Donanım Güvenlik Anahtarları Hakkında Bilmeniz Gereken Her Şey

Kimlik avından veritabanı sızıntılarına kadar, kendinizi çevrimiçi ortamda korumak günümüzde giderek zorlaşıyor. Donanım güvenlik anahtarları, çevrimiçi hesaplarınıza ekstra bir koruma katmanı ekleyen uygulanabilir bir çözümdür. Bu makalede, donanım güvenlik anahtarlarının nasıl çalıştığı, artıları ve eksileri ve bunların sizin için doğru cihaz olup olmadığına karar vermenize yardımcı olacak yaygın sorunlar ele alınacaktır.

Donanım güvenlik anahtarı nedir?

Donanım güvenlik anahtarı, çok faktörlü kimlik doğrulama (MFA) kurulumuna ek bir "faktör" görevi gören küçük ve son derece güvenli bir aygıttır. Geleneksel bir OTP'ye benzer şekilde, bir donanım güvenlik anahtarı, kötü niyetli kişilerin oturum açma bilgilerinizi ele geçirseler bile çevrimiçi hesaplarınıza erişememelerini sağlar.

Donanım güvenlik anahtarları genellikle bilgisayarınıza takabileceğiniz NFC özellikli akıllı kartlar veya USB bellekler şeklinde gelir . Yubikey 5 NFC gibi popüler bazı tuşlar, USB ve NFC'yi bir arada sunarak cihazı hem bilgisayarda hem de mobil cihazlarda kullanmanıza olanak tanır.

Donanım güvenlik anahtarları nasıl çalışır?

Temel olarak, donanım güvenlik anahtarları oturum açma bilgilerinizi doğrulamak için açık anahtar şifrelemesini kullanır. Uyumlu bir web sitesi veya uygulama ile ilk kez bir anahtar yapılandırdığınızda, bu hizmete özel bir çift şifreleme anahtarı üretilir. Anahtar, söz konusu anahtar çiftinin özel kısmını kendi "güvenlik çipinde" saklarken, servis genel kısmını alır ve kendi sunucularında saklar.

Başarıyla giriş yaptıktan sonra web siteniz veya uygulamanız anahtarı cihazınıza takmanızı veya NFC aracılığıyla anahtarı algılamanızı isteyecektir. Servis, özel anahtarınızla imzalanması gereken anahtarınıza veri gönderecektir. Daha sonra servis bu verileri alır ve verilerin özel anahtar tarafından doğru bir şekilde imzalandığını kendi açık anahtarını kullanarak doğrular.

Tüm servisler donanım güvenlik anahtarlarının kullanımına izin veriyor mu?

Çoğu büyük çevrimiçi hizmet için donanım güvenlik anahtarı işe yarayacaktır. Destek açıkça garanti edilmese de Google, Amazon ve X gibi popüler platformların donanım güvenlik anahtarlarını desteklemesini bekleyebilirsiniz. Örneğin, Hesap Ayarları sayfasındaki Güvenlik ve Hesap Erişimi bölümüne giderek X'te Yubikey desteği ekleyebilirsiniz .

Ayrıca, destek çoğu zaman vaka bazında ele alınmaktadır. Çünkü platformun kendisi donanım güvenlik anahtarlarını eklemekten ve bu anahtarlara destek sağlamaktan sorumludur. Bu nedenle satın alma işlemine karar vermeden önce ziyaret ettiğiniz internet sitelerini ve bu MFA yöntemini destekleyip desteklemediklerini göz önünde bulundurmalısınız.

Donanım güvenlik anahtarlarının diğer MFA yöntemleriyle karşılaştırılması

Donanım Güvenlik Anahtarları ve SMS ve E-posta MFA

Geleneksel SMS ve E-posta MFA yerine donanım güvenlik anahtarlarını kullanmanın bir avantajı, kimliğinizi doğrulamanın sorunsuz bir yolu olmasıdır. OTP koduna dayanmıyor, yani hesaba giriş yapmak için herhangi bir kullanıcı müdahalesine gerek kalmıyor. Bu, yalnızca kimlik avı saldırılarını önlemekle kalmaz, aynı zamanda oturum açma sürecini de hızlandırır.

Ancak bu kusursuz yaklaşımın oldukça yüksek bir bedeli de var. Günümüzde çoğu donanım güvenlik anahtarının fiyatı 30 ila 80 dolar arasında değişiyor ve daha ucuz olanlar yalnızca belirli uygulamalar için kullanılabiliyor. Öte yandan, SMS ve E-posta MFA halihazırda sahip olduğunuz cihazları kullanır. Bu, SMS ve E-posta MFA'nın maliyetini etkin bir şekilde 0 dolara düşürerek hesaplarınızı korumak için oldukça uygun maliyetli bir yol haline getirir.

Donanım Güvenlik Anahtarları ve Kimlik Doğrulayıcı Uygulamalar

SMS ve E-posta MFA'da olduğu gibi, kimlik doğrulama uygulamaları da donanım güvenlik anahtarlarıyla karşılaştırıldığında aynı temel sorunlardan muzdariptir. OTP kullandığı için kimlik avı saldırılarına karşı savunmasızdır.

Ancak çoğu kimlik doğrulama uygulaması RFC 6238 (TOTP) standardını kullanır ve bu da onları günümüzde mevcut en erişilebilir MFA yöntemlerinden biri haline getirir. Bu, ziyaret ettiğiniz web sitesinin TOTP'yi etkinleştirme seçeneğinin yüksek ihtimalle mevcut olduğu anlamına gelir. Bu aynı zamanda donanım güvenlik anahtarlarına göre bir avantajdır çünkü tüm web siteleri FIDO2 standardını destekleyemeyebilir.

Donanım güvenlik anahtarları ve biyometrik veriler

Donanım güvenlik kilitleri ve biyometrik kilitler benzer güvenlik ve kolaylık düzeyleri sunsa da bazı önemli noktalarda farklılık gösterirler. Öncelikle biyometrik anahtarlar yalnızca saklandığı cihazda kullanılabilir. Örneğin, Touch ID yalnızca iPhone'unuzda oturum açmaya izin verebilir. Bu durum, özellikle donanım güvenlik kilitleriyle karşılaştırıldığında biyometrik kilitlerin yapabileceklerini ciddi şekilde sınırlandırıyor.

Biyometrik kilitler ayrıca çoğu zaman donanım güvenlik kilitlerine göre daha kullanışlı ve kullanışlıdır. Biyometrik kilitleme herhangi bir harici cihazı gerektirmez ve halihazırda sahip olduğunuz şeyleri kullanır. Bu anahtar aynı zamanda OTP'ye dayanmadığından kimlik avı saldırılarına karşı da dayanıklıdır.

Donanım güvenlik anahtarınızı kaybettiğinizde ne olur?

Donanım güvenlik kilitlerinin güçlü yanlarından biri aynı zamanda zayıf yönleridir. Fiziksel bir nesne olarak anahtarınızı kaybedebilirsiniz. İnternet bankacılığı gibi önemli işlemlere giriş yapmak için donanım güvenlik anahtarınıza güveniyorsanız bu durum endişe verici olabilir.

Böyle bir durumda çoğu kilitte yetkisiz erişime karşı bir miktar koruma bulunduğunu hatırlamak önemlidir. Örneğin Yubikey 5, kullanıcının bir PIN kodu belirlemesini gerektiriyor ve birden fazla yanlış PIN girişi sonrasında kendini silme mekanizmasına sahip.

Ayrıca, donanım güvenlik anahtarları kullanıcı adınız ve parolanız gibi hassas bilgileri depolamaz. Bu anahtarlar aynı zamanda özel anahtarları güvenli bir çipte saklar ve bu sayede kötü niyetli kişilerin bunları ele geçirmesi imkansız hale gelir.