Passkey'ler Gizli Modda Çalışır mı?

Passkey'lerin ve WebAuthn'in Chrome, Safari, Edge ve Firefox'un gizli veya özel tarama modlarında çalışıp çalışmadığını ve nasıl davrandığını öğrenin.

Our mission is to make the Internet a safer place and passkeys provide a superior solution to achieve that. That's why we want to keep you updated with the latest industry insights here.

1. Giriş#

Giderek daha fazla şirket, web sitelerine ve uygulamalarına Passkey'leri entegre ediyor. Bu süreçte birçok yazılım geliştirici ve ürün yöneticisi, genel kullanıcı deneyimi üzerinde büyük bir etkisi olduğu için Passkey'lerin gizli veya özel tarama modlarında çalışıp çalışmadığını merak ediyor.

Bu blog yazısıyla aşağıdaki soruları yanıtlamaya çalışıyoruz:

Passkey'ler gizli / özel tarama modunda çalışır mı?
Chrome, Safari, Edge ve Firefox'un gizli / özel modunda Passkey ile kimlik doğrulama nasıl davranır?

Bu bilgi, farklı tarayıcılar ve işletim sistemlerinde sorunsuz bir kullanıcı deneyimi sağlayarak uygulamanızı güvenlik ve kullanım kolaylığı alanında ön saflara taşır.

2. Passkey'ler ve Gizli Mod: Genel Bakış#

Passkey'ler, temel olarak geleneksel parolalara ihtiyaç duymadan kullanıcıların kimliğini doğrulamak için kullanılan kriptografik anahtarlardır. Parola hırsızlığı ve oltalama saldırılarıyla ilişkili riskleri ortadan kaldırarak gelişmiş güvenlik sunarlar.

Genellikle Passkey'ler cihazda güvenli bir şekilde saklanır ve cihazın Passkey'e hazır olması koşuluyla, Windows 10 hariç (aşağıda göreceğimiz gibi) çoğu işletim sisteminde işlevsellikleri gizli veya özel modlarda bile tutarlı kalır.

Subscribe to our Passkeys Substack for the latest news.

Gizli veya özel modlar, genellikle internette iz bırakmadan gezinmek için kullanılır. Bu özellik, gizliliğe öncelik veren kullanıcılar için değerlidir ve Passkey'ler gibi kimlik doğrulama yöntemlerinin bu modlarda sorunsuz çalışması çok önemlidir.

Ancak WebAuthn geliştirme tarihinde, davranışların işletim sistemleri ve tarayıcılar arasında oldukça kafa karıştırıcı ve tutarsız olması nedeniyle sürekli tartışmalar ve iyileştirmeler yapılmıştır (referans olarak buradaki, buradaki ve buradaki eski tartışmalara ve hata raporlarına bakabilirsiniz).

3. Farklı Tarayıcılarda ve İşletim Sistemlerinde Passkey'lerin Davranışı#

Passkey'lerin çeşitli tarayıcılardaki ve işletim sistemlerindeki davranışını anlamak, uyumluluğu ve sorunsuz bir kullanıcı deneyimini sağlamaya yardımcı olur.

Passkey'ler gizli / özel tarama modunda çalışır mı?

	Windows 10	Windows 11	Android 14	iOS 17.5	macOS 14
Chrome	❌	✅ (ek bir ekranla)	✅	✅	✅
Edge	❌	✅ (ek bir ekranla)	✅	✅	✅
Safari	Geçerli değil	Geçerli değil	Geçerli değil	✅	✅
Firefox	✅	✅	✅	✅	✅

3.1 Windows 10 ve Chrome Gizli / Edge InPrivate Modunda Passkey'ler (Sürüm 129'a kadar)#

Windows 10'da (22H2), bir platform kimlik doğrulayıcı (Windows Hello) kullanmaya çalışırken Passkey'lerin güvenilir bir şekilde çalışmadığı tek istisnayı keşfettik ve aşağıdaki iki ekran görüntüsünü aldık:

Windows 10'da Chrome gizli modunda Passkey hata mesajı

Windows 10'da Edge InPrivate modunda Passkey hata mesajı

Normal tarama moduna geçtiğimizde her şey beklendiği gibi çalıştı, bu nedenle açılır penceredeki hata mesajı yanıltıcı.

Ayrıca, bir çapraz platform kimlik doğrulayıcı (ör. YubiKey gibi donanım güvenlik anahtarı veya QR kodu / Bluetooth ile Cihazlar Arası Kimlik Doğrulama) kullanmayı denediğimizde bu yöntem çalıştı.

Sorunu daha derinlemesine araştırdığımızda ve platform kimlik doğrulayıcının (PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable()) ve Koşullu Arayüz'ün (PublicKeyCredential.isConditionalMediationAvailable()) kullanılabilir olup olmadığını belirlemek için tarayıcı konsolunda aşağıdaki iki komutu çalıştırdığımızda ilginç bir keşif yaptık: ilk promise false dönerken, ikincisi true döndü. Koşullu Arayüz'ün çalışması için platform kimlik doğrulayıcıları gerektiğinden bu durum pek mantıklı değildi.

Become part of our Passkeys Community for updates & support.

Join

3.2 Windows 10 ve Chrome Gizli / Edge InPrivate Modunda Passkey'ler (129+ Sürümleri)#

Chrome 129'dan (ve benzer şekilde Chromium tabanlı olan Edge'den) itibaren, PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable() komutu Windows 10'da Gizli / InPrivate modda bile true değerini döndürüyor. Daha önce bu, gizli modda false idi. true dönmesine rağmen, platform kimlik doğrulayıcı yeni Passkey'ler oluşturmak için kullanılamıyor ve bu da hatalı bir kullanıcı akışına neden oluyor.

Aşağıda, PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable() komutunun Windows 10'da farklı Chrome/Edge sürümlerinde ve modlarında döndürdüğü değerleri gösteren bir tablo bulunmaktadır:

Tarayıcı/Sürüm	Normal Mod (W10)	Gizli/Özel Mod (W10)	Arayüzdeki Davranış
Chrome ≤ 128 (değişiklik öncesi)	true	false	Gizli Modda platform kimlik doğrulayıcı yok
Chrome ≥ 129	true	true	Platform kimlik doğrulayıcı yerine güvenlik anahtarı istiyor
Edge ≤ 128 (değişiklik öncesi)	true	false	InPrivate modunda platform kimlik doğrulayıcı yok
Edge ≥ 129	true	true	Platform kimlik doğrulayıcı yerine güvenlik anahtarı istiyor

Gözlemlenen Davranış:

Windows 10'da Chrome/Edge Gizli modunda, promise true dönmesine rağmen, Passkey oluşturma işlemi için platform kimlik doğrulayıcı görünmüyor.
Bunun yerine kullanıcılardan bir güvenlik anahtarı (ör. YubiKey) eklemeleri isteniyor.
Donanım güvenlik anahtarları Passkey oluşturma için hala çalışsa da, Windows Hello gibi platform kimlik doğrulayıcıları kullanılırken beklenen akış bu değil.

Değişikliğin Etkisi: Bu durum, Gizli/InPrivate modunda platform kimlik doğrulayıcıya Passkey ekleme akışını etkili bir şekilde bozuyor. Chrome 129+ sürümündeki düzenleme, öncelikli olarak Gizli modda Passkey'ler ile oturum açma işlevini etkinleştirmek için yapıldı. Oturum açma akışları, Passkey desteğini kontrol etmek için aynı tespit mekanizmasını (PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable()) kullanır ve bu değişiklik, oturum açma işlemlerinin sorunsuz bir şekilde ilerlemesini sağlar. Ancak bunun istenmeyen sonucu, özel tarama modlarında platform kimlik doğrulayıcı ile Passkey oluşturma deneyiminin bozulmasıdır.

Bu değişiklikle ilgili daha fazla ayrıntı Chromium Kaynak Kodu İncelemesi ve ilgili sorun izleyici tartışmasında bulunabilir. Passkey'ler için en iyi desteği sağlamayı amaçlayan web siteleri için, bu sorunu azaltmanın şu anki tek yolu gizli modu tespit etmektir. Web siteleri, bir kullanıcının Windows 10'da Chrome/Edge ile Gizli/InPrivate modda olduğunu belirleyerek, Passkey oluşturma için platform kimlik doğrulayıcı seçenekleri sunmaktan önleyici olarak kaçınabilir.

3.3 Windows 11 ve Chrome Gizli / Edge InPrivate Modunda Passkey'ler#

Windows Hello platform kimlik doğrulayıcı olarak kullanıldığında, gizli modda (Chrome'da) / InPrivate modda (Edge'de) Passkey oluşturma sırasında bir güvenlik açılır penceresi belirir. Bu pencere, kullanıcıları Passkey'in saklanacağı ve daha sonra gizli olmayan modda kullanılabileceği konusunda uyarır (bu davranış Windows 11 22H2'de test edilmiştir). Gizli modun kullanım senaryolarından birinin, kullanıcının herhangi bir bilgi izi bırakmadan bir hesap oluşturmak istemesi olduğu düşünüldüğünde, bu uyarı mantıklıdır.

3.4 Android ve Chrome Gizli / Edge InPrivate Modunda Passkey'ler#

Android üzerinde gizli mod (Chrome'da) / InPrivate mod (Edge'de) kullanıldığında, davranış Windows 11 ile benzerdir. Kullanıcıya Passkey'in parola yöneticisine kaydedileceğini ve parola yöneticisine erişimi olan herkesin Passkey'e de erişebileceğini bildiren bir bilgilendirme penceresi gösterilir.

4. Sonuç#

Özetle, Passkey'ler, Windows 10'da Passkey oluşturmaya yönelik bazı özel istisnalar dışında, başlıca tarayıcılarda ve işletim sistemlerinde gizli ve özel modlarda güvenilir bir şekilde çalışır. Corbado'nun çözümlerinden yararlanarak, geliştiriciler Passkey'leri verimli bir şekilde uygulayabilir ve ürün yöneticileri güvenlikten ödün vermeden kullanıcı deneyimlerini iyileştirebilir.