Türkçe
  • webauthn
  • passkey
  • mfa

WebAuthn'ı entegre etmeden önce bilmeniz gerekenler

WebAuthn'ın bazı temel kavramlarını tanıtarak, WebAuthn'ı entegrerken daha iyi kararlar vermenize yardımcı olmayı hedefliyor.

Sijie
Sijie
Developer

WebAuthn, geleneksel parolalara kıyasla daha güvenli ve kullanıcı dostu bir alternatif sunar. Popülaritesi artıyor ve bu teknolojiyi benimseyen web sitelerinin sayısı artıyor. Kendi web sitenize WebAuthn'ı entegre etme konusunda hevesliyseniz, yalnız değilsiniz. Ancak, nispeten yeni bir teknoloji olduğu için hakkında birçok sorunuz olabilir.

WebAuthn'ın web sitenizde veya uygulamanızda entegrasyonunu düşünürken, bu anahtar kavramları ve hususları anlamak, onu şimdi uygulama konusunda bilinçli kararlar almanıza yardımcı olacaktır.

WebAuthn ve Passkeyler Nedir?

Tanımları netleştirelim:

  • Web Kimlik Doğrulama API'si (WebAuthn), Kimlik Bilgisi Yönetim API'si'nin bir uzantısıdır. Kamu anahtarı kriptografisi ile güçlü kimlik doğrulama sağlar, SMS metinlerine gerek kalmadan parolasız ve güvenli çok faktörlü kimlik doğrulama (MFA) kullanılmasını mümkün kılar.
  • Passkeyler, birçok kişinin çekmek zorunda kaldığı geleneksel "parola + ikinci faktör" yaklaşımına bir WebAuthn tabanlı çekici alternatif sunar. Bu bağlamda, passkeyler WebAuthn standardı içinde belirli bir kullanım durumudur.

Passkey'i Çapraz Cihaz Kullanabilir miyim?

Evet, bir Passkey'i iki şekilde birden fazla cihazda kullanabilirsiniz:

  1. Parola Yöneticileri ile Senkronizasyon: iCloud Anahtarlık, Google Parola Yöneticisi ve 1Password gibi popüler parola yöneticileri parolanızı senkronize etmenize izin verir. Kayıt yanıtında "çapraz platform" olarak işaretlenmiş Passkeyler, Github'ın "senkronize" etiketi gibi çeşitli cihazlarda kullanılabilir.
  2. QR Kod ve Bluetooth: Başka bir yaklaşım, başka bir cihazdan oturum açmak için QR kodları ve Bluetooth'u kullanmaktır. Bu yöntem, kullanıcılara farklı platformlardaki hesaplarına erişim esnekliği sağlar.

Tek kimlik doğrulama yöntemi olabilir mi?

Elbette, WebAuthn son derece güvenli bir kimlik doğrulama faktörüdür. Passkey, bir "kullanıcı kimliği" içerir ve kimlik doğrulama sırasında sunucu, doğrulanmış "kullanıcı kimliği" kimlik algılayıcısını alır. Bu "kullanıcı kimliği", evrensel eşsiz bir tanımlayıcı (UUID) veya eposta, telefon numarası veya kullanıcı adı gibi diğer eşsiz tanımlayıcılar olabilir. Kullanıcılar, geçerli bir Passkey aramak için önce "kullanıcı kimliği" girerek ya da mevcut alan adıyla ilişkili bir liste içerisinden bir Passkey seçebilirler.

Bugünün uyumluluğu nasıl?

WebAuthn, güvenli bir bağlamda (HTTPS) kullanılabilir ve çoğu tarayıcının en son sürümlerinde desteklenir. Detaylı uyumluluk bilgileri için lütfen MDN belgelerine bakınız.

Alan adı passkey keynin kimlik dedektörüdür

WebAuthn eylemlerinde, kayıt veya kimlik doğrulama işlemi için, "rp kimliği" (bağımlı parti kimliği) zorunlu bir alandır. Mevcut web sayfasının alan adı ana makinesini temsil eder. Mevcut alan adıyla eşleşmezse, tarayıcı isteği reddeder. Bu, passkeylerin belirli bir etki alanına bağlı olduğu ve mevcut passkeylerin başka bir etki alanına taşımanın şu anda bir yolu olmadığı anlamına gelir. Ek olarak, passkeyler farklı alan adları çapında kullanılamaz. Daha fazla ayrıntı için, lütfen bu sorunu gözden geçirin.

Kimlik doğrulayıcı uygulamasına (TOTP) kıyasla

WebAuthn'i geleneksel iki faktörlü kimlik doğrulama yöntemleri, Zaman Tabanlı Tek Kullanımlık Parola (TOTP) ve Kimlik Doğrulayıcı uygulamalar gibi, daha fazla avantajları olduğunu görmek. WebAuthn, daha kullanıcı dostu ve güvenli bir kimlik doğrulama deneyimi sunar. TOTP'nin aksine, sürekli değişen bir kodu manuel olarak girmeyi gerektiren veya cihaz çalındığında tehlikeye girebilecek Kimlik Doğrulayıcı uygulamalarının aksine, WebAuthn güvenli donanıma ve biyometrik verilere dayanır ve sorunsuz ve robust bir kimlik doğrulama süreci sunar.

Ancak, TOTP'nin halen avantajlarının olduğunu, örneğin kolay yedekleme ve çapraz cihaz kullanımı, neredeyse tüm cihazlarla uyumlu olmasını sağlar.

Sonuç

WebAuthn kuşkusuz heyecan vericidir, ancak herhangi bir çığır açan teknoloji gibi, benimsemeden önce kapsamlı bir anlayış kazanmak hayati önem taşır. Bu makale, WebAuthn entegrasyonuna dair bilinçli kararlar vermeniz için gerekli bilgiyi edinmenizi amaçlamaktadır. Olası faydalarını dikkate alırken, bilgili kalmanın başarıda anahtar olduğunu unutmayın. Bu arada, stay tuned, çünkü Logto'nun bir sonraki büyük özelliği WebAuthn'ı destekleyecek, daha da fazla kullanışlı ve güvenli kimlik doğrulama olasılıkları sunacak.

Logto'yu bugün deneyin