Google, şifreler için “sonun başlangıcı” dediği şeyi duyurdu ve önümüzdeki yıllarda PW’lerin yerini alacağını söylediği yeni bir güvenlik mekanizmasını kullanıma sundu: geçiş anahtarı. Google, “Şifresiz bir geleceğe giden yolda dev bir adım attık” dedi. bir blog yazısında Çarşamba yayınlandı. “Tüm büyük platformlardaki Google Hesaplarında geçiş anahtarları için destek sunmaya başladık. Bu, kullanıcıların artık parolasız bir oturum açma deneyimi için Google Hizmetleri genelinde geçiş anahtarlarından yararlanabileceği anlamına geliyor.”
Bu kesinlikle çok büyük bir değişiklik ve Google, öngörülebilir gelecekte hesaplarında şifreleri kullanmaya devam edebileceğinizi söylese de, geçiş anahtarlarına alışmak biraz zaman alabilir. Hesabınız için geçiş anahtarları oluşturmaya başlamak istiyorsanız, Google’ın şu bloguna gidin: talimatlar. Ancak geçiş anahtarlarının nasıl çalıştığı hakkında daha fazla bilgi edinmek istiyorsanız, daha fazla ayrıntı için aşağıyı okuyun.
Geçiş Anahtarı nedir?
Geçiş anahtarı, kişisel tanımlayıcıyla birleştirildiğinde hesabınızın kilidini açmak için kullanılabilen, cihazınıza bağlı benzersiz bir şifreleme anahtarıdır. Bu anahtar, Bulut aracılığıyla diğer cihazlarla da paylaşılabilir. İşlem gerçekten çok basit olacak şekilde tasarlandı: yüzünüzü, parmak izinizi veya PIN’inizi kullanarak bir geçiş anahtarıyla oturum açabileceksiniz. Telefonunuzun kilidini açmak için bu tanımlayıcılardan birini kullanmak gibi bir şey olacak.
Geçiş Anahtarları Ne Kadar Süredir Geliştirilmektedir?
Bir süredir geliştirme aşamasında olduklarını söylemek yeterli. Geçiş anahtarı girişimi başlangıçta ilan edildi bir yıl önce, Google, Apple ve Microsoft bir araya geldiğinde FIDO İttifakı, yeni aracı geliştirmek için alternatif kimlik doğrulama yöntemlerini zorlayan bir endüstri grubu. Bu, elbette, web güvenliği için büyük bir değişiklik. Parolalar, kimlik doğrulamanın ayrılmaz bir parçasıdır önceden beri internet icat edildi ama aynı zamanda tarihsel olarak üzücü şeyler yaşadılar. eksiklikler—kullanıcıları kolayca açabilenler bilgisayar korsanlığı ve hesap güvenliği ihlaline. Big Tech uzun yıllardır hakkında konuşuldu parolayı ortadan kaldırmak ve daha güvenli, kullanışlı bir güvenlik mekanizmasıyla değiştirmek. Şimdi, Google nihayet topu yuvarlamaya başlıyor gibi görünüyor.
Gerçekten Nasıl Çalışırlar?
Teknik anlamda geçiş anahtarları, hesabınıza giriş yapan cihazın size ait olduğundan emin olmak için asimetrik şifreleme ve biyometrik tanımlayıcıların bir karışımını kullanır. Google, cihazınızda Google’ın sahip olduğu ayrı bir genel anahtarla eşleştirilebilecek özel bir şifreleme anahtarı oluşturacaktır. Hesabın kilidinin açılması için geçiş anahtarının, kopyalanamayan farklı bir kişisel tanımlayıcıyla da etkileşime girmesi gerekir. Bunun için Google, cihazınızda yerel olan bir yüz taraması, parmak izi veya PIN kullanabileceğinizi söylüyor. Özel anahtar bu tanımlayıcıyla etkileşime geçtiğinde, Google’ın sahip olduğu genel anahtarla eşleştirilebilir ve bu noktada ikisi, hesabınızın kilidini açacak benzersiz bir dijital imza oluşturur. Bu, bir kişinin hesabınıza erişmek istiyorsa cihazınızın sahibi olması gerektiği anlamına gelir. Google yazar:
Parolalardan farklı olarak geçiş anahtarları yalnızca cihazlarınızda bulunabilir. Yazılamazlar veya yanlışlıkla kötü bir oyuncuya verilemezler. Google Hesabınızda oturum açmak için bir geçiş anahtarı kullandığınızda, bu, Google’a cihazınıza erişiminiz olduğunu ve kilidini açabileceğinizi kanıtlar.
Ya Google’ın parmak izimin bir kopyasına sahip olmasını istemezsem?
Yüzünüzü veya parmak izinizi Google’a teslim etmenin potansiyel gizlilik tehlikesi konusunda endişeleriniz varsa, iyi haber: Bu tanımlayıcıların her ikisi de – ve PIN – cihazınızda yerel olarak depolanır, yani Google bunlara erişemez. Google, biyometrik verilerin “Google veya başka herhangi bir üçüncü tarafla asla paylaşılmayacağını – ekran kilidinin geçiş anahtarını yalnızca yerel olarak açacağını” vaat ediyor. Yine, Google’a göre bu, cihazınıza erişimi olmayan hiç kimsenin sizin adınıza giriş yapamaması gerektiği anlamına gelir.
Geçiş anahtarları nasıl oluşturuldu?
Google, geçiş anahtarlarının platformlar ve cihazlar arasında çalıştığından emin olmak için FIDO Alliance’ın yanı sıra Apple ve Microsoft ile birlikte çalıştığını söylüyor. Şirket, bunların “Google’ın FIDO Alliance ve W3C WebAuthn çalışma grubunda oluşturulmasına yardımcı olduğu protokoller ve standartlar üzerine inşa edildiğini” söylüyor, yani “geçiş anahtarı desteği, bu standartları benimseyen tüm platformlarda ve tarayıcılarda çalışır. Google Hesabınızın geçiş anahtarlarını herhangi bir uyumlu cihazda veya hizmette saklayabilirsiniz.”
Parolalar Neden Parolalardan Daha İyi Olmalıdır?
Geçiş anahtarlarının, parola korumasını aşan bir dizi güvenlik avantajı vardır, ancak en faydalılarından biri, hesaplarınıza kimlik avı yapılmasını neredeyse imkansız hale getirecek olmalarıdır. Daha önce belirtildiği gibi, geçiş anahtarları, bir saldırganın hesabınıza erişmesinin tek yolu cihazlarınızdan birine erişmesi (ve kilidini açabilmesi) olmalıdır. Benzer şekilde, kaba kuvvet saldırıları, parolaları tahmin etmek için ortalıkta olmayacağından, açıkça modası geçmiş saldırı biçimleri haline gelecektir.
Bu güvenlik modelinin başka belirgin faydaları da vardır. Birincisi, son kurumsal veri ihlalleri bize zayıf parola güvenliğinin saldırıya uğramak için açık bir yol olduğunu öğretti. Parolalar ile artık parola olarak “Password123” olmayacak. Ayrıca parolalar hesaplara özel olduğundan ve tekrar kullanılamadığından, bu, kullanıcıların yirmi hesap için aynı parolayı kullanmaları gerekmediği anlamına gelir. sizi çok sayıda hesap devralmasına açık hale getirir.Parola, hesap kimlik doğrulama sorumluluğunun büyük bölümünü, o anda bulunduğu yerde kullanıcıdan alır.
Bununla birlikte, şifreler bir gecede silinmeyecek ve bu yeni ve geliştirilmiş oturum açma sürecinde bile bazı güvenlik sorunları olacağı kesin. Google, son hamlesini “şifreler için sonun başlangıcı” olarak adlandırırken, aynı zamanda şifrelerin öngörülebilir gelecekte Google Hesapları için bir güvenlik mekanizması olarak kullanılmaya devam edeceğini de belirtiyor.