Perşembe, Haziran 20, 2024
Ana SayfaTeknoloji HaberleriGoogle geçiş anahtarları beyinsizdir. Onları açtın, değil mi?

Google geçiş anahtarları beyinsizdir. Onları açtın, değil mi?

Google geçiş anahtarları beyinsizdir.  Onları açtın, değil mi?

Aurich Lawson | Getty Resimleri

Şimdiye kadar, muhtemelen şifresiz Google hesaplarının nihayet geldiğini duymuşsunuzdur. Parolaların değiştirilmesi “geçiş anahtarları” olarak bilinir.

Geçerli kimlik doğrulama yöntemleriyle karşılaştırıldığında hem kullanılabilirlikleri hem de sundukları güvenlik ve gizlilik avantajları açısından geçiş anahtarları hakkında birçok yanlış anlama vardır. Parolaların son 60 yıldır kullanımda olduğu ve geçiş anahtarlarının çok yeni olduğu düşünüldüğünde, bu şaşırtıcı değil. Uzun lafın kısası, birkaç dakikalık eğitimle geçiş anahtarlarını kullanmak parolalardan daha kolay ve birkaç ay içinde (yaklaşık bir düzine endüstri ortağı kalan parçaları kullanıma sunmayı bitirdiğinde) geçiş anahtarlarını kullanmak daha da kolay olacak. . Geçiş anahtarları, daha sonra açıklayacağım nedenlerden dolayı parolalardan çok daha güvenlidir ve gizliliği korur.

Geçiş anahtarı nedir?

Bu makale, kullanıcıların Google’ın geçiş anahtarlarını uygulamasına başlamaları için bir ön bilgi sağlamakta ve onları hesap devralmalarına karşı korumanın çok daha kolay ve etkili bir yolu haline getiren teknik temelleri açıklamaktadır. Bir avuç küçük site – özellikle PayPal, Instacart, Best Buy, Kayak, Robinhood, Shop Pay ve Cardpointers – geçiş anahtarlarıyla oturum açmak için çeşitli seçenekler sunmuştur, ancak bu seçenekler, çalışan çözümlerden daha çok kavram kanıtıdır. Google, geçiş anahtarlarını kullanıma sunan ilk büyük çevrimiçi hizmettir ve sunduğu teklif, insanlara bugün bunları etkinleştirmelerini önerecek kadar rafine ve kapsamlıdır.

İlk olarak, geçiş anahtarının tam olarak ne olduğunu ve nasıl çalıştığını bilmek yardımcı olur. Apple, geçiş anahtarlarının teknik temellerine ilişkin yararlı bir açıklamayı burada sağlar:

Parolalar, ortak anahtar şifrelemesi kullanan WebAuthentication (veya “WebAuthn”) standardına göre oluşturulur. Hesap kaydı sırasında işletim sistemi, uygulama veya web sitesi hesabıyla ilişkilendirmek için benzersiz bir kriptografik anahtar çifti oluşturur. Bu anahtarlar, cihaz tarafından her hesap için güvenli ve benzersiz bir şekilde oluşturulur.

Bu anahtarlardan biri geneldir ve sunucuda depolanır. Bu ortak anahtar bir sır değildir. Diğer anahtar özeldir ve gerçekten oturum açmak için gereklidir. Sunucu, özel anahtarın ne olduğunu asla öğrenmez. Touch ID veya Face ID bulunan Apple cihazlarında bunlar, daha sonra uygulamada veya web sitesinde kullanıcının kimliğini doğrulayan geçiş anahtarının kullanımına izin vermek için kullanılabilir. Paylaşılan bir sır iletilmez ve sunucunun genel anahtarı koruması gerekmez. Bu, geçiş anahtarlarını çok güçlü, kimlik avına karşı oldukça dirençli, kullanımı kolay kimlik bilgileri haline getirir. Ve platform satıcıları, geçiş anahtarı uygulamalarının platformlar arası uyumlu olmasını ve mümkün olduğu kadar çok cihazda çalışabilmesini sağlamak için FIDO Alliance içinde birlikte çalıştı.

FIDO spesifikasyonları, bir kullanıcının seçtiği senkronizasyon mekanizması ne olursa olsun (Apple, Microsoft, Google veya üçüncü bir taraftan) iCloud Anahtar Zinciri ve tarayıcılarla şifre senkronizasyonunun şu anda yaptığı gibi (Chrome’da) uçtan uca şifreleme sağlamasını gerektirir. E2EE açık olmalıdır). Bu, özel anahtarın bulut sağlayıcı tarafından bilinmediği anlamına gelir. Özel anahtar cihazda bulunur ve yalnızca kilit açma PIN’i, parmak izi veya yüz taraması kullanılarak cihazın kilidi açılarak erişilebilir.

Google hesabı geçiş anahtarları, bunları kullanmanın tek bir yolu olmayan yeterli sayıda platformu destekler. Öncelikle Android ve Linux kullanan bir kişinin oturum açma şekli, tüm Apple platformlarını kullanan bir kişiden veya Windows ile iOS veya Android kullanan bir kişiden farklı görünecek ve farklı bir akış kullanacaktır. Tüm platformlar için adım adım talimatları tek bir makalede listelemenin bir yolu yoktur. Bu primer, bunun yerine, en azından temel işleyişlerine dokunmak amacıyla, özellikle bir Pixel 7, bir iPhone 13, dokuzuncu nesil iPad, Windows 10 çalıştıran bir ThinkPad ve bir MacBook Air olmak üzere bir cihaz ve işletim sistemi karışımı kullanır. onlardan.

Bu geçiş anahtarının Pixel’imde ne işi var?

Google’ın şifresiz Google hesaplarını kullanıma sunduğu gün olan Çarşamba günü uyandığımda Pixel 7 cihazımda zaten otomatik olarak oluşturulmuş bir geçiş anahtarı vardı. Google’ın hesap geçiş anahtarlarını yönetmek için yüklediği sayfa olan myaccount.google.com/signinoptions/passkeys’in kısayolu olan g.co/passkeys’e erişene kadar fark etmemiştim. Şaşırtıcı bir şekilde, anahtar zaten oradaydı. Hesabım Google’ın Gelişmiş Koruma Programına (APP) kayıtlı olduğundan, bu yeni anahtar, APP’nin giriş yapan yeni tarayıcıları başlatmak için ihtiyaç duyduğu iki faktörlü kimlik doğrulama (2FA) anahtarlarının hemen üzerinde göründü.

myaccount.google.com'un bir geçiş anahtarını gösteren geçiş anahtarı bölümü otomatik olarak bir Pixel 7'ye eklenmiştir.

myaccount.google.com’un bir geçiş anahtarını gösteren geçiş anahtarı bölümü otomatik olarak bir Pixel 7’ye eklenmiştir.

Görüntünün de gösterdiği gibi, bugünlerde tercih ettiğim tarayıcı Firefox olsa da sayfaya erişmek için MacBook Air’de Chrome kullanıyordum. Nedeni: Firefox henüz macOS’ta geçiş anahtarlarını desteklemiyor, ancak bu muhtemelen daha sonra değişecek. Sonunda sürecin geri kalanında Safari’yi kullanmaya karar verdim çünkü macOS ve iOS’ta bu tarayıcı kullanılarak oluşturulan geçiş anahtarları iCloud Anahtar Zinciri aracılığıyla otomatik olarak eşzamanlanır. Şu an için, Apple platformlarında Chrome ve Edge ile oluşturulan geçiş anahtarları değil.

Safari’de aynı g.co/passkeys sayfasına erişerek en alta kaydırdım ve “Bir Parola Oluştur”u tıkladım ve geçiş anahtarları hakkında kısa bir açıklama sağlayan bir iletişim kutusu aldım. Oradan “Devam” düğmesine tıkladım. Görünen bir sonraki ekranda, iCloud’da saklanacak bir şifreyi kaydettiğimi açıkladı. “Bitti”yi tıkladığımda, myaccounts.google.com’un geçiş anahtarı bölümü yeni bir geçiş anahtarının oluşturulduğunu gösterecek şekilde güncellendi.

RELATED ARTICLES

Popüler Konular