YubiKey: کلید امنیتی سخت‌افزاری برای ارزهای دیجیتال و MFA

نوشته شده در Jun 10, 2026 نوشته شده توسط Elisabeth McGowan

یک زبانه فلزی کوچک که با نوک انگشت روی آن ضربه می‌زنید، کاری را انجام می‌دهد که هیچ رمز عبوری تا به حال نتوانسته است انجام دهد: این کار به تصاحب حساب‌ها در یکی از شرکت‌هایی که بیشترین حمله را روی زمین داشته است، پایان داد. پس از اینکه گوگل YubiKey را به بیش از ۸۵۰۰۰ کارمند خود تحویل داد، تعداد حساب‌های کارکنان که با موفقیت فیشینگ شده بودند به صفر رسید و از اوایل سال ۲۰۱۷ در همان حد باقی مانده است. این کل ماجرای یک کلید امنیتی سخت‌افزاری است. این کلید آنتی‌ویروس نیست و سکه‌های شما را ذخیره نمی‌کند. این یک شیء فیزیکی است که ثابت می‌کند شما خودتان هستید و فریب دادن آن تقریباً غیرممکن است.

این راهنما توضیح می‌دهد که YubiKey چیست، چگونه کار می‌کند، چرا از پیامک و برنامه‌های تأیید هویت بهتر است و چگونه می‌توان از آن برای قفل کردن حساب‌های ارز دیجیتال که سارقان ابتدا به سراغ آنها می‌روند، استفاده کرد.

YubiKey چیست و چرا اهمیت دارد؟

YubiKey را به عنوان کلید خانه برای حساب‌های خود در نظر بگیرید، با این تفاوت که این کلید قابل کپی کردن نیست. این یک کلید امنیتی سخت‌افزاری کوچک از Yubico، شرکت سوئدی-آمریکایی است که از سال ۲۰۰۷ این کلیدها را تولید می‌کند. بدون باتری. بدون صفحه نمایش. فقط یک تکه پلاستیک و فلز به اندازه یک فلش مموری که به پورت USB وصل می‌شود یا از طریق NFC به تلفن شما متصل می‌شود، با یک دیسک طلایی که با نوک انگشت فشار می‌دهید.

کل ترفند همان اشاره انگشت است. رمز عبور چیزی است که شما می‌دانید، و هر چیزی که می‌دانید می‌تواند دزدیده شود، لو برود یا حدس زده شود، اغلب هر سه مورد همزمان. YubiKey چیزی است که شما دارید، و نمی‌توانید یک شیء فیزیکی را از جیب کسی فیشینگ کنید. بنابراین به یک عامل دوم برای احراز هویت دو عاملی تبدیل می‌شود، و یک عامل سرسخت. هیچ یک از سکه‌ها و هیچ یک از فایل‌های شما را ذخیره نمی‌کند. هنگام ورود به سیستم، یک سوال را حل می‌کند و سپس بی‌صدا می‌شود: آیا مالک واقعی الان اینجا ایستاده است؟ ضربه بزنید، و وارد می‌شوید. اگر ضربه نزنید، و ورود به سیستم روی صفحه محو می‌شود، هر چقدر هم که رمز عبور دزدیده شده بی‌نقص به نظر برسد.

یوبیکی

نحوه‌ی عملکرد YubiKey برای جلوگیری از فیشینگ

بخش هوشمندانه ماجرا سخت‌افزار نیست. این یک امضای وابسته به دامنه است که یک وب‌سایت جعلی هرگز نمی‌تواند آن را از دستگاه خارج کند.

رازی که هرگز فاش نمی‌شود

یک YubiKey را در یک سرویس ثبت کنید و آن بی‌سروصدا یک جفت کلید جدید، یکی عمومی و یکی خصوصی، با استفاده از رمزنگاری کلید عمومی ایجاد می‌کند. نیمه خصوصی در یک تراشه امن ذخیره می‌شود و دیگر هرگز باز نمی‌گردد. نه از طریق USB، نه با دستگاهی که در دست دارید، نه هرگز. فقط نیمه عمومی به سرور می‌رود. پس از آن، هر ورود به سیستم یک تماس و پاسخ سریع است: سایت یک چالش تصادفی ایجاد می‌کند، کلید آن را با نیمه خصوصی که هیچ‌کس نمی‌تواند آن را بخواند امضا می‌کند و سرور آن امضا را با نیمه عمومی که نگه داشته است، بررسی می‌کند. این استاندارد FIDO2 و WebAuthn است که بر اساس U2F قدیمی‌تر ساخته شده است و به همین دلیل است که اعتبارنامه شما نمی‌تواند از دستگاه جدا شود.

چرا فیشینگ نمی‌تواند کار کند؟

حالا بخشی که در واقع فیشینگ را از بین می‌برد. در همان تبادل، مرورگر همچنین به کلید می‌گوید که در کدام دامنه هستید. YubiKey آن را با سایتی که برای اولین بار در آن ثبت نام کرده است مقایسه می‌کند. در یک صفحه مشابه، دامنه اشتباه است، بنابراین کلید شانه بالا می‌اندازد و از امضا امتناع می‌کند. شما می‌توانید کاملاً توسط سایت جعلی فریب بخورید - سخت‌افزار اینطور نیست، و سخت‌افزار چیزی است که اهمیت دارد. ضربه فیزیکی را که ثابت می‌کند یک انسان حضور دارد، اضافه کنید، و شما چیزی را دارید که سازمان‌های امنیتی آن را احراز هویت مقاوم در برابر فیشینگ می‌نامند. یک رمز عبور را می‌توان در یک کادر جعلی تایپ کرد. امضای متصل به دامنه نمی‌تواند.

رمز یکبار مصرف، کارت هوشمند و رمز عبور

یک YubiKey پرچمدار به چندین زبان صحبت می‌کند، نه یک زبان. می‌تواند یک رمز عبور یکبار مصرف Yubico، یک هیولای ۴۴ کاراکتری در کنار کدهای شش رقمی که یک برنامه نشان می‌دهد، را فعال کند. این برنامه رمزهای عبور یکبار مصرف مبتنی بر زمان را نیز ارائه می‌دهد، همان استاندارد TOTP که برنامه تأیید هویت شما از آن استفاده می‌کند. این برنامه برای ورود به سیستم شرکت‌ها و دولت‌ها از کارت هوشمند استفاده می‌کند. و کلیدهای عبور را برای احراز هویت کاملاً بدون رمز عبور ذخیره می‌کند، که در آن کلید، نام کاربری است، نه یک نسخه پشتیبان از آن. مورد آخر به سرعت در حال پیشرفت است: اتحاد FIDO می‌گوید تقریباً نیمی از ۱۰۰ وب‌سایت برتر در حال حاضر کلیدهای عبور را می‌پذیرند.

پروتکل	چه کاری انجام می‌دهد؟	جایگزین‌ها
FIDO2 / احراز هویت وب	ورود و رمزهای عبور مقاوم در برابر فیشینگ	رمزهای عبور و احراز هویت دو مرحله‌ای ضعیف
یو۲اف	عامل دوم وابسته به مبدا	کدهای پیامکی و برنامه
یوبیکو OTP	رمز عبور یکبار مصرف ۴۴ کاراکتری	کدهای کوتاه احراز هویت
TOTP / سوگند	کدهای مبتنی بر زمان که روی کلید ذخیره شده‌اند	یک برنامه احراز هویت جداگانه
کارت هوشمند (PIV)	ورود مبتنی بر گواهی	ورود با نشان شرکتی

چرا YubiKey از پیامک و برنامه‌های احراز هویت بهتر است؟

هر عامل دوم رایج دیگری می‌تواند به صورت آنی به یک سایت جعلی منتقل شود، اما YubiKey نمی‌تواند، و آن شکاف دقیقاً جایی است که ارزهای دیجیتال دزدیده می‌شوند.

پیامک ضعیف‌ترین حلقه ارتباطی است

کد پیامکی راحت به نظر می‌رسد و بدترین گزینه رایج است. کد به شماره تلفن شما می‌رود و شماره تلفن شما می‌تواند از شما گرفته شود. در تعویض سیم‌کارت، یک مهاجم با اپراتور شما صحبت می‌کند تا شماره شما را به سیم‌کارت خود منتقل کند، سپس مستقیماً کدهای شما را دریافت می‌کند. این یک مورد نادر نیست. کلاهبرداری تعویض سیم‌کارت در بریتانیا در سال ۲۰۲۴ بیش از ۱۰۵۵ درصد افزایش یافت. به همین دلیل است که CISA و FBI از به حساب آوردن پیامک به عنوان MFA مقاوم در برابر فیشینگ خودداری می‌کنند. برای حسابی که پول در آن نگهداری می‌شود، اعتماد به پیامک یک اشتباه است و دقیقاً همین ضعف است که باعث می‌شود یک کلید سخت‌افزاری برای دارنده ارز دیجیتال بیشتر از تقریباً هر کس دیگری اهمیت داشته باشد.

حتی برنامه‌های احراز هویت هم یک شکاف فیشینگ دارند

برنامه‌های احراز هویت یک گام بزرگ نسبت به پیامک هستند و در کنار کد متنی، به عنوان احراز هویت دو مرحله‌ای قوی محسوب می‌شوند، اما یک نقطه ضعف دارند. هر MFA ارزش فعال کردن را دارد؛ مایکروسافت دریافته است که ۹۹.۹٪ از حملات خودکار را مسدود می‌کند. با این حال، نوع تصمیم می‌گیرد که آیا یک فیشر انسانی زنده می‌تواند از آن عبور کند یا خیر. کد شش رقمی که یک برنامه نشان می‌دهد فقط یک عدد است و می‌توان یک عدد را در یک کادر جعلی تایپ کرد. یک صفحه فیشینگ مدرن کد شما را درخواست می‌کند و آن را در عرض ۳۰ ثانیه به سرویس واقعی منتقل می‌کند. YubiKey این حفره را می‌بندد، زیرا امضای آن به دامنه واقعی گره خورده است و نمی‌توان آن را در دامنه دیگری تکرار کرد. این یک تئوری نیست. به همین دلیل است که ۸۵۰۰۰ کارمند گوگل از روزی که کلیدهای سخت‌افزاری جایگزین همه چیز شدند، دیگر مورد فیشینگ قرار نگرفتند.

روش	مقاوم در برابر فیشینگ	مقاوم در برابر تعویض سیم‌کارت	آفلاین کار می‌کند
کد پیامکی	خیر	خیر	خیر
برنامه تأییدکننده هویت	خیر	بله	بله
یوبی‌کی	بله	بله	بله

استفاده از YubiKey برای ایمن‌سازی ارزهای دیجیتال شما

این نتیجه‌ای است که هر کسی در حوزه ارزهای دیجیتال به دست می‌آورد: یک YubiKey دقیقاً همان حساب‌هایی را قفل می‌کند که مهاجمان تعویض سیم‌کارت و تخلیه کیف پول، ابتدا آنها را هدف قرار می‌دهند. اکثر صرافی‌های بزرگ اکنون از کلید امنیتی سخت‌افزاری برای امنیت حساب پشتیبانی می‌کنند و چندین صرافی از جمله Coinbase ، Binance، Gemini، OKX، Bybit، Crypto.com و KuCoin، امکان ورود کامل با FIDO2 یا رمز عبور را فراهم می‌کنند. Kraken و Bitfinex کلید سخت‌افزاری را به عنوان عامل دوم می‌پذیرند. روشن کردن این کلید به این معنی است که دزدی که رمز عبور و شماره تلفن شما را دارد، بدون کلید فیزیکی نمی‌تواند وارد شود.

به صرافی اکتفا نکنید. حسابی که بیشترین اهمیت را دارد، ایمیل شماست - این مسیر بازیابی برای هر چیز دیگری است - بنابراین ابتدا یک کلید روی آن قرار دهید. سپس آن را به مدیر رمز عبور خود، سپس صرافی و هر سرویس کیف پولی که از آن پشتیبانی می‌کند، اضافه کنید. هدف ساده است: هر ورودی که فقط به کدی بستگی دارد که یک کلاهبردار می‌تواند آن را فیشینگ یا رهگیری کند، حذف کنید. همان کلید سپس سایر سرویس‌های آنلاین شما را با یک عادت ایمن می‌کند و از آنجا که این فناوری به طور خاص برای شکست حملات فیشینگ ساخته شده است، دقیقاً همان مرحله‌ای را که یک صفحه جعلی ایردراپ یا تخلیه کیف پول به آن متکی است، خنثی می‌کند. در تمام آن حساب‌های آنلاین، YubiKey به تنها اعتبارنامه‌ای تبدیل می‌شود که هیچ کس نمی‌تواند از راه دور آن را کپی کند، که بی‌سروصدا در را می‌بندد که تعویض سیم‌کارت و تخلیه‌کنندگان به آن متکی هستند.

مدل‌های YubiKey و نحوه انتخاب آنها

کاتالوگ یوبیکو از آنچه که واقعاً هست، ترسناک‌تر به نظر می‌رسد. سه سوال همه چیز را مشخص می‌کند: دستگاه‌های شما چه پورت‌هایی دارند، آیا NFC را برای گوشی خود می‌خواهید یا خیر، و آیا حسگر اثر انگشت می‌خواهید یا خیر.

برای اکثر مردم، پاسخ YubiKey 5 NFC با قیمت حدود ۵۸ دلار است. این محصول از تمام پروتکل‌های بالا پشتیبانی می‌کند و به شما USB-A و NFC می‌دهد. تمام تجهیزات شما USB-C است؟ YubiKey 5C NFC همان کلید است، اما با ظاهری متفاوت. آیا می‌خواهید کمتر هزینه کنید؟ کلید امنیتی با قیمت حدود ۲۹ دلار، بدون هیچ گونه اضافی است و فقط FIDO2 و U2F را اجرا می‌کند که برای ورود به سیستم‌های رمزنگاری و روزمره کافی است. اثر انگشت را ترجیح می‌دهید؟ سری YubiKey Bio، نزدیک به ۹۸ دلار، یک حسگر بیومتریک برای استفاده بدون پین اضافه می‌کند و یک خط FIPS برای محیط‌های کاری تحت نظارت وجود دارد. هر کدام را که انتخاب کردید، دو عدد بخرید. دومی پشتیبان شماست و روزی که اولی از رده خارج شود، از آن سپاسگزار خواهید بود.

یوبیکی

راه‌اندازی و کار با YubiKey

راه‌اندازی برای هر حساب کاربری حدود ده دقیقه طول می‌کشد. بخشی که هیچ‌کس در مورد آن به شما هشدار نمی‌دهد، پشتیبان‌گیری است.

ثبت کلید شما

از صفحه تنظیمات رسمی شروع کنید، یک سرویس را انتخاب کنید و تنظیمات دو مرحله‌ای یا رمز عبور آن را باز کنید. سپس یکی از سه مسیر را برای پیکربندی کلید انتخاب کنید: آن را به عنوان یک کلید امنیتی ثبت کنید، یک رمز عبور برای آن ذخیره کنید یا آن را در یک اسلات برنامه تأیید هویت قرار دهید. وقتی از شما خواسته شد، ضربه بزنید و کار تمام است. اکثر افراد در نهایت دو یوبیکی و چند گزینه تأیید اعتبار برای هر حساب دارند، بنابراین از دست دادن یک دستگاه هرگز آنها را قفل نمی‌کند. همین کلید در ویندوز، macOS، لینوکس، اندروید و iOS کار می‌کند، بنابراین از لپ‌تاپ و تلفن شما به طور یکسان محافظت می‌کند. ابتدا ایمیل خود را بررسی کنید، سپس مدیریت رمز عبور خود را انجام دهید، و در نهایت صرافی خود را. این سه مورد بیشتر ریسک واقعی شما را پوشش می‌دهند.

نکته: پشتیبان‌گیری و محدودیت‌های صادقانه

YubiKey جادو نیست و دانستن نکات مثبت و منفی آن ارزشمند است. یک کلید ثبت کنید، اگر آن را گم کنید، ممکن است قفل شوید، بنابراین همیشه یک کلید یدکی ثبت کنید یا کدهای بازیابی خود را در جایی امن ذخیره کنید. هنوز همه سرویس‌ها از کلیدهای سخت‌افزاری پشتیبانی نمی‌کنند، هرچند این لیست هر ساله در حال افزایش است. هزینه اولیه، تقریباً ۵۸ دلار، وجود دارد. و سخت‌افزار دارای اشکالاتی بوده است: یک نقص به نام ROCA در سال ۲۰۱۷، یک مشکل Infineon در سال ۲۰۲۴، که هر دو نیاز به دسترسی فیزیکی دارند و هر دو در سیستم عامل جدیدتر برطرف شده‌اند. پاورقی‌ها، نه عوامل بازدارنده. هیچ یک از آنها از یک چیز مهم در اینجا، یعنی جلوگیری از تصاحب حساب از راه دور، مهم‌تر نیستند.

آیا YubiKey برای کاربران ارزهای دیجیتال ارزشش را دارد؟

برای هر کسی که ارز دیجیتال دارد، پاسخ مثبت است. YubiKey یک خرید یک‌باره است، حدود ۵۸ دلار به علاوه یک نسخه پشتیبان، و بدون نیاز به اشتراک. این را در مقایسه با یک تعویض سیم‌کارت یا صفحه فیشینگ که حساب یک صرافی را خالی می‌کند، بسنجید، و محاسبات نزدیک به هم نیستند. یک رمز عبور و یک برنامه تأیید هویت، استانداردها را بالا می‌برد؛ YubiKey MFA آن را فراتر از جایی که مهاجمان از راه دور می‌توانند به آن دسترسی پیدا کنند، ارتقا می‌دهد. اگر حتی یکی از حساب‌های آنلاین شما پول داشته باشد، ارزان‌ترین بیمه‌ای است که تا به حال خریداری کرده‌اید.

YubiKey اثر انگشت شما را به رمز عبور تبدیل می‌کند

اگر پروتکل‌ها و شماره مدل‌ها را کنار بگذارید، YubiKey یک کار را به طرز فوق‌العاده‌ای انجام می‌دهد: قوی‌ترین بخش ورود شما را به یک شیء فیزیکی تبدیل می‌کند که در دست دارید و لمس می‌کنید. فیشینگ می‌تواند یک رمز عبور را کپی کند و یک کد را منتقل کند، اما نمی‌تواند کلیدی را که در جیب شماست کپی کند - یا ضربه انگشت شما را جعل کند. به همین دلیل است که در جایی که همه چیز دیگر نشت می‌کند، کار می‌کند. این هفته یکی را روی ایمیل و صرافی اصلی خود قرار دهید و یک نسخه پشتیبان نیز اضافه کنید. بنابراین تنها سوال واقعی باقی مانده، سوال عملی است: کدام حساب کاربری که پول شما را در خود جای داده است، هنوز با کدی که یک غریبه می‌تواند امروز فیشینگ کند، محافظت می‌کنید؟

Elisabeth McGowan

A freelance writer passionate about celebrities, net worth stories, athletes, and political figures. She transforms facts into engaging narratives. A true cheese lover and cycling enthusiast, she finds inspiration in motion and flavor.