Apple, Google ve Microsoft, FIDO Alliance’ın yeni parolasız kimlik doğrulama standardına dayalı geçiş anahtarları sağlama planlarını gerçekleştirmenin ilk aşamalarındalar. Ancak şifreleri ortadan kaldırmak bir gecede olmayacak.
Mayıs ayında önde gelen üç cihaz ve platform sağlayıcısı, yeni geçiş anahtarlarını kendi platformlarına dahil edeceklerini toplu olarak duyurdu. Geçiş anahtarları, World Wide Web Konsorsiyumu’nun (W3C) Web Kimlik Doğrulaması (WebAuthn) belirtimi ve FIDO Alliance’ın İstemciden Kimlik Doğrulayıcıya Protokolünden (CTAP) oluşan FIDO2 standardına dayanır.
Geçiş Anahtarları Ortaya Çıkmaya Başladı
Beklendiği gibi, Apple geçen ayın sonlarında iOS 16 sürümüyle geçiş anahtarları sağlayan ilk sağlayıcı oldu ve milyonlarca iPhone ve iPad’e geçiş anahtarlarını kullanma yeteneği verdi. Mac kullanıcıları ayrıca, Apple bu ay gelmesi beklenen en yeni işletim sistemi güncellemesi macOS Ventura’yı yayınladığında geçiş anahtarlarını uygulayabilecek. Google’ın geçen hafta yayınlanan geçiş anahtarı betaları Android ve Chrome için.
Bir kullanıcı bir Apple aygıtında bir parola oluşturduğunda, iCloud Anahtar Zinciri’ni kullanarak bu, desteklenen diğer herhangi bir Apple istemcisi veya hizmetiyle eşitlenebilir. Ayrıca, bir kullanıcı bir aygıtı parolayla kaydettirdiğinde, bunları destekleyen diğer Apple aygıtlarını ve hizmetlerini otomatik olarak kaydettirebilir.
Google’ın parola anahtarı beta sürümü, kullanıcıların Android cihazlarında parola oluşturmasına ve kullanmasına ve bunları Google Parola Yöneticisi aracılığıyla güvenli bir şekilde senkronize etmesine olanak tanır. Google yazılım mühendisi Arnar Birgisson bir blog yazısında açıklanmıştır Google Password Manager’daki geçiş anahtarlarının her zaman uçtan uca şifrelendiği.
Birgisson, “Bir geçiş anahtarı yedeklendiğinde, özel anahtarı yalnızca kullanıcının kendi cihazlarında erişilebilen bir şifreleme anahtarı kullanılarak şifrelenmiş biçimde yüklenir” dedi. “Bu, geçiş anahtarlarını Google’ın kendisine veya örneğin Google içindeki kötü niyetli bir saldırgana karşı korur. Özel anahtara erişimi olmayan böyle bir saldırgan, ilgili çevrimiçi hesabında oturum açmak için geçiş anahtarını kullanamaz.”
Geleceği Göstermek
Google ve Microsoft, geçiş anahtarı uygulamalarını bu haftaki yüzlerce kimlik ve güvenlik uzmanına gösterdi. 2022 kimlik doğrulaması Seattle’daki konferans. Google kimlik ve güvenlik ürün yöneticisi Christiaan Brand, Aralık ayına kadar bir Android güncellemesinde görünecek olan geçiş anahtarlarıyla bir hesapta nasıl oturum açılacağını gösterdi. Brand, herkesin Google Play Hizmetleri kanalında geliştirici beta sürümüne kaydolabileceğini söyledi.
Brand, “Bunun için belirli bir Google hesabıyla kaydolduğunuz anda, cihazınızdaki en son güncellemeleri birkaç dakika içinde alabileceksiniz” dedi. Chrome OS için geçiş anahtarlarının gelecek yıl piyasaya sürülmek üzere yol haritasında olduğunu da sözlerine ekledi.
Konferanstaki marka ve diğer kimlik ve güvenlik uzmanları, kimlik avı saldırılarına veya diğer güvenlik ihlallerine karşı savunmasız olmadıkları için geçiş anahtarlarıyla kimlik doğrulamanın parolalardan çok daha güvenli olduğunu vurguladı. Desteklenen cihazlarda ve bulut hizmetlerinde çalışabilen şifreleme anahtarlarından oluştuğu için geçiş anahtarlarının kullanımı da daha kolaydır.
Microsoft, önümüzdeki yıla kadar Windows’ta geçiş anahtarları sunmayı planlamasa da, şirket uygulamasını gösterdi ve çeşitli gözlemler paylaştı. Örneğin, kimlik için kıdemli program yöneticisi Scott Bingham’a göre Microsoft, şirketin Authenticator uygulamasıyla birlikte geçiş anahtarları çalıştırmak istiyor.
Bingham, “Parola anahtarları, gerçekten zorlayıcı bir çözüm olan çok cihazlı, FIDO kimlik bilgileridir.” Dedi. “Bir platform bulutu aracılığıyla senkronize edilebilir ve aynı platform hesabında oturum açtığınızda tüm cihazlarınızda kullanılabilir.”
Windows Hello, bir PC’nin işletim sistemi ekranının kilidini açmak için biyometrik kimlik doğrulama sağlarken, yeni geçiş anahtarlarını da etkinleştirir.
Çevrimiçi Hizmetleri ve Uygulamaları Entegre Etme
Geçiş anahtarlarının çıkarılabilmesi için, kimlik doğrulama için kullanıcı adlarını ve parolaları kullanan web siteleri ve kuruluşlar, geçiş anahtarları için destek eklemelidir. Konferanstaki açılış konuşmasında, FIDO Alliance yönetici direktörü Andrew Shikiar’a göre, dünya çapında binlerce kuruluş FIDO kimlik doğrulamasını dağıttı veya dağıtıyor, bu da geçiş anahtarlarını desteklemelerini sağlıyor.
Bunların arasında geçen yıl FIDO Alliance’ın kurucu üyelerinden biri olan Marcio Mello’yu PayPal Kimlik Platformu ürün başkanı olarak işe alan PayPal da var. Mello, PayPal’ın ABD’de sınırlı sayıda müşteri için geçiş anahtarları için destek sunmayı planladığını söyledi.
Mello, yeni iOS 16 ile bir iPhone kullanarak PayPal ile nasıl geçiş anahtarı oluşturulacağını gösterdi. Ardından, güncellenmiş işletim sistemine sahip bir Mac’te iCloud Anahtar Zinciri kullanıldığında, geçiş anahtarının otomatik olarak kullanılabileceğini açıkladı. Henüz geçiş anahtarlarını desteklemeyen bir cihaz kullanırken, kullanıcı zaten bir tane oluşturmuşsa, bir QR kodu oluşturarak ona erişebilir.
Mello, “Bu, hem rahatlık hem de güvenlik açısından beklediğimiz harika kombinasyonu sağlıyor” dedi. “Dünya çapında aradığımız büyük ölçekli tüketici dağıtımına ulaşabilmemiz için kesinlikle gerekli olan bir şey.”
Parolalar, kimlik doğrulama için en yaygın kimlik bilgileri olarak kalırken, FIDO Alliance’a göre kuruluşlar için maliyetlidir. Çevrimiçi Kimlik Doğrulama Barometresi, bu hafta yayınlandı. Araştırma, katılımcıların %59’unun şifrelerini hatırlayamadıklarında çevrimiçi hesaplara erişmekten vazgeçtiğini ve kabaca %40’ının aynı nedenle satın alma işlemlerini bıraktığını buldu. Anket ayrıca %39’unun geçiş anahtarlarına aşina olduğunu buldu.
Evlat Edinme Yavaş Olacak
FIDO Alliance tarafından düzenlenen konferans boyunca, standartlaştırılmış kriptografik anahtarların cihazlara, çevrimiçi hizmetlere ve uygulamalara yönelik parolasız bir kimlik doğrulama geleceğinin yolunu açmayı vaat ettiği konusunda kimlik ve güvenlik uzmanları arasında yaygın bir iyimserlik olduğu görüldü.
Shikiar, “Şifre anahtarları, yüz milyonlarca tüketici için şifreleri hemen oyundan çıkarmak için duruyor.” Dedi. Geçiş anahtarlarının parolaları ne kadar çabuk değiştireceği henüz belli değil, ancak bazı kişilerin sunumlarında işaret ettiği gibi, ana akım haline gelmeleri muhtemelen yıllar alacak.
Gartner analisti Paul Rabinovich, kullanıcıların kimlik bilgilerini farklı satıcı ekosistemleri arasında yeniden kullanabilecekleri için geçiş anahtarlarının yaygın olarak benimsenmesinin umut verici olduğunu söylüyor. Bir cihazda kayıtlı geçiş anahtarları, başka bir cihazdan kimlik doğrulamayı tamamlayabildiğinden, mobil uygulamalar veya işletim sistemleri içine yerleştirilmiş “sonunda yazılım tabanlı dolaşım kimlik doğrulayıcılarının geniş çapta benimsendiğini göreceğiz” diyor.