Parolasız kimlik yaygınlaştıkça, “geçiş anahtarı” terimi de hızla siber güvenlikte yeni moda bir sözcük haline geliyor. Peki geçiş anahtarı tam olarak nedir ve neden onlara ihtiyacımız var?
Geçiş anahtarı, yalnızca yetkili kullanıcı tarafından kullanılabilen dijital bir kimlik bilgisidir. Bu genellikle biyometrik bir işaret (yüz veya parmak izi taraması gibi) veya benzersiz bir faktör (örneğin bir PIN) ile cihazın kilidinin açılmasını gerektirir. Temel olarak, cihazınız Google, Apple veya bir sosyal medya sitesinde “oturum açmak” için parmak izinizi veya yüz taramanızı isterse, muhtemelen yakında sizden bir şifreyi etkinleştirmenizi isteyecektir.
Geçen yıl Apple, Google ve Microsoft gibi teknoloji devleri ürünlerinde geçiş anahtarlarını desteklediklerini duyurduğunda geçiş anahtarlarının kullanımı hızla arttı. Apple, en son iOS sürümlerinde geçiş anahtarlarını otomatik hale getirdi, Microsoft, Windows 11’de geçiş anahtarı kullanımını genişletti ve Google, bunları Chrome ve Android cihazlarda etkinleştirerek DocuSign ve PayPal gibi hizmetleri de kapsayacak şekilde genişletti. Ekim 2023’te Google, kullanıcıların hesaplarında oturum açması için varsayılan yöntem olarak şifre anahtarlarını sunmaya başladı.
Geçiş anahtarlarının evrimi
Ancak iş geçiş anahtarlarına gelince, şeytan ayrıntıda gizlidir. Bunun nedeni, terimin farklı insanlar için farklı şeyler ifade etmeye başlamasıdır. Bir kimliği bir cihaza bağlamanın ve parolasız kimlik doğrulamayı etkinleştirmenin bir yolunu sağlayan açık kaynaklı kimlik doğrulama standardı olan Fast Identity Online’ı (FIDO) düşünün. FIDO şifresiz kimlik bilgileri genellikle geçiş anahtarlarıyla karıştırılır ve FIDO Alliance bile FIDO şifresiz kimlik bilgilerini tanımlamak için “geçiş anahtarı” terimini benimser çünkü bu terim çok fazla ilgi görmüştür.
Ancak FIDO, parolasız bir deneyime dönüşen tek dokunuşla çok faktörlü bir kimlik doğrulama (MFA) deneyimidir. Perde arkasında kullanıcının elinde bulunan, genellikle güvenli bir şifre kasasında bulunan şifrelenmiş bir anahtar bulunur. Bu, onlarca yıldır birçok hesap ele geçirmesinin ve kimlik avı sorununun kaynağı olan, parolaların merkezi bir sunucuda saklanmasına yönelik geleneksel yaklaşımın yerini alıyor.
FIDO popüler tarayıcılara ve platformlara yerleştirildiğinden, geçiş anahtarının benimsenmesi katlanarak artacaktır. Ancak piyasada kullanımları konusunda hala kafa karışıklığı var. Örneğin, geçiş anahtarları ilk kez kullanıma sunulduğunda çoğu dağıtım tek bir tarayıcıyla sınırlıydı. Bir kullanıcı yeni bir cihaz aldığında, cihazın yeniden kaydedilmesi gerekiyordu; bu da, tahmin edebileceğiniz gibi, kimlik doğrulama için bir kullanıcı adı ve şifreye geri dönmek ve böylece taşınabilirlik hedefini boşa çıkarmak anlamına geliyordu.
Geçiş anahtarlarının zorlukları ve vaatleri
Son gelişmeler artık özel anahtarların cihazlar arasında dolaşmasına izin vererek işletmelerin kullanılabilirliğini artırıyor, ancak aynı zamanda kullanıcıların anahtarlarını kötü niyetli kişilerle isteyerek paylaşmaları veya bir kimlik avı saldırısının kurbanı olma riskini de beraberinde getiriyor.
İşletmeler için şifreyi kullanabilecek cihaz sayısını kısıtlamak mümkündür. Bu durumda, cihaza bağlı geçiş anahtarının bir cihaz onayına sahip olması gerekir; böylece anahtar yalnızca bir telefonda veya yalnızca bir belirteç aracılığıyla kimliği doğrulanan bir cihazla (örneğin YubiKey gibi) sınırlıdır. Yetkili kullanıcı cihazın kilidini açmadığı sürece başka bir kişinin bu cihazı kullanması artık çok daha karmaşık, hatta neredeyse imkansız.
Bir FIDO çözümü eklemek, geliştiricilerin bu korumaları tüm uygulamalara kodlamasını çok daha kolay hale getirir. Uygulamaya birkaç satır kod bırakın, çözüm gerisini halledebilir. Bir tarayıcının bir şifreyi kabul edip edemeyeceğini tespit edecek ve gerekli tüm el sıkışma işlemlerini gerçekleştirecektir. Kullanıcı bir sonraki oturum açmayı denediğinde, cihaz ondan uygun mekanizmayı (Touch ID, Face ID, Windows Hello veya başka bir platform) kullanmasını isteyecektir.
Ayrıca bir FIDO çözümü, bir işlemin veya uygulamanın risk düzeyine uyum sağlayacak şekilde uygulanabilecek politikaları zorunlu kılabilir. Bu yetenek, politika uygulamasını her uygulamanın aşağısında oluşturma ihtiyacını ortadan kaldırır.
Üçüncü bir fayda, kullanıcılar aynı şirketteki farklı uygulamalarda çalışmak istediğinde ortaya çıkar. Bir kullanıcının erişim yetkisine sahip olduğu tüm uygulamalarda tek bir geçiş anahtarının çalışması, MFA ile korunan tek bir oturum açma olanağı sağlar.
Geçiş anahtarlarının (Apple iOS, Google Android veya web tarayıcılarında) yaygın şekilde kullanılmasını sağlamak için herhangi bir FIDO kimlik doğrulamasını destekleyen bir platform gerekir. Kullanıcının fiziksel belirteçler de dahil olmak üzere cihazlar arasında minimum çabayla geçiş yapmasına olanak tanıyan geçiş anahtarları, parolasız kimlik doğrulama kullanıcı yolculuklarında önemli bir rol oynayabilir.