Gertty Resimleri
Yıllardır Big Tech, parolanın ölümünün hemen köşede olduğu konusunda ısrar etti. Yıllardır, bu güvenceler boş vaatlerden biraz daha fazlası oldu. Push, OAUTH tek oturum açma ve güvenilir platform modülleri gibi parola alternatifleri, çözdükleri kadar kullanılabilirlik ve güvenlik sorunu ortaya çıkardı. Ama şimdi, sonunda gerçekten işe yarayacak bir parola alternatifinin eşiğindeyiz.
Yeni alternatif, geçiş anahtarları olarak bilinir. Genel olarak, geçiş anahtarları, on yıldan fazla bir süredir var olan bir kavram olan donanımda kimlik doğrulama bilgilerini depolamak için çeşitli şemalara atıfta bulunur. Şimdi farklı olan, Microsoft, Apple, Google ve diğer şirketlerden oluşan bir konsorsiyumun FIDO Alliance tarafından yönetilen tek bir geçiş anahtarı standardı etrafında birleşmiş olmasıdır. Çoğu insan için geçiş anahtarlarını kullanmak parolalardan daha kolay olmakla kalmaz; ayrıca kimlik bilgileri kimlik avı, kimlik bilgileri doldurma ve benzer hesap ele geçirme saldırılarına karşı da tamamen dirençlidirler.
Pazartesi günü PayPal, ABD merkezli kullanıcıların yakında FIDO tabanlı geçiş anahtarlarını kullanarak giriş yapma, Kayak, eBay, Best Buy, CardPointers ve WordPress’e şifre alternatifi sunacak çevrimiçi hizmetler olarak katılma seçeneğine sahip olacağını söyledi. Son aylarda Microsoft, Apple ve Google, geçiş anahtarlarını etkinleştirmek için işletim sistemlerini ve uygulamalarını güncelledi. Geçiş anahtarı desteği hala sivilceli. iOS veya macOS’ta depolanan geçiş anahtarları, örneğin Windows’ta çalışır, ancak tersi henüz mevcut değildir. Ancak önümüzdeki aylarda, bunların hepsinin ütülenmesi gerekiyor.
Tam olarak ne, vardır şifreler?
FIDO İttifakı
Geçiş anahtarları, çok faktörlü kimlik doğrulama için telefonlarımızı, dizüstü bilgisayarlarımızı, bilgisayarlarımızı ve Yubico veya Feitian güvenlik anahtarlarımızı kullanmamıza izin veren FIDO kimlik doğrulayıcılarıyla neredeyse aynı şekilde çalışır. Bu MFA cihazlarında depolanan FIDO kimlik doğrulayıcıları gibi, geçiş anahtarları da görünmezdir ve Face ID, Windows Hello veya cihaz üreticileri tarafından sunulan diğer biyometrik okuyucularla bütünleşir. Cihazı fiziksel olarak sökmeden veya bir jailbreak veya köklendirme saldırısına maruz bırakmadan, kimlik doğrulayıcılarda saklanan kriptografik sırları geri almanın bir yolu yoktur.
Bir rakip kriptografik sırrı çıkarabilse bile, yine de parmak izini, yüz taramasını veya – biyometrik yeteneklerin yokluğunda – jetonla ilişkili PIN’i sağlamak zorunda kalacaktı. Dahası, donanım belirteçleri, kimlik doğrulama cihazının oturum açmaya çalışan cihaza fiziksel olarak yakın olduğunu doğrulamak için Bluetooth Düşük Enerjiye dayanan FIDO’nun Cihazlar Arası Kimlik Doğrulama akışını veya CTAP’yi kullanır.
Şimdiye kadar, FIDO tabanlı güvenlik anahtarları, esas olarak, birinin doğru parolaya ek olarak ayrı bir kimlik doğrulama faktörü sunmasını gerektiren çok faktörlü kimlik doğrulamanın kısaltması olan MFA’yı sağlamak için kullanıldı. FIDO tarafından sunulan ek faktörler, tipik olarak, kullanıcının sahip olduğu bir şey (donanım belirtecini içeren bir akıllı telefon veya bilgisayar) ve kullanıcının olduğu bir şey (parmak izi, yüz taraması veya cihazdan asla çıkmayan başka bir biyometrik) şeklinde gelir.
Şimdiye kadar, FIDO uyumlu MFA’ya yönelik saldırılar yetersiz kaldı. Örneğin, yakın zamanda Twilio ve diğer üst düzey güvenlik şirketlerini ihlal eden gelişmiş bir kimlik avı kampanyası Cloudflare’a karşı bir nedenden dolayı başarısız oldu: Diğer hedeflerden farklı olarak Cloudflare, saldırganların kullandığı kimlik avı tekniğine karşı bağışık olan FIDO uyumlu donanım belirteçleri kullandı. İhlal edilen kurbanların tümü, MFA’nın daha zayıf biçimlerine güveniyordu.
Ancak donanım belirteçleri bir parolaya ek olarak bir veya daha fazla kimlik doğrulama faktörü sağlayabilirken, geçiş anahtarları hiçbir parolaya ihtiyaç duymaz. Bunun yerine, geçiş anahtarları birden çok kimlik doğrulama faktörünü (tipik olarak telefon veya dizüstü bilgisayar ve kullanıcının yüz taraması veya parmak izi) tek bir pakette toplar. Geçiş anahtarları, cihazın işletim sistemi tarafından yönetilir. Kullanıcının tercihine bağlı olarak, Apple, Microsoft, Google veya başka bir sağlayıcı tarafından sağlanan bir bulut hizmeti kullanılarak kullanıcının diğer cihazlarıyla uçtan uca şifreleme yoluyla da eşitlenebilirler.
Geçiş anahtarları “keşfedilebilir”dir, yani kayıtlı bir cihaz, şifrelenmiş bir tünelden birini, kullanıcının site hesaplarından veya uygulamalarından birinde oturum açmaya çalışan başka bir kayıtlı cihaza otomatik olarak iletebilir. Oturum açarken, kullanıcı, cihazının kilidini açmak için aynı biyometrik veya cihaz üzerindeki şifreyi veya PIN’i kullanarak kimliğini doğrular. Bu mekanizma, geleneksel kullanıcı adı ve şifrenin tamamen yerini alıyor ve çok daha kolay bir kullanıcı deneyimi sağlıyor.
FIDO’nun yönetici direktörü ve pazarlama müdürü Andrew Shikiar, “Kullanıcıların artık her bir hizmet için her bir cihazı kaydetmesine gerek yok, bu uzun zamandır FIDO için (ve herhangi bir açık anahtar kriptografisi için geçerli)”. Bir işletim sistemi bulutu arasında güvenli bir şekilde eşitlenebilmesi için kullanıcının bir hizmete yalnızca bir kez kaydolması gerekir ve ardından diğer tüm cihazlarında bu hizmet için esasen önceden kayıtlıdır. Bu, son kullanıcı için daha iyi kullanılabilirlik sağlar ve -çok önemli ölçüde- hizmet sağlayıcının hesap kurtarma ve yeniden kayıt aracı olarak parolaları kullanımdan kaldırmaya başlamasına olanak tanır.”
Ars İnceleme Editörü Ron Amadeo geçen hafta şunları yazdığında her şeyi çok iyi özetledi: “Parola anahtarları yalnızca WebAuthn şifreleme anahtarlarını doğrudan web sitesiyle takas eder. Bir insanın bir parola yöneticisine bir sır oluşturmasını, saklamasını ve hatırlamasını söylemesine gerek yoktur. her şey otomatik olarak, eski metin kutusunun desteklediğinden çok daha iyi sırlarla ve benzersizliğin uygulanmasıyla gerçekleşir.”
