Microsoft’un Passwordss Technology’ye doğru hareket etmesi, Redmond’un gerçekte kimlik doğrulayıcı uygulamasının kullanıcılarının şifre desteğini kaldırarak ve depolanan şifreleri silerek Passkeys’e taşınmasını zorlayan yeni önlemler uygulayacağında bir ekipman başlatacak.
Haziran 2025’in başlangıcından bu yana, Authenticator uygulaması kullanıcıları uygulama aracılığıyla yeni şifreler ekleme veya içe aktarma olanağını kaybetti – Temmuz ayına kadar otomatik olarak şifre kaydetmeye devam edebildiler.
Temmuz ayının başından bu yana, AutoFill’i kimlik doğrulayıcı ile kullanamadılar ve bu haftadan başlayarak 1 Ağustos’ta, kimlik doğrulayıcısına kaydedilen parolalara artık erişilemeyecektir.
Microsoft’a göre, kaydedilmiş şifreler – oluşturulan şifre geçmişi – ve adresler kullanıcının hesaplarıyla senkronize edilmeye devam edecek ve kuruluşun kenar tarayıcısı aracılığıyla erişilebilir kalacaktır.
Yakın zamanda oturum açmışlarsa, kimlik doğrulayıcı kullanıcılar o sırada paskoplar kurmak için terfi etmiş olacak, ancak Microsoft’tan daha fazla rehberlik ve sonraki adımlar mevcuttur.
Elektrik ve Elektronik Mühendisler Enstitüsü (IEEE) ve Nottingham Üniversitesi’nde Cyber Güvenlik Profesörü ve profesörü olan Steve Furnell, “Kimlik doğrulama manzarası gelişti ve şimdi birçok cihaz ve hizmette daha iyi seçeneklere sahibiz, parola yöneticileri, passeyler ve biyometriklerin hepsi yükü azaltma ve korumayı geliştirme konusunda rol oynuyor” dedi.
“Aynı zamanda, bu çözümler her yerde olmaktan uzaktır. Birçok önde gelen web sitesi hala kayıtların temeli olarak parolaları kullanır ve hesaplar kurulduktan sonra diğer seçeneklerin mevcut olup olmadığı veya açıkça belirtilip belirlenmediğini değiştirir. Parola hijyeni sadece mütevazı iyileştirmeler gördü ve onlarca yıldır aynı sorunları ele alıyoruz.
“Anahtarlıklar ve otomatik doldurma özellikleri, birden fazla şifre hatırlama bellek yükünü hafifleterek bazı ek destek sunar. Bununla birlikte, şifreleri seçme, paylaşma ve yeniden kullanma konusunda temel kötü uygulamayı ele almazlar. Parola yöneticileri, özellikler düzgün bir şekilde uygulanırsa yardımcı olabilir – ve birçok kişi hala iyi şifre hijyeni korumak için mücadele eder.”
Passeyler Nasıl Çalışır?
Passeyler, bir anahtar ve kilit gibi çalışacak şekilde eşleştirilmesi gereken iki ayrı şifreli bilgi parçasını içerir. Birincisi, özel kısım bir kimlik doğrulama uygulaması aracılığıyla kullanıcının cihazında saklanır ve ikinci, genel kısım, PassKey teknolojisini uygulayan hedef hizmetle saklanır.
Bir kullanıcı bu hizmete giriş yapmaya çalıştığında, bir kullanıcının seçtiği kimlik doğrulayıcı uygulamasına bir bildirim gönderir – Microsoft Authenticator’ın yanı sıra, mobil cihazlarında mevcuttur.
Kullanıcı daha sonra, şifreli, özel bir passey oluşturan ve halka açık anahtarla eşleştirildiği hizmete geri gönderen, böylece kullanıcıyı, herhangi bir kimlik bilgisi kişisel olarak tanımlanabilir bilgiler (PII) iletmeden günlüğe kaydeden uygulamanın kilidini açmak için cihazlarında parmak izlerini, yüz tanıma veya kişisel kimlik numaralarını (PIN) kullanabilir.
Passeylerin bazı dezavantajları var – henüz her yerde mevcut değiller, bu da bazılarının bunları yönetmeye devam etmek için mücadele edebileceği anlamına geliyor ve kullanıcıların biyometrik doğrulamayı güvenlik uygulamalarına dahil etmede herhangi bir rahatsızlığın üstesinden gelmelerini gerektiriyorlar.
Bununla birlikte, güvenlik uzmanları genel olarak onları şifrelerden çok daha güvenli olarak görüyorlar, çünkü kullanıcıların uzun ve karmaşık şifreleri ezberlemeleri (veya daha da kötüsü, bunları yazma) ihtiyacını ortadan kaldırıyorlar.
Ek olarak, yeni oluşturulan her özel passey benzersizdir, bu nedenle birden fazla hizmette yeniden kullanılamazlar ve anahtarlar sadece kullanıcı cihazında depolandıkları için, hedef hizmetin altyapısında değil, kimlik avı saldırılarına karşı daha az savunmasızdırlar ve keylogging kötü niyetlidirler ve bir veri ihlali – hizmeti ihlal eden bir saldırgan, sadece ortak anahtar elde edebilecek bir saldırgandır.
Kademeli bir geçiş
Keeper Security’nin CEO’su ve kurucu ortağı Darren Guccione, Microsoft tarafından şifre desteğinin ortadan kaldırılmasının ilk bakışta, endüstrinin bu kadar dramatik bir şeyi müjdelemek yerine şifre dışı teknolojiyi normalleştirmeye doğru hızla hareket ettiğini öne sürdüğünü söyledi.
Guccione, “Geleneksel şifreleri üretebilecek ve güvence altına alabilecek çözümler, şifresiz daha yaygın olarak benimsenmiş olsa bile, bireyler ve kuruluşlar için kritik öneme sahiptir” dedi.
Keeper’ın kendi araştırmasına atıfta bulunan Guccione, bugün kuruluşların% 40’ının şifrelerin ve passeylerin bir arada bulunduğu hibrit bir ortamda faaliyet gösterdiğini söyledi.
Guccione, “Bu, mevcut siber güvenlik gerçekliğini daha yansıtır – paskaların farklı avantajlar sunduğu, ancak evrensel benimseme için gereken altyapı, kullanıcı davranışının ve sistemlerin hala yetiştiği” dedi.
Bu yaklaşımın risk getirmesine rağmen, hem şifreleri hem de passeyleri stratejik olarak katmanlayabilen kuruluşların, örneğin, müşteri verilerine ayrıcalıklı erişimi yönetmek gibi hassas veya düzenlenmiş alanlarda pasiflerin kullanımına öncelik vererek bunların bazılarını azaltabileceğini söyledi.
Guccione, “Bir platformdaki şifrelerin sonu, şifrelerin sonunu tamamen göstermiyor. Modern ve çevik güvenlik çözümlerini gerektiren yavaş ve kademeli bir geçiş” dedi.