Artık parola yok — geçiş anahtarları parolanızın yerini nasıl alacak?
Belirsizliği önlemek için aşağıdaki terimler kullanılacaktır;
Doğrulayıcı ; Giriş yapmak için kullanılan cep telefonu
Web sitesi ; Kullanıcının oturum açma talebinde bulunmak için kullandığı web sitesi veya uygulama
hizmet ; Verilen hizmeti sağlayan satıcı, örneğin Google Mail, Microsoft Outlook
Parolalarla ilgili sorun nedir?
Parolalar internet kullanımımızla eş anlamlıdır, bunları e-postalarımıza, sosyal medya hesaplarımıza giriş yapmak veya banka bakiyelerimizi kontrol etmek için kullanırız. Her sitenin iyinin neye benzediğine dair kendi tanımına sahip olduğu 'iyi' karmaşık şifreler belirlememiz hatırlatıldı.
Bu çabalara rağmen, birçok hesapta zayıf parola ve/veya aynı parola kullanıldığı için parolalar bir zayıflık olmaya devam ediyor. Çoğu zaman bazıları, kimlik avı olarak bilinen, gerçek hizmetlermiş gibi davranan web sitelerinin kurbanı olur. Burası, kullanıcıların gerçek olduğuna inandıkları ancak aslında kullanıcının şifresini çalmak için oluşturulmuş sahte bir web sitesi olan bir bağlantıya tıkladıkları yerdir.
Çok iyi sahte 'kimlik avı' web siteleri, MFA türü kimlik avı saldırılarına karşı dayanıklı olacak şekilde tasarlanmadıysa, kullanıcıları çok faktörlü kimlik doğrulama (MFA) için kandırabilir. Bununla birlikte, herhangi bir MFA'ya sahip olmak, hiç MFA'ya sahip olmamaktan iyidir.
Geçiş Anahtarları Nedir?
Geçiş anahtarları parolaların yerini alır ve kimlik avı saldırılarına karşı dayanıklı olacak şekilde tasarlanmıştır. Ayrıca, daha güvenli olmanın yanı sıra, kullanıcılar için oturum açma sürecini çok daha kolaylaştırırlar.
Örnek olarak Batool'u ele alalım, Gmail hesabına giriş yapmak için bir şifre kullanıyor. Parolaya geçerek parmak izini veya yüzünü kullanarak oturum açabilir. Parola, Parolayı kullanamaması durumunda alternatif bir yöntem haline gelir (şifreler sonunda bir noktada kullanımdan kaldırılacaktır).
Geçiş anahtarları , parola yerine özel ve genel anahtar kavramını kullanır Batool artık cep telefonu tarafından sorunsuz bir şekilde oluşturulan, saklanan ve yönetilen bir özel anahtara sahiptir. Bu, bir kimlik doğrulama Uygulaması aracılığıyla veya işletim sistemi içinde olabilir.
Batool'un telefonu, Gmail.com ile Parola oluşturma işleminin bir parçası olarak, yeni genel anahtarını Gmail'e otomatik olarak nasıl yükleyeceğini biliyor.
Gmail artık Batool'un genel anahtarını biliyor ve bu nedenle, Batool'un telefonunun kilidini açmasını ve özel anahtarını kullanarak imzalamasını isteyerek ondan anahtarın kendisine ait olduğunu doğrulamasını isteyecek.
Tüm bunlar Gmail.com ve telefonu arasında arka planda gerçekleşir, Batool'un normalde yaptığı gibi yalnızca parmak izini veya yüz biyometrik kilit açmayı kullanma konusunda endişelenmesi gerekir. Ayarlanmış çok sayıda farklı Gmail.com hesabı varsa, hangi Parolayı kullanacağını seçmesi gerekebilir.
Batool'un genel anahtarına sahip olmadıkları ve bu nedenle oturum açamadığı için sahte web siteleri artık daha az tehdit oluşturuyor. Özel anahtarın cep telefonundan asla çıkmadığını unutmayın.
Batool bir paroladan geçiş anahtarına nasıl geçer?
Aşağıdaki diyagram, Batool'un Gmail hesabı için parola kullanmaktan geçiş anahtarına nasıl geçtiğini göstermektedir.
1- Batool, kullanıcı adı ve şifresini kullanarak hizmete (Gmail) giriş yapar.
2- Gmail artık Parolaları desteklemektedir, Batool'a Parola oluşturması için bir istek gönderilir veya g.co/passkeys adresine göz atması gerekebilir .
3- Parola oluşturmak için bir bildirim görünür.
4- Batool bir Parola oluşturmayı seçer ve biyometrik seçeneği kullanarak telefonunun kilidini açması istenir. Bu, telefonunun Gmail.com için güvenli bir şekilde yeni bir Parola oluşturmasına ve bunu kendisi için güvenli bir şekilde saklamasına olanak tanır.
5- Özel anahtar, kullanıcı profiline bağlıdır, yani cihazları arasında senkronize edilmiştir. Bu örnekte Batool, iCloud kullanılarak eşzamanlanabilmesi için bir iPhone kullanıyor. Ancak, Microsoft Authenticator veya Google Password Manager gibi farklı sağlayıcılar tarafından alternatif yöntemler kullanılabilir.
6 - İlgili ortak anahtar Gmail'e gönderilir.
7- Google YALNIZCA bu ortak anahtarı depolar ve gelecekteki oturum açma girişimlerinde Batool'dan imzalanan imzaları doğrulamak için kullanılır.
Batool Parolayı kullanmak için parmak izini veya yüzünü kullanırken, bu tıpkı cihazın kilidini açmak veya çevrimiçi bankacılığa giriş yapmak gibidir — parmak izinin veya yüzünün dijital temsili ASLA cep telefonundan ayrılmaz , telefonda şifreli olarak saklanır ve alınamaz Gmail veya Apple ya da Android gibi cihazı yapan kişi tarafından erişilir.
Artık Batool'un bir Parolası var, oturum açma işlemi nasıl işliyor?
Aşağıdaki şema, Batool'un geçiş anahtarını kullanarak Gmail hesabına nasıl giriş yapacağını göstermektedir.
1- Batool, belirli bir hizmetin oturum açma web sitesine, bu durumda Gmail'e göz atar.
2- Batool daha önce Gmail için bir geçiş anahtarı (yukarıya bakın) oluşturmuştur, bu nedenle Gmail hizmetinden bir sorgulama gönderilir.
3- Meydan Okuma, Batool'un telefonu tarafından alınır ve hizmetteki kullanılabilir geçiş anahtarlarının bir listesi olarak görünür; örneğin, Batool'un birden fazla Gmail hesabı varsa, iki geçiş anahtarı görünür
4- Batool, Gmail hesabı için Parolayı seçer ve ardından cep telefonunun kilidini açmak için biyometri kullanır, bu, telefonunun özel anahtarı kullanmasına izin verir.
5- Google'dan gelen meydan okuma daha sonra Batool'un özel anahtarı tarafından imzalanır.
6- Daha sonra Google'a, Batool'un oturum açtığına dair güçlü bir güven sağlayan imzalı bir meydan okuma gönderilir.
7 - Google, başarılı girişi onaylamak için Batool'un genel anahtarını kullanır.
Bundan sonra Google'da oturum açarken, Google mümkün olduğunda Parola isteyecektir. Parola kullanılamıyorsa, Batool yine de Google parolasını kullanabilir.
Bu, Geçiş Anahtarlarına aşamalı geçişin bir parçasıdır, çünkü daha fazla hizmet Geçiş Anahtarlarını benimsediğinden, umarız parolaların olmadığı ve kimlik avına karşı daha güçlü bir dayanıklılığın olduğu bir gelecek görürüz.
Apple, Google ve Microsoft, bu konuda daha fazla bilgiyi burada bulabileceğiniz Geçiş Anahtarlarının farkındalığını ve benimsenmesini artırmak için iş birliği yapıyor .
Bu parçayı inceleyen Joel Samuel ve Ali Sarraf'a çok teşekkürler .