Telefonunuzu Kaybederseniz, Hayatınızı Kaybedersiniz
Passkey'ler şifrelerin yerini almayı hedefliyor. Çoğu şirket bunları istiyor. Veriler, kuruluşların %93'ünün WebAuthn tabanlı passkey'leri test ettiğini gösteriyor. Ancak, yalnızca %13'ü bunları ölçeklendiriyor.
Mühendisler kusursuz giriş işlemine odaklanır. Biyometrik taramanın saniyeler içinde çalıştığı bir sistem inşa edersiniz. Bu, "mutlu yol"dur (happy path).
Sektör, "mutsuz yol"da (unhappy path) duvara tosluyor. Bu, cihaz kurtarma işlemidir.
Passkey'ler güvenliği paylaşılan bir şifreden donanıma bağlı bir özel anahtara taşır. Telefonunuz bu anahtarı açmak için biyometriyi kullanır. Sensörler, canlı bir tarama ile kayıtlı bir şablon arasındaki matematiksel mesafeyi hesaplar. Eşleşme eşik değerini karşılıyorsa, donanım anahtarı serbest bırakır.
Bu, büyük bir sorun yaratır. Eğer anahtar yalnızca tek bir cihazda bulunuyorsa, o cihazı kaybetmek kimliğinizi kaybetmek anlamına gelir.
Apple ve Google gibi şirketler yardımcı olmak için bulut senkronizasyonunu kullanır. Bu, geliştiriciler için karmaşıklık ekler. Yüksek güvenlikli donanım anahtarları ile kullanımı kolay senkronize edilmiş anahtarlar arasında bir seçim yapmanız gerekir.
Birçok geliştirici bunu zayıf e-posta kurtarma yöntemleriyle çözmeye çalışır. Bu, güvenliği mahveder. Bir kasa kapısı inşa edip arka pencereyi açık bırakmış olursunuz. Bir e-posta bağlantısı, kriptografik bir passkey kadar güvenli değildir.
CaraComp'ta karşılaştırma metriklerine odaklanıyoruz. Kimlik doğrulamanın profesyonel bir güvenlik ağına ihtiyacı olduğuna inanıyoruz. Çevreleyen mimari zayıfsa, harika algoritmalar bile başarısız olur.
Geliştiriciler için hedef daha iyi yüz eşleştirme değildir. Zaten doğru yüz taramalarına sahibiz. Hedef, daha iyi kurtarma protokolleridir. Kimlik avı (phishing) risklerine geri dönmeden hesapları kurtarmanın yollarına ihtiyacımız var.
Uç durumlar (edge cases), güvenlikteki itibarınızı belirler.
Parolasız sistemlerinizde hesap kurtarma işlemini nasıl yönetiyorsunuz? Güvensiz e-posta sıfırlamalarından kaçınıyor musunuz?
Optional learning community: https://t.me/GyaanSetuAi