Parola gereksinimini ortadan kaldırmayı amaç edinen bir kuruluş olan FIDO Alliance’ın artık yeni bir üyesi var.
Evet; Apple geçtiğimiz günlerde, 2013 yılından beri faaliyet gösteren ve üyeleri arasında Amazon, Facebook, Google, Intel, Lenovo, Samsung gibi şirketlerin yer aldığı Fast IDentity Online Alliance’a katıldı.
Peki FIDO Alliance neden parolaları ortadan kaldırmak istiyor? Parola kullanımı ile ilgili ne gibi sıkıntılar var?
Parolalar niçin problem?
Yapılan araştırmalar yaşanan veri ihlallerinin %80’inden fazlasının temel nedeni olarak kullanıcıların belirlediği parolaları işaret ediyor.
Günümüzde insanların; aralarında eposta, banka, online alışveriş vb. hesapların yer aldığı, onlarca hatta yüzlerce online hesabı var ve bu hesapları güvende tutmak için parolalar kullanılıyor. Kullanıcıların bir çoğu da genelde farklı hesapları için aynı parolayı belirlemeyi tercih ediyor ve belirledikleri parolalar da ne yazık ki güçlü parola olmaktan çok uzak. (bakınız: 2018 Yılının En Kötü 100 Parolası) Hal böyle olunca da parola kullanımı bir problem olarak karşımıza çıkıyor.
FIDO Alliance şifreleri nasıl değiştirmek istiyor?
FIDO Alliance’ın önerisi, güvenilir cihazların şifrelerin yerine geçmesi gerektiği.
Bu, aslında mantık olarak Apple’ın iki faktörlü kimlik doğrulaması (2FA) ile aynı şekilde çalışan bir sistem. Apple Kimliğinizle yeni bir Apple cihazında oturum açmaya çalıştığınızda, Apple güvenilir bir cihaza kod gönderir ve bu kodu girersiniz.
FIDO Alliance’ın istediği şey ise, şifrelerin yerini alacak buna benzer bir yaklaşım ancak bu yaklaşımda bir kod girmenize gerek yok.
Örneğin, iPhone’unuzdaki bir web sitesine giriş yapmaya çalışıyorsunuz, yalnızca kullanıcı adınızı girdiniz ve ardından Apple Watch gibi diğer kayıtlı cihazlarınızdan birine bir kimlik doğrulama isteği gönderdiniz. Bu aşamadan sonra giriş yapmak için Apple Watch’unuza hafifçe dokunmanızın yeterli olacağını düşünün. Ya da benzer şekilde, Mac’inizdeki bir hizmete erişirken, bunu iPhone’unuzda onaylayabildiğinizi…
Bu ilk bakışta daha güvensiz gibi görünse de aslında oldukça güvenli bir yaklaşım. Nitekim güvenilir cihazlarınızdan yalnızca biri sizin gibi kimlik doğrulama talebinde bulunabilir ve kendi güvenilir cihazlarınızdan yalnızca farklı biri bu isteği onaylayabilir. Böyle bir durumda kimliğinize bürünmek isteyen bir saldırganın başarılı olabilmesi için güvenilir iki cihazınızı da fiziksel olarak elinde bulundurması ve her ikisinde de oturum açmış olması gerekir. Örneğin, iPhone’unuz elinde olmalı ve şifresini bilmeli, aynı şekilde Mac’inizin de elinde olmalı ve onun da şifresini bilmeli. Düşününce oldukça düşük bir olasılıktan bahsediyoruz…
FIDO Alliance işte bu noktada üyesi olan tüm üreticilerin ortak bir yapıda buluşmasını sağlayıp bir Android akıllı telefonun, Android tabletin, Chromebook’un, Windows PC’nin, Apple cihazın veya başka bir güvenilir cihazın, herhangi bir başka cihazda oturum açma için yetkili olabilmesini amaçlıyor.
