Parolaların Sonunun Başlangıcı
Yayınlanan: 2023-05-06Dün Google, “şifrenin başlangıcının sonunun” duyurusunu yaptı. Gelecek yıl bu zamanlar, artık şifre kullanmıyor olabilirsiniz.
Büyük Parola Yok Oluşu Başlıyor
Parolaların olmadığı bir dünya hayal edin.
Bu yeni, şifresiz dünyada hala tüm çevrimiçi hesaplarınıza giriş yapabilirsiniz. WordPress sitelerinden bankanıza, şifreler olmadan çevrimiçi hesaplar oluşturmak ve bunlara erişmek her zamankinden daha kolay ve daha güvenli.
Bu bir rahatlama olmaz mıydı? İyi haber: Küresel parola yok oluşu zaten yaşanıyor ve diğer taraftaki hayat daha iyi.
2022'nin sonlarında Apple, iOS 16 ve MacOS 13 "Ventura" için parola desteği sunmaya başladı.
Dün Google, "tüm büyük platformlardaki Google Hesaplarında geçiş anahtarları için destek sunduğunu" duyurdu.
iThemes olarak, Security Pro ürünümüzün WordPress'e geçiş anahtarları ve diğer parolasız kimlik doğrulama yöntemlerini getiren ilk ürün olmasından gurur duyuyoruz.
Şifresiz Yaşam Nasıl Mümkün?
Bir Apple Watch kullanmaya başladıktan yaklaşık bir ay sonra, MacOS'un güncel sürümünü çalıştıran masaüstü ve dizüstü bilgisayarlarımın kilidini otomatik olarak açmaya ve oturum açmaya başladı. Google hesaplarım ve iThemes Security ile kullanmak için MacOS geçiş anahtarı desteğini açmaktan fazlasını yaptığımı hatırlamıyorum. Görünüşe göre bu, saatimin güvenilir bir geçiş anahtarı cihazı olmasını da sağladı.
Daha önce, Apple Touch biyometrik oturum açma, sahip olduğum en erişilebilir parola alternatifiydi. Şimdi benim saatim. Bazen, yeterince uzun süre uzaktaysam yine de parolamı girmem gerekir, ancak Apple Kimliğime ve tüm Apple aygıtlarıma bağlı ortak bir geçiş anahtarı sayesinde saatim bunu çok daha az yaygın hale getiriyor.
YubiKey gibi donanım anahtarları, size aynı parolasız oturum açma deneyimini sunar — Apple aygıtı gerekmez.
Windows ve Android cihazlar, geçiş anahtarları sayesinde parolasız oturum açmayı da destekler.
Geçiş Anahtarları Nedir?
Geçiş anahtarları için açık kaynağa teşekkür edebilirsiniz. Parola teknolojisi, FIDO (“Fast Identity Online”) Alliance'ın belirlediği açık standartlara dayalıdır. W3C tarafından geliştirilen WebAuthn API, FIDO2 standardının bir parçasıdır. Geçiş anahtarlarının platformlar arası, parolasız kimlik doğrulamasını hızlı ve kolay bir şekilde gerçekleştirmesini sağlayan WebAuthn'dur.
Geçiş anahtarları, akıllı telefonunuz gibi bir kimlik doğrulama cihazı tarafından oluşturulan benzersiz, şifrelenmiş dijital tanımlayıcılardır. Genel anahtar kriptografisi, bir genel ve özel anahtar çifti oluşturmak için kullanılır. Bu anahtar çifti birlikte, kimlik doğrulama cihazında parolanızı oluşturur. Cihazlarınızın her birinin benzersiz bir özel anahtarı olabilir, ancak genel anahtarınız web üzerinden paylaşılır. Muhtemelen, ikisini de asla görmeyeceksiniz. Kimse yapmaz.
Telefonunuz veya geçiş anahtarını destekleyen başka bir cihaz, bir parola veya PIN girdiğinizde veya biyometrik bir sorgulamayı geçtiğinizde sizi yetkili bir kullanıcı olarak doğrular. Bunu yaptığınızda, telefonunuz ve geçiş anahtarı, ek cihazlar ve uygulamalar için bir anahtar işlevi görür. WordPress'te oturum açmak için dizüstü bilgisayarınızda tekrar bir parola girmek ve tekrar girmek yerine, telefonunuz bilgisayarınıza girmenize izin vermesini söyler. Daha sonra işletim sistemi, tarayıcınıza WordPress'ten girmenize izin vermesini ister - hem de şifre olmadan.
Cihazlarınız ve web siteleriniz geçiş anahtarları için ayarlanmışsa, bu çok sorunsuz bir deneyimdir. Bir PIN sağlamanız veya hızlı bir biyometrik sorgulamayı geçmeniz gerekebilir, ancak bu, parolalarınızı geri dönüştürmeden veya zayıf olanları kullanmadan üç farklı giriş formu doldurmaktan çok daha kolaydır. Ve iki faktörlü kimlik doğrulamadan (2FA) nefret ediyorsanız, artık onu kullanmanıza gerek yok. 1
Parolalar Neden Parolaların Yerini Alacak?
Başlangıçta, geçiş anahtarları, parolalar ve 2FA'nın yanı sıra bir kimlik doğrulama seçeneği olarak ortaya çıkıyor. Herhangi birini kullanabilirsiniz. Ancak zamanla, çok az kişi güvenli olmayan parolaları korumak veya zaman alan 2FA kodlarıyla uğraşmak isteyecektir. Geçiş anahtarları, aşağıdaki nedenlerle hızla tercih edilen seçenek haline gelecektir:
- Arttırılmış güvenlik. Geçiş anahtarlarının parolaların yerini almasının başlıca nedenlerinden biri, sundukları gelişmiş güvenliktir. Çoğu veri ihlali, zayıf veya çalınan parolalardan kaynaklanır ve geleneksel parola tabanlı kimlik doğrulamanın güvenlik açığını vurgular. Geçiş anahtarlarının arkasındaki açık anahtar kriptografisinin kırılması çok daha zordur.
- Daha İyi Kullanıcı Deneyimi. Çevrimiçi hesaplarınız için birçok karmaşık parolayı hatırlamak zor olabilir ve genellikle kötü parola uygulamalarına yol açar. Geçiş anahtarları, kimlik doğrulama sürecini basitleştirir. Geçiş anahtarı kimlik doğrulamasını destekleyen herhangi bir hesaba erişmek için yalnızca geçiş anahtarınızı saklayan bir cihaza ihtiyacınız vardır. Bu kullanışlı kullanıcı deneyimi, geçiş anahtarlarının güvenli bir kimlik doğrulama yöntemi olarak benimsenmesini teşvik eder.
- Parola Yöneticileri İsteğe Bağlı. Geçiş anahtarları, geleneksel parola yöneticilerine olan ihtiyacı ortadan kaldırmasa bile azaltabilir. Parola yöneticileri, birden çok parolayı saklamaya bir alternatif sunarken, ek riskler de getirir. Bu parola kasaları tek bir hata noktası haline gelebilir. LastPass'ta gördüğümüz gibi, ihlal edilmiş bir parola yönetim platformu tüm müşteri hesaplarını, parolalarını ve kişisel bilgilerini ifşa edebilir.
Parolasız Gelecek: Nasıl Görünecek?
Parolaların geçiş anahtarlarına göre gölgelenmesinin üç büyük avantajı vardır, ancak bunların ortak yönü, geçiş anahtarlarının hem güvenlik hem de basitliğe fayda sağlamasıdır.
Artılar
- Kesintisiz Kimlik Doğrulama. Geçiş anahtarları daha yaygın hale geldikçe, kimlik doğrulama ve çevrimiçi hizmetlere erişim süreci giderek daha sorunsuz hale gelecektir. Kullanıcılar, şifre saklama cihazlarını veya parmak izi veya yüz tanıma gibi biyometrik tanımlama yöntemlerini kullanarak hesaplarında oturum açabilecekler.
- Çok Faktörlü Kimlik Doğrulama Kolaylaştı. Geçiş anahtarları, kullanıcının bildiği bir şeyi (geçiş anahtarı) kullanıcının sahip olduğu bir şeyle (geçişi saklayan cihaz) birleştirerek doğal olarak çok faktörlü kimlik doğrulamayı (MFA) destekler. MFA'nın kimlik doğrulama sürecine bu kusursuz entegrasyonu, kullanıcı deneyiminden ödün vermeden daha güvenli bir çevrimiçi ortama yol açacaktır.
- Veri İhlallerinde Azalma. Geçiş anahtarları, kimlik doğrulama için yeni standart haline geldikçe, zayıf veya çalınan parolalardan kaynaklanan veri ihlallerinin sayısı muhtemelen azalacaktır. Geçiş anahtarları tarafından sağlanan gelişmiş güvenlik, siber suçluların kullanıcı hesaplarını tehlikeye atmasını zorlaştıracak ve daha güvenli bir dijital ortama yol açacaktır.
Şimdiye kadar, güvenli kimlik doğrulamanın iyi bir kullanıcı deneyimiyle gelmesi nadirdi. Geçiş anahtarları büyük bir istisnadır. Bu harika, ama her zaman olumsuzluklar vardır.
Dezavantajları
- Sofistike Kimlik Avı ve Sosyal Hackleme. Geçiş anahtarlarını çalmak ve kırmak neredeyse imkansız olabilir, ancak suçlular güvenlik arttığında asla pes etmezler — yeni araçlara uyum sağlarlar ve istismar etmek için ihmal edilmiş zayıf noktalar bulurlar. Bugün yapay zeka araçları, herkesin herhangi bir dilde akıcı görünmesini kolaylaştırıyor; bu, başkalarını kendilerine güvenmeleri için kandırmak isteyenler için çok büyük bir değer. Büyük parola ihlalleri geçmişte kalabilir, ancak kimlik avı ve sosyal bilgisayar korsanlığı daha karmaşık ve yaygın hale gelebilir.
- Fiziksel Güvenlik ve Gizlilik. Apple cihazlarım, solak kızım saatimi diğer elindeki küçük bileğine taktığında ben olmadığımı anlayamıyor. Tek ihtiyacı olan benim saatim ve bilgisayarıma giriş yapmak için 4 haneli PIN. 2 Bunu bir hırsız da yapabilir, polis de yapabilir. 3 Cihazlarımızla olan ilişkilerimiz fiziksel olarak daha karmaşık hale geldikçe, kişisel mahremiyetle ilgili birçok zor soru ortaya çıkıyor. 4 Halihazırda düşüşte olan çevrimiçi anonimlik ortadan kalkabilir.
- İnsanlar Geçiş Anahtarlarını da Paylaşacak. Parola yöneticileri, nasıl yapılırsa yapılsın korkunç bir güvenlik uygulaması olan parolaları paylaşmak için yaygın olarak kullanılır. Paylaşılan bir parola, sonunda çalınan bir parolaya dönüşecektir. Neyse ki, bir iş arkadaşınıza veya arkadaşınıza geçiş anahtarını bırakın ezberlemek, yazmak veya e-postayla göndermek bir yana, görmeniz bile pek olası değildir. Ancak, şimdi geçiş anahtarlarını depolamak ve hatta paylaşmak için bazı parola yöneticilerini kullanabilirsiniz. Bunu yapmanın güvenli yolları var, ancak pratikte ne kadar işe yarayacağından şüpheliyim. Nasıl yaparsanız yapın, sırları paylaşmak doğası gereği güvensizdir. (Paylaşılan bir sır artık bir sır değildir.) Hassas verileri veya bilgileri paylaşmak, büyük ölçüde insanlar arasındaki güvene dayanır ve bu her zaman zayıf bir bağdır — yukarıdaki 1. ve 2. noktalara bakın.
Güvenlik Düşüncesine Karşı “Beni Düşündürme”
Parolasız gelecekte bizi bekleyen zorluklar ne olursa olsun, oraya gidiyoruz. Parolalar bozulur — kimlik doğrulama için berbat bir yöntemdir ve ortadan kalkmaları gerekir — ne kadar erken olursa o kadar iyi. Parolasız kimlik doğrulamayı benimsemek, çevrimiçi deneyimlerimizi iyileştirecek ve dijital yaşamlarımızı korumaya yardımcı olacaktır. Parola güvenliği ve yönetimi konusunda bu kadar endişelenmenize gerek kalmaması büyük bir rahatlama.
Öte yandan, “Beni Düşündürme”, kullanıcı deneyimi ve arayüz tasarımında mükemmel bir hedeftir, ancak güvenlik açısından bir felaket olabilir. Tasarımdaki sadelik, kullanıcılara verimlilik sağlar ve onlara daha az bilişsel yük getirir. Geçiş anahtarları bu basitliği son derece iyi bir şekilde sunar. Ancak sürekli gelişen tehditler dünyasında potansiyel güvenlik riskleri konusunda bizi daha fazla kayıtsız bırakmamalılar.
Parolalar ve bunların tüm büyük platformlarda benimsenmesiyle güçlendirilen web'in geleceği, çevrimiçi hizmetlere erişirken daha güvenli ve kullanıcı dostu bir deneyim olacaktır. Karmaşık şifreleri hatırlamak (ve bunları paylaşmak veya geri dönüştürmek) için mücadele ettiğiniz günler yakında geçmişte kalacak ve bu kesin bir gelişme.
Temel güvenlik standartlarımızı da yükseltmenin tam zamanı. Geçiş anahtarları bunu yapacak ve bunun siber suç, dolandırıcılık ve kimlik hırsızlığını daha zor ve nadir hale getirmesine yardımcı olacağını umuyorum. Bunları şimdi kullanmaya başlayın ve WordPress siteleriniz varsa, geçiş anahtarlarını bu sitelerde oturum açmak için bir seçenek haline getirmeyi düşünün. Güvenliği de düşünmeye devam edin. Parolaların olmadığı yeni bir dünyada güvenliğin ne anlama geldiğini ve tehditlerin nasıl değişebileceğini sorun.
notlar:
- "Kendimi dijital yaşamımın dışında tuttum" ve "Gmail 2FA, evsizlerin yılda üç kez erişimini kalıcı olarak kaybetmesine neden oluyor" gibi raporlar, iki faktörlü kimlik doğrulamanın dezavantajlarını gösteriyor.
- Bir Apple Watch, Touch ID gibi bir biyometrik kimlik doğrulama olmadan en iyi güvenlik anahtarı olmayabilir. Apple'ın yakın tarihli bazı patentlerine dayanarak, Touch ID'nin avuç içi tabanlı bir sürümü üzerinde çalışılıyor olabilir.
- Electronic Frontier Foundation, kolluk kuvvetlerinin çok daha fazla cihazda ve çevrimiçi hesapta arama yapmak için bir cihaza geçiş anahtarı kullanması durumunda olası insan hakları ihlalleriyle ilgili endişelerini dile getirdi.
- Saatler ve benzeri cihazlar tarafından toplanan biyolojik verilerden benzersiz biyometrik imzaların belirlenmesi, COVID gibi hastalıkların erken başlangıcını tespit edebildikleri için de mümkün olabilir.
Dan Knauss, StellarWP'nin Teknik İçerik Genel Sorumlusudur. 1990'ların sonlarından beri açık kaynakta ve 2004'ten beri WordPress ile çalışan bir yazar, öğretmen ve serbest çalışan.