Her hesap için bir şifre oluşturmak artık günümüzün en büyük problemlerinden biri haline geldi. Hepimiz sürekli güncellenmesi istenen şifrelerden dertliyiz. Google, Apple ve Microsoft gibi teknoloji devleri geçtiğimiz aylarda FIDO isimli bir standart için bir araya gelmişti. Ancak burada büyük bir sorun ortaya çıktı. Eğer bu problem çözülmezse iOS ve Android gibi ekosistemler arasında geçiş yapmak çok zor olacak.
Şifresiz bir dünya için teknoloji devleri FIDO (Fast IDentity Online) çatısı altında toplandı. Peki nedir bu FIDO?
Bir web sitesine veya uygulamaya giriş yapmak için genellikle bir kullanıcı adı ve şifre giriyoruz. Yıllardır parolaların güvenlik açısından oldukça korkunç bir yaklaşım olduğunu tartışıyoruz ve kullandığımız her ek hizmetle bu yaklaşımı daha da artırıyoruz. İki faktörlü kimlik doğrulamanın kaba bir biçimi olarak güvenlik soruları daha da büyük bir karmaşadır .
FIDO'nun yaptığı, bunun yerine cihazımızın bizi doğrulamasına izin vermektir. Mantık şudur (örnek olarak Face ID'li bir iPhone kullanarak):
Bir web sitesi veya uygulama sizden kendinizi tanımlamanızı ve kimliğinizi kanıtlamanızı ister.
iPhone'unuz bu isteği alır ve Face ID'yi etkinleştirir.
Yüzünüz eşleşirse, iPhone'unuz web sitesine kim olduğunuzu
ve kimliğinizi doğruladığını söyler.
Hiçbir noktada bir parola söz konusu değildir: Kimlik doğrulama, web sitesi sunucusunda değil, cihazınızda gerçekleştirilir. Web sunucusu, ödeme terminallerinin Apple Pay işlemleri için telefonunuza güvendiği gibi, kimliğinizi doğrulamak için iPhone'unuza güvenir.
Apple 2019 yılında cihazlarının bu standardı destekleyebileceğini söyleyen ilk üretici olmuştu.
Apple daha sonra resmi olarak ertesi yıl FIDO standardını destekleyeceğini onayladı.
Ayrıca Amazon, Arm, Facebook, Google, Intel, Microsoft ve Samsung gibi diğer teknoloji devleri tarafından da desteklenmektedir. Finansal hizmet şirketlerinin bile yaklaşımın güvenliğinden memnun olduğunu göstermek için FIDO yönetim kurulu üyeleri arasında American Express, ING, Mastercard, Paypal, Visa ve Wells Fargo yer alıyor.
Standart için önerilen bir güncelleme, bir Apple cihazının Bluetooth aracılığıyla bir diğerinin kimliğini doğrulamasına izin vererek hayatı daha da kolaylaştırıyor. Başka bir deyişle, iPhone'unuzda bir web sitesinde oturum açmak için FIDO'yu zaten kullandıysanız, Bluetooth kapsama alanı içindeyse Mac'inizde de oturum açacaktır. Apple, bu özelliğin uygulanmasına iCloud Anahtar Zincirinde Geçiş Anahtarları adını veriyor.
Problem şu anda standartta ekosistemler arasında geçişe izin verecek bir mekanizma yok.
Geçiş anahtarları cihazlarınızda (ve bu özellik onaylanırsa bulutta) saklanır; bu, bir iPhone'dan bir Android telefona veya tam tersi geçiş yapmak istiyorsanız bir sorundur.
FIDO'nun mevcut teklifinin, ekosistemler arasında toplu geçiş anahtarları aktarımı için bir mekanizması yoktur. Bir Android telefondan bir iPhone'a (veya tam tersi) geçmek istiyorsanız, tüm geçiş anahtarlarınızı kolayca değiştiremezsiniz.
FIDO Alliance yönetici direktörü Andrew Shikiar, “Şu anda gerçekten bir toplu parola taşıma yöntemimiz yok” diyor. “Bence bu muhtemelen gelecekteki bir güncelleme” diye de ekliyor.
Buna karşılık, parolaların somut doğası, onları aktarmayı oldukça kolaylaştırır. Başlıca web tarayıcıları, yalnızca birkaç tıklamayla diğer tarayıcılardan parolaları içe aktarabilir ve çoğu parola yöneticisi, kullanıcıların oturum açma bilgilerini bir .csv elektronik tablosuna indirerek, kullanıcıların bunları rakip bir hizmete manuel olarak yüklemesine olanak tanır.
Bu problem teorik olarak aslında çok basit bir şekilde çözülebilir. Ancak FIDO'nun parolalardan daha güvenli olması gerektiği düşünüldüğünde, teknoloji devleri buna izin vermek konusunda isteksiz.
Kullanıcılar tüm geçiş anahtarlarını sağlayıcılar arasında kolayca taşıyabilirlerse, bilgisayar korsanlarının bu yetenekten yararlanmaya çalışabilmesi riski şirketleri tedirgin ediyor. Şimdilik, FIDO'nun bu sorunu ne zaman veya nasıl çözeceği belli değil.