QR Kod ile Giriş Yöntemleri ve Kimlik Doğrulama

Güvenli ve pratik kimlik doğrulama yöntemleri her zamankinden daha önemli. Her gün farklı cihazlarda eriştiğimiz çevrimiçi hizmetlerin sayısı arttıkça, geleneksel şifre tabanlı sistemler daha az etkili ve daha zahmetli hale geliyor. Özellikle yerel uygulamalarında (iOS veya Android Uygulamaları) çok sayıda kullanıcısı olan şirketler için bu durum, karmaşık şifreler ve hatta kullanıcı adları yazmaya gerek kalmadan kullanıcıların kimliğini doğrulamak için hızlı ve kolay bir yol sunan QR kod tabanlı girişlere olan talebi artırdı.

Bu bağlamda, aşağıdaki gibi sorular ortaya çıkıyor:

• Yerel uygulamalarla QR kod tabanlı kimlik doğrulama nasıl çalışır?
• Passkey'ler ile QR kod tabanlı kimlik doğrulama ile nasıl karşılaştırılır?

Native QR Code Revolut

Passkeys QR Code Apple

Yerel uygulama girişlerinde QR kodlarının öne çıkan örnekleri arasında WhatsApp, TikTok veya Revolut gibi uygulama öncelikli hizmetler yer alıyor. Aynı zamanda, passkey girişlerini destekleyen şirketlerin listesi hızla büyüyor.

Bu makalede, QR kod tabanlı kimlik doğrulama tekniklerini inceleyeceğiz. İkinci faktör başlatma için kullanılan TOTP QR kodlarına (Authy veya Google Authenticator gibi ek uygulamalarla) odaklanmayacağız.**

Ayrıca farklı QR tabanlı kimlik doğrulama yöntemlerini karşılaştıracak, güçlü ve zayıf yönlerini ve potansiyel güvenlik açıklarını inceleyeceğiz.

Makalenin sonunda, QR kod tabanlı kimlik doğrulamanın güvenlik ihtiyaçlarınız için doğru seçim olup olmadığı konusunda daha net bir anlayışa sahip olacaksınız.

QR kodları veya Hızlı Yanıt kodları, URL'lerden düz metne kadar çeşitli bilgileri depolayabilen iki boyutlu barkodlardır. İlk olarak 1994 yılında Toyota Grubu'nun bir iştiraki olan Denso Wave tarafından geliştirilen QR kodları, otomotiv parçalarını hızlı ve verimli bir şekilde takip etmek için tasarlanmıştı. O zamandan beri QR kodları, küçük ve taranabilir bir karede büyük miktarda veri depolama yetenekleri sayesinde gelişti ve çeşitli sektörlerde yerini buldu.

"QR Code" terimi aslında Denso Wave'in bir ticari markasıdır, ancak teknolojinin kendisi yaygın olarak benimsenmiş ve ticari marka tarafından kısıtlanmamıştır. QR kodları, kodlanmış bilgilere erişmek için bir akıllı telefon veya özel bir tarama cihazı (QR tarayıcı) kullanılarak taranabilen siyah beyaz kare desenleriyle karakterize edilir.

QR kodları desteği, birkaç yıldır iOS ve Android gibi mobil işletim sistemlerine entegre edilmiştir. Her iki platform da kendi kamera uygulamaları aracılığıyla QR kod taramayı yerel olarak destekler, bu da kullanıcıların ek yazılıma ihtiyaç duymadan QR kodlarıyla etkileşim kurmasını kolaylaştırır.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Genel olarak, uygulamalarla birlikte kullanılan QR kodları, özel URL'lerden veya uygulama bağlantılarından yararlanır. Bu bağlantılar, cihazda yüklü ise uygulamanın otomatik olarak açılmasını tetikleyebilir. Uygulama yüklü değilse, QR kodu kullanıcıyı ilgili uygulama mağazasına yönlendirerek uygulamayı indirip yüklemesini sağlayabilir, böylece sorunsuz bir kullanıcı deneyimi kolaylaştırılır. Burada Revolut'un Uygulama İşleme için kaydettiği yolların bir listesini görebilirsiniz:

https://revolut.com/.well-known/apple-app-site-association
{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.revolut",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.test",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.retail.india",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.retail.india-debug",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.invest",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.invest-debug",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.revolutx",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.revolutx-debug",
                "paths": ["/app/*"]
            }
        ]
    }
}

Gördüğünüz gibi, "/app/*" ile başlayan tüm bağlantılar işlenir; bir sonraki bölümde bir örnek göreceksiniz. QR kodlarına özel URL'ler ve uygulama bağlantıları yerleştirerek, işletmeler ve geliştiriciler, kullanıcıları doğrudan istenen uygulama veya hizmete yönlendiren özel deneyimler oluşturabilir, bu da kullanıcı etkileşimlerinde hem kolaylığı hem de güvenliği artırır.

Yerel uygulamalar aracılığıyla QR kod ile giriş, bir mobil cihazın kamerası ile QR kodlarına gömülü belirli URL'ler arasındaki sorunsuz etkileşimden yararlanır. Süreç genellikle bir kullanıcının akıllı telefonunun kamerasını kullanarak bir web sitesinde veya başka bir cihazda görüntülenen bir QR kodunu taramasıyla başlar. QR kodu, iOS veya Android cihazlarında bulunanlar gibi belirli bir yerel uygulama ile etkileşime girmek üzere özel olarak tasarlanmış bir URL içerir.

Örneğin, Revolut gibi bir hizmet, https://revolut.com/app/challenges/qr/e2d78521-d38a-4773-b1b8-27a902a36b4b gibi bir URL içeren bir QR kodu kullanabilir. Bu URL, kullanıcının cihazında yüklü olan Revolut uygulaması tarafından tanınacak şekilde ayarlanmıştır.

QR kodu tarandığında, uygulama bu bağlantıyı otomatik olarak yakalar, tanır ve ilgili uygulamayı görüntüler (yukarıdaki örnekte "Revolut"un eşleşen Uygulama olarak tanımlandığını görebilirsiniz) ve giriş sürecini dahili olarak yönetmeye devam eder. Bu etkileşim, hem iOS hem de Android'in desteklediği ve belirli bağlantıların bir web tarayıcısı yerine doğrudan yüklü bir uygulamada açılmasına olanak tanıyan derin bağlantı (deep linking) mekanizmaları tarafından kolaylaştırılır:

Uygulama cihazda yüklü değilse, işletim sistemi genellikle kullanıcıyı iOS cihazlar için Apple App Store'a veya Android cihazlar için Google Play Store'a yönlendirerek uygulamayı yüklemeye teşvik eder.

Bu, kullanıcının başlangıçta uygulaması olmasa bile, onu hızlı ve kolay bir şekilde edinebilmesini ve kurulumdan sonra sürece devam edebilmesini sağlar.

Çoğu durumda, uygulamayı zaten yüklemiş olan mevcut müşteriler sorunsuz bir giriş süreci yaşayacaktır. QR kodunu tararlar, uygulama otomatik olarak açılır ve kimlik doğrulama, bir kullanıcı adı veya şifre girmeye gerek kalmadan tamamlanır. Bu yöntem, QR kod tarama işlemi sırasında hiçbir hassas bilgi iletilmediği için öncelikle kullanıcılara kolaylık sağlar.

Teknik olarak olan şey, bir masaüstünde yeni bir oturumun kimliğini doğrulamak için cep telefonundaki mevcut bir oturum açma oturumunun kullanılmasıdır. Bunu yapmak için farklı teknikler vardır. Çok ayrıntılı bir versiyon, WhatsApp Güvenlik Teknik Raporu'nda İstemci Kaydı à Yardımcı Cihaz Kaydı à QR Kodu Kullanarak Bağlantı Kurma başlığı altında yayınlanmıştır.

Kaynak: https://engineering.fb.com/2021/07/14/security/whatsapp-multi-device/

WhatsApp 2021'den beri çoklu cihaz erişimini ve uçtan uca şifrelemeyi desteklediğinden, mimari kimlik doğrulama için mükemmel bir şekilde uygun değildir – çünkü protokol öncelikle çoklu cihazlı bir mesajlaşma uygulaması için tasarlanmıştır. Gerçek kimlik doğrulama uygulamasına bağlı olarak, güvenli bir el sıkışma (handshake) sağlamak için daha basit yaklaşımlar vardır. Unutulmaması gereken şey, kullanıcı oturumlarının ve cihaz ile sunucu arasındaki iletişim kanallarının güvenli bir şekilde yönetilmesini her zaman sağlamanız gerektiğidir. QR kod kimlik doğrulama giriş uygulamasının karmaşıklığı ne olursa olsun, bazı temel güvenlik ilkelerine her zaman uyulmalıdır:

1. Oturum Bütünlüğü: Bir masaüstü veya başka bir cihazda yeni bir oturumun kimliğini doğrulamak için kullanılan cep telefonundaki mevcut oturum açma oturumu güvenli bir şekilde doğrulanmalıdır. Bu genellikle, oturum kaçırma veya tekrar saldırılarını önlemek için güvenli token'lar veya diğer kriptografik yöntemler kullanılarak oturumun gerçekliğinin kontrol edilmesini içerir.
2. Şifreli İletişim: Mobil uygulama, sunucu ve kimlik doğrulama talep eden cihaz arasındaki tüm iletişim HTTPS kullanılarak şifrelenmelidir. Bu, oturum token'ları ve giriş bilgileri de dahil olmak üzere hassas bilgilerin iletim sırasında ele geçirilmesini veya değiştirilmesini önlemeye yardımcı olur.
3. Güvenli Token Üretimi: QR kod kimlik doğrulama süreci için oluşturulan tüm token'lar veya kimlik bilgileri güvenli bir şekilde oluşturulmalıdır. Bu, önleyici bir tedbir olarak diğer cihazlarda kullanılmasını önlemek için talep eden cihaza sabitlenmesini içerebilir (ör. Tarayıcı-Ajanı).
4. Kullanıcı Tarafından Doğrulanan Giriş: Kimlik doğrulama sürecini tamamlamadan önce, kullanıcının giriş denemesini doğrulayabileceği veya onaylayabileceği bir adımın olması önerilir. Bu, mobil cihazda kullanıcı onayı gerektiren ve kimlik doğrulama ayrıntılarını gösteren bir bildirim şeklinde olabilir ve ek bir güvenlik katmanı ekler (yukarıdaki ekran görüntüsünde görülebileceği gibi).
5. Zaman Bazlı Kısıtlamalar: QR kodunun yanlış ellere geçmesi durumunda yetkisiz erişim için kullanılma riskini en aza indirmek için QR kodu geçerliliğine zaman bazlı kısıtlamalar uygulayın. Bir QR kodunun kullanılabileceği zaman aralığını sınırlamak, potansiyel güvenlik tehditlerini azaltmaya yardımcı olur. Otomatik olarak yenilenmeli ve ortadaki adam saldırılarını önlemek için maksimum geçerliliği 120 saniyeden az olmalıdır.
6. Konum Bazlı Kısıtlama: "İmkansız seyahat" tespitleri gibi giriş denemeleriyle ilgili sınırlamalar, QR kodlarıyla da uygulanmalıdır. Bu, şüpheli IP tabanlı istihbarata dayanarak giriş denemelerini otomatik olarak engellemeyi içerebilir, örneğin ABD'de bir QR kodu oluşturulurken uygulamanın Avrupa'da kimlik doğrulama için açılması gibi.
7. Hız Sınırlama, Günlük Kaydı ve İzleme: QR kod girişleriyle ilişkili şüpheli etkinlikleri tespit etmek ve bunlara yanıt vermek için uygun hız sınırlama, günlük kaydı ve izleme uygulayın. Bu, potansiyel güvenlik ihlallerini belirlemeye ve kullanıcı hesaplarını korumak için zamanında önlem almaya yardımcı olur.
8. Kullanıcı Bildirimi: Yeni bir cihazdaki başarılı giriş denemeleri, kullanıcıya önemli bilgilerle (girişin ne zaman ve nerede, hangi cihaz ve IP adresiyle denendiği gibi) ve girişin kullanıcı tarafından tetiklenmemesi durumunda ne yapılması gerektiğine dair talimatlarla (hizmetle derhal iletişime geçme, hesabı izleme veya sistem destekliyorsa tüm oturum açmış cihazları kaldırma gibi) bir e-posta bildirimi tetiklemelidir.

Bu en iyi uygulamaları takip ederek, şirketler hem kullanıcı dostu hem de güvenli, mobil cihazların rahatlığından yararlanırken kullanıcı verilerini ve oturumlarını korumak için sağlam güvenlik önlemlerini sürdüren QR kod tabanlı kimlik doğrulama uygulayabilirler.

Become part of our Passkeys Community for updates & support.

Join

Şimdi passkey'ler aracılığıyla QR kod girişlerine bir göz atalım.

Passkey tabanlı kimlik doğrulama, iOS ve Android ekosistemlerine entegre edilmiş ve WebAuthn standardında belirtilmiş güvenli, cihazlar arası bir kimlik doğrulama sistemi sunar. Şu anda, yalnızca iOS veya Android'de oluşturulan passkey'ler QR kodları aracılığıyla cihazlar arası kimlik doğrulama (CDA) için kullanılabilir.

Passkey'ler ile QR kod girişinin nasıl çalıştığını analiz edelim. Aşağıdaki şema, farklı adımların üst düzey bir özetini göstermektedir.

Hem iOS hem de Android için passkey'ler, platformun yerel doğrulayıcısında (ör. Face ID, Touch ID veya Android Biyometri) saklanır. Bu, bir kullanıcının passkey'lerinin, modern işletim sistemi sürümlerinde aynı Apple ID (iOS için) veya Google hesabına (Android için) giriş yapmış tüm cihazlarında kullanılabilir olmasını sağlar.

• Her İki Cihazın da Aktif Bir İnternet Bağlantısına İhtiyacı Vardır: Kimlik doğrulama sürecine dahil olan her iki cihazın da aktif bir internet bağlantısı olmalıdır. Bu, kimlik doğrulama işlemi sırasında verileri senkronize etmek ve kimlik bilgilerini doğrulamak için çok önemlidir.
• Her İki Cihazın da Bluetooth'u Desteklemesi Gerekir: Her iki cihazın da Bluetooth'u desteklemesi ve Bluetooth'un etkinleştirilmesi gerekir. Bluetooth, cihazlar arasında yakınlık kurmak için kullanılır, bu da kimlik doğrulama sırasında cihazların birbirine yakın olmasını sağlar ve böylece uzak bir konumdan kimlik avı riskini azaltır.

• Cihaza Bağlı Masaüstü Passkey'leri: Cihaza bağlı ve masaüstü bilgisayarlarda, örneğin Windows platformlarında bulunan passkey'ler, QR kod tabanlı CDA için uygun değildir.
• Bluetooth'a Bağımlılık: Bluetooth'a güvenmek, potansiyel bağlantı sorunları veya Bluetooth yakınlık kontrolünü engelleyebilecek cihaz ayarları nedeniyle bazen bir dezavantaj olabilir. Yakınlık kurmak güvenliği artırabilse de, cihazlar Bluetooth üzerinden bağlanamazsa kullanılabilirlik zorluklarına da neden olabilir. Ancak, cihazlar başarılı bir şekilde eşleştirildiğinde, sonraki bağlantılar genellikle daha basit hale gelir.

Discuss passkeys news and questions in r/passkey.

Join Subreddit

• Uzaktan Kimlik Avı Saldırıları Yok: Yakınlık kontrolleri için Bluetooth kullanımı, kimlik doğrulama işlemi sırasında her iki cihazın da fiziksel olarak birbirine yakın olmasını sağlar ve uzak konumlardan gelen kimlik avı saldırıları riskini azaltır.
• Senkronize Edilmiş Passkey'ler Daha İyi Kullanıcı Deneyimi Sağlar: Passkey'lerin cihazlar arasında senkronizasyonu, kullanıcıların birden fazla kimlik bilgisi setini yönetmelerine gerek kalmadığı için sorunsuz bir kullanıcı deneyimi de sağlar.

Passkey tabanlı Cihazlar Arası Kimlik Doğrulama (CDA) uygularken, kullanıcılara süreç hakkında net bir rehberlik sağlamak çok önemlidir. Kullanıcılara bir QR kodunun görüntüleneceği ve onu taramak için cep telefonlarını kullanmaları gerektiği bildirilmelidir.

Bize göre, kullanıcının CDA için kullanılabilecek bir passkey'i yoksa QR kodlarının gösterilmemesini sağlamak önemlidir. Ek olarak, bir QR kodu görüntülemeden önce kullanıcının mevcut işletim sisteminin ve tarayıcısının CDA'yı desteklediğini doğrulamak gerekir.

Want to find out how many people use passkeys?

View Adoption Data

Bu senaryoları etkili bir şekilde yönetmek için, bu makalede tüm kritik durumları özetledik, bu yüzden burada ayrıntılara girmeyeceğiz. Passkey zeka sistemimiz, bu durumları otomatik olarak ele alacak şekilde tasarlanmıştır, QR kodlarının yalnızca uygun olduğunda görüntülenmesini sağlar ve kullanıcıları kimlik doğrulama sürecinde sorunsuz bir şekilde yönlendirir. Bu, çeşitli cihazlar ve işletim sistemleri arasında yüksek güvenlik ve uyumluluğu korurken sorunsuz bir deneyim sağlar.

Bu bölümde, bu makalede tartışılan iki ana QR kod tabanlı giriş yöntemini özetleyeceğiz: yerel uygulamalar aracılığıyla QR kod ile giriş ve passkey'ler aracılığıyla QR kod ile giriş. Her yöntem benzersiz avantajlar sunar ve güvenlik, kullanıcı deneyimi ve uygulama karmaşıklığı gibi faktörlere bağlı olarak farklı kullanım durumları için uygundur.

• Yerel Uygulamalar Aracılığıyla QR Kod ile Giriş, bir QR kodunu bir mobil cihaza yüklenmiş belirli bir uygulamayla bağlamak için derin bağlantıdan (deep linking) yararlanır. Bir kullanıcı QR kodunu taradığında, ilişkili uygulama tetiklenir ve sorunsuz ve güvenli bir giriş süreci kolaylaştırılır. Bu yöntem, kullanıcıların uygulama ortamına aşina olduğu ve şifre girmeye gerek kalmadan kolayca kimlik doğrulaması yapabildiği WhatsApp, TikTok ve Revolut gibi uygulama öncelikli uygulamalarda yaygın olarak kullanılır.
• Passkey'ler Aracılığıyla QR Kod ile Giriş, doğrudan işletim sisteminin platform doğrulayıcılarına entegre olan daha gelişmiş, cihazlar arası bir kimlik doğrulama yaklaşımı kullanır (herhangi bir yerel uygulama yüklemeye gerek yoktur). Bu yöntem, senkronize edilmiş passkey'ler kullanarak ve kimlik doğrulama işlemi sırasında her iki cihazın da yakın mesafede olmasını (Bluetooth ile doğrulanır) gerektirerek yüksek düzeyde güvenlik sağlamak üzere tasarlanmıştır. Bu yöntem, kimlik avı saldırılarına karşı güçlü koruma sunar ve birden fazla cihazda akıcı bir kullanıcı deneyimi sağlar.

Her iki yöntemin nasıl karşılaştırıldığına ve farklı özelliklere sahip olduğuna bakalım:

Karşılaştırma Tablosu: Yerel Uygulamalarla QR Kod ile Giriş vs. Passkey'ler ile QR Kod ile Giriş

Karşılaştırma tablosunda kimlik doğrulama tabanlı özelliklere odaklandık ve üçüncü bölümde özetlenen çevre gereksinimleri her iki alternatif için de geçerlidir. Passkey'ler ile konum ve zaman tabanlı kısıtlamalara gerek yoktur, çünkü WebAuthn aracılığıyla kimlik avı direnci ve yakınlık kontrolleri kullanırlar.

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

Girişte belirtildiği gibi, cihazlar arası kimlik doğrulamanın en yaygın iki senaryosuna göz attık, şimdi bunları kısaca özetleyelim:

• Yerel Uygulamalarla QR Kod ile Giriş, yerel uygulamalarında güçlü bir kullanıcı tabanına sahip olan, henüz passkey'leri uygulamayı düşünmeyen ve kimlik avı saldırıları konusunda çok endişeli olmayan şirketler için idealdir. Bu yöntem, uygulamanın mevcut kimlik doğrulama mekanizmalarını kullanarak kolaylık ve güvenlik sağlar, uygulamayı sık kullanan kullanıcılar için sürtünmeyi azaltır, ancak seyrek uygulama girişlerinde yardımcı olmaz.
• Passkey'ler ile QR Kod ile Giriş, özellikle cihazlar arası kimlik doğrulamanın gerekli olduğu ve passkey'lerin de düşünüldüğü veya zaten bir kimlik doğrulama faktörü olarak kullanıldığı ortamlar için daha güvenli ve esnek bir seçenek sunar. Platform düzeyinde kimlik doğrulama ve Bluetooth tabanlı yakınlık kontrollerinden yararlanarak, bu yöntem geleceğe dönük tek kimlik avına dayanıklı çok faktörlü kimlik doğrulama yöntemini cihazlar arası durumlara da taşır.

Girişteki sorularımızı yanıtlamak için:

• İki yaklaşım nasıl farklılaşıyor: Her kuruluş, kullanıcı tabanı, güvenlik gereksinimleri ve istenen kullanıcı deneyimi gibi faktörleri göz önünde bulundurarak ihtiyaçlarına en uygun yöntemi seçmelidir. Uygulama merkezli hizmetler için, yerel uygulamalar aracılığıyla QR kod girişini entegre etmek yeterli olabilir. Ancak, maksimum güvenliğe, cihazlar arası yeteneklere öncelik verenler için, passkey'ler aracılığıyla QR kod ile giriş sağlam bir çözüm sunar.

Hangi çözümün mevcut kimlik doğrulama mimarisine uyduğuna dair mevcut değerlendirmeden bağımsız olarak, passkey'lerin kimlik doğrulamanın geleceğine yapılan bir yatırım olduğu unutulmamalıdır, çünkü ekosistem açıkça bu yönde ilerlemektedir. Passkey'leri toplamaya erken başlamak, farklı CDA stratejileriyle birleştirilebilir.