Perşembe günü Google, geçiş anahtarlarının 400 milyondan fazla Google hesabı tarafından kullanıldığını ve son iki yılda kullanıcıların kimliğinin 1 milyardan fazla kez doğrulandığını duyurdu.
Google’ın güvenlik mühendisliğinden sorumlu başkan yardımcısı Heather Adkins, “Parola anahtarlarının kullanımı kolay ve kimlik avına karşı dayanıklı; yalnızca parmak izi, yüz taraması veya şifreye bağlı oldukları için şifrelerden %50 daha hızlılar” dedi.
Arama devi, Google Hesaplarında kimlik doğrulama için şifre anahtarlarının halihazırda, SMS tek seferlik şifreler (OTP’ler) ve uygulama tabanlı OTP’lerin birleşimi gibi iki faktörlü kimlik doğrulamanın eski formlarından daha sık kullanıldığını belirtiyor.
Buna ek olarak şirket, kullanıcının Google Hesabına bağlı üçüncü taraf uygulamalar ve hizmetlerle ilgili şüpheli olaylara karşı uyarı veren Hesaplar Arası Koruma’yı daha fazla uygulama ve hizmeti içerecek şekilde genişlettiğini söyledi.
Google’ın ayrıca, kişileri kim oldukları ve ne yaptıkları nedeniyle hedefli saldırılara karşı korumayı amaçlayan Gelişmiş Koruma Programı’nın (APP) bir parçası olarak yüksek riskli kullanıcılar için geçiş anahtarlarının kullanımını desteklemesi bekleniyor. Buna kampanya çalışanları ve adayları, gazeteciler ve insan hakları aktivistleri de dahildir.
APP daha önce donanım güvenlik anahtarlarının ikinci bir faktör olarak kullanılmasını gerektiriyordu ancak artık donanım güvenlik anahtarlarının yanı sıra herhangi bir geçiş anahtarıyla kayıt yapılmasına izin verecek veya kimlik doğrulamanın tek yolu olarak bunları kullanacak.
Google, Aralık 2022’de Chrome’a şifre anahtarları ekledi ve o zamandan beri şifresiz kimlik doğrulama çözümünü varsayılan olarak tüm platformlardaki Google Hesaplarında kullanıma sundu.
1Password, Amazon, Apple, Dashlane, Docusign, eBay, Kayak, Microsoft, PayPal, Shopify, Uber ve WhatsApp, geçiş anahtarlarını benimseyen diğer önde gelen şirketlerden bazılarıdır.
Bu gelişme, Eylül 2023’te Windows 11’e geçiş anahtarlarını entegre eden Microsoft’un, Windows, Google ve Apple platformlarında biyometri veya cihaz PIN’i kullanan tüketici hesapları için kimlik doğrulama standardını destekleme planlarını duyurmasıyla aynı gün gerçekleşti.
Geçiş anahtarları, bir kriptografik anahtar çifti, cihazda depolanan özel bir anahtar ve geçiş anahtarının kullanılacağı uygulama veya web sitesiyle paylaşılan bir genel anahtar oluşturarak çalışır.
Microsoft’tan Vasu Jakkal, “Bu anahtar çifti kombinasyonu benzersiz olduğundan, geçiş anahtarınız yalnızca onu oluşturduğunuz web sitesi veya uygulamada çalışacak, dolayısıyla kötü amaçlı, benzer bir web sitesinde oturum açmanız için kandırılamazsınız” dedi.
Şifre anahtarları ayrıca 1Password ve Dashlane gibi üçüncü taraf şifre yönetimi çözümlerinde de saklanabilir; bu da kullanıcılara Google Şifre Yöneticisi, iCloud Anahtar Zinciri ve Windows’un ötesinde nerede saklanabilecekleri konusunda daha fazla kontrol sağlar.
Google ürün yöneticileri Sriram Karra ve Christiaan Brand, “Geçiş anahtarları aynı anda birinci ve ikinci faktör olarak hareket edebilir” dedi. “Güvenlik anahtarınızda bir geçiş anahtarı oluşturarak, parolanızı girmeyi atlayabilirsiniz. Bu, uzaktan saklanan parolanızı, güvenlik anahtarınızın kilidini açmak için kullandığınız PIN ile değiştirir, bu da kullanıcı güvenliğini artırır.”
Ancak, geçiş anahtarlarının şirketler tarafından “kullanıcıları ve hedef kitleleri bir platforma çekmenin” bir yolu olarak kullanıldığına ve “kurumsal çıkarların iyi kullanıcı deneyimini bir kez daha geçersiz kıldığına” dair endişeler de dile getiriliyor.
Yazılım mühendisi William Brown, “Kullanıcıların uzun vadeli tuzağa düşürülmesini teşvik etmenin, tüm kimlik bilgilerini platformunuza kilitlemekten ve daha da iyisi, hiçbir şekilde çıkarılamayan veya dışarı aktarılamayan kimlik bilgilerini platformunuza kilitlemekten daha iyi bir yol olabilir mi?” dedi. webauthn-rs, dedi.