Şifrelerinize ne kadar zaman ayırıyorsunuz? Her yıl yeni güvenlik anahtarları oluşturup karakter ve sayı dizilerinin güvenliğine dikkat ediyor musunuz? Muhtemelen hayır, çünkü güvenlik şirketleri her yıl veritabanlarında çok güvensiz şifreler buluyor. Çoğu parola çok basittir, asla değişmez ve dakikalar içinde kırılabilir.
Apple’ın Geçiş Anahtarlarını kullanmak bu kadar kolay. / © Apple / Ekran Görüntüsü: NextPit
Bu nedenle, Apple’ın parolaları değiştirmeyi amaçlayan yeni bir kimlik doğrulama yöntemi olan Passkeys’i duyurması övgüye değer. Web’de, yeni süreç, utanç verici olan Apple ekosistemiyle güçlü bir şekilde bağlantılı. Apple, geçiş anahtarlarıyla yalnızca yeni WebAuthn kimlik bilgileriyle başa çıkmanın kendi yolunu sundu.
“Parolalar” neden yalnızca Apple kullanıcılarını ilgilendirmiyor?
Bu doğru – “geçiş anahtarları”, kulağa WWDC 2022’de çok benzese bile Apple’a özel bir buluş değil. Bunlar, FIDO Alliance tarafından geliştirilen yeni bir oturum açma kimlik bilgisi türü için Apple’ın dahili markasıdır. Apple, ittifakın bir parçası olmasa da, diğerlerinin yanı sıra Google ve Android ile çalıştığını ve geçiş anahtarları için FIDO standartlarını kullandığını söylüyor. Er ya da geç, neredeyse tüm İnternet kullanıcıları Geçiş Anahtarlarından yararlanacaktır.
“Parola anahtarları” Apple aygıtları arasında eşzamanlanır, ancak Apple’a özel değildir. / ©Apple; Ekran görüntüsü: NextPit
Temel fikir, girişler için şifreler yerine güvenlik anahtarları kullanmaktır. Kullanıcının bakış açısından, oturum açmalar, güvenlik anahtarının sunucuyla karşılaştırılmasına olanak sağlayan biyometrik prosedürler kullanılarak güvence altına alınır. Halihazırda iCloud anahtar zincirinizi etkinleştirmek için Face ID ve Touch ID kullanıyorsanız, işlem o kadar fazla değişmeyecektir.
Bugünün iOS oturumları, daha sonra geçiş anahtarlarını kullanmak kadar uygun olsa bile, büyük bir dezavantajı var. Şu anda yalnızca iCloud anahtar zincirinin parolanızı oturum açma maskesine kopyalamasına izin veriyorsunuz. Oradan sunucu operatörüne iletilir. Parolalarınızın ortadaki adam saldırıları (bundan böyle “MITM” olarak anılacaktır) yoluyla veya başka bir şekilde gözetlenmesi riski hala vardır.
Kimlik avı, yani süper önemli bir hizmet acil durumunu veya diğer sosyal mühendislik taktiklerini simüle ederek şifreleri çalmak, bu yöntemle hala mümkündür. Şu anda anahtar zincirinden şifreleri oldukça kolay bir şekilde kopyalayabilir ve bir dolandırıcılığa düştüyseniz, bunları herhangi bir e-postaya yapıştırabilirsiniz.
Bu nedenle geçiş anahtarları ve Apple’ın bunları işlemesi çok güvenlidir
Bir bakıma, geçiş anahtarlarının kullanımı, ekranın önünde oturan meşhur hataya karşı bile koruma sağlar. En temel düzeylerinde, biri genel diğeri özel olmak üzere iki güvenlik anahtarına dayanırlar. Genel anahtar, kurulumdan sonra sunucuda bulunurken, özel anahtar her zaman oturum açmak için kullanılan cihazda kalır. Vurgu, yöntemin dayandığı matematikte yatmaktadır.
Şu anda MITM saldırılarını önlemenin en iyi yolu VPN sağlayıcıları kullanmaktır. / © SonrakiPit
Çünkü Popular Science’ın yazdığı gibi, oturum açmaya çalışırken özel anahtarın sunucuya iletilmesi gerekmeyecek şekilde tasarlanmıştır. Bu, MITM saldırıları veya şirket sunucularında başarılı saldırılar olması durumunda bile parolanızı güvende tutar. Geçiş anahtarları, bir süredir ağda parolasız oturum açma işlemleri için kullanılan WebAuthentification standardına (WebAuthn) dayanmaktadır.
Peki tüm bunlar zaten mevcutsa neden herkes Apple şifreyi yeniden icat etmiş gibi davranıyor?
Neden herkes Apple şifreyi yeniden icat etmiş gibi davranıyor?
Güzel soru! Apple’a gerçekten güvenebileceğiniz şey, aygıtlar arasında geçiş anahtarlarını ilk kullananların onlar olmasıdır. Aynı zamanda, geçiş anahtarları için bir programlama arayüzü, bir API sunarlar. Geçiş anahtarları aracılığıyla kaydı etkinleştirmek için, web siteleri ve hizmetler elbette öncelikle koşulları oluşturmalıdır. Apple, yeni işletim sistemleri iOS 16, watchOS 9, iPadOS 16 ve macOS 13’ü piyasaya sürülmeden yarım yıl önce geliştirici betaları olarak sunduğundan, başlangıçta birçok yerde mevcut olabilir. Her durumda, Apple WWDC 2021’de kendi WebAuthn kimlik bilgilerini sundu.
Geçiş anahtarları da kalıcı olarak iCloud anahtar zincirine bağlıdır. Buna Apple Kimliğinizle kayıtlı olduğunuz herhangi bir Apple cihazından erişebilirsiniz. Apple, anahtar zinciri için uçtan uca şifreleme kullandığından ve destek sitesine göre güvenlik anahtarının kendisini bilmediğinden, geçiş anahtarlarını saklamak için güvenli bir yer vardır.
Sistem ayrıca iki faktörlü kimlik doğrulama ile korunmaktadır. Bu nedenle, yeni bir parola kaydetmek istiyorsanız, bu işlemi bir Apple cihazında veya web tarayıcısı aracılığıyla altı haneli bir kod girerek tekrar onaylamanız gerekir.
Apple hiçbir şekilde parolasız oturum açmayı (yeniden) icat etmedi, sadece akıllıca ve güvenli bir şekilde uyguladı. Ayrıca, Apple cihazları o kadar yaygındır ki, “Cupertino’ans”ın ilerlemesi, hizmetler ve web siteleri için sonunda WebAuthn’a yükseltme yapmak için iyi bir teşvik olacaktır.
Şifre Anahtarları Android ve Windows’a Geçişi İmkansız Hale Getiriyor mu?
Ancak Apple’ın Passkey’e geçişi canlı yayın sırasında beni biraz endişelendirdi. Böylece Apple, “duvarlarla çevrili bahçesini” bir kez daha metilanla kaplayacakmış gibi görünüyordu. Geçiş anahtarlarının tanıtılması, Apple olmayan aygıtları kullanmayı veya Apple evreninden başka bir şekilde kaçmayı neredeyse imkansız hale getirmiyor mu?
Apple’ın Geçiş Anahtarları entegrasyonunun ne kadar eksiksiz olacağı henüz tam olarak belli olmasa da, korkularıma karşı üç argüman var.
Gelecekte, bir parola kullanarak Windows cihazlarında oturum açmak için QR kodlarını da kullanabilirsiniz. / © Apple / Ekran Görüntüsü: NextPit
1.: Geliştirici konferansı sırasında Apple, Apple olmayan cihazlarda oturum açmanın nasıl mümkün olacağını kısaca gösterdi. Giriş yapmak için bir Apple cihazıyla taramanız gereken bir Windows dizüstü bilgisayarın ekranında bir QR kodu görülebilir. Windows ve Android altında da oturum açmak mümkün olacaktır – ancak bunun için iPhone veya iPad’inizin yanınızda olması gerekir.
2: : iCloud anahtar zincirine Windows’ta zaten erişebilirsiniz. Tüm yapman gereken iCloud uygulamasını yükleyin ve ardından PC’nizde ilgili bir program görün. Kilit açma, Windows’un kendi kimlik doğrulama hizmeti Windows Hello aracılığıyla ve dolayısıyla biyometrik oturum açma prosedürleri aracılığıyla çalışır. Ancak, Apple’ın sisteminin geçiş anahtarları için yeterince güvenli olduğundan şüpheliyim. Geri dönüş olarak Windows, en kötü durumda yalnızca dört basamaktan oluşan bir PIN’e güvenir.
3:: Daha önce de belirtildiği gibi, standart WebAuthn Apple’a ait değildir ve gelecekte kesinlikle Android, Windows ve diğer işletim sistemlerinde yerel olarak kullanılabilir olacaktır. Böylece web sitelerine erişmek için girişler için yeni güvenlik anahtarları atayabilirsiniz. Bunlar Apple’ın senkronize anahtarlarından farklı olsa bile, kurulumdan sonra kullanım açısından hiçbir fark yaratmaz – yine de yalnızca parmak izi sensörü veya yüz tanıma ile oturum açarsınız.
Sonuç: Geçiş anahtarları devrim niteliğindedir, yalnızca Apple’a ait değildir
Gelişmeleri tekrar özetleyelim. Apple’dan bağımsız olarak WebAuthn, web’de oturum açmayı daha güvenli hale getirecek. Çok uzun bir süre sonra, verilerimiz artık şifrelerimizi korumak için ne kadar zaman veya beyin gücü harcadığımıza bağlı değil. Ayrıca standart, kimlik avı, bilgisayar korsanlığı ve hatta oturum açmak istediğimiz şirketlere karşı güvenilir koruma sağlar.
Apple burada büyük bir adım atıyor ve hizmeti cihazlar arasında tanıtan ilk şirket. Aynı zamanda şirket, geçiş anahtarları aracılığıyla girişleri güvenli ve rahat hale getirmek için kapalı ekosisteminin avantajlarını kullanıyor.
Apple’ın geliştirici konferansı sırasında geçiş anahtarlarının tanıtımını önemli bir konu haline getirmesi ve kendi adı olmadan yapması da harika bir hamle. Bir bakıma Apple, FIDO Alliance’ın işbirliği içinde ektiği ve yetiştirdiği defneleri topluyor.
Çünkü yakın gelecekte Android veya Windows geçiş anahtarlarını desteklediğini duyurursa, halk bunu kesinlikle Apple ile ilişkilendirecektir.
Dokun, elma. Dokun!
Kaynaklar: