Google, karmaşık şifreleri hatırlama ihtiyacını ortadan kaldıran geçiş anahtarlarını kullanarak giriş yapma seçeneği sunmaya başladı. Google şifresi ile ilgili duyuru, bu yılki Dünya Şifre Güvenliği Günü arifesinde, 3 Mayıs’ta geldi.
Geçiş anahtarları, bir kullanıcının telefonuna veya bilgisayarına bağlı kriptografik güvenlik kullanır ve genellikle biyometrik kimlik doğrulamayı içerir.
Google daha önce geçiş anahtarı desteğini Android telefon yazılımına ve Chrome web tarayıcısına entegre etmişti, ancak şimdi geçiş anahtarlarını Google web sitelerinde oturum açmak için kullanabileceğini duyurdu. Kullanıcılar şimdilik geçiş anahtarlarının yanı sıra diğer oturum açma yöntemlerini kullanmaya devam edebilir.
“Geçen yıl boyunca, Docusign, Kayak, PayPal, Shopify ve Yahoo! Google yöneticileri Christiaan Brand ve Sriram Karra, 3 Mayıs’ta bir blog gönderisinde, Japonya, kullanıcıları için oturum açmayı kolaylaştırmak için zaten devreye aldı.
“Bugünden itibaren bu, şifresiz oturum açma deneyimini denemek isteyen Google Hesabı kullanıcıları için bir seçenek olarak sunulacak.”
Google, parolalar ve parolalar
Google yöneticileri Arnar Birgisson ve Diana K Smetters bir açıklayıcı yazıda, “Google Hesabınıza bir geçiş anahtarı eklediğinizde, oturum açtığınızda veya hesabınızda hassas işlemler gerçekleştirdiğinizde bunu sormaya başlayacağız” diye yazdı.
“Parolanın kendisi, yerel bilgisayarınızda veya mobil cihazınızda saklanır ve bu, gerçekten siz olduğunuzu doğrulamak için ekran kilidi biyometrinizi veya PIN’inizi ister.”
Geleneksel parolalar genellikle zayıftır ve kolayca tahmin edilebilir, bu da kimlik bilgisi doldurma saldırılarına yol açar. Çift faktörlü kimlik doğrulama ek güvenlik sağlayabilir ancak kendi sorunları da olabilir.
Ancak geçiş anahtarları, kimlik doğrulamasını korumak için kriptografik standartlar kullanarak bu sorunlardan kaçınmak için tasarlanmıştır. Fast Identity Online Alliance (FIDO), kimlik doğrulamayı daha kolay ve daha uygun fiyatlı hale getirmek için bu standartları yeniden tasarladı.
Şubat 2013’te başlatılan açık endüstri derneği FIDO, “dünyanın parolalara aşırı bağımlılığını azaltmaya yardımcı olan” kimlik doğrulama standartlarını geliştirmek ve teşvik etmek için çalışıyor.
“Parolalar, kullanımlarının değiştirilmese bile azaltılması gerektiği konusunda artan fikir birliğine rağmen varlığını sürdürüyor. Ancak etkili PKI ve güçlü kimlik doğrulama çözümleri yıllardır var olsa da, yaygın olarak benimsenmesinin önündeki engeller devam ediyor” dedi.
“Tüketiciler, kullanıcı deneyiminden hoşlanmıyor ve çevrimiçi hizmet sağlayıcılar, kendi özel çözümlerini geliştirmenin ve sağlamanın maliyetini ve karmaşıklığını istemiyor.”
Google geçiş anahtarı duyurusu önemli olsa da, eBay, Docusign, PayPal ve Shopify gibi diğer şirketler geçiş anahtarıyla oturum açma desteğini zaten entegre etti.
Geçiş anahtarları, bir web sitesinin hizmetine güvenmek yerine bir kullanıcının cihazında yerel olarak kimlik doğrulaması yaparak çalışır. Bu yöntem, kimlik avı saldırıları riskini azaltır.
Parolalar birden fazla cihazda ayarlanabilir ve Google ayrıca, tanımadığınız cihazlarda geçici oturum açma işlemleri için bir QR kodu tarama mekanizması sunar.
Sektör, Google geçiş anahtarlarıyla canlı
Kimlik doğrulama sektörü, Google geçiş anahtarı duyurusunu coşkuyla karşıladı.
1Password CEO’su Jeff Shiner bir blog gönderisinde “Google’ın bugün geçiş anahtarı desteğini açmasıyla, dünya çapında 1,5 milyardan fazla insan artık geçiş anahtarlarını kullanma fırsatına sahip oldu” diye yazdı.
“Parolaları ortadan kaldırmak için diğer FIDO Alliance liderleriyle aktif olarak çalışırken, kimlik avcılarının en büyük ödüllerinden biri olan kimlik bilgilerini kaçınılmaz olarak kaldıracağız. Bu, geçiş anahtarları için bir devrilme noktası ve çevrimiçi dünyayı daha güvenli hale getiriyor.”
Parolaları terk etme hareketi son yıllarda güç kazanıyor. Parolalarla ilişkili güvenlik riskleri, erişim kimlik doğrulama işletmelerinin büyümesini zorlamıştır.
Güvenlik ve ağ şirketi Nomios tarafından hazırlanan bir raporda, “Neredeyse tüm BT uzmanları (~%95), parolaların kuruluşları için gerçek güvenlik riskleri oluşturduğu konusunda hemfikirdir” dedi.
“İnsanlar hatırlayabildiğimiz kadar uzun süredir zayıf parolalar kullanıyorlar, sonra parolaları yanlış kullanmak (post-it’lere yazmak) ve rahat hissettiklerimizi yeniden kullanmak var.”
Parola yönetimindeki insan unsuru durumu daha da kötüleştiriyor.
“İnsanlar rastgelelik yaratmakta gerçekten kötüler. Superlunar’da Araştırma Lideri ve WebAuthn Adoption Community Group’un eş başkanı Nick Steele, bu nedenle, parola oluşturma ve parolaları hatırlama söz konusu olduğunda, insan yapımı parolalar genellikle çok güçlü değildir.
“Ve insanlar ayrıca tekrar tekrar kullanabilecekleri buluşsal yöntemleri ve öğeleri kullanma eğilimindedir. Bu nedenle, insanlar tarafından oluşturulan ve biraz farklı olan şifreler bile kırılması oldukça kolay olma eğilimindedir.”