Şu anda, çevrimiçi erişimi güvence altına almamızın birincil bir yolu var: kullanıcı adı ve şifre. Ancak, uzun, karmaşık ve karmaşık bir parola oluştursak bile, bu güvenlik kurulumunda yine de bir temel zayıflık kalır: kullanıcı.
Milyonlarca kişi zaten kimlik avı sitelerinin, sosyal mühendisliğin ve parolaları tehlikeye atan diğer saldırı biçimlerinin kurbanı oldu. Bu nedenle Apple, parolayı kaldırmak ve parolalarla değiştirmek istiyor.
Peki, Apple şifreleri şifre sorununu nasıl çözüyor?
Web Kimlik Doğrulama (WebAuthn) Standardı Nedir?
Bu standart, uzun vadeli web geliştirme için protokoller ve yönergeler oluşturmaya adanmış bir kuruluş olan World Wide Web Consortium (W3C) tarafından yayınlanmıştır. Grup, bu yeni kimlik doğrulama teknolojisini geliştirerek, verilerimizi korumanın birincil veya tek yolu olarak parolalara olan bağımlılığımızı azaltmayı umuyor.
Apple ayrıca W3C'nin bir üyesidir ve WebAuthn standardını Apple geçiş anahtarlarına dahil ederler. Bu özellik iCloud Anahtar Zinciri ile de çalışır, bu nedenle bu hizmeti zaten kullanan kişilerin sistemlerini taşımasına gerek kalmaz.
Web geliştiricileri ve cihaz üreticileri, WebAuthn API'sini uygulayarak farklı sistemlerde çalışacak bir kimlik doğrulama sağlar. Bu nedenle, ister Android, iOS, Mac veya Windows kullanıyor olun, bu parolasız sistem çalışmalıdır.
Apple Geçiş Anahtarları Sizi Nasıl Güvende Tutar?
Çoğumuz bir noktada kullanıcı adı ve şifrelere güvendik. Muhtemelen şu anda hala yapıyorsun. Ancak, özellikle kullanıcının güvenli bir parolası yoksa veya sosyal mühendisliğin kurbanıysa, parolalar kolayca ele geçirilebilir.
Geleneksel kullanıcı adı ve şifre kombinasyonu, bu bilgilerin çevrimiçi olarak saklandığı anlamına da gelir. Bu nedenle, örneğin Twitch gibi kullandığınız hizmet saldırıya uğrarsa, saldırı verileri ve daha fazlasını tehlikeye atar. Kullanıcı adınızı ve şifrenizi yeniden kullanırsanız, ki çoğu kişi bunu yapar, ancak biz bunu tavsiye ederiz, diğer hesaplarınız da risk altındadır.
İki Faktörlü Kimlik Doğrulama (2FA) bu sorunu çözmek için geliştirildi. Kullanıcılar, başka bir güvenlik katmanı ekleyerek, hesaplarına yetkisiz erişimin önlenmesine yardımcı olur.
Bu teknoloji, özellikle kaba kuvvet saldırılarına karşı güvenliği önemli ölçüde artırmış olsa da, birçok kullanıcı hala sosyal mühendislik saldırıları. Teknolojiden anlayan kullanıcılar saldırıları kolayca tespit edebilirken, bu kadar aşina olmayanlar bunu göremeyebilir. kimlik avı dolandırıcılığı gibi saldırıların belirtilerini tespit edin.
Apple parolaları, parolayı tamamen kaldırarak bu sorunu çözmeyi amaçlar. Bir çevrimiçi hizmette oturum açarken, artık kullanıcı adınızı ve parolanızı girmeniz gerekmez. Bunun yerine, cihazınızın FaceID veya TouchID gibi biyometrik güvenlik özelliklerini kullanmanız yeterlidir.
Hizmet ayrıca yalnızca Apple cihazınızla sınırlı değildir. Windows PC'nizde veya Android tabletinizde geçiş anahtarlarını kullanabilirsiniz. WebAuthn API'sini uygulayan bir web sitesine eriştiğiniz sürece, hesabınıza Apple olmayan bir gadget'tan erişiyor olsanız bile, hesabınıza giriş yapmak için Apple cihazınızın biyometrik özelliklerini kullanabilirsiniz. Apple cihazınızı herhangi bir dijital kapıyı açabilen evrensel bir anahtar olarak kullanmak gibidir.
Apple Geçiş Anahtarları Nasıl Çalışır?
Kullanıcı adı ve parolayı çevrimiçi olarak bir arada tutmak yerine, Apple geçiş anahtarları asimetrik şifreleme kullan. Göre Apple'ın parola güvenlik destek sayfası:
Hesap kaydı sırasında işletim sistemi, uygulama veya web sitesi için bir hesapla ilişkilendirmek üzere benzersiz bir şifreleme anahtarı çifti oluşturur. Bu anahtarlar, her hesap için cihaz tarafından güvenli ve benzersiz bir şekilde oluşturulur.
Bu anahtarlardan biri geneldir ve sunucuda depolanır. Bu ortak anahtar bir sır değildir. Diğer anahtar özeldir ve gerçekten oturum açmak için gereken şeydir. Sunucu özel anahtarın ne olduğunu asla öğrenmez. Touch ID veya Face ID'nin mevcut olduğu Apple cihazlarında, geçiş anahtarının kullanımına izin vermek için kullanılabilirler, bu daha sonra kullanıcının kimliğini uygulamada veya web sitesinde doğrular. Paylaşılan hiçbir sır iletilmez ve sunucunun ortak anahtarı korumasına gerek yoktur.
Bir kullanıcı adı ve şifre kullandığınızda, sunucu kilidi (kullanıcı adınız) ve anahtarı (şifreniz) tutar. Kilidi açmak için sunucuya benzer bir anahtarınız olduğunu gösterirsiniz ve o sizin için kapıyı açar.
Ancak Apple geçiş anahtarları ile sunucu anahtarı asla tutmayacaktır. Bunun yerine, kilidi size verir ve kendiniz açarsınız. Ve sunucu kilidi yalnızca fiziksel olarak sahipse (yani, verileriniz aslında sunucusunda depolanıyorsa) size vereceğinden, kimlik avı saldırıları, kilitleri olmadığı için etkisizdir (yani anahtarı isteyemezler, çünkü Apple geçiş anahtarları yalnızca geçerli bir kilit).
Bu sistemle, yalnızca geçerli tüzel kişi bir geçiş anahtarı isteyebilir, bu da kullanıcıların kimlik avı dolandırıcılığına ve diğer sosyal mühendislik saldırılarına daha az maruz kalmalarını sağlar. Ayrıca, kullanıcıların artık sayısız oturum açma kimlik bilgilerini hatırlamaları gerekmediğinden çok daha kullanışlıdır. Tek ihtiyaçları olan 2FA korumalı Apple ID'lerine giriş yapmak.
Parolasız Sisteme Başka Bir Örnek
Apple, bir akıllı telefon işletim sistemine etkili bir şekilde dahil edilen ilk şirket olsa da, parolasız sistemleri uygulayan ilk şirket değil. Bir Microsoft hesabınız varsa, muhtemelen bu teknolojiyle karşılaşmışsınızdır.
kurduysanız Microsoft hesabınızla parolasız oturum açma, Microsoft Authenticator uygulamasını kullanarak oturum açabilirsiniz; kullanıcı adı ve parola gerekmez. Öncelikle Microsoft Edge tarayıcısında mevcut olsa da, Windows Hello veya bir güvenlik yazılımı da kullanabilirsiniz. Google gibi diğer tarayıcılarda Microsoft hesabınızda oturum açmak için Microsoft Authenticator uygulamasını kullanma anahtarı Krom.
Şifrelere Elveda mı Diyorsunuz?
Kullanıcı adları ve parolalar, kullanıcıları 60 yılın daha iyi bir bölümünde korumuş olsa da, Başka yerlerde kullanımı daha kolay olan daha iyi güvenlik sistemleri sayesinde hayatlarının sonuna yaklaşıyorlar fazla. Gittikçe daha fazla hizmete kaydolduğumuzda, yüzlerce değilse de onlarca kullanıcı adı-şifre kombinasyonunu ezberleme fikri göz korkutucu olabilir.
Bilgisayar korsanları ayrıca daha karmaşık hale geliyor ve gelişmiş güvenlikle bile verilerden ödün vermelerine izin veriyor. Ve çok faktörlü kimlik doğrulama, geleneksel oturum açma kimlik bilgilerinin güvenliğini biraz artırmış olsa da, yine de kullanıcıyı önemli bir güvenlik açığı olarak bırakıyor.
Parolalarla, kullanıcı adı ve parolalardan daha güvenli bir geleceğe geçebiliriz. Kuantum hesaplama gibi yeni teknolojiler geliştirilip pazara sunuldukça, geleneksel kullanıcı adı ve şifre kombinasyonunun bir gecede eskime riski vardır.