Nisan ayında tarayıcı (browser) şirketlerinin kurmuş olduğu çalışma gurubunun, WebAuthn ismi verilen yeni bir yöntem geliştirdiği duyurulmuştu [1]. Chrome, Firefox, Edge gibi tarayıcıların katıldığı bu çalışmaya şimdi Apple da katılıyor. Apple Web geliştirme ekibinin, web sitelerine girişte, bilgisayara takılan bir USB güvenlik anahtarının kullanıldığı yöntem için ‘deneysel destek’ başlattığı açıklandı.
“İstemciden, Kimlik Doğrulamacıya (Client to Authenticator Protocol – CTAP) [2]” adı verilen bir protokolla kullanılan Web Kimlik Doğrulaması yani WebAuthn, Mozilla Firefox, Google Chrome ve Microsoft Edge tarafından farklı düzeylerde destekleniyor. FIDO anahtarları genel ve mzel şifreli anahtar çiftleri oluşturur. CTAP2, FIDO2 olarak da adlandırılıyor.
WebAuthn parolasız girişleri etkinleştirirken, iki faktörlü kimlik doğrulamayı kolaylaştırmak ve iyileştirmek için de kullanılıyor. Standard’ın, kullanıcıların zayıf şifreler seçmesi ve bir ihlal veya kimlik avı saldırısına maruz kalmaları tehlikelerini azaltabileceği düşünülüyor. Çünkü saldırgan doğru şifreyi bilse bile, ayrıca fiziksel güvenlik anahtarına sahip olması gerekiyor.
Windows 10’un en yeni sürümü olan 1809 sürümünde, Windows kullanıcıları, Office 365, Outlook.com, Skype ve OneDrive’da oturum açmak için Edge üzerinden Yubico’s YubiKey 5 veya Güvenlik Anahtarı gibi bir FIDO2 USB güvenlik anahtarı kullanabiliyor. WebAuthn Microsoft web sitelerinin yanı sıra, Dropbox , GitHub, Google, Facebook ve diğerleri tarafından destekleniyor .
Apple tarafında ise, Safari’nin sürüm 71 notlarında[3] “USB tabanlı CTAP2 aygıtları desteği olan Web Kimlik Doğrulama, deneysel bir özellik olarak eklenmiştir” notu var. Yani Safari’nin WebAuthn destekleyeceği kaydediliyor. Ama bu konuda hala belirsizlik olduğu da belirtiliyor.
[1] Chrome, Firefox vs Tarayıcılar Şifreleri Öldürmeye Hazırlanıyorlar