Aurich Lawson | Getty Resimleri
Geçiş anahtarlarıyla ilgili son makalem büyük ilgi gördü ve 1.100’den fazla yorum, geçiş anahtarı sisteminin gerçekte nasıl çalıştığı ve güvenilir olup olmadığı hakkında soruları gündeme getirdi. Yanıt olarak, birkaç efsaneyi ortadan kaldırmak ve geçiş anahtarları hakkında bildiklerimize ve bilmediklerimize biraz ışık tutmak için bu sık sorulan sorular listesini bir araya getirdim.
S: Google’a güvenmiyorum. Neden geçiş anahtarlarını kullanmalıyım?
C: Google kullanmıyorsanız, Google geçiş anahtarları size göre değildir. Apple veya Microsoft ürünlerini kullanmıyorsanız, durum benzerdir. Orijinal makale, bu büyük platformları (isteksiz de olsa) kullanan yüz milyonlarca insanı hedefliyordu.
Bununla birlikte, geçiş anahtarı kullanımı hızla büyük teknoloji oyuncularının ötesine geçiyor. Örneğin, bir veya iki ay içinde, 1Password ve diğer üçüncü taraflar, kimlik bilgilerini tüm güvenilir cihazlarınıza yerleştirecek geçiş anahtarı senkronizasyonunu destekleyecektir. Google, geçiş anahtarlarıyla oturum açmaya izin verme konusunda diğer tüm hizmetlerden daha ileride olsa da, yeni hizmetler, kullanıcıların hemen hemen her hafta hesaplarında geçiş anahtarlarıyla oturum açmalarına olanak tanır. Kısaca, Google, Apple veya Microsoft’a güvenmeseniz bile geçiş anahtarlarını kullanabilirsiniz.
S: Oturum açma kimlik bilgilerimi senkronize etmesi için hiçbir şirkete güvenmiyorum; Onları yalnızca yerel cihazlarımda saklıyorum. Neden geçiş anahtarlarını kullanayım ki?
C: Güvenmesen bile herhangi oturum açma kimlik bilgilerinizi senkronize etmek için bulut hizmeti, FIDO özellikleri, tek cihaz geçiş anahtarları adı verilen bir şeye izin verir. Adından da anlaşılacağı gibi, bu geçiş anahtarları tek bir cihazda çalışır ve herhangi bir hizmet aracılığıyla senkronize edilmez. Tek cihaz geçiş anahtarları, genellikle Yubikey gibi bir FIDO2 güvenlik anahtarı kullanılarak oluşturulur.
Ancak parolaları bir tarayıcı, parola yöneticisi, iCloud Anahtar Zinciri veya Microsoft ya da Google eşdeğerlerinden biri aracılığıyla eşitliyorsanız, kimlik bilgilerinizi eşitlemek için zaten bir bulut hizmetine güvendiğinizi unutmayın. Geçiş anahtarlarını eşitleme konusunda bulut hizmetlerine güvenmiyorsanız, parolalarınızı eşitleme konusunda da onlara güvenmemelisiniz.
S: Geçiş anahtarlarını senkronize etmek inanılmaz derecede riskli görünüyor. Herhangi bir hizmetten senkronizasyona neden güvenmeliyim?
Y: Şu anda, FIDO belirtimleri, uçtan uca şifreleme ile eşitlemeyi gerektirir; bu, tanım gereği, güvenilen son kullanıcı aygıtlarından başka hiçbir şeyin şifrelenmemiş (yani kullanılabilir) biçimde özel anahtara erişimi olmadığı anlamına gelir. Spesifikasyonlar şu anda bu E2EE için bir temeli zorunlu kılmıyor. Örneğin, Apple’ın eşzamanlama mekanizması, iCloud Keychain’in parola eşzamanlaması için halihazırda kullandığı uçtan uca şifrelemeye dayanır. Apple, bu hizmetin tasarımını burada, burada, burada, burada ve burada ayrıntılı olarak belgelemiştir. Bağımsız güvenlik uzmanları, Apple’ın iCloud Anahtar Zincirinde saklanan kimlik bilgilerinin kilidini açma araçlarından yoksun olduğu iddiasında henüz herhangi bir tutarsızlık bildirmedi.
iCloud temel bir güvenlik özelliğidir. Söz konusu güvenliği kanıtlamanın güvenli olduğunu iddia etme sorumluluğu şirketin üzerinde olmalıdır. [sic]çürütmek için başkalarına değil [sic] BT.
C: Daha önce belirtildiği gibi, Apple’a veya senkronizasyon sunan başka bir şirkete güvenmiyorsanız, tek siteli bir geçiş anahtarı kullanmayı düşünün. Apple’a veya senkronizasyon sunan başka bir şirkete güvenmiyorsanız Ve tek site geçiş anahtarı kullanmak istemezsiniz, geçiş anahtarları size göre değildir ve bu konuyla ilgili gelecekteki Ars makalelerini okumanın pek bir anlamı yoktur. Sadece iCloud ve diğerlerine güvenmiyorsanız bunu unutmayın. geçiş anahtarlarınızı eşitlemek için geçiş anahtarlarını veya diğer hassas verileri eşitleme konusunda onlara güvenmemelisiniz.
S: Peki ya diğer senkronizasyon hizmetleri? Belgeleri nerede?
A: Google burada belgelere sahiptir. 1Password, şifreleri senkronize etmek için kullandığı altyapı hakkında belgelere sahiptir (burada ve burada). Yine, zaten güveniyorsanız herhangi bulut tabanlı şifre senkronizasyon platformu, şimdi belge istemek için biraz geç. Geçiş anahtarlarını eşitlemek için çok az risk vardır, varsa bile.
S: Yakın zamanda, iCloud Anahtar Zinciri öğelerini çalabilecek yeni macOS kötü amaçlı yazılımıyla ilgili bir makale yok muydu?
C: Bu, yakın zamanda yeraltı suç forumlarında reklamı yapılan kötü amaçlı yazılım olan MacStealer’a bir gönderme olabilir. MacStealer’ın vahşi ortamda kullanıldığına dair herhangi bir rapor yok ve kötü amaçlı yazılımın var olduğuna dair bir onay bile yok. Biz sadece reklamları biliyoruz iddia etmek bu tür bir kötü amaçlı yazılımın var olduğunu.
Bununla birlikte, MacStealer’ı satan reklam, bunun erken beta aşamasında olduğunu ve bir Mac’e manuel olarak yüklenmesi gereken standart bir DMG dosyası biçiminde geldiğini söylüyor. DMG dosyası dijital olarak imzalanmadığından, bir son kullanıcı macOS güvenlik ayarlarında hile yapmadıkça kurulmaz. O zaman bile, bulut tabanlı verilerin ayıklanması için kurbanın uygulamaya yüklendikten sonra iCloud parolasını girmesi gerekecek.
Reklamı gören güvenlik şirketi Uptycs’ten MacStealer’ın açıklamasına göre, insanların endişelenecek pek bir şey olduğunu düşünmüyorum. Kötü amaçlı yazılım bir tehdit oluştursa bile, bu tehdit yalnızca geçiş anahtarlarını değil, yüz milyonlarca insanın zaten iCloud Anahtar Zinciri’nde depoladığı diğer her şeyi kapsar.
S: Geçiş anahtarları, Apple/Google/Microsoft’a, bir üçüncü taraf senkronizasyon hizmetine veya giriş yaptığınız siteye kimlik bilgilerinizin kontrolünü verir. Bunu neden yapayım ki?
Y: Gmail, Azure veya Github gibi bir hizmette oturum açmak için bir parola kullandığınızı varsayarsak, bu şirketlerin kimlik doğrulama sistemlerini, size izin veren paylaşılan sırları açığa çıkarmayacak şekilde uygulamaları konusunda zaten güveniyorsunuz demektir. Bu sitelerden birinde parola yerine geçiş anahtarıyla oturum açmak, sitelere kimlik bilgileriniz üzerinde daha önce olduğundan daha fazla veya daha az olmamak üzere aynı denetimi verir.
Bunun nedeni, geçiş anahtarının özel anahtar kısmının kullanıcının şifreli cihazlarından asla çıkmamasıdır. Kimlik doğrulama, kullanıcı cihazında gerçekleşir. Kullanıcı cihazı daha sonra oturum açmış olan siteye, özel anahtarın oturum açan cihazda bulunduğuna dair bir kriptografik kanıt gönderir. Bu süreçte yer alan kriptografi, kanıtın taklit edilememesini sağlar.
