Google Çarşamba günü, hem Android hem de Chrome için yeni nesil kimlik doğrulama standardı olan geçiş anahtarları için resmi olarak destek verdi.
Teknoloji devi, “Parola anahtarları, parolalar ve diğer kimlik avı yapılabilir kimlik doğrulama faktörleri için önemli ölçüde daha güvenli bir alternatiftir” söz konusu. “Yeniden kullanılamazlar, sunucu ihlallerinde sızmazlar ve kullanıcıları kimlik avı saldırılarından korurlar.”
Bu özellik ilk olarak Mayıs 2022’de ortak bir parolasız oturum açma standardını desteklemeye yönelik daha kapsamlı bir girişimin parçası olarak duyurulmuştu.
FIDO Alliance tarafından oluşturulan ve ayrıca aşağıdakiler tarafından desteklenen geçiş anahtarları Apple ve Microsoftstandart şifreleri cihazda yerel olarak depolanan benzersiz dijital anahtarlarla değiştirmeyi hedefliyor.
Bu amaçla, bir geçiş anahtarı oluşturmak, çevrimiçi hizmette oturum açmak için kullanılacak hesap hakkında son kullanıcının onayını ve ardından biyometrik bilgilerini veya cihaz şifre.
Bir mobil cihazda bir web sitesinde oturum açmak, hesabın seçilmesini ve istendiğinde parmak izi, yüz veya ekran kilidinin sunulmasını içeren iki adımlı basit bir işlemdir.
Geçiş anahtarlarına güç sağlayan temel ilke, adı verilen bir mekanizmadır. açık anahtarlı şifrelemeburada “gizli” özel anahtar, genel anahtar çevrimiçi hizmet tarafından saklanırken kullanıcının cihazında depolanır.
Bu nedenle, bir oturum açma işlemi sırasında, geçiş anahtarlarını destekleyen bir platform, kullanıcının gerçekliğini doğrulamak için özel anahtardan bir imzayı doğrulamak için ortak anahtarı kullanır.
Çevrimiçi bir hizmet için kullanıcı hesabı başına oluşturulan geçiş anahtarı özel anahtarı da donanım korumalı bir şifreleme anahtarıyla kullanıcının cihazlarında hareketsizken şifrelenir.
Geçiş anahtarlarının en çekici avantajı, aynı zamanda tarayıcı ve işletim sisteminden bağımsız olmalarıdır; bu, bir Android kullanıcısının iOS veya macOS’ta Safari veya Windows’ta Chrome tarayıcı kullanarak geçiş anahtarının etkin olduğu bir web sitesinde oturum açabileceği anlamına gelir.
Google ayrıca, oluşturulan geçiş anahtarlarının güvenli bir şekilde saklandığını ve buluta senkronize edildiğini kaydetti. Şifre Yöneticisi Kilitlenmeleri önlemek için geliştiriciler eklemek, WebAuthn API’sini kullanarak sitelerine geçiş anahtarı desteğini entegre edebilir.
Google yazılım mühendisi Arnar Birgisson, “Bir geçiş anahtarı yedeklendiğinde, özel anahtarı yalnızca kullanıcının kendi cihazlarında erişilebilen bir şifreleme anahtarı kullanılarak şifrelenmiş biçiminde yüklenir.” söz konusu.
“Bu, geçiş anahtarlarını Google’ın kendisine veya örneğin Google içindeki kötü niyetli bir saldırgana karşı korur. Özel anahtara erişimi olmayan böyle bir saldırgan, ilgili çevrimiçi hesabında oturum açmak için geçiş anahtarını kullanamaz.”
İnternet devi ayrıca, 2022’de yerel Android uygulamaları için kullanıcılara bir geçiş anahtarı veya kaydedilmiş bir şifre seçmeleri için standart bir yol sağlayacak bir API yayınlamayı hedeflediğini söyledi.