• Anasayfa
  • Nesne
  • Tema
  • Şifreler Kırıldı. WebAuthn, Kimlik Doğrulama için Yeni Standarttır

Şifreler Kırıldı. WebAuthn, Kimlik Doğrulama için Yeni Standarttır

Yayınlanan: 2022-09-22

Son zamanlarda, iThemes Security Pro, WordPress siteleri için birincil kimlik doğrulama yöntemi olarak geçiş anahtarları ekledi. Bu çığır açan sürüm, WordPress alanında türünün ilk örneğidir ve bilmeniz gereken bir şeydir. Bir kez daha, iThemes Security, WordPress kullanıcılarına olağanüstü güvenlik işlevselliği sağlamada liderlik göstermiştir.

Bu gönderide, parola sorununu, WebAuthn'un ne olduğunu ve bu teknolojiyi neden her yerde kullanmaya başlayacağınızı gözden geçireceğiz. Son kullanıcılarınız için oturum açma ve güvenlik işlevlerini geliştirmek isteyen bir WordPress sitesi sahibiyseniz, artık sorunsuz oturum açma için son teknoloji standardına sahipsiniz.

WebAuthn'un çözdüğü parola sorununu anlama

WordPress tarafından kullanılan kullanıcı hesapları da dahil olmak üzere çevrimiçi yaşamlarımız, kullanıcı adı ve şifre erişimine dayanmaktadır. Bu bir süreliğine iyiydi. Ancak daha sonra yeniden kullanılan parolalar, sözlük kaba kuvvet saldırıları ve ihlal edilen hesap verilerinin kötü niyetli kişiler tarafından paylaşılması, parola tabanlı güvenlik sistemimizi etkisiz hale getirdi.

Aslında, Verizon'un 2022 DBIR Raporu , ihlallerin %80'inden fazlasının çalınan kimlik bilgilerine atfedilebileceğini ve güvenlik açığından yararlanmaya karşı birincil izinsiz giriş vektörü olarak çalınan kimlik bilgilerinin %30'luk bir artış olduğunu bildiriyor.

Kimlik bilgileri, kullanıcı adı/şifre kombinasyonunu ifade eder. Ve Verizon'un verileri bize tek bir şey söylüyor: şifreler bozuldu. İki faktörlü kimlik doğrulamanın (2FA) eklenmesi yardımcı oldu, ancak ne yazık ki, eklediği sürtüşme ve karmaşıklık, kullanıcıların yalnızca %28'i tarafından benimsendiği anlamına geliyor. anladık; 2FA, saldırganlar için başka bir sürtüşme katmanı ekler, ancak aynı zamanda kullanıcılar için oturum açmayı da zorlaştırır. Ve SMS tabanlı 2FA durumunda, yeterince güvenli değil. Yüksek değerli hedeflere yönelik SIM bağlantı noktası saldırı hikayeleri yaygın değildir, ancak gerçekleştiklerinde felakettir.

FIDO (Çevrimiçi Hızlı Kimlik) İttifakı bu sorunları çözmek için çalışıyor ve WebAuthn bu çalışmadan çıkan belirtimdir.

Dijital hayatımızın bu aşamasında şifreler kırılıyor. Neyse ki, kimlik doğrulama için yeni ve daha iyi bir yol var ve bu WebAuthn.

WebAuthn nedir?

WebAuthn, Web Kimlik Doğrulama API'sinin kısaltmasıdır. Bu, W3C ve FIDO tarafından Apple, Google, Mozilla, Microsoft, Yubico ve diğerlerinin katılımıyla yazılmış bir spesifikasyondur. WebAuthn API, sunucuların parola yerine ortak anahtar şifreleme kullanarak kullanıcıları kaydetmesine ve doğrulamasına olanak tanır. Ocak 2019'dan bu yana WebAuthn, Chrome, Firefox, Microsoft Edge ve Safari'de desteklenmektedir. Bu yazının yazıldığı sırada WebAuthn, cihazların ve tarayıcılarının %90'ından fazlası tarafından desteklenmektedir.

WebAuthn, sunucular, tarayıcılar ve kimlik doğrulayıcılar arasında parolasız kimlik doğrulamayı sağlayan bir dizi teknoloji olan FIDO2 çerçevesinin bir parçasıdır. WebAuthn, World Wide Web Konsorsiyumu tarafından standart hale getirildi.

Artık cihazlarımızın çoğu, iPhone'unuzdaki FaceID veya MacBook, Windows Hello ve diğer birçok cihazınızdaki parmak izi tanıma gibi biyometrik kimlik doğrulama kullandığına göre, bir oturum açma girişiminin gerçekten geçerli kullanıcı olup olmadığını belirlemek için yeni bir yöntemimiz var. ve kaba kuvvet saldırısı değil.

WebAuthn nasıl çalışır?

WebAuthn, kullanıcılar ve kullandıkları sistemler arasındaki bağlantıların güvenliğini sağlamak için ortak anahtar şifrelemesini kullanır. WebAuthn'u kullanarak cihazlarınızdaki biyometri veya standardı destekleyen herhangi bir sitede YubiKey gibi tek bir kimlik doğrulama yöntemini kullanabilirsiniz. Bu şekilde, bir kullanıcı olarak, ziyaret ettiğiniz her site için parola sahibi olmanız gerekmez, yalnızca WebAuthn ile çalışan güçlü bir kimlik doğrulayıcınız olur.

Parola yerine bu güçlü kimlik doğrulamasını kullanarak, bir web sitesi için özel-genel bir anahtar çifti oluşturabiliriz. Özel anahtar, cihazınızda (örneğin, telefonunuz veya bilgisayarınız) güvenli bir şekilde saklanır ve genel anahtar ve rastgele oluşturulan kimlik bilgisi, depolama için web sunucusuna gönderilir. Web sunucusu ve iThemes Güvenlik Anahtarları durumunda, WordPress siteniz, kullanıcının kimliğini doğrulamak için ortak anahtarı kullanabilir.

WebAuthn Nasıl Çalışır?

Bu ortak anahtar bir sır değildir. Bu nedenle, web sunucusu veya WordPress sitesi saldırıya uğradıysa, ortak anahtarla saklanan kimlik bilgileri bir saldırgan için işe yaramaz. Genel anahtar, özel anahtar olmadan kullanılamaz.

WebAuthn'un gerçekte nasıl çalıştığını anlamak için FIDO2 Projesinin bazı harika kaynakları vardır.

WebAuthn güvenlik ortamını değiştiriyor

WebAuthn, güvenlik dünyasında gerçekten çığır açıyor. Veritabanları artık bilgisayar korsanları için çekici değil çünkü ortak anahtarlar onlar için kullanışlı değil. Ayrıca WebAuthn, kimlik bilgisi hırsızlığını daha da zorlaştırır.

Ve son kullanıcılar için WebAuthn, birden çok kullanıcı adını ve parolayı hatırlama ihtiyacını ortadan kaldırır. Örneğin, bir MacBook'taki bir kullanıcının ihtiyaç duyduğu tek şey, iThemes Güvenlik Şifre Anahtarları ile etkinleştirilen sitelerine giriş yapmak için parmak izine sahip olmalarıdır.

WebAuthn'u uygulayan Apple, WebAuthn'un kimlik avı saldırılarına karşı koruma sağladığını da belirtiyor. Kullanıcılara sahte giriş ekranlarına bağlantılar içeren e-postalar gönderen bir kimlik avı saldırısı, şifreler olmadan etkili olmaz. Hesapta oturum açmak için parola kullanan bir kullanıcının, kötü niyetli bir kimlik avı formuna sağlamak için bir parolası bile olmazdı. Kimlik doğrulama tamamen, web sunucusunda depolanan genel anahtarla iletişim kuran cihazlarında depolanan özel anahtar tarafından gerçekleştirilir. WebAuthn, hem rastgele phishing saldırılarını hem de hedeflenen spearphishing saldırılarını tamamen etkisiz hale getirir.

WebAuthn ile güvenlik oyunu değişti. Kaba kuvvet saldırılarının ve parola hırsızlığının kötü niyetli saldırganlar için daha az çekici hale gelmesi biraz zaman alabilir, ancak WebAuthn'u uygulamayı seçen proaktif site sahipleri, sitelerinin artık oyunun bir parçası olmamasını sağlamada lider olacaktır.

Sürtünmesiz oturum açma, daha mutlu müşteriler sağlar

Bu site sahipleri ayrıca kullanıcıları, müşterileri, öğrencileri veya WordPress sitelerine giriş yapan herkes için değerli ek bir özellik sağlıyor. iThemes Security tarafından uygulanan WebAuthn, WordPress sitesinin güvenli kalmasını sağlamak için sürtünmeyle doldurulmuş çok faktörlü kimlik doğrulama protokollerine ihtiyaç duymak yerine, site sahiplerinin sitelerini bilgisayar korsanları için çok daha az çekici hale getirirken sorunsuz bir parolasız oturum açmasına olanak tanır.

WebAuthn'un daha fazla uygulaması geliyor

Bu teknolojinin hayatı nasıl değiştirdiğine bakabilir ve neden daha fazla site, hizmet ve uygulamanın WebAuthn kullanmadığını merak edebilirsiniz. Bu teknoloji çığır açıcı olsa da, aynı zamanda çok yeni. WebAuthn'u eski hizmetlere eklemek, biraz yeniden düzenleme gerektirecektir. Ancak manzarayı değiştiren birçok yeni teknolojide gördüğümüz gibi, geliyor. Parolaların ötesine geçme ihtiyacı kesin bir sürücüdür. Ayrıca, daha fazla kullanıcı sorunsuz oturum açma özelliklerini deneyimledikçe, parolasız oturum açmaların genişletilmesine yönelik kullanıcı isteklerini görmeye başlayacağız.

Bu şekilde, iThemes Security, WordPress kullanıcılarının oturum açma şeklini değiştirerek WordPress güvenliğinde lider olarak kendisini sağlamlaştırdı. iThemes Security Passkeys, WebAuthn'un WordPress alanındaki ilk uygulamasıdır ve kesinlikle ileriye dönük standart olacaktır.

WordPress siteniz için iThemes Güvenlik Parolalarını şimdi almak için iThemes Security Pro'ya ihtiyacınız olacak. Neyse ki, şu anda bunu indirimli bir fiyata alabilirsiniz. Ancak bu düşük fiyatları uzun süre görmeyeceksiniz. Satış 30 Eylül 2022'de sona eriyor.

Siteniz için iThemes Güvenlik Anahtarlarını Alın