hiç olmadı dünyayı şifrelerden uzaklaştırmanın yıllar alacağı bir soru. Dijital kimlik doğrulama teknolojisi, derinden kusurlu olsa da, yaygın ve köklüdür. Bununla birlikte, son beş yılda, FIDO Alliance olarak bilinen güvenli kimlik doğrulama endüstrisi derneği, uygulamalarda ve web sitelerinde oturum açmak için parolasız bir alternatif olan “geçiş anahtarlarını” teşvik ederek gerçek bir ilerleme kaydetti. Ve yine de, muhtemelen hala her gün çok sayıda şifre kullanıyorsunuz. Aslında, Microsoft, Google, Apple ve diğerlerinin geniş çapta benimsemesine rağmen, parolayla korunan hiçbir hesabınız olmayabilir.
Önümüzdeki hafta San Francisco’da düzenlenecek RSA güvenlik konferansında, FIDO2 teknik çalışma grubunun eş başkanı ve Google’da bir kimlik ve güvenlik ürün yöneticisi olan Christiaan Brand, yeni özellikler ve geçiş anahtarının benimsenmesindeki büyüme hakkında bir konuşma sunacak. Ayrıca, geçiş anahtarlarının on yıllardır oluşturduğu atalet parolalarına karşı koymada karşılaştıkları mevcut zorlukları ve parolanın hakimiyetini yavaş yavaş aşındırmanın uzun oyununu incelemeyi planlıyor.
Brand, “Vurgulamak istediğim şey, ne kadar yol kat ettiğimiz, ancak hangi sorunların hala çözülmediği,” diyor. “Parolalar her yerde ve kötüler ama herkes onlara alışık. Kullanıcılar şaşırmak istemezler ve değişiklikten hoşlanmazlar. Bu nedenle, geçiş anahtarlarını bir artırma olarak düşünmek çok önemlidir. Kullanıcıları daha kolay ve daha güvenli olacak şeylere doğru itmemiz gerekiyor.”
Brand, geçtiğimiz yıl boyunca FIDO’nun parolasız vizyonunu desteklemek için özellikleri kullanıma sunma konusunda önemli ilerleme kaydettiğini söylüyor. Cihazlar arasında senkronize olabilmeleri, her zaman varsayılan olarak kullanıcı adı ve parolayı kullanmak yerine kullanıcılara geçiş anahtarları hakkında soru soracak hizmetler alabilmeleri ve cihazlar arasında geçiş anahtarı kimlik doğrulamasını paylaşmak için Bluetooth tabanlı yakınlık algılamayı kullanabilmeleri için geçiş anahtarlarını yedekleyecek altyapı artık mevcuttur. Bu noktaların üçü de, FIDO’nun bir yıl önce geliştirmek için açıkça ortaya koyduğu önemli kullanılabilirlik sorunlarını ele alıyor.
Ancak uygulamada hala engeller var ve bu çözümleri geliştirmek zaman aldı. Örneğin Brand, yeni Bluetooth tabanlı yakınlık algılama protokolünün, Bluetooth uygulamalarını sık sık rahatsız eden güvenlik sorunlarından kaçınmak için dikkatlice tasarlandığını söylüyor. Buradaki fikir, Bluetooth’un işlevselliğinin çoğunu ortadan kaldırmak ve protokolü herhangi bir veri aktarımı yerine yalnızca yakınlık kontrolleri için kullanmaktı. Bu yaklaşım, geçiş anahtarlarının, cihazları eşleştirmeye çalışırken Bluetooth’un birçok tuhaflığını ve güvenilirlik sorunlarını atlamasına izin verdi.
Farklı işletim sistemlerinde ve web hizmetlerinde geçiş anahtarları için tutarlı bir “kullanıcı deneyimi” (UX) geliştirmek, devam eden bir zorluktur. Örneğin, geleneksel şifreleri kullanarak bir Mac’ten Google hesabınıza giriş yaparsanız, kimlik bilgileriniz, Google’ın şirketin sunucularından birinde hesabınız için kayıtlı olanlarla karşılaştırılmaya devam eder. Ancak geçiş anahtarlarının güvenlik ve kimlik avına karşı dayanıklılık avantajları, farklı şekilde çalışmalarından kaynaklanır. Bir Mac’ten Google hesabınıza giriş yapmak için bir geçiş anahtarı kullanırsanız, şifreleme kontrolü yerel olarak gerçekleştirilir ve Apple hiçbir zaman doğrudan dahil olmaz; etkileşim sırasında kullanıcının deneyimlediği her şey Google tarafından değil, macOS tarafından sağlanır.