Passkey teknolojisi zarif, ancak kullanılabilir güvenlik değil

 (arstechnica.com)
6 puan yazan GN⁺ 2024-12-31 | 2 yorum | WhatsApp'ta paylaş
  • Ana akım kullanım için yeterince hazır olmayan bir teknoloji: Passkey teknolojisi zarif olsa da, kullanım açısından güvenlik seviyesi yetersiz
  • Parolalara alternatif olarak öne çıkıyor ve phishing ile veritabanı ihlallerine karşı güçlü bir savunma olarak görülüyor
  • FIDO2 ve WebAuthn spesifikasyonları zarif, ancak kullanıcı deneyimi hâlâ karmaşık
    • Yüzlerce site ile başlıca işletim sistemleri ve tarayıcılar passkey desteği sunsa da, platformlar arasındaki uygulama farkları ve tutarsız iş akışları kullanılabilirliği düşürüyor
    • Örneğin aynı sitede bile iOS ve Android'deki giriş deneyimi farklı, bazı tarayıcılarda ise hiç destek yok
    • Her platform kendi passkey senkronizasyon seçeneğini dayatıyor ve kullanıcının başka seçenekleri tercih etmesini zorlaştırıyor
    • Passkey uygulamaları kullanıcıların kolayca kullanabileceği şekilde olmalı, ancak şu anda durum böyle değil
  • 1Password gibi güvenlik yöneticileri üzerinden passkey senkronizasyonu bu sorunları çözebilir, ancak bu durum passkey'in parola gerektirmeyen kimlik doğrulama şeklindeki temel vaadinin anlamını zayıflatıyor.
    • Ayrıca kullanıcıların büyük çoğunluğu hâlâ parola yöneticisi kullanmıyor
  • Passkey destekleyen siteler arasında parolayı tamamen kaldıran hiçbir yer yok
    • SMS tabanlı MFA doğrulaması hâlâ zayıf ve passkey'in güvenliğini de zedeliyor
  • Kurumsal ortamlarda passkey, parola ve kimlik doğrulayıcıların alternatifi olabilir

Öneriler

  • Güvenlik yöneticisi kullanın: 1Password gibi araçlarla passkey'leri senkronize edin ve güvenliği artırmak için MFA'yı etkinleştirin
  • MFA'ya öncelik verin: Mümkünse güvenlik anahtarı veya kimlik doğrulama uygulaması kullanarak çok faktörlü kimlik doğrulamayı etkinleştirin
  • Passkey kullanımını değerlendirin: Passkey uzun vadede umut verici olsa da, şu anda parola ve güvenlik yöneticileri hâlâ gerekli

Sonuç

  • Passkey, parolaların güvenlik sorunlarını çözme potansiyeline sahip olsa da, şu anda teknik kısıtlar ve kullanılabilirlik sorunları nedeniyle kusursuz bir alternatif değil
  • Gelecekte iyileşme olasılığı yüksek, ancak şimdilik mevcut kimlik doğrulama yöntemlerini birlikte kullanmak en mantıklı seçenek

İlgili okumalar

2 yorum

 
ndrgrd 2025-01-03

Ben de passkey’leri Bitwarden’a koyup kullanıyorum.
İsimleri tek tek kaydetmeye izin vermelerine bakılırsa, bunun tek bir passkey oluşturup senkronize ederek kullanmanız için tasarlanmış bir teknoloji olmadığı anlaşılıyor. Sanırım amaç her cihaz için bir tane oluşturmanız, ama açıkçası bu da can sıkıcı.
 
GN⁺ 2024-12-31
Hacker News görüşü

  • Bir tür paralel evrende, tüm bilgi işlem cihazı üreticilerinin kullanıcılara güvenlik kimlik bilgilerini takabilecekleri bir yuva sunmasını zorunlu kılan bir yasa vardır. Mevcut passkey yaklaşımı, kullanıcıların tek bir ekosisteme tamamen gömüldüğü hayali bir modele dayanarak tasarlanmıştır.

  • Passkey, başlangıçta Yubico'nun istediği şekilde donanım anahtarı kullanılarak kimlik doğrulama anlamına geliyordu; ancak Apple, Google ve Microsoft bunun yerine işletim sistemi üzerinden sihirli biçimde kimlik doğrulamayı tercih etti.

  • İşletim sistemi satıcıları, kullanıcıların işletim sistemi dışı yazılım veya donanım kullanmamasını istiyor ve onları bulut tabanlı passkey kullanmaya yönlendiriyor.

  • İdeal gelecek durum, tarayıcı ayarlarında yeni kaydedilen kimlik bilgilerinin sağlayıcısını seçebilmek olurdu.

  • TOTP de benzer sorunlar yaşıyor ve birçok passkey kasası dışa aktarmaya izin vermiyor. Bitwarden ise istisna olarak passkey'leri dışa aktarabiliyor.

  • Parolalardan passkey'lere geçiş, modern internet güvenlik modelinde büyük bir değişimdir; insanların temkinli davranması ve fikir ayrılığı yaşaması bu yüzden doğaldır.

  • Passkey'leri seven az sayıdaki kullanıcıdan biri olarak, iCloud Keychain ve 1Password üzerinde passkey oluşturuyorum. Daha iyi dışa aktarma/içe aktarma işlevlerine ihtiyaç olduğunu düşünüyorum.

  • Passkey'ler görünmeyen birer kara kutu ve sıradan kullanıcı bunları yedekleyemiyor. Uygulama hâlâ tamamlanmamış durumda ve saldırı yüzeyi daha geniş.

  • Fido'nun web sitesi/çerçeve/kütüphane desteği yetersiz ve passkey'lerin başarısız bir ürün olduğunu düşünüyorum. Kullanılabilirlik sorunları nedeniyle passkey'lere güvenemiyorum.

  • Teknik bir kullanıcı olarak, passkey kimlik doğrulama oturumlarının kısa sürmesi nedeniyle Google kullanmayı bıraktım. Sık sık yeniden kimlik doğrulama yapma zahmeti var.