Passkey Sağlayıcıları: Farklı Türleri, AAGUID ve Benimsenmesi

Passkeys Cheat Sheet. Passkey programları için pratik rehberler, geçiş kalıpları ve KPI'lar.

Cheat sheet al

Geçiş anahtarlarını (passkey) kullanırken veya geçiş anahtarı uygulaması alanında çalışırken, bir bileşen oldukça önemli hale gelir: passkey sağlayıcısı. Ancak, passkey ekosisteminde çok önemli bir parça olmasına rağmen, birçok kişi passkey sağlayıcıları hakkında yalnızca kaba bir anlayışa sahiptir veya birinci taraf passkey sağlayıcısı, üçüncü taraf passkey sağlayıcısı ve passkey kimlik doğrulama sağlayıcısı arasındaki farkı bilmemektedir.

15 dakikada ücretsiz passkey assessment alın.

Ücretsiz danışmanlık ayırt

Bu blog yazısı, konuya ışık tutmayı amaçlamaktadır. İster bir yazılım geliştiricisi, ister bir ürün yöneticisi olun, ya da web güvenliğindeki en son yenilikleri merak edin, passkey sağlayıcılarının rolünü ve türlerini anlamak çok önemlidir. Bu konuyu açıklığa kavuşturarak, insanları geçiş anahtarlarını güvenle anlamaları için gerekli bilgiyle güçlendirmeyi hedefliyoruz.

Bir passkey sağlayıcısı, geçiş anahtarı tabanlı kimlik doğrulama ekosisteminde temel bir rol oynayarak, kullanıcıların cihazları ile bağlı taraflara (çevrimiçi hizmetler) güvenli ve sorunsuz erişim arasında köprü görevi görür. Peki ama resmi bir tanımı olmadığı ve internette farklı yorumlar bulabileceğiniz için bir passkey sağlayıcısı tam olarak nedir?

Aşağıdaki tanım bizim anlayışımızı yansıtmaktadır ve tek doğru tanım olduğu iddia edilmemektedir.

Bir passkey sağlayıcısı, temelde geçiş anahtarlarının oluşturulmasını, yönetilmesini ve kullanılmasını sağlayan herhangi bir kuruluştur. Araştırmamız aracılığıyla, passkey sağlayıcılarının sınıflandırılabileceği iki ana kategori belirledik: birinci / üçüncü taraf passkey sağlayıcıları ve passkey kimlik doğrulama sağlayıcıları.

Bu kategori, istemci tarafında (kullanıcıların cihazında) bir geçiş anahtarı oluşturabilen kuruluşları içerir. Bu platformlar aracılığıyla bir geçiş anahtarı oluşturulduğunda, yönetilir ve güvenli bir şekilde depolanır; bu genellikle bir işletim sistemi üreticisinin bulutunda (örneğin, iCloud Keychain, Google Password Manager) veya üçüncü taraf bir şifre yöneticisinde (örneğin KeePassXC, 1Password, Dashlane – aşağıda daha fazlasını görebilirsiniz) gerçekleşir.

Geçiş anahtarı oluşturmayı ve yönetimini yerel (native) olarak sağlayan işletim sistemleri birinci taraf passkey sağlayıcıları olarak kabul edilir. Buna karşılık, platformla API'ler aracılığıyla entegre olan üçüncü taraf şifre yöneticileri üçüncü taraf passkey sağlayıcıları olarak adlandırılır.

Birinci taraf veya üçüncü taraf bir passkey sağlayıcısı aynı Authenticator Attestation Globally Unique Identifier (AAGUID) değerlerine sahiptir, bu da kullanıcı deneyimini iyileştirmeye yardımcı olur (örneğin, hesap ayarlarında geçiş anahtarlarını daha kolay ayırt etmek için). Bazen, tümü aynı birinci veya üçüncü taraf passkey sağlayıcısına ait olan birden fazla AAGUID'ye sahip olabilirler.

Bir iOS 17.4 cihazındaki passkey sağlayıcıları

Bir Android 14 cihazındaki passkey sağlayıcıları

Android'in Credential Manager API'si

İkinci kategori, geliştiricilerin geçiş anahtarı yönetiminin tüm yönlerini ele almak için uygulamalarına entegre edebilecekleri kimlik doğrulama sağlayıcılarını kapsar. Dolayısıyla bunlar daha çok sunucu tarafında (yukarıdaki istemci tarafının aksine) çalışan sağlayıcılardır. Bu tanım, web sitelerine ve uygulamalara geçiş anahtarları etrafında şekillenen kimlik doğrulama çözümleri sunan Corbado gibi çözümleri de içerir. Sonuç olarak, bu passkey sağlayıcıları, onları yukarıda bahsedilen birinci ve üçüncü taraf passkey sağlayıcılarından ayırarak daha doğru bir şekilde passkey kimlik doğrulama sağlayıcıları olarak tanımlanmalıdır.

Bu blog yazısının sonraki bölümlerinde, tanımımıza uygun olarak birinci ve üçüncü taraf passkey sağlayıcılarına atıfta bulunmak için "passkey sağlayıcıları" terimini kullanacağız.

Kullanıcılar çeşitli bağlı taraflar için geçiş anahtarlarını benimsemeye başladıkça, bunları etkili bir şekilde yönetmek önemli bir zorluk olarak ortaya çıkmaktadır. Bu, tek bir hesap için birden fazla geçiş anahtarı kullanan kullanıcılar için de geçerlidir, çünkü bu geçiş anahtarlarını düzenleme veya silme amacıyla ayırt etmek, bağlı bir taraf için karmaşık olabilir. Geçiş anahtarlarının sunduğu kolaylık ve güvenliğe rağmen, bir kullanıcı geçiş anahtarlarından birini kaybederse olası bir sorun vardır. Neyse ki, alternatif geçiş anahtarlarını kullanarak bağlı taraftaki hesaplarına erişmeye devam edebilirler. Kullanıcıların belirli geçiş anahtarlarını tanımlamasına yardımcı olmak için bazı kaynaklar, hesap ayarlarındaki bir geçiş anahtarına oluşturulma ve son kullanım tarihleri gibi meta verileri önermektedir. Ayrıca, oluşturma sırasında geçiş anahtarlarını otomatik olarak adlandırmak ve kategorilere ayırmak için kullanıcı aracıları (user agents) veya istemci ipuçlarının (client hints) kullanılması önerilir. Ancak, yerel Android veya iOS uygulamaları ile üçüncü taraf passkey sağlayıcıları kullanıcı aracılarını kullanmayabilir veya bir geçiş anahtarının üçüncü taraf bir passkey sağlayıcısı tarafından oluşturulduğunu belirten bilgiler eklemeyebilir. Bu sınırlama, platformdan veya sağlayıcıdan bağımsız olarak kullanıcıların geçiş anahtarlarını verimli bir şekilde yönetmelerine yardımcı olmak için geliştirilmiş yöntemlere duyulan ihtiyacı vurgulamaktadır.

W3C'nin WebAuthn spesifikasyonundan alınmıştır

Bu geçiş anahtarı yönetimini kolaylaştırmak için geliştiriciler, Authenticator Attestation Globally Unique Identifier'dan (AAGUID) yararlanabilir. AAGUID, kimlik doğrulayıcının belirli bir örneğine değil, modeline atanan benzersiz bir tanımlayıcıdır. Genel anahtar kimlik bilgisinin kimlik doğrulayıcı verilerine gömülüdür ve bağlı tarafların passkey sağlayıcısını tanımlaması için bir yol sunar. Bu yetenek, kullanıcıların ve bağlı tarafların geçiş anahtarı ortamında gezinmesine yardımcı olmakta çok önemlidir ve her geçiş anahtarının kendi oluşturma kaynağıyla doğru bir şekilde ilişkilendirilebilmesini sağlar.

Örneğin, bir geçiş anahtarı bir Android cihazda Google Password Manager kullanılarak oluşturulmuşsa, bağlı taraf Google Password Manager'a özel bir AAGUID alabilir. Bu AAGUID'ye başvurarak, bağlı taraf geçiş anahtarını buna göre işaretleyebilir ve kullanıcı için yönetimi ve tanımlamayı basitleştirebilir. Dahası, bağlı taraflar WebAuthn sunucu seçeneği excludeCredentials özelliğini kullanarak aynı passkey sağlayıcısı için birden fazla geçiş anahtarı oluşturulmasını önleyebilir. Her passkey sağlayıcısının yalnızca bir geçiş anahtarına sahip olması, kullanıcı kafa karışıklığını önleyeceği için bu durum geçiş anahtarlarının kullanıcı deneyimini daha da iyileştirir.

{
    "attestation": "none",
    "authenticatorSelection": {
        "residentKey": "preferred",
        "userVerification": "preferred"
    },
    "challenge": "6V61d0VM5bNTPxWSsrv7YKz0o4awe0ryoDh1V44RPRn6-mBQwv98BTRws6nMrBhEggGn7-tk1bl3YNSwc0oZpA",
    "excludeCredentials": [
        {
            "id": "1kBn2dmhv5JhuFxqeco1khCBCUBLlWYqZmFtdDujH5pM",
            "transports": ["internal"],
            "type": "public-key"
        }
    ],
    "extensions": {
        "credProps": true
    },
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "Passkey Demo",
        "name": "passkeys.eu"
    },
    "user": {
        "displayName": "Test Name",
        "id": "ZG1sdVkyVnxe3SFJsYzNR",
        "name": "Test Name"
    }
}

AAGUID kullanarak passkey sağlayıcısını belirlemek için bağlı taraflar topluluk kaynaklı bir AAGUID deposuna başvurabilir. Bu depo, passkey sağlayıcısını adına ve potansiyel olarak simgesine göre tanımlamak için gerekli eşlemeleri sağlayarak, geçiş anahtarı yönetimi için daha sezgisel bir kullanıcı arayüzü sunmaya yardımcı olur. Ancak, bazı passkey sağlayıcılarının bilinmeyen veya genel bir sağlayıcıyı temsil eden kasıtlı olarak genel bir AAGUID ("00000000-0000-0000-0000-0000000000000") kullanabileceğini unutmamak önemlidir.

Çoğu WebAuthn kütüphanesi ile AAGUID'yi almak basittir. Örneğin, sunucu tarafında SimpleWebAuthn kullanırken, geliştiriciler AAGUID'yi bilinen bir sağlayıcıyla eşleştirmek için kayıt bilgilerinden ayıklayabilir, böylece kullanıcının geçiş anahtarlarını daha kolay yönetme yeteneğini geliştirebilir (Google'ın "Determine the passkey provider with AAGUID" belgesinden alınmıştır).

// Import a list of AAGUIDs from a JSON file
import aaguids from "./aaguids.json" with { type: "json" };
// ...
// Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
    response: credential,
    expectedChallenge,
    expectedOrigin,
    expectedRPID,
    requireUserVerification: false,
});
// ...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || "Unknown";

AAGUID'ler geçiş anahtarı yönetimi için güçlü bir araç sunsa da dikkatli kullanılmalıdır. Bir AAGUID'nin bütünlüğü, passkey sağlayıcısının gerçekliğini doğrulayan onaylama (attestation) sürecine bağlıdır. Geçerli bir onaylama imzası olmadan AAGUID'ler potansiyel olarak manipüle edilebilir. Mart 2024 itibarıyla, bazı platformlardaki geçiş anahtarlarının onaylamayı desteklemediğini belirtmekte fayda var; bu da kullanımlarında dikkatli bir değerlendirme ihtiyacını vurguluyor.

Aşağıda, çok yaygın passkey işletim sistemi sürümlerini ve tarayıcılarını kullanan Android uygulamaları, iOS uygulamaları ve web uygulamaları için birinci ve üçüncü taraf passkey sağlayıcılarının kapsamlı olmayan bir listesini bulabilirsiniz:

Aşağıda, bir geçiş anahtarı oluşturmak / kaydetmek için bazı üçüncü taraf passkey sağlayıcılarının açılır pencerelerini bulabilirsiniz:

Tam 1Password analizini burada görün.

Tam Dashlane analizini burada görün.

Tam KeePassXC analizini burada görün.

Geçiş anahtarlarının dağıtımı ve yönetiminin merkezinde, yalnızca geçiş anahtarlarının oluşturulmasını ve yönetimini kolaylaştırmakla kalmayan, aynı zamanda bunların çeşitli platformlarda ve cihazlarda sorunsuz entegrasyonunu sağlayan kuruluşlar olan passkey sağlayıcılarının rolü yer almaktadır.

Birinci taraf ve üçüncü taraf sağlayıcılar arasındaki ayrım ile Authenticator Attestation Globally Unique Identifier'ın (AAGUID) kritik rolü de dahil olmak üzere bir passkey sağlayıcısının ne olduğunu anlamak, bu blog yazısının amacıydı. AAGUID'lerin kullanımı, tartışıldığı gibi, geçiş anahtarlarının daha basit bir şekilde tanımlanmasını ve yönetilmesini sağlayan umut verici bir çözüm sunmaktadır.

Ayrıca, kullanıcıların uygun bir üçüncü taraf passkey sağlayıcısı veya seçtikleri cihazı bulmalarına da yardımcı olan, Android, iOS ve Windows için şu anda hangi birinci ve üçüncü taraf passkey sağlayıcılarının mevcut olduğunu analiz ettik.

Geliştiriciler ve ürün yöneticileri için passkey sağlayıcıları ve yönetimleri hakkındaki içgörüler, yalnızca passkey kimlik doğrulamasının teknik uygulamasına rehberlik etmekle kalmaz, aynı zamanda kullanıcı deneyimini ve güvenliğini artırma yönündeki daha geniş hedefle de uyumludur.

Corbado Hakkında

Corbado, büyük ölçekte tüketici kimlik doğrulaması yöneten CIAM ekipleri için Passkey Intelligence Platform'tur. IDP loglarının ve genel analytics araçlarının göremediğini görmenizi sağlarız: hangi cihazların, OS sürümlerinin, tarayıcıların ve credential manager'ların passkey desteklediğini; kayıtların neden girişe dönüşmediğini; WebAuthn akışının nerede başarısız olduğunu; bir OS ya da tarayıcı güncellemesinin girişi sessizce ne zaman bozduğunu — hem de Okta, Auth0, Ping, Cognito veya kendi IDP'nizi değiştirmeden. İki ürün: Corbado Observe, passkey'ler ve diğer tüm giriş yöntemleri için observability sağlar. Corbado Connect, analytics entegre managed passkey'ler sunar (IDP'nizin yanında). VicRoads, Corbado ile 5M+ kullanıcı için passkey çalıştırıyor (%80+ passkey aktivasyonu). Bir Passkey uzmanıyla görüşün →