WebAuthn, Passkeys ve Parolaların Sonu

· Özellikler

WebAuthn, FIDO2 standardının kimlik doğrulama katmanıdır. Kullanıcının hatırladığı sırlara bağlı kalmak yerine asimetrik kriptografi kullanır. Kayıt sırasında, bir kullanıcının kimlik doğrulayıcısı (donanım anahtarı, secure enclave, TPM vb.) relying party alan adına özgü bir özel-ortak anahtar çifti üretir. Tarayıcı, ortak anahtarı ve attestation verilerini sunucuya gönderir; sunucu bunları bir kimlik bilgisi kaydı olarak saklar. Özel anahtar kullanıcının cihazından asla ayrılmaz. 

Kimlik Doğrulama Akışı

Oturum açarken sunucu rastgele bir challenge yayınlar. Tarayıcı bu challenge'ı kimlik doğrulayıcıya iletir; kimlik doğrulayıcı kullanıcı varlığını doğrular (ör. düğmeye basma), isteğe bağlı olarak kullanıcı doğrulamasını (PIN, biyometri) zorunlu kılar ve challenge'ı saklanan özel anahtarla imzalar. Sunucu, daha önce kaydedilen ortak anahtarı kullanarak imzayı doğrular ve kimlik doğrulayıcının imza sayacının arttığından emin olur; bu, klonlanmış anahtarlara karşı koruma sağlar. 

Passkey'ler

Passkey'ler, cihazlar arası kullanılabilirliği mümkün kılarak WebAuthn kimlik bilgilerini genişletir. İşletim sistemleri, kimlik bilgilerini uçtan uca şifreli bulut depolama aracılığıyla senkronize eder. Bir passkey, cihazın yerel kimlik doğrulama yöntemi (Touch ID, Face ID, Windows Hello, Android biyometrisi) kullanılarak kilidi açılabilir ve tarayıcılar ile cihazlar arasında kullanılabilir. Bu, herhangi bir şeyi hatırlama veya yazma zahmetini ortadan kaldırırken donanım destekli güvenliği korur. 

Parolalara Göre Avantajlar

  1. Kimlik Avına Dayanıklılık – Kimlik doğrulayıcı, her kimlik bilgisini belirli bir kaynağa bağlar; bir kimlik avı sitesi onu farklı bir alan adı için bir challenge imzalaması yönünde kandıramaz.
  2. Paylaşılan Sır Yok – Parola veritabanı olmadan, kimlik bilgisi sızıntısı riski büyük ölçüde azalır. Bir sunucunun kimlik bilgisi deposu ele geçirilse bile, saldırgan yalnızca ortak anahtarları elde eder.
  3. Daha İyi Kullanıcı Deneyimi – Kullanıcılar yalnızca bir biyometrik istemi onaylar veya bir güvenlik anahtarına dokunur. Cihazlar arası passkey'ler, parola sıfırlamalarını ve yazım hatalarını ortadan kaldırır.
  4. Güçlü Çok Faktörlü Doğrulama – WebAuthn, tek bir hareketle hem "sahip olduğunuz bir şeyi" (kimlik doğrulayıcı) hem de "olduğunuz/bildiğiniz bir şeyi" (biyometri veya PIN) karşılayabilir ve minimum çabayla güçlü MFA elde edilir.
  5. Yeniden Yürütme ve Kimlik Bilgisi Doldurmaya Dayanıklılık – Challenge'lar tek kullanımlıktır ve özel anahtarlar hizmetler arasında yeniden kullanılamaz; bu, yeniden yürütme saldırılarını ve kimlik bilgisi doldurmayı engeller.