İçeriğe atla

WebAuthn

USB arabirimine sahip bir dolaşım şifreleme donanım kimlik doğrulayıcısı

WebAuthn (İngilizce: Web Authentication; Türkçe: Web Kimlik Doğrulaması) World Wide Web Consortium (W3C) tarafından yayımlanan bir web standardıdır.[1][2][3] WebAuthn, FIDO Alliance kılavuzluğunda FIDO2 Project'in temel bir bileşenidir.[4] Projenin amacı, açık anahtarlı şifrelemesi kullanarak kullanıcıları web tabanlı uygulamalara ve hizmetlere doğrulamak için bir arabirimi standartlaştırmaktır.

Altta yatan kriptografik işlemler, anahtar materyalin nasıl yönetildiğine göre çoğunlukla agnostik olan soyut bir işlevsel model olan bir kimlik doğrulayıcı tarafından gerçekleştirilir.[5] Bu, bir işlemcinin güvenilir yürütme ortamı veya bir Güvenilir Platform Modülü (TPM) kullanarak WebAuthn desteğinin tamamen yazılımda uygulanmasını mümkün kılar. Hassas kriptografik işlemlerin yükü ayrıca USB, Bluetooth Low Energy veya NFC üzerinden erişilebilen bir dolaşım donanım doğrulayıcısına aktarılabilir. Dolaşımdaki bir donanım kimlik doğrulayıcısı, FIDO İstemcisinden Kimlik Doğrulayıcı Protokolüne (CTAP) uygundur[6] ve WebAuthn'u FIDO Evrensel 2. Faktör (U2F) standardıyla etkili bir şekilde geriye dönük uyumlu hale getirir.[7]

Eski U2F'ye benzer şekilde, Web Kimlik Doğrulaması kimliğe bürünmeyi doğrulamak için dayanıklıdır, yani ortadaki aktif adam saldırılarına karşı dirençlidir,[8] ancak U2F'den farklı olarak WebAuthn geleneksel bir şifre gerektirmez. Ayrıca, bir dolaşım donanım kimlik doğrulayıcısı, özel anahtar malzemesine ana makinede çalışan yazılım tarafından hiçbir zaman erişilebilir olmadığından kötü amaçlı yazılımlara karşı dirençlidir.

WebAuthn Seviye 1 standardı, 4 Mart 2019'da bir W3C Tavsiyesi olarak yayımlandı.[9][10] Seviye 2 spesifikasyonu geliştirme aşamasındadır.[11]

Arka plan

FIDO2, FIDO Universal 2nd Factor (U2F) eski protokolünün halefidir. FIDO2 kimlik doğrulaması, U2F'nin tüm avantajlarına sahiptir. Birincil fark, bir FIDO2 doğrulayıcının aynı zamanda tek birçok faktörlü (şifresiz) doğrulayıcı olabilmesidir. U2F protokolü, mevcut kullanıcı adı/şifre tabanlı oturum açma akışlarını güçlendirmek için ikinci bir faktör olarak hareket edecek şekilde tasarlanmıştır.

Bir FIDO2 doğrulayıcı, tek faktör modunda veya çok faktörlü modda kullanılabilir. Tek faktör modunda, kimlik doğrulayıcı, genellikle basit bir düğmeye basmadan oluşan bir kullanıcı varlığı testi ile etkinleştirilir. Çok faktörlü modda, kimlik doğrulayıcı (sahip olduğunuz bir şey) kullanıcı doğrulaması gerçekleştirir. Kimlik doğrulayıcı yeteneklerine bağlı olarak bu şunlar olabilir:[12]

  • bildiğiniz bir şey: PIN, parola veya kaydırma deseni gibi bir sır
  • sizin bir şey: bir biyometri parmak izi, iris veya ses gibi

Her durumda, kimlik doğrulayıcı cihaz üzerinde yerel olarak kullanıcı doğrulaması gerçekleştirir. Kimlik doğrulayıcıda saklanan bir sır veya biyometrik web sitesi ile paylaşılmaz.[13] Ayrıca, kimlik doğrulayıcı, kullanıcı doğrulaması başarıyla tamamlandıktan sonra kimlik doğrulaması isteyen hizmet için kullanmak üzere doğru Açık anahtarlı şifrelemeyi seçeceğinden, tek bir gizli veya biyometrik tüm web siteleriyle çalışır.

Doğrulayıcı üzerindeki bir sır ve biyometrik, bir akıllı telefonda nasıl kullanılacağına benzer şekilde birlikte kullanılabilir. Örneğin, akıllı telefonunuza kolay erişim sağlamak için bir parmak izi kullanılır, ancak bazen parmak izi erişimi başarısız olur, bu durumda bir PIN kullanılabilir.

Genel bakış

Önceki FIDO U2F gibi, W3C Web Kimlik Doğrulaması (WebAuthn) bir web sitesi, bir web tarayıcısı ve bir kimlik doğrulayıcı içerir:[1]

  • Web sitesi, uyumlu bir WebAuthn itimat eden taraftır
  • Tarayıcı, uyumlu bir WebAuthn istemcisidir
  • Kimlik doğrulayıcı bir FIDO2 kimlik doğrulayıcısıdır, yani WebAuthn İstemcisi ile uyumlu olduğu varsayılır.

WebAuthn, bir davacının FIDO2 doğrulayıcısının sahipliğini ve kontrolünü WebAuthn itimat eden taraf adlı bir doğrulayıcıya nasıl gösterdiğini belirtir. Kimlik doğrulama sürecine, uyumlu bir web tarayıcısından biraz daha fazlası olan WebAuthn İstemcisi adı verilen bir varlık aracılık eder.

Kaynakça

  1. ^ a b Balfanz, Dirk; Czeskis, Alexei; Hodges, Jeff; Jones, J.C.; Jones, Michael B.; Kumar, Akshay; Liao, Angelo; Lindemann, Rolf; Lundberg, Emil, (Ed.) (4 Mart 2019). "Web Authentication: An API for accessing Public Key Credentials Level 1" (Recommendation bas.). World Wide Web Consortium (W3C). 14 Mart 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Mart 2019. 
  2. ^ "Web Authentication Working Group". World Wide Web Consortium (W3C). 15 Mayıs 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 11 Mayıs 2018. 
  3. ^ Strickland, Jonathan (18 Mart 2019). "What is WebAuthn". TechStuff. iHeartMedia. 20:35 dakika. 25 Haziran 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 20 Mart 2019. 
  4. ^ "FIDO2 Project". FIDO Alliance. 22 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 11 Mayıs 2018. 
  5. ^ Stenius, Petteri (20 Şubat 2019). "Introduction to FIDO (Fast IDentity Online)". Ubisecure. 31 Mart 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 30 Nisan 2019. 
  6. ^ Brand, Christiaan; Czeskis, Alexei; Ehrensvärd, Jakob; Jones, Michael B.; Kumar, Akshay; Lindemann, Rolf; Powers, Adam; Verrept, Johan, (Ed.) (30 Ocak 2019). "Client to Authenticator Protocol (CTAP)". FIDO Alliance. 8 Mart 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Mart 2019. 
  7. ^ "WebAuthn / CTAP: Modern Authentication" (PDF). World Wide Web Consortium (W3C). 10 Aralık 2018. 4 Aralık 2020 tarihinde kaynağından arşivlendi (PDF). Erişim tarihi: 11 Mart 2019. 
  8. ^ Kan, Michael (7 Mart 2019). "Google: Phishing Attacks That Can Beat Two-Factor Are on the Rise". PC Magazine. 8 Mart 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Mart 2019. 
  9. ^ Balfanz, Dirk; Czeskis, Alexei; Hodges, Jeff; Jones, J.C.; Jones, Michael B.; Kumar, Akshay; Liao, Angelo; Lindemann, Rolf; Lundberg, Emil ((Ed.)). "Web Authentication: An API for accessing Public Key Credentials Level 1 (latest)". World Wide Web Consortium (W3C). 14 Mart 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Mart 2019. 
  10. ^ "W3C and FIDO Alliance Finalize Web Standard for Secure, Passwordless Logins". World Wide Web Consortium (W3C). 4 Mart 2019. 4 Mart 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Mart 2019. 
  11. ^ Balfanz, Dirk; Czeskis, Alexei; Hodges, Jeff; Jones, J.C.; Jones, Michael B.; Kumar, Akshay; Lindemann, Rolf; Lundberg, Emil, (Ed.) (4 Haziran 2019). "Web Authentication: An API for accessing Public Key Credentials Level 2" (First Public Working Draft bas.). World Wide Web Consortium (W3C). 4 Haziran 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 Haziran 2019. 
  12. ^ Baghdasaryan, Davit; Hill, Brad (2 Temmuz 2018). "FIDO Registry of Predefined Values". fidoalliance.org. FIDO Alliance. 4 Aralık 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 16 Haziran 2019. 
  13. ^ "Web Authentication: An API for accessing Public Key Credentials Level 1 § Terminology: User Verification". www.w3.org. W3C. 4 Mart 2019. 7 Haziran 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 16 Haziran 2018. 

Dış bağlantılar

İlgili Araştırma Makaleleri

<span class="mw-page-title-main">HTTP</span> iletişim protokolü

HTTP bir kaynaktan dağıtılan ve ortak kullanıma açık olan hiperortam bilgi sistemleri için uygulama seviyesinde bir iletişim protokolüdür. HTTP, World Wide Web için veri iletişiminin temelidir; burada köprü metni belgeleri, örneğin bir fare tıklamasıyla veya bir web tarayıcısında ekrana dokunarak kullanıcının kolayca erişebileceği diğer kaynaklara köprüler içerir.

Web grafik tasarımı, grafik tasarım alanı ile yakın ilişkili bir konu olmakla birlikte kendi içinde ayrı bir dal olarak da geniş bir alanı kapsayan bir kavramdır.

<span class="mw-page-title-main">Wi-Fi Protected Access</span>

WPA ve WPA 2 , Wi-Fi İttifakı tarafından kablosuz bilgisayar ağlarını güvenceye almak için geliştirilen, güvenlik protokol ve sertifika programlarıdır. Wi-Fi İttifakı bu programları bir önceki sistem olan WEP deki ciddi zayıflıklara karşı geliştirmiştir.

<span class="mw-page-title-main">Kerberos (iletişim kuralı)</span>

Kerberos / kərbərəs / güvenli olmayan bir ağ üzerinde haberleşen kaynakların, bilet mantığını kullanarak kendi kimliklerini ispatlamak suretiyle iletişim kurmalarını sağlayan bir bilgisayar ağı kimlik doğrulama protokolüdür. Protokolün tasarımcıları, ilk başta istemci-sunucu modelini hedef almış ve bu doğrultuda hem kullanıcının hem de sunucunun birbirlerinin kimliklerini doğrulamasını sağlayan karşılıklı kimlik doğrulama özelliğini sunmuşlardır. Kerberos protokol mesajları, izinsiz dinlemelere ve yansıtma ataklarına karşı dayanıklıdır.

<span class="mw-page-title-main">Android</span> Mobil işletim sistemi

Android, Google ve Open Handset Alliance tarafından, cep telefonları, tabletler ve televizyonlar için geliştirilmekte olan, Linux tabanlı, özgür ve ücretsiz bir işletim sistemidir. Sistem açık kaynak kodlu olsa da, kodlarının ufak ama çok önemli bir kısmı Google tarafından kapalı tutulmaktadır. Google tarafından ücretsiz sunulmasının sebebi, sistemin daha hızlı ve çabuk gelişmesi, birçok popüler marka tarafından kullanılması ve bu sayede reklamlarının daha fazla kişiye ulaşmasını sağlamaktır. Google, Android sistemi üzerinde çalışan Google Play marketteki oyun ve uygulamalar üzerinde aldığı reklamları yayınlayarak para kazanmaktadır. Android'in desteklenen uygulama uzantısı ".apk"dır.

<span class="mw-page-title-main">HTML5</span> web programlama dili HTMLnin en güncel sürümü

HTML5, İnternet'in çekirdek teknolojilerinden HTML işaretleme standardının beşinci sürümüdür. Internet Explorer, Mozilla Firefox ve Opera tarayıcılarının güncel sürümleri tarafından kısmen desteklenmektedir. Kısaca H5 Google Chrome ve Safari tarayıcılarının güncel sürümleri üzerinde deneme aşamasında da olsa çok daha iyi bir şekilde çalışmaktadır. Günümüzde kullanılan HTML 4.1 sürümü, CSS desteğiyle ne kadar düzenli ve sağlam bir yapıda kodlanırsa kodlansın, yine de fazladan yazılan kodların fonksiyonelliğini bozduğu bilinmektedir. Bu yüzden HTML5, bu ihtiyaçları karşılamak adına geliştirilmeye başlanmıştır. Video paylaşım sitesi YouTube, deneme aşamasında HTML5'i kullanıcılarına sunmaktadır.

<span class="mw-page-title-main">Laravel</span>

Laravel, MVC yapısında web uygulamaları geliştirme için tasarlanmış ücretsiz, açık kaynak PHP web uygulama iskeletidir. Laravel, GitHub sitesinde barındırılan kaynak kodu ile birlikte, MIT lisansı altında yayınlandı.

<span class="mw-page-title-main">OAuth</span> kimlik doğrulama protokolü

OAuth açık standartlı bir yetkilendirme protokolüdür, genellikle internet kullanıcıları tarafından kendi Google, Microsoft, Facebook, Twitter, One Network vb. hesaplarının şifrelerini açığa çıkarmadan third party web sitelerine erişmek için kullanılır. Genellikle OAuth kaynağın sahibi adına, kullanıcılara sunucu kaynakları için "güvenli temsili erişim" sağlıyor. Kaynak sahipleri için bir süreç başlatıyor. Bu süreçte kaynak sahiplerinin sunucu kaynaklarına herhangi bir kimlik paylaşımı olmadan üçüncü taraf erişim yetkisi sağlanıyor. Spesifik olarak Hypertext Transfer Protocol (HTTP) ile çalışması için tasarlanmış, OAuth temelde yetkili sunucu ile ve kaynak sahibinin onayı ile access tokenslerinin third-party kullanıcılarına verilmesine izin veriyor. Daha sonra third party, kaynak sunucudaki korumalı kaynaklara erişmek için access tokenlarını kullanıyor.

<span class="mw-page-title-main">Bing Web Yönetim Araçları</span>

Bing Web Yönetim Araçları, Microsoft'un Bing arama motorunun parçası olarak ücretsiz bir hizmettir. Webmasterlara web sitelerini Bing dizini tarayıcısına eklemelerine izin verir. Hizmet aynı zamanda, web sitelerinin tarama ve indekslemesi, Site Haritası oluşturma, gönderme ve ping araçları, web sitesi istatistikleri, içerik sunumunun konsolidasyonu, yeni içerik ve topluluk kaynakları ile ilgili sorunları çözmek için web yöneticileri için araçlar sunmaktadır.

Cross-Origin Resource Sharing (CORS), bir web sayfası üzerindeki bazı kaynakların, kaynağın sunulduğu alan adının dışındaki bir alan adından istenebilmesine izin veren bir mekanizmadır. Bir web sayfası, özgürce kökler arası resimleri, stil sayfalarını, betikleri ve videoları ekleyebilmektedir. Ancak, bazı “alanlar arası” istekler, özellikle Ajax istekleri, Aynı Kök Politikası nedeniyle varsayılan olarak yasaklanmıştır.

<span class="mw-page-title-main">Açık anahtar sertifikası</span>

Açık anahtar sertifikası ya da bilinen diğer adıyla dijital sertifika, açık anahtar sahipliğinin kanıtlanmasında kullanılan bir elektronik dokümandır. Sertifika, anahtar hakkında bilgiler, sahibinin kimliği hakkında bilgiler ve sertifikanın içeriğini doğrulayan bir varlığın dijital imzasını içerir. İmza geçerliyse ve yazılım, incelediği sertifikanın sağlayıcısına güveniyorsa, sertifikanın öznesi ile güvenli bir şekilde iletişim kurmak için bu anahtarı kullanabilir. E-posta şifreleme, kod imzalama ve elektronik imza sistemlerinde özne genelde bir kişi ya da kuruluştur. Ancak, Transport Layer Security (TLS)’de özne genelde bir bilgisayar ya da farklı aygıt olmasına rağmen TLS sertifikaları, cihazları tanımlamasındaki temel rollerine ek olarak kuruluşları ya da bireyleri tanımlayabilir. Bazen eski adı olan Secure Sockets Layer (SSL) olarak da anılan TLS, web’de güvenli gezinme için bir iletişim protokolü olan HTTPS’nin önemli bir parçasıdır.

Çok faktörlü kimlik doğrulma (MFA) bir bilgisayar kullanıcısına, kullanıcının kimlik doğrulama mekanizmasına başarılı bir şekilde iki ya da daha fazla kanıt sağladığında erişim sağlandığı bir kimlik doğrulama yöntemidir: bilgi, sahiplik ve devralma.

Zaman tabanlı tek seferlik parola algoritması (TOTP), üretildiği zaman aralığının benzersizliğini alarak, tek seferlik parola üreten bir HMAC Tabanlı Bir-Zamanlı Parola algoritmasının (HOTP) uzantısıdır. İnternet Mühendisliği Görev Gücü standardı RFC 6238 olarak kabul edilmiştir. Açık Kimlik Doğrulama Girişiminin (OATH) temel taşıdır ve iki faktörlü kimlik doğrulama sistemlerinde kullanılır.

<span class="mw-page-title-main">Favicon</span> Belli bir ağ sayfasının küçük simgesi

Favicon, kısayol simgesi, website ikonu, sekme ikonu, URL ikonu veya yer imi ikonu olarak da bilinir, bir veya daha fazla küçük simge içeren bir dosyadır, belirli bir web sitesi veya web sayfası ile ilişkili. Bir web grafik tasarımcısı böyle bir simge yaratabilir ve onu bir web sitesine çeşitli yollarla yükleyebilir ve ardından grafiksel web tarayıcısı bundan yararlanabilir. Favicon desteği sağlayan tarayıcılar tipik olarak bir tarayıcının faviconunu adres çubuğu ve yer imleri listesinde sayfanın adının yanında gösterir. Sekmeli tarayıcı özelliğini destekleyen tarayıcılar tipik olarak sekmedeki sayfanın başlığının yanında bir sayfanın favicon'unu gösterir ve siteye özgü tarayıcı favicon'u masaüstü simgesi olarak kullanır.

<span class="mw-page-title-main">İnternet güvenliği</span>

Internet güvenliği, yalnızca Internet, sıkça tarayıcı güvenliği ve World Wide Web ile ilgili değil, aynı zamanda Ağ Güvenliği, uygulama ve işletim sistemleri sistemleri ile bir bütün olarak ilgilidir. Amacı, internet üzerinden saldırılara karşı kullanılacak kurallar ve önlemler oluşturmaktır. İnternet, bilgi alışverişi için güvenli olmayan bir kanalı temsil eder; bu da kimlik avı, çevrimiçi virüsler, truva atları, solucanlar ve daha fazlası gibi yüksek bir saldırı veya dolandırıcılık riskine yol açar.

WebRTC, web tarayıcılarına ve mobil uygulamalara basit uygulama geliştirme arayüzü (API'ler) aracılığıyla gerçek zamanlı iletişim (RTC) sağlayan ücretsiz, açık kaynaklı bir projedir. Direkt olarak eşler arası iletişime izin vermesi ile, eklenti yükleme veya uygulama indirme ihtiyacını ortadan kaldırarak, ses ve video iletişiminin web sayfalarında kolaylıkla kullanılmasını sağlar. Apple, Google, Microsoft, Mozilla ve Opera tarafından desteklenen WebRTC, World Wide Web Konsorsiyumu (W3C) ve İnternet Mühendisliği Görev Gücü (IETF) aracılığıyla standartlaştırılmaktadır.

Mikro veri, meta verileri web sayfalarındaki mevcut içeriğin içine yerleştirmek için kullanılan bir WHATWG HTML spesifikasyonudur. Arama motorları, web tarayıcıları ve tarayıcılar bir web sayfasından Mikro Verileri ayıklayıp işleyebilir ve kullanıcılar için daha zengin bir göz atma deneyimi sağlamak için kullanabilir. Arama motorları, bu yapılandırılmış verilere doğrudan erişimden büyük ölçüde yararlanır çünkü web sayfalarındaki bilgileri anlamalarına ve kullanıcılara daha alakalı sonuçlar sağlamalarına olanak tanır. Mikro veriler, bir öğeyi açıklamak için destekleyici bir kelime dağarcığı ve özelliklerine değerler atamak için ad-değer çiftlerini kullanır. Mikro veri, benzer RDFa ve mikro biçimler kullanım yaklaşımlarına göre, HTML öğelerine makine tarafından okunabilir etiketlerle açıklama eklemenin daha basit bir yolunu sağlama girişimidir.

Bir belge türü beyanı veya DOCTYPE, belirli bir XML veya SGML belgesini bir belge türü tanımıyla (DTD) ilişkilendiren bir talimattır. 4.0). Belgenin serileştirilmiş biçiminde, belirli bir sözdizimine uyan kısa bir işaretleme dizisi olarak ortaya çıkar.

<span class="mw-page-title-main">Web İçeriği Erişilebilirlik Yönergeleri</span>

Web İçeriği Erişilebilirlik Kılavuzu (WCAG), Dünya Çapında Ağ Konsorsiyumu'nun (W3C) Web Erişilebilirliği İnisiyatifi (WAI) tarafından yayınlanan bir dizi web erişilebilirliği kılavuzunun bir parçasıdır. W3C, internet için ana uluslararası standartlar kuruluşudur. WCAG, öncelikle engelli kişiler için, ancak aynı zamanda mobil telefonlar gibi sınırlı cihazlar da dahil olmak üzere tüm kullanıcı arayüzleri için web içeriğini daha erişilebilir hale getirmek için bir dizi öneridir. WCAG 2.0, Aralık 2008'de yayınlanmış ve Ekim 2012'de ISO standardı olan ISO/IEC 40500:2012 haline gelmiştir. WCAG 2.1, Haziran 2018'de bir W3C Tavsiyesi haline geldi.

Dağıtılmış sosyal ağ veya birleşik sosyal ağ, merkezi olmayan ve farklı hizmet sağlayıcıları arasında dağıtılmış bir İnternet sosyal ağ hizmetidir, örneğin Fediverse veya IndieWeb. Birden fazla sosyal web sitesinden oluşur ve her bir site kullanıcıları, ilgili sitelerin herhangi bir kullanıcısıyla iletişim kurabilir. Toplumsal bir perspektiften bakıldığında, bu kavramı sosyal medyanın bir kamu hizmeti olarak kıyaslayabiliriz.


Bu sayfa, bu Vikipedi makalesine dayanmaktadır.
Metin, CC BY-SA 4.0 lisansı altında mevcuttur; ek koşullar uygulanabilir.
Görseller, videolar ve sesler kendi lisansları altında mevcuttur.