Apple, kimlik avı ve parolalara yönelik saldırılara karşı daha güvenli bir yöntem sunan geçiş anahtarları (passkey) teknolojisiyle ilgili önemli bir yeniliği duyurdu. Geçiş anahtarları, hassas olmayan web siteleri ve uygulamalar için endüstri genelinde kabul gören bir kimlik doğrulama standardı olarak öne çıkıyor. Yeni özellik ile geçiş anahtarlarının en büyük dezavantajlarından biri olan kullanım zorluklarının ortadan kaldırılarak bu güvenli yöntemin daha kolay ve yaygın şekilde benimsenmesi hedefleniyor.
Geçiş Anahtarları Platformlar Arasında Sorunsuz ve Güvenli Bir Şekilde Aktarılabilecek
Apple, geçtiğimiz WWDC etkinliğinde yeni bir içe/dışa aktarma özelliğinden bahsetti. iOS, macOS, iPadOS ve visionOS’in bir sonraki ana sürümlerinde kullanıma sunulacak bu özellik, geçiş anahtarlarının en büyük eksikliklerinden birini gideriyor. Bugüne kadar geçiş anahtarları, büyük ölçüde oluşturuldukları işletim sistemine veya kimlik bilgisi yöneticisine bağlı kalıyordu. Örneğin Mac’te oluşturulan bir geçiş anahtarı, sadece aynı iCloud hesabına bağlı diğer Apple cihazlarıyla kolayca senkronize olabiliyordu. Ancak bu anahtarları Windows gibi farklı bir platforma ya da aynı Apple cihazındaki özel bir kimlik bilgisi yöneticisine aktarmak pek mümkün değildi.
Bu kısıtlama, çoğu zaman büyük şirketlerin kullanıcıları belirli ürün ekosistemlerine hapsetmek için bir güç gösterisi yaptığı eleştirilerine yol açıyor. Kullanıcılar, ayrıca anahtarlarının depolandığı cihaz kaybolduğunda, çalındığında veya hasar gördüğünde önemli hesaplara erişimin kesilme riskinin artmasından haklı olarak endişe duyuyor.
Kimlik doğrulama standartlarını geliştiren 100’den fazla platform sağlayıcısı, uygulama üreticisi ve web sitesinden oluşan FIDO Alliance konsorsiyumu, geçiş anahtarlarının aktarımındaki zorlukların farkında olarak şifre senkronizasyonunu daha esnek hâle getirecek programlama arayüzleri üzerinde çalışmalarını sürdürüyor. Google Şifre Yöneticisi’nin Android Authority tarafından yapılan yakın tarihli incelemesi, geliştiricilerin içe ve dışa aktarma araçlarını aktif şekilde uyguladığını gösteriyor; ancak şirket, bu özelliklerin genel kullanıma ne zaman sunulacağına dair henüz bir takvim açıklamadı. Yılın başlarında Google, şifreleri iOS uygulamalarına aktarma işlevi eklemiş olsa da bu süreç hâlâ yavaş ve zahmetli. FIDO’nun son güncellemesi ise Dashlane, 1Password, Bitwarden, Devolutions, NordPass ve Okta gibi birçok önemli şirketin de bu geliştirme sürecine katıldığını ortaya koyuyor.
Apple’ın tanıtım videosunda sunucu, “İnsanlar kimlik bilgilerinin gerçek sahibi ve bu bilgileri istedikleri yerde yönetme özgürlüğüne sahip olmalı.” diyor. Yeni aktarım özelliği de parolalar ve doğrulama kodları dahil olmak üzere kimlik bilgilerini, uygulamalar ve işletim sistemleri arasında daha güvenli ve standart bir şekilde senkronize etmeye imkan veren bir araç sunuyor.
Videoda açıklandığı üzere yeni aktarım süreci, geleneksel yöntemlerden tamamen farklı ve çok daha güvenli bir yapıya sahip. Eskiden kimlik bilgileri genellikle şifrelenmemiş CSV veya JSON dosyaları olarak dışa aktarılır ve kullanıcı tarafından manuel olarak başka bir uygulamaya taşınırdı. Yeni sistemde ise aktarım işlemi; kullanıcı tarafından başlatılıyor, kimlik bilgisi yöneticisi uygulamaları arasında doğrudan gerçekleşiyor ve Face ID gibi yerel biyometrik doğrulamalarla güvence altına alınıyor.
Her hesap için uzun ve rastgele oluşturulmuş güçlü parola oluşturmak ve bunları yönetmek, birçok kullanıcı için zorlayıcı bir görev. Bu zorluklar, genellikle zayıf parolalar seçilmesine veya aynı parolanın birden fazla hesapta tekrar kullanılmasına neden oluyor. Ayrıca sızdırılan şifreler de uzun süredir devam eden kronik bir güvenlik sorunu olarak karşımıza çıkıyor.
Geçiş anahtarları; kimlik avı, parola sızıntıları ve parola tahmin saldırılarına karşı koruma sağlayan güvenli bir doğrulama yöntemi olarak öne çıkıyor. “FIDO2” standartları kapsamında, her web sitesi veya uygulama kaydı sırasında benzersiz bir genel ve özel şifreleme anahtar çifti oluşturuluyor. Bu anahtarlar, kullanıcının cihazlarında güvenle saklanıyor. Genel anahtar ilgili hesap hizmetine gönderilirken özel anahtar yalnızca kullanıcı cihazında kalıyor ve dışarı çıkarılamıyor. Oturum açma sürecinde web sitesi ya da uygulama sunucusu, cihaza rastgele bir talep gönderiyor ve cihaz bu talebi özel anahtarla imzalayıp geri gönderdiğinde kimlik doğrulama gerçekleşiyor.
Bu sayede kullanıcının cihazından dışarıya gizli bir bilgi paylaşılmıyor. Bu da demek oluyor ki aktarım sırasında veriler ele geçirilemez, kimlik avı saldırılarına veya diğer yaygın yöntemlerle çalınma riskine maruz kalmaz.
Şu anda geçiş anahtarlarının yaygınlaşmasını engelleyen en büyük sorun kullanılabilirlik eksikliği. Uygulamalar, işletim sistemleri ve web siteleri, çoğu durumda birbirleriyle uyumlu çalışmayan ayrı sistemler olarak işlev görüyor. Bu durum, kullanıcıların hesaplarına erişimlerini kaybetme riski yaratmanın yanı sıra geçiş anahtarlarının birçok kişi için kullanımını oldukça zorlaştırıyor.
Apple’ın son demosu ise geçiş anahtarı geliştiricilerinin kullanılabilirlik konusunda önemli bir ilerleme kaydettiğine dair şimdiye kadar sunulan en güçlü kanıt olarak öne çıkıyor.
Kaynak: arstechnica.com
