Microsoft Entra ID kimlik doğrulama yöntemleri - parola anahtarları (FIDO2)

Uzaktan kimlik avı saldırıları artıyor. Bu saldırılar, kullanıcının cihazına fiziksel erişim olmadan parolalar, SMS kodları veya tek seferlik geçiş kodları gibi kimlik kanıtlarını çalmayı veya geçirmeyi hedefler. Saldırganlar, sosyal mühendislik, kimlik bilgisi avcılığı veya aşağı sürüme geçirme tekniklerini kullanarak, geçiş anahtarları veya güvenlik anahtarları gibi daha güçlü korumaları atlamak için genellikle bu yöntemlere başvurur. Yapay zeka destekli saldırı araç setleriyle bu tehditler daha karmaşık ve ölçeklenebilir hale geliyor.

Geçiş anahtarları parolalar, SMS ve e-posta kodları gibi kimlik avı yöntemlerini değiştirerek uzaktan kimlik avının önlenmesine yardımcı olur. FIDO (Fast Identity Online) standartlarına göre oluşturulan geçiş anahtarları, kimlik bilgilerinin yeniden oynatılmamasını veya kötü amaçlı aktörlerle paylaşılmamasını sağlayarak çıkışa bağlı ortak anahtar şifrelemesini kullanır.

Sektör güvenliği uzmanları tarafından geliştirilen birlikte çalışabilir FIDO (Fast Identity Online) standartları üzerine kurulmuştur. Çıkış noktalarına bağlı ortak anahtar şifrelemesi kullanır ve yerel kullanıcı etkileşimi gerektirir. Birlikte ele alınan bu özellikler, geçiş anahtarlarının kimlik avı için neredeyse imkansız olmasını sağlar.

Özel anahtar cihazınızda depolanır ve ortak anahtar, oturum açmak istediğiniz uygulama veya web sitesiyle birlikte depolanır. Oturum açmak için her iki benzersiz anahtar da gereklidir. Bu anahtar çifti bileşimi benzersizdir, bu nedenle geçiş anahtarınız yalnızca web sitesinde veya oluşturduğunuz uygulamada çalışır.

Her oturum açma girişimi, oturum açmak için kullandığınız cihazda geçiş anahtarının kilidini açmak için mevcut olmanız gerekir. Birisi, denetledikleri başka bir cihazda oturum açmanız için sizi kandıramaz.

Daha güçlü güvenliğe ek olarak, parolaları ortadan kaldırarak, istemleri azaltarak ve cihazlar arasında hızlı ve güvenli kimlik doğrulamasını etkinleştirerek geçiş anahtarları (FIDO2) sorunsuz bir oturum açma deneyimi sunar. Bunları kullanarak Microsoft Entra ID'ye veya Microsoft Entra hibrit birleştirilmiş Windows 11 cihazlara oturum açabilir ve bulut ve şirket içi kaynaklarda tekli oturum açma elde edebilirsiniz.

Geçiş anahtarları nelerdir?

Geçiş anahtarları, güçlü kimlik doğrulaması sağlayan kimlik avına dayanıklı kimlik bilgileridir ve cihaz biyometrisi veya PIN ile birlikte kullanıldığında çok faktörlü kimlik doğrulaması (MFA) yöntemi olarak görev yapabilir. Ayrıca doğrulayıcı kimliğe bürünme direnci sağlar, bu da kimlik doğrulayıcının yalnızca geçiş anahtarının kayıtlı olduğu Güvenilen Tarafa (RP) sırları ifşa etmesini ve bir RP gibi davranan saldırgana sırları ifşa etmemesini garanti eder. FIDO2 standartlarına uygun olarak parola anahtarları (FIDO2), tarayıcılar için WebAuthn ve kimlik doğrulayıcı ile iletişim için CTAP kullanır.

Kullanıcı Microsoft Entra ID geçiş anahtarıyla (FIDO2) oturum açtığında aşağıdaki işlem kullanılır:

1. Kullanıcı Microsoft Entra ID oturum açmayı başlatır.
2. Kullanıcı bir geçiş anahtarı seçer:
   • Aynı cihaz (cihazda depolanır)
   • Cihazlar arası (QR kodu aracılığıyla) veya FIDO2 güvenlik anahtarı
3. Microsoft Entra ID kimlik doğrulayıcıya bir sınama (nonce) gönderir.
4. Kimlik doğrulayıcı, karma RP kimliği ve kimlik bilgisi ID'sini kullanarak anahtar çiftini bulur.
5. Kullanıcı, özel anahtarın kilidini açmak için biyometrik veya PIN hareketi gerçekleştirir.
6. Kimlik doğrulayıcı, sınamayı özel anahtarla imzalar ve imzayı geri gönderir.
7. Microsoft Entra ID ortak anahtarı kullanarak imzayı doğrular ve bir belirteç oluşturur.

Geçiş anahtarı türleri

• Cihaza bağlı geçiş anahtarları: Özel anahtar tek bir fiziksel cihazda oluşturulur ve depolanır ve hiçbir zaman ayrılmaz. Örnekler:
  • Microsoft Authenticator
  • FIDO2 Güvenlik anahtarları
• Eşitlenen geçiş anahtarları: Özel anahtar, donanım güvenlik modülü (HSM) tarafından oluşturulur ve yerel cihazda şifrelenir. Bu şifrelenmiş anahtar daha sonra eşitlenir ve bulut geçiş anahtarı sağlayıcısında depolanır. Daha sonra geçiş anahtarı sağlayıcısıyla kimliği doğrulanmış diğer cihazlar geçiş anahtarını kullanabilir. Bu, sağlayıcıya bağlı olarak farklılık gösterebilir. Eşitlenen geçiş anahtarları doğrulamayı desteklemez. Örnekler:
  • Apple iCloud Anahtar Zinciri
  • Google Password Manager

Eşitlenen geçiş tuşları, kullanıcıların kimlik doğrulaması için yüz, parmak izi veya PIN gibi bir cihazın yerel kilit açma mekanizmasını kullanabildiği sorunsuz ve kullanışlı bir kullanıcı deneyimi sunar. Kayıtlı ve eşitlenmiş geçiş anahtarlarını kullanan Microsoft hesaplarının yüz milyonlarca tüketici kullanıcısından edinilen bilgilere dayanarak şunları öğrendik:

• Kullanıcıların %99'u senkronize edilmiş anahtarları başarıyla kayıt olmaktadır
• Eşitlenen parola anahtarları, parolaya ve geleneksel bir MFA bileşimine kıyasla 14 kat daha hızlıdır: 69 saniye yerine 3 saniye
• Kullanıcılar , eski kimlik doğrulama yöntemlerinden (95% vs 30%) eşitlenmiş geçiş anahtarıyla 3 kat daha başarılı oturum açar
• Microsoft Entra ID'de senkronize passkey'ler, tüm kurumsal kullanıcılar için MFA basitliğini geniş ölçekte sağlar. SMS ve kimlik doğrulayıcı uygulamaları gibi geleneksel MFA seçeneklerine uygun ve düşük maliyetli bir alternatiftir.

Kuruluşunuzda geçiş anahtarları dağıtma hakkında daha fazla bilgi için bkz. Eşitlenen geçiş anahtarlarını etkinleştirme.

Kanıtlama, kayıt sırasında geçiş anahtarı sağlayıcısının veya cihazın orijinalliğini doğrular. Zorunlu kılındığında:

• FIDO Meta Veri Hizmeti (MDS) aracılığıyla kriptografik olarak doğrulanabilir cihaz kimliği sağlar. Kanıtlama uygulandığında, bağlı olan taraflar doğrulayıcı modelini doğrulayabilir ve sertifikalı cihazlar için ilke kararları uygulayabilir.
• Kanıtsız geçiş anahtarları, eşitlenmiş geçiş anahtarları ve kanıtsız cihaz bağlı geçiş anahtarları da dahil olmak üzere, cihaz kaynağı sağlamaz.

Microsoft Entra ID:

• Kanıtlama, parola profili düzeyinde zorunlu kılınabilir.
• Kanıtlama etkinse yalnızca cihaza bağlı geçiş anahtarlarına izin verilir; eşitlenen geçiş anahtarları dışlanır.

Doğru geçiş anahtarı seçeneğini belirleyin

FIDO2 güvenlik anahtarları, yüksek düzeyde düzenlenmiş sektörler veya yükseltilmiş ayrıcalıklara sahip kullanıcılar için önerilir. Güçlü güvenlik sağlar, ancak özellikle kullanıcılar fiziksel anahtarlarını kaybettiğinde ve hesap kurtarma gerektiğinde ekipman, eğitim ve yardım masası desteği maliyetlerini artırabilir. Microsoft Authenticator uygulamasındaki geçiş tuşları, bu kullanıcı grupları için başka bir seçenektir.

Çoğu kullanıcı için (yüksek düzeyde düzenlenmiş ortamların dışında olan veya hassas sistemlere erişimi olmayanlar) eşitlenmiş geçiş anahtarları , geleneksel MFA'ya uygun, düşük maliyetli bir alternatif sunar. Apple ve Google, bulutlarında depolanan geçiş anahtarları için gelişmiş korumalar uyguladı.

Cihazla bağlı veya senkronize edilmiş türünden bağımsız olarak geçiş anahtarları, kimlik avı riski taşıyan MFA yöntemlerine göre önemli bir güvenlik yükseltmesi sunar.

Daha fazla bilgi için bkz. Microsoft Entra ID'de kimlik avına karşı dayanıklı MFA dağıtımı hakkında başlangıç kılavuzu.

İlgili içerik

• Microsoft Entra ID'de geçiş anahtarlarını (FIDO2) etkinleştir
• Microsoft Entra ID'de geçiş anahtarı profillerini etkinleştirin
• Microsoft Entra ID'de eşitlenmiş geçiş anahtarlarını etkinleştirme>
• Authenticator Uygulamasında Geçiş Anahtarları
• Kanıtlama gereksinimleri