Şifre anahtarları ile şifresiz giriş

Giriş

Şifre anahtarları, şifrelere daha güvenli ve kolay bir alternatiftir. Şifre anahtarları sayesinde kullanıcılar biyometrik sensör (ör. parmak izi veya yüz tanıma), PIN ya da desen ile uygulamalarda ve web sitelerinde oturum açarak şifreleri hatırlamak ve yönetmek zorunda kalmaz.

Hem geliştiriciler hem de kullanıcılar şifrelerden nefret ederler: Kötü bir kullanıcı deneyimi sunarlar, dönüşümü daha zor hale getirirler ve hem kullanıcılar hem de geliştiriciler için güvenlik sorumluluğu oluştururlar. Android ve Chrome'daki Google Şifre Yöneticisi, otomatik doldurma özelliğiyle engelleri azaltır. Dönüşüm ve güvenlikte daha da fazla iyileştirme arayan geliştiriciler için geçiş anahtarları ve kimlik federasyonu sektörün modern yaklaşımları kullanılır.

Şifre anahtarı, kimlik avı saldırılarına karşı güçlü koruma sunmak için hem şifrenin hem de OTP'nin (ör. 6 basamaklı SMS kodu) yerini alarak çok öğeli kimlik doğrulama gereksinimlerini tek bir adımda karşılayabilir ve SMS veya uygulama tabanlı tek kullanımlık şifrelerin kullanıcı deneyimi sıkıntısını önler. Geçiş anahtarları standart hale getirildiğinden, tek bir uygulama tüm kullanıcıların farklı tarayıcılar ve işletim sistemlerinde şifresiz bir deneyim yaşamasını sağlar.

Geçiş anahtarları daha kolaydır:

• Kullanıcılar oturum açmak için bir hesap seçebilir. Kullanıcı adını yazmanız gerekmez.
• Kullanıcılar parmak izi sensörü, yüz tanıma veya PIN gibi cihazın ekran kilidini kullanarak kimlik doğrulaması yapabilir.
• Şifre anahtarı oluşturulup kaydedildikten sonra kullanıcılar kolayca yeni bir cihaza geçebilir ve bu anahtarı yeniden kaydettirmeye gerek kalmadan hemen kullanabilir (her cihazda kurulum gerektiren geleneksel biyometrik kimlik doğrulamanın aksine).

Geçiş anahtarları daha güvenlidir:

• Geliştiriciler şifre yerine yalnızca ortak bir anahtarı sunucuya kaydeder. Bu da, kötü niyetli bir kişinin sunuculara saldırıda bulunmasının çok daha az değeri ve bir ihlal durumunda yapılacak temizlik çok daha az olduğu anlamına gelir.
• Geçiş anahtarları, kullanıcıları kimlik avı saldırılarına karşı korur. Geçiş anahtarları yalnızca kayıtlı web sitelerinde ve uygulamalarında çalışır. Tarayıcı veya işletim sistemi doğrulama işlemini gerçekleştirdiğinden kullanıcılar, aldatıcı sitelerde kimlik doğrulaması yapmak için kandırılamaz.
• Geçiş anahtarları, SMS gönderme maliyetlerini azaltarak bunları iki faktörlü kimlik doğrulama için daha güvenli ve uygun maliyetli bir yöntem haline getirir.

Şifre anahtarı nedir?

Şifre anahtarı, bir kullanıcı hesabına, bir web sitesine veya uygulamaya bağlı dijital bir kimlik bilgisidir. Geçiş anahtarları, kullanıcıların kullanıcı adı ya da şifre girmek zorunda kalmadan ya da ek kimlik doğrulama faktörü sağlamadan kimlik doğrulaması yapmasına olanak tanır. Bu teknoloji, şifreler gibi eski kimlik doğrulama mekanizmalarının yerini almayı amaçlar.

Kullanıcı, geçiş anahtarı kullanan bir hizmette oturum açmak istediğinde tarayıcısı veya işletim sistemi kullanıcının doğru geçiş anahtarını seçip kullanmasına yardımcı olur. Deneyim, kayıtlı şifrelerin bugünkü işleyiş şekline benzer. Sistem, geçiş anahtarını yalnızca gerçek sahibin kullanabileceğinden emin olmak için kullanıcıdan cihazının kilidini açmasını ister. Bu işlem bir biyometrik sensör (parmak izi veya yüz tanıma gibi), PIN ya da desen ile gerçekleştirilebilir.

Bir web sitesi veya uygulama için geçiş anahtarı oluşturmak isteyen kullanıcıların önce ilgili web sitesine ya da uygulamaya kaydolması gerekir.

1. Uygulamaya gidin ve mevcut oturum açma yöntemini kullanarak oturum açın.
2. Geçiş anahtarı oluştur düğmesini tıklayın.
3. Yeni şifre anahtarıyla depolanan bilgileri kontrol edin.
4. Geçiş anahtarını oluşturmak için cihazın ekran kilidini açın.

Kullanıcılar, oturum açmak için bu web sitesine veya uygulamaya geri döndüklerinde aşağıdaki adımları uygulayabilir:

1. Uygulamaya gidin.
2. Geçiş anahtarlarının listesini otomatik doldurma iletişim kutusunda görmek için hesap adı alanına dokunun.
3. Şifre anahtarını seçin.
4. Giriş işlemini tamamlamak için cihazın ekran kilidini kullanın.

Kullanıcının cihazı, geçiş anahtarına dayalı bir imza oluşturur. Bu imza, kaynak ile geçiş anahtarı arasındaki giriş kimlik bilgilerini doğrulamak için kullanılır.

Kullanıcılar, şifre anahtarının nerede saklandığına bakılmaksızın geçiş anahtarı kullanarak herhangi bir cihazdan hizmetlerde oturum açabilir. Örneğin, cep telefonunda oluşturulan geçiş anahtarı, ayrı bir dizüstü bilgisayardan web sitesinde oturum açmak için kullanılabilir.

Şifre anahtarları nasıl çalışır?

Geçiş anahtarları, geçiş anahtarı yöneticilerinin ilgili işletim sisteminde çalışan uygulamalar için geçiş anahtarı oluşturmasını, yedeklemesini ve kullanıma sunmasını sağlayan işletim sistemi altyapısı aracılığıyla kullanılmak üzere tasarlanmıştır. Android'de geçiş anahtarları, Google Şifre Yöneticisi'nde saklanabilir. Google Şifre Yöneticisi, kullanıcının aynı Google hesabında oturum açmış olan Android cihazları arasında geçiş anahtarlarını senkronize eder. Geçiş anahtarları, senkronize edilmeden önce cihazda güvenli bir şekilde şifrelenir ve yeni cihazlarda şifrelerinin çözülmesi gerekir. Android OS 14 veya sonraki sürümlere sahip kullanıcılar geçiş anahtarlarını uyumlu bir üçüncü taraf şifre yöneticisinde saklamayı tercih edebilir.

Kullanıcılar, geçiş anahtarlarını yalnızca kullanabildikleri cihazda kullanabilir. Telefonlarda kullanılabilen şifre anahtarları, dizüstü bilgisayarla senkronize edilmemiş olsa bile, telefon dizüstü bilgisayarın yanında olduğu ve kullanıcı telefonda oturum açma işlemini onayladığı sürece, dizüstü bilgisayarlara giriş yaparken kullanılabilir. Geçiş anahtarları FIDO standartlarına göre oluşturulduğundan tüm tarayıcılar bunları kullanabilir.

Örneğin, bir kullanıcı Windows makinesindeki Chrome tarayıcıda example.com uygulamasını ziyaret eder. Bu kullanıcı daha önce Android cihazında example.com uygulamasına giriş yaptı ve bir şifre anahtarı oluşturdu. Windows makinesinde kullanıcı başka bir cihazdan geçiş anahtarıyla oturum açmayı seçer. İki cihaz birbirine bağlanır ve kullanıcıdan ör. parmak izi sensörüyle Android cihazda geçiş anahtarının kullanımını onaylaması istenir. Bu işlemi yaptıktan sonra, Windows makinesinde oturum açarlar. Geçiş anahtarının kendisinin Windows makinesine aktarılmadığını unutmayın. Bu nedenle, genellikle example.com anahtarı orada yeni bir şifre anahtarı oluşturmayı önerir. Böylece, kullanıcı bir dahaki sefere oturum açmak istediğinde telefon gerekmez. Daha fazla bilgi edinmek için Telefonla oturum açma bölümünü okuyun.

Şifre anahtarlarını kim kullanıyor?

Bazı hizmetler, sistemlerinde halihazırda geçiş anahtarı kullanmaktadır.

• DocuSign
• Google
  • Şifrenin sonunun başlangıcı
  • Google Çevrimiçi Güvenlik Blogu: Kimlik doğrulamayı her zamankinden daha hızlı hale getirme: şifre anahtarları ve şifreler
  • Google hesaplarında geçiş anahtarlarının kullanıcı deneyimini tasarlama
• Kano
• Mercari
• NTT Docomo
• PayPal
• Shopify
  • Geçiş anahtarları e-ticaret alışveriş deneyimindeki sorunları nasıl azaltır?
  • Mağazanın Kimlik Doğrulama Akışlarında Şifre Anahtarlarını Destekleme
• Yahoo! JAPONYA
  • Yahoo! JAPAN'ın şifresiz kimlik doğrulaması sorguları %25 azalttı ve oturum açma süresini 2,6 kat hızlandırdı

Kendiniz deneyin

Geçiş anahtarlarını şu demoda deneyebilirsiniz: https://passkeys-demo.appspot.com/

Gizlilik konusunda dikkat edilmesi gereken noktalar

• Çünkü biyometri ile oturum açmak, kullanıcılara hassas bilgilerin sunucuya gönderildiği yönünde yanlış bir izlenim verebilir. Gerçekte ise biyometrik materyal kullanıcının kişisel cihazından asla dışarı çıkmaz.
• Şifre anahtarları tek başına siteler arasında kullanıcıları veya cihazları izlemeye izin vermez. Aynı şifre anahtarı hiçbir zaman birden fazla sitede kullanılmaz. Şifre anahtarı protokolleri, sitelerle paylaşılan hiçbir bilginin izleme vektörü olarak kullanılamaması için titizlikle tasarlanmıştır.
• Şifre anahtarı yöneticileri, geçiş anahtarlarını yetkisiz erişim ve kullanıma karşı korur. Örneğin, Google Şifre Yöneticisi şifre anahtarı gizli anahtarlarını uçtan uca şifreler. Bunlara yalnızca kullanıcı erişebilir ve bunları kullanabilir. Veriler Google'ın sunucularına yedeklenmiş olsa bile Google, kullanıcıların kimliğine bürünmek için bunları kullanamaz.

Güvenlikle ilgili olarak göz önünde bulundurulması gerekenler

• Şifre anahtarları, ortak anahtar kriptografisini kullanır. Ortak anahtar kriptografisi, olası veri ihlallerinden kaynaklanan tehdidi azaltır. Kullanıcı bir site veya uygulamayla şifre anahtarı oluşturduğunda, kullanıcının cihazında herkese açık-özel anahtar çifti oluşturulur. Site tarafından yalnızca ortak anahtar depolanır ancak bu, saldırganlar için tek başına bir işe yaramaz. Bir saldırgan, kullanıcının özel anahtarını sunucuda depolanan verilerden alamaz. Bu, kimlik doğrulamanın tamamlanması için gereklidir.
• Geçiş anahtarları bir web sitesinin veya uygulamanın kimliğine bağlı olduğundan kimlik avı saldırılarına karşı güvendedir. Tarayıcı ve işletim sistemi, geçiş anahtarlarının yalnızca oluşturulan web sitesi veya uygulamada kullanılabilmesini sağlar. Böylece kullanıcılar, orijinal web sitesinde veya uygulamada oturum açma sorumluluğundan kurtulmuş olur.

Bildirim alın

Geçiş anahtarı güncellemeleri hakkında bildirim almak için Google geçiş anahtarları geliştirici bültenine abone olun.

Sonraki adımlar

• Android ve Chrome'da şifre anahtarı desteği
• Sık sorulan sorular (SSS)
• Kullanım alanları
• Bağlı taraflar için şifre anahtarı geliştirici kılavuzu
• Kimlik Bilgisi Yöneticisi'ni kullanarak bir Android uygulamasında nasıl oturum açacağınızı öğrenin