Finom Passkey'leri: Bankacılık Güvenliğinde Devrim

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

Modern bankacılık, hem sınıfının en iyisi güvenliğe sahip olmalı hem de müşterilerin hayatını kolaylaştırmalıdır. İşte bu yüzden, öncü ve Amsterdam merkezli bir fintek şirketi olan Finom, web uygulaması için yeni birincil kimlik doğrulama yöntemi olarak passkey'leri sunarak önemli bir adım attı. Bir inovasyon kanıtı olarak Finom'un passkey uygulaması, yalnızca geleneksel şifre paradigmasına (+ SMS OTP ile geleneksel MFA) meydan okumakla kalmıyor, aynı zamanda daha güvenli, kullanışlı ve gizlilik odaklı kullanıcı deneyimlerine yönelik artan talebi de karşılıyor. Bu blog yazısı, Finom'un passkey uygulamasının teknik ayarlarını ve son kullanıcıya sağladığı faydaları inceliyor ve bu yaklaşımın neden bankacılık ve finansal hizmetlerde passkey'ler için yeni bir çağ başlatabileceğine dair içgörüler sunuyor.

Passkey'ler, kimlik doğrulamada bir paradigma kaymasını temsil ediyor ve savunmasız şifre tabanlı sistemlerden daha güvenli, kimlik avına dayanıklı bir kimlik doğrulamaya geçiş yapıyor. Finom'un web uygulaması bu teknolojiyi benimsiyor ve kullanıcıların bilgisayarlar, akıllı telefonlar veya donanım güvenlik anahtarları (örneğin YubiKey'ler) gibi çeşitli cihazlar aracılığıyla kimlik doğrulamasına olanak tanıyor, böylece platformlar arası / dolaşımdaki doğrulayıcıları da destekliyor.

Finom has introduced passkeys

Join them

Finom, tarayıcı ve işletim sistemi uyumluluğu için endüstri standartlarına uyum sağlayarak geniş bir erişilebilirlik sunuyor. Aşağıdaki tarayıcı sürümleri passkey'leri desteklemektedir (resmi Finom passkey'leri SSS bölümüne göre):

• Chrome (v105+)
• Safari (v16+)
• Edge (v105+)

Resmi Finom passkey'leri SSS bölümünün aksine, passkey ile kimlik doğrulama testimiz sırasında Windows 11 23H2 ve macOS Sonoma 14.2.1 üzerindeki en son Firefox sürümünde (v122) de çalıştı.

Genel olarak işletim sistemi desteği konusunda, masaüstü cihazlar için passkey ile kimlik doğrulamayı Windows 11 ve macOS Sonoma'da başarıyla test ettik (SSS bölümünde belirtilen resmi bir minimum işletim sistemi sürümü bulunmuyor).

Mobil cihaz kullanıcılarının tam passkey desteği için sistemlerini iOS 16+ veya Android 9+ sürümüne güncellemeleri gerekiyor. İyi haber şu ki, mobil cihazların büyük çoğunluğu (%94'ün üzerinde) zaten passkey'leri destekliyor.

Finom'daki passkey oluşturma süreci, USB, NFC, BLE, hibrit ve dahili seçenekler dahil olmak üzere çeşitli aktarım modlarını kullanarak passkey'lerin tüm yelpazesini destekler. Bu esneklik, kullanıcıların kişisel tercihlerine veya durumsal ihtiyaçlarına uygun birden fazla kimlik doğrulama seçeneğine sahip olmasını sağlar.

WebAuthn sunucu ayarlarından ve PublicKeyCredentialCreationOptions derinlemesine analizinden öne çıkan bazı noktalar:

{
    "attestation": "direct",
    "authenticatorSelection": {
        "residentKey": "discouraged",
        "userVerification": "required"
    },
    "challenge": "JWi0v7X1X-O1UvXB_I5q2A",
    "excludeCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        },
        {
            "alg": -37,
            "type": "public-key"
        },
        {
            "alg": -35,
            "type": "public-key"
        },
        {
            "alg": -258,
            "type": "public-key"
        },
        {
            "alg": -38,
            "type": "public-key"
        },
        {
            "alg": -36,
            "type": "public-key"
        },
        {
            "alg": -259,
            "type": "public-key"
        },
        {
            "alg": -39,
            "type": "public-key"
        },
        {
            "alg": -8,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "app.finom.co",
        "name": "app.finom.co"
    },
    "user": {
        "displayName": "Vincent Delitz",
        "id": "dmluY2RlbGl0aaBhb2wuY29t",
        "name": "vincent@corbado.com"
    }
}

• Cihazda mevcut passkey'ler varken yeni bir passkey oluşturulmasını önlemek için excludeCredentials parametresinin kullanılması
• Güvenli, alana özgü kimlik doğrulama sağlamak için Relying Party ID'nin app.finom.co olarak ayarlanması
• Direct attestation, cihazların attestation ifadeleri sunmasını gerektirerek kimlik doğrulama bilgilerinin orijinalliğini kanıtlar
• Sadece doğru kullanıcının kimlik doğrulama sürecini başlatabilmesini sağlamak için userVerification zorunludur
• Conditional UI henüz kullanıma sunulmadığı için residentKey'lerin önerilmemesi. Ancak, passkey oluşturma davranışı, doğrulayıcıların residentKey'lerin değerini dikkate alıp almadığına bağlıdır (bu makaleye bakın). Dahası, Finom aslında gelecekteki Conditional UI desteği için şimdiden resident key'ler oluşturmaktan fayda sağlayabilir. Diğer yandan, bu karar donanım güvenlik anahtarlarında (örneğin YubiKey'ler) depolama alanından tasarruf sağlar, çünkü bu anahtarlar genellikle resident key'ler için sınırlı kapasiteye sahiptir.

PublicKeyCredentialRequestOptions da aynı derecede önemlidir ve esneklik ve güvenlik sağlayan yapılandırmalarla kimlik doğrulama sürecini kolaylaştırır:

PublicKeyCredentialRequestOptions.json
{
    "allowCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "challenge": "s4R8Fsy7iSxxWIgUr7iTLA",
    "rpId": "app.finom.co",
    "userVerification": "discouraged"
}

• Yalnızca kayıtlı passkey'lerin kullanılabilmesini sağlamak için allowCredentials ayarlanmıştır (tüm kimlik bilgileri, kullanıcı tarafından istemci olarak kullanılan cihazdan bağımsız olarak ayarlanır)
• Giriş seremonisinde userVerification önerilmemektedir, bu ilginçtir çünkü passkey oluşturma seremonisinde zorunludur.

Finom'un passkey uygulamasının geleceğe dönük bir yönü, cihazlar arası passkey paylaşımı potansiyelidir. Android için https://app.finom.co/.well-known/assetlinks.json ve iOS için https://app.finom.co/.well-known/apple-app-site-association adreslerinde sağlanan ilişkilendirme dosyaları analiz edildiğinde, Finom'un web ve yerel mobil uygulamaları arasında sorunsuz passkey entegrasyonu için zemin hazırladığı açıkça görülmektedir. Örneğin, web uygulamasındaki macOS passkey'inizi iCloud Keychain senkronizasyonu aracılığıyla yerel iOS uygulamasında da kullanmak gibi cihazlar arası paylaşım desteği hızla eklenebilir. Bu girişim, farklı platformlar ve cihazlar arasında zahmetsiz kimlik doğrulaması sağlayarak kullanıcı deneyimini daha da geliştirmeyi vaat ediyor.

Finom'un passkey uygulamasının merkezinde üç temel unsura öncelik verme taahhüdü yatmaktadır: eşsiz güvenlik, benzersiz basitlik ve tavizsiz veri gizliliği.

• Güvenlik: Finom'un passkey sistemi, siber tehditlere karşı bir bariyer oluşturmak üzere tasarlanmıştır. Geleneksel şifrelerin aksine, passkey'ler kullanıcının cihazına ve Finom'un doğrulanmış alan adına güvenli bir şekilde bağlanır, bu da kimlik avı ve sahte erişim riskini neredeyse ortadan kaldırır.
• Basitlik: Finom'un passkey ile kimlik doğrulamasındaki basitlik, anında giriş süreciyle kendini gösterir. Face ID, Touch ID veya Windows Hello kullanarak, kullanıcılar karmaşık şifreler yazma zahmetine girmeden saniyeler içinde hesaplarına erişebilirler. Bu kolaylaştırılmış kimlik doğrulama süreci, yalnızca kullanıcı rahatlığını artırmakla kalmaz, aynı zamanda giriş sürelerini önemli ölçüde azaltarak bankacılık sektöründe erişim kolaylığı için yeni bir standart belirler.
• Veri Gizliliği: Finom, kullanıcı verilerinin gizliliğine ve güvenliğine en yüksek önceliği verir. Passkey'lerin kullanıcının cihazına bağlı kaldığı bir sistem kullanarak Finom, biyometrik veriler de dahil olmak üzere kişisel bilgilerin kullanıcının kontrolü altında kalmasını ve asla sunucuyla paylaşılmamasını sağlar. Bu yaklaşım, yalnızca kullanıcıların gizliliğini korumakla kalmaz, aynı zamanda kişisel ve finansal bilgilerinin yetkisiz erişime ve ihlallere karşı korunduğuna dair onlara güven verir.

Yeni cihazlarda, kullanıcının yerel Finom iOS / Android uygulamasında anlık bildirim yoluyla veya e-posta sihirli bağlantısı kullanarak passkey oluşturmayı onaylaması gerekir. Onay verilene kadar kullanıcı bir passkey oluşturamaz.

Passkey oluşturma isteğini e-posta ile onaylayın:

Alternatif olarak, passkey oluşturma isteğini anlık bildirimle de onaylayabilirsiniz (burada yerel Android uygulaması):

Passkey başarıyla oluşturulduktan sonra bu açılır pencereyi göreceksiniz:

Finom, kullanıcının e-posta adresini girip Devam'a tıkladıktan sonra passkey'leri varsayılan kimlik doğrulama yöntemi (passkey öncelikli) yaparak giriş deneyimini basitleştirir (varsayılan olarak şifre alanı gösterilmez). Bu doğrudan yaklaşım, gereksiz seçenekleri ortadan kaldırarak ve şifreleri ikinci plana atarak kullanıcı deneyimini geliştirir. Ancak, Conditional UI olmaması, gelecekteki bir iyileştirme alanı olarak dikkat çekiyor.

Passkey açılır penceresinde passkey ile giriş akışını iptal ettiğinde, kullanıcı aşağıdaki uyarıyı alır:

Kullanıcı Yeniden Dene'ye tıklamaya karar verirse, passkey ile giriş akışı yeniden başlar ve passkey açılır penceresi (ör. Face ID, Touch ID, Windows Hello) belirerek kullanıcının biyometriklerini tekrar taramasına olanak tanır.

Kullanıcı Başka bir yöntem dene'ye tıklamaya karar verirse, e-posta adresi ve şifre giriş alanlarının olduğu eski giriş ekranına yönlendirilir:

Finom, passkey ile kimlik doğrulama için özel olmayan veya halka açık cihazların (örneğin halk kütüphanelerinde) kullanılmamasını şiddetle tavsiye eder. Bu tür cihazlardaki doğal risk, erişilebilirliklerinde yatar; cihazın kilidini açabilen (şifre, ekran kilidi veya cihaza kayıtlı parmak izi veya yüz tanıma gibi biyometrik verilerle) herkes, sizin yerinize kimlik doğrulaması yapma ve hesabınıza erişme potansiyeline sahiptir.

Günümüz kullanıcılarının çoklu cihaz gerçeğini benimseyen Finom, QR kodu tarama ve Bluetooth yakınlık kontrolleri kullanarak cihazlar arası kimlik doğrulamayı (hibrit aktarım) destekler. Bu özellik, farklı cihazlar arasında akıcı bir kimlik doğrulama deneyimi sağlar ve bir masaüstü ortamından Finom'a erişmeye çalışırken mobil bir cihazda depolanan bir passkey ile sorunsuz bir giriş yapmayı kolaylaştırır (cihazlar arası kimlik doğrulama hakkında daha fazla ayrıntı için bu makaleye de bakabilirsiniz).

Finom, kullanıcıların kimlik doğrulama yöntemlerini özelleştirmelerine ve kontrol etmelerine olanak tanıyan sezgisel passkey yönetimi özellikleri sunmuştur. Passkey'leri yeniden adlandırma ve kaldırma yeteneği de dahil olmak üzere bu özellikler, dijital erişimi yönetmede esneklik ve güvenlik gerekliliğinin derin bir şekilde anlaşıldığını yansıtır.

• Farklı Cihazlar için Birden Fazla Passkey: Finom, kullanıcıların cihazlarında birden fazla passkey oluşturmasını önerir. Bu yaklaşım, Finom'un hizmetlerine passkey'ler aracılığıyla kesintisiz erişimi garanti eder ve sorunsuz bir çoklu cihaz deneyimi sunar.
• Akıllı Kopya Önleme: PublicKeyCredentialCreationOptions içindeki excludeCredentials parametresini kullanarak Finom, aynı cihazda yinelenen passkey'lerin oluşturulmasını önler. Bu önlem, yalnızca güvenliği artırmakla kalmaz, aynı zamanda her cihazın benzersiz bir passkey'e sahip olmasını sağlayarak kullanıcı deneyimini de kolaylaştırır.
• Passkey Silme Onayı, Passkey ile Kimlik Doğrulama Gerektirir: Bir passkey'i kaldırmadan önce, kullanıcıların işlemi bir passkey kullanarak doğrulaması gerekir. Bu ek güvenlik katmanı, Finom'un kullanıcı erişimini korumaya verdiği önemi vurgular ve yalnızca hak sahibinin bu tür önemli değişiklikleri yapabilmesini sağlar.

Not: Simge tanıma mantığı ilk bakışta göründüğü kadar akıllı değil. Google Şifre Yöneticisi için passkey'leri Android cihazımda sakladım, ancak Windows olarak görüntüleniyor. Aynı durum, doğası gereği belirli bir işletim sistemine bağlı olmayan YubiKey'ler gibi platformlar arası / dolaşımdaki doğrulayıcılar için de geçerlidir.

Bir passkey başarıyla oluşturulduktan sonra, kullanıcı bir e-posta bildirimi alacaktır:

Kullanıcının şifresini sıfırlaması durumunda, yalnızca yerel iOS / Android cihaz bağlaması değil, aynı zamanda tüm passkey'leriniz de silinir. Daha kesin olmak gerekirse, passkey'lerin açık anahtarları sunucu tarafında silinir ve bu da passkey'lerle giriş yapmayı imkansız hale getirir (cihaz bağlamasını geri yükledikten sonra bile). Passkey'in özel anahtarları cihazda kalır ancak sonraki giriş denemeleri için işe yaramaz.

Finom'un passkey uygulaması, yalnızca güvenliği ve kullanıcı deneyimini geliştirmekle kalmaz; aynı zamanda geleneksel SMS OTP sistemlerinden maliyet tasarrufu sağlama ve kendini mevcut bankalar ve finans kurumlarıyla rekabet etmeye hazır, modern, dijital öncelikli bir fintek olarak konumlandırma yönünde stratejik bir hamledir. Sistemin mevcut tasarımı umut vericidir ve yerel uygulama desteği, Conditional UI sunumu ve passkey'ler aracılığıyla işlem onayları gibi alanlarda genişleme potansiyeli taşımaktadır.

Tarihsel olarak güvenlik açıklarıyla gölgelenmiş bir yöntem olan SMS OTP'den uzaklaşarak Finom, kimlik doğrulama ve MFA stratejisinde büyük faydaların temelini atıyor. Bu geçiş, yalnızca SMS OTP ile ilişkili riskleri azaltmakla kalmaz, aynı zamanda Finom'un kullanıcı verilerini korumak, bankacılık kullanıcı deneyimini geliştirmek ve SMS OTP ile MFA için önemli maliyetlerden tasarruf etmek için en son teknolojiyi kullanma misyonuyla da uyumludur.

Testlerimiz sırasında, iyileştirme için bazı önemli alanlar belirledik:

• Passkey Desteğini Yerel Uygulamalara Genişletme: Mobil bankacılığın yaygınlığını göz önünde bulundurarak, Finom'un yakında yerel iOS ve Android uygulamalarına passkey desteği sunacağını umuyoruz, bu da mobil öncelikli stratejilerine uygun olacaktır. Özellikle bir macOS masaüstü cihazından gelen bir kullanıcı olarak, aynı iCloud Keychain ile bağlı bir iPhone'un iOS uygulamasında oturum açmak, günümüzdeki giriş deneyimine kıyasla önemli ölçüde basitleştirilebilir.
• Sadece Passkey ile Kimlik Doğrulama: Zamanla, Finom'un passkey'leri passkey'e hazır cihazlarda ilk ve tek faktör olarak tanıtmasını da bekliyoruz. Bu, yeni hesapların tek kimlik doğrulama şekli olarak passkey'lerle (yedek olarak bazı geri dönüş seçenekleriyle) oluşturulmasını da içerir.
• Conditional UI Uygulaması: Conditional UI sunumu, diğer oyuncularda passkey'lerin benimsenmesinde büyük başarı gösteren kullanıcı deneyimi için bir başka büyük optimizasyon olacaktır.
• Ödeme Onayı için Passkey Kullanımı: Testlerimiz sırasında, ödeme onayının da passkey'lerle çalışıp çalışmadığını kontrol etmek için bir test ödemesi de yaptık. Ancak Finom, onay için hala yerel uygulama anlık bildirimlerini ve SMS OTP'yi kullanıyor (ikincisi önemli bir maliyet faktörüdür). Bu, düzenleyici amaçlar için olabilir, ancak gelecekte burada da passkey'lerin kullanılabileceğini umuyoruz.

Become part of our Passkeys Community for updates & support.

Join

Finom'un passkey stratejisinde bir soru hala cevapsız kalıyor: Finom'un passkey'lerle PSD2 ve SCA uyumluluğu konusundaki duruşu nedir? Bu konu genel olarak tam olarak ele alınmamıştır, ancak Finom'un bu konudaki bakış açısını öğrenmek ilginç olurdu. Passkey'lerin PSD2 uyumluluğu hakkında daha fazla bilgi ve düşünce için bu blog yazısına bakın.

Finom'un passkey sunumu, bankacılık ve finansal hizmetler sektörü için mükemmel bir örnek teşkil ediyor ve finteklerin modern kullanıcıların ihtiyaçlarına cevap veren gelişmiş güvenlik önlemlerini benimsemede nasıl öncülük edebileceğini gösteriyor. Finom'un passkey sisteminin ayrıntılı bir analizini sunarak, bu blog yazısı diğer yazılım geliştiricilerin, ürün yöneticilerinin ve güvenlik uzmanlarının finans ve bankacılık sektöründe passkey'lerin uygulanması hakkında bilgi edinmelerine yardımcı olmayı amaçlamaktadır.