Parolalardan kurtulmayı kim istemez?

Google, Microsoft ve Apple; önceki gün Çevrimiçi Hızlı Kimlik İttifakının (Fast Identity Online Aliance, FIDO) parolasız oturum açma standartlarına desteklerini genişleteceklerini duyurdu. 2012’de PayPal, Lenovo, Validity Sensors, Infineon, NokNok Labs ve Agnitio şirketleri tarafından oluşturulan, sonrasında Amazon, Apple, Google, Intel, Samsung, Qualcomm, American Express, Mastercard ve Visa gibi dev şirketlerin katılımı ile büyüyen FIDO İttifakı hedefini “Dünyanın parolalara bağımlılığını azaltacak güçlü ve güvenli kimlik doğrulama standartlarını geliştirmek” olarak tanımlıyor. FIDO İttifakının World Wide Web Konsorsiyumu (W3C) ile birlikte geliştirdikleri standart akıllı telefon ya da benzeri bir cihaz aracılığı ile; biyometrik doğrulama ya da PIN kodu vb. kullanarak çevrimiçi uygulamalara güvenli bir şekilde oturum açılabilmesini sağlayan ortak bir sistem olma iddiasında. Google, Microsoft ve Apple gibi teknoloji dünyasının dev şirketlerinin FIDO standardına destek açıklamaları “ortak bir sistem” olma iddiası açısından önemli bir adım.

Güncel pratiği itibarıyla parolalı sistemler kötüdür: Parolalar sıklıkla unutulur, farklı uygulamalarda aynı parolalar kullanılır, parola yönetim uygulamaları kırılır, şirketler parolaları yeterince güvenli saklayamaz, iki ya da daha fazla faktörlü doğrulama zahmetlidir… Parola ile girişin dertleri listesi uzayıp gidiyor. Hâl böyle olunca “İşimizi güçleştiren parolalardan vazgeçip her yerde kullanabileceğimiz basit, kullanışlı ve güvenli bir giriş sistemine neden göç etmeyelim ki?​” sorusu ilk bakışta yanıtı oldukça basit bir soruymuş gibi gelebilir. Ancak gerçeklik çoğunlukla böyle basit olmuyor. FIDO standardı giriş sistemi pek çok başka dert ve tartışma ile birlikte geliyor.

FIDO’nun önerdiği giriş sistemi anahtar rolü üstlenen ikincil bir cihaza, örneğin bir akıllı telefona bağımlı. Bu bağımlılık çoğu senaryo açısından sorun olmamakla birlikte hemen hemen bütün servislerin oturum açma için FIDO standardını esas aldığı bir gerçeklikte anahtarın kaybı, bozulması ya da çalınması kullanıcı açısından ciddi sıkıntılara yol açabilir. Anahtarın PIN kodu ile açıldığı durumda elimizde karmaşıklık ve dolayısıyla tahmin edilebilirlik ve kırılabilirlik açısından kötü şifrelerle dahi kıyaslanamayacak bir zafiyet söz konusu. Anahtarın biyometrik doğrulama ile açıldığı durumda da benzer bir tablo var: Son kullanıcı tarafındaki biyometrik sistemlerin hemen hepsini aldatmanın çeşitli yolları bulundu. Anahtarı açmayı başarabilen kötü niyetli biri anahtar sahibinin bütün hesaplarına erişebilir. Yine aynı sorunun parçası olarak güvenlik güçlerinin ya da sınır görevlilerinin biyometrik giriş sistemlerini zorla açtırma girişimleri yaşandı, yaşanıyor.

Hedefinde böylesine merkezileşme olan bir sistem açısından bir diğer tartışma da uluslararası diplomasi. Ne alaka demeyin, profesyonel spor müsabakalarını falan geçtim bilgisayar oyunlarından bile Rusya ile alakalı her şeyin çıkartılmaya çalışıldığı bir garabetin içindeyiz. Bu merkezi sistemin o ya da bu politik gelişme karşısında bir ülkenin vatandaşlarının kullanımına kapatılma olasılığı nedir?

Başta söyledim ama tekrar edeyim: Gerek kullanıcıların gerekse de şirketlerin güncel parola pratikleri berbat. Tek tek oturum açılan her yer için çokça olası hata noktası var. Öte yandan bu kötü pratiği çözmeye aday gösterilen sistem çoklu hata noktalarının yerine her şeyi kapsayan dev bir hata noktası koyuyor. Mevcuda kıyasla FIDO İttifakının önerdiği sistem çoğu kişi için daha güvenli olabilir. Ancak o sistemde anahtarı yitirdiğinizde yaşayacağınız kriz de çok daha büyük.