2 puan yazan GN⁺ 2023-10-12 | 1 yorum | WhatsApp'ta paylaş
  • Google, kişisel Google Account’larda passkey’i varsayılan seçenek olarak sunarak parola olmadan oturum açmaya geçişi kolaylaştırıyor
  • Bir sonraki oturum açmada passkey oluşturma ve kullanma istemi gösterilecek; hesap ayarlarındaki “Skip password when possible” seçeneği de açık görünecek
  • Passkey ile oturum açarken cihaz kilidini açmakta kullanılan parmak izi, yüz taraması, PIN kullanılıyor; Google’a göre bu yöntem paroladan %40 daha hızlı ve kriptografik yapısı nedeniyle daha güvenli
  • Parolayla oturum açma şimdilik devam edecek; istemeyen kullanıcılar “Skip password when possible” seçeneğini kapatarak passkey kullanımını reddedebilecek
  • Passkey zaten YouTube, Search ve Maps’te kullanılıyor; Uber ve eBay de destekliyor, WhatsApp uyumluluğu da yakında gelecek

Kişisel Google Account’larda oturum açma varsayılanı değişiyor

  • Google, yılın başında passkey desteğini kullanıma sunduktan sonra kullanıcı tepkisinin olumlu olduğunu düşünüyor
  • Artık kişisel Google Account genelinde passkey, varsayılan oturum açma seçeneği olarak sunuluyor
  • Bir sonraki hesap oturum açmanızda passkey oluşturma ve kullanma istemi gösterilecek
  • Google Account ayarlarında “Skip password when possible” seçeneği açık olarak görünecek

Passkey nasıl çalışıyor ve güvenlik özellikleri neler

  • Passkey, hesaba giriş yaparken cihaz kilidini açmada kullanılan parmak izi, yüz taraması, PIN yöntemlerini kullanıyor
  • Google’a göre passkey ile oturum açma, parolaya kıyasla %40 daha hızlı
  • Kriptografiye dayandığı için daha güvenli ve phishing’e karşı dayanıklı
  • Kullanıcılar, parolalardaki sayı ve özel karakterleri hatırlama yükünü azaltabiliyor

Parolalar ve kullanıcı tercihi korunuyor

  • Google, yeni teknolojilerin yerleşmesinin zaman aldığını düşünüyor; bu nedenle parolaların bir süre daha varlığını sürdürebileceğini belirtiyor
  • Kullanıcılar hâlâ parola ile oturum açabilecek
  • Passkey istemeyen kullanıcılar “Skip password when possible” seçeneğini kapatabilir

Passkey desteği Google dışına da yayılıyor

  • Passkey’nin duyurulmasından bu yana kullanıcılar YouTube, Search, Maps gibi Google uygulamalarında passkey kullanıyor
  • Google, sektör genelinde passkey benimsenmesinin artmasını olumlu bir gelişme olarak görüyor
  • Uber ve eBay, platform girişlerinde parolasız bir seçenek sunuyor
  • WhatsApp uyumluluğu da yakında sunulacak

Parolasız oturum açmaya giden bir sonraki adım

  • Google, diğer çevrimiçi hesaplarda passkey kullanılabilen yerleri göstermeye devam edeceğini belirtiyor
  • Sektörü passkey’e geçmeye teşvik ederek parola kullanımını azaltmayı ve sonunda nadir hale getirmeyi hedefliyor
  • Google hesap güvenliğiyle ilgili bilgiler myaccount.google.com/safer adresinde bulunabilir

1 yorum

 
GN⁺ 2023-10-12
Hacker News yorumları
  • Birçok kişinin söylediği gibi, cihazınızı kaybederseniz kriptografik kimlik doğrulamayı yeniden başlatmak çok zor
    Geçen ay eşim iPhone’unun camını kırdı ve AppleCare ile tamir ettirdi; Apple ise “cam onarımı”nın fiilen iç parçaların değişmesini ve cihazın sıfırlanmasını içerdiğini söylemedi
    Apple iPhone yedekleri eSIM gibi kriptografik gizli değerleri içermez
    Sonunda eSIM’i etkinleştirmek için e-postaya ihtiyaç duyulan, e-posta için MS Authenticator gereken, MS Authenticator’ın da SMS olmadan etkinleştirilemediği bir döngüye girdik
    Fotoğraflı bir sürü kimlikle operatör mağazasına gidip eSIM’i yeniden çıkartmak zorunda kaldık; parola doğru olmasına rağmen bir tür telefon donanım kilidi yüzünden banka hesabı bile kilitlendi
    Çözmek günler sürdü ve birkaç kuruma bizzat gitmek gerekti. Yurt dışı seyahatinde olsaydık tamamen tıkanırdık
    Zaman değişti; artık tüm dijital kimlik, telefonun içindeki bir akıllı kart haline geldi. Bu akıllı kart ister SIM olsun ister yerleşik TPM çipi, onu kaybederseniz başkalarının gözünde ölüden farkınız kalmıyor
    Passkey bu sorunu çok daha kötüleştiriyor. Fiziksel SIM en azından bir telefondan diğerine taşınabilir, ama Passkey’ler sağlayıcılar arasında aktarılamıyor
    Çığlık atarak kaçmak gerek. Abartılı pazarlamaya inanmayın; sağlayıcılar taşıma ve kurtarma çözümlerini düzgünce sunana kadar beklemek gerek

    • “Çığlık atarak kaç” sözüne kesinlikle katılıyorum. Benim kontrol etmediğim donanıma kimlik doğrulamayı bağlamak, gelecekte neredeyse kesin bir hizmet reddine yol açabilir
      İnsanlar parolalardan nefret ediyor, ama gerçekçi olarak birçok durumda ve tehdit modelinde parola en iyi uzlaşma. /dev/randomdan 32 bayt veya daha fazlasını çekip istediğiniz şekilde kodlarsanız bu evrende kimse kaba kuvvetle kıramaz; parola yöneticisi de yeniden kullanım sorununu çözer
      Üstelik depolama biçimini benim kontrol edebilmem ve içim rahat edene kadar yedekli kopyalar uygulayabilmem gibi avantajlar da var
    • Söylediğin sorunların hepsine inanıyorum, ama genelde her hizmete birden fazla Passkey ekleyebilirsiniz. Hem iPhone’u hem de ucuz bir Android telefonu kaydedip yedeklilik sağlayabilir ya da Passkey’leri 1Password’de saklayabilirsiniz
      iPhone yedeği, iCloud Keychain’de saklanan öğelerin yedeğini içerir; başka bir Apple cihazınız veya kurtarma anahtarınız varsa yeniden erişebilirsiniz. Cihaz parolası ya da kurtarma anahtarı varsa her şeyi yeniden başlatabilirsiniz
      eSIM operatörün işi olduğu için özel bir durum; böyle şeyler zaten hep mağaza ve telefon görüşmelerine bağlı, baş ağrıtan işlerdi ve öyle kalacak
    • Buna ek olarak, bugün birçok web sitesi müşteri desteğinde insan bulundurmamayı övünç kaynağı gibi görüyor ve hesap kilitlendiğinde kurtarmaya yardım etmiyor. Google ve Meta böyle
    • Her şeyde olduğu gibi yedek gerekir. Birden fazla Passkey sahibi olmalısınız
      Ben neredeyse 3 tane kullanıyorum: iş istasyonumdaki Yubikey, taşınabilir Yubikey ve telefonum. Bu üçü, e-posta için Google’ı ve telefon için Apple’ı yeniden başlatmaya yetiyor. Geri kalanlar 1Password’de ve bu yollarla erişilebilir
      En kötü acil durumda bile e-postayı bir şekilde geri alabileceğimi düşünüyorum. DNS sağlayıcısına kimlik doğrulaması yapıp MX kayıtlarını değiştirirsem işleri yeniden yürütebilirim. Yine de bunu günlük yaşam için vazgeçilmez saymam. Erişimi kaybetmek çok rahatsız edici olurdu ama ölüm fermanı gibi değil
      SMS ve Signal kişileri başka yerlerde de var; banka hesabındaki parayı çek yazarak kullanabilirim. Şirketle ilgili hesaplara ise ofise bizzat giderek erişebilirim
      Ancak Passkey’nin sıradan bilgisayar kullanıcıları için fazla karmaşık olma ihtimalinin yüksek olduğunu düşünüyorum. Ne yazık ki “her girişte sana e-posta bağlantısı göndereceğim” yaklaşımı, en kullanıcı dostu parolasız kimlik doğrulama gibi görünüyor
      Passkey’leri 1Password’e koyma alışkanlığı da içimi çok rahatlatmıyor. Sonsuza kadar ona bağlanacağımı bildiğim için. Yine de hizmeti seviyorum; taşınmak istersem en azından yeniden oluşturmam gereken hesapların listesi var
      En çok korktuğum şey telefon parolasını unutmak. Bir keresinde uyandım ve çok kötü bir anda dikkatim dağıldığı için 6 haneli parolayı bir türlü hatırlayamadım. İş istasyonunun kilidini açmak için de aynı kodu kullanıyorum. Bir süre başka bir şeye odaklandıktan sonra kas hafızasıyla zar zor hatırladım
      Gerçekten “az önce felç mi geçirdim acaba” dediğim bir andı. Şimdi o parolayı 1Password’de saklıyorum; kilidi açık tek bir cihazım bile varsa hafızamı tazeleyebiliyorum. Epey eski bir olaydı ve demans olduğunu sanmıyorum, sadece tuhaf ve geçici bir durumdu
      Buna karşılık işte kullandığım, ömrü en fazla 1 yıl olan parolaların hepsini kusursuz hatırlıyorum. Tabii 6 haneli sayıyı hatırlayamazsam pek işe yaramıyor
    • Çığlık atarak kaçmadan önce yazıyı okumak zorunda kalmayın diye özetleyeyim: Yazıda hâlâ parolayla giriş yapılabildiği ve “mümkün olduğunda parolayı atla” seçeneğini kapatırsanız Passkey’leri reddedebileceğiniz söyleniyor
      Yani yakında parolalar da “Killed by Google” listesine girecek, benim hesabım da onunla birlikte girecek gibi. Ben hiçbir cihazı giriş yapılmış halde bırakmıyorum
      Artık kalan birkaç kullanım alanını da taşımanın zamanı çoktan geldi. Kaçınılmaz durum geldiğinde şirketin iş hesabı Passkey’mi sıfırlayıp sıfırlayamayacağını merak ediyorum
  • Bunun doğru yön olduğunu düşünüyorum ama Google ya da iCloud hesaplarından kilitlenip gerçekten geri almanın hiçbir yolu kalmayan çok fazla korku hikâyesi gördüm.
    Sanırım böyle düşünen tek kişi ben değilim; bir gün, muhtemelen kendi hatam yüzünden Google’dan kilitleneceğim ve dijital hayatım bitecek gibi geliyor.
    Özel bir şirket login.gov benzeri bir giriş yöntemi sunup, kilitlendiğinizde USPS’te olduğu gibi gerçek bir insanla konuşmanıza imkân verse, bunun için seve seve para öderdim.

    • Bu özellikle sıradan kullanıcılar ve yaşlılar için daha büyük bir sorun; Google’ın desteğinin neredeyse hiç var olmadığı bir geçmişi var. Üstelik Passkey’in kendisi de kusurlu bir sistem.
      https://mastodon.laurenweinstein.org/@lauren/111103819626952...
      https://mastodon.laurenweinstein.org/@lauren/111211366080459...
    • Felaket kurtarma, iki aşamalı doğrulama ya da çok faktörlü kimlik doğrulamada en büyük endişem. PGP gibi şeylerin yaygınlaşamamasının nedenlerinden birinin de bu olduğunu düşünüyorum. Her zaman küçük ve değerli bir şeyi yönetmeniz gerekiyor; onu kullanamaz hâle gelmenizin ya da kötü niyetli birinin kullanmasının sonuçları sorun yaratıyor.
    • “Hesabınızdan kilitlenebilirsiniz”, eski “sabit diskler bir gün bozulur” sözünün güncel versiyonu.
      Bu bir if değil, when meselesi. Verilerine önem veren biri için yedekleme ve kapsamlı bir felaket kurtarma planı şart. Bir şirket, sizin hatanız olmasa bile bir şeyleri bozacak; bundan kaçış yok.
      Ne yazık ki kaybedilen bir hesabın bazı yönleri için iyi felaket kurtarma seçenekleri yok; ama birden fazla hesap kullanmak ve tekil hata noktalarından kaçınmak bir ölçüde yardımcı olur.
    • Kötümser senaryoları hayal etmek, eyleme dönüşüyorsa faydalıdır. Bu durumda uygun eylem, Google hesap kurtarma seçeneklerini öğrenip kullanmaktır.
      Giriş yapabilmek için birden fazla bağımsız yönteminiz olmalı. Örneğin yedek kodları yazdırıp önemli belgelerle birlikte saklamak gibi.
      Ancak bu bile Google politika değişiklikleri yüzünden hesaptan kilitlenmeyi engellemez; bu yüzden ideal olarak Google hesabı olmadan idare etmeyi de prova etmek gerekir.
    • %100 katılıyorum. Şifresiz gelecek heyecan verici, ama açıklamasız tek bir engelleme fiziksel cüzdanı kaybetmeye benzer hâle geliyor.
  • Lauren Weinstein, Passkey’in kusurlu olduğu ve özellikle sıradan kullanıcılar için devasa bir baş ağrısına dönüşeceği konusunda uyarıyor.
    https://mastodon.laurenweinstein.org/@lauren/111103819626952...
    https://mastodon.laurenweinstein.org/@lauren/111211366080459...

    • Doğru. Benim de birkaç yıldır benzer şikâyetlerim vardı.
      Gizlilik ve tedarikçi bağımlılığı sorunlarını şimdilik bir kenara bırakırsak, Passkey, iki aşamalı doğrulama olmadan tüm web sitelerinde aynı temel şifreyi yeniden kullanan insanlar için çok kötü bir alternatif değil.
      Ama gerçekten bir şeyi korumak için buna güvenmeye başladığınızda hızla devasa bir kâbusa dönüşüyor. Üstelik bunun şifre + iki aşamalı doğrulamayla eşdeğer gibi ele alınması durumu daha da kötüleştiriyor.
    • Kusurun ne olduğu nerede açıklanıyor?
      “Bulması kolay” deniyor ama ben bulamıyor gibiyim.
      https://mastodon.laurenweinstein.org/@lauren/111211489395997...
      Kullanıcının zaten zayıf bir servis şifresi kullanma olasılığı yüksekse, zayıf bir cihaz parolasının neden Passkey’den kaçınmak için sebep olduğunu anlamıyorum.
    • Baş ağrısının ne olduğu net değil. Tartışma, Passkey’in çoğu sıradan kullanıcı için doğuracağı sonuçlarsa, büyük çoğunluk mobil cihazlarında Google hesabına giriş yapmış durumda.
      Bu durumda cihaz kimlik doğrulaması aşılırsa hesap da zaten ele geçirilmiş demektir.
      Özellikle Google’da şu an şifre ile Passkey’den yalnızca birini seçmek zorunda olduğunuz bir yapı yok. Cihazda Passkey yoksa şifreyle giriş akışına geri dönebilirsiniz.
    • Bu tartışma veri olmadığı için sinir bozucu. Hangi riskin diğerinden daha kötü olduğuna dair görüşlerle dolu.
      Riskleri ve faydaları karşılaştırmak için insanların gerçekte şifreleri ne kadar yeniden kullandığını, iki aşamalı doğrulama kullanıp kullanmadığını, tüm hesap erişimini yalnızca telefon ekran kilidine dayandırıp dayandırmadığını, biyometrik doğrulama kullanıp kullanmadığını, hesap kurtarmaya ne kadar ihtiyaç duyulduğunu vb. bilmek gerekiyor.
      Tartışmayı ancak bu veriler toparlayabilir ve herkesin kendi durumuna göre farklı sonuçlara varmasına da imkân tanır.
      Google bu verilerin çoğuna sahip. İddiasını desteklemek istiyorsa bunları açıklamalı.
    • “Zayıf cihaz kimlik doğrulaması” mı? Günümüzde telefonların hepsinde parmak izi ya da yüz tanıma olduğunu sanıyordum.
  • 1Password yakın zamanda Passkey desteğini açtı; ancak 1Password dışına aktarmanın bir yolu olmadığını fark edince “şaşırdım”
    1PUX biçimindeki dışa aktarıma da CSV’ye de dahil edilmiyor
    Yani kelimenin tam anlamıyla yedeklemek mümkün değil. 1Password çökerse, şirket kapanırsa ya da benzer bir şey olursa Passkey öylece kayboluyor. Kurtarmanın hiçbir yolu yok

    • Şu anda Passkey alanındaki büyük oyunculardan hiçbiri Passkey dışa aktarma ya da içe aktarmayı desteklemiyor. Çünkü bunu güvenli biçimde yapacak spesifikasyon üzerinde henüz anlaşılmış değil ve kimse Passkey’in düz metin olarak dışa aktarılmasına izin vermek istemiyor
      Bu konuyla ilgili yakın tarihli 1Password Passkey AMA yazısına bakın:
      https://old.reddit.com/r/1Password/comments/16to6x7/hey_redd...
      1Password’ün devre dışı kalması durumuna gelirsek, parolalar ve Passkey’ler cihazlara senkronize edilirken yerel olarak da saklanıyor. Herhangi bir nedenle 1Password’e erişemez hale gelseniz bile kasadaki tüm öğelere erişmeye devam edebilirsiniz; yalnızca cihazlar arası senkronizasyonu yapamazsınız
    • Passkey’in amacı da bu değil mi? Kullanıcının doğrudan elle işleyememesini sağlayıp sosyal mühendislik saldırılarıyla çalınmasını önlemek
      Passkey’i cihazlar arasında taşımaktan ziyade, SSH anahtarları gibi her cihaz için ayrı bir Passkey oluşturup ilgili servislerin hepsine kaydettirmek şeklinde düşünmek gerekir
      Elbette kullanıcı, saldırganın Passkey’ini kendi hesabına eklemeye kandırılabilir
    • Anneme geçmesini önerirken bu konuda konuşmuştuk; e-postası internet sağlayıcısına bağlı olduğu için internet sağlayıcısını değiştirmekten korkuyor
      Mobilde bu sorun yıllar önce çözüldü ama e-posta hâlâ karmakarışık. Çıkarılacak ders, asla bağımlı kalmamak
    • Üçüncü taraf, self-hosted parola yöneticileri arasında gerçekten dışa aktarma ve güvenli yedekleme yapabilen uyumlu bir Passkey uygulaması sunan var mı?
    • 1Password’ün Passkey desteği epey agresif bir growth hacking gibi hissettiriyor
      window.credentials çağrılarını yakalıyor; Yubikey gibi başka doğrulama yöntemleriyle 1Password’ü birlikte kullanmak istiyorsanız ayarlara girip Passkey özelliğinin tamamını kapatmanız gerekiyor
      Google One Tap istemini yakalayıp genel olarak devre dışı bırakarak kendi OAuth istemini göstermesine de benziyor. Ben yalnızca Chrome eklentisini kullandığım için yerel uygulama deneyimi çok farklı mı bilmiyorum
  • Kullanıcı açısından hâlâ anlaşılır değil
    Evde yangın çıkar da Google’da oturum açılmış tüm cihazlar bozulursa ne olur? Hesaba tekrar nasıl giriş yapılır?

    • Tam olarak böyle bir şey eşimin ailesinden birinin başına geldi. Telefonunu merdivenden düşürdü; ekran kırıldı ve tepki vermemeye başladı
      Ona eski bir telefon verdik, SIM’i sorunsuz taşıdık ama Google hesabına bir türlü giriş yapamadık. Çünkü Google ısrarla “telefonunuzu kullanın” diye yönlendirip durdu. Dizüstü bilgisayarda da e-postadan çıkış yapılmıştı
      Neyse ki önceki bir olay yüzünden bende yedek token vardı da çözdük. Diğer insanlar ne yapar bilmiyorum
    • Google’ın bunu nasıl çözdüğünü bilmiyorum ama eski bir çözüm var: Shamir Secret Sharing
      Anahtarı M parçaya bölüp yeniden oluşturmak için bunlardan N tanesinin gerekmesini sağlıyor. Örneğin 3/8 ise 8 parçadan 3’üyle anahtar kurtarılabiliyor. Her parçayı güvendiğiniz kişilere emanet ediyor, kurtarma sırasında en az 3 kişiden parçaları alıp anahtarı geri oluşturuyorsunuz
      multipasskey adlı YC demosunda bunu uyguladığımda, güvenilen kişileri seçtiriyor ve arka planda anahtar parçalarını onlara gönderiyordum. Kurtarma gerektiğinde onlardan talep ediliyor, yeterli parça alınınca cihaz anahtarı yeniden oluşturuluyordu. Cihaz anahtarı oluşunca uzak sunucudan şifrelenmiş anahtar yedeği indirilip yeniymiş gibi geri yükleniyordu
      2017/2018’de bu projeyi multipasskey diye adlandırıp çalışan bir demoyla YC’ye başvurmuştum ama reddedildim. Herhalde iyi anlatamadığımı düşündüm
    • Ek olarak, bu yazının temel teknik olmayan soruları yanıtlayan bir SSS’ye bağlantı vermemesi epey zayıf
      Bir teknisyen olarak bunun, bir arkadaşınıza yedek cihaz bırakmak ya da Passkey’i Apple/Microsoft/parola yöneticisi hesabınızda da saklamak gerektiği anlamına geldiğini tahmin ediyorum
      Ama Google’ın bunu daha ayrıntılı açıklaması gerekiyor
    • Gerçekten yangın yaşadım. Ev sahibim telefonumu alıp bana verdiği için yalnızca o kaldı; tüm eşyalarımı kaybettim. Öyle olmasa TOTP uygulamalarımın hepsi orada olduğu için tamamen kilitlenirdim
      Ayrıca telefon numaranızı kesinlikle kaybetmemelisiniz. Kullanıcı adı, parola ve kurtarma e-postası olsa bile SMS kodunu alamadığınız için Google hesabınıza tekrar giremiyorsunuz
    • Passkey yeni bir teknoloji; kullanıcıların, servis sağlayıcıların ve organizasyonların öğrenip uyum sağlaması zaman alacak
      Bu geçiş döneminde, Passkey’i mevcut sunulan yöntemlerin alternatifi olarak sağlamak öneriliyor. Google ve birçok servis sağlayıcı da böyle yapıyor
      Ancak sorduğunuz soru, Passkey olmasa da herkesin sorması gereken hesap kurtarma meselesi. Parolanızı unutursanız, parola yöneticinize erişemezseniz ya da ikinci doğrulama cihazınızı kaybederseniz nasıl giriş yapacağınız konusunda bir planınız olmalı. Passkey’e geçiş, hesap kurtarma derdini tamamen ortadan kaldırmaz
      Yine de Passkey’in hesap kurtarmada daha iyi olduğu özel durumlar var. iCloud Keychain kullanan Apple cihazında Google hesabı için bir Passkey oluşturursanız bu Passkey iCloud’a senkronize edilir. Böylece eviniz yanıp tüm cihazlarınızı kaybetseniz bile iCloud hesabınıza erişebildiğiniz sürece Google hesabınızın ve diğer web sitelerinin Passkey’lerini geri alabilirsiniz
      Elbette “Apple iCloud hesabına erişimi kaybederseniz?” sorusu meşru. Bu yüzden hesap kurtarma sorunu tamamen ortadan kalkmıyor; ama birçok durumda Passkey ile ciddi ölçüde azalabiliyor
  • Burada Simpson paradoksu var
    Ortalama olarak güvenliği artırabilir. Çünkü kullanıcıların büyük çoğunluğu parolaları çok kötü kullanıyor
    Ama parolaları güvenli kullanan deneyimli kullanıcılar için, zorunlu tutulursa güvenlik keskin biçimde düşer
    Zorunlu telefon numaralı 2 adımlı doğrulama da aynı etkiye sahip. Big G söz konusu olduğunda zorunlu telefon numaralı 2 adımlı doğrulama, güvenlik kılıfına sokulmuş bir yarı-anonimlik karşıtı politikadır. Bu durumda ise biyometrik bilgi elde etme girişimi gibi görünüyor

    • “Zorunlu telefon numaralı 2 adımlı doğrulama, güvenlik kılıfına sokulmuş bir yarı-anonimlik karşıtı politikadır” sözü ikisi birden olabilir. Aslında bunun böyle olma ihtimali çok yüksek
      Telefon numarası çoğu insanın sahip olduğu en iyi uzun vadeli kimliktir ve Google milyarlarca kullanıcının hesap kurtarmasını akıl almaz bir ölçekte desteklemek zorunda
      Birçok kişi parolasını ve cihazlarını kaybeder, ama telefon numarasını kaybeden çok azdır
      Dolayısıyla Google'ın kendi platformunda kimlik atamak ve devretmek için telefon numarası kullanması mantıklı bir sonuç. Gizlilik için kötü, ama kullanıcıların doğrudan yönetmek zorunda kalmadığı üçüncü taraf doğrulama “kimlik bilgisi” olarak verileri kontrol etmeyi sağladığı için güvenlik açısından çok iyi
    • Deneyimli kullanıcılar parolaları güvenli kullandığında güvenlik neden keskin biçimde düşüyor? Cihaz çalınabileceği ve PIN tahmin edilebileceği için mi? İsterse PIN yerine uzun bir parola kullanamaz mı?
      Ayrıca bu kısımdan emin değilim; bilen biri düzeltirse iyi olur. Zayıf parola, yeniden kullanım ve phishing'e karşı bağışık deneyimli bir kullanıcı varsaysak bile, güvenlik açısından bir avantajı olduğunu anlıyorum. Google Passkey sızsa bile sızan şey yalnızca açık anahtar olur; açık anahtarla giriş yapılamayacağı için sızıntı neredeyse işe yaramaz hale gelir
    • Biyometrik bilgi, yerel cihazdaki anahtar deposunun kilidini açmak için kullanılır; onun içinde özel anahtar bulunur. Buradan açık anahtar türetilebilir ve Passkey'in özü, web sitesi girişini doğrulamak için kullanılan açık anahtar/özel anahtar çiftidir
      Google biyometrik bilgi topluyor olsaydı bunu zaten yapıyor olurdu ve bunun bu özellikle ilgisi yok
      Bu güvenlik modelinin çok temel ayrıntıları, iPhone'un Secure Enclave kullanmaya başladığı dönemlerden beri uzun zamandır doğru. Bu sitede insanların hiç anlamadıkları konularda neden bu kadar kesin konuştuklarını bilmiyorum ve açıkçası şaşırıyorum
      Passkey, bir sunucuya girişte SSH parolası yerine SSH anahtarı kullanmanın ahlaki açıdan eşdeğeridir; bunun web sitelerine uygulanmış halidir. Üstelik nesnel olarak da “parolaları güvenli kullanıyorum” düşüncesiyle değiştirilemeyecek basit bir gerçek var: Passkey kelimenin tam anlamıyla phishing'e dayanıklıdır
    • Passkey, Google'a veya Apple'a bağımlı değildir. Şirketlerin ve devletlerin ihtiyaç duyduğu gibi, kendi sahip olduğunuz saklayıcı veya yöneticiyi kullanabilirsiniz
  • Bunu şimdiden dayatmaları şaşırtıcı. Geçen hafta itibarıyla bile uygulamada yeterince pürüz vardı; bu yüzden kendi Workspace tenant'ımda devre dışı bıraktım
    En sinir bozucu iki şey şunlar: Advanced Protection henüz Passkey'i desteklemiyor, bu yüzden bir süre daha U2F'yi korumak gerekiyor; ayrıca hesapta U2F anahtarı ayarlıysa Google önce onu Passkey olarak kullanmanızı söylüyor, sonra Passkey olmadığı için parolayla giriş yapmanızı istiyor
    Sonuç olarak phishing'e dayanıklı çok faktörlü doğrulama kullananlar, cihazda çok faktörlü doğrulama adımını “hatırlatma” özelliğini kaybediyor. Çünkü Google her zaman paroladan önce U2F doğrulama faktörünü istiyor
    Bundan ayrı olarak, birkaç küçük müşteriye Okta tabanlı parolasız giriş dağıtmaya hazırlanırken güvenlik anahtarları ve Passkey kullanan FIDO2 akışlarını cihaz türleri ve platformlar genelinde epey test ettim. Kimlik doğrulama akışının kendisini genel olarak beğeniyorum, ama dikkat edilmesi gereken çok sayıda tuzak var
    Mutlu yolu netleştirmek, onboarding materyalleri hazırlamak ve iş sürekliliği senaryolarını belgelemek için epey zaman harcadım. Kişisel kullanım senaryoları bazı açılardan daha zor; tek bir IdP değil, her bir servisi düşünmek gerekiyor
    Birden fazla ortamı desteklemeniz gerekiyorsa şu an kolay yol, 1Password'e veya Passkey destekleyen başka bir parola yöneticisine yatırım yapmak. En tutarlı kullanıcı deneyimini sunuyor ve çoğu platformda çalışıyor, ancak Android 14'te hâlâ sorunlar var
    Yüksek ayrıcalıklı hesaplarda donanım anahtarları kullanmaya devam edeceğiz; bu yüzden yöneticiler bir çift FIDO2 anahtarı alıyor. Diğer herkes bir Yubikey alıyor; cihaz erişimini kaybettiklerinde veya güvenilmeyen bir cihazdan giriş yapmaları gerektiğinde yedek işlevi görüyor. Android burada da sorunlu. 14'te bile parolasız FIDO2 akışlarını desteklemiyor gibi görünüyor

    • Android neden desteklesin ki? Passkey, Google'a müşterileri kilitlenme etkisine bağlamak için bir fırsat daha veriyor
  • İlginç bir yön. Ancak parmak izi veya yüz tanıma gibi biyometrik bilgilerin aslında “gizli” olmadığını belirtmekte fayda var
    Kullanıcının farkındalığı veya rızası olmadan gözlemlenebilir ya da kullanılabilir ve birçok açıdan paroladan çok kullanıcı adı gibi davranır

    • Parolalar da tanımı gereği paylaşıldığı için tamamen gizli değildir. Passkey açık anahtar kriptografisi kullanır ve her açıdan daha güvenlidir
    • Cihaza fiziksel erişim ve parmak izi ya da yüz de gerekmiyor mu?
    • Passkey'in kendisi biyometrik doğrulama değildir. Örneğin TouchID kullanmanız, Google'ın kullanıcıyı parmak iziyle doğruladığı anlamına gelmez
      Parmak izi yalnızca doğrulamada kullanılacak kriptografik anahtar çiftinin kilidini açar
      Ben Yubico Security Key'i Passkey olarak kullanıyorum ve 6 haneli PIN ile korunuyor. Bu PIN yalnızca cihazda yereldir ve cihazı fiziksel olarak elinde bulunduran kişinin doğrudan giriş yapmasını engellemek içindir. PIN'i üst üste 10 kez yanlış girerseniz anahtar silinir
      PIN'i girdiğinizde anahtarın kilidi açılır ve Google hesabına girmenizi sağlayan şey işte o anahtardır
  • Parolası olan çoğu hesapta “şirkete kimliğini kanıtlarsan sıfırlarlar” şeklinde bir güvenlik mekanizması vardır. Banka parolanızı hatırlamıyorsanız bankanın sıfırlayabileceği bir yol olması gibi
    Google'ın kontrol ettiği şeylerde sorunu çözmek için iletişim kurabileceğiniz hiçbir yol yok. Bu zaten tüm Google ürünlerinde bir sorun
    Tüm erişimi Google'ın kontrol ettiği kapıların arkasına kilitlemek, gelecekteki bir kâbusa kendi kendine hazırlanmak demek

  • Passkey'i hâlâ Bitwarden'da saklayamamak üzücü. Yine de bu sayfanın üstündeki mesaja göre ekim ayında gelecek gibi görünüyor
    https://bitwarden.com/blog/bitwarden-passkey-management/