İngiltere hükümeti, siber saldırılar riskini insanların Gov.uk hesaplarına azaltmayı amaçladığı için paskey teknolojisini dijital hizmetlerinde sunma planlarını açıkladı.
Manchester’daki Cyberuk 2025 Konferansı sırasında duyurulan bu girişim, mevcut SMS tabanlı iki faktörlü doğrulama sistemini 2025 yılı sonuna kadar devlet hesapları arasında değiştirmeyi amaçlamaktadır.
Fayda talepleri, çocuk bakımı desteği ve vergi kredileri de dahil olmak üzere kritik alanları kapsayan Gov.uk Hizmetleri, İngiltere’yi şifresiz teknoloji benimsemesinde küresel bir lider olarak konumlandırarak bu daha güvenli kimlik doğrulama yöntemine geçecektir.
.png
)
Passkeys: Yeni bir güvenli kimlik doğrulama dönemi
Passeys, bir web sitesinde veya uygulamadaki bir kullanıcının hesabına bağlı şifreleme kimlik bilgileridir. Tahmin edilebilen, çalınan veya yinelenen geleneksel şifrelerin aksine, paskaylar daha güvenli bir kimlik doğrulama sistemi oluşturmak için kamu anahtarı kriptografisini kullanır.
Passeys uygulanırken, kullanıcının cihazında özel bir anahtar depolanır ve kriptografik kimlik doğrulama imzaları oluşturmak için kullanılır. Bu arada, bu imzaları doğrulamak için sunucuda genel bir anahtar depolanır.
Kimlik doğrulama, parmak izi veya yüz tanıma gibi biyometrik sensörler aracılığıyla etkinleştirilir ve kullanıcıların karmaşık şifreleri hatırlama ihtiyacını ortadan kaldırır.
Kimlik Bilgisi Yönetimi API’sının bir uzantısı olan WebAuthn API, bu güçlü kimlik doğrulamayı ortak anahtar şifreleme ile sağlar.
Yeni bir passey kaydederken tarayıcı, daha sonra sunucuda saklanan kimlik bilgileri oluşturmak için bir kimlik doğrulayıcı ile iletişim kurar.
Passeyler, geleneksel şifre kimlik doğrulamasına göre önemli avantajlar sunar:
- Kimlik avı direnci: Passeyler sadece kayıtlı web sitelerinde ve uygulamalarında çalışır ve bu da onları Phish’i neredeyse imkansız hale getirir.
- Zaman Verimliliği: Bir kullanıcı adı, şifre ve SMS kodu girilmesine kıyasla passeylerin giriş başına yaklaşık bir dakika tasarruf ettiği tahmin edilmektedir.
- Maliyet azaltma: SMS tabanlı doğrulamanın ortadan kaldırılması, devlet hizmetleri için operasyonel maliyetleri azaltacaktır.
- Şifre Yok: Passeyler unutulamaz veya yanlış yazılamadığından, parola sıfırlamalarının hantal süreci ortadan kaldırılır.
İngiltere hükümetinin passeylere taşınması
Yapay zeka ve dijital hükümet bakanı Feryal Clark bu geçişin önemini vurguladı: “Bu değişim, kullanıcıları sadece hükümetle çevrimiçi olarak etkileşime girerken değerli zamanı kurtarmakla kalmayacak, aynı zamanda ekonomik büyümemize zarar veren sahtekarlık ve kimlik avı risklerini azaltacaktır”.
Ulusal Sağlık Servisi (NHS), bu yaklaşıma zaten öncülük etti ve küresel olarak kullanıcı hesapları için passeyler sunan ilk hükümet kuruluşlarından biri oldu.
Cyberuk 2025’teki özel bir oturum sırasında, NHS temsilcileri bu uygulamadan öğrenilen deneyimlerini ve derslerini paylaştılar.
Duyuruya eşlik eden Ulusal Siber Güvenlik Merkezi (NCSC), kendi MYNCSC platformu için passey desteği geliştirdiğini ve bu yılın ilerleyen saatlerinde beklenen olduğunu açıkladı.
Buna ek olarak, Birleşik Krallık hükümeti, şifre içermeyen kimlik doğrulama standartlarını şekillendirmeye adanmış bir açık endüstri derneği olan Fido Alliance’a katıldı.
NCSC Teknik Sorumlusu Ollie Whitehouse, tüm İngiltere kuruluşlarını, kimlik avı ve kimlik bilgisi doldurma gibi ortak siber tehditlere karşı koruduklarını belirten geleneksel şifre ve çok faktörlü kimlik doğrulama çözümlerinin ötesine geçme stratejileri geliştirmeye çağırdı.
“Tüm kuruluşlara, güvenliği artırmak, kullanıcılara daha hızlı, sürtünmesiz girişler sağlamak ve SMS kimlik doğrulaması için önemli maliyetlerden tasarruf etmek için mümkün olan her yerde paskuk uygulamalarını şiddetle tavsiye ediyoruz” dedi.
Hükümetin Fido Alliance’a üyeliği, Passkey standartlarının evriminde aktif bir rol oynamasını sağlayacak ve İngiltere’nin siber güvenlik yeniliğinin ön saflarında yer almasını sağlayacaktır.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri