Dünya devi iki büyük teknoloji şirketi Apple ve Google, son dönemde donanım tabanlı doğrulama teknolojilerinin kullanım alanlarını giderek genişletiyor. Her iki şirket de farklı hizmet sağlayıcılarını bu sistemleri kullanmaları için teşvik ediyor ve böylece kullanıcı doğrulama süreçlerinde yeni standartlar oluşturmayı planlıyorlar. Elbette bunun en büyük sebeplerinden biri, gerçek kullanıcı olmayan kişilerin sayısını azaltmak ve kullanıcıların güvenliğini sağlamak.
Bu noktada Google’ın Play Integrity API sistemi ile Apple’ın App Attest API yaklaşımı büyük ölçüde benzerlik gösteriyor. Zamanla şirketler bu sistemler üzerine sürekli geliştirmeler yapıyor ve zaman zaman güncellemeler yayınlıyorlar. Örnek vermek gerekirse Apple, bu doğrulama yöntemini Privacy Pass aracılığıyla web ortamına taşımış durumda. Kısaca bahsetmek gerekirse Privacy Pass; siz bir siteye girdiğinizde, Apple cihazınız arka planda siteye güvenli, şifreli bir dijital jeton gönderir. Bu jeton sayesinde web sitesi gerçek bir kullanıcı olduğunuzu anlar ancak tarama geçmişinizi veya kişisel bilgilerinizi asla göremez. Bu sayede gizlilik koruması sağlanmış olur.
Daha önce de bahsettiğimiz gibi Google’ın Play Integrity API sistemi de Apple’ınkine benzer şekilde çalışıyor. Play Integrity API, geliştiricilerin kullanıcı eylemlerinin ve sunucu isteklerinin, sertifikalı bir Android cihazda çalışan, orijinal ve değiştirilmemiş uygulama ikili dosyalarından kaynaklanıp kaynaklanmadığını kontrol etmelerine yardımcı olan bir Google Play güvenlik hizmeti olarak öne çıkıyor. Bu uygulama ise sahtekarlık ve kötüye kullanımı önlemek için emülatörler ve riskli ortamları tespit ediyor.
Bu sistemlerin temel amacı, kullanıcıların Apple veya Google tarafından onaylanmamış donanım ve yazılımları kullanmasını engellemek. Şirketler bunu güvenlik önlemi olarak tanımlasa da kullanıcılar tarafından bu sistemlere gelen eleştirilerin, asıl sonucun belirli ekosistemlerin dışındaki çözümlerin kullanımını zorlaştırmak olduğunu söyleniyor. Özellikle bankacılık ve kamu hizmetleri gibi alanlarda bu teknolojilerin hızla yaygınlaştığı görülüyor. Ancak önde gelen şirketler bu yöntemlerin daha geniş çapta benimsenmesini teşvik ediyor.
Apple’ın geliştirdiği Privacy Pass sisteminin web ortamına taşınmasının asıl amacı, kullanıcıların kendi cihazları üzerinden CAPTCHA doğrulamalarını daha kolay geçmesine yardımcı olmaktı. Başlarda birçok kişi bu durumu zararsız görmüş; çünkü web sitelerinin Apple dışındaki kullanıcıları engellemek istemeyeceği düşünülmüştü. Ancak Apple ve Google’ın gelecekte daha kapsamlı donanım doğrulama sistemlerini web ortamına taşıma ihtimali giderek daha fazla tartışılır hale geldi.
Bu kapsamda Google’ın reCAPTCHA sistemi de yeni bir doğrulama yaklaşımı üzerinde çalışıyor. Apple, cihazlarında Privacy Pass kullanılırken, Google sertifikalı Android cihazlarında farklı bir yöntem uygulanmakta. Diğer platformlar için ise QR kod tarama mekanizması kullanılıyor. Bu yaklaşımın Windows ve farklı masaüstü işletim sistemlerinde dahi iOS veya Google onaylı Android cihazlarına bağımlılık oluşturabileceği ifade ediliyor.
Bankacılık ve devlet hizmetleri de giderek daha fazla mobil uygulama kullanımını zorunlu hale getiriyor. Bu bağlamda özellikle web ortamında App Attest, Play Integrity ve yeni nesil reCAPTCHA doğrulama yöntemleri bu dönüşümün önemli araçları olarak görülüyor.
reCAPTCHA Doğrulama Sistemleri
Güncel medya tartışmalarında reCAPTCHA Mobile Verification sisteminin etkisinin tam anlamıyla kavranamadığı yönünde eleştiriler bulunuyor. Söz konusu sistemin Windows, masaüstü Linux veya OpenBSD gibi platformlarda CAPTCHA doğrulamasını geçebilmek için sertifikalı bir akıllı telefondan QR kod taranmasını gerektirebileceği ifade ediliyor. Bu uygulamanın ise gelecekte daha geniş kapsamlı hale gelme potansiyeli mevcut.
Google’ın reCAPTCHA üzerindeki etkisi, teorik olarak internetin büyük bir bölümüne erişimde iOS veya sertifikalı Android cihaz kullanımını dolaylı olarak zorunlu hale getirebilir. Ayrıca Android sertifikasyon şartlarının Google Chrome gibi belirli yazılımların kullanımını teşvik etmesi, rekabet açısından ciddi tartışmaları beraberinde getiriyor.
Google Play Integrity sistemi, güvenlik odaklı tasarlanmış alternatif bir işletim sistemi olan GrapheneOS’i desteklemiyor. Buna karşın güvenlik güncellemesi almamış eski cihazların bazı durumlarda sistem tarafından kabul edilmeye devam etmesi, güvenlik gerekçelerinin tutarlılığı konusunda da soru işaretleri oluşturuyor.
Benzer biçimde Avrupa Birliği başta olmak üzere çeşitli hükümetlerin dijital ödeme sistemleri, şimdiden kimlik doğrulama çözümleri ve yaş doğrulama hizmetleri kapsamında bu teknolojileri teşvik etmeye başladı. Eleştirmenler ise hükümetlerin rekabet karşıtı uygulamaları sınırlandırmak yerine bu sistemleri benimseyerek piyasa çeşitliliğini azaltma riskine katkıda bulunduğunu savunuyorlar.
Sonuç olarak donanım tabanlı doğrulama sistemleri güvenlik açısından belirli avantajlar sunsa da bunların uzun vadede teknoloji ekosistemindeki rekabeti nasıl etkileyeceği önemli bir tartışma konusu. Görünen o ki, güvenlik ile kullanıcı özgürlüğü arasındaki dengenin korunması, gelecekte dijital hizmetlerin erişilebilirliği açısından kritik bir öneme sahip olacak.
