dunyadan
Aktif Üye
Büyük çevrimiçi hizmet sağlayıcıları parolalardan bıkmış durumda. Microsoft, Apple, Google ve Co. güçlerini birleştirdi ve şifresiz bir gelecek istiyor. Sözde geçiş anahtarlarının bunu mümkün kılması gerekiyor. Halihazırda neler oluyor ve daha neler olacak? c’t 3003, parola ardılına daha yakından baktı.
Reklamcılık
videonun transkripti
(Not: Yukarıdaki videoyu izleyemeyen veya izlemek istemeyen kişiler için hazırlanmış bonus içeriktir. Video parça bilgisi transkripte yansıtılmamaktadır.)
Bakın, bu benim, güvenli bir şifre ile geliyorum. Bunu sizin yerinize yapan ve sonra kaydeden araçlar da var, örneğin 1Password, Bitwarden, cep telefonu sağlayıcınızın dahili anahtarlık. Ama daha da iyisi var. geçiş anahtarları! Geleneksel şifrelerin aksine, geçiş anahtarları çok daha kullanışlı ve aynı zamanda daha güvenlidir, çünkü sunucularda normal parolalar hashlenirken, basitçe ifade etmek gerekirse, geçiş anahtarıyla birlikte iki kripto anahtarı vardır. Yalnızca sizin sahip olduğunuz ve sağlayıcının da sahip olduğu bir tane. Bu sizi yalnızca kimlik avına karşı korumakla kalmaz, aynı zamanda genel olarak daha güvenli hale getirir. Sunucu saldırıya uğrasa bile kimse parolaları yeniden oluşturamaz. Ve bu birkaç yıl içinde ortaya çıkabilecek yeni bir icat değil, bugün bile mümkün. Örneğin Google, Microsoft veya Adobe’de. Ve önümüzdeki aylarda çok şey olacak.
Prensip olarak geçiş anahtarları, akıllı telefonunuzda, bilgisayarınızda veya özel bir USB çubuğunda saklanan sanal anahtarlardır. Ve sonra tek yapmanız gereken parmak izinizi veya Face ID’nizi kullanmak ve giriş yapmak. Hepsinden iyisi, bir daha asla şifre hatırlamak veya kimlik avı web sitelerine düşmek zorunda kalmayacaksınız. Bu tam olarak nasıl çalışıyor ve doğrudan nasıl kullanabilirsiniz, bizi izlemeye devam edin!
Sevgili bilgisayar korsanları, sevgili internet sörfçüleri, buraya hoş geldiniz…
Yani şifrelerle ilgili sorun. İnternetten daha uzun süredir varlar ve bu nedenle İnternet ve siber suç gerçekliğine uyarlanmış değiller. Kendini tanımlamak için bir kullanıcı adı ve bir dizi sayı, harf ve özel karakter kullanma ilkesi gerçekten güvenli değildir. Çünkü birinin sağlayıcının sunucularına erişimi varsa veya şifreniz bir şekilde sızdırılmışsa, suçlular bununla pek çok aptalca şey yapabilir. İşte bu yüzden iki faktörlü kimlik doğrulama uzun zamandır ortalıkta. Çevrimiçi bankacılık yaptığınızda onları bilirsiniz, ancak Google, Apple ve diğer büyük sağlayıcılar da artık temel olarak bunu kullanıcılarına dayatıyor. Bu, oturum açmak için kullanıcı adınız ve parolanıza ek olarak ikinci bir faktöre ihtiyacınız olmasını sağlar. Örneğin Google’da bu, akıllı telefonlarda Google Play hizmetleri aracılığıyla yapılan bildirimlerle çözülür. Apple ile başka bir Apple cihazında Apple Kimliğinizle bir kod alırsınız ve “Onayla”ya tıklamanız gerekir. Ve sözde eski moda SMS bile, sadece adınız ve şifrenizle kaydolmaktan kesinlikle daha güvenlidir.
Geçiş anahtarlarıyla sürmek daha da güvenlidir. Arkasındaki teknoloji uzun zamandır ortalıkta. Kimlik doğrulama işlemi FIDO2, WebAuthn ve CTAP2’ye dayalıdır ve FIDO Alliance tarafından geliştirilmiştir. 2012’den beri varlar ve Apple, Google, Intel, Microsoft, PayPal ve Federal Bilgi Güvenliği Ofisi BSI’yı içeriyorlar. Başka bir deyişle, ürünlerinde siber güvenlikle bir şekilde ilgisi olan ve dolayısıyla insanların mümkün olan en iyi şekilde korunmasından da çıkarı olan tüm önemli oyuncular.
Reklamcılık
Bununla birlikte, ondan ortaya çıkan önceki FIDO standartlarıyla ilgili sorun, çoğu insan için çok karmaşık olmalarıdır. Fazladan donanım satın almanız veya çoğu durumda her cihaz için fazladan bir anahtar oluşturmanız gerekir. Ve muhtemelen en iyisini siz bilirsiniz, çevrenizdeki çoğu kişiye neden her hizmet için kendi şifrelerine ihtiyaç duyduklarını ve neden “kızımın adı 123” olmaması gerektiğini açıklamakla yetiniyorsunuz. Bu kadar küçük bir ekstra çubukla geldiğinizde herhangi bir coşku olmayacağı açıktır. Ancak bu artık geçiş anahtarlarıyla değişebilir, çünkü pratikte kolaylık açısından basit parolalarla ciddi şekilde rekabet edebilirler. Çünkü geçiş anahtarları, öncekilerin katı güvenlik gereksinimlerinden farklıdır. Kripto anahtarları, QR kodu ve Bluetooth aracılığıyla akıllı telefon aracılığıyla PC’de senkronize edilebilir veya kullanılabilir.
Ancak bir geçiş anahtarını paroladan bu kadar farklı yapan nedir? Evet, temelde şu şekilde çalışır: Çevrimiçi olarak bir sağlayıcıda oturum açmak istiyorsanız ve Parola’yı seçerseniz, web hizmeti cihazınıza rastgele bir veri dizisi verir, yani Challenge. Ardından cihazınız bu sorgulamayı yalnızca cihazınızda depolanan özel anahtarla imzalar ve ardından web hizmeti, imzanın gerçekten sizin özel anahtarınızdan gelip gelmediğini kontrol etmek için genel anahtarı kullanabilir. Ve prosedür size tanıdık geliyorsa, öyle olabilir, çünkü onlarca yıldır kurulmuştur. Açık anahtarlı şifreleme anlamına gelir ve örneğin HTTPS veya posta şifreleme veya anlık mesajlaşma için kullanılır. Ve bu prosedürü şimdi kitlesel bir temele oturtmak için, önde gelen sağlayıcılar bunu sistemlerine dahil etmeye ve bir geçiş anahtarı olarak pazarlamaya karar verdiler. Parolanın aksine, Parola ile paylaşılan bir sır yoktur – yani hem sağlayıcının hem de kullanıcının bildiği bir karakter dizisi. Özel anahtar yalnızca size aittir ve bu nedenle ele geçirilemez. Yani bu, kaputun altında daha güvenli ama kullanımı çok daha rahat. Oturum açtığınızda böyle görünüyor. Basitçe oturum açma bilgilerini girin ve ardından geçiş anahtarıyla oturum aç’a tıklayın, parmağınızı takın veya yüzünüzü tarayın ve giriş yapın. Sağlayıcının oturum açma prosedürünü nasıl kurduğuna bağlı olarak, bazılarında durumlarda bir oturum açma adı bile girmenize gerek yoktur, ancak parolayı doğrudan kullanabilirsiniz.
Kimlik avı da artık geçiş anahtarlarıyla ilgili bir sorun değil, çünkü geçiş anahtarını yalnızca onu oluşturduğunuz web sitesinde kullanabilirsiniz. Yani PayPal geçiş anahtarı yalnızca PayPal.com’da çalışır, PayPal-FakeAccount-sonstwas.org veya başka bir yerde çalışmaz. Bu nedenle kimlik avına karşı otomatik olarak korunursunuz. Ve az önce söylediğim gibi, geçiş anahtarları bugün, örneğin Google’da zaten kullanılabilir. Bu videodan sonra doğrudan hesap ayarlarına gidebilir ve ardından güvenlik ve ardından geçiş anahtarlarına tıklayarak burada bir geçiş anahtarı oluşturabilirsiniz. Ve zaten bir geçiş anahtarınız var.
Önce denemek isterseniz passkey.org adresine gidebilirsiniz. Orada sadece bir oturum açma adı girin ve ardından bunun için bir geçiş anahtarı oluşturun. Ardından, Macbook’tan iPhone’a örneğimizde başka bir cihaza gidersiniz ve ardından oturum açma adını buraya girersiniz ve ardından geçiş anahtarının senkronizasyonunun işe yaradığını görebilirsiniz. Apple geçiş anahtarlarını şifreli iCloud yedeğine kaydeder ve oturum açtığınız tüm Apple aygıtlarında eşitler. Bu, iPhone’unuz bozulur ve yeni bir tane alırsanız, tüm geçiş anahtarlarının doğrudan üzerine kaydedildiği anlamına gelir. Birden fazla Apple cihazı kullanıyorsanız, geçiş anahtarlarınız otomatik olarak tüm cihazlarda saklanır. Google ayrıca bu senkronizasyonu, yani birkaç Android cihaz arasında sunmaktadır. Bugün itibariyle, bu platformlar arasında mümkün değildir. Bu, geçiş anahtarlarını Windows bilgisayarlarınıza, Android akıllı telefonlarınıza veya iPad’inize ayrı ayrı kaydedebileceğiniz, ancak aynı geçiş anahtarlarını kullanamayacağınız anlamına gelir.
Bununla birlikte, bazı şifre yöneticisi sağlayıcıları, yakında geçiş anahtarı işlevlerine sahip sürümler sunacaklarını zaten duyurdular. Ve bununla geçiş anahtarları Windows, Linux, Android ve Apple cihazları arasında da senkronize edilebilir. 1Password geçiş anahtarlarını bile beta sürümüne entegre etti. Ve hemen hemen tüm diğer iyi bilinen parola yöneticisi sağlayıcıları aynı şeyi zamanında yapmak istiyor. Ve en geç, tüm insanlar geçiş anahtarlarını tüm cihazlarında senkronize etme fırsatına sahip olacak. Ancak geçiş anahtarlarının tüm cihazlarda kayıtlı olması gerekmez. Aslında dijital anahtar olarak akıllı telefon yeterlidir. Bu, geçiş anahtarlarını günlük yaşamda kullanmanın günümüzdeki en kolay yoludur. Çünkü geçiş anahtarlarını destekleyen hizmetler için akıllı telefonunuzu kullanmayı tercih edebilirsiniz. Ardından kamera uygulamasını açmanız, QR kodunu taramanız ve aynı teknolojiyi kullanarak oturum açmanız yeterlidir.
Bu arada, geçiş anahtarları için gereksinimler o kadar yüksek değil. iOS 16’ya sahip daha yeni bir iPhone, yani iPhone 8 veya üstü yeterlidir. Veya dediğim gibi, sürüm 9 veya üzeri bir Android akıllı telefon, en azından macOS Ventura’ya sahip bir Mac. Windows’ta geçiş anahtarları, yerleşik Windows Hello kimlik doğrulama hizmeti aracılığıyla Windows 10 ve 11’de çalışır. Akıllı telefonunuzu burada kullanmak istiyorsanız, şu anda Chrome, Edge veya Opera One gibi Chromium tabanlı tarayıcıları kullanmalısınız. Bu işlev, yalnızca gelecekteki bir güncelleme ile sisteme düzgün bir şekilde entegre edilmelidir. Umarım Microsoft yakında burada aynı şeyi yapar.
Bir sağlayıcıdan geçiş anahtarlarına geçtikten sonra mümkünse yapmanız gereken şifreyi oradan kaldırın. Ne yazık ki, bugün geçiş anahtarlarını zaten destekleyen tüm sağlayıcılar için durum açık ara bu değil. Microsoft, bugünden parolaları kaldırabileceğiniz birkaç sağlayıcıdan biridir. NAS üreticisi Synology, bir adım daha ileri giderek, orada bir geçiş anahtarı ayarladıktan sonra bir uyarıdan sonra parolayı otomatik olarak kaldırır. Ancak artık geçiş anahtarlarına gerçekten erişiminiz yoksa, örneğin cep telefonunuz bir traktör tarafından ezildiyse, kurtarma işlevlerini kullanarak hizmetlerdeki hesaba daha önce olduğu gibi yeniden erişebilirsiniz. Klasik olarak e-posta veya SMS koduyla. Bu yüzden Passkey kullansam da kullanmasam da hesap bilgilerinin güncel tutulması da önemlidir.
Halihazırda geçiş anahtarlarını destekleyen tüm hizmetlerin bir listesi www.passkeys.directory adresinde bulunabilir. Ve şimdi geçiş anahtarlarını web uygulamalarıma kendim nasıl entegre edebileceğimi merak ediyorsanız, bu c’t makalesine bir göz atın. Orada ayrıntılı olarak anlatılıyor ve ayrıca FIDO Alliance İcra Direktörü ile bir c’t röportajı var. Her iki makaleyi de aşağıdaki açıklamada birbirine bağladık.
Vardığım sonuç: Parolalar, hâlihazırda sunuldukları yerlerde mevcut parolalara gerçek bir alternatiftir. Elbette, henüz herkes buna uymuyor ve bu, şu anda bir şifre yöneticisi ve mümkün olduğunca çok iki faktörlü kimlik doğrulamadan kaçmanın bir yolu olmadığı anlamına geliyor. Ancak bu hızla değişebilir: Apple, Microsoft ve Google şifresiz bir gelecek üzerinde anlaştılar ve bunun geliştirme üzerinde büyük bir etkisi olabilir. Ne de olsa Apple ve Google, “Burada, App Store veya Google Play Store’da sunduğumuz tüm uygulamalar geçiş anahtarlarını desteklemelidir!” diyebilirdi. Ve sonra çok sayıda hizmet, kısa sürede geçiş anahtarlarını destekleyecektir. Evet, sen ne düşünüyorsun? Zaten geçiş anahtarları kullanıyor musunuz? Ve güvenli şifrelerle ilgili deneyimleriniz nelerdir? Passkeys’i daha önce hiç duydunuz mu? Yorumlara yazmayı ve tabii ki abone olmayı unutmayın.
c’t 3003, c’t’in YouTube kanalıdır. c’t 3003’teki videolar bağımsız içeriktir ve c’t dergisindeki yazılardan bağımsızdır. Editörler Jan-Keno Janssen ve Lukas Rumpler ile video yapımcıları Şahin Erengil ve Pascal Schewe her hafta bir video yayınlıyor.
(ROM)
Haberin Sonu
Reklamcılık
videonun transkripti
(Not: Yukarıdaki videoyu izleyemeyen veya izlemek istemeyen kişiler için hazırlanmış bonus içeriktir. Video parça bilgisi transkripte yansıtılmamaktadır.)
Bakın, bu benim, güvenli bir şifre ile geliyorum. Bunu sizin yerinize yapan ve sonra kaydeden araçlar da var, örneğin 1Password, Bitwarden, cep telefonu sağlayıcınızın dahili anahtarlık. Ama daha da iyisi var. geçiş anahtarları! Geleneksel şifrelerin aksine, geçiş anahtarları çok daha kullanışlı ve aynı zamanda daha güvenlidir, çünkü sunucularda normal parolalar hashlenirken, basitçe ifade etmek gerekirse, geçiş anahtarıyla birlikte iki kripto anahtarı vardır. Yalnızca sizin sahip olduğunuz ve sağlayıcının da sahip olduğu bir tane. Bu sizi yalnızca kimlik avına karşı korumakla kalmaz, aynı zamanda genel olarak daha güvenli hale getirir. Sunucu saldırıya uğrasa bile kimse parolaları yeniden oluşturamaz. Ve bu birkaç yıl içinde ortaya çıkabilecek yeni bir icat değil, bugün bile mümkün. Örneğin Google, Microsoft veya Adobe’de. Ve önümüzdeki aylarda çok şey olacak.
Prensip olarak geçiş anahtarları, akıllı telefonunuzda, bilgisayarınızda veya özel bir USB çubuğunda saklanan sanal anahtarlardır. Ve sonra tek yapmanız gereken parmak izinizi veya Face ID’nizi kullanmak ve giriş yapmak. Hepsinden iyisi, bir daha asla şifre hatırlamak veya kimlik avı web sitelerine düşmek zorunda kalmayacaksınız. Bu tam olarak nasıl çalışıyor ve doğrudan nasıl kullanabilirsiniz, bizi izlemeye devam edin!
Sevgili bilgisayar korsanları, sevgili internet sörfçüleri, buraya hoş geldiniz…
Yani şifrelerle ilgili sorun. İnternetten daha uzun süredir varlar ve bu nedenle İnternet ve siber suç gerçekliğine uyarlanmış değiller. Kendini tanımlamak için bir kullanıcı adı ve bir dizi sayı, harf ve özel karakter kullanma ilkesi gerçekten güvenli değildir. Çünkü birinin sağlayıcının sunucularına erişimi varsa veya şifreniz bir şekilde sızdırılmışsa, suçlular bununla pek çok aptalca şey yapabilir. İşte bu yüzden iki faktörlü kimlik doğrulama uzun zamandır ortalıkta. Çevrimiçi bankacılık yaptığınızda onları bilirsiniz, ancak Google, Apple ve diğer büyük sağlayıcılar da artık temel olarak bunu kullanıcılarına dayatıyor. Bu, oturum açmak için kullanıcı adınız ve parolanıza ek olarak ikinci bir faktöre ihtiyacınız olmasını sağlar. Örneğin Google’da bu, akıllı telefonlarda Google Play hizmetleri aracılığıyla yapılan bildirimlerle çözülür. Apple ile başka bir Apple cihazında Apple Kimliğinizle bir kod alırsınız ve “Onayla”ya tıklamanız gerekir. Ve sözde eski moda SMS bile, sadece adınız ve şifrenizle kaydolmaktan kesinlikle daha güvenlidir.
Geçiş anahtarlarıyla sürmek daha da güvenlidir. Arkasındaki teknoloji uzun zamandır ortalıkta. Kimlik doğrulama işlemi FIDO2, WebAuthn ve CTAP2’ye dayalıdır ve FIDO Alliance tarafından geliştirilmiştir. 2012’den beri varlar ve Apple, Google, Intel, Microsoft, PayPal ve Federal Bilgi Güvenliği Ofisi BSI’yı içeriyorlar. Başka bir deyişle, ürünlerinde siber güvenlikle bir şekilde ilgisi olan ve dolayısıyla insanların mümkün olan en iyi şekilde korunmasından da çıkarı olan tüm önemli oyuncular.
Reklamcılık
Bununla birlikte, ondan ortaya çıkan önceki FIDO standartlarıyla ilgili sorun, çoğu insan için çok karmaşık olmalarıdır. Fazladan donanım satın almanız veya çoğu durumda her cihaz için fazladan bir anahtar oluşturmanız gerekir. Ve muhtemelen en iyisini siz bilirsiniz, çevrenizdeki çoğu kişiye neden her hizmet için kendi şifrelerine ihtiyaç duyduklarını ve neden “kızımın adı 123” olmaması gerektiğini açıklamakla yetiniyorsunuz. Bu kadar küçük bir ekstra çubukla geldiğinizde herhangi bir coşku olmayacağı açıktır. Ancak bu artık geçiş anahtarlarıyla değişebilir, çünkü pratikte kolaylık açısından basit parolalarla ciddi şekilde rekabet edebilirler. Çünkü geçiş anahtarları, öncekilerin katı güvenlik gereksinimlerinden farklıdır. Kripto anahtarları, QR kodu ve Bluetooth aracılığıyla akıllı telefon aracılığıyla PC’de senkronize edilebilir veya kullanılabilir.
Ancak bir geçiş anahtarını paroladan bu kadar farklı yapan nedir? Evet, temelde şu şekilde çalışır: Çevrimiçi olarak bir sağlayıcıda oturum açmak istiyorsanız ve Parola’yı seçerseniz, web hizmeti cihazınıza rastgele bir veri dizisi verir, yani Challenge. Ardından cihazınız bu sorgulamayı yalnızca cihazınızda depolanan özel anahtarla imzalar ve ardından web hizmeti, imzanın gerçekten sizin özel anahtarınızdan gelip gelmediğini kontrol etmek için genel anahtarı kullanabilir. Ve prosedür size tanıdık geliyorsa, öyle olabilir, çünkü onlarca yıldır kurulmuştur. Açık anahtarlı şifreleme anlamına gelir ve örneğin HTTPS veya posta şifreleme veya anlık mesajlaşma için kullanılır. Ve bu prosedürü şimdi kitlesel bir temele oturtmak için, önde gelen sağlayıcılar bunu sistemlerine dahil etmeye ve bir geçiş anahtarı olarak pazarlamaya karar verdiler. Parolanın aksine, Parola ile paylaşılan bir sır yoktur – yani hem sağlayıcının hem de kullanıcının bildiği bir karakter dizisi. Özel anahtar yalnızca size aittir ve bu nedenle ele geçirilemez. Yani bu, kaputun altında daha güvenli ama kullanımı çok daha rahat. Oturum açtığınızda böyle görünüyor. Basitçe oturum açma bilgilerini girin ve ardından geçiş anahtarıyla oturum aç’a tıklayın, parmağınızı takın veya yüzünüzü tarayın ve giriş yapın. Sağlayıcının oturum açma prosedürünü nasıl kurduğuna bağlı olarak, bazılarında durumlarda bir oturum açma adı bile girmenize gerek yoktur, ancak parolayı doğrudan kullanabilirsiniz.
Kimlik avı da artık geçiş anahtarlarıyla ilgili bir sorun değil, çünkü geçiş anahtarını yalnızca onu oluşturduğunuz web sitesinde kullanabilirsiniz. Yani PayPal geçiş anahtarı yalnızca PayPal.com’da çalışır, PayPal-FakeAccount-sonstwas.org veya başka bir yerde çalışmaz. Bu nedenle kimlik avına karşı otomatik olarak korunursunuz. Ve az önce söylediğim gibi, geçiş anahtarları bugün, örneğin Google’da zaten kullanılabilir. Bu videodan sonra doğrudan hesap ayarlarına gidebilir ve ardından güvenlik ve ardından geçiş anahtarlarına tıklayarak burada bir geçiş anahtarı oluşturabilirsiniz. Ve zaten bir geçiş anahtarınız var.
Önce denemek isterseniz passkey.org adresine gidebilirsiniz. Orada sadece bir oturum açma adı girin ve ardından bunun için bir geçiş anahtarı oluşturun. Ardından, Macbook’tan iPhone’a örneğimizde başka bir cihaza gidersiniz ve ardından oturum açma adını buraya girersiniz ve ardından geçiş anahtarının senkronizasyonunun işe yaradığını görebilirsiniz. Apple geçiş anahtarlarını şifreli iCloud yedeğine kaydeder ve oturum açtığınız tüm Apple aygıtlarında eşitler. Bu, iPhone’unuz bozulur ve yeni bir tane alırsanız, tüm geçiş anahtarlarının doğrudan üzerine kaydedildiği anlamına gelir. Birden fazla Apple cihazı kullanıyorsanız, geçiş anahtarlarınız otomatik olarak tüm cihazlarda saklanır. Google ayrıca bu senkronizasyonu, yani birkaç Android cihaz arasında sunmaktadır. Bugün itibariyle, bu platformlar arasında mümkün değildir. Bu, geçiş anahtarlarını Windows bilgisayarlarınıza, Android akıllı telefonlarınıza veya iPad’inize ayrı ayrı kaydedebileceğiniz, ancak aynı geçiş anahtarlarını kullanamayacağınız anlamına gelir.
Bununla birlikte, bazı şifre yöneticisi sağlayıcıları, yakında geçiş anahtarı işlevlerine sahip sürümler sunacaklarını zaten duyurdular. Ve bununla geçiş anahtarları Windows, Linux, Android ve Apple cihazları arasında da senkronize edilebilir. 1Password geçiş anahtarlarını bile beta sürümüne entegre etti. Ve hemen hemen tüm diğer iyi bilinen parola yöneticisi sağlayıcıları aynı şeyi zamanında yapmak istiyor. Ve en geç, tüm insanlar geçiş anahtarlarını tüm cihazlarında senkronize etme fırsatına sahip olacak. Ancak geçiş anahtarlarının tüm cihazlarda kayıtlı olması gerekmez. Aslında dijital anahtar olarak akıllı telefon yeterlidir. Bu, geçiş anahtarlarını günlük yaşamda kullanmanın günümüzdeki en kolay yoludur. Çünkü geçiş anahtarlarını destekleyen hizmetler için akıllı telefonunuzu kullanmayı tercih edebilirsiniz. Ardından kamera uygulamasını açmanız, QR kodunu taramanız ve aynı teknolojiyi kullanarak oturum açmanız yeterlidir.
Bu arada, geçiş anahtarları için gereksinimler o kadar yüksek değil. iOS 16’ya sahip daha yeni bir iPhone, yani iPhone 8 veya üstü yeterlidir. Veya dediğim gibi, sürüm 9 veya üzeri bir Android akıllı telefon, en azından macOS Ventura’ya sahip bir Mac. Windows’ta geçiş anahtarları, yerleşik Windows Hello kimlik doğrulama hizmeti aracılığıyla Windows 10 ve 11’de çalışır. Akıllı telefonunuzu burada kullanmak istiyorsanız, şu anda Chrome, Edge veya Opera One gibi Chromium tabanlı tarayıcıları kullanmalısınız. Bu işlev, yalnızca gelecekteki bir güncelleme ile sisteme düzgün bir şekilde entegre edilmelidir. Umarım Microsoft yakında burada aynı şeyi yapar.
Bir sağlayıcıdan geçiş anahtarlarına geçtikten sonra mümkünse yapmanız gereken şifreyi oradan kaldırın. Ne yazık ki, bugün geçiş anahtarlarını zaten destekleyen tüm sağlayıcılar için durum açık ara bu değil. Microsoft, bugünden parolaları kaldırabileceğiniz birkaç sağlayıcıdan biridir. NAS üreticisi Synology, bir adım daha ileri giderek, orada bir geçiş anahtarı ayarladıktan sonra bir uyarıdan sonra parolayı otomatik olarak kaldırır. Ancak artık geçiş anahtarlarına gerçekten erişiminiz yoksa, örneğin cep telefonunuz bir traktör tarafından ezildiyse, kurtarma işlevlerini kullanarak hizmetlerdeki hesaba daha önce olduğu gibi yeniden erişebilirsiniz. Klasik olarak e-posta veya SMS koduyla. Bu yüzden Passkey kullansam da kullanmasam da hesap bilgilerinin güncel tutulması da önemlidir.
Halihazırda geçiş anahtarlarını destekleyen tüm hizmetlerin bir listesi www.passkeys.directory adresinde bulunabilir. Ve şimdi geçiş anahtarlarını web uygulamalarıma kendim nasıl entegre edebileceğimi merak ediyorsanız, bu c’t makalesine bir göz atın. Orada ayrıntılı olarak anlatılıyor ve ayrıca FIDO Alliance İcra Direktörü ile bir c’t röportajı var. Her iki makaleyi de aşağıdaki açıklamada birbirine bağladık.
Vardığım sonuç: Parolalar, hâlihazırda sunuldukları yerlerde mevcut parolalara gerçek bir alternatiftir. Elbette, henüz herkes buna uymuyor ve bu, şu anda bir şifre yöneticisi ve mümkün olduğunca çok iki faktörlü kimlik doğrulamadan kaçmanın bir yolu olmadığı anlamına geliyor. Ancak bu hızla değişebilir: Apple, Microsoft ve Google şifresiz bir gelecek üzerinde anlaştılar ve bunun geliştirme üzerinde büyük bir etkisi olabilir. Ne de olsa Apple ve Google, “Burada, App Store veya Google Play Store’da sunduğumuz tüm uygulamalar geçiş anahtarlarını desteklemelidir!” diyebilirdi. Ve sonra çok sayıda hizmet, kısa sürede geçiş anahtarlarını destekleyecektir. Evet, sen ne düşünüyorsun? Zaten geçiş anahtarları kullanıyor musunuz? Ve güvenli şifrelerle ilgili deneyimleriniz nelerdir? Passkeys’i daha önce hiç duydunuz mu? Yorumlara yazmayı ve tabii ki abone olmayı unutmayın.
c’t 3003, c’t’in YouTube kanalıdır. c’t 3003’teki videolar bağımsız içeriktir ve c’t dergisindeki yazılardan bağımsızdır. Editörler Jan-Keno Janssen ve Lukas Rumpler ile video yapımcıları Şahin Erengil ve Pascal Schewe her hafta bir video yayınlıyor.
(ROM)
Haberin Sonu