Çevrimiçi hesaplarımıza giriş yaparken kullandığımız parolalar, kimlik avı saldırıları ve veri sızıntıları gibi pek çok tehdide karşı savunmasız durumda. Bu sorunu çözmek için geliştirilen ve parola kullanmadan güvenli giriş imkanı sunan 'geçiş anahtarları' (passkey) teknolojisi yaygınlaşıyor.
Geçiş anahtarları parolalara göre çok daha güvenli olsa da, bugüne kadar karşılaşılan en büyük zorluklardan biri, oluşturulan geçiş anahtarlarının genellikle oluşturulduğu işletim sistemine veya parola yöneticisine bağlı kalmasıydı. Örneğin, bir Mac üzerinde oluşturulan geçiş anahtarını aynı iCloud hesabına bağlı diğer Apple cihazları arasında senkronize etmek kolayken, bu anahtarı bir Windows bilgisayara veya aynı Apple cihazına yüklü farklı bir parola yöneticisine aktarmak mümkün olmuyordu.
Geçiş Anahtarları Özgürleşiyor
Apple, geçtiğimiz haftaki geliştirici konferansında tanıttığı yeni bir özellikle bu önemli eksikliği gideriyor. iOS, macOS, iPadOS ve visionOS'un bir sonraki büyük sürümlerinde kullanıma sunulacak olan içe ve dışa aktarma (import/export) özelliği sayesinde, kullanıcılar geçiş anahtarlarını cihazlar ve platformlar arasında kolayca taşıyabilecek.
Bu sınırlama, daha önce geçiş anahtarlarının büyük şirketlerin kullanıcıları kendi ekosistemlerine kilitleme çabası olduğu yönünde eleştirilere yol açıyordu. Ayrıca kullanıcılar, geçiş anahtarlarının saklandığı cihazın kaybolması, çalınması veya zarar görmesi durumunda hesaplarına erişimi kaybetme riskinden endişe duyuyorlardı.
Parola teknolojisinin geliştirilmesi için çalışan FIDO Alliance gibi sektör kuruluşları da bu sorunun farkındaydı ve geçiş anahtarı senkronizasyonunu daha esnek hale getirecek programlama arayüzleri üzerinde çalışıyordu. Sektördeki pek çok şirket, bu içe/dışa aktarma araçlarının geliştirilmesinde aktif rol alıyor. Apple'ın bu hamlesi, kullanıcıların kendi kimlik bilgilerine sahip çıkması ve diledikleri parola yöneticisini kullanma özgürlüğüne sahip olması gerektiği felsefesini yansıtıyor. Yeni özellik, sadece geçiş anahtarları değil, parolalar ve doğrulama kodları için de endüstri standardı bir güvenli senkronizasyon imkanı sunacak.
Neden Geçiş Anahtarları Daha Güvenli?
Geçiş anahtarları, her site veya uygulama kaydı sırasında benzersiz bir genel/özel şifreleme anahtar çifti oluşturur. Bu anahtarlar kullanıcının telefonunda, bilgisayarında veya benzeri bir cihazda oluşturulur ve saklanır. Anahtarın genel kısmı hizmete gönderilirken, özel anahtar kullanıcının cihazında kalır ve buradan çıkarılamaz. Giriş sırasında, hizmet cihazınıza rastgele bir veri (challenge) gönderir. Kimlik doğrulama, ancak cihazın bu veriyi ilgili özel anahtarı kullanarak imzalaması ve geri göndermesiyle gerçekleşir.
Bu tasarım, kullanıcının cihazından ayrılan herhangi bir paylaşılan sır (parola gibi) olmamasını sağlar. Bu da kimlik avı, veri sızıntısı veya diğer yaygın yöntemlerle bilginin ele geçirilmesini imkansız hale getirir.
Geçiş anahtarlarının yaygınlaşmasının önündeki en büyük engellerden biri, bugüne kadar farklı uygulamalar, işletim sistemleri ve web siteleri arasında tam bir birlikte çalışabilirliğin olmamasıydı. Apple'ın son tanıtımı, geçiş anahtarı geliştiricilerinin kullanılabilirliği artırma konusunda önemli ilerleme kaydettiğine dair güçlü bir işaret.
