Parolalara göre daha güvenli ve kullanımı daha kolay bir alternatif olan parola anahtarları

" Şifremi unuttum, yardıma ihtiyacım var, şifremi hatırlamıyorum, şifremi sıfırla." Hepimiz e-postamıza, sosyal medyamıza veya bankamıza erişmeye çalıştığımız durumlarla karşı karşıya kalmışızdır. Genel öneri bir parola yöneticisi kullanmak olsa da (anahtarlar üretir ve bunları güvenli bir şekilde saklar), ortalama kullanıcı bir döngü içinde yaşar güvenli olmayan şifreler oluşturma ve bunları neredeyse periyodik olarak sıfırlama. Bütün bunlara karşın daha üstün bir çözüm var: “ şifre anahtarları ” veya erişim anahtarları.

Parola, parola kullanmadan bir web sitesine veya uygulamaya kimlik doğrulaması yapmak için kullanılan dijital bir kimlik bilgisidir . Kullanıcı karmaşık şifreleri hatırlamak yerine, cihazında bulunan biyometrik yöntemi (parmak izi veya yüz tanıma gibi) veya yerel bir PIN kodunu kullanır.

Örneğin bir kullanıcı tarayıcıdan Google hesabına giriş yapmak istediğinde, parola girmesine gerek kalmadan, telefonunda parmak izini kullanarak kimliğini doğrulayabilir. Bu, yalnızca daha rahat olmakla kalmıyor, aynı zamanda anahtar hırsızlığı nedeniyle saldırı riskini de azaltıyor.

Microsoft , bu ayın başlarında kullanıcılar tarafından oluşturulan tüm yeni hesapların (Outlook, Office veya oturum açmayı gerektiren herhangi bir başka hizmet için) varsayılan olarak parola kullanacağını duyurdu. Bu, Google ve Apple gibi diğer oyuncuların da uygulamaya koyduğu bir hamle.

İşte bunların ne olduğu, nasıl çalıştığı , neden yararlı olduğu ve bir serviste nasıl etkinleştirileceği.

Kimlik doğrulama, bir kullanıcının iddia ettiği kişi olduğunu doğrulama sürecidir: Örneğin, bir e-postaya kullanıcı adımızı ve parolamızı girdiğimizde, sistem bu bilgiyi kimliğimizin doğrulandığının teyidi olarak alır ve bize e-postaları okuma erişimi verir.

Bu fikir kulağa basit gelse de, pratikte çok daha karmaşıktır; çünkü hesap hırsızlığı sürekli yaşanmaktadır. FortiGuard Labs (Fortinet) verilerine göre , 2024 yılında karanlık web forumlarında dolaşan 1,7 milyar çalıntı kullanıcı adı ve şifre kombinasyonu tespit edildi. Ayrıca yapılan bir başka araştırmada, analiz edilen şifrelerin yüzde 59'unun bir saatten kısa sürede kırılabildiği ortaya çıktı. Tüm bunlar kullanıcıyı hesap ele geçirme olarak bilinen kalıcı riske sokar .

"Pratik amaçlar için, fiziksel anahtarlar veya geçiş anahtarları bir paroladan daha güvenli ve kullanışlıdır. 'Daha güvenli' iddiası tartışmalıdır, çünkü her zaman kullanıcının bağlamına bağlıdır, ancak bir genelleme yaparak, bunun doğru olduğu kanıtlanmıştır," siber güvenlik konusunda uzmanlaşmış bir yazılım geliştiricisi olan "HacKan" Iván Barrera Oro Clarín'e söyledi.

Tüm bu sebeplerden dolayı Microsoft, sektöre yön veren bu değişikliği şifrelerde hayata geçirdi. "Bu değişiklik izole değil: Microsoft ve diğer kuruluşlar, önümüzdeki yıl geçiş anahtarı benimsenmesini teşvik etmek için küresel bir taahhüt olan ' Geçiş Anahtarı Taahhüdü'nü imzaladılar. Amaç, endüstri standartları ve varsayılan olarak güvenlik ilkeleriyle uyumlu, daha güvenli, daha basit ve sorunsuz bir kimlik doğrulama deneyimine doğru ilerlemektir," dedi Microsoft'un Latin Amerika Siber Güvenlik Direktörü Marcelo Felman Clarín'e.

Sorun genellikle kullandığımız servislerin bize oturum açma konusunda bir seçenek sunmamasıdır. Ancak büyük oyuncular, Microsoft, Apple, Google, Amazon ve Meta bunu zaten yapıyor.

"Bir geçiş anahtarı, bir uygulamaya veya web sitesine giriş yaptığınızda kimliğinizi doğrulamanın daha güvenli ve basit bir yoludur. Daha önce, bir hesaba erişmek için bir parolayı hatırlamanız ve girmeniz gerekiyordu, bu yalnızca sizin bildiğiniz varsayılan bir şeydi. Sorun şu ki, başka biri bu bilgileri ele geçirirse, sizi taklit edebilir. Geçiş anahtarları bunu değiştirir: bunlar hala bir "sır"dır, ancak ezberlemeniz gerekmez. Cihazınızın güvenliği tarafından korunurlar ve yalnızca sizin sahip olduğunuz bir şeye, örneğin parmak izinize, yüzünüze veya telefonunuzun kilidini açmak için kullandığınız PIN'e bağlıdırlar," diye devam ediyor Felman.

"Örneğin, bir bankacılık uygulamasına şifrenizi girmek yerine, telefonunuzun kilidini açtığınızda olduğu gibi, sadece yüzünüzü kullanarak giriş yaparsınız. Bu şekilde, kimse şifrenizi çalamaz çünkü tahmin edebilecekleri veya sızdırabilecekleri yazılı bir şifre yoktur. Giriş yapmak için modern, daha güvenli ve daha rahat bir yoldur, " diye açıklıyor.

Bu anlamda, güvenliğin mutlak değil, kullanıma göre değişen bir kavram olduğunu her zaman aklımızda tutarak, sektördeki en güvenli anahtarların parolalar olduğu kabul edilmektedir. "Parola gibi çalınamaz veya tahmin edilemezler. Birisi parolanızı ele geçirirse, sanki sizmişsiniz gibi hesaplarınıza erişebilir. Öte yandan, parolalar, parmak iziniz, yüzünüz veya cihazınızın kilidini açmak için kullandığınız PIN gibi kolayca kopyalanamayan veya taklit edilemeyen bir şeyle korunur. Cihazınıza ve kilidini açmanın benzersiz yolunuza fiziksel erişimleri olmadığı sürece kimse sizi taklit edemez. Parolalarla, 'sırrınızı' bilen herkes sizi taklit edebilir. Parolalarla, yalnızca siz bunlara erişebilirsiniz çünkü bunlar sizin kim olduğunuza ve kullandığınız cihaza bağlıdır," diye ekliyor.

Günümüz ortamında şifrelerin bir gecede ortadan kalkacağına inanmak zor . “Şu anda en yaygın yaklaşım, ikinci faktörlü veya faktörsüz kullanıcı adı ve parola, ardından sosyal oturum açma [yani, örneğin Google kimlik bilgilerini kullanarak oturum açma] şeklindedir. Parola anahtarları giderek yaygınlaşıyor. Bazı hizmetler, e-posta yoluyla benzersiz ve özel bir bağlantı sağlayan tek faktörlü oturum açma sunar; bu, parolalara iyi bir alternatiftir. Uber gibi diğer hizmetler, SMS yoluyla parolasız oturum açmaya izin verir. Sektörün parolaları değiştirmenin yollarını aradığı göz önüne alındığında, her iki durumda da tek faktörden bahsediyoruz,” diyor HackAn.

Genellikle bu yöntemi kullanıp şifrelerden uzaklaşmaya başlamak iyi bir fikirdir. “Genel olarak, servisler nasıl oturum açacağınızı seçmenize izin vermez, ancak yapabiliyorsanız, e-posta + fiziksel bir anahtar veya parola dışında başka bir ikinci faktör aracılığıyla benzersiz ve özel bir bağlantı kullanmak çok pratik ve çok güvenlidir. Parolalar kimlik avına karşı savunmasızdır. Son zamanlarda, geçiş anahtarlarının da savunmasız olduğu, ancak daha az ölçüde olduğu kanıtlandı. Fiziksel anahtarların kimlik avını mümkün kılan güvenlik açıkları bile oldu, ancak neyse ki bunlar nadir vakalardır,” diye ekliyor HackAn.

Kişisel bir hesaba erişirken genellikle ikinci bir kimlik doğrulama faktörü olarak " fiziksel anahtarlar " kullanılır ve ekstra bir güvenlik katmanı sağlanır.

Dolayısıyla teknoloji sektöründe şifreli anahtarlara doğru bir göç yaşanıyor. “ Parolalardan geçiş anahtarlarına geçiş kademeli ancak istikrarlı olacak. Microsoft, tüm yeni hesapların varsayılan olarak parolasız olacağını ve varsayılan kimlik doğrulama yöntemi olarak anahtarları kullanacağını duyurdu. Yani, yeni bir hesap oluşturan kişilerin artık parola belirlemesi gerekmeyecek: cihaza bağlı olarak yüz tanıma, parmak izi veya güvenli bir PIN kullanarak oturum açabilirler. Zaten bir hesabı olanlar için, geçiş anahtarlarına geçme seçeneği zaten mevcut. Bu , önerilen kimlik doğrulama yöntemi olacak, ancak parola kullanmaya devam etmeyi tercih edenler şimdilik bunu yapabilirler” diyor Felman.

Ancak HackAn'ın bazı çekinceleri var: "Bence bu iyi bir fikir, ancak belki biraz aceleci. Anahtarlar bir kavram olarak iyi bir fikirdir ve parolalar her zaman gariptir, bu nedenle bu yaklaşım iyi olabilir. Ancak, anahtarların yenilmez olduğu ve hatta birçok cihazda çalışmayabileceği yanlıştır. Örneğin, dizüstü bilgisayarımda bunları çalıştırmakta zorluk çekiyorum, bu nedenle anahtar başarısız olursa veya söz konusu cihazda kullanılamıyorsa diğer erişim yöntemlerini etkinleştiren uygun bir uygulama geliştirmelerini umuyorum. Parolaları arka plana atmamıza izin veren bir yöne doğru ilerlemek olumlu," diye düşünüyor.

Felman bir noktada hemfikir: Tek bir sihirli formül yok. "Hiçbir teknolojik değişim zorluklar olmadan gerçekleşmez. Bu nedenle bugün, her zamankinden daha fazla, siber güvenlik kültürü ve dijital dayanıklılık stratejik bir öncelik haline geldi. Günlük yaşamda, bu, yazılımı güncel tutmak, güvenli kimlik doğrulama yöntemleri seçmek ve her şeyden önce eğitim gibi basit şeylerde yansıtılır. Çünkü bu sadece yeni araçları uygulamakla ilgili değil, aynı zamanda onları eğitim, farkındalık ve güvenli alışkanlıklarla desteklemekle de ilgilidir. Ancak bu şekilde herkes için daha güvenli bir dijital ortam oluşturabiliriz," diye sonlandırıyor.

Her hizmetin kendine özgü bir yaklaşımı olsa da, mekanikler genellikle benzerdir ve hesap ayarlarındaki "Güvenlik" sekmesi altında bulunabilir. İşte Microsoft'tan bir örnek:

Oluşturulduktan sonra, sürprizlerle karşılaşmamak için doğru çalıştığını test etmeniz önerilir.