• Anasayfa
  • Nesne
  • Tema
  • Gelecek Parolasız: Geçiş Anahtarları Hayatınızı Nasıl Kolaylaştıracak ve Hepimizi Nasıl Koruyacak?

Gelecek Parolasız: Geçiş Anahtarları Hayatınızı Nasıl Kolaylaştıracak ve Hepimizi Nasıl Koruyacak?

Yayınlanan: 2022-11-16

Parolasız kimlik doğrulamanın devraldığı bir sır değil. Apple, Google ve Microsoft gibi küresel teknoloji liderleri geçiş anahtarları kullanmaya doğru kayıyor. Açık anahtar şifrelemesinden yararlanan geçiş anahtarları, dijital güvenlikte neredeyse paradigma değiştiren bir deneyim sunar.

iThemes, WordPress'i ve nihayetinde tüm İnternet'i herkes için daha güvenli ve kullanılabilir hale getirme yolunda öncülük ediyor. Gelecek şifresiz ve size bunun nedenini anlatmak için buradayız.

Bu parolasız kimlik doğrulama kılavuzunda, geçiş anahtarlarının parola tabanlı kimlik doğrulamanın güvenlik açıklarını nasıl aştığını ve bunları neden kullanmaya başlamanız gerektiğini öğreneceksiniz.

Parolasız Kimlik Doğrulamaya Yolculuk

Parolasız kimlik doğrulama yolculuğu çoktan başladı. Tüm büyük tarayıcılar ve teknoloji devleri geçiş anahtarları için tam destek sunuyor. 2022, birden çok cihazda ve dijital platformda daha tutarlı, güvenli ve kolay parolasız oturum açmanın uygulanmasında yeni bir kilometre taşı oldu.

Her yıl Mayıs ayının ilk Perşembe günü olarak belirlenen Dünya Şifre Günü, web'i herkes için daha güvenli ve kullanılabilir hale getirmek için ortak bir çabayla yapılan yeni gelişmeleri kutluyor. 05 Mayıs 2022'de Apple, Google ve Microsoft, FIDO Alliance ve World Wide Web Consortium tarafından oluşturulan parolasız oturum açma standardına yönelik desteği genişletme planlarını duyurdu.

FIDO (Çevrimiçi Hızlı Kimlik) İttifakı ve World Wide Web Konsorsiyumu, yıllardır internette parolasız kimlik doğrulamanın uygulanmasına izin verecek bir dizi standart üzerinde çalışıyor. FIDO 2, artık çoğu tarayıcı ve platform tarafından desteklenen en yeni özellik kümesidir.

Parolasız kimlik doğrulamanın nasıl çalıştığını kılavuzun ilerleyen bölümlerinde daha ayrıntılı olarak inceleyeceğiz. Ancak ondan önce, parola doğrulamanın neden yavaş yavaş geçmişte kaldığını görelim.

Parola Tabanlı Kimlik Doğrulama Neden Geride Kaldı?

Kullanıcıların bir kimlik bilgisi çifti (bir kullanıcı adı ve parola) kullanarak bir web sitesinde veya web uygulamasında oturum açmasına izin veren parola tabanlı kimlik doğrulama, neredeyse internet var olduğu sürece bizimle birlikte olmuştur. Bu yaklaşım güvenilirliğini ve çok yönlülüğünü kanıtlamıştır ve yıllardır endüstri standardı olmuştur.

Bununla birlikte, kolay uygulanmasına ve kullanılmasına rağmen, hem kullanıcı hem de sunucu tarafında parola tabanlı kimlik doğrulamayla ilgili çok sayıda dezavantaj ve güvenlik riski hızla keşfedildi. Basitçe söylemek gerekirse, hem kullanıcılar hem de sunucular, paylaşılan sırrı güvende tutma yeteneğinden yoksundur.

Parola tabanlı kimlik doğrulamayla ilişkili başlıca güvenlik riskleri, paylaşılan sır olarak parolanın kullanılması etrafında toplanmıştır. Bu, kimlik doğrulama sürecinin farklı aşamalarında kötü niyetli bir aktör tarafından kullanılabilir hale gelebilir. Parolalar, başarılı bir kaba kuvvet saldırısı nedeniyle ihlal edilebilir veya basitçe tahmin edilebilir.

Parolaların Açığa Çıkmasının 3 Yaygın Yolu

Çalışmalar, bilgisayar korsanlığıyla ilgili tüm ihlallerin %80'inden fazlasının parola ihlallerinden kaynaklandığını göstermiştir. Bu, bir noktada hacker'ın bir web sitesinin veya web uygulamasının gerçek sahibini taklit ederek sisteme yetkisiz erişim sağlamayı başardığı anlamına gelir. Ancak web siteleri tam olarak nasıl saldırıya uğruyor?

Parolaların ifşa olmasının en yaygın yolları arasında kimlik avı, kaba kuvvet saldırıları ve veri ihlalleri bulunur. Kullanıcılar, kimlik doğrulama bilgilerini vermeleri için kandırılabilir. Veya servis sağlayıcı tarafında bir veri ihlali durumunda şifreler tahmin edilebilir veya sızdırılabilir.

Kaba kuvvet saldırıları ve veri ihlalleri

Tüm ağ saldırılarının yaklaşık %80'ini oluşturan kaba kuvvet saldırıları artıyor. Parola tahmini otomatikleştirildiğinden, saldırganın herhangi bir hesabı kırması fazla zaman almaz.

Bilgisayar korsanının makinesi (hatta botnet olarak bilinen bir bilgisayar ağı) saniyede binlerce kombinasyon üretebilir. Bu, saldırganın bir web sitesine veya web uygulamasına anında yetkisiz erişim elde etmesine olanak tanır.

Bir bilgisayar korsanının web sitenize neden saldırdığını merak ediyorsanız, açıklaması basit. Bilgisayar korsanları saniyede binlerce web isteği yapma yeteneğine sahiptir. Hangi web sitelerine girmek istediklerini nadiren seçerler - mümkün olduğu kadar çok siteyi hacklemeye çalışırlar.

Bir web sitesine veya hatta tüm sunucuya yönetici erişimi sağlamak, bilgisayar korsanlarının sistemden yararlanmaları için neredeyse sınırsız fırsatlar sunar. Bunlardan biri, uygulamanın veritabanından kullanıcı adları ve parolalar dahil olmak üzere kullanıcı bilgilerinin sızdırılmasıdır.

Güçlü Parolalar Kullanmak Neden Tüm Güvenlik Risklerini Ele Almaz?

Güçlü parolalar kullanmak kesinlikle gereklidir ve kaba kuvvet saldırılarına karşı güçlü bir savunma hattı sağlayacaktır. Güçlü bir parola kullanmanın tüm güvenlik risklerini ortadan kaldırdığına inanılmaktadır. Ancak, kimlik bilgilerinizin tehlikeye girme şansını yalnızca bir dereceye kadar azaltabilir.

Kullanıcıların yalnızca yaklaşık %30'u iki faktörlü kimlik doğrulamayı yapılandırır. Çok faktörlü kimlik doğrulamayı kullanmadan, bilgisayar korsanları hassas bilgilere erişim elde etmekten yalnızca bir adım uzaktadır.

Tek seferlik parolalar, SMS doğrulaması veya başka herhangi bir 2FA türü ayarlamak, parola kimlik doğrulamasındaki çoğu güvenlik açığının üstesinden gelmek için harika bir seçenektir. Ancak geçiş anahtarları siber güvenlik dünyasında gerçek bir fark yaratabilir.

geçiş anahtarları

Geçiş Anahtarları Nedir?

Geçiş anahtarları, parola tabanlı kimlik doğrulamanın tamamen yerini alabilen, asimetrik kriptografiyle desteklenen dijital kimlik bilgileridir. Parolasız bir kimlik doğrulama biçimi olarak geçiş anahtarları, birden çok kullanıcı cihazında hizmetlerde ve uygulamalarda oturum açmak için daha hızlı ve daha güvenli bir yol sağlar.

Parolasız kimlik doğrulama, oturum açmak için bir kullanıcı adı ve parola girmek zorunda kalmamanızı sağlar. Bunun yerine, cihazınız bir geçiş anahtarı (belirli bir kimlik bilgisi kimliğinin tanımlayacağı bir çift şifreleme anahtarı) oluşturur.

Parolalar Güvenli Kimlik Doğrulamayı Nasıl Sağlar?

Oluşturduğunuz her geçiş anahtarı benzersizdir ve tek bir web sitesine veya web uygulamasına yöneliktir. Kullanıcının hatırlaması gereken paylaşılan sırlar veya parolalar olmadığından geçiş anahtarları, kimlik avı ve kaba kuvvet saldırılarına karşı tam koruma sağlar.

Yeni bir geçiş anahtarı oluşturulduğunda, sunucu genel anahtarı ve kimlik bilgisi kimliğini kaydeder. Özel anahtar, kullanıcının cihazında veya yanınızda taşıyabileceğiniz YubiKey gibi bir donanım güvenlik anahtarında güvenli bir şekilde saklanacaktır.

Geçiş anahtarlarını desteklemek için, kullanıcının cihazında, anahtar oluşturma ve platform kimlik doğrulayıcı gibi kriptografik işlemleri gerçekleştirmek için Güvenilir Platform Modülü (TPM) güvenlik yongası bulunmalıdır. Platform kimlik doğrulayıcı, genellikle biyometrik bilgiler ve PIN kodları dahil olmak üzere birden çok kimlik doğrulama türünü destekler.

Parolalar ayrıca bir bulut hizmeti aracılığıyla kullanıcının cihazları arasında otomatik olarak eşitlenebilir. Bu nedenle, diğer cihazlarda yeni bir anahtar çifti oluşturmanız gerekmez. Geçiş anahtarı senkronizasyonu uçtan uca şifrelenir ve bulut hizmeti, geçiş anahtarının şifrelenmiş bir kopyasını güvenli bir şekilde depolar.

Genel anahtar sızdırılsa bile, karşılık gelen özel anahtar olmadan bilgisayar korsanı için yararsız olacaktır. Bu, bir veri ihlali nedeniyle yetkisiz erişim olasılığını ortadan kaldırır. Kötü niyetli bir aktörün sizi taklit etmesinin gerçek bir yolu yoktur.

Parolalar Nasıl Çalışır?

Asimetrik kriptografinin geliştirilmesi ve FIDO Alliance ile World Wide Web Konsorsiyumu tarafından oluşturulan çeşitli standartlar ve protokoller sayesinde geçiş anahtarlarının kullanımı mümkün hale geldi. Ortak anahtar şifrelemesi, WebAuthn ve İstemciden Kimlik Doğrulayıcıya Protokolü hakkında daha fazla bilgi edinerek geçiş anahtarlarının nasıl çalıştığını daha ayrıntılı olarak inceleyelim.

Açık Anahtar Kriptografisi

Genel anahtar veya asimetrik kriptografi, farklı taraflarca değiş tokuş edilen verileri şifrelemek ve şifresini çözmek için kullanılan bir çift anahtarı (özel ve genel) içerir. Genel anahtar çevrimiçi yayınlanırken (veya bir geçiş anahtarı oluşturulduğunda sunucuya verilirken) özel anahtar gizli tutulmalıdır.

Parolasız kimlik doğrulamanın yanı sıra, asimetrik kriptografi, ağ üzerinden dolaşan trafiğin güvenliğini sağlamak için uçtan uca şifrelemenin sağlanmasına yardımcı olur. Bir SSL/TLS sertifikası, kaynak sunucuda kurulu özel anahtara sahipken, ortak anahtar, bağlantı kurmadan önce bir web sitesinin kimliğini doğrulamak için kullanılır.

Web Kimlik Doğrulama API'sı (WebAuthn) ve İstemciden Kimlik Doğrulayıcı Protokolüne

İstemciden Kimlik Doğrulayıcıya Protokolü ile birlikte Web Kimlik Doğrulama API'sı, sunucular, tarayıcılar ve kimlik doğrulayıcılar arasında parolasız kimlik doğrulamayı kullanmayı mümkün kılan bir dizi teknoloji olan FIDO2 çerçevesinin bir parçasıdır.

Web Kimlik Doğrulama API'sinin kısaltması olan WebAuthn, World Web Consortium ve FIDO tarafından geliştirilen ve sunucuların parolasız kimlik doğrulaması uygulamasına izin veren yeni bir özelliktir. 2019'dan itibaren WebAuthn, Chrome, Firefox, Safari ve Edge dahil olmak üzere tüm büyük tarayıcılar tarafından desteklenmektedir.

Bir uygulama programlama arabirimi olarak WebAuthn, web sitelerinin ve web uygulamalarının parolalar yerine parolalar kullanarak kullanıcıları kaydetmesine ve kimliklerini doğrulamasına olanak tanır.

Web Kimlik Doğrulaması, Kimlik Bilgisi Yönetimi ve İstemciden Kimlik Doğrulayıcıya Protokol 2 (CTAP 2) gibi diğer FIDO standartlarıyla birlikte çalışır. CTAP 2, tarayıcı, işletim sistemi ve gezici kimlik doğrulayıcı arasındaki iletişimi belirleyen bir uygulama katmanı protokolüdür.

Geçiş Anahtarı Kaydetme

Kimlik doğrulaması için yeni bir geçiş anahtarı kaydettiğinizde, uygulamayı barındıran sunucu bir sorgulama oluşturur. Ardından, cihazınız yeni bir anahtar çifti oluşturacak, sorgulamayı imzalayacak ve genel anahtarı, kimlik bilgisi kimliğiyle birlikte sunucuya gönderecektir.

Sunucu, bir sonraki oturum açışınızda kimliğinizi doğrulamak için genel anahtarı ve kimlik bilgisi tanımlayıcısını kaydedecektir. Fazlalık için her hesap için birden çok geçiş anahtarı oluşturabilirsiniz. Bu, birincil geçiş anahtarının kaybolması durumunda daha hızlı hesap kurtarmaya da yardımcı olur.

Özel anahtar cihazınıza kaydedilecek ve orada güvenli bir şekilde saklanacaktır. Özel anahtara erişmenin tek yolu, bir biyometrik sensör kullanarak kimliğinizi doğrulamaktır. Bu, parmak izinizi veya yüz desenlerinizi veya PIN'inizi içerir.

Parolasız Kimlik Doğrulama Süreci

Hesabınız için yeni bir geçiş anahtarı oluşturulduktan sonra, bir web sitesinde veya uygulamada oturum açmanız gerektiğinde parolasız kimlik doğrulamadan yararlanabilirsiniz. Bir kullanıcı adı ve şifre ile giriş yapmak yerine bir geçiş anahtarı kullanmayı seçebilirsiniz.

Sunucu, kimlik bilgisi kimliğini (veya hesap için birden fazla geçiş anahtarı oluşturduysanız birden çok kimliği) ve bir sorgulama gönderir. Ardından cihazınız, doğru anahtarı bulmak için kimlik bilgisi kimliğini kullanacak ve desteklenen kimlik doğrulama yöntemlerinden birini kullanarak kimliğinizi doğrulamanızı isteyecektir.

Anahtarın kilidi açıldıktan sonra, cihazınız sorgulamayı imzalayacak ve doğrulama için sunucuya gönderecektir. Sunucu, çiftten gelen ortak anahtarı kullanarak imzalı sorgulamayı doğrulayacak ve hesabınıza erişim izni verecektir.

iThemes, WordPress'e Parolasız Kimlik Doğrulaması Getiriyor

WordPress, dünyanın her yerindeki bilgisayar korsanları için her zaman yüksek öncelikli bir hedef olmuştur.

WordPress web sitelerine yapılan saldırıların sayısındaki artış ve küresel kötü amaçlı yazılım hacimleri dikkatlerden kaçmıyor. Kötü amaçlı saldırılar daha fazlasını hedeflediğinden, web sitesi güvenliği artık her zamankinden daha önemli.

Yıllardır iThemes, WordPress web sitelerini sürekli artan güvenlik tehditlerinden korumanın yeni yollarını arıyor. Haftalık WordPress güvenlik açığı raporları, bir WordPress web sitesinin kritik alanlarından birinin, yani yönetici panosunun güvenliğini nasıl sağlayacağımızı anlamamıza yardımcı oldu.

Geçiş anahtarları, şüphesiz siber güvenlik dünyasındaki en dikkat çekici yeniliklerden biridir. Geçiş anahtarlarının platformlar ve işletim sistemleri arasında giderek daha fazla uyarlanması, interneti sonsuza dek değiştirebilir. WordPress geçiş anahtarları, WordPress güvenliğinde gerçek bir fark yaratabilir. Ve iThemes, WordPress topluluğu için parolasız kimlik doğrulamayı kullanılabilir hale getirmek için bir dakika daha beklemedi.

Eylül 2022'de iThemes Security Pro, parolasız kimlik doğrulama için WordPress geçiş anahtarları desteğini dahil etti. Siber güvenlikteki en son gelişmeleri WordPress web sitenize getiren iThemes Security Pro, daha güvenli ve tutarlı bir kimlik doğrulama deneyimi için büyük bir adım attı.

iThemes Security Pro ile, WordPress kimlik doğrulaması için geçiş anahtarları her tür cihazda mevcuttur. Apple Touch ID, Face ID ve Windows Hello gibi bir platform kimlik doğrulayıcının yanı sıra herhangi bir dolaşım kimlik doğrulayıcı kullanabilirsiniz.

WordPress İçin Geçiş Anahtarlarını Kullanmaya Başlayın

WordPress yönetici kimlik doğrulaması için geçiş anahtarlarını kullanmaya başlamak için iThemes Security Pro'yu en son sürüme güncellediğinizden emin olun. Parolasız kimlik doğrulamayı etkinleştirme seçeneği Oturum Açma Güvenliği sekmesinde mevcut olacaktır. Geçiş anahtarı desteği etkinleştirildiğinde, yönetici panosundan WordPress kullanıcıları için geçiş anahtarlarını yapılandırın.

Hala otomatik WordPress çekirdek, tema ve eklenti güncellemelerinden yararlanmıyorsanız, başlama zamanı. WordPress için ödüllü bir yedekleme çözümü olan BackupBuddy, tüm güncellemeleri güvenle işlemek için güçlü bir yedekleme stratejisi oluşturmanıza yardımcı olacaktır.

Birden fazla web sitesi mi işletiyorsunuz? iThemes Sync, birden fazla WordPress web sitesini tek bir panodan yönetmenize yardımcı olarak zamandan ve paradan tasarruf etmenizi sağlar. Gelişmiş izleme, SEO metrikleri izleme ve BackupBuddy ve iThemes Security Pro ile entegrasyon – kişisel WordPress web sitesi asistanınızla tüm bunları kullanabilirsiniz.

Teknoloji Devleri Geçiş Anahtarlarını Nasıl Uygular?

Üç küresel teknoloji devi - Apple, Google ve Microsoft - tüm büyük tarayıcılarda ve işletim sistemlerinde parolasız kimlik doğrulamaya giden yolu açtı. Android, iOS ve Windows artık güçlü yerleşik platform kimlik doğrulayıcılarını kullanabilir ve geçiş anahtarlarını birden fazla cihaz arasında senkronize edebilir.

Elma

Apple, IOS 16 ve macOS Ventura'nın piyasaya sürülmesiyle geçiş anahtarlarını kullanıma sunarak tüm Apple aygıtlarındaki kullanıcılara parolasız kimlik doğrulama olanağı sağladı. Apple'ın Touch ID ve Face ID gibi yerleşik kimlik doğrulayıcıları, geçiş anahtarlarının Safari'de ve diğer büyük tarayıcılarda kullanılmasına izin verir.

Parolalar, iCloud Keychain'in yardımıyla kullanıcının tüm Apple aygıtlarında eşitlenir. Bir kullanıcı iCloud Anahtar Zinciri'ni ilk kez etkinleştirdiğinde, Apple aygıtı bir güven çemberi oluşturur ve aygıtın anahtar zincirinde saklanan yeni, benzersiz bir anahtar çifti oluşturur. Bu şekilde iCloud Anahtar Zinciri, güçlü kriptografik anahtarlarla uçtan uca şifreleme sağlar.

Google

Ekim ayında Google, Google Chrome ve Android'e geçiş anahtarı desteği getirdiğini duyurdu. Bu, geçiş anahtarlarını ekosisteme entegre etmede önemli bir kilometre taşıydı. Chrome ve Android'de geçiş anahtarları Google Şifre Yöneticisi'nde saklanır. Kimlik bilgileri, kullanıcının aynı Google hesabında oturum açmış cihazları arasında senkronize edilir.

Gelecekte Google, Android için parola desteğini genişletmeyi planlıyor. Yeni bir API, Android uygulamaları için geçiş anahtarlarının kullanılmasını sağlayacaktır.

Microsoft

Microsoft, internet genelinde parolasız kimlik doğrulamanın uygulanmasında başı çekiyor. 2022'den önce, Windows 365 ve Azure Sanal Masaüstü için parola desteği zaten dahil edilmişti.

Microsoft, artık Windows 10 ve 11'de yerleşik olarak bulunan sağlam bir platform kimlik doğrulayıcısı olan Windows Hello'yu kullanarak parolasız oturum açmayı etkinleştirir. Microsoft'un geçiş anahtarları uygulaması, Apple'ınkine benzer. Geçiş anahtarlarınızı aynı Microsoft hesabında oturum açmış cihazlar arasında eşitlemenizi sağlar.

Parola Kullanan Diğer Şirketler

Birkaç şirket, FIDO Alliance tarafından geliştirilen standartlara dayalı olarak parolasız kimlik doğrulamayı zaten benimsemiştir. PayPal, Amazon, eBay, Facebook, Netflix ve IBM, platformlarına parolasız kimlik doğrulama getiren yenilikçiler arasındadır.

Sarma

Asimetrik kriptografiye ve FIDO Alliance ile World Web Consortium tarafından geliştirilen birçok güçlü protokole ve spesifikasyona dayalı olarak, geçiş anahtarları yakın gelecekte parola tabanlı kimlik doğrulamanın tamamen yerini alabilir. En büyük teknoloji şirketleri geçiş anahtarları için desteği kademeli olarak genişletiyor. Yakında kaba kuvvet saldırılarını ve yetkisiz erişimi unutabiliriz.

Daha tutarlı bir kimlik doğrulama deneyimi sağlamak için doğru çözümü bulmayla geçen yılların ardından, geçiş anahtarları hayatımızı kolaylaştırmak ve bizi korumak için buradalar. Parolaların ne olduğunu şimdiden unutmanız mı gerekiyor? Henüz değil, ancak geçiş anahtarlarını kullanmaya kesinlikle hazır olmalısınız.

Kimlik Doğrulamanın Geleceği Geçiş Anahtarlarında! Yalnızca iThemes Security Pro'da bulunan Biometrics ile WordPress sitenize giriş yapın

Kimlik bilgisi doldurma, kimlik avı saldırıları ve yeniden kullanılan parolalar yoluyla yapılan kaba kuvvet saldırıları, dijital yaşamlarımızı daha az güvenli hale getirdi. Hepimiz bir koruma olarak 2 faktörlü kimlik doğrulamayı teşvik etmeye çalıştık, ancak kullanıcıların %30'undan azı gerçekten 2FA kullanıyor. Parola tabanlı girişler bir sorundur.

Kimlik doğrulamanın geleceği geçiş anahtarlarıdır ve iThemes Security Pro, bu çığır açan teknolojiyi WordPress sitelerine getiren ilk kişidir. Genel/özel kriptografiye dayalı çığır açan WebAuthn teknolojisini kullanan geçiş anahtarları, parolaları geçersiz kılar. Artık web sitesi yöneticileri ve son kullanıcılar, ek iki faktörlü uygulamalar, parola yöneticileri veya karmaşık parola gereksinimleriyle uğraşmadan güvenli oturum açabilirler.

Parolalar Hakkında Daha Fazla Bilgi Edinin