Çalınan hesap (kimlik ve şifre) bilgileri son yılların en büyük dertleri arasında. Bizde de son 1-2 haftadır çalınan kimlik bilgileri gündemde ve dolandırıcıların özellikle banka işlemelerinin yapıldığı cihazlardan çalınacak bilgilerle neler yapabileceği endişeleri yüksek. Bu konuda her ay 1-2 büyük veri sızıntısı haberi alıyoruz.
Şimdi Google, Microsoft ve Apple, FIDO Alliance ve World Wide Web (W3) Konsorsiyumu’nun parolasız oturum açma standardına desteklerini genişleterek, mobil cihazlarda veya masaüstünde oturum açmayı rahatlatmayı hedefliyorlar. Daha da önemlisi, kullanıcılar her bir cihazdaki her hesabı yeniden kaydettirmek zorunda kalmadan birden fazla cihazda geçiş anahtarlarını (FIDO oturum açma kimlik bilgilerine) kullanabilecekler. Bu, kullanıcıların şu andaki her bir cihazla her web sitesinde veya uygulamada oturum açmasını gerektiren mevcut durumdan farklı olacak.
Google’da güvenli kimlik doğrulama için ürün yönetimi direktörü ve FIDO Alliance başkanı olan Sampath Srinivas,
“Android ve Chrome’da FIDO Oturum Açma standartları için parolasız desteği uygulamayı planlıyoruz. Apple ve Microsoft ayrıca platformları için destek sunacaklarını duyurdular. Bu, platform ne olursa olsun cihazlarda, web sitelerinde ve uygulamalarda tek bir parolaya gerek kalmadan oturum açmayı basitleştirecek. Bu yetenekler gelecek yıl bir tarihte kullanılabilecek.”
Parolaların Ne Kadar Tehlikeli Olduğunu Biliyoruz
Parolalar bilişim alanındaki varlıklarımızı koruyan anahtarlardır ama ne kadar tehlikeli olduğunu giderek daha fazla görüyoruz. İnsanlar hala basit şifreler kullanabiliyor ya da bilgisayarlara sızılması yoluyla ele geçirilebiliyorlar. Parolalar en büyük saldırı vektörü, hesap ele geçirme, gelişmiş kalıcı tehditler ve fidye yazılımları dahil çoğu saldırının temel nedeni.
Dolayısıyla artık başka yönteme ihtiyaç var. İyi haber şu ki, uzmanlar “parolasız kimlik doğrulamayı gerçeğe dönüştüren teknoloji artık mevcut” diyorlar.
Güvenli sistemler yaygınlaşıyor (ve neredeyse her cihazda bulunuyor) ve neredeyse tüm kurumsal ve tüketici uygulamaları, parolasız kimlik doğrulamasını kolayca uygulayabilir hale geliyor.
Google, Microsoft ve Apple’dan yapılan duyuru, genişletilmiş desteğin macOS ve Safari, Android ve Chrome ile Windows ve Edge’de uygulanacağını gösteriyor. Mobil cihazın kilidini açmak için kullanılan parmak izi, yüz taraması ve cihaz PIN’i gibi işlemler, cihazda depolanan geçiş anahtarına erişim sağlar. Srinivas, geçiş anahtarıyla oturum açmanın daha güvenli olduğunu çünkü bunun ortak anahtar şifrelemesine dayandığını söylüyor. Cihaz kaybolsa bile, geçiş anahtarlarının bulut yedeklemesinden mobil cihaza geri eşitlenebileceğini söylüyor.
Bunların hepsi çapraz platform olacak. İdeal olarak, bir kullanıcı bir Apple cihazındaki parolasıyla bir Windows makinesinde Google Chrome aracılığıyla bir web sitesinde oturum açabilecek.
FIDO Alliance yaptığı açıklamada şöyle dedi [2],
“Bu yeni yaklaşım, kimlik avına karşı koruma sağlıyor ve oturum açma, parolalar ve SMS üzerinden gönderilen tek seferlik şifreler gibi eski çok faktörlü teknolojilerle karşılaştırıldığında çok daha güvenli olacak.”
Online Hızlı Kimlik (Fast IDentity Online) kelimelerinin baş harflerinden meydana gelen FIDO, 2013 yılında başlatılan bir açık kaynak endüstri birliği. Amacı parolaların yarattığı riskleri azaltmak üzere, kimlik doğrulamada yeni standartlar geliştirmek. Yüz tanımlayıcılar, parmak izi, iris tarayıcılar, ses ve yüz tanıma, güvenilir platform modülleri, USB güvenlik kilitleri gibi pek çok çözümü içeriyor.