TikTok sayesinde iPhone’da, parolayla oturum açmayı destekleyen üçüncü taraf uygulamaların listesi bir kişi daha arttı. Popüler video paylaşım servisinin kullanıcıları artık Apple ID’leriyle ilişkilendirilmiş parolalarıyla oturum açma seçeneğine sahip olacaklar, bu da Face veya Touch ID’yi kullanarak hesaplarına kolayca girebilecekleri anlamına geliyor. Parolalı girişler, kriptografik bir anahtar çiftinden oluştuğu için parolalı girişlerden daha güvenli bir seçenek olarak kabul ediliyor. Anahtarlardan biri web sitesi veya hizmetle ilişkili bir genel anahtarken, diğeri yalnızca kullanıcının cihazında saklanan özel bir anahtardır. TikTok gibi hizmetlerin ve uygulamaların bu özel anahtara erişimi yoktur ve kullanıcılar bunu kopyalayamaz veya veremez, bu da geçiş anahtarlarını kötü aktörler tarafından veri ihlallerine ve sosyal mühendisliğe karşı dirençli hale getirir. iOS cihazları, özel anahtarlarını bir hizmetin genel anahtarıyla eşleştirmeden önce biyometrik verilerini kullanarak girişler için kullanıcıların kimliğini doğrular.
TikTok’ta iPhone ve iPad’ler için geçiş anahtarlarını kullanabilmek adına cihazlarının iOS’un en son sürümünü çalıştırıyor olması gerekir. Apple, parola yönetim sisteminde geçiş anahtarlarını sakladığından, iCloud Anahtar Zinciri de etkinleştirilmelidir. Son olarak, Apple ID’leri için iki faktörlü kimlik doğrulama açık olmalıdır. TikTok bu ay Asya, Afrika, Avustralya ve Güney Amerika’daki belirli bölgelere geçiş anahtarı desteğini sunmaya başlayacak. Video paylaşım hizmeti, özelliğin zaman içinde başka yerlerde ve diğer işletim sistemlerinde de kullanılabileceğini, bu nedenle büyük olasılıkla Kuzey Amerika’ya ve Android cihazlara da geleceğini söyledi. Giriş seçeneğine erişen TikTok kullanıcıları, uygulamanın altındaki profillerine giderek ve ardından menüdeki Ayarlar ve Gizliliğe erişerek bunu etkinleştirebilirler. Buradan, Hesap seçeneğine erişmeleri ve ardından kurulum ekranını görmek için iCloud geçiş anahtarına dokunmaları gerekir.
Geçiş anahtarları da neyin nesi ve neden birdenbire her yerde karşımıza çıkmaya başladılar?
Passkey’ler şifresiz bir gelecek vaat ediyor; hesaplarımıza telefonlarımızın kilidini açtığımız gibi kolayca ve çok daha yüksek bir güvenlik seviyesiyle erişebiliyoruz. Apple, Google ya da Microsoft gibi büyük teknoloji şirketlerinden birini seçin, muhtemelen bir şifre devrini duyurduğunu görmüşsünüzdür. Tam anlamıyla bir geçiş anahtarı devrimi biraz uzakta olsa da, yakında hesaplarınız için bir geçiş anahtarı oluşturmanız istenebilir. Oturum açma işlemlerinde kullanıcı adı ve parola yaklaşımının geçmişi 1960’lara kadar uzanıyor. O zamandan beri hacklenebilir. Özellikle, karmaşık ve güçlü bir parola için endüstri standartlarını karşılayamıyorsanız, parolalar tahmin edilebilir veya çalınabilir. Bir süre için çözüm, çok faktörlü kimlik doğrulama veya giriş sırasında kimliğinizi kısa mesaj, uygulama, donanım anahtarı veya diğer yöntemlerle doğrulamanın bir yolu gibi görünüyordu. Ancak passkey savunucuları, oturum açma güvenliği sorunlarını çözmenin, ek süreçler eklemek değil, ilk adımı yeniden icat etmek anlamına geldiğini söylüyorlar.
Sektör birliği FIDO Alliance’ın pazarlama kıdemli direktörü Megan Shamas, “Bu, şimdiye kadar gördüğümüz şifrelerden kurtulmak için ölçeklendirilebilecek bir şeye en yakın şey” dedi. Geçiş anahtarı, cihazınızda güvenli bir şekilde saklanan dijital bir kimlik doğrulama bilgisidir. Shamas’ın “paylaşılan sır” olarak adlandırdığı parola yöntemi yerine, geçiş anahtarları, etki alanına bağlı olarak kullandığınız her çevrimiçi hizmet için benzersiz bir anahtar çiftidir. Dolayısıyla, çevrimiçi bankacılık hesabınız için bir tane oluşturursanız ve sahte bir web sitesi sizden oturum açmanızı isterse, geçiş anahtarı çalışmayacaktır. Aynı zamanda kimlik avı saldırılarını da önler, çünkü parolanızı çok faktörlü kimlik doğrulamasında olduğu gibi ele veremezsiniz. Güvenlik kimlik doğrulama şirketi Yubico’nun çözüm mimarisi ve ittifaklardan sorumlu başkan yardımcısı Derek Hanson, “kimlik avı yapılamaz” diyemeyiz, ancak günümüzde kullanılan yaygın saldırı vektörlerini kesinlikle engelliyor. En azından, bir bilgisayar korsanının içeri girmesini çok daha maliyetli ve zor hale getirerek, bilgisayar korsanlarının daha zayıf hedeflere yönelmesini sağlar.
Kullanıcı için de daha kolay olması amaçlanıyor. Yaklaşık 100 ya da daha fazla şifreyi takip etmeye çalışmak yerine, geçiş anahtarı cihazınızda saklanır ve otomatik olarak servise bağlanır. Telefonunuzun kilidini açmaya benzer şekilde, oturum açmak için bir pin, parmak izi, yüz taraması veya başka bir basit kimlik doğrulaması girmeniz gerekecek. Gerçek olamayacak kadar iyi görünüyor ve öyle de sayılır, çünkü bu alan hala parçalanmış durumda. Büyük isimler son zamanlarda geçiş anahtarlarını trend haline getirirken, yaygın kullanımı da engelliyor olabilirler. Nebraska Omaha Üniversitesi’nde öğretim görevlisi olan Sayonnha Mandal, şu anda bir geçiş anahtarı kullanmak sizi belirli bir hizmet sağlayıcısına kilitliyor. Örneğin, MacBook’ta kayıtlı bir şifreyle Android telefonunuzdaki web sitelerine giriş yapamazsınız. Bu şirketlerin tercih ettiği türden bir kilitlenme, çünkü müşterileri markalarına sadık tutuyor. Dolayısıyla, işbirliği gerekecek ve “herkesin zorunlu olarak uyması gereken bir devlet endüstriyel standardının yokluğunda, şirketlerin kendi başlarına uyacaklarını sanmıyorum.” ifadelerini kullandı.
Ancak Shamas, şirketler FIDO’nun geçiş anahtarı geliştirmeye yönelik endüstri standartlarını imzaladıkça platformlar arası erişilebilirliğin gelmekte olduğunu söylüyor. Bir Google sözcüsü, “Sektörün (Apple, Google ve Microsoft dahil) geçiş anahtarı teknolojisini geliştirmek ve yaygınlaştırmak için yaptığı derin yatırım, bu teknolojinin vaatlerine olan geniş inancı gösteriyor” dedi. Yayınlandığı tarihte Mac ve Windows’taki Google Chrome, geçiş anahtarlarını yalnızca yerel cihazda saklıyordu. Şimdilik, eğer bir web sitesi size parolalı giriş seçeneği sunuyorsa, muhtemelen kaydolmalısınız. Mandal, en azından çevrimiçi bankacılık gibi en hassas hesaplarınız için, bu hesaplarda ek bir koruma katmanı için teklif edilir edilmez geçiş anahtarlarını kullanmaya başlayın, dedi. Ancak, parolalar devralınırsa, bu yavaş bir geçiş olacaktır. Hizmetler muhtemelen hala şifre seçenekleri sunmaya devam edecek çünkü tüketiciler buna alışkın ve geçiş anahtarları hala yeterince geniş bir desteğe sahip değil. Bu arada, güvenlik ayarlarınıza dikkat etmeniz için iyi bir hatırlatma. Geçiş anahtarları kullanılamıyorsa, oturum açarken güvenlik hatırlatıcı açılır pencerelerinden kaçınmak yerine MFA’nın (Çok Faktörlü Kimlik Doğrulaması) ayarlandığından ve parolanızın güçlü olduğundan emin olun.