مقایسه پسکی (Passkey) با ۲۴ یا ۱۲ کلمه؛ از کاغذ و عبارت بازیابی تا ورود با اثر انگشت

فرض کنید یک روز صبح می‌خواهید وارد والت غیرحضانتی خود شوید، تراکنشی را تأیید کنید و بروید سراغ باقی روزتان. به جای صفحه‌ای آشنا، با پیغام خطایی روبه‌رو می‌شوید که پسکی پشتیبانی نمی‌شود (Passkey Not Supported). چند ثانیه طول می‌کشد تا یادتان بیاید چند روز قبل، در حین مرتب‌سازی پسورد منیجر گوگل‌ (Google Password Manager) یا آی‌کلود (iCloud)، چند ورودی ناشناس را پاک کردید که کنارشان واژه پسکی (Passkey) نوشته شده بود.

در دنیای کیف پول‌های قدیمی، اشتباه مرگبار این بود که عبارت بازیابی ۱۲ یا ۲۴ کلمه‌ای را گم کنید یا از آن عکس بگیرید و جایی ذخیره کنید که به‌راحتی لو برود. در دنیای جدید فناوری پسکی‌، اشتباه مرگبار ممکن است فقط یک «پاک کردن» ساده باشد.

در این مقاله تلاش می‌کنیم با نگاهی دقیق و در عین حال ساده، کیف پول پسکی (Passkey) را با کیف پول‌های مبتنی بر عبارت بازیابی ۱۲/۲۴ کلمه‌ای مقایسه کنیم؛ این که هر کدام چه مزایا و ریسک‌هایی دارند، چه اشتباهاتی در عمل بیشتر رخ می‌دهد و چطور می‌شود از امکانات پسکی استفاده کرد، بدون آن که قفل دارایی‌های خودتان شوید.

کیف پول ۱۲/۲۴ کلمه‌ چیست و چه چیزی را امن نگه می‌دارید؟

بیشتر کیف پول‌های غیرامانی/عیرحضانتی کلاسیک بر پایه استاندارد BIP-39 (مانند تراست والت یا متامسک) کار می‌کنند. در این استاندارد، عبارت بازیابی ۱۲، ۱۸ یا ۲۴ کلمه‌ای از فهرستی مشخص تولید می‌شود و همان عبارت، «بذر» تمام کلیدهای خصوصی والت شماست. اگر این عبارت را در والت دیگری وارد کنید، تمام آدرس‌ها و موجودی‌ها را دوباره می‌توانید در والت جدید مشاهده کنید.

تفاوت ۲۴ و ۱۲ کلمه بیشتر در سطح امنیت است. هرچه تعداد کلمات بیشتر باشد، آنتروپی و در نتیجه سختی حدس‌زدن یا حمله آفلاین بالاتر می‌رود، اما نگهداری آن برای کاربر هم دشوارتر می‌شود. در عمل، بسیاری از کاربران خرد از ۱۲ کلمه استفاده می‌کنند و کاربران با سرمایه بزرگ‌تر ترجیح می‌دهند ۲۴ کلمه داشته باشند و در مقابل، زحمت نگهداری بیشتر را بپذیرند. نکته مهم اینجاست که در این مدل، تقریبا همه چیز به همان کاغذ یا فایلی بستگی دارد که کلمات روی آن نوشته شده است. اگر عبارت بازیابی را گم کنید، راه بازگشتی وجود ندارد و اگر کسی آن را ببیند، دقیقا به اندازه خود شما به دارایی‌ها دسترسی دارد.

پسکی چیست و کیف پول Passkey چگونه کار می‌کند؟

پسکی (Passkey) در واقع نام کاربرپسند همان «اعتبارنامه FIDO2/WebAuthn» است؛ یک جفت کلید رمزنگاری که به جای پسورد استفاده می‌شود. کلید عمومی روی سرور سرویس ذخیره می‌شود و کلید خصوصی روی دستگاه کاربر باقی می‌ماند. برای ورود، کاربر فقط باید با اثر انگشت، تشخیص چهره یا PIN کوتاه روی دستگاه خودش تأیید کند که همان فرد است؛ دستگاه با استفاده از کلید خصوصی، امضای رمزنگاری شده تولید می‌کند و سرویس با کلید عمومی آن را بررسی می‌کند. ویژگی جذاب Passkey این است که:

• برای هر سرویس، کلید مخصوص همان دامنه ساخته می‌شود و قابل استفاده روی سایت‌های جعلی نیست، بنابراین در برابر فیشینگ بسیار مقاوم است.
• معمولا به صورت ترکیب «داشتن دستگاه + احراز هویت بیومتریک یا PIN» عمل می‌کند و در نتیجه سطحی نزدیک به چندعاملی را ارائه می‌دهد، بدون آن که پیچیدگی ورود را بالا ببرد.

در کیف پول‌های پسکی، همین سازوکار جای پسورد و حتی گاهی جای بخشی از عبارت بازیابی را می‌گیرد. کاربر به جای حفظ و نگهداری ۲۴ کلمه، در عمل با همان روشی که گوشی خود را باز می‌کند، وارد والت می‌شود. برخی کیف پول‌های وب ۳ جدید و مدرن مانند walllet.com دقیقا با همین رویکرد طراحی شده‌اند تا کاربر از روز اول تجربه «ورود بدون پسورد» داشته باشد.

پسکی دقیقا کجا نگهداری می‌شود؛ روی سخت‌افزار یا در فضای ابری؟

پسکی در اصل روی خود دستگاه ذخیره می‌شود. هسته پسکی یعنی همان کلید خصوصی، داخل بخش امن سخت‌افزار قرار می‌گیرد؛ جایی مثل Secure Enclave در آیفون و مک یا محیط‌های امنی مثل StrongBox و TEE در بسیاری از گوشی‌های اندرویدی. این فضا طوری طراحی شده که سیستم عامل و برنامه‌ها هرگز نتوانند خودِ کلید را ببینند یا کپی کنند و فقط اجازه دارند از آن برای امضای رمزنگاری شده استفاده کنند.

در کنار این ذخیره‌سازی محلی، شرکت‌هایی مثل اپل، گوگل و مایکروسافت برای راحتی کاربر، پسکی‌ها را به صورت رمزنگاری شده با حساب ابری همگام می‌کنند تا روی دستگاه‌های دیگر همان کاربر هم در دسترس باشد. یعنی اصل ماجرا در سخت‌افزار امن دستگاه می‌ماند، اما یک نسخه قابل ریکاوری و رمزنگاری شده از آن از طریق iCloud یا گوگل و سرویس‌های مشابه بین دستگاه‌های خودتان جابه‌جا می‌شود. به همین دلیل وقتی می‌گوییم «پسکی با حساب گوگل یا اپل همگام‌سازی می‌شود» منظور این لایه همگام‌سازی است، نه این که کلید خصوصی ساده و بدون محافظ روی سرور ذخیره شده باشد.

تفاوت مدل امنیتی؛ کاغذی که می‌شود از آن عکس گرفت در برابر کلیدی که دستگاه را می‌شناسد

اگر نگاهی از زاویه هکر یا مهاجم به این دو مدل بیندازیم، تصویر روشن‌تر می‌شود. در کیف پول ۱۲/۲۴ کلمه‌ای، هدف اصلی هکر عبارات بازیابی یا سید فریز است. سید فریز ممکن است روی یک تکه کاغذ در کشوی میز، در دفترچه یادداشت، در یک فایل متنی روی لپ‌تاپ یا حتی در گفت‌وگوی اپ پیام‌رسان مانند تلگرام ذخیره شده باشد. هرجا که کلمات حضور داشته باشند، امکان کپی، عکس گرفتن یا سرقت دیجیتال هم وجود دارد.

در مدل پسکی (Passkey)، کلید خصوصی در سخت‌افزار گوشی ذخیره می‌شود و برای استفاده از آن باید خود دستگاه باز شده و احراز هویت کاربر انجام شود. بر اساس مستندات شرکت‌هایی مانند اپل و مایکروسافت، این کلیدها تنها برای همان سرویس ثبت‌شده معتبرند و حتی در صورت تعامل کاربر با وب‌سایتی جعلی، به سادگی قابل سوءاستفاده نیستند. به بیان ساده، در دنیای عبارات بازیابی، بزرگ‌ترین ریسک «لو رفتن راز» است، در حالی که در دنیای پسکی بزرگ‌ترین ریسک «از دست دادن دستگاه یا پاک شدن اعتبارنامه» است. مهاجم برای سوءاستفاده از پسکی باید هم به دستگاه دسترسی فیزیکی پیدا کند و هم بتواند قفل آن و احراز هویت بیومتریک را دور بزند که در سناریوهای معمولی بسیار دشوار است.

تجربه کاربری؛ از تایپ ۱۲ کلمه تا نگاهی کوتاه به دوربین

از دید کاربر عادی، تفاوت تجربه کاربری شاید حتی مهم‌تر از تفاوت فنی باشد. در مدل ۱۲/۲۴ کلمه‌ای، اولین ملاقات جدی کاربر با والت لحظه‌ای است که صفحه عبارت بازیابی ظاهر می‌شود و از او می‌خواهد کلمات را با دقت بنویسد و در جایی امن نگه دارد. اینجا معمولا اضطراب و نگرانی شروع می‌شود؛ «اگر برگه گم شود چه؟ اگر کسی ببیند چه؟ اگر بعدها بخواهم والت را در گوشی جدید بازیابی کنم، این برگه را کجا گذاشته‌ام؟» هر بار که کاربر گوشی عوض می‌کند، باید همان ۱۲ یا ۲۴ کلمه را دوباره به ترتیب وارد کند. اگر عبارتی طولانی داشته باشد یا به اندازه کافی با زبان انگلیسی راحت نباشد، احتمال خطا زیاد است و همین تجربه، خیلی‌ها را از کار با والت‌های غیرامانی دور می‌کند.

در کیف پول پسکی، روند ساده‌تر است. کاربر یک بار در همان دستگاه Passkey می‌سازد، اغلب با تأیید اثر انگشت یا چهره و از آن لحظه به بعد، ورود تقریبا مانند باز کردن صفحه قفل گوشی است. با توجه به این که اپل، گوگل و مایکروسافت امکان همگام‌سازی رمزنگاری‌شده Passkey ها را در حساب‌های ابری خود فراهم کرده‌اند، این اعتبارنامه‌ها میان دستگاه‌های کاربر در همان اکوسیستم جابه‌جا می‌شوند و روی لپ‌تاپ و تبلت هم قابل استفاده هستند. در عمل، همین سهولت باعث شده بسیاری از سرویس‌های بزرگ اینترنتی، از شبکه‌های اجتماعی تا خدمات دولتی، به‌تدریج به سمت استفاده پیش‌فرض از فناوری پسکی (Passkey) حرکت کنند.

در فضای وب ۳ نیز برخی کیف پول‌ها از همان ابتدا با رویکرد Passkey-first طراحی شده‌اند. کاربر در این مدل، فرایندی شبیه «ساخت حساب کاربری عادی» را تجربه می‌کند، اما پشت صحنه، ورود و امضای تراکنش‌ها به کمک Passkey انجام می‌شود و خبری از حفظ کردن ۲۴ یا ۱۲ کلمه نیست.

اشتباهات رایج کاربران در مدل‌های کیف پول‌ ارز دیجیتال

با تمام تفاوت‌های فنی، در دنیای واقعی این «اشتباهات انسانی» هستند که سرنوشت دارایی‌ها را رقم می‌زنند. در کیف پول ۱۲/۲۴ کلمه‌ای، خطاهای متداول به این شکل است که کاربر:

• از عبارت بازیابی اسکرین‌شات می‌گیرد و آن را در گالری یا پیام‌رسان نگه می‌دارد
• کلمات را در یک فایل متنی یا نوت ابری ذخیره می‌کند
• کاغذ حاوی عبارت را در جایی نیمه‌عمومی مثل کشوی میز کار، کنار پرینتر یا داخل کیف رها می‌کند

در تمام این سناریوها، مشکل اصلی این است که عبارت بازیابی در محیط‌هایی نگهداری می‌شود که به آسانی قابل کپی یا سرقت هستند و در صورت دسترسی هر فرد یا بدافزار، امکان خالی کردن حساب وجود دارد. در دنیای پسکی، اشتباه‌ها شکل دیگری دارند. کاربر معمولا:

• پسکی را با «پسورد معمولی» اشتباه می‌گیرد و اهمیت آن را جدی نمی‌گیرد
• هنگام مرتب‌سازی پسورد منیجر یا Keychain، ورودی‌های Passkey را حذف می‌کند
• قبل از افزودن دستگاه دوم یا فعال کردن راه جایگزین، گوشی را ریست یا حساب ابری را تغییر می‌دهد

اینجا تهدید اصلی، سرقت مستقیم پسکی نیست، بلکه پاک شدن یا از دست رفتن آن است؛ اتفاقی که می‌تواند در یک یا دو کلیک رخ بدهد و کاربر تازه زمانی متوجه شود که می‌خواهد وارد والت شود یا تراکنشی را امضا کند.

کدام مدل کیف پول ارز دیجیتال برای چه کاربری مناسب‌تر است؟

این جا دیگر پاسخ مطلق وجود ندارد و انتخاب به سطح دانش، حجم دارایی و سلیقه کاربر برمی‌گردد. کاربری که سال‌ها با مفاهیم امنیت سایبری کار کرده، به روش‌های بک‌آپ آفلاین تسلط دارد، ممکن است همچنان کیف پول ۲۴ کلمه‌ای کلاسیک را ترجیح دهد. در این مدل، اگر عبارت بازیابی را درست نگهداری کند، عملا شخص ثالثی وجود ندارد که در زنجیره اعتماد نقش بازی کند.

در مقابل، کاربری که می‌خواهد با کمترین اصطکاک وارد دنیای وب ۳ شود، تمرکز اصلی‌اش روی استفاده از اپلیکیشن‌های غیرمتمرکز، NFT یا پرداخت است و حوصله نگهداری کاغذ و مقابله با فیشینگ را ندارد، احتمالا با ولت‌های پسکی ارتباط بهتری برقرار می‌کند. ترکیب «ورود با اثر انگشت» و «مقاومت در برابر فیشینگ» در این مدل، تجربه‌ای نزدیک به اپلیکیشن‌های بانکی مدرن ایجاد می‌کند.

لازم است تاکید کنیم که هر دو مدل در صورت استفاده درست می‌توانند امن باشند. اما به طور کلی کیف پول پسکی راه راحت‌تری برای میلیون‌ها کاربر جدید باز می‌کند و همزمان هم می‌تواند گزینه‌ای قدرتمند برای کاربر حرفه‌ای و حاکمیت کامل بر دارایی باشد.

چند توصیه عملی برای کاربران پسکی (Passkey)

اگر کیف پول شما بر پایه پسکی کار می‌کند، رعایت چند نکته ساده می‌تواند ریسک از دست رفتن دسترسی را به حداقل برساند:

• اول این که، همیشه قبل از حذف هر ورودی با عنوان Passkey یا WebAuthn در پسورد منیجر یا Keychain، بررسی کنید که مربوط به کدام سرویس است. حذف پسکی مرتبط با والت، عملا شبیه از بین بردن عبارت بازیابی در مدل قدیمی است. 
• دوم، اگر کیف پول شما امکان تعیین روش پشتیبان را می‌دهد، از آن استفاده کنید؛ مثلا یک Passkey دوم روی دستگاه دیگر، یک ایمیل ریکاوری یا هر سازوکاری که خود والت پیشنهاد می‌کند.
• در نهایت، همان طور که هیچ کس گذرواژه اصلی ایمیل خود را بدون فکر پاک نمی‌کند، با Passkey هم باید با همین جدیت برخورد کرد. تفاوت فقط در شکل تجربه کاربری است، نه در اهمیت این کلید کوچک.

جمع‌بندی؛ از ۱۲ کلمه تا قانونی ساده

دنیای کیف پول‌های غیرامانی در حال گذار از عصر «کاغذ و ۲۴ کلمه» به عصر «اثر انگشت و پسکی» است. در مدل قدیمی، امنیت به ظرافت نگهداری عبارت بازیابی گره خورده بود و در مدل جدید، امنیت بر ترکیب کلیدهای رمزنگاری و احراز هویت بیومتریک سوار شده است. هیچ‌کدام جادویی و بدون ریسک نیستند؛ فقط نوع ریسک عوض و کمتر شده است. در کیف پول ۲۴ یا ۱۲ کلمه‌ای باید هنر مخفی‌کردن و بک‌آپ گرفتن داشته باشید، در کیف پول پسکی باید حواستان باشد این «اعتبارنامه نامرئی» را بی‌دلیل پاک نکنید! اگر بخواهیم همه این بحث را در یک جمله خلاصه کنیم، شاید این باشد:

در دنیای پسکی دیگر لازم نیست ۱۲ یا ۲۴ کلمه را حفظ و روی کاغذ نگهداری کنید، اما قانونی ساده را باید همیشه به خاطر داشته باشید؛ پسکی را پاک نکنید.