۱. مقدمه: چرا یکشنبه ۷ دسامبر، روز مرگ "پسورد" بود؟
۱.۱. پایان یک عصر ناامن
دیشب (۶ دسامبر ۲۰۲۵)، ۵۰ میلیون گیمر استیم و میلیونها کاربر متا با وحشت از خواب بیدار شدند. دیتابیسها لو رفتند و پسوردها در دارک وب حراج شدند. اما سوال اینجاست: چرا؟
مشکل این نیست که پسورد شما 123456 بوده است. حتی اگر پسورد شما Tr&4$mP9!z هم باشد، وقتی سرور لو برود، آن پسورد دیگر امن نیست. در سال ۲۰۲۵، با وجود کامپیوترهای کوانتومی و حملات "Credential Stuffing" (تست کردن پسوردهای لو رفته در سایتهای دیگر)، مفهوم "رمز عبور متنی" کاملاً منسوخ شده است.
۱.۲. خداحافظی با SMS 2FA
سالها به ما گفتند "تایید دو مرحلهای پیامکی" فعال کنید. اما حالا هکرها با تکنیک "SIM Swapping" (کپی کردن سیمکارت شما) به راحتی کدهای پیامکی را دریافت میکنند. اگر هنوز برای امنیت اکانت بایننس یا استیم خود به SMS وابسته هستید، شما روی بمب ساعتی نشستهاید.
۲. انقلاب Passkey: کلید عبور چیست؟
۲.۱. توضیح به زبان ساده
تکنولوژی Passkey که توسط اتحادیه جهانی FIDO (شامل گوگل، اپل و مایکروسافت) استاندارد شده، رمز عبور را از معادله حذف میکند.
در این سیستم، گوشی موبایل یا لپتاپ شما تبدیل به "کلید" میشود. وقتی میخواهید وارد سایت شوید، سایت یک "معما" به گوشی شما میفرستد. گوشی شما با اسکن اثر انگشت یا چهره (FaceID)، معما را حل میکند و وارد میشوید.
نکته کلیدی: هیچ "رمزی" رد و بدل نمیشود که هکر بتواند آن را بدزدد. کلید خصوصی (Private Key) هرگز از چیپست امنیتی گوشی شما خارج نمیشود.
۲.۲. چرا غیرقابل فیشینگ است؟
بزرگترین مزیت Passkey این است که به "دامنه سایت" (Domain) قفل شده است. اگر هکرها سایتی دقیقاً شبیه tekingame.ir بسازند (مثلاً tekingame.co) و شما را فریب دهند، گوشی شما متوجه تفاوت میشود و Passkey را ارسال نمیکند. این یعنی پایان دوران فیشینگ.
۳. راهنمای عملی: فعالسازی Passkey
۳.۱. حساب گوگل (Gmail & YouTube)
گوگل پیشگام این حرکت است.
۱. به صفحه myaccount.google.com بروید.
۲. وارد بخش Security شوید.
۳. گزینه Passkeys را پیدا کنید و دکمه Create a Passkey را بزنید.
۴. اثر انگشت خود را اسکن کنید. تمام! حالا برای ورود فقط به اثر انگشت نیاز دارید.
۳.۲. اپل آیدی (Apple ID)
در iOS 19 و macOS Sequoia، این ویژگی به صورت پیشفرض فعال است. Passkeyهای شما در iCloud Keychain ذخیره میشوند و بین آیفون، آیپد و مکبوک شما سینک میشوند. اگر وارد سایتی شدید که از Passkey پشتیبانی میکند، کیبورد آیفون به شما پیشنهاد ساخت کلید میدهد.
۳.۳. استیم (Steam)
بعد از هک دیشب، والو تنظیمات جدیدی اضافه کرده است. ۱. اپلیکیشن موبایل Steam را آپدیت کنید. ۲. به بخش Steam Guard بروید. ۳. گزینه Add Passkey را فعال کنید. حالا حتی اگر هکر پسورد شما را داشته باشد، بدون دسترسی فیزیکی به گوشی شما و اثر انگشتتان، نمیتواند وارد شود.
۴. مدیریت پسوردها در سال ۲۰۲۵
۴.۱. چرا مرورگر امن نیست؟
ذخیره کردن پسوردها در Chrome یا Edge راحت است، اما امن نیست. اگر بدافزاری وارد کامپیوتر شود (مثل تروجانهای Info-Stealer)، اولین جایی که سرقت میکند، دیتابیس پسوردهای مرورگر است.
۴.۲. بهترین پسورد منیجرها
شما به یک "گاوصندوق دیجیتال" نیاز دارید. در سال ۲۰۲۵، دو گزینه برتر عبارتند از:
🔒 Bitwarden: متنباز، رایگان و فوقالعاده امن.
🔒 1Password: رابط کاربری عالی و ویژگی "Watchtower" که به شما میگوید کدام پسوردتان در دارک وب لو رفته است.
۵. تهدیدات جدید: هوش مصنوعی و دیپفیک
۵.۱. وقتی مادرتان تماس میگیرد!
ترسناکترین تهدید ۲۰۲۵، AI Voice Cloning است. هکرها با ۳ ثانیه از صدای شما (که از استوری اینستاگرام برداشتهاند)، میتوانند صدایتان را کپی کنند.
سناریو: تماسی با والدین شما گرفته میشود، صدای شما را میشنوند که با گریه میگویید تصادف کردهاید و پول لازم دارید.
راه حل: یک "کلمه رمز خانوادگی" (Safe Word) داشته باشید. کلمهای که فقط شما و خانوادهتان میدانید و در هوش مصنوعی وجود ندارد.
۵.۲. ایمیلهای GPT-5
ایمیلهای فیشینگ دیگر پر از غلط املایی نیستند. آنها با هوش مصنوعی نوشته شدهاند و کاملاً رسمی و باورپذیرند.
قانون طلایی: هرگز روی لینکهای داخل ایمیل "تغییر پسورد" یا "تایید تراکنش" کلیک نکنید. خودتان آدرس سایت را در مرورگر تایپ کنید.
۶. سختافزار امنیتی: کلیدهای فیزیکی (YubiKey)
۶.۱. کلید خانه برای اینترنت
اگر اکانت استیم شما هزاران دلار ارزش دارد، یا ادمین کانالهای تلگرامی بزرگ هستید، نرمافزار کافی نیست. شما به YubiKey 6 Bio نیاز دارید. این یک فلش مموری کوچک است که سنسور اثر انگشت دارد. برای ورود به اکانت، باید آن را به پورت USB بزنید و لمس کنید. حتی اگر هکر کامپیوتر شما را ریموت کنترل کند، نمیتواند پورت USB شما را لمس کند! قیمت ۵۰ دلاری آن در برابر امنیت داراییهای شما ناچیز است.
۷. چکلیست اورژانسی: اگر هک شدید
اگر فکر میکنید همین الان در خطر هستید، این کارها را به ترتیب انجام دهید (قانون ۲۰ دقیقه):
- قطع دسترسیها (Kill Sessions): در تنظیمات تلگرام، جیمیل یا استیم، گزینهی "Log out of all other sessions" را بزنید.
- تغییر رمز اصلی: رمز ایمیل اصلی خود را عوض کنید. ایمیل دروازه ورود به بقیه جاهاست.
- انجماد بانکی: اگر اطلاعات کارتتان در اکانت بوده، کارت را از طریق اپلیکیشن بانک مسدود کنید.
- اسکن بدافزار: با آنتیویروس معتبر سیستم را اسکن کنید. شاید یک کیلاگر (Keylogger) روی سیستم دارید.
۸. جمعبندی تکین پلاس
دوستان عزیز، امنیت یک محصول نیست که بخرید و نصب کنید؛ امنیت یک "فرهنگ" است. در سال ۲۰۲۵، تنبلی در امنیت به معنای از دست دادن سرمایه است.
اقدام امروز شما: ۱. همین الان برای جیمیل و استیم خود Passkey بسازید. ۲. تایید دو مرحلهای پیامکی را خاموش و از اپلیکیشن (Google Authenticator) استفاده کنید. ۳. این مقاله را برای دوستانی که اکانتهای باارزش دارند بفرستید.
امن بمانید و هوشمندانه بازی کنید.