رمز عبور (که یک راز مشترک است که شما به سرور ارسال می‌کنید)، یک کلید عبور از یک جفت کلید رمزنگاری تشکیل شده است:

۱. کلید عمومی: روی سرور سرویس‌دهنده (مانند گوگل یا گیت‌هاب) ذخیره می‌شود. این کلید به تنهایی بی‌فایده است. ۲. کلید خصوصی: به‌صورت امن روی دستگاه شما (تلفن، کامپیوتر یا کلید سخت‌افزاری) ذخیره می‌شود. این کلید هرگز از دستگاه شما خارج نمی‌شود.

هنگامی که وارد می‌شوید، سرور یک چالش (Challenge) ارسال می‌کند. دستگاه شما این چالش را با کلید خصوصی امضا می‌کند تا هویت شما را اثبات کند.

  • چرا فیشینگ را متوقف می‌کند: پروتکل، دامنه وب‌سایت را تایید می‌کند. اگر یک هکر لینک ورود جعلی برای شما ارسال کند (مثلاً g00gle.com)، دستگاه شما از امضای چالش خودداری می‌کند زیرا دامنه با کلید اصلی مطابقت ندارد.

انواع کلیدهای عبور و انتخاب برای کاربران ایرانی

۱. کلیدهای امنیتی سخت‌افزاری (استاندارد طلایی)

دستگاه‌های فیزیکی USB/NFC مانند YubiKey یا Nitrokey.

  • امنیت: بالاترین حد. کلید ایزوله (Air-gapped) است؛ بدافزار نمی‌تواند آن را استخراج کند.
  • وضعیت ایران: تهیه آن‌ها به دلیل تحریم‌ها و محدودیت‌های گمرکی بسیار دشوار است. اگر می‌توانید یکی تهیه کنید (مثلاً از طریق مسافری قابل اعتماد)، این بهترین محافظت برای ایمیل اصلی و حساب‌های مدیریتی شماست.
  • ریسک: در صورت مصادره، دسترسی خود را از دست می‌دهید مگر اینکه نسخه پشتیبان داشته باشید.

۲. کلیدهای عبور در مدیریت‌کننده رمز عبور (پیشنهادی)

مدیریت‌کننده‌های رمز عبور مدرن مانند Bitwarden، KeePassXC و 1Password می‌توانند کلیدهای عبور را در کنار رمزهای عبور شما ذخیره کنند.

  • امنیت: بالا. همگام‌سازی بین دستگاه‌ها (به جز KeePassXC/محلی).
  • وضعیت ایران:
    • نرم‌افزار KeePassXC (بهترین برای حریم خصوصی): کاملاً آفلاین، متن‌باز، و کلیدهای عبور را در پایگاه داده رمزنگاری شده محلی شما ذخیره می‌کند. هیچ نگرانی بابت تحریم‌های ابری آمریکا یا نشت داده‌ها وجود ندارد.
    • نرم‌افزار Bitwarden: گزینه ابری عالی با رمزنگاری قوی. در ایران قابل دسترسی است (معمولاً نیاز به VPN دارد).

۳. کلیدهای عبور پلتفرم (راحت)

گوگل (اندروید) و اپل (iOS) کلیدهای عبور را در فضای ابری اختصاصی خود (Keychain) ذخیره می‌کنند.

  • امنیت: خوب، اما شما را به یک اکوسیستم خاص وابسته می‌کند.
  • وضعیت ایران: همگام‌سازی به سرورهای گوگل/اپل متکی است که ممکن است مسدود باشند یا نیاز به اتصال پایدار VPN داشته باشند.

استراتژی پیاده‌سازی

گام ۱: امن‌سازی دستگاه

قبل از تنظیم کلیدهای عبور، "گاوصندوقی" که آن‌ها را نگه می‌دارد (تلفن یا کامپیوتر شما) را ایمن کنید.

  • اندروید: اگر در دسترس است، "Advanced Protection" را فعال کنید (اندروید ۱۶+). یک پین قفل صفحه قوی تنظیم کنید.
  • آیفون (iOS): اگر هدف پرخطری هستید، "Lockdown Mode" را فعال کنید.

گام ۲: انتخاب محل ذخیره‌سازی

برای اکثر کاربران ایرانی، ما KeePassXC (دسکتاپ) یا KeepassDX (اندروید) را برای امنیت آفلاین، یا Bitwarden را برای سهولت استفاده پیشنهاد می‌کنیم.

  • نکته: اگر کامپیوتر خود را با دیگران به اشتراک می‌گذارید یا از کافی‌نت استفاده می‌کنید، از ذخیره مستقیم کلیدهای عبور در مرورگر (Chrome/Edge) خودداری کنید.

گام ۳: ایجاد کلید عبور

۱. وارد سرویس مورد نظر شوید (مثلاً تنظیمات حساب گوگل). ۲. بخش "Passkeys" یا "Security Keys" را پیدا کنید. ۳. گزینه "Create a Passkey" را انتخاب کنید. ۴. وقتی از شما خواسته شد، احراز هویت کننده خود را انتخاب کنید (مثلاً YubiKey یا افزونه Bitwarden).

گام ۴: ایجاد نسخه‌های پشتیبان (حیاتی)

برخلاف رمزهای عبور، نمی‌توانید یک کلید عبور را "حفظ" کنید. اگر دستگاهی که کلید خصوصی را نگه می‌دارد گم کنید، دسترسی شما قطع می‌شود.

  • استراتژی: همیشه برای حساب‌های حیاتی حداقل دو کلید عبور ثبت کنید.
    • اصلی: تلفن یا مدیریت‌کننده رمز عبور اصلی شما.
    • پشتیبان: یک دستگاه ثانویه (تبلت)، فایل پشتیبان از پایگاه داده KeePassXC (ذخیره شده روی فلش مموری)، یا مجموعه‌ای چاپ شده از کدهای بازیابی (Recovery Codes).

پروتکل‌های ضد نظارت و اضطراری

ریبوت اضطراری (SOS)

اگر در خطر قریب‌الوقوع بازداشت یا ضبط دستگاه هستید:

۱. فورا تلفن خود را خاموش کنید. ۲. تلفن‌های مدرن (iOS و Android) پس از ریبوت وارد حالت "قبل از اولین بازگشایی" (BFU) می‌شوند. در این حالت، بازگشایی بیومتریک کاملاً غیرفعال است و کلیدهای رمزنگاری از حافظه پاک می‌شوند تا زمانی که پین صحیح وارد شود. ۳. این کار مانع از آن می‌شود که مقامات با استفاده از چهره یا اثر انگشت شما قفل دستگاه را باز کرده و به کلیدهای عبور شما دسترسی پیدا کنند.

گذر از تایید دو مرحله‌ای پیامکی (SMS 2FA)

اپراتورهای موبایل ایران (همراه اول، ایرانسل، رایتل) قانوناً ملزم به همکاری با سرویس‌های امنیتی هستند. پیامک (SMS) برای تایید دو مرحله‌ای امن نیست.

  • اقدام: هر جا ممکن است، تایید پیامکی را ابتدا با Passkeys، یا در درجه دوم با TOTP (برنامه‌های Authenticator) جایگزین کنید.
  • دفاع: اگر سرویسی شما را مجبور به استفاده از SMS می‌کند، از شماره Google Voice یا یک شماره مجازی خارجی استفاده کنید، هرگز از سیم‌کارت ثبت شده ایرانی خود استفاده نکنید.

خلاصه: ارزیابی پروفایل ریسک

پروفایل کاربرتنظیمات پیشنهادیتوصیه بیومتریک
عموم مردمBitwarden یا Google/Apple Passkeys.بازگشایی بیومتریک برای راحتی فعال باشد.
آگاه به حریم خصوصیBitwarden با رمز عبور اصلی (Master Password) قوی. تایید پیامکی همه جا غیرفعال شود.بازگشایی بیومتریک روی گوشی غیرفعال؛ فقط برای ورود به اپلیکیشن‌ها فعال باشد.
پرخطر (فعال مدنی/سیاسی)KeePassXC (آفلاین) + کلید سخت‌افزاری (در صورت امکان).بیومتریک اکیداً ممنوع. فقط پین‌های الفبایی-عددی. پروتکل ریبوت "SOS" تمرین شود.

تهیه شده توسط تیم امنیت دیجیتال رازنت. آخرین بازبینی: فوریه ۲۰۲۶.

منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.