Geçiş anahtarları nasıl çalışır
Kullanıcı bir geçiş anahtarı kaydettiğinde, cihazı yalnızca o web sitesi veya uygulamaya özgü bir açık-özel anahtar çifti üretir. Özel anahtar cihazda kalır, güvenli donanım tarafından korunur ve biyometri ya da PIN ile açılır. Sunucu yalnızca açık anahtarı tutar; bu anahtar tek başına saldırgan için işe yaramaz.
Oturum açarken sunucu rastgele bir sorgu gönderir, cihaz bunu özel anahtarla imzalar ve sunucu imzayı kayıtlı açık anahtarla doğrular. En önemlisi, kimlik bilgisi gerçek web sitesinin adresine bağlıdır; benzerini taklit eden bir oltalama sayfası hiçbir zaman geçerli bir imza üretemez. Bu akış, daha geniş FIDO2 spesifikasyonu içindeki tarayıcı arayüzü olan WebAuthn ile standartlaştırılmıştır.
Geçiş anahtarları neden önemli
Geçiş anahtarları, yapısı gereği oltalamaya dirençli olan ilk yaygın kimlik bilgisidir. Yazılacak bir sır olmadığı için sahte bir sayfa, tuş kaydedici veya sosyal mühendislik aramasıyla ele geçirilemez. Sunucu tarafındaki ihlaller yalnızca açık anahtarları açığa çıkarır; bunlar tekrar kullanılabilir veya kırılabilir kimlik bilgilerine dönüştürülemez.
Büyük platformların işletim sistemi ve tarayıcılarda yerleşik destek sunmasıyla benimseme hızlı ilerledi. Platform hesaplarında eşitlenen geçiş anahtarları bireysel kullanıcılar için kurtarmayı kolaylaştırırken, donanım güvenlik anahtarlarındaki cihaza bağlı geçiş anahtarları daha katı kurumsal ve düzenleyici gereksinimleri karşılar. Çoğu kurum için geçiş anahtarları artık çalışan kimlik doğrulamasında pratik hedef noktayı temsil ediyor.
Uygulamada geçiş anahtarları
Kurumsal geçişler genellikle geçiş anahtarlarının kimlik sağlayıcı tarafında bir MFA faktörü veya parola alternatifi olarak etkinleştirilmesiyle başlar; böylece SSO arkasındaki her uygulama, tek tek entegrasyon gerektirmeden hemen faydalanır. İlk gruplar genellikle BT personeli ve yöneticilerdir; ardından daha geniş bir gönüllü katılım aşaması ve nihayetinde işe alım sırasında varsayılan kayıt gelir.
Baştan verilmesi gereken kararlar arasında eşitlenmiş geçiş anahtarlarına izin verilip verilmeyeceği veya cihaza bağlı kimlik bilgilerinin zorunlu tutulması, cihaz kaybı sonrası kurtarma yöntemi ve ortak ya da kiosk bilgisayarların nasıl yönetileceği vardır. Monosign, geçiş anahtarlarını ve FIDO2'yi TOTP ve anlık bildirimle birlikte birinci sınıf doğrulama faktörü olarak destekler ve aynı merkezi politikalarla uygular.