WebAuthn Genel Anahtar Kimlik Bilgisi / User-Agent İpuçları

WebAuthn ve Passkey'ler giderek daha fazla popülerlik ve kullanım kazanıyor. Ayrıca, teknik açıdan bakıldığında WebAuthn standardı hızla gelişiyor. WebAuthn genel anahtar kimlik bilgisi ipuçları (User-agent İpuçları olarak da bilinir), geliştiricilerin uygulamalarında Passkey ile kimlik doğrulama yöntemini iyileştirmeyi amaçlayan Web Authentication API'sine eklenen en son özelliktir.

Bu makalede aşağıdaki soruları yanıtlayacağız:

• WebAuthn Genel Anahtar Kimlik Bilgisi İpuçları nedir?
• WebAuthn Genel Anahtar Kimlik Bilgisi İpuçlarına neden ihtiyacımız var?
• WebAuthn Genel Anahtar Kimlik Bilgisi İpuçları nasıl çalışır?
• Projeleriniz için WebAuthn Genel Anahtar Kimlik Bilgisi İpuçlarının sınırlamaları ve önerilen kullanım alanları nelerdir?

Önce motivasyonumuza bir göz atarak başlayalım.

Günümüzde bir Passkey oluşturup saklayabileceğiniz farklı yerler bulunmaktadır:

• Üçüncü taraf parola yöneticileri (ör. 1Password, Dashlane, Bitwarden, KeePassXC)
• Google Parola Yöneticisi / Chrome Profili
• iCloud Anahtar Zinciri / Apple Parolaları
• Windows Hello
• Başka bir akıllı telefon (iOS, Android) veya tablet (iPadOS, Android)
• Donanım güvenlik anahtarı (ör. YubiKey)

Kullanıcı için bu durum esneklik ve seçim özgürlüğü sunabilir. Ancak, bazı uygulamalar ve senaryolar, artan güvenlik gereksinimleri nedeniyle yalnızca donanım güvenlik anahtarlarına izin vermek istediğinizde olduğu gibi, bu seçeneklerden bazılarını kısıtlamayı gerektirir.

Bu Passkey oluşturma ve saklama sürecini etkilemek için authenticatorAttachment özelliğine sahiptik.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

authenticatorAttachment, Relying Party'lerin Passkey'in nerede oluşturulabileceğini kısıtlamasına olanak tanır.

platform, WebAuthn'i çalıştıran cihaza yerleşik bir doğrulayıcıyı belirtir. WebAuthn, bu doğrulayıcıyla platforma özgü API'ler gibi o platforma özel aktarım yöntemlerini kullanarak iletişim kurar. Bir platform doğrulayıcısıyla bağlantılı genel anahtar kimlik bilgisine platform kimlik bilgisi denir. Yukarıdaki listeden, aşağıdaki kimlik bilgisi yöneticileri / konumları platform kimlik bilgilerini saklayabilir:

• Üçüncü taraf parola yöneticileri (ör. 1Password, Dashlane, Bitwarden, KeePassXC)
• Google Parola Yöneticisi / Chrome Profili
• iCloud Anahtar Zinciri / Apple Parolaları
• Windows Hello

Windows 11 ve Chrome:

macOS 15 (Sequoia) ve Chrome:

İptal'e tıklandığında aşağıdaki pencere belirir:

macOS 15 (Sequoia) ve Safari:

cross-platform, WebAuthn'i çalıştıran cihazın haricinde olan (gezici doğrulayıcı) bir doğrulayıcıyı belirtir çünkü birden fazla cihazda kullanılabilir. WebAuthn, bu doğrulayıcıyla Bluetooth veya NFC gibi çapraz platform aktarım protokollerini kullanarak etkileşime girer. Gezici bir doğrulayıcıyla ilişkili bir genel anahtar kimlik bilgisine gezici kimlik bilgisi denir. Yukarıdaki listeden, aşağıdaki kimlik bilgisi yöneticileri / konumları çapraz platform kimlik bilgilerini saklayabilir:

• Başka bir akıllı telefon (iOS, Android) veya tablet (iPadOS, Android)
• Donanım güvenlik anahtarı (ör. YubiKey)

Windows 11 ve Chrome:

macOS 15 (Sequoia) ve Chrome:

macOS 15 (Sequoia) ve Safari:

Belirtilmemiş olması, ya bir platform doğrulayıcısının ya da bir çapraz platform doğrulayıcısının kullanılabileceğini gösterir. Burada, kullanıcı Passkey'lerini nerede saklamak istediğini seçebilir.

Windows 11 ve Chrome:

macOS 15 (Sequoia) ve Chrome:

macOS 15 (Sequoia) ve Safari:

İptal'e tıklandığında aşağıdaki pencere belirir:

authenticatorAttachment uzun bir süredir kullanılıyordu. Ancak, Cihazlar Arası Kimlik Doğrulama (QR kodları ve Bluetooth aracılığıyla) gibi yeni gelişmelere karşı esnek değildi. Burada, bir Passkey örneğin Google Parola Yöneticisi'nde (platform kimlik bilgisi) saklanır ama Relying Party tarafından cross-platform ile tetiklenir. Bunun yanı sıra, bir Relying Party'nin bir giriş (kayıt değil) işleminde kullanılacak Passkey türünü etkileme kontrolü yalnızca bir kimlik bilgisinin transports değerini değiştirerek yapılabilirdi.

İşte bu noktada WebAuthn Genel Anahtar Kimlik Bilgisi İpuçları devreye giriyor.

Become part of our Passkeys Community for updates & support.

Join

WebAuthn genel anahtar kimlik bilgisi ipuçları, Web Authentication API'sine (WebAuthn Level 3 ile resmi olarak) eklenen yeni bir parametredir. Bu ipuçları, bir kullanıcının kimlik doğrulama işlemi sırasında kullanması muhtemel olan doğrulayıcı türü hakkında tarayıcılara rehberlik eder. Bu, tarayıcının kullanıcı arayüzünü en alakalı seçeneklere odaklayarak daha akıcı ve sezgisel bir kullanıcı deneyimi sunmaya yardımcı olur.

Üç Tür İpucu

İpuçları üç türde gelir:

1. security-key: Kullanıcının bir donanım güvenlik anahtarı (ör. YubiKey) kullanmasının beklendiğini belirtir.
2. client-device: Kullanıcının istemci cihazına bağlı bir platform doğrulayıcısı (macOS'te Touch ID, iOS'ta Face ID veya Windows'ta Windows Hello gibi) kullanacağını önerir.
3. hybrid: Kullanıcının QR kodu ve Bluetooth aracılığıyla cihazlar arası kimlik doğrulama için bir akıllı telefon veya tablet kullanabileceğini ima eder.

Bu ipuçları, Relying Party tarafından belirlenen katı gereksinimler değil, tarayıcıya ipucu vererek kullanıcı deneyimini geliştirmek için bir rehber görevi görür.

Aşağıda, authenticatorAttachment belirtilmemiş ve WebAuthn User-agent İpucu security-key olarak ayarlanmış macOS Sequoia (Edge + Chrome) ve Windows 10 (Chrome) için ekran görüntülerini görüyorsunuz.

Burada başka bir sınırlama görüyoruz: security-key ipucu Windows 10'da, en azından doğrudan, dikkate alınmıyor. Akış, temel olarak client-device ipucu ile aynı.

İptal'e tıklandığında aşağıdaki pencere belirir:

Aşağıda, authenticatorAttachment belirtilmemiş ve WebAuthn User-agent İpucu client-device olarak ayarlanmış macOS Sequoia (Edge + Chrome) ve Windows 10 (Chrome) için ekran görüntülerini görüyorsunuz.

İptal'e tıklandığında aşağıdaki pencere belirir:

İptal'e tıklandığında aşağıdaki pencere belirir:

İptal'e tıklandığında aşağıdaki pencere belirir:

Aşağıda, authenticatorAttachment belirtilmemiş ve WebAuthn User-agent İpucu hybrid olarak ayarlanmış macOS Sequoia (Edge + Chrome) ve Windows 10 (Chrome) için ekran görüntülerini görüyorsunuz.

İpuçlarının tanıtılmasıyla birlikte, geliştiriciler artık azalan öncelik sırasına göre bir dizi tercih sunarak daha fazla esneklik sağlayabilirler.

Aşağıdaki kod parçacığı, tarayıcıya kullanıcının muhtemelen bir donanım güvenlik anahtarı kullanarak kimlik doğrulaması yapacağını bildirir ve kullanıcı arayüzünü buna göre odaklar.

Eski user-agent'larla uyumluluk için, bu ipucu PublicKeyCredentialCreationOptions içinde kullanıldığında, authenticatorAttachment cross-platform olarak ayarlanmalıdır.

const credential = await navigator.credentials.create({
  publicKey: {
    challenge: /* your challenge here */,
    hints: ['security-key'],
    authenticatorSelection: {
      authenticatorAttachment: 'cross-platform'
    }
  }
});

security ipucu, web sitesinin / Relying Party'nin yalnızca donanım güvenlik anahtarlarına izin vermek istediği ve kullanıcıyı bu yöne teşvik ettiği yüksek güvenceli durumlarda özellikle değerlidir.

Bu örnekte, ipucu kullanıcının mevcut cihazın yerleşik platform doğrulayıcısını kullanabileceğini önerir.

Eski user-agent'larla uyumluluk için, bu ipucu PublicKeyCredentialCreationOptions içinde kullanıldığında, authenticatorAttachment platform olarak ayarlanmalıdır.

const credential = await navigator.credentials.create({
  publicKey: {
    challenge: /* your challenge here */,
    residentKey: true,
    hints: ['client-device'],
    authenticatorSelection: {
      authenticatorAttachment: 'platform'
    }
  }
});

client-device ipucunu ayarlamak, bir kullanıcı hesabıyla ilişkili birden fazla Passkey varsa ve bunlardan bazıları giriş yapılan cihazda mevcutken diğerleri farklı cihazlarda saklanıyorsa faydalıdır. Eğer sistem (Passkey zekası) giriş yapmaya çalışan kullanıcının yüksek olasılıkla yerel bir Passkey'e sahip olduğunu tespit ederse, bu ipucu PublicKeyCredentialRequestOptions içinde ayarlanarak kullanıcının doğru Passkey'i seçmek için yapacağı bir tıklamadan tasarruf etmesini sağlar.

Bu örnekte, ipucu kullanıcının kimlik doğrulama için bir akıllı telefon veya benzer bir cihaz kullanabileceğini önerir.

Eski user-agent'larla uyumluluk için, bu ipucu PublicKeyCredentialCreationOptions içinde kullanıldığında, authenticatorAttachment cross-platform olarak ayarlanmalıdır.

const credential = await navigator.credentials.create({
  publicKey: {
    challenge: /* your challenge here */,
    residentKey: true,
    hints: ['hybrid'],
    authenticatorSelection: {
      authenticatorAttachment: 'cross-platform'
    }
  }
});

hybrid ipucu, kullanıcının birden fazla anahtarı varsa ve sistem (Passkey zekası) mevcut cihazda muhtemelen yerel bir Passkey olmadığını tespit ederse yardımcı olabilir. Kullanıcı deneyimini iyileştirmek ve bir tıklamadan tasarruf etmek için bu WebAuthn User-agent ipucunu ayarlayabilir ve kullanıcıyı doğrudan cihazlar arası kimlik doğrulamaya ( QR kodu ve Bluetooth aracılığıyla) yönlendirebilirsiniz. Ayrıca, bir mobil öncelikli Passkey sistemi kurmaya çalışıyorsanız, bu ipucunu ayarlamak çok mantıklıdır.

Farklı seçeneklerle kendiniz oynamak için Passkeys Debugger aracına göz atmanızı öneririz.

Want to experiment with passkey flows? Try our Passkeys Debugger.

Try for Free

WebAuthn Genel Anahtar Kimlik Bilgisi İpuçlarının authenticatorAttachment ve kimlik bilgisi transports gibi diğer WebAuthn parametreleriyle nasıl etkileşime girdiğini anlamak çok önemlidir.

Öncelikle, bu ipuçlarının katı gereksinimler olmadığını belirtmek önemlidir. User-agent'ı (tarayıcıyı) bağlamazlar, ancak isteğinizle ilgili bağlamsal bilgilerden yararlanarak en iyi deneyimi sunmak için bir rehber görevi görürler. Bu, tarayıcıların ipuçlarını dikkate almayı seçebileceği ancak onlara sıkı sıkıya uymak zorunda olmadığı anlamına gelir.

İpuçları, azalan tercih sırasına göre bir dizi olarak sağlanır. Bu sıra, tarayıcının onlara nasıl öncelik vermesi gerektiğini belirler:

• İlk İpucu Önceliklidir: İki ipucu çelişkiliyse, tarayıcı ilkine öncelik verir.
• Örtüşen İpuçları: Daha spesifik bir ipucu tüm tarayıcılar tarafından tanınmayabilirse, daha geniş uyumluluk için sonrasında daha az spesifik olanları ekleyebilirsiniz.
• Yinelenen İpuçları: Aynı ipucu birden fazla kez görünürse, sonraki görünümler göz ardı edilir.

Örnek:

hints: ['security-key', 'hybrid', 'client-device']

Bu dizide:

1. Tarayıcı önce security-key'e öncelik verir.
2. Uygulanamazsa, hybrid'i dikkate alır.
3. Son olarak, client-device'a (istemci cihazındaki platform doğrulayıcıları) bakar.

İpuçları, authenticatorAttachment ve kimlik bilgisi transports içinde yer alan bilgilerle çelişebilir. Bu durumda, ipuçları öncelik kazanır. Bu, doğrulayıcıyı platform veya cross-platform ile sınırlayan authenticatorAttachment'ın önceki katı kullanımına kıyasla daha fazla esneklik sunar.

Çelişkili Parametrelerle Örnek:

const credential = await navigator.credentials.create({
  publicKey: {
    challenge: /* your challenge here */,
    hints: ['hybrid'],
    authenticatorSelection: {
      authenticatorAttachment: 'platform' // İpucuyla çelişiyor
    }
  }
});

Bu durumda:

• İpucu: hybrid doğrulayıcılar için bir tercih önerir.
• authenticatorAttachment: Normalde doğrulayıcıları istemci cihazıyla sınırlayan platform belirtir.
• Sonuç: Tarayıcı, authenticatorAttachment yerine ipucuna öncelik vererek hybrid seçeneklerine odaklanır.

Şu anda, WebAuthn genel anahtar kimlik bilgisi ipuçları yalnızca Chrome'da (sürüm 128'den beri) mevcuttur. Şu an itibarıyla, Edge ve Safari bu özelliği entegre etme planlarını belirtmişken, Firefox henüz yayın takvimini onaylamamıştır.

Chrome'da authenticatorAttachment parametresinin şimdilik dikkate alınmaya devam ettiğini unutmamak önemlidir. Bu, bugün hangi ipucu ayarlanırsa ayarlansın, authenticatorAttachment'ın belirleyici faktör olduğu anlamına gelir. Ancak, gelecekteki Chrome sürümlerinde genel anahtar kimlik bilgisi ipuçlarının tercih edilen ve tek yaklaşım haline gelmesini bekliyoruz.

En son Chrome sürümü WebAuthn User-agent İpuçlarını desteklese de, bu ipuçları Windows 11 ve Windows Hello / Windows Güvenliği tarafından dikkate alınmaz. Bunun temel nedeni, kullanıcı arayüzünün işletim sisteminin (Windows Hello / Windows Güvenliği) kendisi tarafından kontrol edilmesidir.

Ayrıca, Google Parola Yöneticisi'nde saklanan ve Windows 11'e senkronize edilen bir Passkey için WebAuthn User-agent İpuçları dikkate alınmaz, çünkü Windows 11 üzerindeki son yerel kimlik doğrulama Windows Hello / Windows Güvenliği ile gerçekleşir. Windows 11'de Microsoft hesapları aracılığıyla Passkey'lerin yakında senkronize edilmesiyle, Windows 11 ve WebAuthn User-agent İpuçları için de iyileştirmeler bekliyoruz.

Windows 10'da ise WebAuthn User-agent İpuçları dikkate alınır, çünkü WebAuthn kullanıcı arayüzü Windows Hello / Windows Güvenliği tarafından değil, Chrome tarafından yönetilir. Ancak testlerimiz sırasında, security-key için bir etki görmedik. Bu ipucu ayarlandığında, akış client-device için olan gibi görünüyordu.

WebAuthn genel anahtar kimlik bilgisi (user-agent) ipuçları, hem geliştiricilere hem de kullanıcılara bir dizi fayda sağlar. Özellik hala yeni ve henüz tüm tarayıcılara ve işletim sistemlerine (Ekim 2024 itibarıyla) sunulmuş değil.

Özellikle Windows 11 ile gelen mevcut sınırlamaların farkında olmak önemlidir. Windows 11'de, Passkey kullanıcı arayüzü Windows Hello (Windows Hello güvenlik penceresi) tarafından yönetilir ve bu durum şu anda Chrome / Edge'in WebAuthn User-agent ipuçları desteğini geçersiz kılar. Bu durum, Google Parola Yöneticisi'nden Windows'a senkronize edilen Passkey'ler için de geçerlidir (burada da ipuçlarının henüz bir etkisi yoktur).

Bu, WebAuthn genel anahtar kimlik bilgisi ipuçlarının (büyük masaüstü işletim sistemleri arasında) yalnızca macOS ve Windows 10'da gerçekten çalıştığı anlamına gelir.

Ayrıca, Ekim 2024 itibarıyla, bu işletim sistemlerinde Chrome / Edge kullanılsa bile, authenticatorAttachment ayarlanmışsa, bu da WebAuthn User-agent ipuçlarını geçersiz kılar (Google'ın belirttiği gibi).

Kullanım senaryosu açısından, bu yeni özellikten en fazla değeri elde etmek için aşağıdaki önerilen kullanım durumlarını görüyoruz.

Arka uç ve Passkey zekanızı oluştururken, girişi kolaylaştırmak ve kullanıcıyı gereksiz tıklamalardan kurtarmak için genel anahtar kimlik bilgisi ipuçlarının doğru kullanımını dahil etmeye çalışın. Örneğin, sisteminiz bir kullanıcının muhtemelen yerel bir Passkey'in bulunduğu bir cihazda oturum açtığını tespit ederse, client-device ipucunu kullanın.

Kullanıcı web sitesine yeni bir cihazdan erişiyorsa ve Passkey zekanız bir Passkey'in kullanıcının mobil cihazında mevcut olabileceğini biliyorsa, ipucunu hybrid olarak ayarlayın, böylece kullanıcı hızla QR kodunu tarayabilir ve hibrit Passkey'den yararlanabilir.

Buradaki temel amaç, daha sorunsuz ve sezgisel bir kullanıcı deneyimi sağlamaktır. Tarayıcılara hangi doğrulayıcıların kullanılma olasılığının yüksek olduğu konusunda rehberlik ederek, geliştiriciler giriş işlemi sırasında kullanıcı kafa karışıklığını ve sürtünmeyi azaltabilir. Kullanıcıların gereksiz kimlik doğrulama seçenekleriyle bunalması yerine, ipuçları tarayıcıların en alakalı seçeneklere odaklanmasını sağlar, bu da daha hızlı ve daha basit bir deneyime yol açar.

Kullanıcı kimlik doğrulaması için donanım güvenlik anahtarlarını standartlaştırmış yüksek güvenceli işletmeler veya devlet kuruluşları, Passkey kimlik bilgisi ipuçlarını özellikle yararlı bulacaktır. security-key ipucunu kullanarak, tarayıcıların donanım güvenlik anahtarı seçeneğini belirgin bir şekilde göstermesini sağlayabilirler.

Bu, özellikle çalışanlara donanım güvenlik anahtarları verilen ve diğer kimlik doğrulama yöntemlerinin (platform doğrulayıcıları gibi) izin verilmediği büyük kuruluşlar için kullanışlıdır. security-key ipucu, işletmelerin gelecekteki iyileştirmeler için esnekliklerini sınırlamadan kimlik doğrulama akışlarını kilitlemelerini sağlar.

hybrid ipucu, cihazlar arası kimlik doğrulamanın ve dolayısıyla mobil öncelikli bir yaklaşımın istendiği veya kullanıcıların sık sık cihazlar veya platformlar arasında geçiş yaptığı senaryolarda öne çıkar.

Bu kullanım durumuna bir örnek, kullanıcılarının çoğunun kimlik doğrulama için akıllı telefonlarını biyometrik yöntemler veya web tabanlı doğrulayıcı uygulamaları (mobil öncelikli Passkey'ler) aracılığıyla kullanacağını öngören tüketiciye yönelik bir uygulama olabilir. Geliştiriciler, bir ipucu olarak hybrid belirterek, tarayıcının kullanıcı arayüzünün akıllı telefon kullanımını teşvik etmesini sağlar, bu da rahatlığı ve erişilebilirliği artırır.

WebAuthn genel anahtar kimlik bilgisi ipuçları, Passkey ile kimlik doğrulama sırasında kullanıcı deneyimini geliştirmek için esnek bir yol sunar. Girişteki soruları topladığımız bilgilerle yeniden gözden geçirelim:

1. WebAuthn Genel Anahtar Kimlik Bilgisi İpuçları nedir?

   Bunlar, bir kullanıcının en olası kimlik doğrulama yönteminin ne olacağı konusunda istemcilere rehberlik etmek için web sitesi / uygulama tarafından sağlanan isteğe bağlı önerilerdir – ister bir donanım güvenlik anahtarı, ister platform doğrulayıcısı, isterse cihazlar arası kimlik doğrulama gibi hibrit bir çözüm olsun.

2. WebAuthn Genel Anahtar Kimlik Bilgisi İpuçlarına neden ihtiyacımız var?

   Kullanıcılara sunulan seçenekleri daraltarak, gereksiz sürtünmeyi / tıklamaları azaltarak ve genel deneyimi iyileştirerek kimlik doğrulama sürecini daha akıcı hale getirirler.

3. WebAuthn Genel Anahtar Kimlik Bilgisi İpuçları nasıl çalışır?

   Geliştiriciler, bağlama göre security-key, client-device veya hybrid gibi ipuçları belirtir, bu da tarayıcıların kullanıcı için ilgili kimlik doğrulama yöntemine öncelik vermesini sağlar. Bu ipuçları katı gereksinimler olmasa da, kimlik doğrulama sırasında kullanıcı arayüzü akışını optimize etmeye yardımcı olurlar.

4. Sınırlamaları ve önerilen kullanım durumları nelerdir?

   Şu anda, bu ipuçları için tam destek Chrome ve Edge ile sınırlıdır ve Windows 11 gibi diğer tarayıcılar ve işletim sistemleri değişen uyumluluk seviyeleri göstermektedir. En etkili kullanım durumları arasında giriş kullanıcı deneyimini iyileştirmek, yüksek güvenlikli ortamlarda donanım güvenlik anahtarı kullanımını zorunlu kılmak ve mobil öncelikli uygulamalarda cihazlar arası kimlik doğrulamayı etkinleştirmek yer alır.

Sonuç olarak, WebAuthn Genel Anahtar Kimlik Bilgisi İpuçları, geliştiricilerin her kullanıcı senaryosu için en uygun seçeneklere tarayıcıları yönlendirerek daha sezgisel, kullanıcı dostu kimlik doğrulama süreçleri oluşturmasına olanak tanır. Hala gelişmekte olsa da, bu özellik Passkey uygulamalarında hem güvenliği hem de kullanıcı deneyimini önemli ölçüde artırabilir.