[ This article was originally published here ]
Önceki blog yazılarımda sizi ve . Uçurum askımda FIDO’dan ve geçiş anahtarlarından ve manzarayı nasıl değiştireceklerinden bahsettim – daha derine inmenin ve bu teknolojinin Güçlü Müşteri Kimlik Doğrulaması (SCA) için nasıl yeni bir çağ açacağını keşfetmenin zamanı geldi.
FIDO İttifakı
2013 yılında, çok odaklı bir misyona sahip bir açık endüstri kuruluşu olarak kuruldu: dünyanın parolalara aşırı bağımlılığını azaltmaya yardımcı olmak için kimlik doğrulama standartları oluşturmak. Bunu yapmak için, FIDO Alliance, birinci faktör olarak biyometri ve ikinci faktör olarak sahiplik kombinasyonuna dayanan SCA için bir dizi yeni spesifikasyon ve protokol yayınladı. Kısacası, bilgi faktörü ve şifre yok.
FIDO Güçlü Müşteri Kimlik Doğrulaması
FIDO Alliance’ın belirli bir kullanıcı ve hizmet için yaptığı şey, yerleşik bir FIDO özellikli cihaz üzerinde bir kriptografik anahtar çiftinden oluşan bir kimlik doğrulayıcı oluşturmaktır; özel anahtar cihazda kalırken diğer anahtar servis sağlayıcının FIDO Kimlik Doğrulama Sunucusuna gönderilir. Bir kimlik doğrulayıcı oluşturulduktan ve kaydedildikten sonra, o cihazda kullanıcının kimliğini güvenli bir şekilde doğrulamak için kullanılabilir. Kullanıcı daha sonra cihazda yerel olarak kontrol edilen biyometriyi sunacak ve biyometrinin başarılı bir şekilde doğrulanması üzerine, cihazı doğrulamak için cihaz ile kimlik doğrulama sunucusu arasındaki kriptografik alışverişi tetikleyecektir.
Cihazlarda FIDO yerel desteği
Çip üreticileri, bilgisayar ve akıllı telefon üreticileri, ödeme planları ve bankalar dahil olmak üzere etkileyici bir şirket listesi zaman içinde katıldı. Ancak en önemlisi Microsoft, Apple ve Google katıldı ve Windows, Mac OS, Android ve iOS’ta FIDO’yu işletim sistemi düzeyinde destekleme sözü verdi. Bu, hemen hemen tüm dizüstü bilgisayarlara, PC bilgisayarlarına, tabletlere ve akıllı telefonlara yerel FIDO desteği verir.
Bu yaygınlık düzeyi ve altında yatan “tesisat” ile FIDO, bir sonraki ana akım SCA teknolojisi olma konusunda başarılı olmak için büyük şansa sahiptir. FIDO Alliance’a göre Ocak 2022 itibariyle . 30 yıldır güçlü müşteri kimlik doğrulaması için baskın standart olduğu için bu çok önemli ve PC’lerde, dizüstü bilgisayarlarda veya telefonlarda bunun için yerel destekten hiçbir zaman yararlanamadık.
WebAuthn nedir?
FIDO Alliance bir adım daha ileri gitti – internetle ilgili her şey için standartlar organı olan ‘ye ulaştılar ve W3C tarafından . Adından da anlaşılacağı gibi, WebAuthn’un amacı, herhangi bir web hizmetinin FIDO tabanlı kimlik doğrulama istemek için çalıştığı cihazın işletim sistemini aramasını sağlamaktır. Web hizmetlerinin güçlü müşteri kimlik doğrulamasını doğrudan entegre etmesi daha önce hiç mümkün olmamıştı – yapabileceğimiz en iyi şey, web hizmetinden kullanıcının akıllı telefonunda SCA’ya sahip olabileceğimiz bir mobil uygulamaya bant dışı bir aktarım başlatmaktı. bir SDK aracılığıyla uygulanır. Artık WebAuthn ile, FIDO özellikli dizüstü bilgisayarı ve WebAuthn özellikli bir tarayıcısı olan bir kullanıcı, cihazda biyometri sunmak kadar şık bir kullanıcı deneyimi ile bu cihazda bu hizmet için bir FIDO kimlik doğrulayıcı kaydedebilir, depolayabilir ve kullanabilir. WebAuthn, 2018’de W3C tarafından yayınlandı ve bugün Microsoft Edge, Google Chrome, Apple Safari ve Mozilla Firefox dahil olmak üzere tüm büyük web tarayıcıları tarafından destekleniyor.
FIDO her yerde
Özetle, Ocak 2022 itibariyle, her bir akıllı telefon, tablet, PC ve dizüstü bilgisayar tarafından kullanılan mevcut işletim sistemi sürümleri zaten FIDO özelliklidir ve WebAuthn sayesinde her büyük tarayıcı da FIDO’yu kullanmaya hazırdır.
Artık bunu sadece servis sağlayıcılar ve son kullanıcılar bilse…
Gelecek geçiş anahtarlarıdır
5 Mayıs 2022’de, bir ilk gibi görünen ve kayıtlarda bulabildiğim tek ortak PR. Bu PR, özünde, parolaları yok etmek için çok güçlü bir taahhüttür.
İlk paragraf her şeyi özetliyor:
“Web’i herkes için daha güvenli ve kullanılabilir hale getirmek için ortak bir çabayla Apple, Google ve Microsoft bugün FIDO Alliance ve World Wide Web Konsorsiyumu tarafından oluşturulan ortak bir şifresiz oturum açma standardı desteğini genişletme planlarını duyurdular. Yeni yetenek, web sitelerinin ve uygulamaların, tüketicilere cihazlar ve platformlar genelinde tutarlı, güvenli ve kolay parolasız oturum açma olanağı sunmasına olanak tanıyacak.”
Ayrıca, son kullanıcıların ilerlemeye başvurmaları için teknolojiye “geçiş anahtarları” adını verdiler.
Duyurunun medya etkisi, çok sayıda makale ve yorumla hemen gerçekleşti. Takip eden haftalarda Google ve Apple, yıllık geliştirici konferansları sırasında geçiş anahtarları için özel planlarını açıkladılar: Google I/O ve Apple WWDC. Apple, geçiş anahtarlarının ticari olarak iOS 16 ve Mac OS Ventura’da dağıtılacağını ve yazdan sonra piyasaya sürüleceğini duyurdu. Google ve Microsoft, geliştiricilere web hizmetlerini desteklemek için geçiş anahtarları oluşturmaya başlamalarını sağlayan kaynaklar da dağıttı.
Kimlik doğrulama için bundan sonra ne bekleyebiliriz?
Yani bir adımız var, geliştiricilerin işi yapması için belgelerimiz var ve ihtiyacımız olan tüm işletim sistemi ve tarayıcı desteğine sahibiz. Artık geçiş anahtarlarını destekleyen hizmetleri giderek daha fazla görmeye başlamamız an meselesi. Kullanıcılar buna bayılacak. Finans kurumları da dahil olmak üzere hizmet sağlayıcılar buna bayılacak… Gökyüzünde tek bir bulut yok… veya?
Bir sonraki blog yazımda, geçiş anahtarlarına, bildiğimiz şekliyle FIDO Kimlik Doğrulayıcılarından nasıl farklı olduklarına, benzersiz yararlarına ve bazı FI’lara yönelttikleri benzersiz endişelere ayrıntılı olarak bakacağım.
Bu konu hakkında 18 Ekim’de Seattle’da da konuşacağım.
Daha fazla okumak için ziyaret edin:
reklam