Fast IDentity Online (FIDO) Alliance, farklı sağlayıcılar arasında geçiş anahtarlarının güvenli aktarımını sağlamayı amaçlayan yeni bir spesifikasyonun çalışma taslağını yayınladı.
Geçiş anahtarları, kullanıcıların uzun karakter dizilerini hatırlamalarına veya yönetmelerine gerek kalmadan kimliklerini doğrulamak için genel anahtar şifrelemesinden yararlanan, parolasız bir kimlik doğrulama yöntemidir.
FIDO, oturum açma işlemlerinin şifre tabanlı kimlik doğrulamaya göre %75 daha hızlı ve %20 daha başarılı olduğunu bildirerek bu yeni teknolojinin faydalarını vurguluyor.
Kullanışlı ve kimlik avına karşı dayanıklı olmasına rağmen, geçiş anahtarlarıyla ilgili en büyük zorluklardan biri, bunları farklı platformlar ve hizmet sağlayıcılar arasında aktarmanın güvenli bir yolunun bulunmamasıdır.
Örneğin, Google’ın Şifre Yöneticisi’nde geçiş anahtarları oluşturan kullanıcılar, cihaz değiştirirken bunları güvenli bir şekilde Apple’ın iCloud Anahtar Zincirine aktaramadı; bu da bir tür “satıcıya kilitlenme” ve hatta “cihaza kilitlenme” durumu yarattı.
Bu nedenle, geçiş anahtarları daha fazla özgürlük sağlamak yerine kullanıcı deneyiminde istenmeyen parçalanma yarattı ve bunları farklı bir platforma taşımaya çalışırken güvenlik riskleri ortaya çıkardı.
Geçiş anahtarı taşınabilirliğini standartlaştırma
FIDO’nun önerdiği yeni spesifikasyon, temel olarak kimlik bilgisi aktarımı için yaygın olarak kabul edilen güvenli standartların eksikliğini gidererek, sağlayıcılar arasında geçiş yaparken karşılaşılan komplikasyonları veya pratik sınırlamaları ortadan kaldırıyor.
Spesifikasyonlar, Kimlik Bilgisi Değişim Protokolü (CXP) ve Kimlik Bilgisi Değişim Formatı (CXF) olmak üzere iki ayrı taslakta sunulmaktadır.
CXP, Diffie-Hellman anahtar değişimini ve hibrit genel anahtar şifrelemesini (HPKE) kullanarak farklı sağlayıcılar arasında kimlik bilgilerinin güvenli bir şekilde aktarılmasına yönelik bir yöntem tanımlar, böylece veriler aktarım sırasında güvence altına alınır.
CXF, geçiş sırasında kimlik bilgilerinin sağlayıcılar arasında güvenli aktarımı için standartlaştırılmış bir yapı tanımlayarak birlikte çalışabilirliği ve veri bütünlüğünü sağlar. Önerilen formatlar ZIP içinde JSON’u içerir ve her parça CXP tarafından belirtildiği şekilde şifrelenir.
Taslaklar, FIDO ortak üyelerinden uzmanların ve Dashlane, Bitwarden, 1Password, NordPass ve Google gibi paydaşların katkısıyla geliştirildi.
Google, Microsoft, Apple, Visa, Mastercard, PayPal, Intel, Samsung, Meta ve Amazon gibi teknoloji dünyasının liderlerinden oluşan FIDO Alliance, yeni spesifikasyonun bugün geçiş anahtarlarının benimsenmesini hızlandıracağını umuyor. 12 milyardan fazla çevrimiçi hesabı korumak için kullanılıyor.
Önerilen spesifikasyonlar şu anda taslak halindedir ve değişebilir.
Spesifikasyonların formülasyonuna katılmak isteyenler bu GitHub sayfası aracılığıyla geri bildirimlerini sağlayabilirler. Taslaklar, eklemeleri ve değişiklikleri yansıtacak şekilde katılaşana kadar kademeli olarak güncellenecektir, ancak şu anda bunun için herhangi bir zaman çizelgesi sağlanmamıştır.