Dijital Kimlik Bilgileri ve Passkey'ler: Benzerlikleri ve Farklılıkları

• 🔑 Passkey'ler: Güvenli Oturum Açmak İçin. Kim olduğunuzu kanıtlar (kimlik doğrulama) ve phishing ile etkili bir şekilde mücadele eder.
• 📄 Dijital Kimlik Bilgileri: Doğrulanabilir Kanıtlar İçin. Hakkınızdaki gerçekleri (örneğin kimliğiniz, becerileriniz gibi doğrulamalar) kanıtlar ve neyin paylaşılacağını siz kontrol edersiniz.
• 🤝 Nasıl Benzerler: Her ikisi de daha iyi güvenlik ve parolalara kıyasla daha sorunsuz bir kullanıcı deneyimi için güçlü kriptografi kullanır.
• 🎯 Nasıl Farklılaşırlar: Passkey'ler öncelikle hizmetlere erişim sağlamak içindir. Dijital Kimlik Bilgileri ise kendiniz hakkında doğrulanmış bilgi sağlamak içindir.

Dijital dünya hızla değişiyor. Bu değişim sadece geleneksel parolaların ve paylaşılan sırların sürekli başarısız olmasından değil, aynı zamanda phishing ve yapay zeka destekli deepfake gibi saldırıların çok daha iyi ve tespit edilmesi zor hale gelmesinden kaynaklanıyor. Bu gelişmiş tehditler, dikkatli kullanıcıları bile kandırabilir ve eski kimlik kontrol yöntemlerini güvenilmez hale getirebilir. Bu durum, dijital kriptografik kanıtın birinin kim olduğunu doğrulamanın tek gerçekten güvenli yolu olduğunu açıkça gösteriyor. Bu zorlu durumda, çevrimiçi etkileşim kurmak için acilen daha güvenli, kullanıcı dostu ve kriptografik olarak doğrulanabilir yollara ihtiyacımız var. Bu ihtiyaç, halihazırda yaygın olarak kullanılan passkey'ler ve henüz yeni ortaya çıkan dijital kimlik bilgileri olmak üzere iki temel teknolojiyi önemli hale getirdi. Bu teknolojiler, giderek daha kolay taklit edilebilen ve insanlar tarafından kontrol edilen iddialara dayanmak yerine, gerçek güveni inşa etmek için makine tarafından doğrulanabilir kriptografik kanıt kullanır.

Passkey'ler, Apple, Google ve Microsoft gibi büyük şirketlerin yanı sıra FIDO Alliance'ın güçlü desteği sayesinde 2023-2025 döneminde kullanımında büyük bir artış gördü. Sağlam W3C WebAuthn standardına dayanan passkey'ler, zayıf ve paylaşılan sırlardan temel bir değişimi temsil ediyor. Parolalar yerine açık anahtar kriptografisi kullanıyorlar. Burada, kullanıcının cihazında güvenli bir şekilde saklanan özel bir anahtar, relying party (RP) tarafından gönderilen sorguları imzalıyor. Bu, anahtarın kendisini göstermeden kullanıcının anahtara sahip olduğunu kanıtlıyor.

Bu kriptografi, passkey'leri kimlik avına karşı çok dayanıklı hale getiriyor. Bu, phishing saldırılarının bazen daha gerçekçi görünmek için deepfake'ler kullanarak daha karmaşık hale geldiği günümüzde büyük bir avantaj. Bir passkey, oluşturulduğu belirli web sitesine veya uygulamaya bağlı olduğu için, kullanıcılar yanlışlıkla sahte sitelerde kullanamazlar. Bu, bu tür gelişmiş hilelere açık olan eski giriş yöntemlerinde yaygın bir sorundur. Passkey'ler ayrıca parola yeniden kullanımını ve veri ihlallerinden sonraki credential stuffing tehlikelerini de durdurur. Güvenliğin ötesinde, passkey'ler giriş yapma deneyimini çok daha iyi hale getirir: daha hızlıdır ve genellikle sadece bir biyometrik tarama (Face ID veya parmak izi gibi) gerektirir, böylece kullanıcıların uzun parolaları hatırlaması veya yazması gerekmez. Bu daha iyi güvenlik ve kullanım kolaylığı karışımı, onların hızla popüler olmasını sağladı.

Eş zamanlı olarak, genellikle dijital kimlik wallet'larında tutulan dijital kimlik bilgileri hakkında çok daha fazla konuşulmaya başlandı. AB Dijital Kimlik Wallet'ı (EUDI Wallet) bu eğilimin iyi bir örneğidir.

Öncelikle kimlik doğrulama (özel bir anahtarın kontrolünü göstererek kim olduğunuzu kanıtlama) için kullanılan passkey'lerin aksine, dijital kimlik bilgileri (W3C Doğrulanabilir Kimlik Bilgileri (VC'ler) veya ISO mdocs gibi standartlara dayalı) kriptografik olarak doğrulanabilir tasdik (dijital olarak imzalanmış iddialarla hakkınızda neyin doğru olduğunu kanıtlama) ile ilgilidir. Bu iddiaları güçlü bir şekilde doğrulayabilmek, özellikle deepfake'lerin geleneksel kanıtların inandırıcı sahtelerini oluşturabildiği günümüzde önemlidir. Kriptografik kontroller olmadan, uzmanlar bile neyin gerçek olduğunu anlamakta zorlanabilir. Bu bilgiler, insanların adları, doğum tarihleri, ehliyetleri, eğitimleri veya iş sertifikaları gibi doğrulanmış bilgileri dijital olarak taşımalarına ve göstermelerine olanak tanır. Bu, kriptografik olarak güvenli, gizliliğe saygılı (kullanıcıların yalnızca gerekli olanı paylaşmasına izin vererek) ve makineler tarafından kontrol edilebilen bir şekilde yapılır.

Bu iki teknolojinin yükselişi bir tesadüf değil. Sektörde merkezi, parola tabanlı kimlik sistemlerinden, kriptografik güven üzerine kurulu daha merkeziyetsiz, kullanıcı odaklı bir modele doğru daha geniş bir geçişi gösteriyor. Parolalar, çevrimiçi güvenlikte bilinen bir zayıf noktadır. Kimlik bilgilerini paylaşmanın eski yolları genellikle hantal, güvensiz veya çok fazla veri paylaşarak kullanıcı gizliliğine zarar verir. Passkey'ler kimlik doğrulama zayıflığını doğrudan düzeltir. Dijital kimlik bilgileri ise niteliklerin güvenli ve kullanıcı kontrolüyle paylaşılmasını ele alır. Her ikisi de benzer kriptografi kullanır ve giderek artan bir şekilde platform entegrasyonuna ve güvenli donanıma dayanır, bu da dijital kimlik sistemlerimizi çok daha iyi hale getirmek için ortak bir çabayı gösterir.

Passkey'ler "giriş yapma" işlemini ve dijital kimlik bilgileri "nitelikleri kanıtlama" işlemini yönetirken, benzer kriptografik temelleri kullanırlar ve güvenilir dijital etkileşimler kurmada tamamlayıcı roller oynarlar. Bu, karmaşık phishing ve deepfake gibi mevcut tehditlerin eski, kriptografik olmayan kimlik kontrol yöntemlerini güvensiz hale getirdiği günümüzde gerçekten ihtiyacımız olan bir şey. Bu da bizi ana soruya getiriyor: Passkey'ler ve dijital kimlik bilgileri nasıl bağlantı kurar ve günlük kullanıcı durumlarında nasıl birlikte çalışabilirler?

Bu makale bu sinerjiyi araştırıyor. Farklılıklarını ve benzerliklerini, onları mümkün kılan protokolleri, güvenli donanıma olan ortak bağımlılıklarını ve kullanıcı kaydı, step-up authentication ile giriş yapma ve cihaz taşıma gibi senaryolarda nasıl kenetlenebileceklerini inceleyeceğiz. Ayrıca, Digital Credentials API gibi gelişmekte olan tarayıcı standartlarının bu dünyaları nasıl birleştirmeyi amaçladığına da değineceğiz. Bu yazı, halihazırda mevcut olan Digital Credentials API hakkındaki daha derinlemesine teknik keşfi tamamlayarak, özellikle bu teknolojiler arasındaki etkileşime odaklanmaktadır.

Passkey'lerin ve dijital kimlik bilgilerinin nasıl birlikte çalışabileceğini anlamak için, öncelikle onların belirgin özelliklerini ve altında yatan teknolojik katmanları kavramak esastır.

Aşağıdaki tablo üst düzey bir karşılaştırma sunmaktadır:

Bu karşılaştırma, her ikisi de güven için kriptografiden yararlanırken, birincil işlevlerinin ve tipik kullanım modellerinin önemli ölçüde farklılaştığını vurgulamaktadır. Passkey'ler sık ve güvenli kimlik doğrulama için optimize edilmişken, dijital kimlik bilgileri kullanıcı rızasıyla doğrulanabilir nitelikler sağlamada üstündür.

Passkey'ler, birkaç temel standardın etkileşimiyle hayata geçirilir:

• WebAuthn (Web Authentication): Bu W3C standardı, web uygulamalarının passkey kaydetmek (navigator.credentials.create()) ve kimlik doğrulamak (navigator.credentials.get()) için authenticator'larla etkileşim kurmak için kullandığı JavaScript API'sini tanımlar. Relying Party'nin web uygulaması ile kullanıcının tarayıcısı veya işletim sistemi arasında bir köprü görevi görür. WebAuthn, W3C'nin genel Credential Management API'sini genişletir.

• CTAP (Client to Authenticator Protocol): FIDO Alliance tarafından tanımlanan CTAP, istemcinin (tarayıcı veya işletim sistemi) authenticator cihazıyla nasıl iletişim kurduğunu belirtir. Bu, cihaza yerleşik bir platform authenticator (TPM veya Secure Enclave gibi güvenli donanım kullanarak) veya USB security key gibi bir gezici authenticator ya da başka bir cihaz için authenticator olarak hareket eden bir telefon olabilir. CTAP2, FIDO2 ve passkey'lerle uyumlu olan versiyondur ve USB, NFC ve Bluetooth Low Energy (BLE) gibi çeşitli taşıma yöntemlerini destekler.

• Gelişmiş Güven Sinyalleri ve Cihaz Bağlantısı (Senkronize Passkey'ler İçin Değerlendirmeler): Passkey'ler cihazlar arasında senkronize edilebilir hale geldikçe ("çoklu cihaz kimlik bilgileri"), Relying Party'ler (RP'ler) bazen risk değerlendirmesi için kimlik doğrulama sırasında kullanılan belirli fiziksel cihazı tanımlama ihtiyacı duydular. devicePubKey ve supplementalPubKeys uzantıları gibi erken fikirler bunu çözmeye çalıştı ancak daha sonra terk edildi. FIDO Alliance'ın güven sinyali çalışma grubu şimdi bunların yerine geçecek çözümler geliştiriyor. Buradaki ana fikir, senkronize bir passkey'e sahip bir authenticator'ın aynı zamanda cihaza bağlı ikinci bir anahtar çifti oluşturup kullanabilmesidir. Kimlik doğrulama sırasında, authenticator hem ana senkronize anahtardan hem de bu ikinci cihaza bağlı anahtardan imzalar sağlayabilir. Bu, RP'lerin belirli bir güvenilir cihazı tanımasını sağlar. Bu, ana passkey birçok cihazda senkronize olsa bile daha az zorluk (örneğin, ek sorguları atlama) anlamına gelebilir ve senkronize passkey'lerin ana faydası olan cihazlar arası kullanılabilirliği kaybetmeden bunu yapabilir. Henüz bunun için nihai bir standart olmasa da, böyle bir özellik yüksek güvence gerektiren RP'ler için önemli bir ihtiyacı karşılayacak, yeni cihaz kullanımını daha iyi tespit etmelerine veya kurum içi Güçlü Müşteri Kimlik Doğrulaması (SCA) kurallarını karşılamalarına olanak tanıyacaktır.

Benzer şekilde, dijital kimlik bilgisi ekosistemi de işlev görmek için bir dizi protokole ve gelişmekte olan API'lere dayanır:

• Digital Credentials API: Bu, web uygulamalarının bir kullanıcının dijital wallet'ından standart bir şekilde Doğrulanabilir Kimlik Bilgileri talep etmesine olanak tanımak için navigator.credentials.get() API'sini genişletmeyi amaçlayan gelişmekte olan bir W3C spesifikasyon çabasıdır. WebAuthn'a benzer bir amaca hizmet eder ancak passkey'ler yerine VC'lere odaklanır.
• OpenID for Verifiable Presentations (OpenID4VP): Bu, bir Doğrulayıcının (kimlik bilgisi talep eden RP) bir Sahibin Wallet'ından VC'leri nasıl talep edebileceğine dair OAuth 2.0 üzerine kurulu bir protokol tanımlar. Anahtar unsurlar arasında presentation_definition (gerekli kimlik bilgilerini ve iddiaları belirtir), bir yetkilendirme sunucusu olarak hareket eden Wallet ve Doğrulanabilir Sunumu Doğrulayıcıya geri taşıyan vp_token bulunur.
• OpenID for Verifiable Credential Issuance (OpenID4VCI): OpenID4VP'yi tamamlayan bu standart, bir Düzenleyicinin bir Sahibin Wallet'ına VC'leri nasıl teslim edeceğini, yine OAuth 2.0 mekanizmalarını kullanarak standartlaştırır. Kimlik Bilgisi Teklifleri, önceden yetkilendirilmiş veya yetkilendirme kodu akışları ve özel kimlik bilgisi uç noktaları gibi kavramları içerir.
• ISO Standartları (ör. ISO/IEC 18013-7, ISO/IEC 23220): Bu uluslararası standartlar, özellikle mobil sürücü belgeleri (mDL'ler) ve diğer mobil belge türleri (mdoc) için önemlidir. ISO 18013-5, temel mDL veri yapısını ve çevrimdışı sunumu (NFC, BLE) tanımlarken, ISO 18013-7 ve 23220, REST API'leri ve OpenID4VP ile entegrasyon profilleri (18013-7'nin Ek B'si) dahil olmak üzere çevrimiçi sunum mekanizmalarını belirtir. Google Wallet ve Apple Wallet gibi platformlar bu ISO standartlarından yararlanır.

Farklı amaçlarına ve protokollerine rağmen, passkey'ler ve dijital kimlik bilgileri temel yapı taşlarını paylaşır:

• Asimetrik Kriptografi: Her ikisi de büyük ölçüde açık-özel anahtar çiftlerine dayanır. Passkey'ler, kimlik doğrulama sırasında sahipliği kanıtlamak için özel anahtarı kullanır. Dijital kimlik bilgileri, kimlik bilgisinin orijinalliğini ve bütünlüğünü sağlamak için düzenleyicinin özel anahtarını kullanır ve sahip, kimlik bilgisini içeren bir sunumu imzalamak için kendi özel anahtarını kullanabilir.
• Güvenli Donanım: Özel anahtarları korumak her şeyden önemlidir. Her iki teknoloji de modern cihazlara entegre edilmiş güvenli donanım bileşenlerinden büyük ölçüde yararlanır:
  • TPM (Trusted Platform Module): Genellikle dizüstü ve masaüstü bilgisayarlarda bulunan, güvenli anahtar üretimi, depolama ve kriptografik işlemler sağlayan özel bir çip. Windows Hello gibi platform authenticator'ları tarafından yaygın olarak kullanılır.
  • Secure Enclave: Apple'ın iPhone'lar, iPad'ler ve Mac'lerde ana işlemciden izole edilmiş, passkey özel anahtarları da dahil olmak üzere hassas verileri korumak için kullanılan donanım tabanlı anahtar yöneticisi.
  • Android Keystore System / StrongBox Keymaster: Android, genellikle özel bir güvenli işlemci (StrongBox Keymaster) kullanılarak uygulanan, Android cihazlarındaki kriptografik anahtarlar için güçlü koruma sunan donanım destekli bir Keystore sağlar. Bazı parola yöneticileri "Strongbox" adını kullansa da, işletim sistemi tarafından sağlanan temel güvenli donanım unsuru burada anahtar kolaylaştırıcıdır.

Hem passkey işlemleri hem de potansiyel olarak dijital wallet'lar içindeki özel anahtarları güvence altına almak için aynı güvenli donanım elemanlarının (TPM, Secure Enclave, Android'in donanım destekli Keystore'u) kullanılması önemli bir sinerji yaratır. Platformların her işlev için ayrı güvenli çiplere ihtiyacı yoktur. Bunun yerine, hem kimlik doğrulama kimlik bilgilerini (passkey'ler) hem de tasdik kimlik bilgilerini (VC'ler) güçlü bir şekilde korumak için tek, güçlü bir donanım tabanını ve ilgili işletim sistemi API'lerini (Android Keystore veya Apple'ın Secure Enclave için olanlar gibi) kullanabilirler. Bu, geliştirmeyi kolaylaştırır, güvenlik tutarlılığını artırır ve mevcut platform yatırımlarını iyi bir şekilde kullanır.

Dahası, tarayıcının Credential Management API'si (navigator.credentials) önemli bir düzenleyici katmandır. İlk olarak passkey'ler için WebAuthn tarafından genişletilen bu API, şimdi VC'ler için Digital Credentials API tarafından daha da genişletiliyor. Bu, net bir planı işaret ediyor: RP'lere farklı kimlik bilgileri istemek için tek bir ana yol vermek ve kullanıcılara bunları seçmek için tanıdık bir yol sunmak (Android'in kimlik bilgisi yöneticisi veya yerleşik tarayıcı parola yöneticileri aracılığıyla gibi). Bu, CTAP, OID4VP ve ISO gibi protokollerin karmaşık teknik ayrıntılarını gizleyerek geliştiriciler ve kullanıcılar için işleri kolaylaştıracaktır.

Bir Relying Party (RP) perspektifinden, passkey'leri ve dijital kimlik bilgilerini etkili bir şekilde nasıl entegre edip kullanacağını anlamak, güvenliği artırmak, kullanıcı deneyimini iyileştirmek ve yasal gereklilikleri karşılamak için çok önemlidir. Bu bölüm, RP'lerin bu teknolojileri farklı yaygın senaryolarda ve ekosistemlerde nasıl dağıtabileceğini analiz eder.

Passkey'ler ve dijital kimlik bilgileri için en uygun entegrasyon stratejisi, belirli kullanım durumuna ve bununla ilişkili risk profili ve gereksinimlerine bağlı olarak önemli ölçüde değişir. Aşağıdaki tablo, yaygın senaryolar arasında üst düzey bir karşılaştırma sunar:

Ekosistem Senaryo Karşılaştırması

Lejant:

• VC Rolü 🆔: VC'lerin genellikle senaryolar arasında ilk kayıt/KYC için kullanıldığını kabul ederek, ana etkileşim sırasındaki rolü tanımlar.
• Cihaz Bağlantısı? 🔗: Özellikle senkronize passkey'ler için geçerli olan, standart passkey kaynak bağlamanın ötesinde açık bir cihaz bağlantısı ihtiyacını ifade eder.
• AB EUDI Wallet zorunluluğu*: Bu senaryo, yaklaşan eIDAS 2 düzenlemesi kapsamındaki gereklilikleri yansıtır ve nihai uygulama yasalarının yürürlüğe girmesinden yaklaşık 36 ay sonra (muhtemelen 2020'lerin sonlarında) uygulanması beklenir.

Bu karşılaştırma hızlı bir genel bakış sunar; aşağıdaki bölümler her senaryonun RP'nin entegrasyon perspektifinden ayrıntılarına iner.

• Hedef: İyi bir temel güvenlikle hızlı, sorunsuz erişim.
• Olası Akış:
  • Birincil Kimlik Doğrulama: Passkey'ler baskın olacaktır. Phishing'e karşı dirençleri ve sorunsuz kullanıcı deneyimleri (genellikle sadece bir biyometrik/PIN), sık giriş senaryolarında parolaların yerini almak için onları ideal kılar.
  • Dijital Kimlik Bilgileri Rolü: Temel giriş için minimal. VC'ler, giriş sonrası belirli eylemler için isteğe bağlı olarak kullanılabilir; örneğin yaş doğrulaması (kısıtlı ürünler satın alırken), doğrulanmış niteliklere dayalı kişiselleştirme (sadakat durumu gibi) veya ilk kayıt sırasında profil tamamlamayı hızlandırma.
• Etkileşim: Passkey temel girişi yönetir; VC'ler isteğe bağlı, nitelik tabanlı etkileşimler için ayrılmıştır.

• Hedef: Yüksek güvenceli giriş ve gerektiğinde doğrulanmış kimlik beyanı.
• Olası Akış:
  • Kendi İçinde 2FA/MFA Olarak Passkey'ler: Passkey'ler, giriş töreni sırasında kullanıcı doğrulaması (PIN/biyometrik) gerçekleştiğinde iki faktörlü kimlik doğrulama gereksinimlerini doğal olarak karşılar. Şunları birleştirirler:
    • Sahiplik: Özel anahtarın kontrolünün kanıtı.
    • Bilgi/İçsel Özellik: PIN veya biyometri yoluyla kullanıcı doğrulaması. Bu, passkey ile girişi kendi başına güçlü, phishing'e dayanıklı bir MFA yöntemi yapar ve birçok yüksek güvenceli senaryo için sadece 2FA elde etmek amacıyla ayrı bir ikinci adıma gerek kalmadan yeterlidir.
  • Kimlik Doğrulama için Step-Up (Tek Seferlik): Dijital Kimlik Bilgileri ile ekstra bir adıma duyulan ana ihtiyaç, hizmetin sadece geri dönen bir kullanıcının kimliğini doğrulamakla kalmayıp, açıkça kimliği doğrulaması gerektiğinde ortaya çıkar. Bu tür güçlü, kriptografik bir kontrol, deepfake'lerin görsel veya belge tabanlı kimlikleri inandırıcı bir şekilde taklit edebildiği durumlarda hayati önem taşır. Yalnızca güvenilir bir kaynaktan gelen dijital kriptografik kanıt, bir niteliği güvenilir bir şekilde doğrulayabilir. Bu şu durumlarda gerekebilir:
    • İlk kayıt sırasında.
    • Onaylanmış kimlik nitelikleri gerektiren belirli yüksek riskli eylemler için. Bu durumlarda, RP, passkey ile girişten sonra kullanıcının wallet'ından belirli bir Doğrulanabilir Kimlik Bilgisi (örneğin, bir PID, ulusal kimlik bilgisi) sunumu talep eder.
  • Kurtarma için Kimlik: Bir kullanıcının kimliği güçlü bir şekilde doğrulandıktan sonra (örneğin, bir VC sunumu step-up adımıyla), bu doğrulanmış kimlik bilgileri potansiyel olarak güvenli hesap kurtarma akışlarında kullanılabilir. Örneğin, bir kullanıcı tüm passkey authenticator'larını kaybederse, yüksek güvenceli bir kimlik bilgisi sunmak, erişimi yeniden kazanma ve yeni passkey'ler kaydetme sürecinin bir parçası olabilir.
• Etkileşim: Passkey'ler, kimlik doğrulama için sağlam, kendi içinde 2FA/MFA sağlar. VC'ler, gerektiğinde açık kimlik doğrulaması için stratejik olarak kullanılır ve bu doğrulanmış kimlik, güvenli hesap kurtarma mekanizmalarını da destekleyebilir.

• Hedef: Kullanıcı zorluğunu en aza indirerek, akıcı ve güvenli ödeme veya ödeme başlatma.
• Olası Akış:
  • Ödeme için Kimlik Doğrulama: Passkey'ler, kullanıcının Ödeme Hizmeti Sağlayıcısı (PSP) hesabına (örneğin, PayPal) veya doğrudan tüccarın ödeme akışı içinde kimliğini doğrulamak için idealdir. Bu, parolaların yerini alır ve ödemeyi başlatmak için hızlı, güvenli bir onay sağlar.
  • Kayıt/KYC: VC'ler, PSP veya tüccar ile kayıt veya hesap oluşturma aşamasında kritik olmaya devam eder ve ödeme yeteneklerini etkinleştirmek için gerekli olan doğrulanmış kimlik bilgilerini (KYC/AML kontrolleri) sağlar.
  • İşlem Zorluğu Endişeleri: Temel ödeme yetkilendirme akışı sırasında ayrı bir Doğrulanabilir Kimlik Bilgisi sunum adımı getirmek (dijital bir kimlik wallet'ı ile etkileşim gerektirir), sorunsuz bir passkey onay adımına kıyasla önemli ölçüde zorluk katacaktır. Kullanıcı deneyimindeki bu kesinti, muhtemelen dönüşüm oranlarına zarar verir ve bu nedenle tipik düşük zorluklu ödeme senaryoları için uygun değildir.
• Etkileşim: Passkey, ödeme eyleminin kendisi için kimlik doğrulamayı güvence altına alır. VC'ler, ödeme hesabını oluşturmak için gerekli olan, genellikle tek seferlik kimlik kanıtlama/KYC işlemlerini yönetir, ancak kritik, zorluğa duyarlı ödeme onayı adımının dışında tutulur. (Dijital kimlik bilgilerinin doğrudan ödeme araçları olarak kullanılması, farklı wallet türlerinin ve gelişmekte olan tarayıcı API'lerinin bu tür ödemeye özgü VC'leri nasıl etkinleştirebileceği veya bunlarla nasıl etkileşime girebileceği de dahil olmak üzere karmaşık bir konudur ve yakında yayınlanacak tamamlayıcı makalemizde ayrıntılı olarak incelenmektedir: Dijital Kimlik Bilgileri ve Ödeme.

• Hedef: Eski kimlik doğrulama yöntemlerinden yükseltme yaparak, özellikle phishing ile ilgili dolandırıcılıkta önemli bir azalma ile güvenli bankacılık erişimi.
• Olası Akış:
  • Eski MFA'nın Değiştirilmesi: Birçok finansal kurum şu anda parolaları SMS OTP'leri gibi kimlik avına açık ikinci faktörlerle birleştirerek kullanmaktadır. Passkey'ler, tek bir kullanıcı hareketiyle phishing'e doğal olarak dirençli olan güçlü bir kimlik doğrulama sağlayarak çok daha üstün bir alternatif sunar.
  • Passkey'lerle Birincil Giriş: Birincil giriş için passkey'leri benimsemek, phishing'e karşı dirençleri nedeniyle güvenliği anında artırır. Passkey'lerin kriptografik doğası, geleneksel kimlik bilgilerini rahatsız eden en yaygın saldırı vektörlerini azaltır.
  • Risk Tabanlı Step-Up - Cihaz Sinyallerinin Dikkatli Değerlendirilmesi: Daha yüksek riskli işlemler (örneğin, büyük transferler, iletişim bilgilerini değiştirme) için finansal kurumlar step-up doğrulamayı düşünebilir. Passkey'lerle ilişkili cihaz bağlama sinyalleri bir seçenek olsa da, gereklilikleri dikkatlice değerlendirilmelidir. Birincil passkey kimlik doğrulamasının phishing'e karşı direnci, birçok riski büyük ölçüde azaltır.
  • Sonuç Odaklı Güvenlik ve Dolandırıcılığın Azaltılması: Passkey'ler tarafından elde edilen phishing riskindeki önemli azalma kritik bir faktördür. Kimlik doğrulama yönteminin gücüne ve phishing'e karşı direncine odaklanan sonuç odaklı bir güvenlik yaklaşımı, dolandırıcılıkta önemli bir azalmaya yol açabilir. Passkey gibi phishing'e dayanıklı bir faktörün ağırlığı, daha fazla kimlik avına açık faktör eklemekten önemli ölçüde daha yüksektir. Bu, bir finansal kurumun eski yöntemlerden geçerken stratejisinin merkezinde olmalıdır.
  • Kayıt/Kimlik Kanıtlama için VC'ler: Diğer senaryolarda olduğu gibi, VC'ler sağlam başlangıç KYC/AML için ve müşteri kimlik niteliklerini doğrulanmış bilgiler kullanarak güvenli bir şekilde güncellemek için esastır ve bankacılık ilişkisi için güvenilir bir temel oluşturur.
• Etkileşim: Passkey'ler, eski sistemlerden kaynaklanan dolandırıcılık riskini büyük ölçüde azaltan, güçlü, phishing'e dayanıklı bir birincil kimlik doğrulama yöntemi olarak hizmet eder. Step-up için cihaz sinyalleri taktiksel bir seçenektir. Passkey'lerin doğal gücü, risk tabanlı bir güvenlik duruşunu bilgilendirmeli ve potansiyel olarak ek, daha az phishing'e dayanıklı faktörlere aşırı güveni azaltmalıdır. VC'ler temel kimlik güvencesi sağlar.

• Hedef: Belirli Relying Party'ler (kamu kurumları, düzenlenmiş sektörlerdeki büyük özel kuruluşlar, VLOP'ler) tarafından AB Dijital Kimlik Wallet'ının kabulünü gerektiren eIDAS 2 düzenlemelerine (Madde 5f) uymak, yasal olarak gerekli olduğunda hem gizliliği koruyan takma adla girişi hem de yüksek güvenceli kimlik/nitelik doğrulamasını sağlamak.
• Olası Akış:
  • Takma Adla Giriş (Varsayılan): Kullanıcı girişi başlatır. RP, EUDI Wallet aracılığıyla kimlik doğrulama talep eder. Wallet, kullanıcıyı doğrulamak için yerleşik "takma ad anahtarını" – cihazın sertifikalı güvenli öğesinde (WSCD) saklanan, donanıma bağlı, RP kapsamlı bir WebAuthn resident key – kullanır. Bu, kullanıcının sivil kimliğini varsayılan olarak takma adla tutarken güçlü, SCA uyumlu kimlik doğrulama (sahiplik + kullanıcı doğrulaması) sağlar.
  • Kimlik/Nitelikler için Step-Up (Yasal Olarak Gerekli): RP'nin Birlik veya ulusal hukuk kapsamında (örneğin, PSD2, AML, telekom kaydı) kimlik doğrulaması veya belirli nitelikler gerektirmek için belirli bir yasal dayanağı varsa ve yalnızca o zaman, ikinci bir adım başlatır. RP, wallet'tan gerekli Kişi Kimlik Verilerinin (PID) veya Nitelikli Nitelik Tasdikinin (QAA) bir sunumunu (OpenID4VP aracılığıyla) talep eder. Kullanıcı, bu kimliklendirilmiş verileri paylaşmak için açıkça rıza göstermelidir.
  • Wallet ve RP Kimlik Doğrulaması: Akış, karşılıklı kimlik doğrulamayı içerir. RP, kendisini wallet'a (resmi kaydına dayanarak) doğrular ve wallet, güvenli donanımı (WSCD) ve ilgili sertifikasyon altyapısını kullanarak orijinalliğini ve kimlik bilgisinin geçerliliğini RP'ye tasdik eder.
• Etkileşim: EUDI Wallet, birleşik bir authenticator olarak hareket eder. Entegre WebAuthn passkey'i (takma ad anahtarı), standart girişi yöneterek güçlü, gizliliği koruyan kimlik doğrulama sunar. Wallet'ın VC yetenekleri, açık, yasal olarak zorunlu kimlik veya nitelik ifşası için seçici olarak çağrılır ve varsayılan olarak veri minimizasyonunu sağlar.

Bu gelişen manzarada gezinmek stratejik planlama gerektirir. İşte Relying Party'ler (RP'ler) için temel değerlendirmeler

RP'ler için bugünkü ana eylem, kimlik doğrulama için passkey kullanımını etkinleştirmek ve teşvik etmek olmalıdır. Passkey'ler standartlaştırılmıştır, platformlar tarafından yaygın olarak desteklenmektedir ve güvenlik (phishing'e karşı direnç) ve kullanıcı deneyimi (daha hızlı, daha kolay girişler) açısından anında, büyük faydalar sunar. Bu, parolalara ve SMS OTP'leri gibi güvensiz MFA yöntemlerine daha az güvenmek anlamına gelir. Ayrıca, parola sıfırlama ve hesap kurtarma işlemlerinden kaynaklanan destek maliyetlerini de düşürebilir. Geniş passkey kullanımını hedeflemek, kullanıcı kimlik doğrulaması için modern, güvenli bir temel oluşturur. Benimseme başlangıçta yavaş olsa da, kullanıcıları önceden faydaları hakkında eğitmek ve kayıt işlemini kolaylaştırmak, başlamalarına yardımcı olabilir.

Passkey'ler kendi başlarına sağlam kimlik doğrulamaya doğru önemli bir adım sunsa ve Güçlü Müşteri Kimlik Doğrulaması (SCA) gereksinimlerini karşılayabilse de, bazı kuruluşların daha da katı yorumlara veya özellikle senkronize passkey'lerle ilgili belirli endişelere sahip iç uyumluluk çerçeveleri olabilir. Uyum departmanlarının daha fazla güvence aradığı bu tür senaryolarla karşılaşan Relying Party'ler (RP'ler) için, passkey dağıtımlarını tamamlayabilecek ek önlemlerin olduğunu bilmek faydalıdır. Bunlar, algılanan SCA boşluklarını gidermeye veya bu artırılmış iç gereksinimleri karşılamaya yardımcı olabilir. Yaygın bir strateji, PayPal gibi hizmetler tarafından benimsenen bir yaklaşım olan cihaz güven sinyallerinden yararlanmaktır.

Örneğin PayPal, kullanıcıların bir cihazı yardım sayfalarında açıklandığı gibi "hatırlanan" olarak işaretlemelerine olanak tanır:

Bu, bir kullanıcı hatırlanan bir cihazdan (sahip olduğu bir şey) parolasıyla (bildiği bir şey) giriş yaparsa, PayPal'ın bunu birçok durumda SCA için yeterli görebileceği anlamına gelir. Ancak, "Hesabınızın güvende olduğundan emin olmak için sizden hala başka bir doğrulama isteyebileceğimiz durumlar olabilir" diye de belirtiyorlar. Bu, SMS yoluyla tek kullanımlık bir şifre göndermeyi veya PayPal uygulaması aracılığıyla onay istemeyi içerebilir.

Bu yaklaşım, riskler daha yüksek olduğunda veya düzenlemeler bunu gerektirdiğinde step-up authentication için mekanizmalar sağlarken, güvenilir cihazlarda daha sorunsuz bir kullanıcı deneyimi sağlar. RP'ler, birincil kimlik doğrulama (bir passkey gibi) ve cihaz güveninin (gerekirse WebAuthn'un doğrudan mekanizmalarının dışında yönetilen) bir kombinasyonunun SCA uyumluluk boşluklarını kapatmaya yardımcı olabileceği benzer modelleri düşünebilir. Ancak, WebAuthn çerçevesi içinde cihaza özgü güven sinyallerine yönelik daha entegre ve standartlaştırılmış bir yaklaşım için, dikkatler o alandaki devam eden gelişmelere çevrilmektedir.

Daha güçlü cihaz güveni için bu tür WebAuthn entegre yaklaşımlarla ilgili olarak, yüksek güvenlikli ortamlardaki RP'ler tarihi ve gelecekteki yönü anlamalıdır. devicePubKey ve supplementalPubKeys gibi geçmiş WebAuthn uzantı önerileri, bu cihaza özgü güven sinyallerini sağlamayı amaçlıyordu. Bunlar, kitlesel benimseme için hayati önem taşıyan kullanılabilirlik sunarken, farklı risk profilleri (örneğin, bulut hesabı kurtarmaya bağımlılık) getiren senkronize passkey'lerin güvenlik hususlarını ele alma girişimleriydi. Bu tür uzantıların arkasındaki fikir, RP'lerin, ana passkey'in kendisi senkronize olsa bile, kullanılan fiziksel cihaza özel olarak bağlı bir anahtardan bir imza kontrol ederek ek bir güvence katmanı elde etmelerini sağlamaktı.

Bu özel uzantılar (devicePubKey ve supplementalPubKeys) durdurulmuş olsa da, senkronize passkey'ler için daha güçlü cihaz bağlama sinyalleri elde etme zorluğu devam etmektedir. Bu nedenle RP'ler, bu alandaki takip çözümlerinin geliştirilmesini ve standartlaştırılmasını izlemelidir. Bu tür çözümler, RP'lerin riski daha iyi değerlendirmesine (örneğin, bilinen, güvenilir bir cihazdan yapılan bir girişi yeni senkronize edilmiş bir cihazdan ayırt etme) yardımcı olabilir ve tüm kullanıcıları daha az kullanışlı olan cihaza bağlı passkey'leri kullanmaya zorlamadan bunu yapabilir. Bu bağlam, RP'lere sadece "senkronize vs. cihaza bağlı"dan daha karmaşık bir seçenek sunar. Senkronize passkey'ler (genellikle AAL2 uyumlu) en fazla kolaylığı ve benimsenme için en iyi şansı sunar, bu da tüketici uygulamaları için hayati önem taşır. Cihaza bağlı passkey'ler (muhtemelen AAL3) en yüksek güvenceyi verir ancak kullanımı daha zor olabilir. Durdurulan uzantıların amacı, bir orta yol bulmaktı—cihaza özgü bir güven sinyali ekleyerek senkronize anahtarlar için güvenliği artırmak. Bu, bulut senkronizasyonu tehlikeye girerse bazı riskleri azaltmaya yardımcı olabilir ve senkronizasyonun tüm kolaylığını kaybetmeden bunu yapabilir. Bu nedenle RP'ler, bunu yapmayı amaçlayan takip çözümlerini aramalıdır. En iyi strateji, bir RP'nin belirli risk toleransına, kullanıcı tabanına ve yeni standartların ne kadar olgunlaştığına bağlı olacaktır.

WebAuthn içindeki cihaz güveni için özel mekanizmaların ötesinde, bazı Relying Party'ler (RP'ler)—özellikle bankacılık, sigorta ve ödeme hizmetleri gibi sektörlerdeki—dijital kimlik bilgilerini (Doğrulanabilir Kimlik Bilgileri veya VC'ler) kimlik ve güvenlik stratejilerinde tamamlayıcı, hatta bir sonraki adım bileşen olarak değerlendirmeye başlıyor.

Bu ilgiyi artıran önemli bir faktör, özellikle güvenli dijital kimlik wallet'ları içinde yönetildiğinde, dijital kimlik bilgileriyle sık sık ilişkilendirilen sağlam cihaz bağlantısıdır. Bu wallet'lar, kimlik bilgilerini ve bunları sunmak için kullanılan özel anahtarları korumak için donanım destekli güvenlikten (Secure Enclaves veya TPM'ler gibi) yararlanabilir. Düzenleyiciler ve wallet sağlayıcıları, belirli yüksek değerli kimlik bilgilerini doğal olarak cihaza bağlı hale getiren politikalar da uygulayabilir, bu da yüksek güvenceli senaryolar için çekici bir kontrol seviyesi sunar.

Bu gelişmiş cihaz bağlama yeteneğinin bu RP'ler için zorlayıcı bir özellik olmasına rağmen, dijital kimlik bilgilerinin birincil amacının (niteliklerin ve iddiaların tasdiki) passkey'lerin amacından (kullanıcı kimlik doğrulaması) farklı olduğunu kabul etmek çok önemlidir. Passkey'ler kullanıcının kim olduğunu doğrular, dijital kimlik bilgileri ise kullanıcı hakkında neyin doğru olduğunu doğrular. Amaçtaki bu temel farklılığa rağmen, wallet'ta tutulan VC'lerin güçlü güvenlik özellikleri, ek güvenceler katmanı arayan RP'ler için onları aktif bir değerlendirme alanı haline getirir. Bu, doğal olarak tartışmayı bu dijital kimlik wallet'larının sağlayıcılarına ve bu tür kimlik bilgilerinin düzenlenmesini, saklanmasını ve sunulmasını sağlayan ekosisteme yönlendirir.

Passkey'ler doğrudan kimlik doğrulama sunarken, dijital kimlik bilgileri (VC'ler) Relying Party'lere dijital kimlik wallet'ları aracılığıyla yönetilir ve sunulur. Bu wallet'lar, ister yerel platform çözümleri (Apple Wallet, Google Wallet gibi) ister üçüncü taraf uygulamaları (EUDI Wallet gibi) olsun, daha sorunsuz çevrimiçi kimlik doğrulaması (örneğin, yaş kontrolleri, dijital kimlik niteliklerini paylaşma) için Digital Credentials API gibi gelişmekte olan tarayıcı standartlarını kullanmak üzere evrimleşmektedir.

Farklı wallet türlerinin ayrıntılı mekaniği, VC entegrasyonu için özel platform stratejileri (Apple'ın tarayıcı etkileşimleri için mDoc odaklanmasına karşılık Android'in Credential Manager aracılığıyla daha geniş OpenID4VP desteği dahil), bu wallet'ların nitelik tasdikini nasıl kolaylaştırdığı ve herhangi bir ödeme işlevselliği için tamamen ayrı değerlendirmeler karmaşık konulardır. Bunlar, yakında yayınlanacak tamamlayıcı makalemizde derinlemesine incelenmektedir: Dijital Kimlik Bilgileri ve Ödemeler.

Bu mevcut makale, kimlik doğrulama için passkey'ler ile nitelikleri tasdik etmek için dijital kimlik bilgilerinin genel rolü arasındaki temel etkileşime odaklanmaya devam etmektedir.

Passkey'ler ve dijital kimlik bilgileri, ana amaçları farklı olsa da, modern, daha güvenli ve kullanıcı odaklı bir dijital kimlik geleceğinin iki temel direğini temsil eder. Birbirleriyle nasıl ilişkili olduklarını ve birbirlerini nasıl destekleyebileceklerini anlamak, yeni nesil çevrimiçi hizmetleri oluşturmak için anahtardır.

Bu teknolojilerin mevcut durumuna ve gidişatına dayanarak, Relying Party'ler için iki temel eylem öne çıkıyor:

• Bugün her yerde passkey'leri devreye alın: Standartlar olgunlaşmış, platform desteği yaygın ve parolalara göre faydaları açık ve önemli. Güvenliği ve kullanılabilirliği hemen artırmak için passkey'leri kullanıcı kimlik doğrulaması için varsayılan hedef yapın.
• AML/KYC'nin önemli olduğu yerlerde wallet ile step-up ekleyin: Kara Para Aklamayı Önleme (AML) / Müşterini Tanı (KYC) düzenlemelerini karşılama, güvenilir yaş doğrulaması yapma veya mesleki nitelikleri onaylama gibi daha yüksek güvence veya belirli doğrulanmış nitelikler gerektiren süreçler için, kriptografik olarak doğrulanabilir nitelikler elde etmek üzere Doğrulanabilir Kimlik Bilgisi sunum akışlarını entegre edin. Bu, gelişmiş dijital sahtekarlıklar ve deepfake'ler çağında kimliğe ve iddialara güvenmek için vazgeçilmezdir. Mümkün olan yerlerde Digital Credentials API'yi kullanın, ancak API stabilize olana kadar platformlar arası erişimi sağlamak için sağlam QR/derin bağlantı geri dönüş mekanizmaları uygulayın. Bu, her girişi zorlaştırmadan hedeflenmiş yüksek güvence sağlar.

Geleceğe baktığımızda, daha fazla yakınsama ve iyileştirme bekleyebiliriz:

• Geliştirilmiş Kimlik Bilgisi Taşınabilirliği: Cihazdan cihaza aktarım yöntemleri muhtemelen daha iyi hale gelecektir. Bu, passkey'ler için CTAP 2.2 cihazlar arası kimlik doğrulamanın ötesine geçerek, VC'leri wallet'lar arasında daha sorunsuz taşıma yollarını içerebilir, ancak buradaki standardizasyon o kadar ilerlemiş değil.
• Birleştirilmiş Tarayıcı API'leri: Digital Credentials API muhtemelen olgunlaşacak ve tarayıcılar arasında daha tutarlı bir şekilde desteklenecektir. Bu, RP'lere navigator.credentials aracılığıyla hem passkey'leri hem de VC'leri talep etmek için daha standart bir yol sunacaktır.
• Birleşik Kullanıcı Deneyimi: Sonuç olarak, kullanıcılar bir passkey ile kimlik doğrulama ile bir VC ile nitelik sunma arasında daha az teknik fark görmelidir. Platform kimlik bilgisi yöneticileri ve wallet'lar muhtemelen bu etkileşimleri perde arkasında sorunsuz bir şekilde yönetecektir. Ortak kriptografik araçlar ve güvenli donanım kullanacaklar, kullanıcıların bir passkey veya bir VC kullanılıp kullanılmadığına bakılmaksızın, tanıdık biyometrik veya PIN istemleriyle talepleri basitçe onaylamalarına olanak tanıyacaklar. Ayrıca, davranışsal biyometri ve diğer sinyalleri kullanarak kullanıcıları arka planda sürekli olarak doğrulayan Sürekli Pasif Kimlik Doğrulama (CPA) gibi kavramlar, bu sorunsuz güvenliği daha da artırabilir ve potansiyel olarak passkey'ler gibi aktif kimlik doğrulayıcılarla birlikte çalışabilir.

Bu entegre geleceğe ulaşmak, standartlar, platformların bunları nasıl desteklediği ve uygulamaların bunları nasıl kullandığı konusunda daha fazla çalışma gerektirecektir. Şimdi passkey'leri kullanarak ve dijital kimlik bilgilerini düşünceli bir şekilde ekleyerek, kuruluşlar parolasız ve kullanıcılara verileri üzerinde daha fazla kontrol sağlayan bir dijital dünyaya geçişe hazır olabilirler.