Açık kaynaklı Bitwarden şifre yöneticisi, artık tüm kullanıcıların standart kullanıcı adı ve şifre çiftleri yerine bir şifre kullanarak web kasalarına giriş yapabileceklerini duyurdu.
Geçiş anahtarları, çoğu kişinin oluşturduğu ve kimlik avına karşı dayanıklı olan parolalara göre daha güvenli bir alternatiftir. Bitwarden durumunda, kullanıcıların ana parolaya, e-posta adresine veya iki faktörlü kimlik doğrulamaya (2FA) ihtiyaç duymadan kasalarının şifresini çözmelerine izin veriyorlar.
PRF uygulaması
Bitwarden’ın geçiş anahtarları uygulaması şu anda beta aşamasındadır ve hem kullanıcıların kimliğini doğrulamak hem de bir şifreleme anahtarı almak ve kasadaki verilerin şifresini çözmek için PRF WebAuthn uzantısına dayanır.
Bitwarden’ın kıdemli ürün pazarlama müdürü Ryan Luibrand, Bitwarden gibi uçtan uca şifrelenmiş uygulamaların, kullanıcıların kimliğini doğrulamanın yanı sıra verileri güvenli bir şekilde şifrelemesi ve şifresini çözmesi gerektiğini açıklıyor.
Şifreleme işlemi, bir paroladan türetilen statik bir anahtar gerektirir. Uygulamayla paylaşılmayan bir geçiş anahtarı, her kimlik doğrulama için farklı bir değer üretecektir.
Güvenlikten ödün vermeden kasaya erişimi daha kolay hale getirmek için Bitwarden, “bir geçiş anahtarından benzersiz, sabit bir değer türetmeye” olanak tanıyan bir yöntem olan PRF WebAuthn uzantısını kullandı.
Uzantı, uyumlu bir tarayıcıyla kullanıldığında güvenlik anahtarı gibi bir kimlik doğrulayıcıdan simetrik şifreleme anahtarlarının oluşturulmasına olanak tanıyan yeni ortaya çıkan bir standarttır.
“Bu teknoloji, belirli bir siteye ilişkin bir geçiş anahtarından bir şifreleme anahtarı sağlar ve bu daha sonra verileri güvenilir bir şekilde şifrelemek ve şifresini çözmek için kullanılabilir” – Bitwarden
Bir kullanıcı bir donanım güvenlik anahtarı kullanarak bir geçiş anahtarı kaydettiğinde, Bitwarden’ın ilgili şifreleme anahtarını kullanarak o kullanıcının kasa verilerini şifrelemesini sağlar.
Donanım güvenlik modüllerinin (HSM’ler) çalışma şeklinin aksine, PRF uzantısı anahtarları donanımda saklamaz, bunun yerine güvenen taraftan (web sitesi) gelen giriş verilerini (tuz) kullanarak anahtarlar üretir.
Anahtar üretimi deterministik bir süreç olduğundan, aynı girdi her zaman aynı çıktıyı üretecektir ve dolayısıyla geçiş anahtarları aynı çevrimiçi platform veya hizmet için güvenilir bir şekilde kullanılabilir.
Geçen yaz yayınlanan bir gönderide Bitwarden, PRF uzantısının uygulanması ve nasıl çalıştığı hakkında daha fazla ayrıntı sunuyor.
Geçiş anahtarlarını ayarlama
Bitwarden ekibi, yeni özelliğin platformda nasıl çalıştığını ve kullanıcıların hesap ayarları menüsünden nasıl şifre oluşturabileceğini göstermek için aşağıdaki videoyu oluşturdu.
Beta aşamasında Bitwarden, tüm planlardaki kullanıcıların web uygulaması için en fazla beş geçiş anahtarı oluşturmasına izin verecek.
Bu özellik şu anda PRF WebAuthn’u destekleyen Chromium tabanlı tarayıcılarda mevcuttur, ancak gelecekte bunu daha fazla istemciye genişletme planları vardır.
PRF WebAuthn uzantısını desteklemeyen şifreler için kullanıcılar, şifre çözme için Bitwarden şifresini kullanarak e-posta veya 2FA olmadan kimlik doğrulaması yapabilir.