Microsoft'un yeni "Varsayılan olarak passwordless" yaklaşımı harika, ama bir bedeli var

baeba · 2025-05-07T10:16:40+09:00

Microsoft, yeni hesaplarda varsayılan olarak parola gerektirmeyen oturum açmayı (passkey) uygulayan bir yaklaşım getirdi, ancak pratikte Microsoft Authenticator uygulamasının kurulması zorunlu gibi bir kısıt var. Passkey, kimlik avı ve sızıntılara karşı güçlü yeni nesil bir kimlik doğrulama yöntemi olup WebAuthn(FIDO2) standardına dayanır ve açık/gizli anahtar çiftiyle çalışır. Bu sistem güvenliği artırsa da, belirli bir uygulamaya bağımlı yapı kullanıcı deneyimini ve güvenlik kazanımlarını kısmen zayıflatabilir. 1. Microsoft'un “varsayılan parola gerektirmeyen oturum açma” politikası 2025'ten itibaren yeni Microsoft hesaplarında varsayılan oturum açma yöntemi olarak passkey benimsenecek. Mevcut kullanıcılar da oturum açarken passkey kaydetmeye yönlendirilecek. Amaç: Parola oluşturma ve yönetiminden kaynaklanan güvenlik tehditlerini ve kullanıcı yükünü azaltmak. Password spraying saldırıları ve veri sızıntısı sorunlarına çözüm getirmeye çalışmak. 2. Teknik genel bakış ve uygulama biçimi Passkey nedir? WebAuthn(FIDO2) tabanlı olarak oluşturulan açık/gizli anahtar çifti üzerinden kimlik doğrulama yapar. Gizli anahtar kullanıcının cihazında (telefon, PC, Yubikey vb.) saklanır ve dışarı sızmaz. Kimlik avına, parola yeniden kullanımına ve veri sızıntılarına yapısal olarak dayanıklıdır. Çalışma prensibi: Site rastgele sayı tabanlı bir “challenge” gönderir → cihaz içindeki Authenticator imzalar → sunucu açık anahtarla doğrular. Anahtar ilgili URL'ye bağlı olduğundan kimlik avı sitelerinde yeniden kullanılamaz. 3. Kısıtlar ve sınırlamalar Sorun: passkey ayarlansa bile, Microsoft Authenticator uygulaması yoksa parolayı tamamen kaldırmak mümkün değil. Authy, Google Authenticator vb. uyumlu değil. Bu, kullanıcılardan uygulamayı zorunlu olarak yüklemelerini istemek anlamına geliyor ve bu da “varsayılan olarak passwordless” iddiasıyla çelişiyor. Güvenlik açısından çıkarım: Parola hâlâ sistemde duruyorsa, passkey'nin bazı güvenlik avantajları kayboluyor. WebAuthn hâlâ gelişimini sürdürüyor ve kullanılabilirlik açısından henüz eksikleri var.

(arstechnica.com)

1 puan yazan baeba 2025-05-07 | Henüz yorum yok. | WhatsApp'ta paylaş

Microsoft, yeni hesaplarda varsayılan olarak parola gerektirmeyen oturum açmayı (passkey) uygulayan bir yaklaşım getirdi, ancak pratikte Microsoft Authenticator uygulamasının kurulması zorunlu gibi bir kısıt var.
Passkey, kimlik avı ve sızıntılara karşı güçlü yeni nesil bir kimlik doğrulama yöntemi olup WebAuthn(FIDO2) standardına dayanır ve açık/gizli anahtar çiftiyle çalışır.
Bu sistem güvenliği artırsa da, belirli bir uygulamaya bağımlı yapı kullanıcı deneyimini ve güvenlik kazanımlarını kısmen zayıflatabilir.

1. Microsoft'un “varsayılan parola gerektirmeyen oturum açma” politikası

2025'ten itibaren yeni Microsoft hesaplarında varsayılan oturum açma yöntemi olarak passkey benimsenecek.
Mevcut kullanıcılar da oturum açarken passkey kaydetmeye yönlendirilecek.
Amaç:
- Parola oluşturma ve yönetiminden kaynaklanan güvenlik tehditlerini ve kullanıcı yükünü azaltmak.
- Password spraying saldırıları ve veri sızıntısı sorunlarına çözüm getirmeye çalışmak.

2. Teknik genel bakış ve uygulama biçimi

Passkey nedir?
- WebAuthn(FIDO2) tabanlı olarak oluşturulan açık/gizli anahtar çifti üzerinden kimlik doğrulama yapar.
- Gizli anahtar kullanıcının cihazında (telefon, PC, Yubikey vb.) saklanır ve dışarı sızmaz.
- Kimlik avına, parola yeniden kullanımına ve veri sızıntılarına yapısal olarak dayanıklıdır.
Çalışma prensibi:
- Site rastgele sayı tabanlı bir “challenge” gönderir → cihaz içindeki Authenticator imzalar → sunucu açık anahtarla doğrular.
- Anahtar ilgili URL'ye bağlı olduğundan kimlik avı sitelerinde yeniden kullanılamaz.

3. Kısıtlar ve sınırlamalar

Sorun: passkey ayarlansa bile, Microsoft Authenticator uygulaması yoksa parolayı tamamen kaldırmak mümkün değil.
- Authy, Google Authenticator vb. uyumlu değil.
- Bu, kullanıcılardan uygulamayı zorunlu olarak yüklemelerini istemek anlamına geliyor ve bu da “varsayılan olarak passwordless” iddiasıyla çelişiyor.
Güvenlik açısından çıkarım:
- Parola hâlâ sistemde duruyorsa, passkey'nin bazı güvenlik avantajları kayboluyor.
WebAuthn hâlâ gelişimini sürdürüyor ve kullanılabilirlik açısından henüz eksikleri var.

Microsoft'un yeni "Varsayılan olarak passwordless" yaklaşımı harika, ama bir bedeli var

1. Microsoft'un “varsayılan parola gerektirmeyen oturum açma” politikası

2. Teknik genel bakış ve uygulama biçimi

3. Kısıtlar ve sınırlamalar

İlgili okumalar

Henüz yorum yok.