Revolut Passkeys: Cesur Bir Adım, Ancak Geliştirilecek Yönleri Var

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

Dijital bankacılıkta, kullanıcı deneyiminden ödün vermeden güçlü güvenlik ihtiyacı, yenilikçi çözümleri beraberinde getirdi. Bu çözümler arasında, yeni kullanıcı kimlik doğrulama standardı olarak passkey'ler öne çıkıyor. Londra merkezli lider neo-bankalardan biri olan Revolut, geçtiğimiz günlerde sessiz sedasız bir şekilde hem Bireysel hem de Kurumsal hesaplar için passkey'leri kullanıma sunmaya başladı. Bu stratejik hamle, yalnızca daha güvenli ve kullanışlı dijital deneyimlere yönelik artan talebi karşılamakla kalmıyor, aynı zamanda Revolut'u bankacılık sektörünün passkey'leri benimsemesinde bir öncü olarak konumlandırıyor.

Get a free passkey assessment in 15 minutes.

Book free consultation

Passkey'leri kullanıma sunmasıyla Revolut, Coinbase, WhatsApp, Nintendo ve Uber gibi teknoloji devlerinin başlattığı passkey akımını takip ediyor. Finans sektöründe ise Revolut, passkey'leri sunan ilk bankalardan biri, hatta belki de şimdiye kadarki en büyük banka.

Yasal Uyarı: Önümüzdeki haftalarda passkey'lerin kademeli olarak daha geniş bir kitleye sunulmasını ve hataların giderilmesini bekliyoruz. Bu gönderiyi de buna göre güncelleyeceğiz. Mevcut sürüm 7 Şubat 2024 tarihlidir.

Passkey'ler, şifresiz kimlik doğrulamanın bir sonraki aşamasını temsil ediyor ve kullanıcılara hesaplarına sorunsuz ama güvenli bir şekilde erişme imkanı sunuyor. Geleneksel şifrelerin aksine passkey'ler, karmaşık şifreleri hatırlama zorunluluğunu ortadan kaldırır. Bunun yerine, her kullanıcı ve cihaz için benzersiz anahtarlarla asimetrik kriptografiye dayanır. Bu yöntem, phishing (oltalama) saldırıları ve veri ihlali riskini azaltarak güvenliği artırmakla kalmaz, aynı zamanda kullanıcıların yalnızca Face ID, Touch ID veya Windows Hello kullanması gerektiği için giriş sürecini basitleştirir ve genel kullanıcı deneyimini iyileştirir.

Revolut, passkey'leri aşamalı bir şekilde sunuyor ve özellikleri Kurumsal ve Bireysel hesaplar için eş zamanlı olarak yayınlamıyor. Araştırmamız sırasında fark ettiğimiz başlıca farklılıklar aşağıdaki tabloda özetlenmiştir:

Revolut'un passkey entegrasyonunda olumlu olarak belirtilmesi gereken yönler şunlardır:

• Bankacılık Sektöründe Güvenli Dijital Liderlik: Passkey adaptasyonunda öncülük ederek Revolut, bankacılık alanındaki dijital lider konumunu güvence altına almakla kalmıyor, aynı zamanda diğer finans kurumlarını da bu adımı atmaya teşvik ediyor.
• Kullanıcı Deneyimini İyileştirme: Passkey'ler, kullanıcı kimlik doğrulamasının en basit şeklidir. Çünkü kullanıcıların MFA için ikinci bir cihaza ihtiyacı yoktur ve karmaşık şifreleri hatırlamaları gerekmez.
• SMS OTP Maliyetlerinden Tasarruf: Kurumsal düzeydeki passkey girişimlerinin arkasındaki itici güçlerden biri genellikle yalnızca UX iyileştirmeleri ve güvenlik avantajları değil, aynı zamanda modası geçmiş ve oldukça güvensiz olan (ve bankalar arasında hala yaygın olan) SMS OTP için yüksek maliyetlerden tasarruf etmektir.

Revolut'un passkey entegrasyonuna yönelik bu cesur adımı takdire şayan olsa da, lansman süreci bazı kusurlar içeriyor.

• Bilgilendirici Passkey Kaynaklarının Eksikliği: Kullanıcılar için resmi passkey SSS veya rehberlerinin bulunmaması (biz herhangi birine rastlamadık), özellikler kullanıcılara sunulsa bile lansmanın iletişiminde bir boşluk olduğunu gösteriyor. Ayrıntılı dokümantasyon sağlamak, passkey'lerin gizemini çözmeye yardımcı olarak tüm kullanıcılar için daha sorunsuz bir geçişi teşvik edebilir.
• Tutarsız Passkey UX: Gözlemlerimiz, passkey özelliklerinin kullanılabilirliğinin ve işlevselliğinin cihazlar ve platformlar arasında farklılık gösterdiğini ortaya koyuyor. Passkey ayarlarının güvenilir bir şekilde görüntülendiği ve passkey tanıtım pencerelerinin gerçek passkey oluşturma süreçlerine yol açtığı (testlerimiz sırasında yalnızca Windows 11'de çalıştı) tutarlı bir kullanıcı deneyimi sağlamak, kullanıcı güvenini artıracaktır.
• Conditional UI Eksikliği: Conditional UI (Koşullu Arayüz) kullanımı ezber bozabilir. Sadece şifresiz değil, aynı zamanda kullanıcı adısız girişler sunarak kullanıcı deneyimini artırmak, giriş sürecini daha da kolaylaştıracak ve sezgisel hale getirecektir.
• Yerel Uygulama Entegrasyonu Yok: Şu anda Revolut'un mobil öncelikli yaklaşımı, yerel iOS ve Android uygulamalarında passkey desteğini kapsamıyor. Passkey'leri yerel uygulamalarla entegre etmek, iOS ve Android cihazların yüksek passkey'e hazır olma durumundan yararlanmayı sağlar.
• Platformlar Arasında Birleşik Kimlik Doğrulama Yok: Web ve yerel uygulama passkey kimlik doğrulaması arasındaki boşluğu doldurmak karmaşık bir zorluk teşvik ediyor (örnek bir kurulum hakkında daha fazla teknik ayrıntı için bu blog yazısını okuyun). Ancak, web uygulaması, iOS uygulaması ve Android uygulaması arasında paylaşılan passkey'lere izin veren birleşik bir kimlik doğrulama mekanizması oluşturmak, güvenliği ve kullanıcı rahatlığını artırabilir.

Revolut has introduced passkeys

Join them

Devamında, Revolut Bireysel ve Kurumsal hesapları ve passkey'lerin belirli cihaz ve platformlarda nasıl kullanıma sunulduğunu daha derinlemesine inceliyoruz.

Revolut Kurumsal passkey analizine, yerel uygulamaları analiz etmeden önce web uygulamasına daha yakından bakarak başlıyoruz.

Aşağıdaki bölümde konuyu kısa tutmak için yalnızca belirli platform, cihaz ve tarayıcı kombinasyonlarını vurgulayacağız.

Unutmayın, Revolut'tan passkey açılır penceresini yalnızca bir kez, mevcut kimlik doğrulama yöntemleriyle başarılı bir şekilde giriş yaptıktan sonra alırsınız. Açılır pencereyi tekrar tetiklemek için ya Revolut çerezlerini silmeniz ya da siteye Gizli Tarayıcı modunda erişmeniz gerekir.

Revolut Kurumsal için giriş sayfasına eriştiğinizde, e-posta giriş alanının altında ve Google / Apple sosyal girişlerinin üzerinde yer alan ve Passkey ile devam et olarak etiketlenmiş yeni ve dikkat çekici bir giriş seçeneğini hemen fark edeceksiniz.

Passkey'leri etkinleştirmeye yönelik tanıtım penceresi aşağıdaki gibidir:

İlginç bir şekilde, Revolut Kurumsal için birincil kullanıcı tanımlayıcısı e-posta adresi olmasına rağmen, passkey'ler telefon numarasına bağlıdır. Bunun nedeni muhtemelen Revolut Bireysel hesaplarının önce bir telefon numarasıyla oluşturulmasıdır.

Artık Windows 11 ve Chrome'da başarılı bir şekilde bir passkey oluşturduğunuza göre, çıkış yapabilir ve giriş sayfasındaki Passkey ile devam et seçeneğine tıklayabilirsiniz. Ardından, passkey kimlik doğrulamasını yönetmek için tarayıcı arayüzü görünecektir:

Revolut Kurumsal için mevcut giriş prosedürünün aksine, bir şifre girmeniz ve kimliğinizi yerel uygulamadaki bir anlık bildirim veya ikinci bir faktör olarak bir e-posta sihirli bağlantısı aracılığıyla doğrulamanız gerekir. Passkey girişleri için ise ek bir kimlik doğrulama yöntemine gerek yoktur, çünkü passkey'ler doğası gereği 2FA (İki Faktörlü Kimlik Doğrulama) işlevi görür. Bu, özellikle masaüstü cihazlarda bağlam değiştirme veya ikinci bir cihaz kullanma ihtiyacını ortadan kaldırdığı için kullanıcı deneyiminde önemli bir iyileşme anlamına gelir.

Android 14 ve Chrome 121'de, Passkey ile devam et giriş butonu oldukça belirgindir.

iOS 17.3 ve Safari'de, Passkey ile devam et giriş butonu yine oldukça belirgindir.

Revolut Kurumsal için yerel iOS ve Android uygulamaları henüz passkey'leri desteklemiyor. Bu nedenle, iOS (ekran görüntüsüne bakın) veya Android uygulamasının Güvenlik ve gizlilik bölümünde bir Passkey seçeneği bulunmuyor:

Dikkat edilmesi gereken ilk farklardan biri, Revolut Bireysel'in birincil kullanıcı tanımlayıcısı olarak telefon numarasını kullanmasıdır. Şifre yerine kimlik doğrulama 6 ila 12 haneli bir şifre kodu ile yönetilirken, Revolut Kurumsal 4 haneli bir şifre kodu kullanır ve varsayılan giriş sürecinde şifreden yararlanır.

Aşağıdaki bölümde konuyu kısa tutmak için yalnızca belirli platform, cihaz ve tarayıcı kombinasyonlarını vurgulayacağız.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

İlk kez giriş yaptığınızda (veya çerezlerinizi sildikten / Gizli Tarayıcı modunda olduktan sonra) aşağıdaki tanıtım amaçlı passkey açılır penceresi görüntülenir:

Bir nedenden ötürü, önceki ekranda Passkey ekle'ye tıkladıktan sonra, Touch ID ile passkey oluşturma sürecini başlatma fırsatı bulamadan doğrudan giriş yapılmış sayfaya yönlendirildik. Sorunu araştırdığımızda, Safari'nin geliştirici araçlarının ağ sekmesinde ilgili API çağrısını (https://sso.revolut.com/api/challenges /webauthn) bulduk. Ancak, bu API çağrısı bir HTTP 403 durum kodu döndürdü, bu da özelliğin görünüşe göre henüz tam olarak kullanıma sunulmadığını gösteriyor.

Revolut Kurumsal hesabının aksine, Revolut Bireysel'deki hesap ayarlarında passkey'ler için bir bölüm bulunmaktadır:

İlk kez giriş yaptığınızda (veya çerezlerinizi sildikten / Gizli Tarayıcı modunda olduktan sonra) aşağıdaki tanıtım amaçlı passkey açılır penceresi görüntülenir:

Revolut Bireysel için yerel iOS ve Android uygulamaları henüz passkey'leri desteklemiyor. Ancak, hem iOS uygulaması hem de Android uygulaması (aşağıdaki ekran görüntülerine bakın) passkey'ler için bir güvenlik ayarları bölümü içeriyor:

aşağıda, bazı teknik konulara daha derinlemesine dalıyoruz.

Become part of our Passkeys Community for updates & support.

Join

Teknik uygulama özelliklerini inceledik. Temel olarak, giriş sayfası her yüklendiğinde, arka uca bir client_id gönderilir ve bu da hesap türüne göre farklı kimlik doğrulama seçenekleri döndürür:

• Kurumsal Hesap: Apple, Google, Passkeys (WebAuthn) ile giriş
• Bireysel Hesap: Apple, Google ile giriş

İlginç bir şekilde, Revolut Bireysel hesapları için passkey seçeneği hazırlanmış ancak henüz etkinleştirilmemiş (aşağıdaki ekran görüntüsüne bakın), bu da bir lansmanın yakın olabileceğini ve Bireysel hesaplar için de bir "Passkey ile devam et" butonunun hızla uygulanabileceğini gösteriyor.

Giriş seçeneklerini görüntüleme kararı client_id değerine dayanmaktadır. Örneğin: https://sso.revolut.com/signin?client_id=o3r08ao16zvdlf2y5fde Deneysel amaçlarla, client_id değerini rastgele bir değere değiştirdik, bu da Windows 11 ve Chrome'da tüm giriş seçeneklerini (telefon numarası ve e-posta arasında giriş tanımlayıcısı olarak geçiş yapma imkanı dahil) ortaya çıkardı.

Giriş işlemi sırasında PublicKeyCredentialRequestOptions dosyasını analiz ettik. Dikkate değer bir şekilde, allowCredentials ayarlanmamışken, relying party ID "sso.revolut.com" olarak belirlenmişti. userVerification değerini "preferred" (tercih edilen) olarak ayarlamak, güvenlik açısından akıllıca bir seçimdir.

publicKeyCredentialRequestOptions.json
{
    "allowCredentials": [],
    "challenge": "WHAxZnJDaDB1VnNXMmlOQW1hVndqdTYzSzF3emR3b3gtRFRCWHVxRjJYRQ",
    "rpId": "sso.revolut.com",
    "userVerification": "preferred"
}

Yerel iOS ve Android uygulamalarına bir lansmanın nasıl görünebileceğini de analiz ettik ve bu nedenle sso.revolut.com'un relying party ID'sini kullandık ve bu dosyaların passkey lansmanıyla ilgili ne gibi bilgiler içerebileceğini görmek için assetlinks.json (Android) ve apple-app-site-association (iOS) dosyalarının yollarını ekledik.

https://sso.revolut.com/.well-known/assetlinks.json adresine erişmeye çalışmak, nginx'ten 404 hatasıyla sonuçlanıyor, bu da dosya yönetimi için bir ters proxy kullanıldığını düşündürüyor. https://app.revolut.com alan adını kullanarak, assetlinks.json dosyasını https://app.revolut.com/.well- known/assetlinks.json adresinde bulduk ve bu dosya Revolut Bireysel için aydınlatıcı bilgiler sağladı:

assetlinks.json
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "11:F2:5B:D6:30:60:CE:B4:EF:EC:48:7C:C8:1F:6D:3D:D0:3A:75:C3:E9:D2:C5:32:3D:69:55:9D:C1:7F:6A:23"
            ]
        }
    },
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut.test",
            "sha256_cert_fingerprints": [
                "90:EC:5D:75:11:4E:67:B7:F1:3F:C0:D0:57:85:9B:78:0D:A0:BA:49:E2:22:4C:60:42:7E:D2:EA:00:84:D1:B7"
            ]
        }
    }
]

https://well-known.dev aracılığıyla, Revolut Kurumsal için ilişkilendirme dosyasını da https://business.revolut.com/.well-known/assetlinks.json adresinde keşfettik:

assetlinks.json
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.business",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "9F:07:80:54:0F:3A:C9:6F:D7:26:02:8A:37:C5:CD:48:DB:A3:67:EE:2D:93:B3:9D:DE:51:BC:F2:2E:7F:B1:88",
                "F8:F5:95:3A:C3:85:DB:0D:85:C3:56:E9:9B:37:BD:CA:4D:EE:B0:D2:52:C6:2A:36:4F:BA:C8:3B:C6:AF:3A:C2"
            ]
        }
    }
]

Ne Revolut Bireysel için assetlinks.json dosyası ne de Revolut Kurumsal için olanı, yerel Android uygulamasını web uygulamasıyla ilişkilendirmek için relying party ID tarafından belirlenen yolda bulunmadığından, passkey'lerin hem web hem de yerel Android uygulamalarında çalışmasını sağlamak için ne gibi değişikliklerin gerekli olduğunu düşünmek ilginç.

Revolut Bireysel için apple-app-site-association dosyasına https://revolut.com/.well-known/apple-app-site-association adresinden erişilebilir ve henüz web kimlik bilgileriyle ilgili herhangi bir ayrıntı eklenmemiştir:

apple-app-site-association
{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.revolut",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.test",
                "paths": ["/app/*"]
            }
        ]
    }
}

Buna karşılık, Revolut Kurumsal apple-app-site-association dosyası, özellikle web kimlik bilgileriyle ilgili daha kapsamlı bilgiler içerir. Bu, QUZEZSEARC.com.revolut.business iOS uygulamasının Revolut Kurumsal web uygulamasıyla kimlik bilgilerini paylaşacak şekilde yapılandırıldığını gösterir. Bu dosyaya https://business.revolut.com/.well-known/apple-app-site-association adresinden erişilebilir.

{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.business",
                "paths": [
                    "/",
                    "/accept-payments/in-person",
                    "/accept-payments/online-requests",
                    "/accept-payments/web-integrations",
                    "/accounts",
                    "/accounts/connect-external",
                    "/accounts/connect-external/*",
                    "/accounts/new",
                    "/accounts/transactions",
                    "/account-transactions/*",
                    "/action/confirm",
                    "/add-card-to-wallet",
                    "/advances",
                    "/advances/manual-repayment",
                    "/app/*",
                    "/application",
                    "/approvals/requests",
                    "/article/*",
                    "/articles/*",
                    "/bug-report",
                    "/card-reader/order",
                    "/cards",
                    "/cards/*",
                    "/cards/*/sca-counters-exceed",
                    "/cards/*/sca-counters-warn",
                    "/cards/*/security",
                    "/cards/*/settings",
                    "/cards/*/transactions",
                    "/cashback",
                    "/catalogue/manage",
                    "/challenges/*",
                    "/consumer-tickets/*",
                    "/crypto",
                    "/e-commerce",
                    "/exchange",
                    "/expense-documents/*",
                    "/expenses",
                    "/expenses/*",
                    "/faq",
                    "/faq/*",
                    "/favourites",
                    "/form",
                    "/form/*",
                    "/help-centre",
                    "/help-centre/topic/*",
                    "/hub/integrations",
                    "/insurance",
                    "/invoices",
                    "/invoices/*",
                    "/marketplace",
                    "/merchant",
                    "/merchant/*",
                    "/new-card-acceptance-pricing",
                    "/offboarding",
                    "/open-onboarding-application-next-step",
                    "/orders",
                    "/pay-in-store/order/*",
                    "/payments",
                    "/payments/scheduled",
                    "/payments/transfers",
                    "/plan/subscriptions",
                    "/points",
                    "/pricing-plans",
                    "/qr-code-sign-in/*",
                    "/referrals",
                    "/referrals/invite-contacts",
                    "/referrals/invitee-details/*",
                    "/request-info",
                    "/request-info/merchant",
                    "/requests",
                    "/requests/request",
                    "/reset-password",
                    "/rewards",
                    "/sales/revolut-me",
                    "/statements",
                    "/savings",
                    "/send",
                    "/settings/accounts-and-documents",
                    "/settings/business-profile",
                    "/settings/manage-devices",
                    "/settings/merchant-profile",
                    "/settings/merchant-profile/branding",
                    "/settings/notifications",
                    "/settings/personal-profile",
                    "/settings/trusted-merchants",
                    "/settings/vat-number",
                    "/signup/invite",
                    "/stories/*",
                    "/story/*",
                    "/subscriptions",
                    "/team",
                    "/team/approvals",
                    "/team/member/add",
                    "/team/roles",
                    "/tip/settings",
                    "/topup",
                    "/transactions",
                    "/transactions/*/add-expense-info",
                    "/transactions/*/add-info-flow",
                    "/transactions/*/chargeback-status",
                    "/transfers",
                    "/treasury",
                    "/upgrade",
                    "/vouchers"
                ]
            }
        ]
    },
    "webcredentials": {
        "apps": ["QUZEZSEARC.com.revolut.business"]
    }
}

Android'de olduğu gibi, web uygulaması için relying party ID'si (sso.revolut.com) ilişkilendirme dosyalarını beklenen konumlarda bulundurmadığı için, yerel ve web uygulamaları arasında platformlar arası passkey paylaşımının nasıl uygulanabileceği merak konusu olmaya devam ediyor.

Sonuç olarak, Revolut'un passkey lansmanı, bankacılık sektöründe kullanıcı kimlik doğrulamasında devrim yaratmaya yönelik önemli bir adımdır. Passkey'leri benimseyerek Revolut, yalnızca geleneksel şifrelerden uzaklaşarak güvenliği artırmakla kalmaz, aynı zamanda daha basit bir giriş süreciyle kullanıcı deneyimini (UX) önemli ölçüde geliştirir. Cihazlar arası tutarsızlıklar ve yerel uygulama desteğinin olmaması gibi ilk lansman zorluklarına rağmen, Revolut'un çabaları dijital yeniliğe ve kullanıcı odaklı tasarıma olan bağlılığının altını çiziyor.

Teknik analiz, sorunsuz bir passkey entegrasyonu için temel atılmış olsa da, iyileştirilmeye açık alanlar olduğunu ortaya koyuyor. İletişimi geliştirmek, platformlar arası tutarlılığı sağlamak ve desteği yerel mobil uygulamaları da içerecek şekilde genişletmek kritik sonraki adımlardır. Bu alanları ele almak, yalnızca Revolut'un uygulamasını iyileştirmekle kalmayacak, aynı zamanda sektör için bir ölçüt belirleyerek diğer finans kurumlarını da yakında passkey'leri benimsemeye teşvik edecektir (ayrıca passkey'lerin PSD2 uyumluluğu hakkındaki blog yazımıza da bakınız).