Telefonumu şifreyle birlikte kaybedersem ne olur?

Parola iCloud/Google hesabınızla senkronize edildiyse yeni bir cihazda bu hesapta oturum açarak parolayı kurtarabilirsiniz. Cihaza bağlıysa (donanım anahtarı), genellikle bir yedekleme cihazı da kaydettirmişsinizdir; geçiş anahtarlarını destekleyen her site, en az iki cihazın kaydedilmesini önerir. Her ikisi de başarısız olursa kurtarma akışı e-postaya/SMS'e geri döner.

Geçiş anahtarları biyometrik oturum açmayla aynı mıdır?

Tam olarak değil. Biyometrik (Touch ID, Face ID), cihazınızdaki geçiş anahtarının kilidini açan şeydir. Geçiş anahtarının kendisi bir şifreleme anahtarıdır. Parmak izi cihazınızdan asla ayrılmaz; site yalnızca güvenli alanınızdaki bir anahtarın imzasını görür. Biyometrik kriptografiye izin verir; bulaşmaz.

Geçiş anahtarı çalınabilir mi?

Özel anahtar güvenli donanımda (Secure Enclave, TPM, TitanM2) bulunur ve çıkarılamayacak şekilde tasarlanmıştır. Bulutla senkronize edilen geçiş anahtarları, iCloud veya Google hesabınızın güvenliği ihlal edilirse açığa çıkabilir; bu nedenle bu hesapların kendi güçlü korumasına (ideal olarak bir donanım anahtarı 2FA ile) ihtiyacı vardır.

Tüm web siteleri şifre anahtarlarıyla çalışır mı?

Yalnızca WebAuthn uygulayan siteler. Benimseme geniş kapsamlıdır ancak dengesizdir; büyük teknoloji ve finans siteleri genellikle bunu destekler, daha küçük siteler ise çoğunlukla desteklemez. Bir site şifre anahtarlarını desteklemediğinde şifre + 2FA'ya geri dönersiniz, bu da sorun değildir.

Geçiş anahtarları donanım anahtarlarından daha mı güvenli?

Kimlik avına karşı dayanıklılık özelliği için kabaca eşdeğerdir. Donanım anahtarlarının bir avantajı vardır: Bilgisayarınız veya bulut hesabınız ele geçirilse bile kimlik bilgileri hiçbir zaman çalınamaz. Senkronize geçiş anahtarları daha kullanışlıdır ve kimlik avına karşı aynı derecede dayanıklıdır, ancak güvenliği tamamen ihlal edilmiş bir bulut hesabına karşı daha az dayanıklıdır. Yüksek riskli hesaplar için bir donanım anahtarı kullanın. Günlük kullanım için senkronize edilmiş geçiş anahtarları doğru dengedir.

Geçiş Anahtarlarının Açıklaması: FIDO2 ve WebAuthn Parolayı Nasıl Öldürüyor?

Geçiş anahtarları, parolaların gerçek halefi olmaya en yakın şeydir. Paylaşılan bir sır yerine kriptografiyle kimliğinizi doğrularlar, işletim sistemi anahtar zinciriniz aracılığıyla cihazlarınız arasında senkronize edilirler ve tasarımları gereği kimlik avına karşı dayanıklıdırlar. Artık her büyük işletim sistemi, tarayıcı ve kimlik sağlayıcısı geçiş anahtarı desteği sağlıyor.

Makalenin tam metni aşağıda İngilizce olarak verilmektedir.

A passkey, bir FIDO2 kimlik bilgisidir; cihazınızın işletim sistemi tarafından oluşturulan ve saklanan, bir web sitesinde veya uygulamada parola yazmadan kimliğinizi doğrulamak için kullanılan bir kriptografik anahtar çiftidir. Tarayıcı, siteden bir sorgulamayı imzalayarak özel anahtara sahip olduğunu kanıtlar; site kayıtlı genel anahtarla doğrulanır. Parola yok, kod yok, parmak izi veya Yüz Kimliği isteminin ötesinde hiçbir sorun yok.

Parolalar hangi parolaların yerini alır

Geleneksel oturum açma akışında üç katmanlı sorun vardır:

Parolalar tahmin edilebilir. En yaygın olanları sözlük sözcükleri ve basit kalıplardır. Kimlik bilgisi doldurma saldırıları, sızdırılan şifre veritabanlarını her siteye karşı geri dönüştürür.
Şifreler yeniden kullanılabilir. Kullanıcılar bunları hizmetler genelinde yeniden kullanır, dolayısıyla bir ihlal birçok hesabı tehlikeye atar.
2FA cıvatalanmıştır. SMS kodları ele geçirilebilir, TOTP gerçek zamanlı olarak kimlik avı yapılabilir, yalnızca donanım anahtarları gerçekten kimlik avına karşı dayanıklıdır ve donanım anahtarları sıradan kullanıcılar için fazla sürtünmeye sahiptir.

Passkey'ler, şifre + 2FA deneyimini, kimliği zaten doğrulanmış bir cihazda tek bir biyometrik veya PIN kontrolüne dönüştürür.

Geçiş anahtarı gerçekte nasıl çalışır

Temel protokol WebAuthn'tir. (W3C standardı) tarayıcı tarafında ve CTAP2 (İstemciden Kimlik Doğrulayıcıya Protokolü) donanım anahtarı gibi ayrı bir cihaz söz konusu olduğunda. Birlikte FIDO2 çerçevesini uygularlar.

example.com'da bir geçiş anahtarı kaydettiğinizde:

Site, tarayıcınızdan bir kimlik bilgisi oluşturmasını ister.
İşletim sistemi bir ECC anahtar çifti oluşturur (tipik olarak Secure Enclave / TPM / TitanM2'de).
İşletim sistemi, genel anahtarı aşağıdakilerle ilişkilendirir: example.com ve bir kimlik bilgisi kimliği.
Tarayıcı, genel anahtarı siteye gönderir ve site bunu hesap kaydınızda saklar.
Özel anahtar hiçbir zaman cihazınızın güvenli deposundan çıkmaz.

Bir dahaki sefere oturum açtığınızda:

Site, rastgele bir kimlik bilgisi gönderir. meydan okuma.
Tarayıcı, işletim sisteminden sınamayı example.com özel anahtarınızla imzalamasını ister.
İşletim sistemi sizden yetkilendirmenizi ister — Touch ID, Face ID, Windows Hello veya bir PIN.
İmzalanan meydan okuma, depoladığı genel anahtara göre doğrulama yapan siteye geri döner.
Günlüğe giriş yaptınız in.

Parola anahtarları neden kimlik avına karşı korumalıdır?

Tarayıcı, imzayı kullanıcının ziyaret ettiği gerçek etki alanına (kökene) bağlar. Gerçek example.com'daysanız imza, example.com'dur. Evil-example.com'a kandırılırsanız, tarayıcı evil-example.com için bir imza üretir ve gerçek example.com bunu kabul etmez. Saldırgan kimlik bilgilerine müdahale edemez ve tekrar oynatamaz; yakalanacak şifre veya TOTP kodu gibi tekrar oynatılabilir bir sır yoktur.

Bu, donanım FIDO2 anahtarlarını kimlik avına karşı korumalı hale getiren özelliğin aynısıdır ve artık ayrı bir donanım kilidi gerektirmeyen, işletim sistemi tarafından yönetilen kimlik bilgilerine genişletilmiştir.

Sync ve cihaza bağlı

şifre:

Senkronize edilmiş şifreler. İşletim sistemi anahtar zincirinde (iCloud Anahtar Zinciri, Google Şifre Yöneticisi, 1Password, Bitwarden) saklanır ve cihazlarınız arasında senkronize edilir. Telefonunuzda oluşturulan şifreyi kullanarak dizüstü bilgisayarınızdan giriş yapabilirsiniz. En tüketici dostu.
Cihaza bağlı geçiş anahtarları. Tek bir cihazda, genellikle bir donanım anahtarında kalın. Her seferinde fiziksel cihaza ihtiyaç duyma pahasına daha yüksek güvenlik garantileri (iCloud hesabınızın güvenliği ihlal edilse bile dışarı sızdırılamaz). Kurumsal ve yüksek güvenlikli kullanım örnekleri bunları tercih eder.

Cihazlar arası oturum açma

Yakındaki bir cihazdaki şifreyi kullanarak, şifrenize sahip olmayan bir cihazda oturum açabilirsiniz. Standart akış: Dizüstü bilgisayar bir QR kodu gösterir, bunu telefonunuzla tararsınız, telefonunuz geçiş anahtarıyla kimlik doğrulaması yapar ve iddiayı Bluetooth yakınlık kontrolü aracılığıyla dizüstü bilgisayara gönderir. Hızlıdır, telefonun aynı Wi-Fi üzerinde olmasını gerektirmez, Bluetooth fiziksel yakınlığı kanıtladığı için uzun mesafeli saldırıları önler.

2026'da benimsenmesi

Şifre anahtarının kullanıma sunulması tipik güvenlik standartlarından daha hızlı gerçekleşti:

Apple, Google, Microsoft, 2022–2023'ten bu yana işletim sistemi anahtarlıklarında şifre anahtarı desteği sunuyor
1Password, Bitwarden, Dashlane, 2023'te işletim sistemleri arası şifre anahtarı senkronizasyonunu ekledi
Şifre anahtarı desteğine sahip başlıca siteler arasında Google, Apple, Microsoft, Meta, Amazon, GitHub, eBay, PayPal, Best Buy, Robinhood ve yüzlerce site yer alıyor devamı
Birçok site hala varsayılan olarak şifre+2FA'yı kullanıyor ancak şifreyi bir seçenek olarak sunuyor

Artık anlaşmazlık çoğunlukla sitenin benimsenmesi ve kullanıcı aşinalığından kaynaklanıyor. Teknoloji ayarlandı.

Geçiş anahtarlarının yetersiz kaldığı yer

Birkaç gerçek sınırlama:

Hesap kurtarma daha zordur. Tüm cihazlarınızı ve senkronizasyon sağlayıcınıza erişiminizi kaybederseniz, geçiş anahtarlarınızı kaybedebilirsiniz. Geçiş anahtarlarını destekleyen siteler hâlâ bir hesap kurtarma akışına ihtiyaç duyuyor ve genellikle e-posta veya SMS'e başvuruluyor; bu, güvenlik katının hâlâ e-posta veya telefon sağlayıcısı olduğu anlamına geliyor.
LEkosistem tarafından kilitlenme. Apple'ın iCloud Anahtar Zinciri, geçiş anahtarlarını Apple aygıtları arasında iyi bir şekilde senkronize eder; sağlayıcılar arası senkronizasyon, üçüncü taraf bir şifre yöneticisi gerektirir.
Kimlik avına karşı koruma, hesabın ele geçirilmesine karşı koruma değildir. Bir geçiş anahtarı kimlik avına tabi tutulamaz, ancak oturum açtıktan sonraki oturum çerezleri yine de kötü amaçlı yazılımlar tarafından çalınabilir.

Çoğu hesapta, şifre anahtarları kesinlikle şifrelerden daha iyidir. Geçiş, tek seferde büyük bir tesiste gerçekleşiyor.

Sık sorulan sorular

Telefonumu şifreyle birlikte kaybedersem ne olur?: Parola iCloud/Google hesabınızla senkronize edildiyse yeni bir cihazda bu hesapta oturum açarak parolayı kurtarabilirsiniz. Cihaza bağlıysa (donanım anahtarı), genellikle bir yedekleme cihazı da kaydettirmişsinizdir; geçiş anahtarlarını destekleyen her site, en az iki cihazın kaydedilmesini önerir. Her ikisi de başarısız olursa kurtarma akışı e-postaya/SMS'e geri döner.
Geçiş anahtarları biyometrik oturum açmayla aynı mıdır?: Tam olarak değil. Biyometrik (Touch ID, Face ID), cihazınızdaki geçiş anahtarının kilidini açan şeydir. Geçiş anahtarının kendisi bir şifreleme anahtarıdır. Parmak izi cihazınızdan asla ayrılmaz; site yalnızca güvenli alanınızdaki bir anahtarın imzasını görür. Biyometrik kriptografiye izin verir; bulaşmaz.
Geçiş anahtarı çalınabilir mi?: Özel anahtar güvenli donanımda (Secure Enclave, TPM, TitanM2) bulunur ve çıkarılamayacak şekilde tasarlanmıştır. Bulutla senkronize edilen geçiş anahtarları, iCloud veya Google hesabınızın güvenliği ihlal edilirse açığa çıkabilir; bu nedenle bu hesapların kendi güçlü korumasına (ideal olarak bir donanım anahtarı 2FA ile) ihtiyacı vardır.
Tüm web siteleri şifre anahtarlarıyla çalışır mı?: Yalnızca WebAuthn uygulayan siteler. Benimseme geniş kapsamlıdır ancak dengesizdir; büyük teknoloji ve finans siteleri genellikle bunu destekler, daha küçük siteler ise çoğunlukla desteklemez. Bir site şifre anahtarlarını desteklemediğinde şifre + 2FA'ya geri dönersiniz, bu da sorun değildir.
Geçiş anahtarları donanım anahtarlarından daha mı güvenli?: Kimlik avına karşı dayanıklılık özelliği için kabaca eşdeğerdir. Donanım anahtarlarının bir avantajı vardır: Bilgisayarınız veya bulut hesabınız ele geçirilse bile kimlik bilgileri hiçbir zaman çalınamaz. Senkronize geçiş anahtarları daha kullanışlıdır ve kimlik avına karşı aynı derecede dayanıklıdır, ancak güvenliği tamamen ihlal edilmiş bir bulut hesabına karşı daha az dayanıklıdır. Yüksek riskli hesaplar için bir donanım anahtarı kullanın. Günlük kullanım için senkronize edilmiş geçiş anahtarları doğru dengedir.