Passkeys: Paramparça Olan Bir Hayal

 (fy.blackhats.net.au)
7 puan yazan GN⁺ 2024-04-27 | 3 yorum | WhatsApp'ta paylaş

Passkeys hakkındaki hayalin yıkılmasının nedeni

Hayal

  • 2019'da yazar, Rust için bir Webauthn kütüphanesi geliştirmeye başladı
  • O dönemde bu teknolojinin parolaların yerini alabileceğine dair iyimserlik vardı
    • 2 aşamalı kimlik doğrulama, parolasız kimlik doğrulama ve kullanıcı adsız kimlik doğrulamayı destekleyebileceği düşünülüyordu
  • Yazarın geliştirdiği kütüphane sektör üzerinde büyük etki yarattı

Uyarı işaretleri

  • Chrome pazara hakim olduğu için, Chrome desteklemezse bunun standart dışında kalması gibi bir sorun var
    • Authenticator Selection Extension bunun en tipik örneği
  • ABD'de yapılan yüz yüze toplantılarda önemli kararların alınması da bir başka sorun
    • Uluslararası katılımcıların dışlandığı bir durum ortaya çıkıyor

Düşüş

  • 2022'de Apple, Passkeys'i duyurdu
    • İlk başta iyi tasarlanmış gibi görünse de, daha sonra liderin açıklamasıyla Passkey, Resident Key olarak tanımlandı
    • Bu da depolama alanı küçük olan güvenlik anahtarlarını dışlayan bir sonuca yol açtı
  • Sonrasında Passkey, kullanıcıları platforma kilitlemenin bir aracına dönüştü

Kötüleşen durum

  • Chrome ve Safari, güvenlik anahtarları yerine caBLE kullanımını dayatıyor
    • Kullanılabilirliği oldukça düşük bir yöntem
  • Android, Passkey destekleyen web sitelerinde güvenlik anahtarı kullanımını engelliyor
    • Geliştirici örnekleri yalnızca Google Passkey kullanılmasına yönlendiriyor
  • Kullanıcılar Passkey kullanırken çok sayıda zorluk yaşıyor
    • Hatalar, karmaşık süreçler, anahtar kaybı gibi sorunlar yaşanıyor
  • Apple Keychain'de Passkey'lerin silinmesi sık yaşanan bir durum

Görünüm

  • Yazar, Passkey'nin genel tüketici için başarısız olacağını öngörüyor
    • Şirketlerin çıkar arayışı nedeniyle kullanıcı deneyimi zarar görüyor
  • Hatta yazarın partneri, parola yönteminin Passkey'den daha iyi olduğunu söylüyor
  • Kurumlarda güvenlik anahtarlarına hâlâ ihtiyaç var, ancak kullanılabilirlik sorunları sürüyor
  • Yazar, webauthn-rs projesini sürdürmeye devam edecek, ancak Passkey yerine başka seçenekler arıyor

GN⁺ görüşü

  • Passkey'nin güvenlik anahtarlarını dışlayıp platform bağımlılığını derinleştiren bir yöne gitmesi kaygı verici bir nokta. Kullanıcının seçim hakkını sınırlamak pek doğru görünmüyor.
  • Teknolojiyi geliştirirken kullanılabilirliği de iyileştirmek gerekiyor. Aşırı derecede karmaşık ya da kısıtlayıcı olmaması gerekir.
  • Az sayıda şirketin etkisinin büyümesiyle standartlaştırma sürecinde sorunlar ortaya çıkması da acil çözüm gerektiriyor gibi görünüyor. Daha açık ve şeffaf bir karar alma yapısı oluşturulmalı.
  • Alternatif olarak önerilen cihaz sertifikası veya akıllı kart yaklaşımı ilgi çekici görünüyor. Mevcut Passkey'nin sınırlamalarını aşarken kullanılabilirliği de iyileştirebilecek bir yol olabilir.
  • Hâlâ bir geçiş döneminde olunduğu için, bundan sonra da sürekli teknik gelişim ve kullanıcı geri bildiriminin toplanması gerekecek gibi görünüyor. Farklı paydaşların iş birliği yaparak daha iyi bir kimlik doğrulama sistemi oluşturması umuluyor.

İlgili okumalar

3 yorum

 
2024-04-28
[Bu yorum gizlendi.]
 
GN⁺ 2024-04-27
Hacker News görüşleri

  • Passkey'lerle ilgili en büyük sorun, bunları sunan şirketlere güvenilememesi. Güvenlik gerekçesiyle platforma kilitleniyorlar ama bu durum çoğu zaman platform kilidiyle ayırt edilemez hale geliyor. Apple cihazında bir Passkey oluşturursanız, o cihazdan asla çıkarılamıyor ve bunu değiştirmenin de bir yolu yok. Bu, phishing'e karşı güvenli ama Apple anahtarı silerse ya da iPhone'u elden çıkarmak istersem ne yapacağımı bilmiyorum.

  • Passkey'lerle ilgili uzun tartışmalarda, güvenliğin "bildiğiniz bir şey" kısmından garip bir kaçış görülüyor. ABD'de mahkemeler ve kolluk kuvvetleri kullanıcı adı, parmak izi, retina taraması, Face ID vb. şeyleri yasal olarak elde edebilir, ama beyninizden bir şey çıkarmaya hakları yoktur. Passkey'ler, "bildiğiniz bir şey"i "sahip olduğunuz bir şey" ile değiştirmeyi tercih ediyor; bu da güvenlik açısından bir kabus.

  • Karşı görüş: Passkey'leri seviyorum. Firefox tarayıcısını ve 1Password yöneticisini kullanıyorum; iPhone'da da 1Password + Firefox kullanıyorum. passkeys.directory'ye bakıp GitHub, Google, Microsoft vb. girişlerimi Passkey'lere çevirdim. "Passkey ile giriş yap" yerine "Touch ID ile giriş yap" gibi ifadeler kafa karıştırıyor. 1Password, Passkey'leri cihazlar arasında senkronize ediyor. Ortak kullanılan bir bilgisayarda giriş yapmak gerekirse rahatsız edici olabilir ama bunu çok sık yapmıyorum.

  • Passkey'lerden hâlâ kaçınıyorum çünkü henüz net bir zihinsel model yok. Mevcut parola yöneticimle oluşturulmuş rastgele parolalar kullanıyorum, bu yüzden geçiş yapma ihtiyacı hissetmiyorum. Kullanıcı adı/e-posta + parolayı anlıyorum ama "uygulamaya özel parola" çilesini hatırlayınca bazı açık kaynak/CLI araçlarının Passkey'lerle iyi entegre olmayacağından endişe ediyorum; ortalık durulana kadar beklemek daha iyi gibi.

  • Apple Keychain ekosistemine tamamen yatırım yaptım ve birden fazla Apple cihazım var; bu yüzden Passkey'ler harika. Bir geliştirici olarak zayıf SMS 2FA'nın sınırlarını her gün görüyorum. Kullanıcılar sosyal mühendislikle kolayca kandırılıp 2FA kodlarını verebiliyor. Passkey'ler daha güvenli bir çözüm sunuyor; böylece geliştiricilerin, kullanıcıların müşteri hizmetlerini arayıp kodu yüksek sesle okumalarından endişe etmesi gerekmiyor. SIM swapping ile Passkey ele geçirilemez ve bir dolandırıcıyla Passkey paylaşılamaz.

  • Teknik biri olarak Passkey'lerin nasıl çalıştığını, neden daha iyi olduğunu ve tam olarak ne olduklarını pek bilmiyorum. Bir güvenlik özelliği, kullanıcı adı ve parolayı hatırlayıp güvenli bir yerde saklamak kadar basit değilse işe yaramaz. Cihazdaki anahtarlardan bahsediliyor ama hem telefon hem PC kullandığımda bunlara nasıl erişeceğim, başlangıçta kullanıcı adı/parola gerekip gerekmediği ya da cihaza takılan bir anahtara ihtiyaç olup olmadığı aklımı kurcalıyor.

  • Usernameless bana aşırı optimize edilmiş gibi geliyor. Kullanıcının giriş yaparken kullanıcı adını kullanması mantıklı ve iyi bir şey. Hangi kullanıcı adını kullandığını hatırlatıyor. Bir kullanıcı, Usernameless Passkey ile bir hizmete erişirken bir nedenle Passkey'sini kaybedebilir ve ayrıca o hizmette kullandığı kullanıcı adını da unutabilir; bu durumda hesap kurtarma sürecini başlatamaz.

  • Passkey'lerin teknik olarak nasıl çalıştığını bilmeyenler şu uygulama rehberine bakabilir: https://webauthn.guide/ Passkey'lere yönelik nefreti anlamıyorum. Kimlik doğrulama için açık anahtar challenge modeline geçmek, web güvenliği için büyük bir ilerleme. Her tarayıcı/işletim sistemi özel anahtarı koruyor ve yedekliyor. Anahtarı kaybetseniz bile, kimlik bilgilerini sıfırlamak için "parolamı unuttum" akışını kullanabilirsiniz.

  • Passkey kullanımını değerlendirebilmem için şu gereksinimlerin karşılanması gerekiyor:

  1. Yazılım içinde Passkey saklayabilmeliyim (güvenlik sorunları olsa bile)
  2. attestation özelliğini devre dışı bırakabilmeliyim

Firefox'ta ya da Linux üzerindeki Chrome'da WebAuthn uygulamasının bu gereksinimleri karşılayıp karşılamadığını kontrol etmedim.

  • 2FA alanındaki gelişmeleri takip etmeye çalışıyorum ama Passkey'ler en kafa karıştırıcı olanıydı. Passkey'lerin yeni nesil teknoloji olduğuna dair çok fazla abartı gördüm ama gerçekte ne olduklarını ve nasıl çalıştıklarını anlatan bir açıklama bulmak zordu. Güvenlik anahtarında saklanan bir anahtar olduklarını öğrenince hayal kırıklığına uğradım. Alan adına dayalı olarak anahtarların anında üretilmesi fikri hoşuma gidiyor. Passkey'lerin avantajı, web sitesinde hangi kullanıcı adını kullandığınızı hatırlamak zorunda olmamanız; ama bu küçük bir avantaj.

  • Alan adına göre anahtarları anında hesaplayıp yeniden oluşturan (FIDO2 tabanlı mı? WebAuthn tabanlı mı?) tekniğin resmî adının ne olduğu sorusuna verilen ilgili yanıtı burada buldum: https://fy.blackhats.net.au/blog/… Anında yeniden oluşturulan anahtara "non-resident credential" deniyor.