Parola dönemi bitti, şimdi geçiş anahtarı zamanı: Değişime hazır mısınız?

Geçiş anahtarları giderek yaygınlaşırken, parola kullanma dönemi kapanıyor. Parola yerine geçiş anahtarı tercih etmenin temel faydaları nedir?

Büyük ihtimalle hepimiz parola kullanmaktan sıkıldık. Çok sayıda çevrimiçi hesap kullandığımız günümüz dünyasında, parolalar artık amaca hizmet etmiyor. Birçoğumuz, tüm uygulamalarda ve web sitelerinde aynı, hatırlanması kolay oturum açma kimlik bilgileri kullanıyoruz ve parolayla ilgili değişik hatalar yapıyoruz. Ve bir parola kırıldığında, tüm dijital dünyamız yıkılabiliyor. 

Aslında parolaların bu kadar uzun süredir kullanılması ilginçtir ve bunun en büyük nedeni etkin alternatif yöntemlerin eksikliğidir. Ancak geçiş anahtarlarının ortaya çıkmasıyla bu durum değişeceğe benziyor. Google kısa süre önce hem kişisel hem de iş hesaplarında yeni teknolojiyi desteklediğini duyurdu (Apple ve Microsoft’tan farklı olarak), yani yeni bir parolasız oturum açma dönemi başlıyor olabilir mi? 

Parola deneyimini ve güvenliğini geliştirmeye veya güncellemeye yönelik daha önce yapılan girişimler kısmi başarı sağladı. İki faktörlü kimlik doğrulama (2FA) parolaları daha güvenli hale getirmeye büyük ölçüde yardımcı oluyor, ancak iki aşamalı bu süreç bazılarına göre kullanışsız olduğu için bu yöntemin dünya geneline yayılması zordur. Ayrıca, 2FA’nın en yaygın kullanılan çeşidi olan kısa mesaj yoluyla kullanıcılara gönderilen tek seferlik kodlar da ele geçirilebilir.  

Parola yöneticileri ise her bir site için uzun, karmaşık ve benzersiz bir parola oluşturma, saklama ve hatırlama konusunda harikadır. Ancak her zaman tüm cihazlarınızı, işletim sistemlerinizi ve web tarayıcılarınızı kapsamayabilir ve ana parolanızı kaybetmeniz durumunda tek bir hata noktası oluşturabilirler. Bazı durumlarda, kullanıcı deneyiminde de zorluklar olabilir. 

En büyük teknoloji şirketleri, bir endüstri standardı olan şifre anahtarlarının bir gün parolaların, 2FA’nın ve bildiğimiz parola yönetimi ihtiyacının yerini alacağını umuyor. Birlikte göz atalım. 

Geçiş anahtarı nasıl çalışır? 

Geçiş anahtarları, açık anahtar kriptografisinden yararlanır. Bir geçiş anahtarı, bir web sitesi, uygulama veya başka bir çevrimiçi hizmetteki hesabınızı güvence altına almak için oluşturulan bir çift kriptografik anahtardan (özel bir anahtar ve buna karşılık gelen bir genel anahtar) oluşur.  

Özel anahtar cihazınızda uzun bir şifrelenmiş karakter dizisi olarak saklanırken, eşleşen genel anahtar ilgili çevrimiçi hizmetin sunucularına yüklenir, örneğin Google veya Apple’ın iCloud anahtar zinciri şifre yönetim sistemi.  

Ardından, oturum açmak için, PIN kodunuz, parmak iziniz veya başka bir cihaz ekran kilidi mekanizması ile kimlik doğrulaması yapmanız gerekir. Herhangi bir parola girmenize veya hatırlamanıza gerek yoktur, bu da süreci daha güvenli ve kullanımı daha sorunsuz hale getirir. 

Oturum açma girişiminde sunucu, cihazınıza bir kriptografik sorgulama göndererek özel anahtardan bunu çözmesini ve sunucuya geri iletmesini ister. Kimliğinizi doğrulamak için her ikisi de gerekli olan genel ve özel anahtar çiftlerinin eşleştiğini doğrulamak için bu yanıt kullanılır.  

Biyometrik veriler hiçbir aşamada cihazdan başka yere yollanmaz ve sunucu özel anahtarın ne olduğunu öğrenmez. Aslında, özel anahtarı kendiniz de asla görmezsiniz – tüm sihir arka planda gerçekleşir ve sizin çaba harcamanıza gerek yoktur.  

Geçiş anahtarlarının temel faydaları nedir? 

Peki, geçiş anahtarları hem kullanım kolaylığı hem de daha güçlü güvenlik için her derde deva mıdır? Başka faydaları aşağıda daha ayrıntılı olarak açıklanıyor: 

• Kimlik avına ve sosyal mühendisliğe karşı dayanıklılık: Geçiş anahtarları, insanların sahte web sitelerine girerken verdiği oturum açma kimlik bilgilerinin yanlışlıkla siber suçluların eline geçmesi riskini ortadan kaldırır. Bunun yerine, hesabın gerçek sahibi olduğunuzu kanıtlamak için cihazınızı kullanmanız istenir.  
• Üçüncü taraf ihlalinin sonuçlarını önleme: Bir web sitesi veya uygulama sağlayıcısı ihlal edilirse, yalnızca genel anahtarlar çalınabilir – özel anahtarınız hiçbir zaman çevrimiçi hizmetle paylaşılmaz ve genel anahtardan bunu anlamanın bir yolu yoktur. O halde, açık anahtar tek başına bir saldırganın işine yaramaz. Bunu, bilgisayar korsanlarının kullanıma hazır kullanıcı adı/parola kombinasyonlarından oluşan büyük yığınları çalabildiği mevcut sistemle karşılaştırabilirsiniz. 
• Kaba kuvvet saldırılarından kaçınma: Geçiş anahtarları açık anahtar kriptografisine dayanır, yani saldırganlar bunları tahmin edemez veya hesaba girmek için kaba kuvvet kullanamaz. 
• 2FA’ya gerek yok: Anahtarlarda ikinci bir faktör yoktur, bu nedenle kullanıcılar SMS kodlarını ve benzerlerini ele geçirmek için tasarlanmış saldırı riski altında değildir. Aslında, bir geçiş anahtarı birden fazla kimlik doğrulama faktöründen oluşur. Geçiş anahtarları 2FA’nın en güvenli türü olan donanım güvenlik anahtarlarının bile yerini alabilecek kadar güçlüdür.
• Endüstri standartlarında: Geçiş anahtarları, FIDO Alliance ve W3C WebAuthn çalışma grubu standartlarına uygundur, yani tüm katılımcı işletim sistemleri, tarayıcılar, web siteleri, uygulamalar ve mobil eko sistemlerde çalışır. Apple, Google ve Microsoft’un yanı sıra 1Password ve Dashlane gibi büyük parola yönetim şirketleri ve WordPress, PayPal, eBay ve Shopify gibi platformlar da bu teknolojiyi destekliyor (ya da yakında destekleyecektir). 
• Kolay kurtarma: Anahtarlar bulutta saklanabilir ve cihazın kaybolması halinde yenisine geri yüklenebilir. 
• Akılda tutmaktan kurtulma: Kullanıcılar için artık çok sayıda parola oluşturmaya, hatırlamaya ve korumaya gerek yoktur. 
• Birden fazla cihazda çalışma: Bir geçiş anahtarı oluşturulduktan sonra, normal biyometrik kimlik doğrulamasında olduğu gibi her seferinde yeniden kaydolmaya gerek kalmadan yeni cihazlarda kullanılabilir. Ancak, aşağıda ayrıntılı olarak açıklandığı gibi, dikkat edilmesi gereken bazı noktalar vardır. 

Geçiş anahtarı neden iyi bir fikir olmayabilir? 

Geçiş anahtarlarını benimsemenize engel bazı durumlar da olabilir. Şu an için sektörün bu yöntemi tam anlamıyla benimsememesi ve geçiş anahtarlarının senkronize edilme şekli gibi. 

• Geçiş anahtarları yalnızca aynı işletim sistemini çalıştıran cihazlarla senkronize edilir: Bu yazıda açıklandığı gibi geçiş anahtarları işletim sistemi platformuna göre senkronize edilir. Bu, örneğin bir iOS cihazınız varsa ve aynı zamanda Windows kullanıyorsanız, zor bir kullanıcı deneyimi yaşayabileceğiniz anlamına gelir. Geçiş anahtarlarınızın farklı işletim sistemleri kullanan cihazlar arasında çalışmasını sağlamak için QR kodlarını taramanız ve Bluetooth’u açmanız gerekir. Bu aslında mevcut parola deneyimine göre daha az kullanıcı dostudur.  
• Sektörün fazla benimsememesi: Bazı büyük şirketler geçiş anahtarlarını kullanmaya başlamış olsa da genel anlamda kullanımı yaygın değildir. Büyük platformların yanı sıra, bunu destekleyen yaygın web sitelerinin ve uygulamaların bu şifre anahtarlarını kullanmaya başlaması biraz zaman alabilir. Sevdiğiniz platformların bu teknolojiyi destekleyip desteklemediğini buradan kontrol edebilirsiniz. 

Bu durum parola döneminin kapanma sinyali olabilir mi? Geçiş anahtarları, parolaların şu ana kadarki en güçlü rakibidir. Ancak kullanıcılar arasında neredeyse evrensel bir kabul görmesi için teknoloji tedarikçilerinin farklı işletim sistemi eko sistemlerinde bunları kullanmayı daha da kolaylaştırması gerekebilir. 

Geçiş anahtarlarını denemek için, Google, Apple veya Microsoft hesaplarınızın ayarlar menüsünden yararlanabilirsiniz.