Şifre anahtarları ile şifresiz giriş

Giriş

Şifre anahtarları, şifrelere daha güvenli ve kolay bir alternatiftir. Şifre anahtarları sayesinde kullanıcılar uygulamalarda ve web sitelerinde biyometrik sensör (ör. parmak izi veya yüz tanıma), PIN ya da desen kullanarak oturum açabilir ve böylece, şifreleri hatırlamak ve yönetmek zorunda kalmazlar.

Hem geliştiriciler hem de kullanıcılar şifrelerden nefret eder: kötü bir kullanıcı deneyimi sunar, dönüşüm engelleri ekler ve hem kullanıcılar hem de geliştiriciler için güvenlik sorumluluğu oluşturur. Android ve Chrome'daki Google Şifre Yöneticisi, otomatik doldurma aracılığıyla zorlukları azaltıyor. Dönüşüm ve güvenlik konusunda daha da fazla iyileştirme yapmak isteyen geliştiriciler, şifre anahtarları ve kimlik federasyonunda sektörün modern yaklaşımlarını kullanıyor.

Şifre anahtarı, kimlik avı saldırılarına karşı güçlü koruma sağlamak için hem bir şifreyi hem de OTP'yi (ör. 6 basamaklı SMS kodu) değiştirerek tek faktörlü çok öğeli kimlik doğrulama gereksinimlerini karşılayabilir ve SMS veya uygulama tabanlı tek kullanımlık şifrelerin kullanıcı deneyimine yönelik sorunlarını önler. Şifre anahtarları standartlaştırıldığı için tek bir uygulama tüm kullanıcı cihazlarında, farklı tarayıcılarda ve işletim sistemlerinde şifresiz bir deneyim sunar.

Şifre anahtarları daha kolaydır:

• Kullanıcılar oturum açmak için bir hesap seçebilir. Kullanıcı adının yazılması gerekmez.
• Kullanıcılar; parmak izi sensörü, yüz tanıma veya PIN gibi cihaz ekran kilidi kullanarak kimlik doğrulaması yapabilir.
• Bir şifre anahtarı oluşturulduktan ve kaydettirildikten sonra kullanıcı sorunsuz bir şekilde yeni bir cihaza geçebilir ve yeniden kaydolmasına gerek kalmadan hemen kullanabilir (Her cihazda kurulum gerektiren geleneksel biyometrik kimlik doğrulama).

Şifre anahtarları daha güvenlidir:

• Geliştiriciler, şifre yerine sunucuya yalnızca bir ortak anahtar kaydeder. Bu da, kötü niyetli bir kullanıcının sunuculara saldırması açısından çok daha az bir değer ve ihlal durumunda yapılacak çok daha az bir temizliktir.
• Şifre anahtarları, kullanıcıları kimlik avı saldırılarına karşı korur. Şifre anahtarları yalnızca kayıtlı web sitelerinde ve uygulamalarında çalışır. Tarayıcı veya işletim sistemi, doğrulamayı yürüttüğü için kullanıcı, yanıltıcı bir sitede kimlik doğrulamasına yönlendirilemez.
• Şifre anahtarları, SMS gönderme maliyetlerini azaltır ve böylece iki faktörlü kimlik doğrulama için daha güvenli ve uygun maliyetli bir yöntem sunar.

Şifre anahtarı nedir?

Şifre anahtarı, bir kullanıcı hesabına ve web sitesine veya uygulamaya bağlı bir dijital kimlik bilgisidir. Şifre anahtarları, kullanıcı adı veya şifre girmek zorunda kalmadan ya da ek bir kimlik doğrulama faktörü sağlayarak kullanıcıların kimlik doğrulaması yapmasına olanak tanır. Bu teknoloji, şifreler gibi eski kimlik doğrulama mekanizmalarının yerini almayı amaçlamaktadır.

Bir kullanıcı, şifre anahtarı kullanan bir hizmette oturum açmak istediğinde kullanıcının tarayıcısı veya işletim sistemi doğru şifre anahtarını seçmesine ve kullanmasına yardımcı olur. Deneyim, kayıtlı şifrelerin şu anki işleyişine benzer. Sistem, yalnızca gerçek sahibin şifre anahtarını kullanabildiğinden emin olmak için cihazdan kilidini açmasını ister. Bu işlem biyometrik sensör (parmak izi veya yüz tanıma), PIN veya desen ile gerçekleştirilebilir.

Bir web sitesi veya uygulama için şifre anahtarı oluşturulabilmesi için kullanıcının önce ilgili web sitesi veya uygulamaya kaydolması gerekir.

1. Uygulamaya gidin ve mevcut oturum açma yöntemini kullanarak oturum açın.
2. Şifre anahtarı oluştur düğmesini tıklayın.
3. Yeni şifre anahtarıyla depolanan bilgileri kontrol edin.
4. Şifre anahtarını oluşturmak için cihazın ekran kilidini açın.

Kullanıcı oturum açmak için bu web sitesine veya uygulamaya geri döndüğünde aşağıdaki adımları uygulayabilir:

1. Uygulamaya gidin.
2. Otomatik doldurma iletişim kutusundaki şifre anahtarlarının listesini göstermek için hesap adı alanına dokunun.
3. Şifre anahtarını seçin.
4. Girişi tamamlamak için cihazın ekran kilidini açın.

Kullanıcının cihazı şifre anahtarına göre bir imza oluşturur. Bu imza, kaynak ile şifre anahtarı arasındaki giriş kimlik bilgilerini doğrulamak için kullanılır.

Kullanıcı, şifre anahtarının nerede depolandığından bağımsız olarak bir şifre anahtarını kullanarak hizmetlerde oturum açabilir. Örneğin, cep telefonunda oluşturulan bir şifre anahtarı, ayrı bir dizüstü bilgisayarda web sitesinde oturum açmak için kullanılabilir.

Şifre anahtarları nasıl çalışır?

Şifre anahtarları, şifre anahtarı yöneticilerinin işletim sistemi üzerinde çalışan uygulamalar için yedek anahtar oluşturmasına, bunları yedeklemesine ve kullanıma sunmasına olanak tanıyan işletim sistemi altyapısı üzerinden kullanılması amaçlanmıştır. Android'de şifre anahtarları, aynı Google Hesabı'nda oturum açan kullanıcının Android cihazları arasında şifre anahtarlarını senkronize eden Google Şifre Yöneticisi'nde depolanabilir. Şifre anahtarları, senkronize edilmeden önce cihazda güvenli bir şekilde şifrelenir ve yeni cihazlarda bunların şifresinin çözülmesini gerektirir. Android OS 14 veya sonraki sürümleri çalıştıran kullanıcılar, şifre anahtarlarını uyumlu bir üçüncü taraf şifre yöneticisinde depolayabilir.

Kullanıcılar şifre anahtarlarını yalnızca uygun oldukları cihazda kullanmakla sınırlı değildir. Şifre anahtarı, dizüstü bilgisayarın yakınında olmadığı ve kullanıcı telefonda oturum açmayı onayladığı sürece, dizüstü bilgisayarla giriş yaparken bile telefonlarda kullanılabilir. Şifre anahtarları FIDO standartlarına göre geliştirildiğinden, tüm tarayıcılar bunları kullanabilir.

Örneğin, bir kullanıcı Windows makinesindeki Chrome tarayıcıda example.com adresini ziyaret eder. Bu kullanıcı daha önce Android cihazında example.com uygulamasına giriş yapmış ve şifre anahtarı oluşturmuştur. Kullanıcı, Windows makinede başka bir cihazdan şifre anahtarıyla oturum açmayı seçer. İki cihaz bağlanır ve kullanıcıdan şifre anahtarının örneğin bir parmak izi sensörüyle Android cihazda kullanılmasını onaylaması istenir. Bu işlemden sonra, Windows makinesinde oturum açmış olur. Şifre anahtarının Windows makinesine aktarılmadığını unutmayın. Bu nedenle, example.com genellikle bu dizinde yeni bir şifre anahtarı oluşturmayı teklif eder. Böylece telefon, kullanıcının bir daha oturum açmak istememesine neden olur. Daha fazla bilgi edinmek için Telefonla oturum açma bölümünü okuyun.

Şifre anahtarları kimler tarafından kullanılıyor?

Bazı hizmetler, sistemlerinde şifre anahtarlarını zaten kullanıyor.

• DocuSign
• Google
  • Şifrenin başlangıcının başında
  • Google Online Güvenlik Blogu: Kimlik doğrulama artık çok daha hızlı: şifre anahtarları ve şifreler
• Kayık
• Mercari
• NTT Docomo
• PayPal
• Shopify
  • Şifre Anahtarları, E-ticaret Alışverişinde Zorlukları Nasıl Azaltıyor? Deneyim
  • Shop'un Kimlik Doğrulama Akışlarında Şifre Anahtarlarını Destekleme
• Yahoo! JAPAN
  • Yahoo! JAPAN tarafından şifresiz kimlik doğrulama, sorguların sayısını %25 azalttı ve oturum açma süresini 2,6 kat hızlandırdı

Kendiniz deneyin

Şifre demolarını bu demoda deneyebilirsiniz: https://passkeys-demo.appspot.com/

Gizlilik konusunda dikkat edilmesi gereken noktalar

• Çünkü biyometri ile oturum açmak kullanıcılara hassas bilgilerin sunucuya gönderildiği konusunda yanlış bir izlenim verebilir. Gerçekte ise biyometrik malzeme hiçbir zaman kullanıcının kişisel cihazından dışarı çıkmaz.
• Şifre anahtarları, kullanıcıların veya cihazların siteler arasında izlenmesine tek başına izin vermez. Aynı şifre anahtarı hiçbir zaman birden fazla sitede kullanılmaz. Şifre anahtarı protokolleri, sitelerle paylaşılan hiçbir bilginin izleme vektörü olarak kullanılmaması için dikkatle tasarlanmıştır.
• Şifre anahtarı yöneticileri, şifre anahtarlarını yetkisiz erişim ve kullanıma karşı korur. Örneğin, Google Şifre Yöneticisi şifre anahtarı gizli anahtarlarını uçtan uca şifreler. Bunlara yalnızca kullanıcılar erişebilir ve kullanabilir. Google'ın sunucularına yedeklenmiş olsalar bile Google, bunları kullanıcıların kimliğine bürünmek için kullanamaz.

Güvenlikle ilgili olarak göz önünde bulundurulması gerekenler

• Şifre anahtarları ortak anahtar kriptografisini kullanır. Ortak anahtar kriptografisi, olası veri ihlallerinden kaynaklanan tehditleri azaltır. Kullanıcı bir site veya uygulama ile şifre anahtarı oluşturduğunda kullanıcının cihazında herkese açık, gizli bir anahtar çifti oluşturulur. Sitede yalnızca ortak anahtar saklanır, ancak bu tek başına bir saldırgan için yararlı değildir. Bir saldırgan, kimlik doğrulamasını tamamlamak için gerekli olan sunucuda depolanan verilerden kullanıcının özel anahtarını elde edemez.
• Şifre anahtarları, web sitesinin veya uygulamanın kimliğine bağlı olduğundan kimlik avı saldırılarına karşı güvendedir. Tarayıcı ve işletim sistemi, bir şifre anahtarının yalnızca onları oluşturan web sitesinde veya uygulamada kullanılabilmesini sağlar. Bu sayede kullanıcılar gerçek web sitesinde veya uygulamada oturum açmakla yükümlü olmaz.

Bildirim alın

Şifre anahtarı güncellemeleri hakkında bildirim almak için Google şifre anahtarı geliştirici bültenine abone olun.

Sonraki adımlar

• Android ve Chrome'da şifre anahtarı desteği
• Sık sorulan sorular (SSS)
• Kullanım alanları
• Taraflara güvenme konusunda şifre anahtarları geliştirici kılavuzu
• Kimlik Yöneticisi'ni kullanarak bir Android uygulamasında nasıl oturum açacağınızı öğrenin