Passkeys (Geçiş Anahtarları) Hakkında Bilmeniz gereken her şey

Passkeys (Geçiş Anahtarları) Hakkında Bilmeniz gereken her şey

Muhtemelen birçoğunuz geçiş anahtarlarına zaten aşinasınızdır. Ancak pek çok insan hâlâ bunu yapmıyor. Son birkaç yıldır 'geçiş anahtarı' terimini gözden kaçırmak çok zorlaştı, özellikle de teknoloji hakkında okuyorsanız. Bu terim aynı zamanda şifrelerle ilgili olarak da sıklıkla kullanılıyor, çünkü birçok kişi bunun şifreleri sona erdireceğini söylüyor. Yani önemli olmalı, değil mi? Aslında öyle ama pek çok kişinin kafasını karıştırıyor gibi görünüyor. Bu yazıda, geçiş anahtarlarının ne olduğunu açıklamaya çalışacağız ve size onlar hakkında birçok bilgi sunacağız.

Geçiş anahtarları (Passkeys) nedir?

Geçiş anahtarları temel olarak hesaplarınızı daha da güvende tutması gereken parolalara alternatiftir. Ayrıca bunların kullanımı şifrelerden daha kolaydır. Kulağa harika geliyor değil mi? Geçiş anahtarları, en sevdiğiniz sitelere ve hizmetlere giriş yapmanızı sağlayan temel olarak farklı oturum açma kimlik bilgileridir. Kullanıcı adınız ve şifreniz yerine genel anahtar şifrelemesine güvenirler. Yani sahip olduğunuz bir cihazdan sitelere/hizmetlere giriş yaptığınız sürece hiçbir şeyi hatırlamanıza gerek yok. Cihazlarınız, bir hesapta her oturum açtığınızda temel olarak tek kullanımlık bir mantıksal kimlik bilgisi alır. Bu şekilde çalınamazlar veya buna benzer bir şey yapılamazlar, dolayısıyla şifrelerden daha güvenlidirler.

Geçiş anahtarlarını (Passkeys) kim oluşturdu?

Geçiş anahtarları, Apple, Google, Microsoft, Intel, Amazon gibi şirketleri içeren bir endüstri grubu olan FIDO Alliance tarafından oluşturuldu. Aslında Meta, Samsung, PayPal, 1Password, Dashlane, Mastercard ve çok daha fazlası. Bu şirketlerin tümü şifrelerin sorun olmaya başladığını fark etti ve bu nedenle şifre anahtarları oluşturuldu. Hepsi, işleri yalnızca daha güvenli değil, aynı zamanda kullanıcılar için daha kolay hale getirecek birleşik bir standart istiyordu. Geçiş anahtarları böyle doğdu. Her ne kadar 'açık anahtarlı şifreleme'den bahsedildiği göz önüne alındığında resmi açıklama biraz karmaşık gelse de, kullanıcı tarafında her şey çok basittir.

Geçiş anahtarları (Passkeys) neden var?

Geçiş anahtarları var çünkü parolalar temelde bir sorun haline geldi. İnsanların aynı, zayıf şifreleri tekrar tekrar kullanma alışkanlığı vardır ve bu da güvenlik sorunu yaratır. Bu nedenle şirketler şifreler için çeşitli talepler sunmaya başladı. Harflerin, sayıların ve simgelerin üçünün de şifreye dahil edilmesi gibi talepler. Bunun da ötesinde, şifreler için belirli uzunluklar talep etmeye başladılar. Bunun kullanıcılar için farklı düzeyde bir sorun yarattığını söylemeye gerek yok. Çeşitli web sitelerinin gereksinimlerine bağlı olarak yeni şifreler oluşturmak zorunda kaldılar ve bu da takip edilmesi gerçekten zor ve sinir bozucu olan, giderek daha fazla farklı kullanıcı adı ve şifre kombinasyonları yarattı. Üstelik kimlik avı dolandırıcılıklarına karşı da savunmasızlar. Ayrıca, şifre yöneticisi sağlayıcınız hata yaparsa oturum açma bilgileriniz risk altında olur. Sonuç olarak, şifreler bir sorun haline geldi, dolayısıyla şifre anahtarları kullanılmaya başlandı.

Geçiş anahtarı (Passkey) sağlayıcıları kimlerdir?

Geçiş anahtarı sağlayıcısı, temel olarak geçiş anahtarlarının oluşturulmasını, yönetilmesini ve kullanılmasını sağlayan bir varlıktır. Birinci taraf ve üçüncü taraf geçiş anahtarı sağlayıcıları vardır. Birinci taraf şifre anahtarı sağlayıcıları, örneğin iCloud Anahtar Zinciri ve Google Şifre Yöneticisi gibi şifre anahtarı oluşturmaya ve yönetmeye olanak tanıyan işletim sistemleridir. Üçüncü taraf şifre yöneticileri temel olarak API'ler aracılığıyla platformla entegre olur; bunlar 1Password, Dashlane, NordPass, Proton Pass, Samsung Pass ve daha fazlasıdır.

Hangi uygulamalar şifre anahtarlarını (Passkeys) kullanıyor?

Hesapların çalışabilmesi için elbette geçiş anahtarlarını desteklemesi gerekiyor. Birçoğu bunu yapmıyor ancak sektördeki büyük oyuncular, en azından teknoloji dünyasında onları destekliyor. Google, Microsoft, PayPal, TikTok vb. Örneğin Google Hesabınız üzerinden giriş yaptığınız sürece şifre anahtarlarını kullanabilirsiniz. Bu işin içinde çok sayıda şirket var ve bunların büyük çoğunluğu şifrelere bağlı kalıyor. FIDO İttifakının şu an bulunduğu noktaya geçiş anahtarlarını alması kolay olmadı. Şifreler ölmekten çok uzak.

Geçiş anahtarları (Passkeys) nasıl çalışır?

Birinci taraf şifre anahtarı sağlayıcınız olarak Google'ı kullanmak istediğinizi varsayalım. Bu durumda işler Google Şifre Yöneticisinden geçer. Google'ın şifreyle oturum açmak için kimlik doğrulayıcınızı (akıllı telefonunuz, tabletiniz veya belki de masaüstü bilgisayarınız olabilir) onaylaması gerekecektir. Özel ve genel anahtarlar kimlik doğrulayıcınız tarafından oluşturulur ve genel anahtar, giriş yapmak istediğinizde kullanılmak üzere bir şirketin web sitesinde saklanır. Özel anahtar bir sır olarak kalır ve cihazınızda saklanır.

Oturum açma zamanı geldiğinde, geçiş anahtarı sağlayıcınız kimlik doğrulayıcıya bir sorgulama gönderecek ve bunu çözmek özel anahtarınıza kalacak ve ardından sunucuya bir yanıt gönderecektir. Bu işlem tamamlandıktan sonra, giriş yapmaya çalıştığınız hesaba erişebileceksiniz. Kullanıcı açısından bakıldığında, akıllı telefonunuzda yalnızca parmak izinizin gerekli olacağı şekilde ayarları yapabilirsiniz, hepsi bu.

Bir cihazı değiştirdiğinizde ne olur?

Dolayısıyla, şifre anahtarlarının cihazınıza bağlı olduğu göz önüne alındığında, ör. Bir akıllı telefon kullanıyorsanız, akıllı telefonunuzu değiştirirseniz, yenisine yükseltirseniz ne olacağını merak ediyor olabilirsiniz. Parolalarla ilgili olarak bu tam olarak bir sorun değildir, çünkü onları hatırlamanız gerekir, bu nedenle onları başka bir yere yazmanız yeterlidir. Geçiş anahtarlarıyla da tam olarak bir sorun değil. Bunları kolayca yeni cihazınıza aktarabilirsiniz.

Örneğin Android'de yeni telefonunuzu kurduğunuzda, diğer verilerinizle birlikte uçtan uca şifreleme anahtarlarınız da ona aktarılacaktır. Verilerinizi gerçekten aktardığınızdan emin olun. Cihazınıza zarar verirseniz veya kaybederseniz ve verilerine erişemezseniz ne olacağını merak ediyorsanız bu da çok önemli değil. Geçiş anahtarlarınızı yine de çevrimiçi bir yedeklemeden kurtarabilirsiniz. Elbette bunu yapabilmek için PIN'inizi, şifrenizi veya düzeninizi sağlamanız gerekecektir. İOS'ta süreç biraz farklıdır ancak geçiş anahtarlarınızı kurtarmak da sorun değildir.

Geçiş anahtarlarını (Passkeys) nerede kullanabilirsiniz?

Şu anda tonlarca site ve hizmet geçiş anahtarlarını destekliyor. Durum birkaç yıl öncesine göre çok daha iyi. Hala tam listenin ne olduğunu merak ediyorsanız, 1Password'ün gerçekten güzel bir dizini var, isterseniz bir liste. Buraya tıklayarak erişebilirsiniz ve ayrıca aranabilir. Belirli bir sitenin/hizmetin geçiş anahtarlarını destekleyip desteklemediğini merak ediyorsanız, bunu yazın ve işte bu kadar. Veya alfabetik olan listede gezinebilirsiniz. Her iki durumda da ihtiyacınız olan bilgiyi kolayca alacaksınız.

Şifreleri (Passkeys) değiştirmeleri bekleniyor mu?

Birçok kişi geçiş anahtarlarının parolaların yerini alacağını söylüyor. Bu, şifrelerin tamamen ortadan kalkacağı anlamına gelmiyor ancak şifre anahtarları, oturum açmada baskın bir yöntem olarak kullanılacak. Sonuçta onların yaratılış amacı da buydu. Peki bu gerçekleşecek mi? Kullanım FIDO'nun istediği kadar hızlı yayılmadığı için bunu zaman gösterecek. Geçiş anahtarları aslında daha kolay ve teknik olarak daha güvenli bir oturum açma yöntemi olmasına rağmen, insanlar hâlâ çoğunlukla parola kullanıyor. Önümüzdeki yıllarda işlerin nasıl gideceğini göreceğiz ancak FIDO plana sadık kalacak gibi görünüyor.

Kaynak: AH