Ve biz katılıyoruz. Mümkün olan en kısa sürede kurtulmak istediğimiz siber güvenlik temalı bir gün varsa, Dünya Şifre Günü. Üzgünüm, eski dostum, ama modası geçmişsin ve günleriniz numaralandırılmış gibi görünüyor. Passeys’e geçelim.
Microsoft alıntılamak için:
“Dünya şifrelerden passeylere geçtikçe, First World Passkey Günü’nü kutlamak için Dünya Şifre Günü’nü bırakmada Fido Alliance’a katılmaktan heyecan duyuyoruz.”
2013 yılında Intel, insanlara güçlü şifrelerin önemini hatırlatmak için Dünya Şifre Günü’nü tanıttı. Ancak zamanla, kullandığımız şifrelerin sayısı ve gerekli güçlü yönler o kadar çok büyüdü ki, sistem bir şifre yöneticisi olmadan pratik olarak kullanılamaz hale geldi. Bu nedenle, sadece birkaç yıl sonra Microsoft, kullanıcıların yüzleri, parmak izi veya PIN’leriyle hesaplarında güvenli bir şekilde oturum açmaları için yeni bir yol olan Windows Hello’yu tanıttı.
Birkaç iyi nedenden dolayı, özellikle önemli siteler ve hizmetler için şifrelere veda etmek istiyoruz. Şifreler:
- Yaratmak zor
- Unutması kolay
- Genellikle siteler arasında yeniden kullanılır
- Brute-Force saldırıları ve kimlik avı gibi hack tekniklerine karşı savunmasız.
Alternatif: Passeyler
Passeys, şifreleri daha güvenli ve daha basit bir alternatifle değiştirmek için tasarlanmış alternatif, daha modern bir kimlik doğrulama yöntemidir. Açık avantajlarına rağmen, birçok insan tanıdık olmadığı ve yanlış anlamalar nedeniyle paskuklara geçmekte tereddüt ediyor. Bu blog yazısı, paskukların ne olduğunu, bunların nasıl kullanılacağını ve neden şifrelerden daha iyi olduklarını açıklamaya çalışacak ve çevrimiçi güvenlikte bir sonraki adımı benimsemenize yardımcı olacak.
Passkey, telefonunuz veya bilgisayarınız gibi cihazınızda yerel olarak ve güvenli bir şekilde saklanan kriptografik anahtarları kullanarak geleneksel şifreleri değiştiren dijital bir kimlik bilgisidir.
Talebinizde, bir hesap oluşturduğunuzda veya bir passey girişini etkinleştirdiğinizde cihazınızdaki bir program otomatik olarak bir passey oluşturacaktır. Temel olarak, cihazınızdan ayrılmadan sizi tanımlayan benzersiz bir anahtardır.
Bir passey ile oturum açtığınızda, cihazınız passey’i gerçekten vermeden bir meydan okumayı çözmek için paskayı kullanarak meşru kullanıcı olduğunuzu kanıtlar. Parolalarda olduğu gibi, cevabı ve kim olduğunuzu bildiğinizi kanıtlamanın bir yoludur. Ancak fark şu ki, şifrelerin aksine, passeylerin sahte veya kötü niyetli web siteleri tarafından çalınamamasıdır.
TAMAM. Bu alabalık kalabalığından arkada bazı iç çekişler duydum. Bulunması gereken birçok teknik açıklama var. Teknik destek yaptığınız kişilere kriptografik kamu ve özel anahtarları açıklamayı denemekten çekinmeyin.
Passeyler cihazınıza bağlı olduğundan ve şifreler gibi paylaşılamadığı veya çalınamadığı için, daha güvenli bir giriş deneyimi sunarlar.
Passeys kullanmak zor değil. Gerçekten mi!
Passeys kullanmak basittir ve gerçekten zor değildir:
- Bir Passey Oluştur: Passeyeyleri destekleyen bir web sitesi veya uygulamaya kaydolduğunuzda veya oturum açtığınızda, sistem sizden bir tane oluşturmanızı ister. Cihazınız otomatik olarak şifreleme anahtarlarını oluşturur. Bu, bir daha asla kullanamayacağınız bir site için kafa karıştırıcı gereksinimleri karşılayan karmaşık bir 12 karakterlik şifre icat etmek için gerçekten mücadele etmeye gerek olmadığı anlamına gelir. Cihazınız tüm iş.
- Giriş yapmak: Bir şifre yazmak yerine, cihazınızın kilidini biyometri veya pim kullanarak açın. Cihazınız daha sonra kimliğinizi güvenli bir şekilde doğrular ve internet üzerinden hassas sırlar göndermeden size güvenebileceğini söyler.
- Cihazlar arasında senkronize edin: Şifreli bulut hizmetleri veya şifre yöneticileri kullanarak cihazlarınızdaki passeyleri güvenli bir şekilde senkronize edebilirsiniz. Bu, birden fazla cihazdan zahmetsizce giriş yapmanıza olanak tanır ve cihazınız kaybolursa erişimin kaybedilmesini önler.
Yüzlerce karmaşık, benzersiz şifre oluşturmak ve ezberlemek zor ve streslidir. Passeyler bu yükü tamamen kaldırır. Hiçbir şey yaratmanıza veya çok hatırlamanıza gerek yok. Kimlik doğrulama işlemi, cihazınızın kilidini açmak kadar basittir.
Ve daha hızlı. Microsoft, hizmetlerine ortalama passey imzalamanın, geleneksel bir şifre ve ikinci faktör kullanarak oturum açması için 69 saniyeye kıyasla sadece 8 saniye sürdüğünü gördü.
Ortak yanılgı
Birçok insan yanlış nedenlerle paskayı kullanmaktan çekiniyor.
- Biyometri, parmak izleri veya yüz taramaları gibi harici olarak depolanmaz, ziyaret ettiğiniz site asla görmez. Onlar sadece cihazınızın gerçekten siz olduğunu doğrulaması için tasarlanmıştır.
- Yukarıda açıkladığımız gibi passeyler kullanmak karmaşık değildir. Elbette, arkasındaki teori, ancak kullanıcı deneyimleri aslında şifre oluşturma ve yönetimden daha basit olabilir.
- Önemli siteler ve hizmetler için kurduğunuz ekstra 2FA güvenliği katmanını kaybetmiyorsunuz. Passkeyler, cihazınızın bulundurulması ve biyometrik veya pim doğrulaması gerektiğinden, ekstra adımlar olmadan iki faktörlü kimlik doğrulamasını (2FA) doğal olarak destekler.
Dezavantajlar var
Burada dürüst olmalıyım. Bazı şeyler henüz ideal değil. Ancak ilerledikçe ve daha fazla insan pasif kullanmaya başladıkça, bunlar yakında iyileşecek.
Daha önce ima ettiğim gibi, cihazınızı kaybetmek bir sorun yaratabilir, çünkü senkronize etmedikçe anahtarınız onunla birlikte kaybolur. Bu aktif olarak üzerinde çalışılan bir sorundur.
Birçok web sitesi ve hizmet de henüz pasifleri desteklemiyor. Geliştiriciler ve servis sağlayıcıları, paskay benimsemesini daha pürüzsüz ve daha yaygın hale getirmek için aktif olarak çalışıyorlar, bu nedenle yakında passeyleri destekleyen daha fazla web sitesi ve uygulaması göreceksiniz.
Her passey sistemi eşit değildir. Halen devam eden gelişim tarihi nedeniyle, şu anda çok sayıda passey lezzeti var. Bunlar, cihaza bağlı ve fiziksel token pasiflerinden (cihazı asla terk etmeyen), kullanıcının diğer cihazlarında passeyleri yedeklemek ve senkronize etmek için bir cihazın kimlik yöneticisini kullanma seçeneğini sunan senkronize passeylere kadar değişir. Bu, altta yatan teknolojinin nüansları hakkında endişelenmek zorunda kalmadan, kimlik doğrulamanın çalışmasını isteyen kullanıcıları karıştırabilir veya hayal kırıklığına uğratabilir. Endüstri grupları (Fido Alliance ve W3C dahil), geliştiriciler ve kullanıcılar için bu durumu iyileştirmek için standartlar, kılavuzlar ve araçlar üzerinde çalışmaktadır.
Dene
Kendinizi pasiflerin faydalarından ikna etmek çok fazla çaba gerektirmez.
Passeyler, bir şifre yöneticisi aracılığıyla cihazlar arasında oluşturulur, kaydedilir ve senkronize edilir. Örneğin, Android’de Chrome’daki bir web sitesinde oluşturulan passeyler varsayılan olarak Google şifre yöneticisine saklanır ve daha sonra macOS, Windows, Linux ve Chromeos’ta Chrome gibi Google şifre yöneticisinin bulunduğu farklı ortamlarla senkronize edilir. Bir Passkey depolamak veya çevreye bağlı olarak bir passey doğrulamak için hangi şifre yöneticisinin kullanıcıya bağlıdır.
Bir Passey’i Google Parola Yöneticisi’ne kaydetmek için, uygun bir cihazda (Android, Chrome veya diğer desteklenen platformlar) Google hesabınıza imzaladığınızdan emin olun. Passeyleri destekleyen bir web sitesi tarafından istendiğinde, bir passey oluşturmayı ve ekrandaki talimatları izlemeyi kabul edin.
MacOS, MacOS 13.5 veya daha yüksek kullanıyorsanız, Google Password Manager veya ICLOUD KEYCHINE’da paskukları kaydetmenize olanak tanır.
- Passeys’i bugün deneyin: Passkey giriş seçenekleri sunan web siteleri ve uygulamalar arayın ve onları deneyin. Deneyimi muhtemelen şifrelerden daha hızlı ve daha kolay bulacaksınız.
- Kendinizi ve başkalarını eğitin: Passeyler hakkında öğrendiklerinizi arkadaşlarınızla ve ailenizle, özellikle şifreleri kafa karıştırıcı veya sinir bozucu bulanları paylaşın.
- Passkey desteği için savunucu: En sevdiğiniz siteleri ve hizmetleri, interneti herkes için daha güvenli hale getirmeye yardımcı olmak için pasifleri desteklemeye teşvik edin.
- Güvenli cihaz kimlik doğrulamasını kullanın: Passkey güvenliğinden tam olarak yararlanmak için cihazlarınızdaki biyometri veya pimleri etkinleştirin.
Sadece telefon güvenliği hakkında rapor vermiyoruz – bunu sağlıyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. İOS için MalwareBebytes ve bugün Android için Malwarebytes’i indirerek tehditleri mobil cihazlarınızdan uzak tutun.