WebAuthn Nedir?

İngilizce: WebAuthn

WebAuthn, tarayıcıların cihaz güvenlik anahtarları ve passkey'lerle güçlü, parolasız kimlik doğrulama yapmasını sağlayan web standardıdır.

WebAuthn Nedir?

WebAuthn (Web Authentication), tarayıcıların platform kimlik doğrulayıcıları, donanım güvenlik anahtarları ve passkey kimlik bilgileriyle çalışmasını sağlayan web standardıdır. FIDO2 ekosisteminin web tarafındaki ana API’sidir.

Kayıt sırasında uygulama tarayıcıya bir challenge ve kullanıcı bilgisi verir. Kimlik doğrulayıcı yeni bir anahtar çifti üretir; açık anahtar sunucuya kaydedilir, özel anahtar cihazda kalır. Giriş sırasında sunucu yeni bir challenge gönderir, cihaz bunu imzalar ve sunucu imzayı kayıtlı açık anahtarla doğrular.

Bileşenler

WebAuthn akışında relying party, yani oturum açtıran web sitesi; client, yani tarayıcı; authenticator, yani cihazdaki güvenli alan veya harici güvenlik anahtarı birlikte çalışır. Authenticator platform içinde olabilir ya da USB/NFC/Bluetooth ile bağlanan ayrı bir anahtar olabilir.

WebAuthn, 2FA ve MFA senaryolarında ikinci faktör olarak kullanılabildiği gibi tamamen parolasız girişin de temelidir. Uygulamada domain eşleşmesi, kullanıcı doğrulama gereksinimi, yedek cihaz ve hesap kurtarma tasarımı güvenlik kadar kullanılabilirliği de belirler.