۱. چرا قفلهای قدیمی شکستند؟ (تحلیل هک اخیر)
تا همین دیروز، فکر میکردیم اگر یک رمز عبور پیچیده (شامل @ و # و عدد) داشته باشیم و تایید دو مرحلهای پیامکی (SMS) را روشن کنیم، امنترین گیمر دنیا هستیم. اما اخبار اخیر نشان داد که این دیوار دفاعی، کاغذی بیش نیست.
مرگ رمز عبور و اساماس
مشکل رمزهای عبور (Passwords) این است که آنها "قابل اشتراکگذاری" و "قابل لو رفتن" هستند. اگر دیتابیس یک سایت دیگر هک شود و شما از همان رمز در PSN استفاده کرده باشید، کارتان تمام است.
اما مشکل بزرگتر، تایید پیامکی است. هکرها از روشی به نام SIM Swapping استفاده میکنند. آنها با اپراتور تلفن همراه تماس میگیرند، خود را جای شما جا میزنند و سیمکارت شما را روی گوشی خودشان فعال میکنند. به همین سادگی، کد تایید برای آنها ارسال میشود نه شما!
باگ جدید پشتیبانی سونی
در حملات اخیر، هکرها حتی سیمکارت را هم هک نمیکنند. آنها با داشتن ایمیل شما، با پشتیبانی چت سونی تماس میگیرند و ادعا میکنند که به گوشی دسترسی ندارند. سیستمهای قدیمی پشتیبانی گاهی اوقات با دریافت اطلاعات ساده (مثل تاریخ تولد یا سریال کنسول که قابل پیدا کردن است)، لینک ریست پسورد را به ایمیل جدیدی میفرستند. اینجاست که ما نیاز به سیستمی داریم که "انسان" را از معادله حذف کند.
۲. تکنولوژی Passkey چیست؟ (به زبان ساده)
تکنولوژی Passkey (کلید عبور) که توسط اتحادیه FIDO و با همکاری غولهایی مثل گوگل، اپل و مایکروسافت ساخته شده، آینده امنیت اینترنت است. سونی اخیراً این قابلیت را به PSN اضافه کرده است.
تفاوت "چیزی که میدانید" و "چیزی که دارید"
- رمز عبور (Password): چیزی است که شما میدانید (یک رشته حروف). هر چیزی که میدانید، قابل دزدیده شدن یا حدس زدن است.
- کلید عبور (Passkey): چیزی است که شما دارید (گوشی موبایل شما یا اثر انگشت شما).
وقتی Passkey را فعال میکنید، اکانت PSN شما دیگر "رمز عبور" ندارد. بله، درست خواندید! هیچ رمزی وجود ندارد که هکر بخواهد آن را بدزدد.
برای ورود، سایت سونی یک سیگنال رمزنگاری شده به گوشی شما میفرستد. شما با اثر انگشت (TouchID) یا چهره (FaceID) خود تایید میکنید. تمام! کلید خصوصی (Private Key) در چیپ امنیتی گوشی شماست و هرگز از آن خارج نمیشود.
چرا Passkey غیرقابل فیشینگ است؟
حتی اگر یک هکر سایتی دقیقاً شبیه به playstation.com بسازد و شما را فریب دهد، Passkey کار نمیکند. چرا؟ چون پروتکل امنیتی گوشی شما میفهمد که این سایت جعلی است و اجازه ارسال امضای دیجیتال را نمیدهد. این یعنی امنیت ۱۰۰٪ در برابر صفحات جعلی.
۳. پیشنیازها: چه چیزهایی لازم داریم؟
قبل از اینکه آستینها را بالا بزنیم، مطمئن شوید ابزارهای زیر را دارید:
- یک گوشی هوشمند مدرن:
- آیفون با iOS 16 یا بالاتر.
- اندروید با Android 9 یا بالاتر.
- مرورگر آپدیت شده: ترجیحاً از Chrome یا Safari روی گوشی استفاده کنید.
- دسترسی به اکانت ایمیل: باید بتوانید وارد ایمیل متصل به اکانت PSN شوید.
- (اختیاری اما توصیه شده) کلید سختافزاری: اگر خیلی وسواسی هستید، میتوانید از کلیدهای فیزیکی مثل YubiKey 5 استفاده کنید، اما گوشی موبایل برای اکثر کاربران کافیست.
۴. آموزش قدمبهقدم فعالسازی Passkey در PSN
این مراحل را دقیق انجام دهید. توصیه میکنیم این مقاله را روی کامپیوتر یا تبلت باز کنید و مراحل را با گوشی انجام دهید.
مرحله ۱: ورود به منطقه امنیتی
۱. مرورگر گوشی خود را باز کنید و به آدرس playstation.com بروید.
۲. وارد اکانت خود شوید (Sign In).
۳. روی عکس پروفایل خود (بالا سمت راست) کلیک کنید و گزینه Account Settings را بزنید.
۴. در منوی سمت چپ، وارد بخش Security شوید.
مرحله ۲: خداحافظی با پسورد
در صفحه امنیت، گزینهای جدید به نام Sign In with Passkey را خواهید دید.
۱. روی دکمه Edit یا Activate کلیک کنید.
۲. سونی از شما میپرسد "آیا میخواهید با پسورد خداحافظی کنید؟". تایید کنید.
مرحله ۳: ثبت سختافزار (گوشی/کلید)
حالا سیستم از شما میخواهد که "این دستگاه" (گوشی که دستتان است) را به عنوان کلید معرفی کنید.
۱. دکمه Create Passkey را بزنید.
۲. سیستم عامل گوشی (اندروید یا iOS) پیامی میدهد که درخواست استفاده از اثر انگشت یا چهره را دارد.
۳. انگشت خود را روی سنسور بگذارید یا به دوربین نگاه کنید.
۴. تمام شد! پیام "Passkey Created" نمایش داده میشود.
مرحله ۴: دریافت کدهای اضطراری (Backup Codes)
اگر گوشیتان گم شد چه؟ یا دزدیده شد؟ اینجاست که باید کدهای اضطراری داشته باشید.
۱. در همان بخش Security، گزینه Backup Codes را پیدا کنید.
۲. روی آن کلیک کنید تا ۱۰ کد یکبار مصرف به شما بدهد.
۳. بسیار مهم: از این صفحه اسکرینشات بگیرید و آن را در جایی امن (مثل فلش مموری یا پرینت کاغذی) نگه دارید. این کدها تنها راه ورود شما در صورت گم شدن گوشی هستند.
۵. لایه دوم دفاعی: حذف روشهای پرداخت
حتی با داشتن Passkey، امنیت هیچوقت ۱۰۰٪ نیست (ممکن است گوشی شما باز باشد و دزدیده شود). برای جلوگیری از خالی شدن حساب بانکی، باید متد پرداخت را حذف کنید.
چرا نباید کارت بانکی روی کنسول باشد؟
هکرهای PSN معمولاً به دنبال اکانت نیستند، آنها به دنبال خرید "V-Bucks" یا بازیهای فیفا با کارت اعتباری شما هستند. اگر کارتی روی اکانت نباشد، آنها انگیزهای ندارند.
روش حذف (Remove Payment Method):
۱. در تنظیمات اکانت، به بخش Payment Management بروید.
۲. تمام کارتهای اعتباری (Credit/Debit Cards) و اکانتهای PayPal متصل را حذف (Remove) کنید.
جایگزین امن: هر وقت خواستید بازی بخرید، به اندازه مبلغ همان بازی "گیفت کارت" (Gift Card) بخرید و کد آن را وارد کنید. اینطوری اگر هک شوید، نهایتاً چند دلار تهِ کیف پولتان از دست میرود، نه کل موجودی بانک.
۶. اشتباهات رایج که امنیت شما را به باد میدهد
فعال کردن Passkey عالی است، اما این اشتباهات میتواند همه چیز را خراب کند:
- تاریخ تولد واقعی: هنگام ساخت اکانت، تاریخ تولد واقعی خود را وارد نکنید! (یا اگر وارد کردید، آن را فراموش نکنید). هکرها میتوانند با دانستن نام و تاریخ تولد شما، پشتیبانی سونی را فریب دهند تا Passkey را غیرفعال کند.
- اکانتهای ظرفیتی (Game Sharing): دادن ایمیل و رمز به کانالهای تلگرامی برای "ظرفیت ۲ و ۳" یعنی خودکشی امنیتی. وقتی اکانت را به کسی میدهید، او میتواند Backup Codes را بردارد و بعداً اکانت شما را بدزدد.
- ایمیل ناامن: اگر ایمیلی که به PSN متصل است، خودش Passkey نداشته باشد، هکر وارد ایمیل میشود و همه چیز را ریست میکند. پس Passkey را برای Gmail یا Yahoo خود هم فعال کنید.
۷. سناریوی بحران: اگر هک شدیم چه کنیم؟
خدای نکرده، اگر با پیام تغییر رمز مواجه شدید، این پروتکل اضطراری تکینگیم است:
- آرامش خود را حفظ کنید. استرس باعث اشتباه میشود.
- تلاش برای ورود با Backup Codes: سریعاً سعی کنید وارد شوید و اگر Passkey کار نکرد، از کدهای اضطراری استفاده کنید.
- قطع دسترسی همه (Sign Out All Devices):
اگر وارد شدید، فوراً به بخش Security بروید و دکمه "Sign Out on All Devices" را بزنید. این کار هکر را از کنسولش بیرون میاندازد. - تماس با پشتیبانی:
اگر دسترسی کامل قطع شده، باید با پشتیبانی سونی چت کنید.
متن نمونه انگلیسی:"Hello. My account has been compromised. The attacker changed my Sign-In ID (Email) and bypassed my 2FA. I have proof of ownership (Serial Number of the console used to create the account + Transaction ID of last purchase). Please lock the account immediately."
۸. کلام آخر: امنیت، یک سفر است نه مقصد
فرمانده عزیز، امنیت سایبری یک بار انجام دادن و فراموش کردن نیست. هکرها هر روز باهوشتر میشوند، پس ما هم باید باهوشتر شویم.
فعال کردن Passkey تنها ۵ دقیقه وقت شما را میگیرد، اما شما را از هفتهها استرس و از دست دادن صدها دلار سرمایه نجات میدهد. همین الان، بله همین الان، گوشی را بردارید و این قلعه را بسازید.
اگر سوالی در مورد مراحل داشتید، در بخش نظرات تکینگیم بپرسید. ما هوای همدیگر را داریم.
Game On, Stay Safe! 🛡️🎮