PSD2 ve Passkeys: PSD2 Uyumlu ve Phishing'e Dayanıklı MFA
Passkey'ler, PSD2 ve SCA gereklilikleriyle uyumlu, phishing'e dayanıklı en iyi MFA yöntemi mi? Bu blog yazısı tüm soruları yanıtlıyor.
Bu sayfa otomatik olarak çevrildi. Orijinal İngilizce sürümü buradan okuyun.
1. Giriş#
Dijital bankacılıkta güvenlik ve kullanıcı deneyimi artık birbiriyle çelişmek zorunda değil. Passkey'ler, bu iki faktörü birleştirerek PSD2 ve SCA gereklilikleriyle uyumlu, phishing'e dayanıklı bir MFA sunuyor. Passkey'ler, finansal hizmetler genelinde uygulanabilecek en güvenli ve en kullanıcı dostu kimlik doğrulama yöntemidir. Bu ileriye dönük adım, bankacılık sektörünün Avrupa bankacılık sektörünün güvenliğini ve rekabet gücünü artırmak için tasarlanmış bir düzenleyici çerçeve olan Revize Edilmiş Ödeme Hizmetleri Direktifi (PSD2)'ni uygulama mücadelesi verdiği kritik bir zamanda geliyor.
Passkey'ler bu bağlamda sadece bir uyumluluk çözümü olarak değil, aynı zamanda PSD2'nin katı gerekliliklerini kullanıcı deneyiminden (UX) ödün vermeden karşılama vaadiyle büyük bir inovasyon olarak ortaya çıkıyor. Bu blog yazısında, PSD2'nin ve Güçlü Müşteri Kimlik Doğrulaması (SCA) zorunluluğunun inceliklerini analiz ediyoruz: Passkey'lerin bankacılıkta phishing'e dayanıklı MFA'nın geleceğini temsil ettiği açıkça görülüyor.
Son makaleler
2. PSD2 Nedir?#
PSD2, Avrupa Birliği tarafından Avrupa'daki ödeme hizmetleri ve bankacılık ortamında devrim yaratmak amacıyla sunulan bir yasal düzenlemedir. Temel hedefleri, dijital ödemeler alanında rekabeti artırmak, tüketiciyi korumak ve inovasyonu teşvik etmektir. Müşterinin onayıyla onaylı üçüncü taraflara müşteri finansal bilgilerine açık erişim zorunluluğu getirerek, PSD2 daha entegre, verimli ve kullanıcı dostu bir finansal ekosistemin yolunu açar. Ancak, büyük güç büyük sorumluluk getirir ve PSD2 bu konuyu özellikle kimlik doğrulama protokolleri aracılığıyla güvenliğe odaklanarak ele alır.
Bankacılık Passkeys Raporu. Passkey programları için pratik rehberler, geçiş kalıpları ve KPI'lar.
PSD2, rekabeti, güvenliği ve inovasyonu artırarak AB ödemelerini dönüştürmeyi amaçlayan bir düzenlemedir.
3. SCA Nedir?#
PSD2'nin güvenlik önlemlerinin merkezinde, dolandırıcılığı büyük ölçüde azaltmak ve elektronik ödemelerin güvenliğini artırmak için tasarlanmış bir protokol olan Güçlü Müşteri Kimlik Doğrulaması (SCA) gerekliliği yer alır. SCA, elektronik ödemelerin sadece sorunsuz değil, aynı zamanda çeşitli tehditlere dayanacak kadar güvenli olması gerektiği ilkesi üzerine kuruludur. Bu kimlik doğrulama çerçevesi, PSD2 kapsamında faaliyet gösteren ödeme hizmeti sağlayıcıları, bankalar ve elektronik ödeme ağ geçitleri için zorunludur.
SCA, Avrupa bankacılık sektöründeki kimlik doğrulama standardıdır.
3.1 SCA'nın Gereklilikleri#
PSD2 kapsamındaki SCA uygulaması, birkaç kritik gereklilikle tanımlanır:
Çok Faktörlü Kimlik Doğrulama (MFA)#
Kimlik doğrulama, aşağıdaki kategorilerden en az iki unsuru içermelidir:
- Bilgi: Parola veya PIN gibi sadece kullanıcının bildiği bir şey.
- Sahiplik: Mobil cihaz, akıllı kart veya donanım token'ı gibi sadece kullanıcının sahip olduğu bir şey.
- Biyometrik özellik: Parmak izi, yüz tanıma veya ses desenleri gibi kullanıcıya özgü biyometrik tanımlayıcılar.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case studyDinamik Bağlama#
Her işlem için, işlemin tutar ve alıcının hesap numarası gibi özel ayrıntılarını dinamik olarak bağlayan benzersiz bir kimlik doğrulama kodu oluşturulmalıdır.
Periyodik Yeniden Kimlik Doğrulama#
Kullanıcıların online bankacılık hizmetlerine erişimi sürdürmek için genellikle her 90 günde bir yeniden kimlik doğrulaması yapmaları gerekir. Ancak bu gereklilik, güvenlik ve kolaylık arasındaki dengeyi optimize etmek için revize edilmiştir.
İşleme Özgü Kimlik Doğrulama#
SCA, tüm elektronik işlemlere uygulanmalı ve kimlik doğrulamanın tutara ve alıcıya özgü olmasını sağlayarak her işlem için benzersiz bir imza oluşturmalıdır.
Risk Bazlı Analiz#
Ödeme hizmeti sağlayıcıları, SCA'yı uygulamak için risk bazlı bir yaklaşım kullanmalıdır. Bu yaklaşımda, daha düşük riskli işlemler, güvenliği tehlikeye atmadan ödeme sürecini kolaylaştırmak için SCA'dan muaf tutulabilir (burada passkey'lerle olan bağlantıyı şimdiden fark ettiniz mi?).
Denetlenebilirlik#
Tüm kimlik doğrulama süreci izlenebilir ve denetlenebilir olmalı, SCA gerekliliklerine uyumu kanıtlamak için kayıtlar tutulmalıdır.
SCA'yı getirerek, PSD2 bankacılık sektöründeki işlem güvenliği standardını önemli ölçüde yükseltmiştir. Aşağıda, Çok Faktörlü Kimlik Doğrulama (MFA) ile ilgili farklı faktörlere odaklanacağız. Bu faktörlerin İşleme Özgü Kimlik Doğrulama gerekliliği üzerinde de etkisi vardır (daha fazlasını aşağıda okuyun).
3.2 Bankacılıkta Kimlik Doğrulamanın Evrimi#
Devamında, bankacılık sektöründeki kimlik doğrulamanın farklı evrim aşamalarını sunacağız.
3.2.1 PIN'ler ve TAN'lar (1990'lardan beri)#
Bankacılık sektöründeki kimlik doğrulama yolculuğu, Kişisel Kimlik Numaraları (PIN'ler) ve İşlem Onay Numaraları (TAN'lar) kullanımıyla başladı. Müşteriler, her biri işlem doğrulaması için bir kez kullanılacak bir TAN listesi alırdı. Bu yöntem, o zamanlar devrim niteliğinde olsa da, TAN listelerinin çalınması veya kötüye kullanılması gibi dezavantajları vardı.
3.2.2 Elektronik ve Mobil TAN'lar (2000'lerden beri)#
Teknoloji ilerledikçe, bankalar TAN'ların oluşturulup müşterinin mobil cihazına SMS yoluyla gönderildiği elektronik TAN'lar (eTAN'lar) ve mobil TAN'lar (mTAN'lar)'ı tanıttı. Bu yöntem, TAN'ı cihaza bağlayarak güvenliği artırdı, ancak aynı zamanda SMS'in ele geçirilmesi riski ve bu mesajları bekleyip yönetme zahmeti gibi yeni zayıflıklar da getirdi. Passkey'lerin tanıtımına kadar, SMS OTP'ler hala kullanıcı deneyimi açısından bankacılık için mevcut en rahat 2FA seçeneği olarak kabul ediliyordu.
3.2.3 Akıllı Kartlar ve Token Cihazları (2000'lerden beri)#
Güvenliği daha da artırmak için bankalar, kimlik doğrulama için benzersiz kodlar üreten akıllı kartlar ve token cihazları benimsedi. Bu donanım tabanlı çözümler daha yüksek bir güvenlik seviyesi sunuyordu ancak aynı zamanda ek bir cihaz taşımak zorunda olan müşteriler için karmaşıklık ve rahatsızlık da ekliyordu.
3.2.4 Biyometri ve Mobil Bankacılık Uygulamaları (2010'lardan beri)#
Bankacılık kimlik doğrulamasındaki en son evrim, biyometri (parmak izi veya yüz tanıma) ve yerleşik güvenlik özelliklerine sahip mobil bankacılık uygulamalarını içerir. Bu yöntemler, kullanıcının benzersiz biyolojik özelliklerinden ve akıllı telefonların yaygınlığından yararlanarak güvenlik ile kolaylığı dengelemeyi amaçladı. Ancak, bunlar aynı zamanda müşterilerin kullandığı her banka için ayrı ayrı bir uygulama indirme ve kurma sürecinden geçmesini gerektirir.
| Kimlik Doğrulama Yöntemi | Tür | Açıklama |
|---|---|---|
| Parolalar/PIN'ler | Kullanıcının bildiği bir şey | Kolayca uygulanabilen ve yaygın olarak anlaşılan geleneksel gizli bilgi. |
| SMS OTP (Tek Kullanımlık Parola) | Kullanıcının sahip olduğu bir şey | Kullanıcının telefonuna gönderilen, bir sahiplik faktörünü temsil eden geçici bir parola. |
| Donanım Token'ları | Kullanıcının sahip olduğu bir şey | Kullanıcı için tek kullanımlık bir parola üreten fiziksel cihazlar. Bankanın yerel bir iOS / Android uygulaması gerektirir. |
| Mobil Uygulama OTP'si | Kullanıcının sahip olduğu bir şey | Genellikle cihaz bağlama ile güvence altına alınan bir bankacılık veya kimlik doğrulama uygulaması içinde oluşturulan bir parola. Bankanın yerel bir iOS / Android uygulaması gerektirir. |
| Biyometri | Kullanıcının olduğu bir şey | Genellikle bankanın uygulamasında yerel biyometrik kilit açma (ör. Face ID) olarak parmak izi, yüz tanıma veya iris taramasının kullanılması. Bankanın yerel bir iOS / Android uygulaması gerektirir. |
| Anlık Bildirimler | Kullanıcının sahip olduğu bir şey | Bir mobil uygulama bildirimi aracılığıyla işlemlerin veya giriş denemelerinin onaylanması. Bankanın yerel bir iOS / Android uygulaması gerektirir. |
3.3 Mevcut Kimlik Doğrulama Zorlukları ve Müşteri Sıkıntıları#
Bu ilerlemelere rağmen, müşteriler mevcut bankacılık kimlik doğrulama yöntemleriyle hala önemli rahatsızlıklar ve hayal kırıklıkları yaşıyor ve dolandırıcıların hedefi olma riskiyle karşı karşıya kalıyorlar:
- Karmaşıklık ve Rahatsızlık: Birden fazla kimlik doğrulama adımının katmanlanması, güvenlik için bir artış olsa da, genellikle kullanıcılar için zahmetli bir sürece dönüşür. Bu karmaşıklık sadece küçük bir rahatsızlık değil; müşterileri dijital bankacılık hizmetlerini kullanmaktan caydırabilir ve dijital dönüşümün amacını baltalayabilir.
- Cihaz ve Platform Bağımlılığı: Mobil ve biyometrik kimlik doğrulamaya geçiş, kullanıcıları cihazlarına sıkı sıkıya bağlar. Bu bağımlılık, hırsızlık durumunda kırılgan bir bağlantı oluşturur. Ayrıca, teknik arızalar bankacılık hizmetlerini erişilemez hale getirerek müşterileri çaresiz bırakabilir.
- Phishing Zafiyetleri: İlerlemelere rağmen, kimlik doğrulama faktörlerinin phishing'e açık olması, SCA tarafından ele alınmayan bir zafiyettir. PIN, parola, SMS OTP'leri, e-posta OTP'leri gibi geleneksel faktörler, sofistike phishing şemalarıyla ele geçirilebilir ve müşteri verilerini ve finansmanını riske atabilir.
Bugüne kadar, özellikle geleneksel bankalar, müşterilerini önemli phishing riski konusunda uyarmaya devam ediyor.
En olası saldırı vektörü, kimlik bilgilerinin veya cihazların çalınması değil, müşterilerin her ikisini veya ilk kimlik doğrulama faktörünü isteyerek dolandırıcılara vermesidir.
Bir sonraki bölümde, bunun gerçek bir örnekle nasıl çalıştığını açıklayacağız.
4. Phishing, Bankacılığın En Büyük Güvenlik Sorunudur#
Phishing saldırıları, hassas finansal bilgilere yetkisiz erişim sağlamak için insan psikolojisini (sosyal mühendislik) ve teknolojik zafiyetleri sömürerek uzun süredir bankacılık sektörünün güvenliği için önemli bir tehdit olmuştur. Bankalar kimlik doğrulama yöntemlerini geliştirdikçe, dolandırıcılar da güvenlik önlemlerini atlatmak için sofistike şemalar geliştirerek adapte olmuşlardır. Phishing'in nasıl çalıştığını, özellikle bu yaygın olarak kullanılan kimlik doğrulama yöntemleri bağlamında anlamak, passkey'ler gibi phishing'e karşı dayanıklı kimlik doğrulama çözümlerine olan aciliyeti fark etmek için çok önemlidir.
4.1 Phishing Saldırılarının Arkasındaki Teori#
Özünde phishing, bireyleri bankalarından gelen meşru bir iletişim kisvesi altında giriş bilgileri veya finansal bilgiler gibi hassas bilgileri ifşa etmeleri için kandırmayı içerir. Bu genellikle aşağıdaki adımlarla gerçekleştirilir:
- Başlatma: Dolandırıcılar, güvenilir görünen logolar ve dillerle resmi banka iletişimlerini taklit eden mesajlar (genellikle e-posta veya SMS yoluyla) gönderir. Bu mesajlar genellikle bir sorunu çözmek veya hesap kapanmasını önlemek için acil eylem gerektiği iddiasıyla bir aciliyet hissi yaratır.
- Aldatma: Mesaj, bankanın resmi online bankacılık portalına çok benzeyen sahte bir web sitesine bir bağlantı içerir. Aldatmacadan habersiz olan kurban, bankasının meşru web sitesine eriştiğine inandırılır.
- Ele Geçirme: Phishing sitesine girdikten sonra, kurbandan PIN'i gibi kimlik doğrulama bilgilerini girmesi veya SMS ile gönderilen bir OTP ile bir işlemi onaylaması istenir. Bankasıyla etkileşimde olduğuna inanan kurban, isteğe uyar ve farkında olmadan kimlik bilgilerini saldırganlara teslim eder.
- Sömürü: Bu bilgilerle donanmış olan dolandırıcılar, kurbanın banka hesabına erişebilir, yetkisiz işlemler yapabilir veya kimlik hırsızlığı yapabilir.
4.2 Gerçek Dünya Örneği: Deutsche Bank Phishing Saldırısı#
Bir Deutsche Bank müşterisinin hesabının devre dışı bırakılacağı konusunda uyaran bir SMS aldığını düşünün. Mesaj, müşterinin kimliğini doğrulamak için bir web sitesine bağlantı içerir ve URL'de deutschebank kelimesi ile eşleşen bir SSL sertifikası bulunur. Bu site, Deutsche Bank'ın giriş sayfasının birebir kopyasıdır (aşağıdaki ekran görüntülerinde görebileceğiniz gibi) ve müşteriden online bankacılık PIN'ini ve ardından gerçek zamanlı olarak bir SMS OTP'si girmesini ister (güvenlik nedenleriyle ekran görüntülerinde görünmez). Müşteri, bu bilgileri phishing sitesine girmenin, saldırganların Deutsche Bank hesabına tam erişim sağlamasına ve potansiyel olarak büyük meblağlarda parayı başka hesaplara transfer etmesine olanak tanıdığından habersizdir.
Bu, banka hesabına yeniden erişim sağlama istemiyle gelen phishing SMS'idir (yalnızca Almanca ekran görüntüleri mevcuttur):
Bu, saldırganların phishing web sitesidir (https://deutschebank-hilfe.info):
Bu, saldırganların neredeyse mükemmel bir şekilde kopyaladığı orijinal web sitesidir (https://meine.deutsche-bank.de) (sadece alttaki phishing uyarısını dışarıda bırakmışlar):
Bu aynı kullanıcı arayüzü üzerinden giriş yapmaya ve kimlik doğrulama faktörü olarak SMS OTP kullanmaya alışkın olan müşteriler, bu tür saldırıların kolayca kurbanı olabilirler. Güvenlik araştırma amacıyla OAuth veya bankacılık sistemlerini hedef alan phishing saldırılarına odaklanmak için tasarlanmış önemli bir açık kaynaklı yazılım paketi ekosistemi bulunmaktadır (örneğin, https://github.com/gophish/gophish). Ancak, bu sistemler kötü niyetli amaçlar için kolayca uyarlanabilir.
Bankacılık sektöründeki phishing, karanlık ağdaki her veri sızıntısıyla daha da hassas hale geliyor. Genellikle, IBAN gibi ödeme bilgileri de bu sızıntıların bir parçasıdır. Bu bilgiler doğrudan para çalmak için kullanılamasa da, saldırganın hedefin gerçekten bankanın bir müşterisi olduğunu bildiği hedefli phishing (spear-phishing) yaklaşımlarında kullanılabilir.
4.3 Phishing'e Karşı Dayanıklı Kimlik Doğrulama Faktörlerinin Önemi#
Yukarıdaki senaryodaki kritik kusur, kimlik doğrulama faktörlerinin phishing'e açık olmasında yatmaktadır: hem PIN hem de SMS OTP, sahte bahanelerle müşteriden kolayca istenebilir. Bu zafiyet, sosyal mühendislik veya phishing saldırıları yoluyla ele geçirilemeyen kimlik doğrulama yöntemlerinin gerekliliğini vurgulamaktadır.
Passkey'ler tarafından sağlananlar gibi phishing'e karşı dayanıklı kimlik doğrulama faktörleri, bu tür şemalara karşı sağlam bir savunma sunar. Passkey'ler, ifşa edilebilecek, bir kullanıcıdan kandırılarak alınabilecek veya ele geçirilebilecek paylaşılan sırlara dayanmadığından, güvenlik ortamını temelden değiştirirler. Passkey'ler ile kimlik doğrulama süreci, dolandırıcılar tarafından kopyalanamayan kriptografik bir kimlik kanıtı içerir ve bu da phishing'deki en yaygın saldırı vektörünü ortadan kaldırır.
Passkey'lerin kullanımı, yalnızca kaydedildikleri alan adıyla sınırlıdır (relying party ID). Bunları bir phishing alan adında kullanmak veya bir saldırgana göndermek teknik olarak imkansızdır.
4.4 Phishing ile Nasıl Mücadele Edilir?#
Phishing tehditlerine etkili bir şekilde karşı koymak için, bankacılık sektörü aşağıdakileri içeren çok yönlü bir yaklaşım benimsemelidir:
- Müşterileri Eğitmek: Bankalar, müşterilerini sürekli olarak phishing riskleri ve sahte iletişimi nasıl tanıyacakları konusunda bilgilendirmelidir.
- Phishing'e Karşı Dayanıklı Kimlik Doğrulama Uygulamak: İstenerek veya ele geçirilerek alınabilecek bilgilere dayanmayan kimlik doğrulama yöntemlerine geçiş yapmak, böylece birçok phishing girişiminin kapısını kapatmak.
- Dolandırıcılık Tespit Sistemlerini Geliştirmek: Dolandırıcılar bir tür kimlik doğrulama verisi elde etse bile, yetkisiz işlemleri tespit etmek ve önlemek için gelişmiş analitik ve makine öğrenimi kullanmak.
Phishing, bankacılık sektörü için önemli bir tehdit olmaya devam etse de, passkey'ler gibi phishing'e karşı dayanıklı kimlik doğrulama yöntemlerinin benimsenmesi, online bankacılığı dolandırıcılara karşı güvence altına almada kritik bir adımı temsil etmektedir. En zayıf halkayı, yani kimlik doğrulama faktörlerinin phishing'e açıklığını ortadan kaldırarak, bankalar müşterilerinin varlıklarının ve kişisel bilgilerinin güvenliğini önemli ölçüde artırabilir.
Bugüne kadar, Avrupa Merkez Bankası ve yerel bankacılık denetim otoriteleri (örneğin, BaFin), passkey'lerin bir bütün olarak 2FA olarak sınıflandırılıp sınıflandırılmayacağı veya bankaların bunları nasıl kullanması gerektiği konusunda bir tutum sergilememiştir.
Bir sonraki bölümde, passkey'lerin neden PSD2 uyumlu olduğuna inandığımızı açıklamayı amaçlıyoruz.
5. Passkey'ler PSD2 Uyumlu mu?#
Ödeme, fintech ve bankacılık sektörlerinden paydaşlarla yapılan görüşmelerde tekrarlanan bir soru ortaya çıkıyor: Passkey'ler PSD2 uyumlu mu ve bankacılık senaryolarında tek kimlik doğrulama şekli olarak hizmet edebilirler mi? Passkey'ler ile Avrupa Birliği'ndeki Revize Edilmiş Ödeme Hizmetleri Direktifi (PSD2) arasındaki ilişki inceliklidir ve ayrıntılı bir inceleme gerektirir. Açıklamak gerekirse, passkey'ler genellikle iki türe ayrılır: Senkronize Passkey'ler (Çoklu Cihaz) ve Senkronize Olmayan Passkey'ler (Tek Cihaz), her birinin PSD2 uyumluluğu konusunda farklı özellikleri vardır:
| Senkronize Passkey'ler | Senkronize Olmayan Passkey'ler | |
|---|---|---|
| Cihaz kullanılabilirliği | Çoklu Cihaz | Tek Cihaz |
| Yöneten | İşletim Sistemi | Ek yazılım gerekli |
| Özel Anahtar | İşletim sistemi bulut hesabına yüklenir (ör. iCloud Keychain, Google Password Manager) veya 3. taraf parola yöneticisi (ör. 1Password, Dashlane) | Kullanıcının cihazında kalır |
| Cihaz Bağlama | Hayır | Evet |
| Yedeklenmiş | Evet | Hayır |
| PSD2 Uyumluluğu Üzerine Geleneksel Görüş | Hayır (?) | Evet |
Uyumluluğa bağlı kalmak, bankalar ve sigorta şirketleri gibi düzenlemeye tabi kuruluşlar için çok önemlidir. Ancak, uyumluluk politikalarının değişmesi uzun zaman alabilir. Passkey'ler söz konusu olduğunda, en büyük güvenlik avantajı phishing'e karşı dayanıklı olmalarıdır, çünkü müşteriler bu bilgiyi istemeden saldırganlara ifşa edemezler.
6. Senkronize Passkey'ler Neden Risk Değildir?#
Passkey'ler phishing'e karşı dayanıklı olarak güvenliği önemli ölçüde artırırken, riskin bir kısmını müşterinin Apple iCloud Keychain gibi bulut hesabına kaydırırlar. Bu, bulut hesabını saldırganlar için daha çekici bir hedef haline getirir. Ancak, Apple iCloud gibi hizmetler, özellikle passkey'leri destekleyen özellikler için sağlam güvenlik önlemlerine sahiptir.
İlk olarak, iCloud passkey'leri, hesabınızda iki faktörlü kimlik doğrulamanın (2FA) etkinleştirilmesine bağlıdır ve bu da ek bir güvenlik katmanı ekler. Bu, bir saldırgan müşterinin iCloud şifresini bilse bile, 2FA kodunu almak için hala güvenilir bir cihaza veya telefon numarasına erişmesi gerekeceği anlamına gelir.
Apple ve benzer şekilde Google, hesapları için bu bulut hizmetlerini güvence altına almak için önemli kaynaklar yatırır. Bulutta passkey'leri destekleyen hesaplar için güvenlik protokolleri titizdir ve yetkisiz kullanıcıların sızmasını neredeyse imkansız hale getirir. Bu yüksek güvenlik standardı, sürekli güncellemeler ve güvenlik yamaları ile korunur (ve ayrıca hesapları için passkey'leri tanıttılar, bkz. bu blog yazısı).
Üstelik, cihazların veya bulut hesaplarının çalınması potansiyel bir risk olsa da, bankacılık uygulamaları için en yaygın saldırı vektörü değildir. Şüpheli işlemler gibi artan güvenlik ihtiyaçları durumunda, bankalar ek bir faktör olarak SMS OTP'lerini kullanmaya devam edebilir. PIN / parolayı passkey'lerle değiştirerek, ilk kimlik doğrulama faktörü phishing'e karşı dayanıklı hale gelir ve başarılı phishing saldırıları riskini önemli ölçüde azaltır. Şüpheli olarak işaretlenen işlemler için üçüncü bir faktör getirilebilir ve bu da sağlam bir güvenlik duruşu sağlar.
Saldırı yüzeyi değişse de, genel güvenlik duruşu güçlenir, bu da passkey'leri, müşteri güvenliğini kullanılabilirlikten ödün vermeden artırmak isteyen bankalar ve sigorta şirketleri gibi düzenlemeye tabi kuruluşlar için cazip bir seçenek haline getirir.
7. Neo-Bankalar Regülatörleri Nasıl Zorluyor?#
PSD2 uyumluluğu konusundaki geleneksel (riskten kaçınan) görüşlerin aksine, Finom ve Revolut, müşteri verilerini korumanın daha önemli olduğuna karar verdiler ve bu nedenle, bankacılık denetiminin passkey'leri PSD2 uyumluluğu açısından nasıl ele alması gerektiğine dair kamuya açık bir Avrupa kararı olmamasına rağmen passkey'leri kullanıyorlar. Finom ve Revolut gibi neo-bankalar ve fintech'ler statükoya meydan okuyor ve bunu yaparken, PSD2 tarafından öngörülen kimlik doğrulama önlemleriyle ilgili düzenleyici ortamı etkiliyorlar.
Bu fintech öncüleri, müşteri verilerinin güvenliğini ve bütünlüğünü önceliklendirerek, Avrupa otoritelerinden açık bir düzenleyici rehberlik olmamasına rağmen passkey'leri benimsiyorlar. Bu proaktif duruş, üstün güvenlik çözümleri sunan teknolojik gelişmeler ışığında uyumluluk çerçevelerini yeniden değerlendirme sorumluluğunu regülatörlere yüklüyor.
Finom ve Revolut'un passkey'leri uygulama konusundaki cesur adımı, düzenleyici uyumun kritik bir yönünü vurguluyor: bu, standartlara katı bir şekilde bağlı kalmakla ilgili değil, daha ziyade bu standartların altında yatan hedeflere ulaşmakla ilgilidir ki bu durumda bu hedef, müşteri verilerinin ve işlemlerinin azami güvenliğidir. Veri korumasını geleneksel uyumluluk modellerine sıkı sıkıya bağlı kalmaktan daha öncelikli tutarak, bu neo-bankalar sektör için yeni ölçütler belirliyor.
Regülatörleri zorlayarak, bu neo-bankalar, uyumun tüketici çıkarlarını daha etkili bir şekilde koruyan yeni teknolojilerle eş zamanlı olarak gelişmesi gereken bir paradigma değişikliğini savunuyorlar.
8. Hangi Düzenleyici Değişiklikler Gereklidir?#
Düzenleyici bir perspektiften bakıldığında, PSD2 uyumluluğu çerçevesinde passkey'ler gibi ilerlemeleri barındırmak için netlik ve adaptasyona acil bir ihtiyaç vardır. AB'yi, passkey'ler konusunda kesin bir tavır almaya çağırıyoruz, onları dijital ödemeler ekosisteminde güvenliği güçlendirmek ve dolandırıcılığı azaltmak olan PSD2'nin temel hedefleriyle uyumlu, üstün bir çok faktörlü kimlik doğrulama (MFA) biçimi olarak tanımalarını istiyoruz.
Passkey'ler, tasarımları gereği, çoğu geleneksel MFA yönteminin güvenlik yeteneklerini aşan, sağlam, phishing'e dayanıklı bir kimlik doğrulama faktörü sunar. Bu, sadece güvenliği artırmakla kalmaz, aynı zamanda kullanıcı deneyimini de basitleştirir ve PSD2 uyumluluğunun iki kritik yönünü ele alır.
AB'nin tutumu, etkili ve güvenli kimlik doğrulamanın ne anlama geldiğini yeniden tanımlayan teknolojik gelişmeleri yansıtacak şekilde gelişmelidir. Passkey'ler gibi yenilikleri benimseyerek ve bunları düzenleyici yapıya dahil ederek, AB hem tüketicileri koruma hem de ileriye dönük bir dijital finans ortamını teşvik etme taahhüdünü gösterebilir.
Finans sektörü yenilik yapmaya devam ettikçe, teknolojik değişimle sadece ayak uydurmakla kalmayıp aynı zamanda gelecekteki gelişmeleri de öngören açık ve ilerici bir rehberlik sağlamak regülatörlerin görevidir. Neo-bankalar şu anda bu değişime öncülük ediyor, ancak nihayetinde finans sektörünün bir bütün olarak dijital bankacılığın geleceğine güvenli ve emin adımlarla ilerleyebilmesini sağlamak düzenleyici kurumların sorumluluğundadır.
Son haberler için Passkeys Substack'e abone olun.
9. Bankalar ve Fintech'ler için Tavsiye#
Bankacılık ve fintech alanında passkey'lerin benimsenmesi, hem güvenliği hem de kullanıcı deneyimini önemli ölçüde artıran bir inovasyonun en iyi örneği olarak öne çıkıyor. Makalemiz boyunca, passkey'lerin PSD2'nin katı güvenlik talepleriyle uyumlu, phishing gibi yaygın tehditleri azaltan ileri görüşlü bir kimlik doğrulama çözümü olarak potansiyelini ortaya koyduk. Finom ve Revolut gibi neo-bankalar / fintech'ler, güvenlik çerçevelerine passkey'leri entegre ederek bir emsal oluşturdular, etkinliklerini ve müşteri odaklı yaklaşımlarını gösterdiler.
Geleneksel bankalar için üç adımlı bir eylem planı şu şekilde olabilir:
- Yerel Regülatörlerle Etkileşim: Geleneksel bankalar, passkey'lerin uygulanmasını tartışmak için yerel düzenleyici kurumları ve bankacılık denetim otoriteleriyle proaktif olarak etkileşime girmelidir. Bu diyalog, düzenleyici pozisyonları netleştirmeyi ve passkey'leri mevcut uyumluluk yapısı içinde entegre etmenin yolunu açmayı amaçlamalıdır. İnisiyatif alarak, bankalar yenilikçi kimlik doğrulama yöntemlerini destekleyen bir düzenleyici ortamın şekillenmesine katkıda bulunabilirler.
- Neo-Banka En İyi Uygulamalarından Öğrenme: Geleneksel bankaların, passkey'leri başarıyla uygulayan neo-bankaları gözlemlemesi ve onlardan öğrenmesi zorunludur. Bu en iyi uygulamaları incelemek, passkey dağıtımının operasyonel, teknik ve müşteri hizmetleri yönleri hakkında değerli bilgiler sağlayacaktır. Bu bilgi transferi, geleneksel bankaların passkey'leri benimseme stratejilerini oluşturmalarına yardımcı olabilir.
- Passkey'lere Stratejik Geçiş: Düzenleyici netlik ve en iyi uygulamaların anlaşılmasıyla, geleneksel bankalar müşterileri passkey tabanlı kimlik doğrulamasına geçirmek için kapsamlı bir plan geliştirebilirler. Bu plan, passkey'lerin faydalarını ve kullanımını açıklayan müşteri eğitim kampanyalarını, sorunsuz bir geçiş sağlamak için aşamalı dağıtımları ve herhangi bir zorluğu derhal ele almak için sürekli değerlendirmeyi içermelidir. Oturum açma sonrası yönlendirmelerle (nudge) optimize edilmiş passkey oluşturma akışları ve akıllı passkey ile giriş akışları, parolaların aşamalı olarak kaldırılabileceği %50+ benimseme eşiğine ulaşmak için kritik öneme sahiptir.
10. Corbado, Bankaların PSD2 Uyumlu Passkey'leri Uygulamasına Nasıl Yardımcı Olur?#
Teoriden pratiğe geçerken, bankalar PSD2/SCA düzenleyici gereklilikleri ile gerçek dünyadaki passkey dağıtımı arasındaki boşluğu dolduracak araçlara ihtiyaç duyarlar. Corbado, mevcut kimlik yığınınızın (identity stack) üzerinde çalışan bir passkey zekası (passkey intelligence) katmanı sağlar — kullanıcı taşıma (migration) işlemi gerektirmez.
Cihaz Güveni ve SCA Faktörü Kapsamı#
Bankalar için temel zorluklardan biri, passkey uygulamalarının tüm kullanıcı tabanlarında SCA'nın iki faktörlü gerekliliğini gerçekten karşıladığını kanıtlamaktır. Corbado'nun Cihaz Güveni (Device Trust) panosu, her kimlik doğrulama yönteminin SCA faktörleriyle nasıl eşleştiği, başarı oranları ve step-up doğrulama (ek güvenlik adımı) atlama oranları hakkında gerçek zamanlı görünürlük sağlar.
Örneğin, cihaza bağlı passkey'ler (device-bound passkeys) %0 step-up doğrulama gereksinimi ile %99,1 başarı oranlarına ulaşırken ("olduğu gibi passkey'ler" yaklaşımı), çerez/oturum bağlama (cookie/session binding) ile birleştirilmiş senkronize passkey'ler yalnızca %3,2 step-up oranları ile %98,4'e ulaşır. Bu veri odaklı yaklaşım, bankaların regülatörlere SCA uyumluluğunu teorik argümanlar yerine somut metriklerle göstermesine olanak tanır.
PSD2 Uyumluluğu için Güven Politikaları#
Bankalar, passkey'lerin ne zaman oluşturulabileceğini ve ne zaman step-up kimlik doğrulaması gerektiğini kontrol eden ayrıntılı güven politikaları yapılandırabilir — bu, doğrudan PSD2'nin sahiplik faktörü tartışmasını ele alır. Örneğin, yeni veya derecelendirilmemiş cihazlardaki senkronize passkey'ler otomatik olarak step-up kimlik doğrulaması tetiklerken, bilinen cihazlardaki cihaza bağlı passkey'ler ek bir sürtünme olmadan güvenilir kabul edilir.
Bu ilke tabanlı yaklaşım, bankaların tek bir SCA yorumu seçmek zorunda olmadığı anlamına gelir. Risk profilinin gerektirdiği durumlarda (çerez/oturum bağlama veya step-up) daha katı kontroller uygularken, güvenilir cihaza bağlı senaryolar için deneyimi sorunsuz tutabilirler. Sonuç: Tek tip bir yaklaşım yerine kurumunuzun risk iştahına uyum sağlayan PSD2 uyumluluğu.
Passkey'ler neden önemlidir?
Kurumsal Şirketler için Passkey'ler
Parolalar ve phishing, kurumsal şirketleri riske atar. Passkey'ler, güvenlik ve kullanıcı deneyimini dengeleyen tek MFA çözümünü sunar. Whitepaper'ımız, uygulama ve iş etkisini kapsar.
Ücretsiz whitepaper indir
Corbado'nun PSD2/SCA ve Passkey'ler Üzerine Pozisyonu: Passkey'ler (hem cihaza bağlı hem de senkronize) SCA uyumlu olabilir. Her kurum kendi SCA risk değerlendirmesini üstlenmelidir, ancak kanıtlar açıktır: passkey'ler doğası gereği iki SCA faktörü sağlar - sahiplik (donanım güvenlik modülünde veya bulut anahtar zincirinde özel anahtar) + biyometrik özellik (inherence) veya bilgi (PIN). "Sahiplik" tartışması inceliklidir ancak çözülebilirdir - sektör üç yaklaşımda karar kılıyor: (1) Olduğu gibi Passkey'ler (ör. Revolut, Finom) - biyometrik özellik + özel anahtarlı cihaz üzerinden sahiplik, (2) Passkey'ler + çerez/oturum bağlama (ör. PayPal, Comdirect) - muhafazakar yorum için ekstra sahiplik sinyali, (3) Kriptografik bağlama (DBSC/DPoP) - donanıma bağlı sahiplik kanıtı, en güçlü garanti. Henüz tek bir "doğru" yorum mevcut değil. SCA'ya sonuç odaklı bir yaklaşım gerekiyor - katı faktör sınıflandırması yerine kanıtlanabilir phishing direncine odaklanmak. Dinamik bağlama (Dynamic linking), passkey'ler ile bile ödemeler için ayrı bir gereklilik olmaya devam etmektedir.
Corbado Hakkında
Corbado, büyük ölçekte tüketici kimlik doğrulaması yöneten CIAM ekipleri için Passkey Intelligence Platform'tur. IDP loglarının ve genel analytics araçlarının göremediğini görmenizi sağlarız: hangi cihazların, OS sürümlerinin, tarayıcıların ve credential manager'ların passkey desteklediğini; kayıtların neden girişe dönüşmediğini; WebAuthn akışının nerede başarısız olduğunu; bir OS ya da tarayıcı güncellemesinin girişi sessizce ne zaman bozduğunu — hem de Okta, Auth0, Ping, Cognito veya kendi IDP'nizi değiştirmeden. İki ürün: Corbado Observe, passkey'ler ve diğer tüm giriş yöntemleri için observability sağlar. Corbado Connect, analytics entegre managed passkey'ler sunar (IDP'nizin yanında). VicRoads, Corbado ile 5M+ kullanıcı için passkey çalıştırıyor (%80+ passkey aktivasyonu). Bir Passkey uzmanıyla görüşün →
Sonraki adım: Bankanızda passkeys uygulamaya hazır mısınız? 90+ sayfalık Banking Passkeys Raporumuz hazır.
Raporu al
Bu makaleyi paylaş
İlgili makaleler
İçindekiler