Şifre anahtarları ile şifresiz giriş

Şifre anahtarları

Giriş

Şifre anahtarları, daha güvenli ve kolay bir şekilde şifre değişimine olanak tanır. Şifre anahtarları sayesinde kullanıcılar, uygulamalarda ve web sitelerinde oturum açmak için biyometrik sensör (ör. parmak izi veya yüz tanıma), PIN ya da desen kullanarak oturum açabilir. Böylece kullanıcıların şifrelerini hatırlamaları ve yönetmeleri gerekmez.

Şifre anahtarı, tek bir adımda hem şifreyi hem de ikinci faktörü değiştirebilir. Kullanıcı deneyimi, şifre formunu otomatik olarak doldurmak kadar basit olabilir. Şifre anahtarları, SMS veya uygulama tabanlı tek kullanımlık şifrelerin aksine kimlik avı saldırılarına karşı güçlü bir koruma sağlar. Şifre anahtarları standart hale getirildiğinden, tek bir uygulama farklı tarayıcılar ve işletim sistemlerinde şifresiz deneyim sağlar.

Şifre anahtarları nedir?

Şifre anahtarı, bir kullanıcı hesabı ile web sitesi veya uygulamaya bağlı dijital bir kimlik bilgisidir. Şifre anahtarları, kullanıcı adı, şifre girmek veya ek kimlik doğrulama faktörü sağlamak zorunda kalmadan kullanıcıların kimlik doğrulaması yapmasına olanak tanır. Bu teknoloji, şifreler gibi eski kimlik doğrulama mekanizmalarının yerini almayı amaçlamaktadır.

Bir kullanıcı, şifre anahtarı kullanan bir hizmette oturum açmak istediğinde, tarayıcısı veya işletim sistemi doğru şifre anahtarını seçip kullanmasına yardımcı olur. Bu deneyim, kayıtlı şifrelerin şu anki işleyişine benzer. Yalnızca gerçek sahibinin şifre anahtarı kullanabileceğinden emin olmak için sistem, kendisinden cihazının kilidini açmasını ister. Bu işlem biyometrik sensör (ör. parmak izi veya yüz tanıma), PIN ya da desenle gerçekleştirilebilir.

Bir web sitesi veya uygulama için şifre anahtarı oluşturmak isteyen kullanıcının önce söz konusu web sitesi veya uygulamaya kaydolması gerekir.

  1. Uygulamaya gidin ve mevcut oturum açma yöntemini kullanarak oturum açın.
  2. Şifre anahtarı oluştur düğmesini tıklayın.
  3. Yeni şifre anahtarında depolanan bilgileri kontrol edin.
  4. Şifre anahtarını oluşturmak için cihazın ekran kilidini açın.

Oturum açmak için bu web sitesine veya uygulamaya geri döndüğünde aşağıdaki adımları uygulayabilir:

  1. Uygulamaya gidin.
  2. Oturum aç'ı tıklayın.
  3. Şifre anahtarını seçin.
  4. Girişi tamamlamak için cihazın ekran kilidini açın.

Kullanıcının cihazı şifre anahtarına göre bir imza oluşturur. Bu imza, kaynak ile şifre anahtarı arasındaki giriş kimlik bilgilerini doğrulamak için kullanılır.

Kullanıcılar, şifre anahtarının depolandığı konum ne olursa olsun bir şifre anahtarı kullanarak hizmetlerde oturum açabilir. Örneğin, bir cep telefonunda oluşturulan şifre anahtarı, ayrı bir dizüstü bilgisayardan web sitesinde oturum açmak için kullanılabilir.

Şifre anahtarları nasıl çalışır?

Şifre anahtarları, şifre anahtarı yöneticilerinin söz konusu işletim sisteminde çalışan uygulamalar için oluşturma, yedekleme ve kullanıma sunma işlemlerini gerçekleştirmesine olanak tanıyan işletim sistemi altyapısıyla kullanılmak üzere tasarlanmıştır. Android'deki Chrome'da şifre anahtarları, kullanıcının aynı Google hesabında oturum açtığı Android cihazlar arasında senkronize edilen Google Şifre Yöneticisi'nde saklanır.

Kullanıcılar şifre kartlarını sadece depoladıkları cihazda kullanmakla sınırlı değildir. Şifre anahtarı, dizüstü bilgisayara yakın olduğu ve kullanıcı telefonda oturum açmayı onayladığı sürece, dizüstü bilgisayara giriş yapılmışken bile telefonlarda depolanan şifre anahtarları kullanılabilir. Şifre anahtarları FIDO standartlarını temel aldığı için tüm tarayıcılar bunları kullanabilir.

Örneğin, bir kullanıcı Chromebook'unda example.com adresini ziyaret ediyor. Bu kullanıcı daha önce iOS cihazında example.com uygulamasına giriş yapıp şifre anahtarı oluşturdu. Chromebook'ta kullanıcı başka bir cihazdan şifreyle oturum açmayı seçer. İki cihaz bağlanır ve kullanıcıdan iOS cihazında (örneğin, FaceID) şifre anahtarının kullanımını onaylaması istenir. Bu işlemden sonra, Chromebook'ta oturum açmış olurlar. Şifre anahtarının kendisinin Chromebook'a aktarılmadığını, example.com adlı cihazın normalde Chromebook'ta yeni bir şifre anahtarı oluşturmayı teklif ettiğini unutmayın. Bu şekilde, kullanıcı bir daha oturum açmak istediğinde telefon gerekmez. Daha fazla bilgi edinmek için Telefonla oturum açma bölümünü okuyun.

Şifre anahtarı senkronizasyonu

Gizlilikle ilgili dikkat edilmesi gereken noktalar

  • Bir web sitesinde veya uygulamada aniden biyometrik kimlik doğrulama görüntülenmesi ve bunun sunucuya hassas bilgiler gönderdiğini düşünmesi bazı kullanıcıları şaşırtabilir. Şifre anahtarları ile kullanıcının biyometrik bilgileri hiçbir zaman web sitesine veya uygulamaya açıklanmaz. Biyometrik malzemeler kullanıcının kişisel cihazından asla dışarı çıkmaz.
  • Şifre anahtarları, kullanıcıların veya cihazların siteler arasında izlenmesine tek başına izin vermez. Aynı şifre anahtarı hiçbir zaman birden fazla sitede kullanılmaz. Şifre anahtarı protokolleri, sitelerle paylaşılan bilgilerin izleme vektörü olarak kullanılamaması için dikkatli bir şekilde tasarlanmıştır.
  • Şifre anahtarları, şifre anahtarlarını yetkisiz erişime ve kullanıma karşı korur. Örneğin, Google Şifre Yöneticisi şifre anahtarı gizli anahtarlarını uçtan uca şifreler. Bunlara yalnızca kullanıcı erişebilir ve onları kullanabilir. Google'ın sunucularına yedeklenmiş olsalar bile Google, bunları kullanıcıların kimliğine bürünmek için kullanamaz.

Güvenlikle ilgili olarak göz önünde bulundurulması gerekenler

  • Şifre anahtarları ortak anahtar kriptografisini kullanır. Ortak anahtar kriptografisi, olası veri ihlallerinden kaynaklanan tehdidi azaltır. Kullanıcı bir site veya uygulamayla şifre oluşturduğunda, kullanıcının cihazında herkese açık-gizli anahtar çifti oluşturulur. Sitede yalnızca ortak anahtar saklanır ancak bu yalnızca bir saldırgan için faydalı değildir. Bir saldırgan, kimlik doğrulama işlemini tamamlamak için gerekli olan, sunucuda depolanan verilerden kullanıcının özel anahtarını elde edemez.
  • Şifre anahtarları bir web sitesinin veya uygulamanın kimliğine bağlı olduğundan kimlik avı saldırılarına karşı güvendedir. Tarayıcı ve işletim sistemi, bir şifre anahtarının yalnızca onları oluşturan web sitesiyle veya uygulamayla kullanılabilmesini sağlar. Bu, kullanıcıların orijinal web sitesinde veya uygulamada oturum açma sorumluluğunu ortadan kaldırır.

Bildirim alın

Şifre anahtarı güncellemeleri hakkında bildirim almak için Google şifre anahtarları geliştirici bültenine abone olun.

Sonraki adımlar