Perşembe günü Google, geçiş anahtarlarının 400 milyondan fazla Google hesabı tarafından kullanıldığını ve son iki yılda kullanıcıların kimliğinin 1 milyardan fazla kez doğrulandığını duyurdu.
Google’ın güvenlik mühendisliğinden sorumlu başkan yardımcısı Heather Adkins, “Parola anahtarlarının kullanımı kolaydır ve kimlik avına karşı dayanıklıdır; yalnızca parmak izi, yüz taraması veya PIN’e dayalı olduğundan şifrelerden %50 daha hızlıdır.” söz konusu.
Arama devi, Google Hesaplarında kimlik doğrulama için şifre anahtarlarının halihazırda, SMS tek seferlik şifreler (OTP’ler) ve uygulama tabanlı OTP’lerin birleşimi gibi iki faktörlü kimlik doğrulamanın eski formlarından daha sık kullanıldığını belirtiyor.
Ayrıca şirket genişlediğini söyledi Hesaplar Arası KorumaDaha fazla uygulama ve hizmet içerecek şekilde, kullanıcının Google Hesabına bağlı üçüncü taraf uygulamalar ve hizmetlerle ilgili şüpheli olaylara ilişkin uyarılar veren .
Google’ın ayrıca, kişileri kim oldukları ve ne yaptıkları nedeniyle hedefli saldırılara karşı korumayı amaçlayan Gelişmiş Koruma Programı’nın (APP) bir parçası olarak yüksek riskli kullanıcılar için geçiş anahtarlarının kullanımını desteklemesi bekleniyor. Buna kampanya çalışanları ve adayları, gazeteciler ve insan hakları aktivistleri de dahildir.
APP daha önce donanım güvenlik anahtarlarının ikinci bir faktör olarak kullanılmasını gerektiriyordu ancak artık donanım güvenlik anahtarlarının yanı sıra herhangi bir geçiş anahtarıyla kayıt yapılmasına izin verecek veya kimlik doğrulamanın tek yolu olarak bunları kullanacak.
Google, Aralık 2022’de Chrome’a şifre anahtarları ekledi ve o zamandan beri şifresiz kimlik doğrulama çözümünü varsayılan olarak tüm platformlardaki Google Hesaplarında kullanıma sundu.
1Password, Amazon, Apple, Dashlane, Docusign, eBay, Kayak, Microsoft, PayPal, Shopify, Uber ve WhatsApp, geçiş anahtarlarını benimseyen diğer önde gelen şirketlerden bazılarıdır.
Bu gelişme, Eylül 2023’te Windows 11’e geçiş anahtarlarını entegre eden Microsoft’un, Windows, Google ve Apple platformlarında biyometri veya cihaz PIN’i kullanan tüketici hesapları için kimlik doğrulama standardını destekleme planlarını duyurmasıyla aynı gün gerçekleşti.
Geçiş anahtarları, bir kriptografik anahtar çifti, cihazda depolanan özel bir anahtar ve geçiş anahtarının kullanılacağı uygulama veya web sitesiyle paylaşılan bir genel anahtar oluşturarak çalışır.
Microsoft’tan Vasu Jakkal, “Bu anahtar çifti kombinasyonu benzersiz olduğundan, geçiş anahtarınız yalnızca onu oluşturduğunuz web sitesi veya uygulamada çalışacak, dolayısıyla kötü niyetli, benzer bir web sitesinde oturum açmanız için kandırılamazsınız.” söz konusu.
Şifre anahtarları ayrıca 1Password ve Dashlane gibi üçüncü taraf şifre yönetimi çözümlerinde de saklanabilir; bu da kullanıcılara Google Şifre Yöneticisi, iCloud Anahtar Zinciri ve Windows’un ötesinde nerede saklanabilecekleri konusunda daha fazla kontrol sağlar.
Google ürün yöneticileri Sriram Karra ve Christiaan Brand, “Geçiş anahtarları aynı anda birinci ve ikinci faktör olarak hareket edebilir” söz konusu. “Güvenlik anahtarınızda bir geçiş anahtarı oluşturarak, parolanızı girmeyi atlayabilirsiniz. Bu, uzaktan saklanan parolanızı, güvenlik anahtarınızın kilidini açmak için kullandığınız PIN ile değiştirir, bu da kullanıcı güvenliğini artırır.”
Ancak geçiş anahtarlarının çalındığına dair endişeler de dile getiriliyor. Kullanılan şirketler tarafından “kullanıcıları ve izleyicileri bir platformda yakalamanın” bir yolu olarak ve “kurumsal çıkarlar bir kez daha iyi kullanıcı deneyimini geçersiz kıldı.”
Geliştirmede görev alan bir yazılım mühendisi olan William Brown, “Kullanıcıların tüm kimlik bilgilerini platformunuza kilitlemekten ve daha da iyisi, hiçbir şekilde çıkarılamayan veya dışarı aktarılamayan kimlik bilgilerini platformunuza kilitlemekten sonra, kullanıcıların uzun vadeli tuzağa düşürülmesini teşvik etmenin daha iyi bir yolu olabilir mi?” webauthn-rssöz konusu.