Cihaza Bağlı ve Senkronize Edilmiş Geçiş Anahtarları (SCA ve Geçiş Anahtarları I)

Genel Bakış: Geçiş Anahtarları ile Güçlü Müşteri Kimlik Doğrulaması#

• PSD2 ve SCA Gereksinimlerinin Analizi
• SCA Gereksinimlerinin Geçiş Anahtarları İçin Anlamı
• Geçiş Anahtarları İçin PSD3 / PSR Etkileri

1. Giriş: Cihaza Bağlı ve Senkronize Edilmiş Geçiş Anahtarları#

Önceki geçiş anahtarları PSD2 blog yazımızda, geçiş anahtarlarının Revolut ve Finom gibi Fintech'ler tarafından halihazırda nasıl kullanıldığını ve bankacılığın dijital güvenliğini nasıl artırdığını tartışmıştık.

Geçiş anahtarları iki ana formda gelir: senkronize edilmiş geçiş anahtarları ve cihaza bağlı geçiş anahtarları. Senkronize edilmiş geçiş anahtarları, kullanıcıların birden fazla cihazda sorunsuz bir şekilde kimlik doğrulaması yapmasına olanak tanırken, cihaza bağlı geçiş anahtarları donanımsal bir güvenlik anahtarı veya yerel bir kimlik doğrulayıcı gibi bir geçiş anahtarı cihazına sıkı sıkıya bağlıdır.

Dört blog yazısından oluşan bu seri ile, farklı geçiş anahtarı türlerinin (cihaza bağlı ve senkronize edilmiş) SCA ve PSD2 gereksinimlerine nasıl uyduğunu derinlemesine analiz etmek istiyoruz.

Serinin bu ilk bölümü tamamen cihaza bağlı ve senkronize edilmiş geçiş anahtarları arasındaki farkı anlamakla ilgilidir.

İkinci bölüm, PSD2 ve Güçlü Müşteri Kimlik Doğrulaması'nın (SCA) ne anlama geldiğini, tarihsel gelişimini de ortaya koyarak anlaşılır bir şekilde açıklamaktadır.

Serinin üçüncü bölümü, farklı geçiş anahtarı türlerinin SCA'ya nasıl uyduğunu ve bunun geçiş anahtarlarını benimsemeyi düşünen bankalar, fintech'ler ve finansal kuruluşlar için ne anlama geldiğini göstermektedir.

Serinin dördüncü ve son bölümü, PSD3 / PSR'nin gelecekte SCA ve geçiş anahtarları için ne anlama geleceğini sonuçlandırmaktadır.

2. Güçlü Müşteri Kimlik Doğrulaması, PSD2 ve Geçiş Anahtarları#

Son blog yazımızın yayınlanmasının ardından, PSD2 çerçevesi altındaki SCA ile bağlantılı olarak geçiş anahtarları konusundaki duruşumuzla ilgili birçok takip sorusu aldık. Yalnızca geçiş anahtarlarının uygulanmasını değil, aynı zamanda Düzenleyici Teknik Standartlar (RTS) ile nasıl uyumlu olduklarını anlamaya yönelik net bir ilgi var. Ayrıca paydaşlar, Avrupa Bankacılık Otoritesi (EBA) dahil olmak üzere düzenleyicilerin bu teknolojinin kullanımına ilişkin potansiyel yorumlarını ve rehberliğini merak ediyorlar.

Bunun bilincinde olarak, geçiş anahtarlarının PSD2 direktifine ve SCA'ya yönelik RTS'ye nasıl entegre edilebileceğini daha derinlemesine incelemeyi ve bu teknolojinin kullanımına ilişkin pozisyonumuza netlik kazandırmayı hedefliyoruz. Ayrıca, düzenleyicilerin ve EBA'nın geçiş anahtarlarını nasıl algılayabileceğine ışık tutmak için mevcut EBA soru ve cevaplarını keşfedeceğiz. Bu inceleme, yalnızca senkronize edilmiş ve cihaza bağlı geçiş anahtarları arasındaki farkları değil, aynı zamanda hem güvenliği hem de kullanıcı deneyimini artırmadaki pratik uygulamalarını da ele alacaktır.

Nüansları anlayarak, paydaşlar yalnızca PSD2'nin katı gereksinimlerine uymakla kalmayıp aynı zamanda dijital işlemleri güvence altına almak için en son kimlik doğrulama teknolojisinden yararlanan bilinçli kararlar alabilirler. Tartışmamız, geçiş anahtarlarını kimlik doğrulama süreçlerine entegre etme yolunu daha da aydınlatmayı ve güvenlik önlemlerinin gelişen dijital manzaraya ayak uydurmasını sağlamayı amaçlamaktadır.

Elbette, PSD2 kapsamına giren her düzenlenen kuruluşun düzenleyici hedefleri nasıl yerine getireceğine dair kendi kararlarını vermesi gerekir, çünkü her uygulamanın kendine has karmaşıklıkları vardır. Bu bireysel yaklaşım, düzenleyici çerçevenin tek tip bir standart sağlasa da, bu standartların pratik uygulamasının benzersiz operasyonel ortamları, teknolojik yetenekleri ve kullanıcı tabanları nedeniyle farklı organizasyonlar arasında önemli ölçüde değişeceğini kabul etmektedir.

Bu nedenle, içgörülerimiz rehberlik etmeyi ve bilgilendirmeyi amaçlasa da kuralcı değildir. Her kuruluş, geçiş anahtarlarını güvenlik ve kimlik doğrulama protokollerine entegre etmede kendi özel koşullarını ve zorluklarını dikkate almalıdır.

3. Cihaza Bağlı Geçiş Anahtarlarından Senkronize Edilmiş Geçiş Anahtarlarına#

Cihaza bağlı ve senkronize edilmiş geçiş anahtarları arasındaki farkı anlamak için ekosistemin nasıl geliştiğini kısaca inceleyeceğiz.

3.1 Cihaza Bağlı Geçiş Anahtarları (Tek Cihaz Geçiş Anahtarları) Nedir?#

Teknik detaylarına daha derinlemesine bakmadan önce cihaza bağlı geçiş anahtarlarının tarihine ve gelişimine bakarak başlıyoruz.

3.1.1 Cihaza Bağlı Geçiş Anahtarlarının Tarihçesi#

Tarihsel olarak, WebAuthn (geçiş anahtarlarının temelini oluşturan standart) içindeki kimlik doğrulama mekanizmaları fiziksel cihazlara sıkı sıkıya bağlıydı: güvenlik anahtarları (örn. YubiKey'ler). Geçiş anahtarlarının yaygın olarak benimsenmesinden önce, tek bir kimlik doğrulayıcıya bağlı FIDO2 kimlik bilgileri güvenlikte altın standardı temsil ediyordu. Bu kimlik bilgileri, bulundukları cihaza bağlıdır. Bu bağın etkisi büyüktü: kimlik bilgisi orijinal donanımının ötesine aktarılamaz veya kullanılamazdı.

Bu yaklaşım, kimlik doğrulama sürecini tek bir cihazda yerelleştirerek güvenliği artırırken, kaçınılmaz olarak özellikle teknik olmayan genel tüketiciler arasında yaygın olarak benimsenmesini etkileyen pratik sınırlamalarla karşılaştı. Kullanıcılar her giriş denemesi için kimlik doğrulama cihazlarını hazır bulundurmak zorundaydı, bu da sadece kullanıcı hareketliliğini kısıtlamakla kalmıyor, aynı zamanda cihazın kaybolduğu, hasar gördüğü veya hemen erişilemediği senaryolarda endişeleri artırıyordu.

Ayrıca tüketicilerin ek donanıma yatırım yapma konusunda isteksizliği de vardı. Tarihsel olarak, özel güvenlik anahtarlarının sahipliği ve kullanımı genel tüketiciler arasında çok düşük olmuştur. Artırılmış güvenlik avantajlarına rağmen kimlik doğrulama amacıyla özel donanım satın alma beklentisi, aynı zamanda geniş çaplı oltalama kampanyalarının veya kimlik bilgisi doldurma (credential stuffing) saldırılarının hedefi olan çoğu B2C kullanıcısında iyi yankı uyandırmadı.

3.1.2 Cihaza Bağlı Geçiş Anahtarlarının Teknik Detayları#

Cihaza bağlı geçiş anahtarları, temel olarak keşfedilebilirliklerini tanımlayan keşfedilebilir ve keşfedilemez kimlik bilgileri olarak özel kategorizasyonları ile karakterize edilir. Ancak cihaza bağlı anahtarları ayıran temel faktör, özellikle isBackupEligible ve isBackupSynchronized bayrakları aracılığıyla WebAuthn kimlik bilgisi özelliklerinde özetlenmiştir. Cihaza bağlı geçiş anahtarları için bu alanların her ikisi de sıfıra ayarlanmıştır, bu da kimlik bilgilerinin yedeklenmeye veya cihazlar arasında senkronizasyona uygun olmadığını gösterir. Bu özellikler, oluşturuldukları fiziksel cihaza olan içsel bağlarının altını çizerek kimlik bilgisinin bağlı kalmasını ve yalnızca o belirli donanım parçasında kullanılabilmesini sağlar.

Pratikte cihaza bağlı kimlik bilgilerinin dikkate değer bir örneği Windows ekosisteminde görülmektedir. Windows 10 ve Windows 11'deki Windows Hello kimlik bilgileri cihaza bağlı kalır; Windows Hello'nun kendisi geçiş anahtarlarını henüz cihazlar arasında senkronize etmez. Ancak Microsoft, Microsoft Edge'de geçiş anahtarı kaydetme ve senkronizasyonunu sunarak önemli bir ilk adım attı (Edge 142'den başlayarak). Microsoft Password Manager aracılığıyla sağlanan bu tarayıcı düzeyindeki senkronizasyon, Google Password Manager'ın Windows'ta Chrome tarayıcısında geçiş anahtarı senkronizasyonunu etkinleştirmesine benzer şekilde, Edge kullanılırken geçiş anahtarlarının Windows cihazları arasında senkronize edilmesini sağlar. Bu, Windows geçiş anahtarı yeteneklerinde önemli bir ilerlemeyi temsil eder, ancak Windows Hello platformu kimlik doğrulayıcısından ziyade Edge tarayıcısına özgüdür. Windows Hello geçiş anahtarları cihaza bağlı kalır, ancak platform kimlik doğrulayıcısının kendisi gelecekte senkronizasyonu destekleyecek şekilde gelişebilecek olsa da bu Edge entegrasyonu Windows'ta senkronize edilmiş geçiş anahtarlarına doğru pratik bir yol sağlar.

Öte yandan Google, keşfedilemez geçiş anahtarları konusunda net bir duruş sergileyerek mevcut keşfedilemez geçiş anahtarlarının gelecekteki uygulamalarda senkronize edilmeden kalabileceğini belirtti. Bu karar, keşfedilemez kimlik bilgilerinin kesinlikle cihaza bağlı kalarak belirli güvenlik bağlamlarında çok önemli bir rol oynadığı ve keşfedilemez oldukları için geçiş anahtarları olarak kullanılamayacağı yönündeki daha geniş ilkeyle uyumludur.

Buna karşılık, Apple'ın macOS ve iOS ile benimsediği yaklaşım önemli ölçüde farklıdır. Windows ve Google'ın keşfedilemez anahtarlarıyla gözlemlenen sabit, cihaza bağlı stratejinin aksine, Apple ekosistemi, özellikle iOS'ta yalnızca senkronize edilmiş geçiş anahtarlarına izin vermeye çok daha güçlü bir şekilde eğilimlidir ve bu nedenle WebAuthn aracılığıyla cihaza bağlı bir geçiş anahtarı oluşturmayı imkansız hale getirir.

Büyük platformlardaki stratejilerin bu şekilde bölümlenmesi, özellikle güvenlik, kolaylık ve kullanıcı erişilebilirliği arasındaki dengeyi düşünürken WebAuthn kimlik bilgilerini yönetmeye yönelik çeşitli yaklaşımları göstermektedir. Cihaza bağlı geçiş anahtarları, kimlik bilgilerinin hedeflenen cihazları dışında taşınamamasını veya yanlış kullanılamamasını sağlayarak yüksek düzeyde güvenlik sunarken, endüstri güvenlik standartlarını kullanıcı deneyimi ve hareketlilikten ödün vermeden koruyan çözümler arayarak gelişmeye devam etmektedir.

3.2 Senkronize Edilmiş Geçiş Anahtarları (Çoklu Cihaz Geçiş Anahtarları) Nedir?#

Burada da teknik detayları analiz etmeden önce senkronize edilmiş geçiş anahtarlarının tarihsel gelişimine bir göz atacağız. Bazen senkronize edilmiş geçiş anahtarlarına senkronize edilebilir geçiş anahtarları da denir.

3.2.1 Senkronize Edilmiş Geçiş Anahtarlarının Tarihçesi#

WebAuthn Seviye 2 ve CTAP 2.1 spesifikasyonlarının 2021'in ortasından sonuna doğru yayınlanmasının ardından WebAuthn çalışma grubu, WebAuthn standardının parolaların yerini alma ve benimsenmeyi artırma yeteneğini engelleyen birincil engellerin üstesinden gelmeyi amaçlayan önemli bir endüstri girişimi başlattı. Bu girişim iki kritik alana odaklandı: mevcut standartlarla tam geriye dönük uyumluluğu korurken ek donanım güvenlik cihazları gereksinimini ortadan kaldırmak ve kimlik doğrulayıcıyı kaybetmeyle ilişkili riski azaltmak.

3.2.1.1 Platform Kimlik Doğrulayıcılarının Güvenli Donanım Modülleri Olarak Kullanılması#

İlk zorluk - yeni donanım ihtiyacını ortadan kaldırmak - modern tüketici cihazlarında bulunan yerleşik platform kimlik doğrulayıcılarının (örn. Touch ID, Face ID, Windows Hello) kullanılmasıyla ele alındı.

Modern cihazlar giderek artan bir şekilde Android'de Güvenilir Yürütme Ortamı (TEE), iOS ve macOS'te Secure Enclave ve Windows cihazlarında Güvenilir Platform Modülü (TPM) gibi özel güvenlik modülleri ile donatılmaktadır. Bu ayrılmaz güvenlik anahtarı depoları, yerleşik "güvenlik anahtarları" olarak etkili bir şekilde işlev görerek geçiş anahtarları için sağlam bir temel görevi görür. Bu yaklaşım, daha önce yalnızca harici donanımsal güvenlik anahtarları (örn. YubiKey'ler) aracılığıyla elde edilebilen ve büyük ölçüde teknoloji meraklısı bireyler veya son derece denetlenen sektörlerdeki kuruluşlarla sınırlı olan bir güvenlik düzeyi olan açık anahtar kriptografisinin yaygın olarak benimsenmesine olanak tanır.

TEE, Secure Enclave veya TPM'nin yeteneklerinden yararlanarak WebAuthn protokolleri, güçlü, kriptografik kullanıcı kimlik doğrulama mekanizmaları sağlamak için güçlendirilmiştir. Artık gelişmiş kimlik doğrulama yöntemleri, ek, özel donanıma ihtiyaç duyulmadan genel halk için kullanıcı dostu ve erişilebilir hale getirilmiştir.

Bu evrim, dijital güvenlik yaklaşımında çok güçlü bir gelişmedir ve yaygın benimsenmeyi sağlamada kullanıcı merkezli güvenlik çözümlerinin oynadığı kritik rolü vurgulamaktadır. Senkronize edilmiş geçiş anahtarlarını, optimize edilmiş geçiş anahtarı oluşturma ve geçiş anahtarı ile giriş akışlarıyla birleştiren kuruluşlar en yüksek benimseme oranlarını görüyor. Endüstri çabası, çağdaş cihazların güvenlik özelliklerini kullanarak harici donanım gereksinimini ortadan kaldırma konusundaki ilk engeli başarıyla aştı.

Bu gelişme, açık anahtar kriptografisinin geniş uygulamasının geniş bir kullanım durumu yelpazesine doğrudan uygulanabilir hale geldiği ve aynı zamanda kullanıcılar için kimlik doğrulamayı basitleştirdiği dijital kimlik doğrulama ekosisteminin yeni bir çağında çok önemli bir adımdı.

3.2.1.2 Geçiş Anahtarlarının Bulutla Senkronizasyonu#

Cep telefonunu ve dolayısıyla içinde saklanan geçiş anahtarlarını kaybetmeyle ilişkili riski ele almak için endüstri girişimi, keşfedilebilir kimlik bilgilerinin bulutla senkronizasyonunu sağlamaya odaklandı. Bu yaklaşım, kimlik bilgilerini yalnızca cihaza bağlı olmaktan çıkarıp çok cihazlı ve daha doğru bir ifadeyle kullanıcının Apple cihazları için iCloud veya Android cihazları için Google gibi bulut sağlayıcısındaki hesabına bağlı hale getirdi.

Bu pratik çözüm, bir kullanıcının telefonu kaybolsa veya değiştirilse bile, önceden oluşturulmuş kimlik bilgilerinin kalıcı olarak kaybolmayacağı anlamına geliyordu. Bunun yerine, bu kimlik bilgileri kullanıcının bulut hesabından alınabilir ve yeni bir cihaza senkronize edilebilirdi. Bu değişim, fiziksel bir kimlik doğrulayıcının kaybıyla daha önce ilişkilendirilen rahatsızlığı ve güvenlik risklerini önemli ölçüde azalttı.

Bulut senkronizasyonundan yararlanarak, geçiş anahtarları artık kullanımda olan belirli cihazdan bağımsız olarak bütünlüklerini ve güvenliklerini koruyarak bir kullanıcının cihazları arasında sorunsuz bir şekilde geçiş yapabiliyor. Örneğin, bir kullanıcı yeni bir cihazdan bir web sitesine giriş yaptığında, bulut hesabında bulunan kimlik bilgileri kimlik doğrulaması için otomatik olarak önerilebilir. Gerekirse bu kimlik bilgileri, farklı platformlar ve cihazlar arasında tutarlı ve güvenli bir kimlik doğrulama deneyimini koruyarak yeni cihaza iletilebilir.

Bulut senkronizasyonlu, hesaba bağlı kimlik bilgilerine geçiş, dijital güvenliğe pragmatik bir yaklaşımı temsil ediyor. Modern cihaz kullanımının gerçeklerini ve kayıp, hasar veya yükseltme yoluyla yaygın cihaz değişimi durumlarını kabul ediyor. Kimlik bilgilerini kullanıcının bulut hesabına (Apple'ın iCloud'u veya Google'ın bulut hizmetleri) bağlayarak, çözüm yalnızca bir cihazı kaybetmekle ilişkili riski azaltmakla kalmaz, aynı zamanda kullanıcının dijital kimliğini birden fazla cihazda yönetme ve kurtarma yeteneğini de artırır.

Bu gelişme, WebAuthn'un güçlü, kriptografik kimlik doğrulama mekanizmalarının uygulanabilirliğini etkili bir şekilde genişleterek onları gerçek dünya kullanıcı senaryolarına daha uyarlanabilir hale getiriyor. Ayrıca güçlü kimlik doğrulamanın yalnızca teknik bir geçmişi olanlar veya yüksek düzeyde denetlenen sektörlerdeki kişiler için değil, dijital dünyada birden fazla cihazla gezinen ortalama bir kullanıcı için de erişilebilir ve yönetilebilir olmasını sağlıyor.

3.2.2 Senkronize Edilmiş Geçiş Anahtarlarının Teknik Detayları#

Senkronize edilmiş geçiş anahtarları, keşfedilebilir kimlik bilgileri veya yerleşik anahtarlar (resident keys) olarak da bilinir. Bunlar, cihaza bağlı anahtarlardan iki kritik özellik ile ayrılır: isBackupEligible ve isBackedUp farklı değerlere sahiptir. Senkronize edilmiş geçiş anahtarları için isBackupEligible bayrağı 1 olarak ayarlanmıştır, bu da bu kimlik bilgilerinin yedeklenmeye uygun olduğunu gösterir. Buluta başarılı bir senkronizasyonun ardından isBackedUp bayrağı da 1'e ayarlanır ve kimlik bilgisinin düzgün bir şekilde senkronize edildiği onaylanır. Cihaz kullanımının ve yönetiminin dinamik doğasını yansıtacak şekilde senkronizasyon durumunun zaman içinde değişebileceğini belirtmek önemlidir.

Platformlar, "requireResidentKey" parametresini required veya preferred olarak ayarlayarak yerleşik anahtarlar talep ettiğinde, bulut hizmetlerini destekleyen platformlar otomatik olarak senkronize edilmiş geçiş anahtarları oluşturur. Bu süreç, kullanıcıların kimlik bilgilerine çeşitli cihazlarından erişilebilmesine güvenebilmelerini sağlar. Windows'ta, senkronize edilmiş geçiş anahtarları artık Microsoft Edge / Microsoft Password Manager (tarayıcı düzeyinde senkronizasyon) aracılığıyla kullanılabilirken, Windows Hello platform kimlik doğrulayıcı kimlik bilgileri cihaza bağlı kalır. Geçiş anahtarı yönetimi yeteneklerine sahip üçüncü taraf parola yöneticileri (örn. Dashlane, KeePassXC, 1Password) de platformlar arasında senkronizasyon sağlar. Senkronize edilmiş geçiş anahtarlarının kullanıldığı senaryolarda isBackupEligible ve isBackedUp bayrakları 1 olarak ayarlanır, bu da yedekleme uygunluğunu ve başarılı senkronizasyonu gösterir.

Ayrıca, geçiş anahtarının depolandığı belirli kimlik doğrulayıcıyı belirlemek şu anda hala mümkün olsa da, bu kimlik bilgilerinin çoğunluğu için kanıtlama (attestation) eksikliği, kökenlerinin kriptografik olarak doğrulanamayacağı anlamına gelir. Bu husus, yalnızca WebAuthn'un standart mekanizmaları aracılığıyla senkronize edilmiş geçiş anahtarlarının güvenlik soy ağacını garanti etmedeki potansiyel bir sınırlamayı vurgulamaktadır.

Senkronize edilmiş geçiş anahtarlarındaki bu gelişme, temelde keşfedilebilir kimlik bilgilerinin kapsamını bulut tabanlı bir senkronizasyon çerçevesine entegre ederek genişletmektedir. Bu anahtarları yedeklemeye uygun hale getirerek ve kullanıcının cihazları arasında senkronizasyonunu sağlayarak WebAuthn, dijital kimlik doğrulamadaki iki ana zorluğu ele almaktadır: kayıp cihazlar nedeniyle erişimi kaybetme riski ve cihaza bağlı birden fazla kimlik bilgisini yönetmenin zorluğu.

3.3 WebAuthn Kimlik Bilgilerinin Tek Cihaza Bağlanması Daha Büyük Bir İyilik İçin Feda Edildi#

Cihaza bağlı geçiş anahtarlarından senkronize edilmiş geçiş anahtarlarına geçiş, WebAuthn çalışma grubu içinde gelişmiş güvenlik önlemleri gerekliliği, ilgili yasal sorular ve hem tüketici dostu hem de güvenli bir uzlaşma etrafında odaklanan kritik bir diyalog başlattı.

Senkronize edilmiş geçiş anahtarlarının benimsenmesi, bulut senkronizasyonu ve kesintisiz çoklu cihaz işlevselliği gibi özellikler aracılığıyla kullanıcı rahatlığını ve güvenliğini artırma vaadiyle kutlandı. Ancak, özellikle yüksek gereksinimleri olan ortamlarda güvenlik ve uyumluluk açısından sonuçlarına ilişkin bazı güvenen taraflar (RP'ler) arasında bir miktar rahatsızlık yarattı. Tartışmanın özü, senkronize edilmiş geçiş anahtarlarının bile belirli cihazlarla bağlantısını sürdürmesini sağlayan bir mekanizmaya olan gereksinimdi; bu, hassas işlemlerle uğraşan veya katı düzenleyici standartlar altında çalışan güvenen taraflar için çok önemli bir kavramdı.

Geçiş anahtarlarını benimseyemeyen veya benimsemek istemeyen RP'ler için, kritik uygulamalarda bu kimlik bilgilerini belirli cihazlara bağlayacak güvenilir bir yöntemin olmaması önemli bir zorluk oluşturuyordu. Böyle bir mekanizma bazı RP'ler tarafından çok önemli görülüyordu. Bu cihaz bağlama yeteneğinin olmaması, belki de açıkça ifade edilmeyen ancak kesinlikle beklenen bir beklentiydi ve onların bakış açısından ciddi bir sürpriz ve güven ihlalini temsil ediyordu.

Tartışma, çıkarların uyumlaştırılması gerektiği, ancak ilk aşamada geçiş anahtarlarının yaygınlaşmasının daha büyük faydasına öncelik verilmesi gerektiği sonucuna vardı. Tartışmada devicePubKey uzantısı bu endişeleri gidermenin bir yolu olarak görüldü, ancak daha sonra mevcut WebAuthn Seviye 3 taslağında çok daha geniş bir yaklaşım benimseyen supplementalPubKeys ile değiştirildi. Ne yazık ki bu yaklaşım da Ağustos 2024'te sonlandırıldı.

3.4 İki Dünyanın En İyisi: Geçiş Anahtarları ve supplementalPubKeys Uzantısı [Ağustos 2024 itibarıyla kullanımdan kaldırıldı]#

supplementalPubKeys uzantısı ile uzlaşmanın nasıl oluştuğunu ve bunun teknik olarak ne anlama geldiğini analiz edelim.

3.4.1 devicePubKey'den supplementalPubKeys Uzantısına#

devicePubKey uzantısından supplementalPubKeys uzantısına geçişi çevreleyen tartışma, WebAuthn spesifikasyonunun dinamik doğasını vurgulamaktadır. Başlangıçta devicePubKey, cihaza bağlı açık anahtarlar aracılığıyla güvenliği artırmaya hizmet ediyordu, ancak daha sonra WebAuthn Seviye 3 Editör Çalışma Taslağı'nda supplementalPubKeys önerisiyle değiştirildi. Bu daha yeni uzantı, kimlik doğrulama süreçlerini geliştirmek için birden fazla anahtara izin vererek daha kapsamlı bir çözüm sunar.

Tartışmanın özü, gelişmiş güvenlik önlemlerini geçiş anahtarlarının farklı cihazlarda ve platformlarda daha geniş çapta benimsenmesi ve pratik faydası ile dengelemeye odaklandı. supplementalPubKeys uzantısı, bu önceliklerin birleşimini temsil ederek daha katı kimlik doğrulamasını mümkün kılar. Örneğin, kanıtlama beyanları (attestation statements) içeren ek "alt anahtarlara" izin vererek belirli kimlik doğrulama standartları gerektiren düzenlemelere uyum sağlar. Bu anahtarlar kimlik doğrulama gereksinimlerine uygunluğun sinyalini verebilir ve belirli koşullar altında (geçiş anahtarlarıyla bile) ek oturum açma zorluklarına olan ihtiyacı potansiyel olarak azaltabilir.

Doğrudan WebAuthn taslağından bir örnek:

"Bir web sitesinde, bu kullanıcı hesabı için daha önce hiç görülmemiş ve hesap için gözlemlenen tipik kullanım saatlerinin dışında olan bir coğrafi konum sinyaliyle birlikte bir oturum açma isteğinin belirdiğini varsayalım. Risk, çok cihazlı bir kimlik bilgisi tarafından sağlanan bir iddia ile bile isteğe izin verilmeyecek kadar yüksek kabul edilebilir. Ancak, cihaza bağlı ve bu kullanıcı için iyi bir şekilde oluşturulmuş tamamlayıcı bir anahtardan gelen bir imza da sunulabiliyorsa, bu durum dengeyi değiştirebilir."

Tartışma sırasında bunların yalnızca güvenlik açısından son derece yüksek gereksinimleri olan RP'ler için (örn. kamu bağlamında) tasarlandığı vurgulandı.

Geribildirimleri dahil ederek ve belirli kullanım durumlarını ele alarak - ayrıca denetlenen finansal işlemleri ve çoklu cihaz kimlik bilgisi ortamında cihaza bağlı sinyallere duyulan ihtiyacı da dahil ederek - WebAuthn topluluğu hem güvenlik hem de birlikte çalışabilirlik endişelerini ele almayı amaçladı. Bu nedenle supplementalPubKeys uzantısı, geçiş anahtarlarının yaygın olarak benimsenmesi için temel olan sorunsuz kullanıcı deneyimini ve geniş uyumluluğu desteklerken aynı zamanda sağlam güvenlik özellikleri sağlamayı amaçlayan bir yaklaşımdır. Geçtiğimiz 2 yıl içinde zaten görülen geçiş anahtarı uygulamasına müdahale etmeyen tamamen isteğe bağlı bir uzantıdır.

Daha kapsayıcı ve esnek bir çerçeveye yönelik bu evrim, WebAuthn topluluğunun web kimlik doğrulama yöntemlerini daha sıkı kullanım durumlarına göre bile geliştirme taahhüdünün altını çizmektedir.

3.4.2 supplementalPubKeys'in Teknik Detayları#

WebAuthn'da tanıtılan supplementalPubKeys uzantısı, birincil kimlik bilgisinin yanında ek anahtar çiftlerinin kullanılmasına izin verir.

Orijinal GitHub issue sayfasından alınmıştır

Görsel, orijinal GitHub issue sayfasından alınan supplementalPubKey kavramını göstermektedir (pk = geçiş anahtarı, pspk = sağlayıcı tamamlayıcı anahtarı, dspk = cihaz tamamlayıcı anahtarı).

İşte nasıl çalıştığına ve amaçlanan kullanımına dair bir ayrım:

supplementalPubKey'in Amacı ve İşlevselliği

• Bir merkezi geçiş anahtarı kimlik bilgisi kalır: Kullanıcı kimlik doğrulamasının birincil yöntemi olarak yalnızca bir merkezi geçiş anahtarının kaldığını ve ek anahtarların fazladan güvenlik ve güvence katmanları sağladığını akılda tutmak önemlidir. Bu yapı, birden fazla cihazda kimlik doğrulama için tek, temel bir geçiş anahtarı kullanmanın basitliğini ve verimliliğini koruyarak sorunsuz bir kullanıcı deneyimi sağlar. Tamamlayıcı anahtarlar ise kimlik doğrulama bağlamını geliştirerek Güvenen Tarafa (RP) güvenlik ortamı veya belirli kimlik doğrulama standartlarına uyumluluk hakkında ek sinyaller sunmaya hizmet eder. Bu tamamlayıcı anahtarlar bağımsız kimlik doğrulama yöntemleri değil, cihaz bütünlüğünün kanıtı ile güvenilirliğini güçlendirerek birincil geçiş anahtarını büyütür.
• Cihaza Bağlı Anahtarlar: Bunlar özellikle bir cihaza bağlıdır. Bir kimlik doğrulama talebinin önceden doğrulanmış güvenilir bir cihazdan geldiğine dair güvence sağlayabilirler. Hiçbir koşulda senkronize edilmeyeceklerdir.
• Sağlayıcıya Bağlı Anahtarlar: Bu anahtarların bir "sağlayıcı" kapsamı vardır, bu da kimlik doğrulama sağlayıcısının politikalarına veya sağlayıcının belirli kanıtlamasına dayanarak ek güvenceler sunabilecekleri anlamına gelir. Örneğin, bir sağlayıcı böyle bir anahtarı ancak bir kullanıcı daha yüksek bir kimlik doğrulama seviyesini (2FA gibi) tamamladıktan sonra düzenleyebilir.
• Çoklu Açık Anahtarlar: Yalnızca cihaza bağlı tek bir açık anahtara izin veren selefi devicePubKey uzantısının aksine, supplementalPubKeys bir veya iki tamamlayıcı anahtar türünün dahil edilmesine olanak tanır. Bu anahtarlar farklı amaçlara ve kapsamlara - yani cihaza bağlı ve sağlayıcıya bağlı kapsamlara - hizmet edebilir.

supplementalPubKey'in Kullanım Senaryoları ve Örnekleri

1. Gelişmiş Güvenlik: Bir web sitesinin (güvenen taraf) kimlik doğrulama için belirli gelişmiş güvenlik standartlarına uyması gerektiği durumlarda, bu gereksinimleri karşılamak için tamamlayıcı anahtarlar kullanılabilir. Bu tamamlayıcı anahtar daha önce site tarafından görülmüş ve doğrulanmışsa, cihaz sürekliliği önceki sinyallerle doğrulanabileceğinden kullanıcının ek oturum açma zorluklarını aşmasına izin verebilir.
2. Risk Yönetimi: Riskli görünen oturum açma istekleri için (örneğin, yeni bir coğrafi konumdan veya alışılmadık saatlerde gelen), kullanıcının hesabıyla daha önce kullanılmış bir geçmişi olan cihaza bağlı bir tamamlayıcı anahtarın varlığı algılanan riski azaltabilir ve normalde engellenebilecek olan isteğin devam etmesine olanak tanıyabilir.

supplementalPubKey'in Teknik Yönleri

• Kendi Kimlik Bilgisi Kimliği Yoktur: Tamamlayıcı anahtarlar kullanıcı kimlik bilgileri değildir ve kendi kimlik bilgisi kimlikleri yoktur.
• Kanıtlama Beyanları: Tamamlayıcı anahtarlar isteğe bağlı olarak bir kanıtlamaya sahip olabilir. Bunlar, tamamlayıcı anahtarların kapsamını ve güvenlik seviyesini anlamak için çok önemlidir. Bir kanıtlama, donanıma bağlı bir anahtarın sahip olduğu koruma düzeyini veya diğer tamamlayıcı anahtar türleri için politikaları gösterebilir.
• Güvenen Taraflar İçin Uygulama: Güvenen taraflar kimlik doğrulama sürecinin bir parçası olarak bu tamamlayıcı anahtarları talep edebilirler. Ancak, birden fazla anahtar ve kanıtlama beyanıyla ilgilenmenin karmaşıklığı, bu uzantının bankalar veya katı düzenleyici gereksinimler altında çalışan hizmetler gibi özel güvenlik ihtiyaçları olan kuruluşlar için en uygun olduğu anlamına gelir.

Nisan 2024 itibarıyla supplementalPubKeys uzantısının hiçbir büyük tarayıcı tarafından benimsenmediğini ve WebAuthn Seviye 3 spesifikasyonunun hala geliştirilme aşamasında olduğunu ve değişime tabi olduğunu belirtmek çok önemlidir. Bu özelliğin spesifikasyonun nihai sürümüne dahil edilip edilmeyeceği ve gelecekteki potansiyel uygulanması ve benimsenmesi, şu anda yalnızca Editör Taslağında yer aldığından belirsizliğini korumaktadır.

3.4.3 Ağustos 2024'te supplementalPubKeys'in Kullanımdan Kaldırılması#

Ağustos 2024 itibarıyla supplementalPubKeys uzantısı resmen sonlandırılmıştır. WebAuthn çalışma grubu, yetersiz destek nedeniyle bu özelliği kaldırmaya karar vermiştir. Bu uzantının kullanımdan kaldırılması aynı zamanda yeni bir yönü de vurgulamaktadır. Şu anda FIDO Alliance, yüksek güvenlik gereksinimlerine sahip Güvenen Tarafları (Relying Parties) desteklemek için farklı bir yaklaşım geliştirmeye çalışmaktadır. Yaklaşan bu çözümün supplementalPubKeys'in sonlandırılmasının bıraktığı boşlukları ele alması ve sıkı güvenlik standartlarının kritik olduğu senaryolarda kimlik doğrulama süreçlerini güçlendirmek için yeni yöntemler sunması beklenmektedir.

Ayrıntılar için resmi WebAuthn GitHub pull request sayfasını inceleyebilirsiniz.

4. Corbado Pratikte Cihaza Bağlı ve Senkronize Edilmiş Geçiş Anahtarı Farklılıklarını Nasıl Yönetiyor?#

Cihaza bağlı ve senkronize edilmiş geçiş anahtarları arasındaki farkları anlamak çok önemlidir, ancak bankaların da bu farklılıkları geniş ölçekte işlevsel hale getirmek için araçlara ihtiyacı vardır. Corbado'nun platformu, geçiş anahtarı türlerini otomatik olarak sınıflandıran ve her birine doğru SCA muamelesini uygulayan cihaz güven istihbaratı sağlar.

Geçiş Anahtarı Türleri Arasında Cihaz Güven Görünürlüğü#

Corbado'nun Cihaz Güven panosu, cihaza bağlı ve senkronize edilmiş geçiş anahtarlarının üretimde nasıl farklı performans gösterdiğini ortaya koyuyor. Cihaza bağlı geçiş anahtarları sıfır ek adım (step-up) gereksinimiyle daha yüksek başarı oranlarına (%99,1) ulaşırken, cihaz güven sinyalleri olan senkronize edilmiş geçiş anahtarları yeni cihazlar için küçük bir ek adım oranıyla %98,4'e ulaşmaktadır.

Pano ayrıca cihaz sınıflandırmasını da takip eder - hangi cihazların tek bir kullanıcıya özel olduğunu (tipik bankacılık dağıtımlarında %92), hangilerinin iki kullanıcı arasında paylaşıldığını (%7) ve hangilerinin paylaşılan/kiosk cihazlar olduğunu (%0,8) belirler. Bu sınıflandırma doğrudan SCA uyumluluk kararlarını besler.

Farklı Geçiş Anahtarı Senaryoları için Politika Tabanlı Kontrol#

Tüm geçiş anahtarlarına aynı şekilde davranmak yerine, Corbado'nun güven politikaları bankaların geçiş anahtarı türüne, cihaz durumuna ve güven seviyesine göre farklı kurallar uygulamasına olanak tanır. Bilinen cihazlardaki cihaza bağlı geçiş anahtarları sorunsuz kimlik doğrulaması sağlarken, yeni cihazlardaki senkronize edilmiş geçiş anahtarları ek adım (step-up) doğrulamasını tetikler - bu tam olarak PSD2'nin SCA çerçevesinin talep ettiği incelikli yaklaşımdır.

Bu, bankaların cihaza bağlı geçiş anahtarlarının yüksek güvenlikli senaryolar için sağladığı sıkı cihaz kontrolünü korurken, daha iyi kullanıcı deneyimi için senkronize edilmiş geçiş anahtarlarını güvenle dağıtabilecekleri anlamına gelir - tüm bunlar ayrı kimlik doğrulama akışları yerine politika yapılandırması yoluyla yönetilir.

Corbado Hakkında

Corbado, büyük ölçekte tüketici kimlik doğrulaması yöneten CIAM ekipleri için Passkey Intelligence Platform'tur. IDP loglarının ve genel analytics araçlarının göremediğini görmenizi sağlarız: hangi cihazların, OS sürümlerinin, tarayıcıların ve credential manager'ların passkey desteklediğini; kayıtların neden girişe dönüşmediğini; WebAuthn akışının nerede başarısız olduğunu; bir OS ya da tarayıcı güncellemesinin girişi sessizce ne zaman bozduğunu — hem de Okta, Auth0, Ping, Cognito veya kendi IDP'nizi değiştirmeden. İki ürün: Corbado Observe, passkey'ler ve diğer tüm giriş yöntemleri için observability sağlar. Corbado Connect, analytics entegre managed passkey'ler sunar (IDP'nizin yanında). VicRoads, Corbado ile 5M+ kullanıcı için passkey çalıştırıyor (%80+ passkey aktivasyonu). Bir Passkey uzmanıyla görüşün →

Sıkça Sorulan Sorular#

Cihaza bağlı geçiş anahtarları güvenliği nasıl artırır?#

Cihaza bağlı geçiş anahtarları, kesinlikle oluşturuldukları cihaza bağlı olan WebAuthn kimlik bilgileridir. Senkronize edilmiş geçiş anahtarlarının aksine tek bir cihazda kalırlar ve bu da onları belirli kullanım durumları için doğası gereği daha güvenli hale getirir:

• Kimlik bilgisi çalınması olmaz: Özel anahtar cihazı asla terk etmez, bu nedenle saldırganlar kimlik bilgilerini ele geçiremez.
• Yetkisiz erişimin engellenmesi: Kimlik doğrulama yalnızca geçiş anahtarının oluşturulduğu belirli cihazdan gerçekleşir.
• Bulut bağımlılığı yok: Bulut veri ihlalleri veya hesap ele geçirme (account takeover) ile ilişkili riskleri ortadan kaldırır.
• Yüksek güvenlik uyumluluğu: Finansal hizmetler gibi denetlenen sektörler için katı cihaza bağlı kimlik doğrulama gereksinimlerini (AAL3) karşılar.

Ana dezavantajı sınırlı taşınabilirliktir. Cihaz kaybolursa, kullanıcı başka bir cihazda yenisini kaydetmediği sürece geçiş anahtarı kurtarılamaz.

Senkronize edilmiş geçiş anahtarları neden tanıtıldı ve faydaları nelerdir?#

Senkronize edilmiş geçiş anahtarları (çoklu cihaz geçiş anahtarları), cihaza bağlı geçiş anahtarlarının kullanılabilirlik zorluklarını, özellikle taşınabilirlik eksikliğini ve bir cihaz kaybedildiğinde potansiyel hesap kilitlenmesini çözmek için tanıtıldı. Temel faydaları şunlardır:

• Çoklu cihaz kimlik doğrulaması: Her biri için yeni bir geçiş anahtarını manuel olarak kaydetmeden hesaplara birden fazla cihazdan erişim.
• Erişimi kaybetme riski yok: Kimlik bilgileri buluta (örn. iCloud Keychain, Google Password Manager) yedeklenir ve bir cihaz kaybolduğunda kurtarma sağlanır.
• İyileştirilmiş UX: Kimlik bilgilerini manuel olarak aktarma veya yeniden oluşturma ihtiyacını ortadan kaldırarak sürtünmeyi ortadan kaldırır.
• Ek donanım gerekmez: Donanımsal güvenlik anahtarlarının aksine, senkronize edilmiş geçiş anahtarları yerleşik cihaz güvenlik modüllerini kullanır.
• Bulut rahatlığıyla güçlü güvenlik: Uçtan uca şifreleme, özel anahtarın şifrelenmemiş biçimde cihazı asla terk etmemesini sağlar.

5. Sonuç#

4 bölümlük serimizin ilk bölümünde cihaza bağlı ve senkronize edilmiş geçiş anahtarlarının tarihsel ve teknik farklılıklarının neler olduğunu analiz ettik. Bu farklılıkları anlamak, PSD2 ve SCA gerekliliklerini buna göre uygulamamıza yardımcı olacaktır. Ayrıca, hala gelişmekte olan Webauthn Seviye 3 Standardı'ndaki son değişikliklere bakarak geleceğin neler getirebileceğine de bir göz attık.

İşte serimizin diğer bölümlerine bağlantılar:

• 2. Bölüm "PSD2 ve SCA Gereksinimlerinin Analizi (SCA ve Geçiş Anahtarları II)"
• 3. Bölüm "SCA Gereksinimlerinin Geçiş Anahtarları İçin Anlamı (SCA ve Geçiş Anahtarları III)"
• 4. Bölüm "Geçiş Anahtarları İçin PSD3 / PSR Etkileri (SCA ve Geçiş Anahtarları IV)"