Şifre anahtarları ile şifresiz giriş

Geçiş anahtarları

Giriş

Geçiş anahtarları, şifrelere kıyasla daha güvenli ve kolay bir alternatiftir. Geçiş anahtarları sayesinde kullanıcılar biyometrik sensör (parmak izi veya yüz tanıma gibi), PIN ya da desen ile uygulamalarda ve web sitelerinde oturum açarak şifrelerini hatırlamak ve yönetmek zorunda kalmaz.

Geliştiriciler de kullanıcılar da şifrelerden nefret ederler: Kötü bir kullanıcı deneyimi sunarlar, dönüşümü zorlaştırırlar ve hem kullanıcılar hem de geliştiriciler için güvenlik sorumluluğu oluştururlar. Android ve Chrome'daki Google Şifre Yöneticisi, otomatik doldurma özelliği sayesinde kullanımı kolaylaştırır. Dönüşüm ve güvenlik konusunda daha da fazla iyileştirme arayan geliştiriciler için geçiş anahtarları ve kimlik federasyonu, sektörün modern yaklaşımlarıdır.

Geçiş anahtarları, kimlik avı saldırılarına karşı güçlü bir koruma sağlamak ve SMS veya uygulama tabanlı tek kullanımlık şifrelerin kullanıcı deneyimindeki zorlukları ortadan kaldırmak için hem şifreyi hem de OTP'yi (ör. 6 haneli SMS kodu) değiştirerek tek bir adımda çok faktörlü kimlik doğrulama gereksinimlerini karşılayabilir. Geçiş anahtarları standart hale getirildiğinden, tek bir uygulama tüm kullanıcıların cihazlarında, farklı tarayıcılar ve işletim sistemlerinde şifresiz bir deneyim sağlar.

Geçiş anahtarları daha kolaydır:

  • Kullanıcılar oturum açmak için bir hesap seçebilir. Kullanıcı adını yazmanız gerekmez.
  • Kullanıcılar parmak izi sensörü, yüz tanıma veya PIN gibi cihazın ekran kilidini kullanarak kimlik doğrulaması yapabilir.
  • Geçiş anahtarı oluşturulduktan ve kaydedildikten sonra kullanıcılar sorunsuz şekilde yeni bir cihaza geçebilir ve yeniden kaydolmak zorunda kalmadan bu anahtarı hemen kullanabilir (her cihazda kurulum gerektiren geleneksel biyometrik kimlik doğrulamanın aksine).

Geçiş anahtarları daha güvenlidir:

  • Geliştiriciler şifre yerine yalnızca ortak bir anahtarı sunucuya kaydeder. Bu da, kötü niyetli bir kişinin sunuculara saldırmasının çok daha az değeri ve bir güvenlik ihlali durumunda temizlik yapılması çok daha az olur.
  • Geçiş anahtarları kullanıcıları kimlik avı saldırılarına karşı korur. Geçiş anahtarları yalnızca kayıtlı web sitelerinde ve uygulamalarında çalışır. Doğrulama işlemi tarayıcı veya işletim sistemiyle gerçekleştirildiği için kullanıcı, yanıltıcı bir sitede kimlik doğrulaması yapması için kandırılamaz.
  • Geçiş anahtarları, SMS gönderme maliyetlerini azaltarak iki faktörlü kimlik doğrulama için daha güvenli ve daha uygun maliyetli bir yöntem sunar.

Geçiş anahtarları nedir?

Geçiş anahtarı, bir kullanıcı hesabı ile web sitesi veya uygulamaya bağlı dijital bir kimlik bilgisidir. Geçiş anahtarları, kullanıcıların kullanıcı adı ya da şifre girmek zorunda kalmadan kimlik doğrulaması yapmasına veya ek kimlik doğrulama faktörü sağlamasına olanak tanır. Bu teknolojinin amacı, şifreler gibi eski kimlik doğrulama mekanizmalarının yerini almasıdır.

Kullanıcı, geçiş anahtarı kullanan bir hizmette oturum açmak istediğinde tarayıcı veya işletim sistemi kullanıcının doğru geçiş anahtarını seçip kullanmasına yardımcı olur. Bu deneyim, kayıtlı şifrelerin bugünkü çalışma şekline benzer. Sistem, yalnızca gerçek sahibin geçiş anahtarı kullanabildiğinden emin olmak için bu kişiden cihazının kilidini açmasını ister. Bu işlem bir biyometrik sensör (parmak izi veya yüz tanıma gibi), PIN ya da desen ile yapılabilir.

Bir web sitesi veya uygulama için geçiş anahtarı oluşturmak istiyorsanız kullanıcının öncelikle söz konusu web sitesine ya da uygulamaya kaydolması gerekir.

  1. Uygulamaya gidin ve mevcut oturum açma yöntemini kullanarak oturum açın.
  2. Geçiş anahtarı oluştur düğmesini tıklayın.
  3. Yeni geçiş anahtarında depolanan bilgileri kontrol edin.
  4. Geçiş anahtarını oluşturmak için cihazın ekran kilidini açın.

Kullanıcılar, oturum açmak için bu web sitesine veya uygulamaya geri döndüklerinde aşağıdaki adımları uygulayabilir:

  1. İlgili uygulamaya gidin.
  2. Geçiş anahtarlarının listesini otomatik doldurma iletişim kutusunda görmek için hesap adı alanına dokunun.
  3. Kullanıcının geçiş anahtarını seçin.
  4. Giriş işlemini tamamlamak için cihazın ekran kilidini açın.

Kullanıcının cihazı, geçiş anahtarına dayalı bir imza oluşturur. Bu imza, kaynak ile geçiş anahtarı arasındaki giriş kimlik bilgilerini doğrulamak için kullanılır.

Kullanıcılar, geçiş anahtarının nerede saklandığına bakılmaksızın geçiş anahtarı kullanarak herhangi bir cihazdan hizmetlerde oturum açabilir. Örneğin, cep telefonunda oluşturulan geçiş anahtarı, ayrı bir dizüstü bilgisayardaki bir web sitesinde oturum açmak için kullanılabilir.

Şifre anahtarları nasıl çalışır?

Geçiş anahtarları, geçiş anahtarı yöneticilerinin söz konusu işletim sisteminde çalışan uygulamalar için geçiş anahtarı oluşturmasını, yedeklemesini ve kullanılabilir hale getirmesini sağlayan işletim sistemi altyapısı aracılığıyla kullanılmak üzere tasarlanmıştır. Android'de geçiş anahtarları, geçiş anahtarlarını kullanıcının aynı Google Hesabı'nda oturum açmış olan Android cihazları arasında senkronize eden Google Şifre Yöneticisi'nde saklanabilir. Geçiş anahtarları, senkronize edilmeden önce cihazda güvenli bir şekilde şifrelenir ve yeni cihazlarda şifrelerinin çözülmesi gerekir. Android OS 14 veya sonraki sürümlere sahip kullanıcılar geçiş anahtarlarını uyumlu bir üçüncü taraf şifre yöneticisinde saklamayı tercih edebilir.

Kullanıcılar geçiş anahtarlarını yalnızca kullanabilecekleri cihazlarda kullanabilir. Telefonlarda kullanılabilen geçiş anahtarları, dizüstü bilgisayarla senkronize edilmemiş olsa bile, telefon dizüstü bilgisayarın yakınında olduğu ve kullanıcı telefonda oturum açma işlemini onayladığı sürece dizüstü bilgisayara giriş yaparken kullanılabilir. Geçiş anahtarları FIDO standartları üzerine oluşturulduğundan tüm tarayıcılar bunları benimseyebilir.

Örneğin, bir kullanıcı Windows makinesindeki Chrome tarayıcıda example.com adresini ziyaret eder. Bu kullanıcı daha önce Android cihazında example.com hesabına giriş yapmış ve bir geçiş anahtarı oluşturmuştur. Windows makinesinde kullanıcı başka bir cihazdan geçiş anahtarıyla oturum açmayı seçer. İki cihaz bağlanır ve kullanıcıdan, Android cihazda (ör. parmak izi sensörüyle) geçiş anahtarının kullanımını onaylaması istenir. Bunu yaptıktan sonra, Windows makinesinde oturum açarlar. Geçiş anahtarının kendisinin Windows makinesine aktarılmadığını unutmayın. Bu nedenle example.com genellikle orada yeni bir geçiş anahtarı oluşturmayı önerir. Böylece, kullanıcı bir dahaki sefere oturum açmak istediğinde telefona ihtiyaç duymaz. Daha fazla bilgi edinmek için Telefonla oturum açma bölümünü okuyun.

Şifre anahtarlarını kim kullanıyor?

Bazı hizmetler, sistemlerinde halihazırda geçiş anahtarı kullanıyor.

Kendiniz deneyin

Geçiş anahtarlarını bu demoda deneyebilirsiniz: https://passkeys-demo.appspot.com/

Gizlilik konusunda dikkat edilmesi gereken hususlar

  • Çünkü biyometri ile oturum açmak, kullanıcılara hassas bilgilerin sunucuya gönderildiği yönünde yanlış bir izlenim verebilir. Gerçekte, biyometrik malzeme kullanıcının kişisel cihazından asla dışarı çıkmaz.
  • Geçiş anahtarları tek başına siteler arasında kullanıcı veya cihaz takibine izin vermez. Aynı geçiş anahtarı hiçbir zaman birden fazla sitede kullanılmaz. Geçiş anahtarı protokolleri, sitelerle paylaşılan hiçbir bilginin izleme vektörü olarak kullanılmaması için titizlikle tasarlanmıştır.
  • Geçiş anahtarı yöneticileri, geçiş anahtarlarını yetkisiz erişime ve kullanıma karşı korur. Örneğin Google Şifre Yöneticisi, geçiş anahtarı gizli anahtarlarını uçtan uca şifreler. Yalnızca kullanıcı bunlara erişebilir ve bunları kullanabilir. Veriler Google'ın sunucularına yedeklenmiş olsa bile Google, kullanıcıların kimliğine bürünmek için bunları kullanamaz.

Güvenlikle ilgili olarak göz önünde bulundurulması gerekenler

  • Geçiş anahtarları, ortak anahtar kriptografisini kullanır. Ortak anahtar kriptografisi, olası veri ihlallerinden kaynaklanan tehdidi azaltır. Kullanıcı bir site veya uygulamayla geçiş anahtarı oluşturduğunda kullanıcının cihazında herkese açık-özel anahtar çifti oluşturulur. Site tarafından yalnızca ortak anahtar saklanır, ancak saldırganlar için tek başına bu bir işe yaramaz. Bir saldırgan, kullanıcının özel anahtarını sunucuda depolanan verilerden alamaz. Bu, kimlik doğrulamanın tamamlanması için gereklidir.
  • Geçiş anahtarları bir web sitesinin veya uygulamanın kimliğine bağlı olduğundan kimlik avı saldırılarına karşı güvendedir. Tarayıcı ve işletim sistemi, geçiş anahtarının yalnızca onu oluşturan web sitesi veya uygulamada kullanılabilmesini sağlar. Böylece kullanıcılar, orijinal web sitesinde veya uygulamada oturum açmaktan sorumlu olmazlar.

Bildirim alın

Geçiş anahtarı güncellemeleri hakkında bildirim almak için Google geçiş anahtarı geliştirici bültenine abone olun.

Sonraki adımlar