Araştırma Ortaya Çıkardı: Parolasız Gelecek “Passkey” Sandığımız Kadar Güvenli Değil!
Yıllardır, şifrelerin geleceği olarak sunulan ve parolasız kimlik doğrulamanın en güvenli yolu olarak kabul edilen Passkey teknolojisinin, sanıldığı kadar kırılamaz olmadığı ortaya çıktı. Yakın zamanda düzenlenen DEF CON 33 güvenlik konferansında sunum yapan SquareX araştırmacıları, Passkey iş akışlarını yönetmek için güvendiğimiz web tarayıcılarının, korumalarını atlatacak şekilde istismar edilebileceğini gösteren yeni bulgularını paylaştı.
Bu, oltalama (phishing) ve kaba kuvvet (brute force) saldırılarını tarihe gömmesi beklenen bu teknolojinin, aslında en güvendiğimiz aracı olan tarayıcıyı yeni bir zayıf halka haline getirdiğini gösteriyor.
Sorun Ne? Güvenilir Aracı Kandırmak
Passkey sistemi, özel bir anahtarın kullanıcının cihazında kalması ve genel bir anahtarın hizmet sağlayıcıda saklanması prensibiyle çalışır. Bu yapı, şifrelerin çalınması riskini ortadan kaldırır. Ancak tüm bu süreç, tarayıcının güvenilir bir aracı olarak hareket ettiği varsayımına dayanır.
SquareX araştırmacıları, saldırganların kötü amaçlı tarayıcı eklentileri veya betikleri ile tarayıcı ortamını nasıl manipüle edebileceğini gösterdi. Bu yöntemle saldırganlar:
- Passkey kayıt akışını araya girerek ele geçirebilir.
- Kullanıcının meşru genel anahtarı yerine kendi kontrol ettikleri bir anahtarı sunucuya kaydedebilir.
- Hatta kullanıcıyı, saldırgan kontrolündeki koşullar altında yeniden kayıt yapması için kandırabilir.
En endişe verici olanı ise, kurbanın bakış açısından, oturum açma sürecinin meşru bir Passkey işleminden ayırt edilemez olması ve kimlik bilgilerinin çalındığına dair hiçbir uyarı işaretinin bulunmamasıdır.
Techneiro Analizi: Güvenlik Yükünün Tarayıcıya Kayması
SquareX’in bu araştırması, Passkey’lerin getirdiği güvenlik devriminin, aslında riski ortadan kaldırmadığını, sadece sorumluluğun yerini değiştirdiğini gösteriyor. Artık güvenlik yükü, kullanıcının “güçlü bir şifre seçme” sorumluluğundan, “tarayıcısını temiz ve güvenli tutma” sorumluluğuna kaymıştır. Birçok kurumsal güvenlik aracının bile, tarayıcı içindeki bu düzeydeki bir aktiviteyi izleme ve tespit etme yeteneği yoktur. SquareX araştırmacısı Shourya Pratap Singh’in de belirttiği gibi, “Kullanıcılar biyometrik bir istem gördüklerinde, bunu bir güvenlik sinyali olarak kabul ediyorlar. Bilmedikleri şey ise, saldırganların tarayıcıdaki Passkey iş akışını ele geçirerek Passkey kayıtlarını ve kimlik doğrulamalarını kolayca taklit edebileceğidir.” Bu durum, bankacılık gibi kritik uygulamalar da dahil olmak üzere, Passkey’i benimseyen her kurumu yeni bir riskle karşı karşıya bırakıyor.
Nasıl Güvenli Kalınır?
Passkey’ler hala geleneksel şifrelerden çok daha güvenli olsa da, bu yeni tehditlere karşı ek önlemler almak gerekiyor. İşte araştırmacıların önerileri:
| 🛡️ Önlem | 📝 Ne Yapmalı? |
| Güvenlik Yazılımı | Gizli kötü amaçlı kodları tespit edip engelleyen, güvenilir bir antivirüs kullanın. |
| Eklenti Hijyeni | Tarayıcı eklentilerini sadece doğrulanmış kaynaklardan yükleyin ve izinlerini düzenli olarak gözden geçirin. |
| Güncel Tarayıcı | En son güvenlik düzeltmelerinin uygulandığından emin olmak için tarayıcınızı her zaman güncel tutun. |
| Authenticator Uygulamaları | Oturum açma işlemlerini, ek bir doğrulama katmanı sunan Authenticator uygulamalarıyla eşleştirin. |
| Tarayıcı Ayarları Denetimi | Güvenilmeyen betiklere veya eklentilere maruz kalmayı en aza indirmek için tarayıcı ayarlarınızı düzenli olarak denetleyin. |
| Cihaz Sınırlaması | Hassas oturum açma işlemleri için kullandığınız cihaz sayısını sınırlayarak saldırı fırsatlarını azaltın. |
Siz Passkey teknolojisini kullanmaya başladınız mı? Bu yeni teknolojinin, tarayıcı eklentileri gibi basit bir yolla aşılabileceği fikri, ona olan güveninizi nasıl etkiledi? Düşüncelerinizi yorumlarda bizimle paylaşın!
Bu Konuyla İlgili Diğer“Nedir?”Yazılarımız:
Dijital dünyada güvende kalmanızı sağlayacak en son siber güvenlik tehditleri, korunma yöntemleri ve gizlilik ipuçları için techneiro.com‘u takip etmeye devam edin!
