Google, insanların geleneksel kimlik doğrulama yöntemlerinin yanı sıra hizmetlerinde oturum açmak için kullanabilecekleri bir geçiş anahtarı seçeneği sundu ve “şifresiz bir geleceğe” doğru büyük bir adım ilan etti.
Yıllık Dünya Şifre Günü güvenlik pazarlama şöleni öncesinde yayınlanan Google geçiş anahtarı, Fast Identity Online Alliance’ın desteğini genişletmek için 2022’de bir araya gelen Apple, Google ve Microsoft arasında bir yıl süren çok taraflı çabanın doruk noktasıdır. (FIDO Alliance’ın) FIDO2 spesifikasyonu – kullanıcıların Android, iOS, Chrome, Edge ve Safari tarayıcıları ile macOS ve Windows bilgisayarlarda parolasız kimlik doğrulaması kullanmasını sağlar.
Google grubu ürün müdürü Christiaan Brand ve Google kıdemli ürün müdürü Sriram Karra, “Bir süredir biz ve sektördeki diğer kişiler şifrelere daha basit ve daha güvenli bir alternatif üzerinde çalışıyoruz” dedi. “Parolalar bir süre daha bizimle olacak olsa da, genellikle hatırlamak sinir bozucu oluyor ve yanlış ellere geçerlerse sizi riske atıyorlar.
“Öyleyse, belki gelecek yılki Dünya Parola Günü’ne kadar, parolanızı kullanmak şöyle dursun, hatırlamanıza bile gerek kalmayacak.”
Geçiş anahtarı kavramı bir süredir ortalıkta dolaşıyor, ancak Google’da benimsenmesi, artık genel kabul görmeye doğru ilerlediklerinin açık bir işareti.
Kullanımı parolalardan daha kolay olan bu parolalar, kullanıcıların akıllı telefonlarının kilidini açarken yapmaya alıştıkları gibi, parmak izi veya yüz tanıma gibi biyometri veya ekran kilidi PIN’i kullanarak uygulamalarda ve sitelerde oturum açmalarına olanak tanır.
Parolaların aksine yazılamadıkları veya paylaşılamadıklarından ve kimlik avı veya sosyal mühendislik gibi çevrimiçi saldırılara karşı dirençli olduklarından geçiş anahtarları daha güvenli kabul edilir, bu da onları SMS tek seferlik parolalar (OTP’ler) gibi seçeneklerden daha güvenli kılar. hala birçok çok faktörlü kimlik doğrulama (MFA) kurulumunda kullanılmaktadır.
Google’ın parolası hem biyometrik hem de parola tabanlı oturum açma seçenekleri sunacak ve kaydolan kullanıcılardan her oturum açtıklarında veya hassas bilgilere erişmeye çalıştıklarında parolaları istenecek. Anahtarın kendisi cihazda saklanacak ve biyometrik verileri Google veya diğer üçüncü taraflarla paylaşmayacaktır.
Parolalar da dahil olmak üzere mevcut kimlik doğrulama seçenekleri, en azından kısmen, geçiş anahtarlarının nispeten yeni bir teknoloji olması ve birçok cihazın henüz bunları desteklememesi nedeniyle kullanılabilir durumda kalacaktır.
Yine de Google, kullanıcı tabanının nasıl tepki vereceğine çok dikkat edeceğini ve kimlik doğrulamasını daha güvenli hale getirmek için insanların “bir sonraki adımı atmalarına” yardımcı olmayı dört gözle beklediğini söyledi.
Geçiş anahtarlarını kendileri denemek isteyen Google kullanıcıları, bunları burada etkinleştirebilir. Google Workspace yöneticilerine, kısa süre içinde kullanıcıları için geçiş anahtarlarını etkinleştirme seçeneği sunulacaktır.
1Password CEO’su Jeff Shiner, “Parolalar, insan hatasını ortadan kaldıran, güvenlik ve kullanım kolaylığı sağlayan ilk kimlik doğrulama yöntemidir” dedi.
“Google’ın geçiş anahtarı desteğini açmasıyla … dünya çapında 1,5 milyar insan artık geçiş anahtarlarını benimseme fırsatına sahip” dedi. “Yine de geniş çapta benimsenmesi için, kullanıcıların ekosistemler arasında kolayca geçiş yapabilmeleri için geçiş anahtarlarını nerede ve ne zaman kullanmak istediklerini seçme yeteneğine ihtiyaçları var.
“Parolaları ortadan kaldırmak için diğer FIDO Alliance liderleriyle aktif olarak çalışırken, kimlik avcılarının en büyük ödüllerinden biri olan kimlik bilgilerini kaçınılmaz olarak kaldıracağız. Bu, geçiş anahtarları ve çevrimiçi dünyayı güvenli hale getirmek için bir devrilme noktasıdır.”
Kaputun altında ne var?
Google’ın geçiş anahtarı teknolojisi, kullanıcının oluşturduğu, yerel olarak saklanan bir şifreleme özel anahtarına dayanır. Bu noktada, karşılık gelen bir genel anahtar Google’a gönderilir, böylece bir sonraki oturum açışlarında cihazdan özel anahtarla benzersiz bir sorgulama imzalaması istenir. Cihaz bunu yalnızca kullanıcı onaylarsa yapar, bu da cihazın kilidini açmak için kullanıcının orada olması gerektiği anlamına gelir.
Cihaz ayrıca, imzanın yalnızca Google web siteleri ve uygulamalarıyla paylaşılabilmesini ve kendilerini zincire eklemeye çalışmış olabilecek kötü niyetli kimlik avı siteleriyle paylaşılabilmelerini sağlar; şifreler ve MFA kullanarak.
Temel olarak, kullanıcı, biyometri veya şifre koduyla sorgulamayı imzalayarak Google’a, özel anahtara sahip olduğu için cihazın kendisine ait olduğunu, kilidi açmak için hazır bulunduğunu ve kimlik avı amaçlı değil, gerçekten bir Google hizmetinde oturum açtıklarını kanıtlar. alan.