- Google, kişisel Google Account’larda passkey’i varsayılan seçenek olarak sunarak parola olmadan oturum açmaya geçişi kolaylaştırıyor
- Bir sonraki oturum açmada passkey oluşturma ve kullanma istemi gösterilecek; hesap ayarlarındaki “Skip password when possible” seçeneği de açık görünecek
- Passkey ile oturum açarken cihaz kilidini açmakta kullanılan parmak izi, yüz taraması, PIN kullanılıyor; Google’a göre bu yöntem paroladan %40 daha hızlı ve kriptografik yapısı nedeniyle daha güvenli
- Parolayla oturum açma şimdilik devam edecek; istemeyen kullanıcılar “Skip password when possible” seçeneğini kapatarak passkey kullanımını reddedebilecek
- Passkey zaten YouTube, Search ve Maps’te kullanılıyor; Uber ve eBay de destekliyor, WhatsApp uyumluluğu da yakında gelecek
Kişisel Google Account’larda oturum açma varsayılanı değişiyor
- Google, yılın başında passkey desteğini kullanıma sunduktan sonra kullanıcı tepkisinin olumlu olduğunu düşünüyor
- Artık kişisel Google Account genelinde passkey, varsayılan oturum açma seçeneği olarak sunuluyor
- Bir sonraki hesap oturum açmanızda passkey oluşturma ve kullanma istemi gösterilecek
- Google Account ayarlarında “Skip password when possible” seçeneği açık olarak görünecek
Passkey nasıl çalışıyor ve güvenlik özellikleri neler
- Passkey, hesaba giriş yaparken cihaz kilidini açmada kullanılan parmak izi, yüz taraması, PIN yöntemlerini kullanıyor
- Google’a göre passkey ile oturum açma, parolaya kıyasla %40 daha hızlı
- Kriptografiye dayandığı için daha güvenli ve phishing’e karşı dayanıklı
- Kullanıcılar, parolalardaki sayı ve özel karakterleri hatırlama yükünü azaltabiliyor
Parolalar ve kullanıcı tercihi korunuyor
- Google, yeni teknolojilerin yerleşmesinin zaman aldığını düşünüyor; bu nedenle parolaların bir süre daha varlığını sürdürebileceğini belirtiyor
- Kullanıcılar hâlâ parola ile oturum açabilecek
- Passkey istemeyen kullanıcılar “Skip password when possible” seçeneğini kapatabilir
Passkey desteği Google dışına da yayılıyor
- Passkey’nin duyurulmasından bu yana kullanıcılar YouTube, Search, Maps gibi Google uygulamalarında passkey kullanıyor
- Google, sektör genelinde passkey benimsenmesinin artmasını olumlu bir gelişme olarak görüyor
- Uber ve eBay, platform girişlerinde parolasız bir seçenek sunuyor
- WhatsApp uyumluluğu da yakında sunulacak
Parolasız oturum açmaya giden bir sonraki adım
- Google, diğer çevrimiçi hesaplarda passkey kullanılabilen yerleri göstermeye devam edeceğini belirtiyor
- Sektörü passkey’e geçmeye teşvik ederek parola kullanımını azaltmayı ve sonunda nadir hale getirmeyi hedefliyor
- Google hesap güvenliğiyle ilgili bilgiler myaccount.google.com/safer adresinde bulunabilir
1 yorum
Hacker News yorumları
Birçok kişinin söylediği gibi, cihazınızı kaybederseniz kriptografik kimlik doğrulamayı yeniden başlatmak çok zor
Geçen ay eşim iPhone’unun camını kırdı ve AppleCare ile tamir ettirdi; Apple ise “cam onarımı”nın fiilen iç parçaların değişmesini ve cihazın sıfırlanmasını içerdiğini söylemedi
Apple iPhone yedekleri eSIM gibi kriptografik gizli değerleri içermez
Sonunda eSIM’i etkinleştirmek için e-postaya ihtiyaç duyulan, e-posta için MS Authenticator gereken, MS Authenticator’ın da SMS olmadan etkinleştirilemediği bir döngüye girdik
Fotoğraflı bir sürü kimlikle operatör mağazasına gidip eSIM’i yeniden çıkartmak zorunda kaldık; parola doğru olmasına rağmen bir tür telefon donanım kilidi yüzünden banka hesabı bile kilitlendi
Çözmek günler sürdü ve birkaç kuruma bizzat gitmek gerekti. Yurt dışı seyahatinde olsaydık tamamen tıkanırdık
Zaman değişti; artık tüm dijital kimlik, telefonun içindeki bir akıllı kart haline geldi. Bu akıllı kart ister SIM olsun ister yerleşik TPM çipi, onu kaybederseniz başkalarının gözünde ölüden farkınız kalmıyor
Passkey bu sorunu çok daha kötüleştiriyor. Fiziksel SIM en azından bir telefondan diğerine taşınabilir, ama Passkey’ler sağlayıcılar arasında aktarılamıyor
Çığlık atarak kaçmak gerek. Abartılı pazarlamaya inanmayın; sağlayıcılar taşıma ve kurtarma çözümlerini düzgünce sunana kadar beklemek gerek
İnsanlar parolalardan nefret ediyor, ama gerçekçi olarak birçok durumda ve tehdit modelinde parola en iyi uzlaşma.
/dev/randomdan 32 bayt veya daha fazlasını çekip istediğiniz şekilde kodlarsanız bu evrende kimse kaba kuvvetle kıramaz; parola yöneticisi de yeniden kullanım sorununu çözerÜstelik depolama biçimini benim kontrol edebilmem ve içim rahat edene kadar yedekli kopyalar uygulayabilmem gibi avantajlar da var
iPhone yedeği, iCloud Keychain’de saklanan öğelerin yedeğini içerir; başka bir Apple cihazınız veya kurtarma anahtarınız varsa yeniden erişebilirsiniz. Cihaz parolası ya da kurtarma anahtarı varsa her şeyi yeniden başlatabilirsiniz
eSIM operatörün işi olduğu için özel bir durum; böyle şeyler zaten hep mağaza ve telefon görüşmelerine bağlı, baş ağrıtan işlerdi ve öyle kalacak
Ben neredeyse 3 tane kullanıyorum: iş istasyonumdaki Yubikey, taşınabilir Yubikey ve telefonum. Bu üçü, e-posta için Google’ı ve telefon için Apple’ı yeniden başlatmaya yetiyor. Geri kalanlar 1Password’de ve bu yollarla erişilebilir
En kötü acil durumda bile e-postayı bir şekilde geri alabileceğimi düşünüyorum. DNS sağlayıcısına kimlik doğrulaması yapıp MX kayıtlarını değiştirirsem işleri yeniden yürütebilirim. Yine de bunu günlük yaşam için vazgeçilmez saymam. Erişimi kaybetmek çok rahatsız edici olurdu ama ölüm fermanı gibi değil
SMS ve Signal kişileri başka yerlerde de var; banka hesabındaki parayı çek yazarak kullanabilirim. Şirketle ilgili hesaplara ise ofise bizzat giderek erişebilirim
Ancak Passkey’nin sıradan bilgisayar kullanıcıları için fazla karmaşık olma ihtimalinin yüksek olduğunu düşünüyorum. Ne yazık ki “her girişte sana e-posta bağlantısı göndereceğim” yaklaşımı, en kullanıcı dostu parolasız kimlik doğrulama gibi görünüyor
Passkey’leri 1Password’e koyma alışkanlığı da içimi çok rahatlatmıyor. Sonsuza kadar ona bağlanacağımı bildiğim için. Yine de hizmeti seviyorum; taşınmak istersem en azından yeniden oluşturmam gereken hesapların listesi var
En çok korktuğum şey telefon parolasını unutmak. Bir keresinde uyandım ve çok kötü bir anda dikkatim dağıldığı için 6 haneli parolayı bir türlü hatırlayamadım. İş istasyonunun kilidini açmak için de aynı kodu kullanıyorum. Bir süre başka bir şeye odaklandıktan sonra kas hafızasıyla zar zor hatırladım
Gerçekten “az önce felç mi geçirdim acaba” dediğim bir andı. Şimdi o parolayı 1Password’de saklıyorum; kilidi açık tek bir cihazım bile varsa hafızamı tazeleyebiliyorum. Epey eski bir olaydı ve demans olduğunu sanmıyorum, sadece tuhaf ve geçici bir durumdu
Buna karşılık işte kullandığım, ömrü en fazla 1 yıl olan parolaların hepsini kusursuz hatırlıyorum. Tabii 6 haneli sayıyı hatırlayamazsam pek işe yaramıyor
Yani yakında parolalar da “Killed by Google” listesine girecek, benim hesabım da onunla birlikte girecek gibi. Ben hiçbir cihazı giriş yapılmış halde bırakmıyorum
Artık kalan birkaç kullanım alanını da taşımanın zamanı çoktan geldi. Kaçınılmaz durum geldiğinde şirketin iş hesabı Passkey’mi sıfırlayıp sıfırlayamayacağını merak ediyorum
Bunun doğru yön olduğunu düşünüyorum ama Google ya da iCloud hesaplarından kilitlenip gerçekten geri almanın hiçbir yolu kalmayan çok fazla korku hikâyesi gördüm.
Sanırım böyle düşünen tek kişi ben değilim; bir gün, muhtemelen kendi hatam yüzünden Google’dan kilitleneceğim ve dijital hayatım bitecek gibi geliyor.
Özel bir şirket login.gov benzeri bir giriş yöntemi sunup, kilitlendiğinizde USPS’te olduğu gibi gerçek bir insanla konuşmanıza imkân verse, bunun için seve seve para öderdim.
https://mastodon.laurenweinstein.org/@lauren/111103819626952...
https://mastodon.laurenweinstein.org/@lauren/111211366080459...
Bu bir if değil, when meselesi. Verilerine önem veren biri için yedekleme ve kapsamlı bir felaket kurtarma planı şart. Bir şirket, sizin hatanız olmasa bile bir şeyleri bozacak; bundan kaçış yok.
Ne yazık ki kaybedilen bir hesabın bazı yönleri için iyi felaket kurtarma seçenekleri yok; ama birden fazla hesap kullanmak ve tekil hata noktalarından kaçınmak bir ölçüde yardımcı olur.
Giriş yapabilmek için birden fazla bağımsız yönteminiz olmalı. Örneğin yedek kodları yazdırıp önemli belgelerle birlikte saklamak gibi.
Ancak bu bile Google politika değişiklikleri yüzünden hesaptan kilitlenmeyi engellemez; bu yüzden ideal olarak Google hesabı olmadan idare etmeyi de prova etmek gerekir.
Lauren Weinstein, Passkey’in kusurlu olduğu ve özellikle sıradan kullanıcılar için devasa bir baş ağrısına dönüşeceği konusunda uyarıyor.
https://mastodon.laurenweinstein.org/@lauren/111103819626952...
https://mastodon.laurenweinstein.org/@lauren/111211366080459...
Gizlilik ve tedarikçi bağımlılığı sorunlarını şimdilik bir kenara bırakırsak, Passkey, iki aşamalı doğrulama olmadan tüm web sitelerinde aynı temel şifreyi yeniden kullanan insanlar için çok kötü bir alternatif değil.
Ama gerçekten bir şeyi korumak için buna güvenmeye başladığınızda hızla devasa bir kâbusa dönüşüyor. Üstelik bunun şifre + iki aşamalı doğrulamayla eşdeğer gibi ele alınması durumu daha da kötüleştiriyor.
“Bulması kolay” deniyor ama ben bulamıyor gibiyim.
https://mastodon.laurenweinstein.org/@lauren/111211489395997...
Kullanıcının zaten zayıf bir servis şifresi kullanma olasılığı yüksekse, zayıf bir cihaz parolasının neden Passkey’den kaçınmak için sebep olduğunu anlamıyorum.
Bu durumda cihaz kimlik doğrulaması aşılırsa hesap da zaten ele geçirilmiş demektir.
Özellikle Google’da şu an şifre ile Passkey’den yalnızca birini seçmek zorunda olduğunuz bir yapı yok. Cihazda Passkey yoksa şifreyle giriş akışına geri dönebilirsiniz.
Riskleri ve faydaları karşılaştırmak için insanların gerçekte şifreleri ne kadar yeniden kullandığını, iki aşamalı doğrulama kullanıp kullanmadığını, tüm hesap erişimini yalnızca telefon ekran kilidine dayandırıp dayandırmadığını, biyometrik doğrulama kullanıp kullanmadığını, hesap kurtarmaya ne kadar ihtiyaç duyulduğunu vb. bilmek gerekiyor.
Tartışmayı ancak bu veriler toparlayabilir ve herkesin kendi durumuna göre farklı sonuçlara varmasına da imkân tanır.
Google bu verilerin çoğuna sahip. İddiasını desteklemek istiyorsa bunları açıklamalı.
1Password yakın zamanda Passkey desteğini açtı; ancak 1Password dışına aktarmanın bir yolu olmadığını fark edince “şaşırdım”
1PUX biçimindeki dışa aktarıma da CSV’ye de dahil edilmiyor
Yani kelimenin tam anlamıyla yedeklemek mümkün değil. 1Password çökerse, şirket kapanırsa ya da benzer bir şey olursa Passkey öylece kayboluyor. Kurtarmanın hiçbir yolu yok
Bu konuyla ilgili yakın tarihli 1Password Passkey AMA yazısına bakın:
https://old.reddit.com/r/1Password/comments/16to6x7/hey_redd...
1Password’ün devre dışı kalması durumuna gelirsek, parolalar ve Passkey’ler cihazlara senkronize edilirken yerel olarak da saklanıyor. Herhangi bir nedenle 1Password’e erişemez hale gelseniz bile kasadaki tüm öğelere erişmeye devam edebilirsiniz; yalnızca cihazlar arası senkronizasyonu yapamazsınız
Passkey’i cihazlar arasında taşımaktan ziyade, SSH anahtarları gibi her cihaz için ayrı bir Passkey oluşturup ilgili servislerin hepsine kaydettirmek şeklinde düşünmek gerekir
Elbette kullanıcı, saldırganın Passkey’ini kendi hesabına eklemeye kandırılabilir
Mobilde bu sorun yıllar önce çözüldü ama e-posta hâlâ karmakarışık. Çıkarılacak ders, asla bağımlı kalmamak
window.credentialsçağrılarını yakalıyor; Yubikey gibi başka doğrulama yöntemleriyle 1Password’ü birlikte kullanmak istiyorsanız ayarlara girip Passkey özelliğinin tamamını kapatmanız gerekiyorGoogle One Tap istemini yakalayıp genel olarak devre dışı bırakarak kendi OAuth istemini göstermesine de benziyor. Ben yalnızca Chrome eklentisini kullandığım için yerel uygulama deneyimi çok farklı mı bilmiyorum
Kullanıcı açısından hâlâ anlaşılır değil
Evde yangın çıkar da Google’da oturum açılmış tüm cihazlar bozulursa ne olur? Hesaba tekrar nasıl giriş yapılır?
Ona eski bir telefon verdik, SIM’i sorunsuz taşıdık ama Google hesabına bir türlü giriş yapamadık. Çünkü Google ısrarla “telefonunuzu kullanın” diye yönlendirip durdu. Dizüstü bilgisayarda da e-postadan çıkış yapılmıştı
Neyse ki önceki bir olay yüzünden bende yedek token vardı da çözdük. Diğer insanlar ne yapar bilmiyorum
Anahtarı M parçaya bölüp yeniden oluşturmak için bunlardan N tanesinin gerekmesini sağlıyor. Örneğin 3/8 ise 8 parçadan 3’üyle anahtar kurtarılabiliyor. Her parçayı güvendiğiniz kişilere emanet ediyor, kurtarma sırasında en az 3 kişiden parçaları alıp anahtarı geri oluşturuyorsunuz
multipasskey adlı YC demosunda bunu uyguladığımda, güvenilen kişileri seçtiriyor ve arka planda anahtar parçalarını onlara gönderiyordum. Kurtarma gerektiğinde onlardan talep ediliyor, yeterli parça alınınca cihaz anahtarı yeniden oluşturuluyordu. Cihaz anahtarı oluşunca uzak sunucudan şifrelenmiş anahtar yedeği indirilip yeniymiş gibi geri yükleniyordu
2017/2018’de bu projeyi multipasskey diye adlandırıp çalışan bir demoyla YC’ye başvurmuştum ama reddedildim. Herhalde iyi anlatamadığımı düşündüm
Bir teknisyen olarak bunun, bir arkadaşınıza yedek cihaz bırakmak ya da Passkey’i Apple/Microsoft/parola yöneticisi hesabınızda da saklamak gerektiği anlamına geldiğini tahmin ediyorum
Ama Google’ın bunu daha ayrıntılı açıklaması gerekiyor
Ayrıca telefon numaranızı kesinlikle kaybetmemelisiniz. Kullanıcı adı, parola ve kurtarma e-postası olsa bile SMS kodunu alamadığınız için Google hesabınıza tekrar giremiyorsunuz
Bu geçiş döneminde, Passkey’i mevcut sunulan yöntemlerin alternatifi olarak sağlamak öneriliyor. Google ve birçok servis sağlayıcı da böyle yapıyor
Ancak sorduğunuz soru, Passkey olmasa da herkesin sorması gereken hesap kurtarma meselesi. Parolanızı unutursanız, parola yöneticinize erişemezseniz ya da ikinci doğrulama cihazınızı kaybederseniz nasıl giriş yapacağınız konusunda bir planınız olmalı. Passkey’e geçiş, hesap kurtarma derdini tamamen ortadan kaldırmaz
Yine de Passkey’in hesap kurtarmada daha iyi olduğu özel durumlar var. iCloud Keychain kullanan Apple cihazında Google hesabı için bir Passkey oluşturursanız bu Passkey iCloud’a senkronize edilir. Böylece eviniz yanıp tüm cihazlarınızı kaybetseniz bile iCloud hesabınıza erişebildiğiniz sürece Google hesabınızın ve diğer web sitelerinin Passkey’lerini geri alabilirsiniz
Elbette “Apple iCloud hesabına erişimi kaybederseniz?” sorusu meşru. Bu yüzden hesap kurtarma sorunu tamamen ortadan kalkmıyor; ama birçok durumda Passkey ile ciddi ölçüde azalabiliyor
Burada Simpson paradoksu var
Ortalama olarak güvenliği artırabilir. Çünkü kullanıcıların büyük çoğunluğu parolaları çok kötü kullanıyor
Ama parolaları güvenli kullanan deneyimli kullanıcılar için, zorunlu tutulursa güvenlik keskin biçimde düşer
Zorunlu telefon numaralı 2 adımlı doğrulama da aynı etkiye sahip. Big G söz konusu olduğunda zorunlu telefon numaralı 2 adımlı doğrulama, güvenlik kılıfına sokulmuş bir yarı-anonimlik karşıtı politikadır. Bu durumda ise biyometrik bilgi elde etme girişimi gibi görünüyor
Telefon numarası çoğu insanın sahip olduğu en iyi uzun vadeli kimliktir ve Google milyarlarca kullanıcının hesap kurtarmasını akıl almaz bir ölçekte desteklemek zorunda
Birçok kişi parolasını ve cihazlarını kaybeder, ama telefon numarasını kaybeden çok azdır
Dolayısıyla Google'ın kendi platformunda kimlik atamak ve devretmek için telefon numarası kullanması mantıklı bir sonuç. Gizlilik için kötü, ama kullanıcıların doğrudan yönetmek zorunda kalmadığı üçüncü taraf doğrulama “kimlik bilgisi” olarak verileri kontrol etmeyi sağladığı için güvenlik açısından çok iyi
Ayrıca bu kısımdan emin değilim; bilen biri düzeltirse iyi olur. Zayıf parola, yeniden kullanım ve phishing'e karşı bağışık deneyimli bir kullanıcı varsaysak bile, güvenlik açısından bir avantajı olduğunu anlıyorum. Google Passkey sızsa bile sızan şey yalnızca açık anahtar olur; açık anahtarla giriş yapılamayacağı için sızıntı neredeyse işe yaramaz hale gelir
Google biyometrik bilgi topluyor olsaydı bunu zaten yapıyor olurdu ve bunun bu özellikle ilgisi yok
Bu güvenlik modelinin çok temel ayrıntıları, iPhone'un Secure Enclave kullanmaya başladığı dönemlerden beri uzun zamandır doğru. Bu sitede insanların hiç anlamadıkları konularda neden bu kadar kesin konuştuklarını bilmiyorum ve açıkçası şaşırıyorum
Passkey, bir sunucuya girişte SSH parolası yerine SSH anahtarı kullanmanın ahlaki açıdan eşdeğeridir; bunun web sitelerine uygulanmış halidir. Üstelik nesnel olarak da “parolaları güvenli kullanıyorum” düşüncesiyle değiştirilemeyecek basit bir gerçek var: Passkey kelimenin tam anlamıyla phishing'e dayanıklıdır
Bunu şimdiden dayatmaları şaşırtıcı. Geçen hafta itibarıyla bile uygulamada yeterince pürüz vardı; bu yüzden kendi Workspace tenant'ımda devre dışı bıraktım
En sinir bozucu iki şey şunlar: Advanced Protection henüz Passkey'i desteklemiyor, bu yüzden bir süre daha U2F'yi korumak gerekiyor; ayrıca hesapta U2F anahtarı ayarlıysa Google önce onu Passkey olarak kullanmanızı söylüyor, sonra Passkey olmadığı için parolayla giriş yapmanızı istiyor
Sonuç olarak phishing'e dayanıklı çok faktörlü doğrulama kullananlar, cihazda çok faktörlü doğrulama adımını “hatırlatma” özelliğini kaybediyor. Çünkü Google her zaman paroladan önce U2F doğrulama faktörünü istiyor
Bundan ayrı olarak, birkaç küçük müşteriye Okta tabanlı parolasız giriş dağıtmaya hazırlanırken güvenlik anahtarları ve Passkey kullanan FIDO2 akışlarını cihaz türleri ve platformlar genelinde epey test ettim. Kimlik doğrulama akışının kendisini genel olarak beğeniyorum, ama dikkat edilmesi gereken çok sayıda tuzak var
Mutlu yolu netleştirmek, onboarding materyalleri hazırlamak ve iş sürekliliği senaryolarını belgelemek için epey zaman harcadım. Kişisel kullanım senaryoları bazı açılardan daha zor; tek bir IdP değil, her bir servisi düşünmek gerekiyor
Birden fazla ortamı desteklemeniz gerekiyorsa şu an kolay yol, 1Password'e veya Passkey destekleyen başka bir parola yöneticisine yatırım yapmak. En tutarlı kullanıcı deneyimini sunuyor ve çoğu platformda çalışıyor, ancak Android 14'te hâlâ sorunlar var
Yüksek ayrıcalıklı hesaplarda donanım anahtarları kullanmaya devam edeceğiz; bu yüzden yöneticiler bir çift FIDO2 anahtarı alıyor. Diğer herkes bir Yubikey alıyor; cihaz erişimini kaybettiklerinde veya güvenilmeyen bir cihazdan giriş yapmaları gerektiğinde yedek işlevi görüyor. Android burada da sorunlu. 14'te bile parolasız FIDO2 akışlarını desteklemiyor gibi görünüyor
İlginç bir yön. Ancak parmak izi veya yüz tanıma gibi biyometrik bilgilerin aslında “gizli” olmadığını belirtmekte fayda var
Kullanıcının farkındalığı veya rızası olmadan gözlemlenebilir ya da kullanılabilir ve birçok açıdan paroladan çok kullanıcı adı gibi davranır
Parmak izi yalnızca doğrulamada kullanılacak kriptografik anahtar çiftinin kilidini açar
Ben Yubico Security Key'i Passkey olarak kullanıyorum ve 6 haneli PIN ile korunuyor. Bu PIN yalnızca cihazda yereldir ve cihazı fiziksel olarak elinde bulunduran kişinin doğrudan giriş yapmasını engellemek içindir. PIN'i üst üste 10 kez yanlış girerseniz anahtar silinir
PIN'i girdiğinizde anahtarın kilidi açılır ve Google hesabına girmenizi sağlayan şey işte o anahtardır
Parolası olan çoğu hesapta “şirkete kimliğini kanıtlarsan sıfırlarlar” şeklinde bir güvenlik mekanizması vardır. Banka parolanızı hatırlamıyorsanız bankanın sıfırlayabileceği bir yol olması gibi
Google'ın kontrol ettiği şeylerde sorunu çözmek için iletişim kurabileceğiniz hiçbir yol yok. Bu zaten tüm Google ürünlerinde bir sorun
Tüm erişimi Google'ın kontrol ettiği kapıların arkasına kilitlemek, gelecekteki bir kâbusa kendi kendine hazırlanmak demek
Passkey'i hâlâ Bitwarden'da saklayamamak üzücü. Yine de bu sayfanın üstündeki mesaja göre ekim ayında gelecek gibi görünüyor
https://bitwarden.com/blog/bitwarden-passkey-management/