Passkey Sağlayıcıları: Türleri, AAGUID ve Benimseme

Looking for a developer-focused passkey reference? Download our Passkeys Cheat Sheet (incl. WebAuthn ceremonies, objects & Conditional UI). Trusted by dev teams at Ally, Stanford CS & more.

Get Cheat Sheet

Passkey kullanırken veya passkey entegrasyonu alanında çalışırken, bir bileşen oldukça önemli hale gelir: passkey provider (passkey sağlayıcısı). Passkey ekosisteminin hayati bir parçası olmasına rağmen, birçok kişi passkey sağlayıcıları hakkında yalnızca kaba bir bilgiye sahiptir veya birinci taraf passkey sağlayıcısı, üçüncü taraf passkey sağlayıcısı ve passkey authentication sağlayıcısı arasındaki farkı tam olarak bilmemektedir.

Get a free passkey assessment in 15 minutes.

Book free consultation

Bu blog yazısı, bu konuyu aydınlatmayı amaçlıyor. İster bir yazılım geliştirici, ister bir ürün yöneticisi olun, ya da sadece web güvenliğindeki son gelişmeleri merak ediyor olun; passkey sağlayıcılarının rolünü ve türlerini anlamak çok önemlidir. Bu konuyu netleştirerek, herkesi passkey'leri güvenle anlayabilecek bilgiyle donatmayı hedefliyoruz.

Bir passkey sağlayıcısı, passkey tabanlı kimlik doğrulama ekosisteminde temel bir rol oynar ve kullanıcıların cihazları ile relying parties (çevrimiçi hizmetler) arasındaki güvenli, sorunsuz erişim köprüsünü kurar. Ancak resmi bir tanımı olmadığı ve internette farklı yorumlar bulunduğu için, passkey sağlayıcısı tam olarak nedir?

Aşağıdaki tanım bizim anlayışımızı yansıtmaktadır ve tek doğru tanım olduğu iddia edilmemektedir.

Bir passkey sağlayıcısı, esasen passkey'lerin oluşturulmasını, yönetilmesini ve kullanılmasını sağlayan herhangi bir kuruluştur. Araştırmalarımız sonucunda, passkey sağlayıcılarının sınıflandırılabileceği iki ana kategori belirledik: birinci / üçüncü taraf passkey sağlayıcıları ve passkey authentication sağlayıcıları.

Become part of our Passkeys Community for updates & support.

Join

Bu kategori, istemci tarafında (kullanıcının cihazında) bir passkey oluşturabilen kuruluşları içerir. Bu platformlar üzerinden bir passkey oluşturulduğunda, bu anahtar güvenli bir şekilde yönetilir ve saklanır; genellikle bir işletim sistemi üreticisinin bulutunda (örneğin iCloud Keychain, Google Password Manager) veya üçüncü taraf bir parola yöneticisinde (örneğin KeePassXC, 1Password, Dashlane vb.) tutulur.

Passkey oluşturma ve yönetimini yerel (native) olarak sağlayan işletim sistemleri birinci taraf passkey sağlayıcıları olarak kabul edilir. Buna karşılık, platformla API'ler aracılığıyla entegre olan parola yöneticileri üçüncü taraf passkey sağlayıcıları olarak adlandırılır.

Bir birinci taraf veya üçüncü taraf passkey sağlayıcısı, kullanıcı deneyimini iyileştirmeye yardımcı olan (örneğin hesap ayarlarında passkey'leri daha kolay ayırt etmek için) aynı Authenticator Attestation Globally Unique Identifiers (AAGUIDs) değerlerine sahiptir. Bazen, hepsi aynı birinci veya üçüncü taraf passkey sağlayıcısına ait olan birden fazla AAGUID'ye sahip olabilirler.

Bir iOS 17.4 cihazında passkey sağlayıcıları

Android 14 yüklü bir cihazda passkey sağlayıcıları

Android Credential Manager API

İkinci kategori, geliştiricilerin tüm passkey yönetimi süreçlerini ele almak için uygulamalarına entegre edebilecekleri kimlik doğrulama sağlayıcılarını kapsar. Yani bunlar, (yukarıdakilerin aksine istemci tarafı yerine) daha çok sunucu tarafında çalışan sağlayıcılardır. Bu tanım, web sitelerine ve uygulamalara passkey odaklı kimlik doğrulama çözümleri sunan Corbado gibi çözümleri de içerir. Sonuç olarak, bu passkey sağlayıcılarını yukarıda bahsedilen birinci ve üçüncü taraf passkey sağlayıcılarından ayırmak için passkey authentication sağlayıcıları olarak tanımlamak daha doğru olacaktır.

Bu blog yazısının sonraki bölümlerinde, tanımımıza uygun olarak, "passkey sağlayıcıları" terimini birinci ve üçüncü taraf passkey sağlayıcılarını ifade etmek için kullanacağız.

Kullanıcılar çeşitli relying parties için passkey'leri benimsemeye başladıkça, bunları etkili bir şekilde yönetmek önemli bir zorluk olarak ortaya çıkıyor. Bu durum, tek bir hesap için birden fazla passkey kullanan kullanıcılar için de geçerlidir; çünkü bir relying party için düzenleme veya silme amacıyla bu passkey'leri ayırt etmek karmaşık olabilir. Passkey'lerin sunduğu kolaylık ve güvenliğe rağmen, bir kullanıcı passkey'lerinden birini kaybederse potansiyel bir sorun oluşabilir. Neyse ki, alternatif passkey'leri kullanarak relying party üzerindeki hesaplarına hala erişebilirler. Kullanıcıların belirli passkey'leri tanımlamasına yardımcı olmak için, bazı kaynaklar hesap ayarlarında passkey'e oluşturulma ve son kullanım tarihleri gibi meta veriler eklenmesini önermektedir. Ek olarak, passkey oluşturulduğunda otomatik olarak isimlendirmek ve kategorize etmek için user agent veya client hints kullanılması tavsiye edilir. Ancak, native Android veya iOS uygulamaları ve üçüncü taraf passkey sağlayıcıları user agent kullanmayabilir veya bir passkey'in üçüncü taraf bir sağlayıcı tarafından oluşturulduğunu belirten bilgi eklemeyebilir. Bu kısıtlılık, platform veya sağlayıcıdan bağımsız olarak kullanıcıların passkey'lerini verimli bir şekilde yönetmelerine yardımcı olacak geliştirilmiş yöntemlere olan ihtiyacı vurgulamaktadır.

W3C WebAuthn spesifikasyonundan alınmıştır

Bu passkey yönetimini kolaylaştırmak için geliştiriciler Authenticator Attestation Globally Unique Identifier (AAGUID) kullanabilirler. AAGUID, authenticator'ın belirli bir örneğine değil, modeline atanan benzersiz bir tanımlayıcıdır. Public key credential'ın authenticator verilerine gömülüdür ve relying party'lerin passkey sağlayıcısını tanımlaması için bir yol sunar. Bu yetenek, kullanıcıların ve relying party'lerin passkey dünyasında gezinmesine yardımcı olmak ve her passkey'in oluşturulma kaynağıyla doğru bir şekilde ilişkilendirilmesini sağlamak için çok önemlidir.

Örneğin, bir Android cihazda Google Password Manager kullanılarak bir passkey oluşturulursa, relying party Google Password Manager'a özgü bir AAGUID alabilir. Bu AAGUID referans alınarak, relying party passkey'i buna göre işaretleyebilir, böylece kullanıcı için yönetim ve tanımlama basitleşir. Ayrıca, relying party'ler WebAuthn sunucu seçeneği excludeCredentials kullanarak aynı passkey sağlayıcısı için birden fazla passkey oluşturulmasını önleyebilir. Bu, her passkey sağlayıcısında yalnızca bir passkey olmasını sağlayarak kullanıcı kafa karışıklığını önler ve passkey kullanıcı deneyimini (UX) daha da iyileştirir.

{
    "attestation": "none",
    "authenticatorSelection": {
        "residentKey": "preferred",
        "userVerification": "preferred"
    },
    "challenge": "6V61d0VM5bNTPxWSsrv7YKz0o4awe0ryoDh1V44RPRn6-mBQwv98BTRws6nMrBhEggGn7-tk1bl3YNSwc0oZpA",
    "excludeCredentials": [
        {
            "id": "1kBn2dmhv5JhuFxqeco1khCBCUBLlWYqZmFtdDujH5pM",
            "transports": ["internal"],
            "type": "public-key"
        }
    ],
    "extensions": {
        "credProps": true
    },
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "Passkey Demo",
        "name": "passkeys.eu"
    },
    "user": {
        "displayName": "Test Name",
        "id": "ZG1sdVkyVnxe3SFJsYzNR",
        "name": "Test Name"
    }
}

Bir AAGUID kullanarak passkey sağlayıcısını belirlemek için, relying party'ler topluluk kaynaklı AAGUID deposuna başvurabilir. Bu depo, passkey sağlayıcısını ismen ve potansiyel olarak simgeyle tanımlamak için gerekli eşleştirmeleri sağlar, böylece passkey yönetimi için daha sezgisel bir kullanıcı arayüzü sunulmasına yardımcı olur. Ancak, bazı passkey sağlayıcılarının bilinmeyen veya genel bir sağlayıcıyı temsil eden genel bir AAGUID ("00000000-0000-0000-0000-0000000000000") kullanabileceğini unutmamak önemlidir.

AAGUID'yi almak çoğu WebAuthn kütüphanesi ile basittir. Örneğin, sunucu tarafında SimpleWebAuthn kullanırken, geliştiriciler AAGUID'yi kayıt bilgilerinden çıkararak bilinen bir sağlayıcıyla eşleştirebilir ve kullanıcının passkey'lerini daha kolay yönetmesini sağlayabilir (Google'ın "Determine the passkey provider with AAGUID" makalesinden alınmıştır).

// Import a list of AAGUIDs from a JSON file
import aaguids from "./aaguids.json" with { type: "json" };
// ...
// Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
    response: credential,
    expectedChallenge,
    expectedOrigin,
    expectedRPID,
    requireUserVerification: false,
});
// ...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || "Unknown";

AAGUID'ler passkey yönetimi için güçlü bir araç sunsa da, dikkatli kullanılmalıdır. Bir AAGUID'nin bütünlüğü, passkey sağlayıcısının orijinalliğini doğrulayan attestation sürecine bağlıdır. Geçerli bir attestation imzası olmadan, AAGUID'ler potansiyel olarak manipüle edilebilir. Mart 2024 itibarıyla, bazı platformlardaki passkey'lerin attestation desteklemediğini belirtmekte fayda var; bu da kullanımlarında dikkatli olunması gerektiğini gösteriyor.

Aşağıda, yaygın passkey işletim sistemi sürümleri ve tarayıcılarını kullanan Android uygulamaları, iOS uygulamaları ve web uygulamaları için birinci ve üçüncü taraf passkey sağlayıcılarının kapsamlı olmayan bir listesini bulabilirsiniz:

Aşağıda, bir passkey oluşturmak / kaydetmek için kullanılan bazı üçüncü taraf passkey sağlayıcılarının açılır pencerelerini (popup) bulabilirsiniz:

Tam 1Password analizini burada görebilirsiniz.

Tam Dashlane analizini burada görebilirsiniz.

Tam KeePassXC analizini burada görebilirsiniz.

Passkey'lerin dağıtımı ve yönetiminin merkezinde passkey sağlayıcıları yer alır; bu kuruluşlar yalnızca passkey'lerin oluşturulmasını ve yönetilmesini kolaylaştırmakla kalmaz, aynı zamanda çeşitli platformlar ve cihazlar arasında sorunsuz entegrasyonlarını da sağlar.

Bir passkey sağlayıcısının ne olduğunu, birinci taraf ve üçüncü taraf sağlayıcılar arasındaki farkı ve Authenticator Attestation Globally Unique Identifier (AAGUID) kavramının kritik rolünü anlamak bu blog yazısının amacıydı. Tartışıldığı üzere AAGUID kullanımı, passkey'lerin daha basit bir şekilde tanımlanmasını ve yönetilmesini sağlayan umut verici bir çözüm sunmaktadır.

Ayrıca, Android, iOS ve Windows için şu anda mevcut olan birinci ve üçüncü taraf passkey sağlayıcılarını analiz ettik; bu da kullanıcıların uygun bir üçüncü taraf passkey sağlayıcısını veya tercih ettikleri cihazı bulmalarına yardımcı olacaktır.

Geliştiriciler ve ürün yöneticileri için, passkey sağlayıcıları ve bunların yönetimi konusundaki içgörüler, yalnızca passkey kimlik doğrulamasının teknik uygulamasını yönlendirmekle kalmaz, aynı zamanda kullanıcı deneyimini ve güvenliğini artırma şeklindeki daha geniş hedefle de uyumludur.