Apple, yeni oturum açma teknolojisinin parolalar kadar kolay ama çok daha güvenli olduğunu söylüyor

0
13

Apple’ın iCloud Anahtar Zinciri demosundaki parolası, yalnızca bir iPhone ve Face ID (solda ve ortada) ile hesaplar oluşturmanıza olanak tanır. Uygulamaya veya web sitesine daha sonra giriş yaptığınızda, sistem kullanıcı adınızı ve uygulamanın adını onaylar ve Face ID ile kimliğinizi doğrular (sağda).

Elma; Stephen Shankland/CNET tarafından ekran görüntüleri Bu hikaye, Apple genel merkezinden en son haberleri tam kapsamımız olan Apple Event’in bir parçasıdır.

Apple, şifreler kadar kolay ancak çok daha güvenli olduğunu söylediği yeni bir kimlik doğrulama teknolojisi olan geçiş anahtarlarını test etmeye başladı. İCloud Keychains’in bir parçası olan teknolojinin bir test sürümü bu yıl içinde iPhone’lar, iPad’ler ve Mac’lerle birlikte gelecek.

Bir web sitesinde veya uygulamada parola kullanarak hesap oluşturmak için önce yeni hesap için bir kullanıcı adı seçersiniz, ardından cihazı gerçekten kullananın siz olduğunuzu doğrulamak için FaceID veya Touch ID’yi kullanırsınız. Asla bir şifre seçmezsiniz. Aygıtınız, iCloud Anahtar Zinciri’nin tüm Apple aygıtlarınız arasında senkronize ettiği geçiş anahtarının oluşturulmasını ve saklanmasını yönetir.

her şey elma

CNET’in Apple Report bülteni iPhone’lar, iPad’ler, Mac’ler ve yazılımlar hakkında haberler, incelemeler ve tavsiyeler sunar.

Daha sonra kimlik doğrulama için parolayı kullanmak için, kullanıcı adınızı onaylamanız ve FaceID veya Touch ID ile kendinizi doğrulamanız istenecektir. Geliştiriciler, geçiş anahtarlarını desteklemek için oturum açma prosedürlerini güncellemelidir, ancak bu, mevcut WebAuthn teknolojisinin bir uyarlamasıdır.

Apple kimlik doğrulama deneyimi mühendisi Garrett Davidson Çarşamba günü şirketin yıllık WWDC geliştirici konferansında yaptığı açıklamada, “Oturum açmak için tek bir dokunuş olduğu için, günümüzde neredeyse tüm yaygın kimlik doğrulama biçimlerinden aynı anda daha kolay, daha hızlı ve daha güvenli” dedi.

Geçiş anahtarları, monitörünüzün yanına bantladığınız parola listesinden daha güvenli olacak şekilde tasarlanmış parolasız oturum açma teknolojisine artan ilginin en son örneğidir. Geleneksel şifreler, özellikle benzersiz şifreler oluşturup hatırlayamamamız gibi güvenlik eksiklikleri ile boğuşur. Bu nedenle Apple, Microsoft, Google ve diğer şirketlerle birlikte alternatifler bulmak için çalışıyor.

Parolaların ne kadar yaygın olduğu ve işletmelerin ve tüketicilerin değişiklikleri benimsemesinin ne kadar zor olduğu düşünüldüğünde, parolaların ötesine geçmek muazzam bir çabadır. Bununla birlikte, hesaplarımızın siber saldırılar ve kimlik avı dolandırıcılıkları nedeniyle risk altında olduğu bir çağda bu çok önemlidir.

Google’ın çekirdek sistemlerden sorumlu kıdemli başkan yardımcısı Jen Fitzpatrick, Mayıs’taki Google I/O geliştirici konferansında, “Günümüzdeki en yaygın güvenlik açığı hala kötü şifreler” dedi. “Nihayetinde, şifresiz bir gelecek yaratma görevindeyiz.”

200 milyondan fazla hesap sahibi, Microsoft hizmetleri için parolasız oturum açmayı etkinleştirdi. Karşılaştırıldığında, güvenlik sitesi Have I Been Pwned 613 milyondan fazla çalınan şifreyi saydı. Sitenin operatörü Troy Hunt, Microsoft’un danışmanıdır ve Mayıs ayında FBI’ın ele geçirildiğini keşfettiği parolaları eklemeye başlamıştır.

Apple’ın geçiş anahtarlarının arkasındaki teknoloji, donanım güvenlik anahtarlarıyla kimlik doğrulamasını elden geçiren bir konsorsiyum olan FIDO (Çevrimiçi Hızlı Kimlik) İttifakından ortaya çıkan WebAuthn teknolojisi üzerine kurulmuştur. Apple’ın yaklaşımı WebAuthn’un temel bir parçasını, iletişim güvenliğine ve diğer birçok yerleşik sürece derinlemesine yerleştirilmiş olan genel ve özel şifreleme anahtarlarının birleşimini kapsar.

Teknoloji yalnızca Apple cihazlarıyla çalışır, ancak Apple, geçiş anahtarlarının başarısının Windows bilgisayarlarda ve Android akıllı telefonlarda da kullanılabilirlik gerektirdiğinin farkındadır. Bu amaçla Apple, FIDO ve World Wide Web Consortium’daki (W3C) endüstri ortaklarıyla teknoloji hakkında konuşuyor.

Kimlik avı saldırılarını engelleme
Kimlik avı, FIDO, WebAuthn ve Apple’ın geçiş anahtarlarının düzeltmek için tasarlandığı bir sorundur. Oturum açma teknolojisi belirli bir uygulama veya web sitesiyle eşleştirilir, bu nedenle biri sizi sahte bir oturum açmanız için kandırmaya çalışırsa çalışmaz.

iCloud Anahtarlık karşılaştırma tablosunda geçiş anahtarı

Apple, iCloud Anahtar Zinciri teknolojisindeki geçiş anahtarının diğer kimlik doğrulama seçeneklerine göre avantajları olduğunu savunuyor.

Elma; Stephen Shankland/CNET tarafından ekran görüntüsü

Bu tür yaklaşımlar, oturum açmayı yöneten sunucuların artık bilgisayar korsanlarını cezbeden gizli oturum açma bilgilerinin hazineleriyle doldurulmasına gerek olmadığı anlamına gelir. Apple’dan Davidson, “Sunucuların daha az değerli hedefler çünkü bir saldırganın çalabileceği kimlik doğrulama sırları yok” dedi.

Donanım güvenlik anahtarları da kimlik avını engeller, ancak bir dizi dezavantajla birlikte gelir; örneğin, bunları her zaman taşıma ihtiyacı ve fob kaybolursa hesap oturum açma ayrıcalıklarını kurtarmanın zorluğu.

Apple, geçiş anahtarlarının her iki sorunu da çözdüğünü söylüyor. Zaten herkes telefonunu, yüzünü ve parmaklarını taşıyor. Bir kullanıcının cihazlarının kaybolması, hasar görmesi veya çalınması durumunda hesaplar Apple’ın iCloud Anahtar Zinciri aracılığıyla kurtarılabilir. Geçiş anahtarlarının bu yönünün Apple cihazlarının ötesinde nasıl çalışacağı henüz belli değil. (Apple, iCloud Anahtar Zinciri verilerini şifreler ve bunları bir aygıt olmadan yeniden oluşturmak için daha önce kullanılmış bir parola gerekebilir.)

Apple, parolaları biyometrik tarama gibi diğer kimlik doğrulama adımlarıyla genellikle eşleştiren güçlü bir oturum açma koruma yaklaşımı olan iki faktörlü kimlik doğrulama olarak görmez. Ancak şirket, geçiş anahtarlarının iki faktörlü kimlik doğrulama ihtiyacını azaltacak kadar güçlü olduğuna inanıyor.

Apple, gelecekteki iOS, iPadOS ve MacOS geliştirici yapılarında geçiş anahtarlarının önizleme sürümünü kullanıma sunuyor. Apple ve dışarıdan geliştiriciler teknolojiyi test ederken varsayılan olarak devre dışıdır.

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz