Şifre ölmüyor
Geçen yıl, büyük teknoloji şirketlerinin şifreleri ortadan kaldırmak için güçlerini birleştirdiklerini iddia eden haber makaleleri internete sızmıştı. Bazı start-up firmaları şifrelerin modası geçmiş ve eski olduğunu bile ilan etmişti.
Founder
Giriş
Geçen yıl, büyük teknoloji firmaları gibi Apple, Google ve Microsoft'un şifreleri ortadan kaldırmak üzere birleşme güçleri olduğunu iddia eden haber makaleleri internette dolaşıyordu. Bazı start-up firmaları şifrelerin modası geçmiş ve eski olduğunu bile ilan etmişti. Kimlik yönetimi alanında aylarca emek verdikten sonra, bu iddiaların geçerliliğini ve uygulanabilirliğini sorgulamaya başladım.
Bir şifre ne yapar?
İlk bakışta, cevap bariz gibi görünüyor: Şifreler oturum açmak ve kimlikleri doğrulamak için kullanılır. Ancak, şu gerçeği göz önünde bulundurursanız, şifreler gerçekte kim olduğunuzu doğrulayamaz:
- Bir kullanıcı bir web sitesine e-posta ve şifre ile giriş yaptığında, web sitesinin bu kimlik bilgilerinin arkasındaki gerçek kişiyi onaylama yolu yoktur. Bu bir insan ya da bir kedi bile olabilir.
- Doğru bir PIN ile bir iPhone'u herkes açabilir.
Gerçekte, bir şifrenin amacı, bir kullanıcı hesabı, bir cihaz veya bir kapıya erişimin anonim bir şekilde sahipliğini kanıtlamaktır.
Mevcut “şifre katilleri”
Daha önce bahsedilen şirketler çeşitli "şifre katilleri" önerdi. Birçokları, kullanıcıların kimlik doğrulaması sırasında karmaşık, statik şifreleri hatırlama ihtiyacını ortadan kaldıran daha güvenli alternatifler olduklarını iddia ediyor. Ancak, bu alternatiflerin çoğu tamamen şifrelerin kaldırılması için tamamen pratik değil.
FIDO kimlik doğrulama
FIDO (Hızlı Kimlik Doğrulama Online) kimlik doğrulama, resmi belgelerde açıklandığı gibi kayıt ve oturum açma için genel anahtar şifreleme tekniklerini kullanır ( WebAuthn'ın FIDO2 özelliklerinin temel bileşen olduğunu belirtmek gerekir). Yüzeyde işlem cazip görünüyor:
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_A_B_0' d='M154.266%2c35L158.432%2c35C162.599%2c35%2c170.932%2c35%2c178.599%2c35C186.266%2c35%2c193.266%2c35%2c196.766%2c35L200.266%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_B_C_1' d='M372.766%2c35L376.932%2c35C381.099%2c35%2c389.432%2c35%2c397.099%2c35C404.766%2c35%2c411.766%2c35%2c415.266%2c35L418.766%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_C_D_2' d='M659.188%2c35L663.354%2c35C667.521%2c35%2c675.854%2c35%2c683.521%2c35C691.188%2c35%2c698.188%2c35%2c701.688%2c35L705.188%2c35'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(81.1328125%2c 35)' id='flowchart-A-0' class='node default'%3e%3crect height='54' width='146.265625' y='-27' x='-73.1328125' style='' class='basic label-container'/%3e%3cg transform='translate(-43.1328125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='86.265625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eKay%c4%b1t Ba%c5%9flar%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(288.515625%2c 35)' id='flowchart-B-1' class='node default'%3e%3crect height='54' width='168.5' y='-27' x='-84.25' style='' class='basic label-container'/%3e%3cg transform='translate(-54.25%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='108.5'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eKullan%c4%b1c%c4%b1 Onay%c4%b1%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(540.9765625%2c 35)' id='flowchart-C-3' class='node default'%3e%3crect height='54' width='236.421875' y='-27' x='-118.2109375' style='' class='basic label-container'/%3e%3cg transform='translate(-88.2109375%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='176.421875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eYeni Anahtar Olu%c5%9fturuldu%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(782.765625%2c 35)' id='flowchart-D-5' class='node default'%3e%3crect height='54' width='147.15625' y='-27' x='-73.578125' style='' class='basic label-container'/%3e%3cg transform='translate(-43.578125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='87.15625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eTamamland%c4%b1%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
Basit, değil mi? Maalesef, yolda önemli bir engel var: uyumluluk. Geleneksel "tanımlayıcı ve şifre" kombinasyonuna kıyasla, FIDO kimlik doğrulaması gerektirir:
- Web sitelerinin veya uygulamaların FIDO'yu desteklemesi.
- Tarayıcıların ve/veya işletim sistemlerinin FIDO'yu desteklemesi.
- Kullanıcı cihazlarının kullanıcı dostu bir doğrulama mekanizması olması.
Bu gereksinimlerden herhangi birine uyulmaması durumunda FIDO kimlik doğrulaması kullanılamaz hale gelir, bu da diğer yöntemlere geçişe neden olur.
Dahası, tüm şartlar yerine getirilse bile, bir cihazda bir "kullanıcı dostu doğrulama mekanizması" neye denk gelir? Şu anda, bu parmak izi veya yüz tanıma gibi biyometrik yöntemleri içerebilir, yanında bir yedek seçenek olarak bir PIN kodu, yani bir şifre bulunur. Sonuçta, başladığımız yere geri döndük.
Teknik olarak, bu bir "şifre katili" değil, şifrelerle korunan daha güvenli ve kullanıcı dostu bir kimlik doğrulama veya doğrulama sürecidir.
Tek seferlik şifre
Adında “şifre” kelimesini içermesine rağmen, tek seferlik şifreler (OTP'ler) geleneksel şifreler değildir, çünkü bunlar dinamiktir. İki popüler OTP türü vardır:
- Zaman Esaslı Tek Seferlik Şifre (TOTP): Eşsiz bir kaynak olarak mevcut zamanı kullanarak algoritma ile oluşturulur. Genellikle Çok Faktörlü Kimlik Doğrulaması (MFA) veya 2FA'da kullanılır.
- SMS/E-posta Tek Seferlik Şifre: Sunucuda rastgele algoritmalar kullanılarak oluşturulur. Bazı ülkelerde, birincil oturum açma yöntemi olarak yaygın bir şekilde kullanılmıştır.
TOTP'ler isim olarak genellikle tanınmayabilir. Örneğin, bir web sitesi size MFA kurmanızı ve bir QR kodu taramanız için Google Authenticator veya Duo gibi bir uygulama kullanmanızı istediğinde, muhtemelen TOTP kullanıyorsunuzdur. Ayrıca web sitesinin genellikle uzun bir "kurtarma kodu" gösterdiğini ve bunun sadece bir kez gösterileceği konusunda sizi uyardığını da fark etmiş olabilirsiniz. Bazı web siteleri kullanıcılarına bunu kağıda basmalarını bile teşvik eder. Özünde, bu kurtarma kodu, uzun bir şifre gibi işlev görür.
SMS/E-posta OTP'leri söz konusu olduğunda, bunlar pahalı ve güvenilmez olabilir:
-
Scratch'dan bir SMS veya e-posta gönderici oluşturmak kurulumu gerektirir.
-
E-posta göndericilerin teslimatı iyileştirmek için olumlu bir "itibar" oluşturması gerekiyor, aksi takdirde gönderici spam olarak işaretlenebilir.
-
Her ülkenin kendine ait mobil ağ operatörleri vardır, bu da SMS gönderiminde tahmin edilemez teslimat süreleri ve özellikle start-up'lar için önemli maliyetler anlamına gelir.
Biyometrikler
"Biyometrik" terimi, çevrimiçi kimlik doğrulama için yalnızca biyometrik yöntemlerin kullanılmasını ifade eder. Ancak diğer yöntemlerle karşılaştırıldığında temel bir fark vardır: biyometrik kimlik doğrulama, orijinal "bir şeye sahip olma" kanıtlama görevini "kim olduğunuzu" kanıtlama görevine taşır. Gizlilik endişeleri nedeniyle, biyometrik yöntemler öncelikle yerel kimlik doğrulama için kullanılır.
Ancak şifre mükemmel değil
Görüldüğü gibi, "şifre katilleri" temelde şifreleri gizler veya şifreleri yedek seçenek olarak kullanır. Tartışmamız temelinde, şifrelerin avantajlarının bir özeti:
-
Erişilebilirlik ve uyumluluk: Şifreler çeşitli sistemlerde kullanılabilir ve geniş bir kullanıcı yelpazesine ulaşabilir.
-
Maliyet etkinliği ve çok yönlülük: Şifre tabanlı kimlik doğrulama genellikle diğer yöntemlere göre daha maliyet etkili ve farklı senaryolara uyarlanabilir.
-
Anonimlik ve gizlilik: Şifreler anonim kullanıma izin verir ve kullanıcı gizliliğini korur.
Ancak her madalyonun iki yüzü vardır. Şifrelerin avantajları olsa da, kimlik doğrulama için yalnızca bunlara güvenmek önemli zafiyetlere neden olabilir. Kullanıcıların yönetmekte zorluk çektiği ve web sitesi sahipleri uygun güvenlik uygulamalarını izlemezse kolayca tehlikeye girebilir. Tehlikeli güvenlik uygulamaları şunları içerir, ancak bunlarla sınırlı değildir:
-
Zayıf veya sızdırılmış şifrelere izin vermek.
-
Bağlantılar için HTTPS kullanımını zorunlu hale getirmemek.
-
Güvensiz hash algoritmalarının kullanılması.
-
OAuth veya OpenID Connect (OIDC) gibi sıkı savaş testli standartlara sıkı bir şekilde uyulmaması.
-
Veritabanının genel kullanıma açılması.
Sonuç
Yukarıda bahsedilen hiçbir kimlik doğrulama yöntemini küçümsemeyi amaçlamıyorum. Aksine, Logto üzerinde çalışırken, bu olağanüstü kimlik doğrulama yöntemleri ve onların arkasındaki kişilere derin bir saygı duydum.
Ancak, %100 güvenliği elde etme hedefi ulaşılamaz bir hedeftir. Yapabileceğimiz şey, saldırı olasılığını azaltmaktır. Etkili bir yaklaşım, şifre tabanlı kimlik doğrulama ile mevcut cihaza veya ortama dayalı tek seferlik şifrenin birleştirilmesi, bu da ek bir doğrulama katmanı ekler ve yaygın olarak kabul görür. Farklı kimlik doğrulama tekniklerinin güçlü yanlarını kullanarak, daha güçlü koruma sağlayan katmanlı bir yaklaşım oluşturabiliriz.
Sonuç olarak, şifreler gerçekte ortadan kaldırılmadığında "şifre katili" gibi anahtar kelimelere odaklanmak yerine, güvenlik ve kullanıcı deneyimi arasında denge bulmak üzerine yoğunlaşılması daha değerli olacaktır. Bu, çeşitli kimlik doğrulama yöntemlerinin güçlü ve zayıf yönlerini anlamayı ve bunları hem kullanıcı verilerinin güvenliğini hem de sorunsuz bir kullanıcı deneyimini garanti edecek şekilde uygulamayı gerektirir.