3,081 okumalar

Elveda Parolalar, Merhaba Parolalar: Kimlik Doğrulamanın Geleceği

ile Varun Sharma6m2024/12/17

Çok uzun; Okumak

Parolalar, açık anahtar şifrelemesi kullanan şifresiz bir kimlik doğrulama yöntemidir. Güvenliği artırır, kimlik avı gibi riskleri azaltır ve oturum açma sürecini basitleştirir.

Companies Mentioned

featured image - Elveda Parolalar, Merhaba Parolalar: Kimlik Doğrulamanın Geleceği

‘security symbol on a laptop screen’ Image created by HackerNoon AI Image Generator

Passkey'lere Giriş

Parola tabanlı kimlik doğrulaması uzun yıllardır varsayılan mod olmuştur. Ancak kim kaydolduğu her web sitesinin parolalarını hatırlamak ister ki? Çoğu kişi birçok yerde aynı parolayı, hatırlaması kolay bir parolayı kullanır. Parola yöneticileri kimlik bilgilerini otomatik olarak doldurmayı kolaylaştırır, ancak parola tabanlı kimlik doğrulama sisteminde tasarım gereği mevcut olan güvenlik endişelerinin üstesinden gelemezler. İşte Passkey'ler. Bunlar daha güvenlidir ve kullanımı daha kolaydır, kimlik doğrulama alanında umut vadeden yeni bir vizyonla parolasız kimlik doğrulaması sağlar.

Her şeyde olduğu gibi, parola anahtarlarının da avantajları ve zorlukları vardır; bunları bu makalede tartışacağız ve ayrıca bu kimlik doğrulama yönteminin nasıl çalıştığı, ne kadar güvenli olduğu ve daha birçok şey hakkında bir fikir vereceğiz.

Şifreler nasıl çalışır?

Geçiş anahtarları, tek bir dize tabanlı parolaya güvenmek yerine bir kimlik doğrulama akışı oluşturmak için genel anahtar şifrelemesini kullanır. Kullanıcının cihazı bir Genel/Özel anahtar çifti oluşturur ve genel anahtarı, onu depolayan ve daha sonra anahtarı kullanıcıyı doğrulamak için kullanan sunucuya gönderir, özel anahtar kullanıcının cihazında saklanır.

Kayıt akışı

Kullanıcının cihazı web servisine bağlı bir Genel/Özel anahtar çifti üretir.
Açık anahtar Web servisine gönderilir ve Özel anahtar kullanıcının cihazında saklanır.
Web servisi kullanıcıya ait genel anahtarı kendi veritabanında depolar.

Kimlik doğrulama akışı

Web servisi İstemciye bir meydan okuma nonce'u gönderir.
Kullanıcılar özel anahtara erişmek için Biyometri, PIN vb. gibi herhangi bir yöntemi kullanarak yerel olarak kimlik doğrulaması yaparlar.
Kullanıcı cihazı, ilgili Web servisi için özel anahtarı kullanarak meydan okumayı imzalar.
Web servisi imzalanmış meydan okumayı alır ve bunu Genel anahtarı kullanarak doğrular. Bu, istemci aygıtının gerçekten özel anahtara erişiminin olduğundan emin olur.
Doğrulamanın başarılı olmasından sonra Web servisi kullanıcıyı doğrular.

Dikkat edilmesi gereken noktalar

Açık/Özel anahtar çifti her servis/web sitesi için benzersizdir.
Kayıt sırasında açık anahtar yalnızca bir kez ağ üzerinden web servisine iletilir.
Özel anahtar her zaman kullanıcının cihazında kalır ve ağ üzerinden asla iletilmez. (İstisna, parola yöneticisi kullanarak geçiş anahtarlarını senkronize ettiğiniz zamandır)
Kullanıcı cihazı tarafından oluşturulan imzalı yük, ağ üzerinden iletilir, oturum özelindedir ve kullanıcı her kimlik doğrulaması yaptığında değişir.

Ne kadar güvenliler ve Parolalardan daha iyi bir alternatif nasıl sağlayabilirler?

Arttırılmış güvenlik genellikle kullanım kolaylığının azalması anlamına gelir ancak bu, parolalar söz konusu olduğunda geçerli değildir. Kayıt aşaması tamamlandıktan sonra kullanımı daha kolaydır. Parolaları hatırlama zorunluluğu yoktur, kimlik doğrulaması da hızlı, kolay ve güvenlidir.

Parolalar saldırı yüzeyini azaltır ve parolalara yönelik bazı yaygın tehditleri ortadan kaldırır. Parolalar genellikle bir veritabanında şifrelenmiş biçimde saklanır. Bir web servisine giriş yapmak için düz metin parola kullandığınızda, aynı şifrelenmiş metni üretirler ve bunu halihazırda sahip olduklarıyla karşılaştırırlar, kullanıcılar bu şekilde doğrulanır. Şimdi bu bizi en yaygın iki tehdit ile baş başa bırakır.

Veritabanı ihlalleri
Kimlik avı saldırıları

Veritabanı ihlalleri yaygındır ve bir hizmetin verileri çalındığında, genellikle karanlık web'de satılır. Verilere erişimi olan kötü niyetli aktörler çevrimdışı şifrelemeyi kırmaya çalışabilir ve bugün mevcut olan bilgi işlem gücüyle, şifrelemeye bağlı olarak haftalar veya aylar sürebilir. Parolalar saklanacak parolalar olmadığından, geçiş anahtarları bu tehdidi ortadan kaldırır. Bir sızıntı durumunda, yalnızca Genel anahtar açığa çıkar ve bu da kötü niyetli aktörler için pek işe yaramaz.

Phishing saldırılarında, hedef web sitesinin bir klonu oluşturulur ve kullanıcı, gerçek bir site sanarak kimlik bilgilerini girmeye kandırılır. Ancak bu, çalınacak kimlik bilgileri olmadığı için Passkey'lerle de çalışmaz. Man in the Middle ile birleştirilmiş karmaşık Phishing saldırıları hala çalışabilir olabilir ancak saldırı yüzeyi büyük ölçüde azalır.

Geçiş Anahtarı Türleri

Tek cihaz veya Cihaz Bağlı
- Özel anahtar hiçbir zaman cihazdan dışarı çıkmaz.
- Kimlik doğrulama yalnızca özel anahtarların bulunduğu belirli bir cihazda yapılabilir.
- Anahtar yalnızca tek bir cihazda bulunduğundan, cihaza erişimin kaybedilmesi durumunda kurtarma yolunun tetiklenmesi gerekir.
Çoklu Cihaz veya Senkronize
- Özel anahtar kullanıcı cihazları arasında senkronize edilir.
- Yaygın seçenekler arasında Google şifre yöneticisi, iCloud anahtar zinciri vb. kullanımı yer alır.
- Anahtarlar uçtan uca şifrelenmiştir, bu da sağlayıcının anahtarlarınızı saklasa bile onları göremediği veya kullanamadığı anlamına gelir.
- Bu, kullanıcıların yalnızca bir cihazı kaydetmesi ve aynı anahtarları cihazlarında yeniden kullanabilmesi nedeniyle kullanılabilirliği artırır.

Geçiş Anahtarlarının Taşınabilirliği

Önceki bölümde öğrendiğimiz gibi, Passkey'ler cihazlar arasında senkronize edilebilir, bu yüzden taşınabilir olduklarını biliyoruz. Sağlayıcıda (Google, iCloud) oturum açtığınız sürece passkey'leri tüm cihazlarınızda kullanabilirsiniz. Bu bizi, size ait olmayan bir cihazda, belki bir Arkadaşınızın bilgisayarı veya Kütüphane'de, esasen sadece bir kez kullanmak istediğiniz herhangi bir cihazda passkey'leri nasıl kullanacağımız sorusuna getiriyor. Passkey'ler bu durumu da kapsar, bunun çalışma şekli, iki sistem passkey'leri destekliyorsa, erişimi paylaşmak için Bluetooth üzerinden birbirleriyle iletişim kurabilirler. Nasıl çalıştığına dair adım adım izlenecek yolu inceleyelim.

Şifrenizin olmadığı bir masaüstünde xyz.com adlı bir web sitesini açıyorsunuz.
Farklı bir cihazda şifrelerle oturum açma seçeneğini kullanabilirsiniz.
Masaüstünüz size yakınlardaki kullanılabilir cihazlara ilişkin seçenekleri veya bir QR kodunu gösterecektir.
Cihazı seçebilir veya QR kodunu tarayabilirsiniz.
Daha sonra mobil cihazınızı kullanarak kimliğinizi doğrulayabilir ve masaüstünün mobil cihazınızdaki geçiş anahtarını kullanmasına izin verebilirsiniz.
Kimliğiniz doğrulandıktan sonra, kayıt sürecinden geçmeden masaüstünde bir geçiş anahtarı oluşturma seçeneğiniz de olur. Seçilirse, bundan sonraki sefer mobil cihaza ihtiyacınız olmayacak ve masaüstü için yeni bir geçiş anahtarı seti oluşturulacaktır.
Sadece bir kez kullanmayı seçerseniz yeni şifre oluşturulmayacaktır.

Evlat edinmeyle ilgili çıkarımlar

Geçiş anahtarları, İstemciden Kimlik Doğrulayıcı Protokolü'nü (CTAP) Web Kimlik Doğrulama API'siyle (WebAuthn) birleştiren FIDO2 standartlarına dayanır ve FIDO ittifakı ile W3C arasındaki ortak bir projedir. Bu standardizasyon çabaları, benimsenmeyi ve uygun uygulamayı artırmayı amaçlamaktadır. Geçiş anahtarları için yerel destek, Google, Apple Microsoft gibi şirketler tarafından işletim sistemi ve tarayıcı düzeyinde eklenmektedir ve bu da Geçiş Anahtarlarının benimsenmesini teşvik etmede uzun bir yol kat etmektedir.

Sektörde Parolalara uzun süredir güvenilmesi nedeniyle, parola anahtarlarını benimsemek yalnızca teknik bir zorluk değil, aynı zamanda psikolojik bir zorluktur. Son kullanıcılar, parola tabanlı sistemlerin aşinalığına alışkın oldukları için başlangıçta parola anahtarları konusunda tedirgin hissedebilirler. Parola anahtarları parolalardan daha güvenli ve kullanımı daha kolay olsa da, bilinen seçeneklerle rahatlık çoğu durumda kazanır. Parola anahtarlarının geniş ölçekte benimsenmesi için kullanıcı eğitimi gerekir, başlangıçta kurtarma ve kullanım kolaylığı konusunda sorular olacaktır.

Öte yandan, şirketler yeterli kullanıcı benimsemesi görmezlerse geçiş anahtarı kimlik doğrulaması sunma konusunda isteksiz olabilirler. Kamu sektöründe, hükümetler politika değişiklikleri yoluyla benimsemeyi teşvik edebilir.

Çözüm

Parola anahtarları, Kimlik Doğrulama alanını dönüştürme potansiyeline sahiptir. Güvenlidirler ve kullanımı daha kolaydır. Parola tabanlı kimlik doğrulamada var olan yaygın tehditleri ortadan kaldırırlar, ancak aynı zamanda zorlukları ve sınırlamaları da beraberinde getirirler. Hesapların kurtarılması ve kimlik bilgilerinin taşınabilirliği, uygun şekilde ele alınması gereken bazı sorulardır. Bir sonraki adımın Hibrit bir kimlik doğrulama modu kullanmak olduğunu düşünüyorum, yani parolalarla birlikte parola anahtarlarının kullanılması. Gerçek dünyada benimsenme arttıkça, tamamen parolasız bir geleceğe geçmeden önce nereye gideceğimize karar vermek için daha iyi bir nokta olacak daha fazla argüman yapıldığını göreceğiz.