Gelecek parolasız mı olacak?

Google, Microsoft ve Apple’ın birlikte çalışarak nasıl parolalara son verebileceğine bir bakalım.

Geleneksel olarak Mayıs’ta kutlanan Dünya Parola Günü bu yıl üç büyük teknoloji şirketinin konuyla ilgili haberleriyle aynı zamana denk geldi: Google, Microsoft ve Apple parolaların yerini alacak yeni bir teknolojiyle ilgili planlarını duyurdu.

Standart, FIDO Birliği tarafından modern internetin nasıl göründüğünü ve çalıştığını belirleyen Dünya Çapında Ağ Konsorsiyumu (World Wide Web Consortium, kısaca W3C) ile birlikte geliştiriliyor. Bu, parola kullanımını terk ederek akıllı telefon tabanlı doğrulamaya geçiş yönünde ciddi bir girişim. En azından kullanıcı açısından bakıldığında bu şekilde görünüyor.

Öte yandan yaklaşık on yıldır “parolaların öldüğünden” bahsedildiğini de unutmamak lazım. Güvenilir olmayan bu kullanıcı doğrulama yönteminden kurtulmaya yönelik daha önceki girişimler olumlu sonuçlanmadı, parolaları hala kullanıyoruz. Bu yazıda yeni FIDO/W3C standardının avantajlarını inceleyeceğiz. Önce malumun ilamıyla başlayalım: Parolalar neden kötü?

Parolaların sıkıntısı

Parolaların birinci dezavantajı çok kolay çalınabilmeleri. İnternetin ilk günlerinde, henüz bilgisayarlar arasındaki neredeyse tüm iletişim şifresizken, parolalar düz metin olarak iletiliyordu. Kafeler, kütüphaneler, ulaşım araçları gibi yerlerdeki genel ağ erişim noktalarının katlanarak artmasıyla bu büyük bir sorun haline geldi: Saldırganlar şifrelenmemiş parolaları fark edilmeden ele geçirebiliyordu.

Parola çalınması sorunu, 2010’ların ortalarında büyük internet servislerine düzenlenen toplu e-posta adresi ve kullanıcı parolası hırsızlıklarıyla patlama yaşadı. Bugün on yıl önceki parolalarınızın kamuya açık alanlarda dolaşımda olduğunu rahatlıkla söyleyebiliriz. İnanmıyor musunuz? HaveIBeenPwned servisini kontrol edin.

HaveIBeenPwned parolanızın sızıp sızmadığını kontrol etmenizi sağlıyor. Parola en az on yıllıksa cevap neredeyse kesinlikle evet.

 

Tabii günümüzde sızıntıların düz metin şeklinde parola içerme olasılığı düşük: Birçok internet servisi hassas kullanıcı bilgilerini şifrelenmemiş halde saklamanın felakete yol açacağının uzun süredir farkında. Dolayısıyla parolaları karma hale getirmek, yani şifrelenmiş şekilde saklamak norm haline geliyor.

Buradaki sorun şu: Parola basitse olası tüm kombinasyonları zorla deneyerek veya bir sözlük saldırısı yoluyla şifrelenmiş veri tabanından parolayı ele geçirmek hala mümkün. Orijinal parola “gizli” ya da “123123” gibi bir şeyse karma parolanın şifresini çözmek çocuk oyuncağı. Parolalarla ilgili ikinci problem de bu: Birçok kişi parolasını aklında tutabilmek için şifrelenmiş de olsa sızan bir veri tabanından kolaylıkla ele geçirilebilecek zayıf parolalar kullanıyor.

Parolalarla ilgili üçüncü soruna da bu basitlik ve rahat kullanım arzusu yol açıyor: Birçok kişi farklı hesap ve servisler için aynı parolayı kullanıyor. Dolayısıyla, kayıt olduğunuzu bile unuttuğunuz çok eski bir çevrimiçi forumdan veri sızıntısı olduğunda, aynı parolayı kullanmış olduğunuz için ana e-posta hesabınızı bile kaybedebiliyorsunuz.

Paroladan daha fazlası

Bu sorun elbette yeni değil. Servislerin çoğu bu yüzden yalnızca tek bir parolaya bel bağlamıyor, bir tür çok aşamalı kimlik doğrulama da kullanıyor. İnternet hizmetlerine, sosyal ağlara, banka hesaplarına vb. giriş yaparken çoğunlukla kimlik bilgilerinizi girdikten sonra sizden tek seferlik bir kod istenir. Bu kod bir metin mesajı, telefonunuzdaki bankacılık uygulaması ya da Google Authenticator gibi özel bir çok faktörlü kullanıcı doğrulama uygulaması üzerinden gönderilir. Çok karmaşık sistemler bilgisayardaki USB bağlantı noktasına takılan ya da Bluetooth veya NFC ile akıllı telefonunuza bağlanan bir donanım anahtarı kullanır.

Bazı durumlarda ise hiç parola gerekmez. Örneğin, bir Microsoft hesabına giriş yaptığınızda e-posta ile size tek seferlik bir parola gönderilir. Telegram mesajlaşma uygulaması da hiç parolaya ihtiyaç duymaksızın metin mesajıyla gönderilen tek seferlik kodlarla kullanıcı doğrulaması gerçekleştirir (yine de ilave bir güvenlik önlemi olarak parola da kullanmanız öneriliyor).

Bununla birlikte çoğu durumda parolalar hala yedek bir doğrulama biçimi olarak kullanılıyor. Ancak, (iki faktörlü kimlik doğrulamasının en yaygın kullanılan ve kullanıcı için anlaşılır olan biçiminde olduğu gibi) yalnızca metin tabanlı geçiş kodları kullanmak da birçok nedenle pek iyi bir fikir değil. Kısacası, gelecekte parolalara yer olmadığı uzun süredir biliniyor. Şimdi ise bu geleceğe daha da yaklaşmış görünüyoruz.

FIDO/W3C tarafından tasarlanan şekliyle parolasız kimlik doğrulama

Çok kabaca anlatmak gerekirse yeni parolasız kimlik doğrulama standardı parolaları (daha doğrusu geçiş anahtarlarını, yani özel ve genel olmak üzere bir çift şifreleme anahtarını) kullanıcının artık görmediği, tamamen teknik bir unsur haline getiriyor. Bu da kuvvetli, benzersiz kodların ve güçlü kriptografinin kullanımına olanak sağlıyor. Bu sayede siber hırsızların işi zorlaştırılıyor; tek bir hesap hacklendiğinde başka hesapların da yitirilmemesi ve bu “sırrın” başka kimlik avcılarına da aktarılamaması sağlanıyor.

Kullanıcılar için bu yeni sistem akıllı telefondan bir sosyal ağa, e-posta hesabına ya da çevrimiçi bankacılık hizmetine giriş yapmaya benzeyecek. Günümüzde akıllı telefondan ödeme yapmakla aynı mantıkla ilerleyecek: Cihazın kilidini PIN veya yüz/parmak izi tanıma yöntemiyle açarak “işlemi” onaylayacaksınız. Sadece ödeme yapmak yerine hesabınıza giriş yapmış olacaksınız. Bu yöntemde telefonunuzun kilidini başarıyla açmanız kimliğinizi doğrulamış olacak. Kulağa iyi geliyor!

Dahası, FIDO tarafından geliştirilen standart, birçok cihazda Bluetooth ile kimlik doğrulama gibi ilave bir özelliğe de sahip. Örneğin, bir dizüstü bilgisayar yakında güvenilir bir akıllı telefon “görürse” hesaba giriş yapmak hızlanacak. Bu heyecan verici kimlik doğrulama sistemi, prensip gereği tuşlu telefon kullanmaya devam edenler dışında kullanıcıların büyük bir çoğunluğu tarafından kullanılabilecek. Üç internet devinin desteği de düşünüldüğünde bu özelliğin yakın bir gelecekte evrensel hale gelmesi bekleniyor. Peki bu güvenlik açısından iyi olacak mı? Bu yeni teknolojinin artılarına ve eksilerine birlikte bakalım.

Parolasız kimlik doğrulamanın artıları

Google, Apple ve Microsoft desteği, hem büyük servislerin (Gmail, YouTube, iCloud, Xbox) hem de tüm iOS, Android ve Windows cihazların yakında parolasız kimlik doğrulamaya geçeceğini düşündürüyor. Standart birlikte ve açık şekilde geliştirildiği için kimlik doğrulamanın tüm cihazlarda aynı şekilde çalışması bekleniyor. Ayrıca, cihaz değiştirme opsiyonu sağlanacağına da söz verildi. iPhone’unuzu Samsung Galaxy ile mi değiştirdiniz? Sorun değil: Yeni akıllı telefonunuzu kimlik doğrulama cihazınız olarak belirleyebilirsiniz.

Bu yeni yöntemin esas avantajı, kimlik avını ciddi anlamda zorlaştırması. Geleneksel parola hırsızlığı, sahte bir bankacılık sitesi veya bir internet sitesi oluşturup kurbanları bu sayfaya çekerek işliyor. Kullanıcı buraya oturum açma bilgilerini giriyor (bazen iki faktörlü kimlik doğrulaması bile hesaba katılıyor) ve saldırgan böylelikle banka hesabına erişimi ele geçiriyor. Yeni standart, kullanıcının kimliğini doğrulamanın yanı sıra servisin kimliğini de doğruluyor. Artık bir başkasının web kaynağında kimlik doğrulama talebi göndermek işe yaramayacak. Parola sızıntıları da kullanıcılar için herhangi bir tehdit oluşturmayacak.

Son olarak, yeni sistem basit ve sezgisel olmayı vadediyor. Doğru uygulandığı takdirde mevcut hesapların parolalarının yerini alması bile gayet kolay olacak, vadedilen işletim sistemi düzeyinde destek sayesinde herhangi bir uygulama yüklenmesi bile gerekmeyecek. Sadece dilediğiniz siteye girip kimlik tanımlayıcınızı gireceksiniz ve talebi akıllı telefonunundan onaylayacaksınız. Hepsi bu kadar.

Parolasız sisteme geçmenin çözmeyeceği problemler

Aslına bakarsanız bu bir sorun sayılmaz ama birçok kişi şu soruyu soracaktır: Peki ya biri “güvenilir” akıllı telefonumu ele geçirip tüm hesaplarıma girişi onaylarsa? Cevap çok basit: Gerçekçi bir güvenlik modelinde kırılamayacak çözüm yoktur. Her şey hacklenebilir. Mesele, davetsiz misafirin bu uğurda ne kadar kaynak harcamayı göze aldığı. Ne de olsa rastgele 128 karakterden oluşan parolalarınızı ezberinizde saklasanız bile bunları ele geçirmenin kanıtlanmış yolları var.

Mutlaka hesaplara erişim elde etmek için bireysel akıllı telefonları hackleme girişimleri olacaktır. Fakat bu tür hacklemeler yüksek profilli hedeflere yönelik butik saldırılar olarak kalır. Kitlesel pazara, yani gerçek hayattaki gündelik tehditlere bakarsak parola hırsızlığının akıllı telefon çalıp dijital içeriğinden faydalanmaktan ciddi anlamda çok daha yaygın olduğunu görürüz. Bu yeni teknoloji de tam olarak bu sorunu çözmeyi hedefliyor.

Hatırlarsanız biyometrik kimlik tanıma sistemi yaygınlaşırken de benzer şüpheler dile getirilmişti. O zamanlar da pek çok kişi birinin parmak izlerini çalıp (parmaklarını kesmek gibi radikal yöntemlerle) akıllı telefonlarının kilidini açmasından endişe ediyordu. Yukarıda bahsettiğimiz HaveIBeenPwned servisinin yaratıcısı Troy Hunt geçtiğimiz sene bu konuyla ilgili bir makale yazmıştı: Gerçekçi bir güvenlik modelinde biyometrikler parolalardan daha güçlüdür.

Fakat parolasız erişimin esas sorunu, akıllı telefon kaybolduğunda ne olacağı. Elbette yeni standart, kimlik doğrulama sisteminin bir cihazdan diğerine aktarılmasını mümkün kılacak. Bunu yapmanın en kolay yolu, örneğin biri eski biri yeni telefonunuz olmak üzere iki cihaza sahip olmak. Eski telefonunuz kaybolduysa şüphesiz yenisine geçerken kim olduğunuzu kanıtlamak için yedek bir yöntem kullanmanız gerekecek. Fakat bu yöntemin ne olacağı henüz belirsiz; büyük olasılıkla söz konusu servisin ayarlarına bağlı olarak değişecek.

Sonuç olarak sorulması gereken sorular şunlar: Yeni sistem, kullanıcıları Google ya da Apple hesaplarının işlevlerine daha da bağımlı hale getirmeyecek mi? Bir Google hesabının bloke olması, tüm çevrimiçi kaynaklara erişimin kaybedilmesine mi neden olacak? Standardın açık olduğunu varsaysak bile akıllı telefon işletim sistemleri ve altyapıları pek de açık değil.

(Kısmen) parlak bir gelecek

Konuya şüpheyle yaklaşanlar bile parolaların parolasız erişimden daha iyi olduğunu savunmakta zorlanacaktır. Miadını doldurmuş parola konseptinin çoktan elden geçirilmesi gerekiyordu. FIDO’nun parolasız standardı birçok sıkıntıyı düzeltmeyi vadetse de pek çok şey Google, Apple, Microsoft gibi uygulayıcılara bağlı. Onlar bu işi doğru yaparsa dijital yaşamlarımız bir nebze daha kolay ve güvenli hale gelecek. Fakat bunun bir gecede olması pek mümkün değil: Parolalar günümüzde internetle o kadar iç içe geçmiş halde ki yeni ve daha iyi bir sistem gelse bile parolaların tamamen ortadan kalkması yıllar sürecek.

İpuçları