WebAuthn
WebAuthn (İngilizce: Web Authentication; Türkçe: Web Kimlik Doğrulaması) World Wide Web Consortium (W3C) tarafından yayımlanan bir web standardıdır.[1][2][3] WebAuthn, FIDO Alliance kılavuzluğunda FIDO2 Project'in temel bir bileşenidir.[4] Projenin amacı, açık anahtarlı şifrelemesi kullanarak kullanıcıları web tabanlı uygulamalara ve hizmetlere doğrulamak için bir arabirimi standartlaştırmaktır.
Altta yatan kriptografik işlemler, anahtar materyalin nasıl yönetildiğine göre çoğunlukla agnostik olan soyut bir işlevsel model olan bir kimlik doğrulayıcı tarafından gerçekleştirilir.[5] Bu, bir işlemcinin güvenilir yürütme ortamı veya bir Güvenilir Platform Modülü (TPM) kullanarak WebAuthn desteğinin tamamen yazılımda uygulanmasını mümkün kılar. Hassas kriptografik işlemlerin yükü ayrıca USB, Bluetooth Low Energy veya NFC üzerinden erişilebilen bir dolaşım donanım doğrulayıcısına aktarılabilir. Dolaşımdaki bir donanım kimlik doğrulayıcısı, FIDO İstemcisinden Kimlik Doğrulayıcı Protokolüne (CTAP) uygundur[6] ve WebAuthn'u FIDO Evrensel 2. Faktör (U2F) standardıyla etkili bir şekilde geriye dönük uyumlu hale getirir.[7]
Eski U2F'ye benzer şekilde, Web Kimlik Doğrulaması kimliğe bürünmeyi doğrulamak için dayanıklıdır, yani ortadaki aktif adam saldırılarına karşı dirençlidir,[8] ancak U2F'den farklı olarak WebAuthn geleneksel bir şifre gerektirmez. Ayrıca, bir dolaşım donanım kimlik doğrulayıcısı, özel anahtar malzemesine ana makinede çalışan yazılım tarafından hiçbir zaman erişilebilir olmadığından kötü amaçlı yazılımlara karşı dirençlidir.
WebAuthn Seviye 1 standardı, 4 Mart 2019'da bir W3C Tavsiyesi olarak yayımlandı.[9][10] Seviye 2 spesifikasyonu geliştirme aşamasındadır.[11]
Arka plan
[değiştir | kaynağı değiştir]FIDO2, FIDO Universal 2nd Factor (U2F) eski protokolünün halefidir. FIDO2 kimlik doğrulaması, U2F'nin tüm avantajlarına sahiptir. Birincil fark, bir FIDO2 doğrulayıcının aynı zamanda tek birçok faktörlü (şifresiz) doğrulayıcı olabilmesidir. U2F protokolü, mevcut kullanıcı adı/şifre tabanlı oturum açma akışlarını güçlendirmek için ikinci bir faktör olarak hareket edecek şekilde tasarlanmıştır.
Bir FIDO2 doğrulayıcı, tek faktör modunda veya çok faktörlü modda kullanılabilir. Tek faktör modunda, kimlik doğrulayıcı, genellikle basit bir düğmeye basmadan oluşan bir kullanıcı varlığı testi ile etkinleştirilir. Çok faktörlü modda, kimlik doğrulayıcı (sahip olduğunuz bir şey) kullanıcı doğrulaması gerçekleştirir. Kimlik doğrulayıcı yeteneklerine bağlı olarak bu şunlar olabilir:[12]
- bildiğiniz bir şey: PIN, parola veya kaydırma deseni gibi bir sır
- sizin bir şey: bir biyometri parmak izi, iris veya ses gibi
Her durumda, kimlik doğrulayıcı cihaz üzerinde yerel olarak kullanıcı doğrulaması gerçekleştirir. Kimlik doğrulayıcıda saklanan bir sır veya biyometrik web sitesi ile paylaşılmaz.[13] Ayrıca, kimlik doğrulayıcı, kullanıcı doğrulaması başarıyla tamamlandıktan sonra kimlik doğrulaması isteyen hizmet için kullanmak üzere doğru Açık anahtarlı şifrelemeyi seçeceğinden, tek bir gizli veya biyometrik tüm web siteleriyle çalışır.
Doğrulayıcı üzerindeki bir sır ve biyometrik, bir akıllı telefonda nasıl kullanılacağına benzer şekilde birlikte kullanılabilir. Örneğin, akıllı telefonunuza kolay erişim sağlamak için bir parmak izi kullanılır, ancak bazen parmak izi erişimi başarısız olur, bu durumda bir PIN kullanılabilir.
Genel bakış
[değiştir | kaynağı değiştir]Önceki FIDO U2F gibi, W3C Web Kimlik Doğrulaması (WebAuthn) bir web sitesi, bir web tarayıcısı ve bir kimlik doğrulayıcı içerir:[1]
- Web sitesi, uyumlu bir WebAuthn itimat eden taraftır
- Tarayıcı, uyumlu bir WebAuthn istemcisidir
- Kimlik doğrulayıcı bir FIDO2 kimlik doğrulayıcısıdır, yani WebAuthn İstemcisi ile uyumlu olduğu varsayılır.
WebAuthn, bir davacının FIDO2 doğrulayıcısının sahipliğini ve kontrolünü WebAuthn itimat eden taraf adlı bir doğrulayıcıya nasıl gösterdiğini belirtir. Kimlik doğrulama sürecine, uyumlu bir web tarayıcısından biraz daha fazlası olan WebAuthn İstemcisi adı verilen bir varlık aracılık eder.
Kaynakça
[değiştir | kaynağı değiştir]- ^ a b Balfanz, Dirk; Czeskis, Alexei; Hodges, Jeff; Jones, J.C.; Jones, Michael B.; Kumar, Akshay; Liao, Angelo; Lindemann, Rolf; Lundberg, Emil, (Ed.) (4 Mart 2019). "Web Authentication: An API for accessing Public Key Credentials Level 1" (Recommendation bas.). World Wide Web Consortium (W3C). 14 Mart 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Mart 2019.
- ^ "Web Authentication Working Group". World Wide Web Consortium (W3C). 15 Mayıs 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 11 Mayıs 2018.
- ^ Strickland, Jonathan (18 Mart 2019). "What is WebAuthn". TechStuff. iHeartMedia. 20:35 dakika. 25 Haziran 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 20 Mart 2019.
- ^ "FIDO2 Project". FIDO Alliance. 22 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 11 Mayıs 2018.
- ^ Stenius, Petteri (20 Şubat 2019). "Introduction to FIDO (Fast IDentity Online)". Ubisecure. 31 Mart 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 30 Nisan 2019.
- ^ Brand, Christiaan; Czeskis, Alexei; Ehrensvärd, Jakob; Jones, Michael B.; Kumar, Akshay; Lindemann, Rolf; Powers, Adam; Verrept, Johan, (Ed.) (30 Ocak 2019). "Client to Authenticator Protocol (CTAP)". FIDO Alliance. 8 Mart 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Mart 2019.
- ^ "WebAuthn / CTAP: Modern Authentication" (PDF). World Wide Web Consortium (W3C). 10 Aralık 2018. 4 Aralık 2020 tarihinde kaynağından arşivlendi (PDF). Erişim tarihi: 11 Mart 2019.
- ^ Kan, Michael (7 Mart 2019). "Google: Phishing Attacks That Can Beat Two-Factor Are on the Rise". PC Magazine. 8 Mart 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Mart 2019.
- ^ Balfanz, Dirk; Czeskis, Alexei; Hodges, Jeff; Jones, J.C.; Jones, Michael B.; Kumar, Akshay; Liao, Angelo; Lindemann, Rolf; Lundberg, Emil ((Ed.)). "Web Authentication: An API for accessing Public Key Credentials Level 1 (latest)". World Wide Web Consortium (W3C). 14 Mart 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Mart 2019.
- ^ "W3C and FIDO Alliance Finalize Web Standard for Secure, Passwordless Logins". World Wide Web Consortium (W3C). 4 Mart 2019. 4 Mart 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Mart 2019.
- ^ Balfanz, Dirk; Czeskis, Alexei; Hodges, Jeff; Jones, J.C.; Jones, Michael B.; Kumar, Akshay; Lindemann, Rolf; Lundberg, Emil, (Ed.) (4 Haziran 2019). "Web Authentication: An API for accessing Public Key Credentials Level 2" (First Public Working Draft bas.). World Wide Web Consortium (W3C). 4 Haziran 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Haziran 2019.
- ^ Baghdasaryan, Davit; Hill, Brad (2 Temmuz 2018). "FIDO Registry of Predefined Values". fidoalliance.org. FIDO Alliance. 4 Aralık 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 16 Haziran 2019.
- ^ "Web Authentication: An API for accessing Public Key Credentials Level 1 § Terminology: User Verification". www.w3.org. W3C. 4 Mart 2019. 7 Haziran 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 16 Haziran 2018.
Dış bağlantılar
[değiştir | kaynağı değiştir]- Web Kimlik Doğrulaması: Genel Anahtar Kimlik Bilgileri Seviye 1'e erişmek için bir API 3 Aralık 2020 tarihinde Wayback Machine sitesinde arşivlendi.
- Web Kimlik Doğrulama Çalışma Grubu 10 Aralık 2020 tarihinde Wayback Machine sitesinde arşivlendi.
- MDN'de Web Kimlik Doğrulama API'si 28 Kasım 2020 tarihinde Wayback Machine sitesinde arşivlendi.
- WebAuthn Awesome 1 Kasım 2020 tarihinde Wayback Machine sitesinde arşivlendi.