“E-posta kimlik doğrulamadır” kalıbı
(rubenerd.com)- Bazı kullanıcılar parolalarını hatırlamak veya yönetmek yerine her seferinde “Parolamı unuttum” sürecini bir giriş yöntemi gibi kullanıyor
- Gerçek akış, giriş sayfasında kurtarma bağlantısını e-postayla almak, geçici parolayı girmek ve bir sonraki ziyarette de aynı süreci tekrarlamak şeklinde işliyor
- Bu alışkanlık, bilinçli bir güvenlik stratejisinden çok zamanla yerleşmiş öğrenilmiş bir davranışa daha yakın
- Parola yöneticileri ve iki adımlı/çok faktörlü kimlik doğrulama gibi iyileştirmeler de kullanıcıya güvenliği artırmaktan çok sürtünmeyi artıran şeyler gibi gelebilir
- Sistem tasarımının, kullanıcıların tekrarlayan davranışlarını varsayması ve onları daha iyi kullanım biçimlerine doğal şekilde taşımaya yönlendirmesi gerekir
Giriş gibi kullanılan parola kurtarma
- Bazı kullanıcılar çevrimiçi hesaplarına giriş yaparken parola girmek yerine her seferinde kurtarma sürecini tekrarlar
- Giriş sayfasına gelir
- “I forgot my password”a tıklar
- E-postasına gider
- Kurtarma bağlantısına tıklar
- Hatırlamayacağı geçici parolayı girer
- Sonrasında aynı süreci tekrarlar
- Neden böyle yaptıkları sorulduğunda yanıt veremezler ya da nedenini hiç düşünmediklerini söylerler
- Bu davranış, sabah belirlenmiş bir giriş stratejisi değil; zamanla yerleşmiş tekrarlanan bir prosedüre daha yakındır
Güvenlik iyileştirmelerinin kullanıcı için yarattığı sürtünme
- Bu yöntem, kullanıcının bir parola ifadesini hatırlamasını gerektirmeyen düşük çabalı bir çözüm olarak işler
- Parola yöneticileri, kimlik hırsızlığı, iki adımlı kimlik doğrulama ve çok faktörlü kimlik doğrulama, kullanıcı adı/parola yönteminin eskimesi zaten yaygın olarak tartışılan konulardır
- Daha iyi güvenlik prosedürleri çoğu zaman engelleri ve sürtünmeyi artırarak kullanıcıların bunları doğal şekilde benimsemesini zorlaştırabilir
- Tasarımcılar, kullanıcıların öğrenilmiş davranışlarını dikkate alıp zaman içinde daha iyi kullanım biçimlerine geçebilecekleri akışlar oluşturmalıdır
1 yorum
Hacker News yorumları
E-posta hesabı, çevrimiçi kimlik doğrulamada en yaygın ortak payda. Cep telefonu da güçlü bir aday ama kaybedilebilir; telefon numaraları daha yaygın ve daha uzun ömürlü olsa da güvenlik düzeyi büyük e-posta sağlayıcılarının hesaplarından çok daha düşük.
“İnternet için hayali bir kimlik doğrulama sistemi” tasarlayacaksanız önce hesap kurtarmaya bakmak gerekir. Harika kimlik doğrulayıcınızı kaybettiğinizde cevap “artık erişemezsin” ya da “meslektaşlardan oluşan bir kurul kimliğini kefil olur” ise, o sistemin çalışması için kullanıcılarının insan değil, hayali zeki yaşam formları olması gerekir.
İnsanların hatalardan geri dönebilmesi gerekir.
Sıradan insanlar için de çalışır hale getirilebilir mi? Bunu tasarlayacak kadar yaratıcılık olduğuna inanıyorum.
Bizim hizmetimiz oldukça hafif nitelikte bir iş olduğu için kullanıcılar hesabı yalnızca kolaylık amacıyla kullanıyor. Oturttuğumuz yöntem şöyle: Kullanıcı e-postasını giriyor, e-postayla bir doğrulama kodu gönderiyoruz, kullanıcı kodu girince fiilen süresiz oturum açık kalmasını sağlayan çok uzun ömürlü bir çerez veriyoruz.
Mevcut hesap olup olmadığı önemli değil; yeni bir e-postaysa yeni bir hesap oluşturuluyor. Bazen birden fazla e-postası olan kullanıcı yanlışlıkla yeni hesap açıyor ama kayıt ve giriş dönüşüm oranı ciddi şekilde iyileştiği için buna değer. Kodun geçerlilik süresi ve deneme sayısı için risk analizi gerekiyor; mümkünse kilitleme mekanizması kullanmak iyi olur. Hizmetiniz çok kritik değilse bu stratejiyi öneririm. iOS Mail de artık Messages’taki tek kullanımlık kod özelliği gibi bu yaklaşımı desteklediği için bazı kullanıcılar açısından oldukça rahat.
Alıcıya hesap dayatmayın, sadece gerekli ayrıntıları isteyin. Zaten tarayıcı otomatik dolduruyor. Sonrasında sipariş durumu kontrol bağlantısını e-postayla gönderin, bir sonraki siparişte e-postasını tekrar sorun. Ek sürtünme, “kayıtlı kullanıcı” elde etmenin faydasından daha büyük gelir kaybı yaratıyor.
Yalnızca başka bir cihazdan giriş yapmaları gerektiğinde yeni parola istenebiliyor. Bu, kayıt sürtünmesini ve zayıf parolaları azaltıyor. Çoğu kişi zaten başka bir cihazdan giriş yapma ihtiyacı duymuyor.
Anonimliğin korunması gereken bir alan değilse bunu yapmakta sorun yok; daha sonra passkey entegre edilebilir. Dezavantajı, parola paylaşımı imkânsız hale geldiği için tek hesap altında birden çok kullanıcıyı yönetme konusunu daha erken düşünmeniz gerekmesi. Ama bilinçli ele alındığında funnel veya kullanıcı deneyimi sonunda iyileşiyor. Ayrıca güvenlik, kullanıcıların e-posta sağlayıcılarının ortalama güvenlik düzeyine bağlanıyor ama bu genelde gereken seviyeden daha iyi. Parola, daha sonra ihtiyaç duyulduğunda ikinci faktör olarak kullanılabilir ya da başka bir faktör eklenebilir; B2B ise doğrudan SAML veya OIDCye geçilebilir. B2B veya D2C’de hep iyi çalıştı; istisnai durumlar da kazanım faydası nedeniyle çözmeye değerdi.
Kodu kopyalamak, giriş sayfasının açık olduğu sekmeyi bulmak ve yapıştırmak zahmetli.
Bu noktada e-posta adresine tek kullanımlık URL bağlantısı gönderip tek tıklamayla giriş yaptırmak yeterli olmaz mı? 10 dakika içinde süresi dolsun ve tek kullanımlık olarak geçersiz kılınsın.
Elbette bağlantıya ilk sahip olan kişi hesaba giriş yapabilir ama zaten yalnızca e-postadan erişilebilir. E-posta hesabının ötesindeki tüm güvenlik hissi uçup gidiyor ama gerçeklik zaten bu noktaya gelmiş durumda. Telefon mesajıyla “giriş doğrulaması için tıkla: www.someurl.com?p=134234535” gibi bir kalıp kullanırsanız, aptalca kod girmeyi gerektirmeyen iki adımlı doğrulama olur.
E-posta spama düşebiliyor, greylisting yüzünden saatlerce giriş yapılamayabiliyor ya da gelmesi 1 dakika sürüyor ve o bile fazla uzun hissedilebiliyor. Tavsiye eder miyim emin değilim.
Telefona gönderilen “giriş doğrulaması için tıkla” mesajı hem kodu hem bağlantıyı vermeli. Her zaman giriş yapılan cihaz telefon olmadığından “1234 gir veya tıkla” şeklinde olmalı.
Ama parola yöneticisinin kullanıcı adı/parola kombinasyonunu otomatik doldurmasından daha yavaş; çünkü e-postayı bekleyip bağlantıya basmanız gerekiyor.
Gmail’in uygulama içi tarayıcısında değil, normal tarayıcıda giriş yapmak istiyorum; oldukça sinir bozucu.
“E-postayla bağlantı gönder” yerine “Google ile giriş yap” düğmesi daha iyi; her iki durumda da izleme yapılabilir.
İnsanların her önemsiz hizmet için bir parola oluşturup bunu hatırlayacağı fikri gerçekçi değil. Bir parola tabanlı kimlik doğrulama sistemi daha kurmak, bir tür rol yapma oyununa yakın.
Parolalar genelde iki yoldan biriyle kullanılır: tek bir gerçek parolayla korunan bir parola yöneticisi ya da her hizmette tekrarlanan aynı parola. Neredeyse tüm hizmetler e-posta ile kurtarma sunduğu için gerçekte e-posta kimlik doğrulama aracıdır. Kişisel e-posta kolay kolay değiştirilmez, paylaşılmaz ve yeniden kullanılmaz. Muhtemelen kişisel e-postanızı telefon numaranızdan daha uzun süredir kullanıyorsunuzdur. Mevcut e-posta adresimi kullandığım süre içinde telefon numaram en az beş kez değişti ve o numaraları artık başka insanlar kullanıyor
Ayrıca parola sıfırlama özelliği en azından tüm denemeleri adres sahibine bildirir. Parola tabanlı girişler ise yeni bir konumdan her giriş yapıldığında her zaman e-posta göndermez
Cevap basit. Genellikle hizmet sağlayıcının kullanıcılar için bilerek oluşturduğu rahatsızlıkla ilgilidir. Bu durumda açık görünüyor: e-posta sağlayıcı oturumları genelde fiilen hiç bitmez ve tarayıcı önbelleği temizlenmediği sürece oturum açık kalır.
Kendi hizmetinizin kimlik doğrulama token'ını da Gmail ile aynı ömre sahip yapıp, alternatif olarak her seferinde tek kullanımlık parola ile girişe izin vermek yeterli. Ama 12 saatlik kimlik doğrulama token'ı gibi kutsala saygısız uygulamalardan vazgeçilmeli. Böyle olursa kullanıcı bir daha parola kurtarma ile giriş yapmaz
Eskiden Epic ve Spotify hesaplarımda sorun yaşamıştım. Hesabı oluşturup bir hafta kullanınca oturum süresi doluyor ve Spotify beni hesaptan atıyordu. Giriş yapmaya çalışınca parolanın yanlış olduğunu söylüyordu; oysa parola yöneticisinde kayıtlı olduğu için bu imkânsızdı. Sonunda e-postayla sıfırlamaktan başka çare kalmıyordu. İlk birkaç sefer e-postayı alıp sıfırlasam da aynı kalıp tekrarlandı; 3-4 kez sonra e-posta bile gelmemeye başladı ve yeni hesap açmak zorunda kaldım. Şimdi Spotify'a Google hesabımla giriş yapıp kullanıyorum ve henüz sorun yok. Ama normal e-posta ile kullanınca onların kimlik doğrulama sistemi basitçe çalışmıyor
Sorun, riski ölçmek ve “Bu sitede gerçekten iki aşamalı doğrulama gerekiyor mu?”, “30 dakikalık oturum süresi makul mü?” diye değerlendirmek için tutarlı bir dilimizin olmaması. Güncel bir antivirüs varsa çoğu kişi oturumunun açık kalmasını ister. Hiç bir site sorununu düzeltmek için tüm çerezleri silmeniz istendi mi? Benim cevabım her zaman hayır. “Hesap sizin; oturumu açık tutup hack'lenme riskini almak istiyorsanız bu hizmet işletmecisinin değil sizin riskiniz” sözünü duymuştum ve giderek daha fazla katılıyorum. Dizüstü bilgisayarınız oturum açıkken birisi tüm EC2 instance'larını sildiyse, bu AWS'nin sizi daha erken çıkış yaptırmamasının değil sizin suçunuzdur. AWS bunu yapabilir, ama neden yapsın? Dikkatsiz 1 kişiyi korumak için 1 milyon kişiyi sinirlendirmenin anlamı yok
Parola sıfırlama adımını kaldıran ya da parolanın kendisini kaldıran siteler gördüm. Kimlik doğrulama e-postadır.
E-posta adresini giriyorsunuz, içinde kod olan bir e-posta alıyorsunuz, kodu girip oturum açıyorsunuz. Neden böyle yaptıklarını anlıyorum ama birden fazla e-posta kullanan biri olarak pek hoşlanmıyorum. Hangi e-postayı kullanmam gerektiğini hatırlamak için parola yöneticisine e-posta ve not koymak zorunda kaldım; parolası olmayan bir kayıt gibi duruyor
Düzgün bir giriş sistemi bile yapamıyorlarsa vaat ettikleri özellikleri sunacak beceriden de yoksun olma olasılıkları yüksek diye düşünüyorum. Magic link artık can sıkıcılığın ötesine geçip bir filtre haline geldi
Sık kullanılmayan bir hizmetin parolasını hatırlama yükü yok ve şirket içi onboarding de kolaylaşıyor. Şirket kullanıcı CSV'si yüklediğinde, kullanıcılar parola oluşturup onaylama ve kurallara uyma süreci olmadan doğrudan çalışmaya başlayabiliyor. E-posta linklerini tercih etmiyoruz; çünkü telefon uygulamalarının önizlemesi veya kurumsal virüs tarayıcıları gibi şeyler linki “tıklayabiliyor”
İkisini de sunsanız bile, parola isteyip bir de e-posta doğrulaması yaptırırsanız kayıt akışında daha fazla kişinin vazgeçeceğini düşünüyorum. Üstelik parola ve birden çok e-posta giriş akışını yönetmek zorunda kalmadığınız için kod da çok daha basit olur
Kuponun e-postayla ilişkilendirilmesi gerektiğinden, ileride kupon kaybı nedeniyle destek sorunu çıkmasına karşı linke tıklayarak sahipliği doğrulamak gerekiyordu. Daha sonra hesap oluşturursanız önceden aldığınız kuponları da görebiliyorsunuz
Bu yazıyı okuduktan sonra Best Buy’da tam olarak bu yöntemi kullandığımı fark ettim
Bunu bilerek yapmıyorum. 1Password’de parolam kayıtlı olduğu için doğru olduğunu biliyorum ama bestbuy.com’da bir şey satın almaya çalıştığım her seferinde bir tür hesap ele geçirmeyi önleme mekanizması devreye giriyor ve parolanın yanlış olduğunu söyleyerek yalan söylüyor. Sorun benim tarafımda da olabilir, buna tamamen inanırım. Reklam engelleyici ya da yerel DNS engellemesi gibi bir şey olabilir. Ama birkaç kez tekrar edince hata ayıklama isteğim kalmıyor ve en az dirençli yolu izliyorum
maxlengthdeğerinin farklı olması çok yaygınÖrneğin parola değiştirirken 60 karakterlik bir parola girdiyseniz ama giriş sayfasındaki maksimum uzunluk 40 karakterse, giriş yaparken “parola yanlış” olur. Bu yüzden artık maksimum uzunluğu uygulama ayarlarında saklayıp tüm parola alanlarına yayılmasını sağlayan bir politika kullanıyorum. Kontrol edince gerçekten de uzunluk uyuşmazlığı olduğunu gördüm. Parola ayarlama formunda
maxlength54, giriş sayfasında isemaxlengthyok. Dolayısıyla parola 54 karakteri aşıyorsa ve 1Password kayıtlı parolayı otomatik olarak 54 karakter veya altına kesmiyorsa giriş yapılamazÇoğu insan için bilgisayarda iş yapmak, kabaca çalışana kadar körlemesine tekrar tekrar denemek demek. Yazılım, alttaki sistemleri ayrıntısıyla anlayan insanlar tarafından yapılıyor ama böyle bir anlayışı olmayan insanlar için üretiliyor
Kullanıcı bir kez çalışan bir kalıp bulduğunda orada kalıyor. Artık birçok okul eğitimde tablet kullandığı için bu eğilim daha da artıyor. Bilgisayarın nasıl çalıştığına dair pek sezgi oluşmuyor. Çoğu kişi derinlemesine düşünmüyor. Zaten orada duruyor ve baştan bozuk şeylere alışıklar; birkaç kez daha tıklamak ne olacak ki
Biraz abartarak söylersek giriş akışları aynı
A) Web sitesine gidip parola yöneticisi üzerinden rastgele bir dizgeyi kopyalayıp yapıştırmak ve kimlik doğrulaması için e-postayla gelen TOTP isteğini almak. Ya da B) Web sitesine gidip parolamı unuttum’a basmak, giriş bağlantısını aldıktan sonra rastgele bir dizge girmek. Çoğu durumda B aslında daha hızlı ve neredeyse hiç daha yavaş değil. “Beni hatırla” onay kutusunun hiçbir etkisi yok
Benim akışım ikisinden de daha iyi bence. Siteye gidince Safari otomatik doldurmayı öneriyor, TouchID/FaceID kullanıyorum ve 2 adımlı kod isteniyor. SMS ya da e-postayla gelirse Safari otomatik doldurmayı öneriyor. TOTP yöntemi olsa da Safari otomatik dolduruyor. Çok kolay. Passkey’ler ikinci adım ve SMS/e-posta bekleme olmadığı için daha da kolay
Motivasyon hemen anlaşılıyor. “Parolamı unuttum”u kullanırsanız parolayı hatırlamanıza gerek kalmaz. Üstelik hesap güvenliği de daha zayıf hale gelmez. Çünkü o yol zaten saldırganlara da açıktı
Bazı web siteleri bunu varsayılan akış haline getiriyor ve birine e-postayla giriş düğmesi gönderebiliyorlarsa parolanın kendisinin anlamsız olduğunu örtük olarak savunuyor. Kişisel olarak sevmiyorum. E-postaya güvenmiyorum ve düzinelerce hesabın tek hata noktası haline gelmesini de istemiyorum. Yalnızca ikinci faktörle giriş yapılabiliyorsa bu 2 adımlı kimlik doğrulama değildir. Sıfırlama seçeneği olmadan parolayla giriş yapmak istiyorum ama gerçeklik böyle değil