Mayıs 2022’de Microsoft, 2023’ün sonuna kadar Windows işletim sisteminde geçiş anahtarları kullanılarak parolasız kimlik doğrulama desteği sözü vermişti. Microsoft’un Salı günü önizleme kanalında yayınladığı Windows 11 sürüm 23H2, sonunda bu sözünü yerine getiriyor.
2023’ün sonunda genel kullanıma sunulması planlanan bu Windows 11 güncellemesi, parolalar yerine biyometrik kimlik doğrulama, PIN veya üçüncü taraf parola yöneticisi kullanarak geçiş anahtarları oluşturma yeteneğini sunuyor. Benzersiz kriptografik kimlik bilgileri içeren dijital özel anahtarlar oluşturmaya yönelik FIDO Alliance spesifikasyonu, World Wide Web Konsorsiyumunun (W3C) WebAuthn standardını temel alır.
Microsoft’un kurumsal ve işletim sistemi güvenliğinden sorumlu başkan yardımcısı David Weston, “Geçiş anahtarları, güvenli oturum açma yönetiminin platformlar arası geleceğidir” diye yazdı. “Bir geçiş anahtarı, cihazınızda güvenli bir şekilde saklanan, benzersiz, tahmin edilemeyen bir kriptografik kimlik bilgisi oluşturur.”
Geçiş anahtarlarına merhaba
Uzmanlar, geçiş anahtarlarını, parolaları ortadan kaldırmak ve hesapları saldırılara karşı korumak için şu anda mevcut olan en umut verici kimlik doğrulama biçimi olarak görüyor. Geçiş anahtarları bilgisayarlar, tabletler ve akıllı telefonlar gibi belirli cihazlara bağlı olduğundan, kullanıcıların her web sitesi veya çevrimiçi hizmet için kullanıcı adlarını ve şifreleri ezberlemeleri gerekmez. Geçiş anahtarları sayesinde, saldırganların çalabileceği parolalar veya ele geçirilebilecek çok faktörlü kimlik doğrulama belirteçleri yoktur. Erişim yalnızca bir saldırganın tahmin edemeyeceği benzersiz şifreleme anahtarıyla sağlanabilir. Geçiş anahtarları aynı işletim sistemindeki cihazlar arasında da senkronize edilebilir, bu da oturum açma sürecini basitleştirir.
Bireyler Windows Hello, Windows Hello for Business veya akıllı telefon kullanarak geçiş anahtarları oluşturabilir ve bunlar daha sonra cihazda depolanabilir. Bir web sitesine veya uygulamaya giriş yapmak için kişi, uygulamalara ve web sitelerine erişim sağlamak için yüz tanıma veya parmak izi taraması gibi biyometrik özelliklerle veya cihaz tabanlı bir PIN aracılığıyla geçiş anahtarının “kilidini açacaktır”. Ayarlar uygulamasında, Hesaplar >> Geçiş Anahtarları altında bir geçiş anahtarı yönetim panosu bulunacaktır.
Microsoft, FIDO protokollerinin standart genel/özel anahtar şifreleme tekniklerine dayandığını ve bir kullanıcı bir hizmete kaydolduğunda yeni bir anahtar çiftinin oluşturulduğunu söyledi. Özel anahtar kullanıcının cihazında güvenli bir şekilde saklanır, genel anahtar ise hizmete kaydedilir. Kimlik doğrulama sırasında, kullanıcının cihazı özel anahtara sahip olduğunu kanıtlar ve bu anahtar ancak biyometri veya PIN tabanlı yöntemlerden biriyle kilidi açıldıktan sonra kullanılabilir.
Microsoft, yeni Windows 11 güncellemesindeki geçiş anahtarlarının kendi Edge, Google Chrome ve Firefox gibi popüler tarayıcılarla çalıştığını söylüyor. Bu özellik, Adobe, Amazon, DocuSign, GitHub, PayPal, Shopify ve Uber dahil olmak üzere WebAuthn genel anahtar kimlik doğrulama standardını halihazırda destekleyen diğer web siteleri ve uygulamalarla çalışacaktır. 1Password, geçiş anahtarlarını destekleyen kapsamlı bir hizmet dizini sağlar.
Destek iOS ve macOS’ta Mevcuttur
Apple, Eylül 2022’de iPhone’lar ve iPad’ler için iOS 16’nın ve ardından Safari tarayıcısının piyasaya sürülmesiyle geçiş anahtarı desteğini sunan ilk şirket oldu. Google, 2022’nin sonlarında Şifre Anahtarlarını Android’e ve daha yakın zamanda da Google Hesaplarına ekledi.
Apple, 18 Eylül 2023’te iOS 17’nin piyasaya sürülmesiyle ortak anahtarların özelliklerini genişleterek Apple Kimlikleri için destek ekledi; bu, ortak anahtarlar için etkinleştirilmiş herhangi bir sitede veya uygulamada parola kullanma ihtiyacını ortadan kaldırıyor. Ayrıca Apple, Apple İşletme Yönetimi veya Apple Okul Yönetimi kullanan kuruluşlar için oluşturulan Apple Yönetilen Kimlikler için destek ekledi.
Haziran ayında Apple’ın Dünya Geliştiriciler Konferansı’nda duyuruyu yapan Alex Sokolov, Yönetilen Apple Kimliklerinin macOS Sonoma, iOS 17 ve iPad OS 17’de iCloud Anahtar Zincirini desteklediğini söyledi.
“Yönetilen Apple Kimlikleri sayesinde kullanıcılarınız, iCloud Anahtar Zinciri ile tüm aygıtlarında parola anahtarlarını kullanmanın tüm avantajlarından yararlanır ve siz de onların hesaplarını yönetebilirsiniz” diye açıkladı. “Yönetilen Apple Kimliklerinin iCloud Anahtar Zincirinde saklanan parolalar paylaşılamaz.”
BT için Yönetilen Geçiş Anahtarları
Microsoft, BT ve güvenlik yöneticilerine, cihazın kilidini açma ve kimlik doğrulama girişimleri de dahil olmak üzere tüm Windows deneyiminde parola kullanımını önlemek için yeni bir politika sağlıyor. Microsoft Entra ID (Azure AD) ile birleştirilmiş makinelerdeki bir politika, şirket kaynaklarına yalnızca bir kullanıcı adı ve parolayla erişme seçeneğini ortadan kaldırır.
Microsoft, Windows Insider’lar için önizleme modunda da kullanılabilen, Config Refresh adı verilen ve Windows 11 cihazlarının varsayılan olarak her 90 dakikada bir otomatik olarak sıfırlanmasına veya 30 dakikaya kadar ayarlanmasına olanak tanıyan bir özellik sunacak. Buna, yapılandırılma şeklini ayarlamayı sürdüren politika yapılandırma hizmet sağlayıcısı (CSP) aracılığıyla erişilir. Politika CSP’si, geleneksel olarak Grup İlkesi ile belirlenen yüzlerce ayarı kapsar ve bunu Microsoft Intune gibi Mobil Cihaz Yönetimi aracılığıyla yapar.” Weston, BT yöneticilerinin gerektiğinde Yapılandırma Yenilemeyi duraklatabileceğini belirtti.
1Password CPO’su Steve Won, “Bu, en iyi güvenlik uygulamalarını otomatikleştirmek isteyen şirketler için büyük bir kazanç” diyor. “Apple, Google ve şimdi de Microsoft gibi teknoloji devlerinin parolasız kimlik doğrulamayı benimsemesiyle birlikte, geçiş anahtarlarının standart haline gelmesi yolunda bir domino taşı daha düştü.”