Geçiş anahtarlarına yönelik artan destek, tüketicilerin ve küçük işletmelerin sonunda web sitelerine ve bulut uygulamalarına parolasız erişim için kullanımı kolay bir teknolojiye sahip oldukları anlamına geliyor; ancak işletmeler muhtemelen bir süre daha bu teknolojinin kullanılabilir bir biçimini göremeyecekler.
FIDO (Fast Identity Online) Alliance’ın WebAuthn standardını temel alan parolasız kimlik doğrulama yaklaşımı, geliştiricilerin bulut hizmetlerinde ve Web uygulamalarında oturum açmak için kullanıcı cihazının (FaceID ve parmak izi sensörleri gibi) kimlik doğrulama teknolojisinden yararlanmasına olanak tanır. WebAuthn, tüketiciler için önemli ölçüde karmaşıklık yaratan birçok uygulamaya yol açarken, geçiş anahtarları Apple, Google ve Microsoft dahil büyük İnternet firmaları tarafından destekleniyor ve bu da tüketiciler için geçiş anahtarlarının kullanımını önemli ölçüde kolaylaştırıyor.
Beyond Identity’nin CEO’su Jasson Casey, bulut tabanlı küçük işletmeleri de kapsayacak şekilde genişleyebilecek bu kullanılabilirliğin, büyük şirketlerde geçiş anahtarları için gerekli olan kontrol ve tasdik işlemlerine izin vermediğini söylüyor. Bunun yerine, geçiş anahtarları muhtemelen mevcut ortak anahtar altyapılarında (PKI) veya kimlik bilgilerine dayalı sistemlerde isteğe bağlı bir faktör haline gelecektir.
Casey, “Gerçekten bunun, işletmelerin eninde sonunda ihtiyaç duyduğu geçiş anahtarları ve PKI’dan oluşan bir aşk çocuğu olacağını düşünüyorum” diyor. “Geçiş anahtarlarıyla ilgili gerçekten harika olan şey, bir tarayıcı veya kullanıcı aracısı ile kimlik bilgilerini ve anahtarları yöneten gerçek bir kimlik doğrulayıcı arasında iyi tanımlanmış bir arayüz olduğu fikridir.”
Büyük şirketler, çevrimiçi hesaplarda oturum açmanın daha güvenli bir yolu olarak geçiş anahtarlarını kullanmaya başladı. Haziran ayında Google, şirketlerin Workspace kullanıcılarını şifre kullanmak yerine şifre anahtarlarına geçirmelerine izin vermeye başladı. Şirket, 10 Ekim’de kullanıcılara şunları yapma olanağı sunmaya başladı: geçiş anahtarlarını varsayılan seçenek yap kişisel hesapları arasında geçiş yaparak oturum açtıklarında geçiş yapmalarını ister.
Apple ve Microsoft, donanım ve yazılımlarına geçiş anahtarları için destek ekledi; iOS, Mac OS ve Windows 11’in tümü bu teknolojiyi destekliyor.
Kimlik ve parola yönetimi firması 1Password’ün baş ürün sorumlusu Steve Won, şirketler için geçiş anahtarlarının kimlik yönetimini iyileştirme ve kimlik doğrulamayı iyileştirme maliyetlerinin bir kısmını ortadan kaldırabileceğini söylüyor.
Won, “Kurumların benimsenmesinin önümüzdeki on yıl içinde tamamen savunulabilir olacağı konusunda gerçekten iyimserim” diyor. “Vay be, gibi pek çok işletmeyle konuştum, [passkeys are] temelde kullanılabilir sertifikalar veya … kullanılabilir Yubikey’ler. Sertifikalar başa çıkılması zor bir kabus ve Yubikey açısından kimse donanım yönetimi işinde yer almak istemiyor.”
Kimlik Avının Sonu mu?
Doğru şekilde uygulanan geçiş anahtarları, çalınacak parolalar olmadığından, kimlik bilgilerini toplamayı amaçlayan kimlik avı saldırılarını ortadan kaldırabilir. En büyük kimlik sağlayıcıları arasında birlikte çalışabilirliği amaçlayan spesifikasyon, bir kullanıcının cihazının, özel ve genel anahtarları kullanarak kullanıcının bir hizmette oturum açmasını sağlayarak kimliğini doğrulamasına olanak tanır.
Beyond Identity’den Casey, önemli bir anlaşmazlık noktasının, bir cihaz kaybolduğunda anahtarların kurtarılması meselesi olduğunu söylüyor. “Aslında bir geçiş anahtarı cihazımdaki bir bölgeye sabitlenmiş durumda; yani eğer o cihazı okyanusa atarsam (bir nedene bile ihtiyacım yok) ve yeni bir cihaz satın alırsam, nasıl tekrar oturum açabilirim? B2C için büyük bir engel olarak görülüyordu [business to consumer] topluluk” diyor.
Apple, Google ve Microsoft, anahtarları hizmetlerine bağlayarak bu sorunu çözüyor. Hizmetlerden birinde tekrar oturum açan kullanıcıya yeni bir anahtar seti verilerek bu durum kurtarılabilir.
Forrester Research’ün başkan yardımcısı ve baş analisti Andras Cser, kimlik avına karşı direnç ve paylaşılan sırların ortadan kaldırılması vaadine rağmen işletmelerin geçiş anahtarlarını taahhüt etme konusunda hala tereddütlü olduğunu söylüyor.
“Piyasada hala sıfır ila minimum düzeyde benimsenme görüyoruz” diyor. “Servis sağlayıcıları – [such as] perakendeciler, sağlık kuruluşları, [and financial services] şirketler, cihazın doğrulanması ve kimlik doğrulamasını yapan kişinin varlığı konusunda endişe duyuyor.”
Şirketlerin Geçiş Anahtarlarından Daha Fazlasına İhtiyacı Var
İşletmelerin karşılaştığı sorunlar farklıdır. Casey, şirketler için geçiş anahtarlarının, dört gereksinim karşılandığı sürece çevrimiçi kaynaklarla etkileşim kurmanın bir yolu olarak standartlaştırılmış bir PKI sağlama vaadi taşıdığını söylüyor. Sistem (1) tuşların hareket edemeyeceğini; (2) kayıp cihazların kurtarılması sorununu çözer; (3) her türlü cihazda, tarayıcıda ve çevrimiçi hizmette çalışır; ve (4) şirketlere cihazlar için merkezi politika yönetimi sağlar.
“Etkili bir geçiş anahtarı sisteminin altında, benzer güvenlik garantileri sağlayan, ancak hizmeti aktif olarak yönetmenizi gerektirmeyen dağıtılmış, otomatikleştirilmiş bir PKI sistemi bulunur… cihazın yönetilmesine veya BYOD cihazlarına bakılmaksızın.” Casey diyor. “Klasik PKI sistemleri bunların hiçbirini sizin için yapmaz, hem de çok büyük bir idari yük olmadan.”
Bazı küçük işletmeler şifre kullanımını zorunlu kılsa da şirketlerin bu teknolojiyi müşterilerine kimlik doğrulama seçeneği olarak sunması daha olasıdır.
Başka bir Sıfır Güven Olasılığı
Geçiş anahtarı sağlayıcıları ve kimlik ve erişim yönetimi (IAM) şirketleri, geçiş anahtarlarının kurumsal kullanım sorunlarını çözebilirse, iş hayatında büyük ilerleme kaydedebilirler. Okta Ürün Yönetimi Kıdemli Direktörü Ian Hassard, tüketicilerin kullanımı kolay hizmetlere ihtiyaç duymasına rağmen, şirketlerin çalışanlarının belirli bir teknolojiyi kullanmasını zorunlu kılabileceğini, bu teknolojinin bir öğrenme eğrisi olsa veya günlük iş akışlarına bazı adımlar eklese bile, diyor. oturum açma sağlayıcısı.
“Müşteri kimliğinin güvenlik ve sürtüşmeyi dengelemeye odaklandığına bakarsanız, çünkü çok fazla sürtüşme yaşarsanız insanlar ürünlerinizi satın almazlar” diyor. “Fakat iş gücü kimliğinde, iş gücünüzü yönetiyorsanız, daha yüksek düzeyde güvence ve güvenlik sağlamak için daha fazla sürtüşme uygulayabileceğiniz anlamında biraz daha tutsak bir izleyici kitlesine sahip olursunuz.”
Hassard, örneğin Okta’nın kimlik yönetimine, erişim ayrıcalıklarına ve kullanıcının cihazının uygun güvenlik kontrollerine sahip olmasını ve güvenlik ihlali belirtileri göstermemesini sağlamaya odaklandığını söylüyor. Bunların hepsi güvenliğe sıfır güven yaklaşımının temelidir.
“Cihazın güvenliğinin ihlal edilmediğine dair güvence istiyorsunuz” diyor. “Çünkü istemci cihaz tamamen sahiplenilinceye kadar bu teknolojinin büyük bir kısmı harika ve bu iyi bir şey değil.”