Şu anda, geçiş anahtarları olarak bilinen şifresiz teknoloji ezoteriktir, yaygın olarak benimsenmekten uzaktır ve tüketiciler için kafa karıştırıcıdır. Bunlar aynı zamanda kaçınılmazdır.
World Wide Web Konsorsiyumu (W3C) ve FIDO Alliance tarafından oluşturulan ve Apple, Google ve Microsoft tarafından ortaklaşa desteklenen WebAuthn standardını temel alan geçiş anahtarları, cihaz tabanlı kimlik doğrulama ve genel anahtar kullanarak parola olmadan hizmetlerde oturum açmanın bir yoludur. şifreleme. Teknik ayrıntılar geliştirildikçe spesifikasyon zayıflarken, büyük web siteleri ve kimlik ekosistemleri bu yıl bu teknolojiye destek vererek bu projeye katıldı.
Ancak şifre yönetimi firması 1Password’ün şifresiz teknolojisi başkanı Anna Pobletts, manzarayı gerçekten değiştirmek için daha küçük sitelerin ve geliştiricilerinin de geçiş anahtarlarını benimsemesi gerektiğini söylüyor.
“Geliştiriciler için, özellikle geçiş anahtarlarının başarılı olmasında çok kritik öneme sahipler, çünkü sonuçta bu özellikleri sitelere yerleştirecek olanlar onlar” diyor. “Ve geçiş anahtarları da çok daha karmaşıktır [to implement] Bu yüzden geliştiricilere daha fazla yardım, daha fazla araç ve daha fazla kaynak sunmalıyız.”
Geliştirici hizmetleri ve araç kitlerinin kullanıma sunulması ve olgunlaşan bir altyapıyla birlikte, geçiş anahtarları 2024’te tamamen yaygınlaşmaya hazır görünüyor. çoğunlukla tüketici kullanımı içinse. Apple, Google ve Microsoft bazı hizmetlerinde geçiş anahtarlarını zaten destekliyor olsa da, Google, Android için Kimlik Bilgisi Yöneticisini yayınladı 1Password ve Enpass gibi farklı kimlik ekosistemlerindeki geçiş anahtarlarını desteklemek için Kasım ayında. Bu arada bazı büyük siteler yakın zamanda geçiş anahtarları ekledi. Amazon Ve Naber Ekim ayında teknolojiyi desteklemek için Adobe, BestBuy, Ebay, Roblox ve Zoho gibi düzinelerce diğer büyük e-ticaret sitesine ve bulut hizmetine katıldık.
Geçiş anahtarlarını destekleyen web sitelerinin ve uygulamaların tam sayısı sürekli değişmektedir. Passkeys.io 18 büyük siteyi listeliyor Google, WhatsApps, Microsoft ve Amazon gibi marka adları da dahil olmak üzere geçiş anahtarlarını destekleyen. Geçiş anahtarları dizini – kimlik sağlayıcısı 1Password tarafından sağlanan bir liste – BestBuy, DocuSign, eBay, Okta ve Uber dahil 92 siteyi listeler.
Geliştiricilere yönelik bir kimlik doğrulama platformu olan Stytch’in CEO’su ve kurucu ortağı Reed McGinley-Stempel, “Bu büyük duyuruların her biriyle geliştiricilerin ve müşterilerin ilgisinde artış görüyoruz” diyor. “Bu bir çeşit bileşik etki. … WebAuthn’un asla ulaşamadığı dönüm noktasına ulaştı çünkü siz bu teknik sorunları çözdünüz.” [and it’s being adopted by] bu büyük, saygın tüketici deneyimleri.”
Daha Fazla Güvenlik Ama Uygulaması Zor
Geçiş anahtarları, bir sırrın değişimi ve doğrulanması için, tarafından tanımlanan bir mekanizma yoluyla genel anahtar şifrelemesini kullanır. WebAuthn standardıKullanıcının kimliğini doğrulamak ve bu bilgiyi web sitesine iletmek için bir cihazın kendi güvenlik yeteneklerine (veya bir donanım anahtarının) güvenerek.
Bir geçiş anahtarı oluşturulduğunda, kullanıcının cihazı özel bir anahtarı saklar ve web sitesine bir genel anahtar gönderir; bu anahtar, kayıt sırasında anahtarı kaydeder. Bir kullanıcı web sitesine erişmek istediğinde, site kullanıcıya uzun, rastgele bir dize iletir; kullanıcının cihazı – kullanıcının kimliğini doğruladıktan sonra – dizeyi kendi özel anahtarıyla şifreler. Şifrelenmiş bilgi web sitesine gönderilir ve web sitesi daha sonra genel anahtarla dizenin şifresini çözerek kullanıcının kimliğini doğrular.
Geçiş anahtarlarının WebAuthn belirteçlerine göre avantajı, geçiş anahtarlarının tek bir ekosistemde senkronize edilebilmesidir: Örneğin, Apple’ın iCloud Anahtar Zincirini kullanan herhangi bir cihaz, aynı şifre anahtarını kullanarak ve 1Password’ün şifre kasası uygulamasının yüklü olduğu herhangi bir cihazla oturum açabilir. bu ekosisteme kaydedilen geçiş anahtarlarını platformlar arasında kullanabilir.
Stytch’ten McGinley-Stempel, tüm bunları yalnızca insanların kullanmasını kolaylaştırmakla kalmayıp geliştiricilerin de uygulamasını kolaylaştırmanın kritik öneme sahip olduğunu söylüyor.
“En önemli şeylerden biri geçiş anahtarı yapılandırmasıdır; geliştiricilerin uzmanlardan biri olmalarına gerek kalmayacak şekilde bunu nasıl basitleştirirsiniz” diyor. “Şifrelerden ortak anahtarlara geçtiğinizde, özellikle de ortak anahtarları yönetmek için kimlik doğrulama sonrası kullanıcı arayüzünü nasıl ele alacağınız hakkında düşünmeniz gereken daha çok şey var.”
Kimlik doğrulama sonrası bir sorun gibi bir cihazın kaybolması durumunda, güvenli mekanizmaların bir web sitesine erişimi kurtarmasına izin verin.
Yakında Her Yerde Desteklenecek mi?
Buna rağmen geliştiriciler web siteleri ve bulut uygulamaları için geçiş anahtarlarını benimsemekle oldukça ilgileniyorlar. Genel olarak, geliştiricilerin %83’ü şu anda bir müşteri için geçiş anahtarlarını uygulamaya çalışıyor ve %68’i geçiş anahtarlarını iş için kişisel olarak kullandı. Geliştiriciler Anketi 2024 kimlik yönetimi sağlayıcısı Bitwarden tarafından yayınlandı. Geçiş anahtarları kullanıldığında başarılı oturum açma sayısının arttığı ve parola sıfırlama sayısının azaldığı göz önüne alındığında bu anlaşılabilir bir durumdur.
Stytch gibi kimlik doğrulama altyapısı sağlayıcıları, geliştiriciler için geçiş anahtarlarına geçişi basitleştirmeyi hedeflerken, BitWarden ve 1Password gibi kimlik sağlayıcıları da kendi ekosistemleri de dahil olmak üzere farklı geçiş anahtarı ekosistemleriyle arayüz oluşturmak için araçlar sağlıyor.
Bitwarden’ın müşteri sorumlusu Gary Orenstein, araçlar geçiş anahtarlarının uygulanmasını kolaylaştırabilirse geliştirici ve web sitesi sahiplerinin daha kolay güvenlik mekanizmasından yararlanabileceğini söylüyor.
“Daha yüksek başarılı oturum açma oranına sahip olabilirlerse, uygulamada daha fazla zaman geçirebilirler. Parola sıfırlamalarını azaltabilirlerse, uygulamada daha fazla zaman geçirebilirler, bu harika” diyor. “Geliştiricilerin geçmişte bir endüstri olarak geleneksel oturum açma-şifre mekanizmalarıyla uğraşmak zorunda kaldığı birçok sorun, geçmişte olabileceğinden çok daha az sorunlu hale gelecek şekilde düzene giriyor.”
Araç üreticilerinin yanı sıra tüm büyük platformlar, geliştiricilere geçiş anahtarlarını nasıl uygulamaları gerektiği konusunda rehberlik sunuyor. Google’da yazılım mühendisi olan Arnar Birgisson, her yeni şeyde olduğu gibi, insanların geçiş anahtarlarına alışmasının zaman alacağını söylüyor.
“Önemli olan teknolojinin kullanımını mümkün olduğunca kolay ve erişilebilir hale getirmektir” diyor. “Bu nedenle insanların geçiş anahtarlarını daha fazla yerde görmesi ve daha fazla bilgi sahibi olması için diğer kuruluşlarla çalışmak kritik önem taşıyor.”
Google, kullanıcılarından, hizmetlerine giriş yaparken varsayılan yöntem olarak şifre anahtarlarını kullanmalarını istedi. Birgisson, şu ana kadar gelen yanıtların son derece olumlu olduğunu, %60’tan fazlasının raporlama geçiş anahtarlarının kullanımının geleneksel oturum açma yöntemlerine göre daha kolay olduğunu söylüyor.
“Şu ana kadar geçiş anahtarlarını kullananlardan aldığımız olumlu geri bildirimler bizi cesaretlendirdi ve varsayılan olarak geçiş anahtarı gibi çabalarla geçişi kolaylaştırmak için çalışmaya devam edeceğiz” diyor.