Parolaların Bir Bedeli Olacak.

 (fy.blackhats.net.au)
1 puan yazan GN⁺ 2023-07-14 | 1 yorum | WhatsApp'ta paylaş
  • "Passkey" konusuna büyük ilgi var ve kimlik doğrulama yöntemlerinde değişim ihtimali bulunuyor
  • Passkey takıntısı, güvenlik anahtarlarının kullanımını gereksiz hale getirebilir
  • Sorunun özü, resident key ile non-resident key arasındaki farkta yatıyor
  • Resident key, özel anahtarı doğrudan güvenlik anahtarının üzerinde saklarken non-resident key, şifre çözme için credential ID'ye dayanır
  • Resident key, güvenlik anahtarındaki alanı tüketir ve hızla dolabilir
  • Non-resident key hâlâ güvenlidir ve TLS ile aynı güvenlik özelliklerine dayanır
  • Resident key olmadan da kullanıcı kimlik doğrulaması yapılabilir
  • Sorun, passkey etrafındaki aşırı abartıdan ve tanımına dair kafa karışıklığından kaynaklanıyor
  • Passkey ilk olarak Apple tarafından Touch ID/Face ID kullanan bir web kimlik doğrulama yöntemi olarak tanıtılmıştı
  • Passkey tanımı zamanla değişerek artık resident key anlamına gelmeye başladı
  • Bu tanım yaygınlaştı ve güvenlik anahtarı kullanıcıları için sorun yaratıyor
  • Güvenlik anahtarlarının depolama alanı sınırlı ve credential yönetimi yetersiz olduğu için resident key kullanımı zorlaşıyor
  • Her kayıt için resident key zorunluluğu getirilmesi kullanıcı deneyimini kötüleştiriyor
  • Bu durum, kullanıcının istediği doğrulayıcıyı seçebilmesi hedefiyle çelişiyor
  • Passkey dünyasında yalnızca birkaç doğrulayıcı türü düzgün çalışıyor
  • Önerilen çözüm olarak, güvenlik anahtarlarını passkey zorunluluğundan çıkarmak ve depolama gereksinimini yalnızca doğrulanmış cihazlar için zorunlu kılmak gösteriliyor
  • Genel olarak, resident key'in passkey olarak pazarlanmasına yönelik aşırı abartı, kullanıcıların tercih ettikleri doğrulayıcıyı seçme imkanını zedeliyor.

İlgili okumalar

1 yorum

 
GN⁺ 2023-07-14
Hacker News görüşü
  • Fiziksel güvenlik anahtarları, telefon veya masaüstünde ikinci faktör kimlik doğrulama özelliği olmadığı için passkey olarak en iyi seçenek olmayabilir.
  • Passkey, iCloud Keychain üzerinden senkronize edilen anahtar çiftleri olarak tanımlanır ve bu tanım diğer bulut senkronizasyon yöntemlerini de kapsayacak şekilde genişletilmiştir.
  • Güvenlik anahtarları kullanıcıların büyük çoğunluğu için önemli değildir; passkey'ler parolaların yerini almak için daha iyi bir seçenektir.
  • Passkey ve resident key'lere yönelik protokol tasarımı, olası güvenlik ve uyumluluk sorunları nedeniyle eleştirilmektedir.
  • Resident key'ler ve secure element'lerin mevcut durumu kafa karıştırıcıdır ve iyileştirilmesi gerekir.
  • Güvenlik veya kriptografi konusunda geçmiş bilgisi olmayan kişiler için bu makaleyi anlamak zor olabilir.
  • Yeni kimlik doğrulama standardına geçmek için yeni donanım anahtarlarına para yatırmanız gerekebilir.
  • Donanım anahtarlarının depolama alanı sınırlıdır ve büyük ölçekli depolama için güvenli işlemci eklemek maliyeti artırabilir.
  • Bu makale, passkey'ler ve etkileri hakkında net bir açıklama sunuyor.
  • Bazı kullanıcılar passkey senkronizasyonu için Google, Apple veya Microsoft'a bağımlı olmak istemiyor.
  • Donanım tabanlı token'lar ve resident key senkronizasyonu için merkezi bir çözüm isteniyor.
  • Cihaz kaybolduğunda veya ele geçirildiğinde, bir şeye sahip olarak kimlik doğrulama yöntemi sorun yaratabilir.
  • Bazı kullanıcılar, passkey'lerin hükümetlere ve şirketlere fazla kontrol verdiğine, bunun da gizlilik ve güvenliği zedelediğine inanıyor.