GitHub, oturum açma yöntemi olarak parolaları değiştirmek için bir adım daha atıyor ve geçiş anahtarlarını genel beta sürümüne getiriyor. Parolalar, FIDO Alliance’ın İnternette güvenli erişimi basitleştirmeye yönelik en son hamlesidir: U2F ve FIDO2 donanım belirteçlerinin beraberinde getirdiği günlük sorunların çoğunu çözmeyi amaçlarlar.
Duyuru
Parolaların aksine geçiş anahtarları asimetrik kriptografik anahtarlarla çalışır. Gizli anahtar, kayıt olmak isteyen cihazda her zaman kalır ve servis operatörü asla bilmez. Parolalar ise kullanıcı ve hizmet arasında paylaşılan bir sırdır. Geçiş anahtarlarının gizli anahtarını taşımak için çeşitli cihazlar kullanılabilir: Bir yandan, neredeyse tüm işletim sistemleri anahtarları cihazın Güvenilir Platform Modülünde (TPM) saklayabilir – bu hem masaüstü hem de mobil işletim sistemleri için geçerlidir. Geçiş anahtarlarını kullanmak için artık bir FIDO2 çubuğuna ihtiyacınız yok.
FIDO2 çubuklarından farklı olarak, işletim sistemleri tarafından yönetilen geçiş anahtarları da birden fazla cihaz arasında senkronize edilebilir. Kaydı PC’de başlatmak ve geçiş anahtarının saklandığı bir cep telefonuyla bir QR kodu aracılığıyla tamamlamak da mümkündür. Bu, örneğin, orada bir sır saklamadan başka birinin bilgisayarına giriş yapmak için kullanışlıdır.
GitHub’da test etme
GitHub, test aşamasının duyurusunda FIDO Alliance tarafından yapılan ve tüm veri sızıntılarının yüzde 80’inin temel nedeninin parolalar olduğunu ve ayrıca tüm parolaların yüzde 50’sinden fazlasının birden fazla kez kullanılmasından kaynaklandığını tespit eden bir araştırmaya atıfta bulunuyor.
Bir FIDO2 çubuğu çok az çabayla bir erişim anahtarına dönüşür. GitHub’a erişim daha sonra parola olmadan çalışır.
Geçiş Anahtarlarını test etmek için, GitHub’da kayıtlı kullanıcıların sağ üst köşedeki profil resimlerine tıklamaları, menüden “Özellik Önizleme”yi seçmeleri ve Geçiş Anahtarlarını etkinleştirmeleri yeterlidir.
Duyuru
Geçiş anahtarı depolanır depolanmaz GitHub’a parola olmadan erişebilirsiniz, ancak GitHub’da hala iki faktör vardır: geçiş anahtarının kendisi (yani özel anahtar) bir faktördür, sisteme bağlı olarak korunur, örneğin aracılığıyla bir PIN veya parmak izi sensörü – Microsoft sistemlerinde buna Windows Hello, Apple’da TouchID denir.
Geçiş anahtarına genel bakış: GitHub, ayarlarda hangi oturum açma cihazlarının saklandığını gösterir.
https://github.com/settings/security adresindeki GitHub ayarlarında kullanıcılar geçiş anahtarlarını yönetebilir, adlandırabilir ve eski veya kayıp cihazları silebilir. Şaşırtıcı olmayan bir şekilde GitHub, yeni özellikle ilgili geri bildirimleri bir GitHub tartışma sayfasında topluyor.
(yum)
Haberin Sonu
Duyuru
Parolaların aksine geçiş anahtarları asimetrik kriptografik anahtarlarla çalışır. Gizli anahtar, kayıt olmak isteyen cihazda her zaman kalır ve servis operatörü asla bilmez. Parolalar ise kullanıcı ve hizmet arasında paylaşılan bir sırdır. Geçiş anahtarlarının gizli anahtarını taşımak için çeşitli cihazlar kullanılabilir: Bir yandan, neredeyse tüm işletim sistemleri anahtarları cihazın Güvenilir Platform Modülünde (TPM) saklayabilir – bu hem masaüstü hem de mobil işletim sistemleri için geçerlidir. Geçiş anahtarlarını kullanmak için artık bir FIDO2 çubuğuna ihtiyacınız yok.
FIDO2 çubuklarından farklı olarak, işletim sistemleri tarafından yönetilen geçiş anahtarları da birden fazla cihaz arasında senkronize edilebilir. Kaydı PC’de başlatmak ve geçiş anahtarının saklandığı bir cep telefonuyla bir QR kodu aracılığıyla tamamlamak da mümkündür. Bu, örneğin, orada bir sır saklamadan başka birinin bilgisayarına giriş yapmak için kullanışlıdır.
GitHub’da test etme
GitHub, test aşamasının duyurusunda FIDO Alliance tarafından yapılan ve tüm veri sızıntılarının yüzde 80’inin temel nedeninin parolalar olduğunu ve ayrıca tüm parolaların yüzde 50’sinden fazlasının birden fazla kez kullanılmasından kaynaklandığını tespit eden bir araştırmaya atıfta bulunuyor.
Bir FIDO2 çubuğu çok az çabayla bir erişim anahtarına dönüşür. GitHub’a erişim daha sonra parola olmadan çalışır.
Geçiş Anahtarlarını test etmek için, GitHub’da kayıtlı kullanıcıların sağ üst köşedeki profil resimlerine tıklamaları, menüden “Özellik Önizleme”yi seçmeleri ve Geçiş Anahtarlarını etkinleştirmeleri yeterlidir.
Duyuru
Geçiş anahtarı depolanır depolanmaz GitHub’a parola olmadan erişebilirsiniz, ancak GitHub’da hala iki faktör vardır: geçiş anahtarının kendisi (yani özel anahtar) bir faktördür, sisteme bağlı olarak korunur, örneğin aracılığıyla bir PIN veya parmak izi sensörü – Microsoft sistemlerinde buna Windows Hello, Apple’da TouchID denir.
Geçiş anahtarına genel bakış: GitHub, ayarlarda hangi oturum açma cihazlarının saklandığını gösterir.
https://github.com/settings/security adresindeki GitHub ayarlarında kullanıcılar geçiş anahtarlarını yönetebilir, adlandırabilir ve eski veya kayıp cihazları silebilir. Şaşırtıcı olmayan bir şekilde GitHub, yeni özellikle ilgili geri bildirimleri bir GitHub tartışma sayfasında topluyor.
(yum)
Haberin Sonu