"E-posta kimlik doğrulamadır" kalıbı

 (rubenerd.com)
4 puan yazan GN⁺ 2024-09-09 | 1 yorum | WhatsApp'ta paylaş
  • Çoğu insan reklam engelleyici, kısıtlı JavaScript veya parola yöneticisi kullanmıyor
  • Birçok kişi şu tür bir oturum açma sürecinden geçiyor
    • Giriş sayfasına git
    • "Parolamı unuttum"a tıkla
    • E-postaya git
    • Kurtarma bağlantısına tıkla
    • Hatırlamayacağın geçici parolayı gir
    • Tekrar et
  • İnsanlara neden böyle bir süreçten geçtikleri sorulduğunda, çoğu sebebini bilmiyor
  • Parola yöneticileri, kimlik hırsızlığı riski ve iki aşamalı ile çok faktörlü kimlik doğrulamanın gerekliliği zaten çokça tartışıldı
  • İnsanların neden "Parolamı unuttum"u bir kimlik doğrulama yöntemi olarak kullandığı sorgulanıyor
  • Bu bilinçli bir karar değil, zaman içinde oluşmuş bir alışkanlık
  • Bu alışkanlıktan yararlanarak insanların sistemleri daha iyi yollarla kullanmasını sağlayacak şekilde tasarım yapılıp yapılamayacağı üzerine düşünülüyor

GN⁺ Özeti

  • Bu yazı, insanların parola unuttum süreci üzerinden kimlik doğrulaması yapma alışkanlığını ele alıyor
  • Parola yöneticileri ile iki aşamalı kimlik doğrulamanın gerekliliği zaten sıkça tartışılmış olsa da, insanların neden belirli bir süreci izlediği sorusunu gündeme getiriyor
  • Bu alışkanlıktan yararlanarak daha iyi güvenlik sistemleri tasarlama ihtimalini inceliyor
  • Benzer işlevlere sahip ürünler arasında LastPass ve 1Password bulunuyor

İlgili okumalar

1 yorum

 
GN⁺ 2024-09-09
Hacker News görüşü

  • E-posta hesabı, çevrimiçi kimlik doğrulamada en yaygın yöntemdir

    • Telefon numarası da güçlü bir alternatiftir, ancak insanlar cep telefonlarını kaybedebilir
    • Telefon numarası güvenliği, e-posta hesabına göre daha düşüktür
    • Kullanıcı kimlik doğrulama sistemi tasarlanırken hesap kurtarma da düşünülmelidir

  • Bir işletme kolaylık sunduğunda, e-posta doğrulama sistemi kullanır

    • Kullanıcı e-posta adresini girer
    • Doğrulama kodu e-posta ile gönderilir
    • Kullanıcı kodu girince giriş durumu "süresiz" olarak korunur
    • Yeni bir e-posta ise hesap otomatik olarak oluşturulur
    • Bazı kullanıcılar birden fazla e-posta kullandığı için yanlışlıkla yeni hesap oluşturabilir
    • Bu yöntem, kayıt ve giriş dönüşüm oranını büyük ölçüde iyileştirir

  • Parola tabanlı kimlik doğrulama sistemi gerçekçi değildir

    • Parolalar iki şekilde kullanılır
      • Parola yöneticisi üzerinden tek bir ana parolayla korunur
      • Aynı parola birden fazla hizmette tekrar tekrar kullanılır
    • Çoğu hizmet e-posta ile hesap kurtarma sunar
    • Kişisel e-posta hesabı neredeyse hiç değiştirilmez, paylaşılmaz ve yeniden kullanılmaz

  • Giriş yapmak için e-posta ile tek kullanımlık URL bağlantısı gönderme yöntemi öneriliyor

    • Bağlantı 10 dakika içinde sona erer ve tek kullanımlıktır
    • Bağlantıya sahip olan kişi giriş yapabilir, ancak bağlantıya yalnızca e-postadan erişilebilir
    • Güvenlik e-posta hesabına dayanır

  • Hizmet sağlayıcıların kullanıcıya zorluk çıkarmasının nedeni basittir

    • E-posta sağlayıcılarında oturum neredeyse hiç sona ermez
    • Hizmetin kimlik doğrulama token'ı Gmail oturum süresiyle aynı olacak şekilde ayarlanabilir veya OTP ile girişe izin verilebilir

  • Çoğu insan bilgisayarda bir şeyi deneyip çözmeye çalışır

    • Yazılım, sistemi iyi anlayan kişiler tarafından yapılır; ancak kullanıcılar böyle değildir
    • Kullanıcılar işe yarayan bir kalıp bulunca ona bağlı kalır
    • Birçok okul tablet kullandığı için bilgisayar kullanma hissi yeterince gelişmez

  • Parolayı unutma adımını atlayıp e-postayı kimlik doğrulama olarak kullanan siteler vardır

    • E-posta adresini gir
    • Kod içeren bir e-posta al
    • Kodu girdikten sonra giriş yap
    • Birden fazla e-posta kullanan kişiler için bu rahatsız edici olabilir

  • Best Buy benzer bir yöntem kullanıyor

    • Parola yöneticisiyle parola saklansa da, ATO koruması nedeniyle parola geçersiz görünüyor
    • Sorunu çözmeye çalışırken insan yoruluyor ve en kolay yöntemi izliyor

  • Giriş akışı benzerdir

    • A) Web sitesini ziyaret et, parola yöneticisiyle parolayı kopyalayıp yapıştır, e-posta ile TOTP isteği al
    • B) Web sitesini ziyaret et, "parolamı unuttum"a tıkla, giriş bağlantısı al, rastgele bir karakter dizisi gir
    • B yöntemi bazen daha hızlıdır

  • Kullanıcıların parolayı kaydetmemesinin nedeni parola yöneticisinin olmamasıdır

    • Parola yöneticisini bilseler bile, paylaşımlı bulut PC üzerinde çalışırken hesap değiştirmek zahmetlidir
    • Parola kaydetme özelliği olmayan sitelerde parolalar kaydedilmez