اگر امروز در حال طراحی سیستمهای احراز هویت بدون رمز عبور هستید، احتمالاً به دیواری برخورد کردهاید که ۹۳٪ سازمانها را متوقف کرده است. طبق گزارش dev.to در ۱۹ ژوئن ۲۰۲۶، در حالی که اکثر شرکتها پسوردهای جایگزین را آزمایش کردهاند، تنها ۱۳٪ توانستهاند آنها را در مقیاس واقعی مستقر کنند.
این شکاف عمیق به دلیل تمرکز بیش از حد بر «مسیر سبز» یا همان تجربهٔ ایدهآل کاربر است. تصور کنید یک قفل دیجیتال فوقپیشرفته دارید که با اثر انگشت باز میشود — اما اگر کلید یدک گم شود، راهی برای ورود به خانه نیست. این دقیقاً همان وضعیتی است که صنعت در مواجهه با پسورد جایگزین (Passkey) تجربه میکند؛ یعنی یک دستتکانی بیومتریک ۸.۵ ثانیهای بینقص، در مقابل یک معماری بازیابی بسیار ابتدایی.
در اکثر این سیستمها، احراز هویت بر پایه یک راز سختافزاری است که در تراشه امن (Secure Enclave) ذخیره میشود. این فرآیند از تحلیل فاصله اقلیدسی برای تطبیق اسکن چهره با یک الگو استفاده میکند؛ اگر فاصله به اندازه کافی کم باشد، ماژول پلتفرم مورد اعتماد (TPM) کلید خصوصی را آزاد میکند. شرکتهایی مانند CaraComp با اولویت دادن به معیارهای شفاف بهجای سیستمهای «جعبه سیاه»، بر این روش تمرکز کردهاند.
همانطور که در تحلیلهای قبلی ما دربارهی امنیت مدلهای بازمتن و زیرساختهای رمزنگاری اشاره کردیم، نقطه ضعف سیستمهای امنیتی معمولاً در زنجیرهترین حلقه است. این موضوع یادآور آسیبپذیریهای سیستمی است که در موارد اخیر مشاهده شد؛ برای مثال، نقصهای امنیتی در ابزارهایی نظیر Claude Code نشان داد که چگونه حفرههای کوچک میتوانند دسترسیهای ریشه و گسترده به دادههای محرمانه ایجاد کنند. در اینجا، توسعهدهندگان برای کمک به کاربرانی که دسترسیشان قطع شده، از «نردبان طنابی» استفاده میکنند: لینکهای بازنشانی رمز عبور از طریق ایمیل. این اقدام عملاً قدرت رمزنگاری پسورد جایگزین را نابود میکند؛ چراکه شما درِ ورودی خانه را با یک گاوصندوق ضدسرقت میبندید، اما پنجره پشتی را باز میگذارید.
این تغییر پارادایم، چالش مهندسان هویت را عوض کرده است. دیگر مسئله، بهبود دقت الگوریتمهای تطبیق چهره نیست، بلکه نیاز به پروتکلهای «بازیابی اجتماعی» یا «گواهی چنددستگاهی» است. بدون این زیرساختها، آیندهای بدون رمز عبور بسیار شکننده خواهد بود، زیرا گم شدن یک گوشی میتواند به معنای نابودی کامل هویت دیجیتال کاربر باشد. این شکنندگی در مدیریت هویت، میتواند منجر به فجایعی شود مشابه آنچه در لو رفتن ۲۰ هزار حساب اینستاگرام توسط عاملهای هوشمند متا دیدیم، جایی که یک نقص در لایه دسترسی منجر به افشای گسترده دادهها شد.
گام بعدی شما
- جریانهای بازیابی فعلی خود را بررسی کنید تا ببینید آیا دوباره حفرههای فیشینگ را باز کردهاید یا خیر.
- بین استفاده از کلیدهای سختافزاری (برای امنیت بالا) و کلیدهای همگامسازی شده در فضای ابری (برای راحتی کاربر) تصمیم بگیرید.
- پروتکلهای Multi-Device Attestation را برای کاهش وابستگی به یک دستگاه واحد مطالعه کنید.
اما داستان سختافزاری این تحول حتی شگفتانگیزتر است — به تحلیل ما دربارهی تراشههای Blackwell و پردازش لبه مراجعه کنید.
گفتگو